根據2025年11月30日~12月06日間媒體報導資料，及台灣應用軟件每天發行的資訊安全日報， 整理出以下幾個資訊安全威脅情資，提供組織評估分析組織內部的管理、技術架構、系統設定維護等之參考。台灣應用軟件公司網頁上僅整理有限的風險情境資料，實作上風險情境分析，需要考慮更多的影響因素，讀者需要根據作業需要，選擇適切的風險評估方法：

威脅情資-251211
情資名稱：假冒的Calendly邀請虛假的知名品牌劫持廣告管理帳戶
情資說明：近期出現一波高度針對性的企業網路釣魚攻擊，攻擊者冒充知名企業（如 Unilever、Disney、LVMH、Uber、Mastercard 等）的 HR／業務代表，向特定員工發送「假冒的 Calendly 會議邀請」。受害者一旦點擊邀請連結，即被導向 偽造的 Calendly 登入畫面，後端由 AiTM（Adversary-in-the-Middle）反向代理伺服器攔截使用者輸入之帳密與 2FA 驗證後的 Session Cookie。進一步變種則整合 BitB（Browser-in-the-Browser）攻擊，在前端偽造彈出式 Google / Facebook OAuth 視窗，使受害者誤以為正在進行合法登入。
影響產品：使用 Google Workspace（企業郵件、雲端硬碟、雲端文件）。
風險評估：攻擊者攔截 Workspace / Ads Session，掌握郵件、文件、行銷資源與 SSO 連動的內部資料；風險等級：極高。
風險影響：一旦 Google Workspace session 被攔截，Gmail、Drive、Docs、Sheets、通訊紀錄等均被曝光，攻擊者可建立過濾規則、轉寄規則以持久化 。
應對措施：強制使用硬體安全金鑰（FIDO2 / YubiKey）取代 SMS / TOTP。

威脅情資-251212
情資名稱：瀏覽器擴充功能供應鏈遭長期滲透。
情資說明：一個名為 ShadyPanda 的威脅行為者，自至少七年前開始經營瀏覽器擴充生態，透過多款看似正常的 Chrome / Edge 擴充功能累積超過 430 萬次安裝。這些擴充最初為合法工具（例如清理工具、效率工具、主題／壁紙），並在 2024 年年中被悄悄植入惡意程式碼，僅此階段就又新增約 30 萬次安裝，且其中一款 Clean Master 曾被 Google 官方推薦與認證，極大放大了使用者對其的信任。
影響產品：各類 Web 應用與 SaaS（SSO、Webmail、CRM、ERP、財務系統等），以及電子商務平台與聯盟行銷生態（Affiliate Program、Tracking Network） 。
風險評估：擴充具完整瀏覽器訪問權，能讀取表單內容、cookies、瀏覽歷史、搜尋關鍵字與登入 session，造成使用者與企業的瀏覽與帳號資訊全面外洩；風險等級：極高。
風險影響：瀏覽器成為長期「內鬼」，全面掌握使用者與企業的 Web 行為。由於惡意擴充具有完整瀏覽器權限，實際效果接近安裝了一個持久性的 spyware：可記錄所有造訪 URL、搜尋查詢、點擊行為與 cookies。即使企業內網與系統本身防護良好，只要使用者透過受感染瀏覽器登入，就可能被被動監看與紀錄。 
應對措施：透過企業政策（GPO、Intune、Chrome Enterprise 等）禁止使用者任意安裝未授權擴充。。

威脅情資-251213
情資名稱：公開的 GitLab 程式碼庫洩漏了超過 17,000 個金鑰。
情資說明：安全工程師 Luke Marshall 使用 TruffleHog 掃描 GitLab Cloud 的 560 萬個公開程式碼庫後，發現超過 17,000 個暴露的金鑰（Secrets），分散於約 2,800 個不同網域，揭示開發社群在金鑰管理上的嚴重缺失。
影響產品：任何使用 GitLab / GitHub / Bitbucket 進行開發的環境，以及使用雲端平台（GCP / AWS / Azure）的企業
依賴 API Key 的應用程式 。
風險評估：暴露的 Token / Key 直接讓攻擊者登入雲端環境、資料庫、API，不需經驗證；風險等級：極高。
風險影響：GCP Service Account 金鑰與其他雲端憑證一旦外洩，攻擊者可繞過登入畫面與 MFA，直接使用 API 控制雲端資源，包括 VM、Container、Storage、Databases、CI/CD Pipeline 等。
應對措施：統一使用雲端 KMS、Vault 或 CSP 自帶的 Secret Manager（如 GCP Secret Manager）管理金鑰。。

威脅情資-251214
情資名稱：攻擊者不斷尋找欺騙人工智慧的新方法。
情資說明：AI 生態系統的快速演進，使得攻擊者的技術手冊與攻擊能力成長速度，已顯著超越當前可部署的安全基準。根據《國際人工智慧安全報告》，攻擊者僅需進行約 10 次嘗試，即可突破多層防護機制（Prompt Filtering、推理監控、後處理審查），成功率約達 50%。這種「低成本進攻、高成本防禦」的不對稱局勢，使得 AI 系統處於長期高風險狀態。。
影響產品：所有使用 LLM 的企業內部 AI 工具（客服、分析、協作平台），以及利用第三方開放權重模型建構的 AI 系統。
風險評估：對抗提示可誘導模型輸出敏感資料，模型供應鏈亦可能洩露訓練資料。
風險影響：模型可被欺騙並產生危險或違法內容，訓練資料投毒造成模型後門，形成難以偵測的長期威脅 。
應對措施：導入全生命週期 AI 安全（AI Security by Design），包含訓練階段、資料治理、模型監控、供應鏈驗證。