根據2026/05/17~2026/05/23間國外媒體報導的資訊安全相關議題，以這些議題作為資訊安全威脅情資，進行風險分析作業，生成以下風險情境資料，提供組織評估是否存在類似風險之參考。組織可以參考下表資料，決定是否需進一步從CIA構面，分析風險影響，再據以建立風險處理措施。本週風險情境都可以在台灣應用軟件公司網頁當週的資料整理，找到原文報導資料。

威脅情資-260541
情資名稱：身分權限曝險形成混合環境攻擊路徑事件
情資說明：
The Hacker News 報導指出，企業環境中的身分、權限與憑證已成為攻擊路徑。文中舉例，一組快取於 Windows 主機上的 AWS 存取金鑰，雖未涉及錯誤設定或違反政策，卻可能讓攻擊者開啟通往該公司雲端環境約 98% 實體的路徑，涵蓋多數關鍵工作負載。報導指出，Active Directory、雲端身分供應者、服務帳號、機器身分與 AI Agent 所承載的權限，可能跨越系統與信任邊界，讓單一遭竊憑證成為通往關鍵資產的合法身分入口。
攻擊手法：
報導描述的攻擊路徑包含：攻擊者取得快取憑證或存取金鑰後，利用該身分所附帶的權限橫向移動；透過未審查的 Active Directory 群組成員資格，從零售端點通往企業網域；利用雲端遷移後仍保留權限的開發者 SSO 角色，從開發者存取推進至生產環境管理員權限；以及透過具高權限 MCP Server 的 AI 工具或 AI Agent，繼承其身分權限並接觸雲端資源、資料庫與生產基礎架構。
風險說明：
主要風險在於身分曝險可能串接成完整攻擊鏈。報導指出，單一憑證、權限或角色指派，若未被個別工具標記為危險，仍可能在端點、Active Directory 與雲端環境之間形成可被攻擊者穿越的路徑。文中並提到，偷竊或濫用憑證在 IBM X-Force 2026 Threat Intelligence Index 中占事件的 32%，為第二常見初始存取向量。
資安威脅：
企業若僅將身分視為邊界控制，並依賴驗證與存取政策保護入口，可能忽略攻擊者取得初始立足點後，如何透過身分、權限與角色指派跨越環境並抵達關鍵資產。報導指出，IGA 與 PAM 等工具各自處理生命週期、權限憑證與工作階段，但無法完整映射身分曝險如何串接成跨端點、Active Directory 與雲端的可利用路徑。
關鍵觀察：

• 報導指出，一組 Windows 主機上的快取 AWS 存取金鑰可能開啟通往約 98% 雲端實體的路徑。
• 身分曝險可能從端點、Active Directory 串接至雲端工作負載與管理權限。
• 未審查群組成員資格、過期 SSO 角色與過度權限可形成跨環境攻擊路徑。
• 報導指出，AI Agent 與 MCP Server 若具高階權限，可能使非人類身分成為攻擊路徑。
• IGA 與 PAM 等工具被描述為各自獨立運作，可能無法看見跨環境串接的身分攻擊路徑。

威脅情資-260542
情資名稱：OAuth 同意釣魚繞過 MFA 取得 Microsoft 365 權杖事件
情資說明：
The Hacker News 報導指出，2026 年 2 月上線的 Phishing-as-a-Service（PhaaS）平台 EvilTokens，在五週內入侵五個國家超過 340 個 Microsoft 365 組織。受害者收到訊息後，被要求在 microsoft.com/devicelogin 輸入短碼並完成正常 MFA 驗證，誤以為只是完成例行登入確認。實際上，攻擊者取得的是範圍涵蓋信箱、雲端硬碟、行事曆與聯絡人的有效 refresh token，其有效期取決於租戶政策，而非單一登入工作階段。
攻擊手法：
報導指出，EvilTokens 並不需要密碼，也不會觸發看似入侵的 MFA 提示或登入事件。攻擊流程是讓使用者在合法身分提供者完成驗證與 MFA，再點擊 OAuth 同意畫面中的 Accept。攻擊者取得由身分提供者簽署、依使用者同意範圍授權且可更新的 token。此類攻擊被稱為 consent phishing 或 OAuth grant abuse，關鍵點在於攻擊者取得 OAuth 授權，而非重放帳號密碼。
風險說明：
主要風險在於 MFA 已在合法網域完成，因此無法阻擋 OAuth grant。報導指出，EvilTokens 發出的 refresh token 可在密碼重設後仍保持有效數週或數月，視租戶設定而定；僅有明確撤銷授權，或要求重新同意的條件式存取政策，才能關閉該授權。此外，OAuth 權限範圍描述與實際可存取資料之間存在落差，例如讀取郵件可能涵蓋所有可存取訊息、附件與共享討論串。
資安威脅：
企業可能因將防護重點放在帳密釣魚、MFA 與登入事件偵測，而忽略 OAuth 同意層產生的授權風險。報導指出，單一 OAuth consent 可提供攻擊者在某一應用程式中的受限立足點；更深層風險來自多個 SaaS 應用、整合或 AI Agent 透過同一人類身分形成「toxic combination」。這類跨應用橋接可能不屬於任何單一應用擁有者授權，也無法由單一應用稽核紀錄完整看見。
關鍵觀察：

