超過 10,000 個 Docker Hub 映像被發現洩漏憑證和驗證金鑰2025.12.11資訊安全揭露超過 10,000 個 Docker Hub 容器映像檔意外洩露生產憑證、CI/CD 數據和 4,000 個 AI 模型金鑰(如 OpenAI, Gemini)。了解機密硬編碼帶來的重大風險,以及企業應如何透過動態機密管理和主動掃描來確保容器化環境的安全。
端點安全英特爾和AMD處理器受PCIe漏洞影響2025.12.11工控安全解析影響 Intel 和 AMD 處理器的三個 PCI Express (PCIe) 規範級漏洞 (CVE-2025-9612, -9613, -9614),這些漏洞針對 PCIe 數據加密 (IDE) 標準,可能導致底層資訊外洩或權限提升。
如何使用共享訊號框架簡化零信任流程2025.12.10資安管理探討在數位化轉型浪潮中,企業如何運用共享訊號框架 (SSF) 及自動化工具,克服零信任架構實施時面臨的複雜性與工具互通性挑戰。透過詳解身份中心的安全模型、微分段技術,以及如何利用協作平台將非原生支援 SSF 的安全工具整合至持續存取評估 (CAEP) 流程中,本報告提供了一套簡化零信任部署、實現即時風險反應與提升整體安全防護的實務藍圖。
新的圖像簽名能夠經受裁剪,阻止深度偽造技術劫持信任2025.12.10資安管理探討在深度偽造日益猖獗的背景下,如何確保數位圖像的真實性。比薩大學研究人員提出了一種創新的數位簽名系統,使圖像即使經過常見的「裁剪」編輯,其數位認證仍能保持有效。該技術透過將簽名與圖像的特定區域連結,允許合法的裁剪操作,同時能有效偵測並防止內容竄改,從而提升新聞、證據與數位內容的可信度。
工業網路安全的新前線:應對 AI 驅動的毫秒級攻擊2025.12.10營運技術分析西門子首席網路安全長 Natalia Oropeza 關於工業網路安全未來趨勢的見解。核心內容涵蓋:如何從靜態防禦轉向適應性策略,應對 AI 驅動的毫秒級 OT 攻擊;對供應商實施 AI 特定認證(如 EU AI Act、ISO/IEC 42001)的必要性;強調 OT 事件回應與快速復原是工業企業必須內部化的最關鍵能力;以及透過「灰盒策略」培養攻擊者思維,以彌補 AI 開發團隊的認知多樣性。
Gemini AI 中新的 GeminiJack 0-Click 漏洞使用戶面臨資料外洩風險2025.12.10人工智慧分析網路安全公司 Noma Security 發現的「GeminiJack」零點擊漏洞。該漏洞利用了 Google Gemini Enterprise 和 Vertex AI 搜尋工具中存在的「架構缺陷」,透過將隱藏指令嵌入共享文件或日曆邀請中,實現對企業數據的間接提示注入攻擊。報告詳述了攻擊者如何無需用戶點擊即可秘密竊取機密文件、郵件和日曆記錄,以及資料外洩如何偽裝成正常的網路流量,並強調了企業在 AI 時代審查數據連接源的重要性。
Storm-0249 利用 ClickFix、PowerShell 和 DLL 側載入技術升級勒索軟體攻擊2025.12.10資訊安全探討威脅行為者 Storm-0249 的戰略升級,該組織正從單純的初始存取代理轉向採用更複雜的攻擊技術來執行勒索軟體攻擊。
勒索軟體團夥利用 Shanya EXE 打包器隱藏 EDR 殺手程序2025.12.10資訊安全分析新型惡意軟體打包即服務平台「Shanya」及其對勒索軟體攻擊的影響。Shanya 打包程式透過高度複雜的反分析技術(例如在無效情境中呼叫 RtlDeleteFunctionTable)來規避 EDR 解決方案的自動化偵測。