CSA SaaS Security Capability Framework (SSCF)框架探討與解析2025.09.29法規標準SaaS Security Capability Framework (SSCF) 由 Cloud Security Alliance 發布,提供標準化的 SaaS 安全控制,涵蓋配置管理、資料安全與隱私、身份與存取管理 (IAM)、互通性、日誌監控及事件鑑識。SSCF 協助企業強化 SaaS 應用安全、降低第三方風險,並支援合規與數位轉型需求。
從Top 25 MCP漏洞,探討MCP漏洞防護策略2025.09.29人工智慧本篇深度研究報告全面解析 Model Context Protocol(MCP)架構中的 25 項重大安全漏洞,涵蓋提示注入、工具濫用、網路暴露、信任模型錯誤等風險,並提出完整的防禦策略與架構設計建議。適用於 AI 工具開發者、資安專家、企業技術長與政策制定者,協助建立可信任的 AI 工具整合環境。
2025年9月第四週 資訊安全威脅情資2025.09.29資安風險本週彙整五大近期資安事件,包括 EDR-Freeze 利用 WER 凍結防毒軟體、GitHub 偽造倉庫散布 Atomic Stealer、Microsoft Entra ID 漏洞導致租戶劫持、MCP 漏洞揭露 AI Agent 被濫用風險,以及 ShadowV2 僵屍網路攻擊雲端容器。每則事件皆依 CIA 模型進行風險分析,並提供具體的防護建議與治理策略,協助企業強化資安韌性與供應鏈防禦能力。
CSA 推出 SaaS 安全控制框架以降低複雜性2025.09.26法規標準雲端安全聯盟發布新的SaaS安全控制框架(SSCF),旨在協助SaaS客戶自信地駕馭共享責任模式,標準化SaaS平台中面向客戶的安全控制,從而大大減輕配置負擔並降低風險。
微軟警告稱,新的 XCSSET macOS 惡意軟體變種將針對 Xcode 開發者2025.09.26資訊安全微軟威脅情報部門警告,已偵測到針對macOS開發人員的XCSSET惡意軟體新變種,該變種具有增強的瀏覽器攻擊目標、剪貼簿劫持和改進的持久性機制,對開發環境構成嚴重威脅。
中國根據國家網信辦新規要求網路安全事件通報時間提早一小時2025.09.26法規標準中國國家網路資訊辦公室(CAC)建立新的監管制度,要求企業在發生重大網路安全事件時,必須在2025年11月1日生效的法規下,於一小時內完成初步通報,旨在加強國家網路安全防禦並與國際規範接軌。
越南駭客利用虛假版權聲明傳播 Lone None 竊取軟體2025.09.26資訊安全網路安全研究公司Cofense Intelligence追蹤到越南駭客組織Lone None的詐騙活動,該組織利用冒充律師事務所的虛假版權通知,透過DLL側載技術部署「Lone None Stealer」惡意軟體,竊取用戶密碼、信用卡和加密貨幣。
非官方 Postmark MCP npm 悄悄竊取使用者電子郵件2025.09.26軟體工程一個複製GitHub上官方Postmark MCP專案的惡意npm套件,在更新至1.0.16版後,被植入單行程式碼,靜默竊取並轉發約1,500名使用者的所有電子郵件通訊,暴露了AI與MCP環境的高風險性。