WebXR漏洞影響40億Chromium用戶,立即更新瀏覽器2025.12.05資安漏洞由於WebXR功能存在一個影響全球七成以上瀏覽器市場份額的嚴重漏洞(CVE-2025-12443),本文呼籲所有Chromium核心瀏覽器用戶立即更新至安全版本,以保護敏感資料。
調查顯示企業用戶遭受網路釣魚攻擊的可能性比遭受惡意軟體攻擊高 3 倍2025.12.05資訊安全SpyCloud最新數據顯示,針對企業用戶的網路釣魚攻擊成功率與數量急劇上升,成為入侵企業環境的首選途徑,員工遭受釣魚攻擊的風險是惡意軟體攻擊的三倍。本報告分析此趨勢與對企業的警示。
Predator間諜軟體利用新型感染途徑進行零點擊攻擊2025.12.05資訊安全報告揭示Intellexa的Predator間諜軟體使用名為「Aladdin」的零點擊感染機制,透過商業廣告系統鎖定特定IP目標並發動攻擊。本文強調此精密威脅的運作方式及用戶必須採取的防禦措施。
OpenAI 編碼代理程式中的漏洞可能使開發者更容易遭受攻擊2025.12.05資安漏洞OpenAI的Codex CLI中一個關鍵漏洞(CVE-2025-61260)已被修復。該漏洞允許攻擊者透過在程式碼儲存庫中植入惡意配置檔案,在開發者工作流程中觸發命令執行,構成隱蔽的供應鏈威脅。
React 和 Node.js 中存在最高嚴重性漏洞,已修復,請盡快更新2025.12.05資安漏洞React開發團隊已修復React伺服器元件(RSC)中的一個最高嚴重性漏洞(CVE-2025-55182),該漏洞允許未經身份驗證的攻擊者執行遠端程式碼,並廣泛影響Next.js、Waku等依賴框架。
強化人工智慧安全,建構代理互聯網缺失的層 (layers)2025.12.08人工智慧思科研究院提出在現有網路協定堆疊上增加「代理人通訊層」與「代理人語義協商層」兩個額外層,以解決大型語言模型代理程式在進行大規模互動時,缺乏結構化通訊與共識的問題,從而為「代理人網際網路」奠定可靠且安全的基礎架構。
PromptPwnd漏洞使AI驅動的建置系統面臨資料竊取風險2025.12.08人工智慧分析名為 PromptPwnd 的新型 AI 系統漏洞,探討其如何利用提示注入技術,在 GitHub Actions、GitLab CI/CD 等自動化流程中,導致 Gemini、Claude Code 和 OpenAI Codex 等 AI 代理被誘導執行惡意指令,造成數據竊取、安全金鑰外洩以及程式碼工作流程遭修改的嚴重風險,並提出實務層面的安全建議。
利用精心建構的電子郵件,零點擊代理瀏覽器攻擊可以刪除整個谷歌雲端硬碟2025.12.08人工智慧探討一種新型的「零點擊代理瀏覽器攻擊」,該攻擊專門針對 Perplexity Comet 等整合了大型語言模型(LLM)的自主 AI 瀏覽器。