CISA推出產業合作平台,旨在加速與業界在新興網路安全解決方案方面的合作2025.12.09組織治理美國網路安全與基礎設施安全局 (CISA) 推出產業合作平台 (IEP),旨在深化與業界在安全前沿技術上的溝通與合作。IEP 提供產業清晰透明的管道,分享技術簡介和能力概述,幫助 CISA 掌握市場趨勢並應對不斷演變的威脅,共同強化國家韌性。
英偉達的研究表明,智能體人工智慧在攻擊下會失效2025.12.09人工智慧NVIDIA 和 Lakera AI 共同發布了一項全面的智能體 AI 安全與保障框架,旨在解決新型系統中模型、工具和資料互動產生的複雜風險。該框架引入了操作分類法、動態評估方法,並透過 AI-Q 研究助理進行案例研究,以支援業界實現大規模安全部署,同時釋出了超過一萬條攻擊與防禦運行軌蹟的資料集。
ChrimeraWire木馬偽造Chrome活動以操縱搜尋排名2025.12.09資訊安全新型Windows木馬程式ChrimeraWire透過隱藏的Chrome瀏覽器實例,模擬真實使用者活動,惡意操縱Google與Bing的搜尋引擎排名,旨在進行聯盟行銷或SEO操縱。
新版 JS#SMUGGLER 活動透過受感染網站投放 NetSupport RAT 惡意軟體2025.12.09資訊安全安全研究人員揭露JS#SMUGGLER惡意軟體活動,這是一種複雜的三階段網路攻擊,利用混淆的JavaScript和隱藏的HTA檔案,在Windows桌面上秘密安裝NetSupport RAT,以達成完全遠端控制和持久存取。
針對美國大學的長達數月的網路釣魚攻擊使用了超過70個域名2025.12.09資訊安全Infoblox報告揭露一場長達數月針對至少18所美國大學的網路釣魚活動,攻擊者利用開源工具Evilginx執行「中間人攻擊」(AiTM),成功竊取會話Cookie,繞過多因素身份驗證(MFA)並控制學生及教職員帳戶。
惡意 VSCode 擴充功能在微軟註冊表中投放資訊竊取程式2025.12.09資訊安全微軟Visual Studio Code Marketplace上發現兩個惡意擴充功能(Bitcoin Black與Codo AI),利用DLL劫持技術向開發者電腦植入資訊竊取程式,用於竊取憑證、加密錢包和瀏覽器會話。
強化人工智慧安全,建構代理互聯網缺失的層 (layers)2025.12.08人工智慧思科研究院提出在現有網路協定堆疊上增加「代理人通訊層」與「代理人語義協商層」兩個額外層,以解決大型語言模型代理程式在進行大規模互動時,缺乏結構化通訊與共識的問題,從而為「代理人網際網路」奠定可靠且安全的基礎架構。
PromptPwnd漏洞使AI驅動的建置系統面臨資料竊取風險2025.12.08人工智慧分析名為 PromptPwnd 的新型 AI 系統漏洞,探討其如何利用提示注入技術,在 GitHub Actions、GitLab CI/CD 等自動化流程中,導致 Gemini、Claude Code 和 OpenAI Codex 等 AI 代理被誘導執行惡意指令,造成數據竊取、安全金鑰外洩以及程式碼工作流程遭修改的嚴重風險,並提出實務層面的安全建議。