英偉達的研究表明,智能體人工智慧在攻擊下會失效2025.12.09人工智慧NVIDIA 和 Lakera AI 共同發布了一項全面的智能體 AI 安全與保障框架,旨在解決新型系統中模型、工具和資料互動產生的複雜風險。該框架引入了操作分類法、動態評估方法,並透過 AI-Q 研究助理進行案例研究,以支援業界實現大規模安全部署,同時釋出了超過一萬條攻擊與防禦運行軌蹟的資料集。
ChrimeraWire木馬偽造Chrome活動以操縱搜尋排名2025.12.09資訊安全新型Windows木馬程式ChrimeraWire透過隱藏的Chrome瀏覽器實例,模擬真實使用者活動,惡意操縱Google與Bing的搜尋引擎排名,旨在進行聯盟行銷或SEO操縱。
新版 JS#SMUGGLER 活動透過受感染網站投放 NetSupport RAT 惡意軟體2025.12.09資訊安全安全研究人員揭露JS#SMUGGLER惡意軟體活動,這是一種複雜的三階段網路攻擊,利用混淆的JavaScript和隱藏的HTA檔案,在Windows桌面上秘密安裝NetSupport RAT,以達成完全遠端控制和持久存取。
針對美國大學的長達數月的網路釣魚攻擊使用了超過70個域名2025.12.09資訊安全Infoblox報告揭露一場長達數月針對至少18所美國大學的網路釣魚活動,攻擊者利用開源工具Evilginx執行「中間人攻擊」(AiTM),成功竊取會話Cookie,繞過多因素身份驗證(MFA)並控制學生及教職員帳戶。
惡意 VSCode 擴充功能在微軟註冊表中投放資訊竊取程式2025.12.09資訊安全微軟Visual Studio Code Marketplace上發現兩個惡意擴充功能(Bitcoin Black與Codo AI),利用DLL劫持技術向開發者電腦植入資訊竊取程式,用於竊取憑證、加密錢包和瀏覽器會話。
PromptPwnd漏洞使AI驅動的建置系統面臨資料竊取風險2025.12.08人工智慧分析名為 PromptPwnd 的新型 AI 系統漏洞,探討其如何利用提示注入技術,在 GitHub Actions、GitLab CI/CD 等自動化流程中,導致 Gemini、Claude Code 和 OpenAI Codex 等 AI 代理被誘導執行惡意指令,造成數據竊取、安全金鑰外洩以及程式碼工作流程遭修改的嚴重風險,並提出實務層面的安全建議。
利用精心建構的電子郵件,零點擊代理瀏覽器攻擊可以刪除整個谷歌雲端硬碟2025.12.08人工智慧探討一種新型的「零點擊代理瀏覽器攻擊」,該攻擊專門針對 Perplexity Comet 等整合了大型語言模型(LLM)的自主 AI 瀏覽器。
新一波 VPN 登入嘗試的目標是 Palo Alto GlobalProtect 入口網站2025.12.08資訊安全GreyNoise警告,新一波VPN資安攻擊正鎖定Palo Alto GlobalProtect入口網站進行登入嘗試,並轉向SonicWall SonicOS API端點執行大規模掃描。