• EvilTokens 在五週內入侵五個國家超過 340 個 Microsoft 365 組織。
• 攻擊者透過 OAuth 同意流程取得 refresh token，而非竊取或重放密碼。
• MFA 無法阻擋此類授權，因為使用者已在合法身分提供者完成驗證。
• 報導指出，EvilTokens 發出的 token 可在密碼重設後仍有效數週或數月。
• 多個 OAuth grant、AI Agent 或 SaaS 整合可能透過同一身分形成跨應用的 toxic combination。

 
威脅情資-260543
情資名稱：AI Agent 身分驗證與授權可信度不足事件
情資說明：
報導指出，自主型 AI Agent 已被部署於讀取信箱、執行程式碼、轉移資金、簽核合約與執行決策等場景，但多數系統在 AI Agent 對 API、資料庫、金融系統或其他 Agent 發起請求時，缺乏可靠機制驗證其身分、授權範圍、指令是否遭竄改，以及是否能即時撤銷存取。文章強調，AI Agent 已在企業邊界內運作，但現有身分、零信任、稽核與存取控制基礎架構並非為 AI Agent 設計，形成持續擴大的系統性信任缺口。
攻擊手法：
報導提及的風險手法包含 Agent 偽冒、指令注入、代理鏈中的授權範圍擴張，以及跨組織 Agent 互動缺乏共同信任框架。現代 AI 工作流程可能由多個 Agent 串接，一個 Agent 將任務委派給另一個 Agent，每次交接都可能成為偽冒、注入或權限擴張點。文章亦指出，Prompt Injection 可透過嵌入外部資料的惡意內容劫持 Agent 行為，且此類攻擊已在實際環境中出現。
風險說明：
AI Agent 驗證困難之處在於其行為具動態性，能力與動作可能隨脈絡、指令與模型變化而改變；部署時確認安全，並不代表一小時後仍維持相同狀態。報導指出，接收方通常無法確認 Agent 真實身分、授權內容、委派來源與是否遭竄改，也缺乏即時撤銷授權能力。這使得企業在 Agent 擴大部署時，可能無法判斷線上互動對象是否可信。
資安威脅：
企業若導入自主型 AI Agent，但未建立可信身分、執行期控制、授權稽核與撤銷機制，可能使 Agent 成為新的帳號濫用與存取濫用入口。報導指出，AI Agent 可跨 API、資料庫、金融系統、供應商、客戶與雲端基礎架構互動；若缺乏跨組織驗證標準與委派鏈稽核，企業將難以確認 Agent 是否依合法授權行動，或是否被惡意指令影響。
關鍵觀察：

• 報導指出，多數系統在 AI Agent 發起請求時，缺乏可靠機制驗證其身分與授權。
• AI Agent 行為會隨脈絡、指令與模型變化，使部署時驗證不足以代表持續安全。
• 多代理工作流程中的每次委派都可能成為偽冒、注入或授權範圍擴張點。
• Prompt Injection 被描述為可透過外部資料中的惡意內容劫持 Agent 行為。
• 報導指出，產業需要開放且可互通的 AI Agent 驗證標準，以支援身分、授權、委派與即時撤銷。