iThome 新聞
- Windows存在零時差漏洞MiniPlasma,攻擊者可取得SYSTEM權限 2026-05-18日前因對微軟漏洞通報流程不滿的研究人員Chaotic Eclipse(Nightmare-Eclipse),最近兩個月於微軟發布例行更新(Patch Tuesday)前後公開一系列零時差漏洞,其中於4月公開的多項Microsoft Defender漏洞後續傳出攻擊行動,上週末該研究員揭露新的漏洞,但與過往不同的是,此次揭露的漏洞早在多年前就已通報,卻未得到修補。周峻佑
- 駭客濫用Langflow漏洞與NATS訊息中介系統,竊取AI與雲端環境存取金鑰 2026-05-183月底揭露的圖像化大型語言模型(LLM)開發工具Langflow重大漏洞CVE-2026-33017,近日出現新一波攻擊活動,資安廠商Sysdig發布報告指出,駭客正利用這項漏洞結合訊息中介系統NATS,構成新型攻擊手法,竊取AWS雲端憑證張明德
- OpenClaw存在漏洞攻擊鏈Claw Chain,攻擊者可用於竄改組態並植入後門 2026-05-185月15日資安公司Cyera提出警告,他們4月底在開源AI代理整合平臺OpenClaw發現一系列資安漏洞,通報後獲得開發團隊確認並完成修補,由於這個月仍有超過6.5萬個OpenClaw執行個體尚未更新,而暴露在相關漏洞風險之中,有可能成為駭客鎖定的目標,他們呼籲用戶應儘速採取行動因應。周峻佑
- Nginx重大漏洞已被用於攻擊 2026-05-185月13日F5修補網頁伺服器Nginx資安漏洞CVE-2026-42945,此漏洞是在18年前引入,有可能造成伺服器服務中斷(DoS),在特定情況下攻擊者還能用於執行任意程式碼,CVSS v4.0風險為9.2分(滿分10分),如今有研究人員提出警告,他們已偵測到積極利用的現象。周峻佑
- Raindrop AI推出開放原始碼工具Workshop,支援AI代理本機除錯與評估 2026-05-18代理式AI逐漸進入程式開發流程,也讓AI代理的除錯、追蹤與評估成為新的開發課題。可觀測性新創業者Raindrop AI推出開放原始碼工具Workshop,定位為AI代理本機除錯與評估工具,可將AI代理執行過程中的追蹤記錄,即時串流到瀏覽器介面,協助開發者檢查AI代理執行過程中的大型語言模型呼叫、工具呼叫、決策過程,以及發生錯誤的原因。王珮瑤
- xAI推出Grok Build,加入AI程式代理工具戰局 2026-05-18xAI週四(5/14)宣布推出Grok Build早期測試版,這是一款專為專業開發者設計的AI程式代理工具,可於終端機中操作,協助處理複雜的程式開發工作。目前Grok Build率先開放給SuperGrok Heavy訂閱者使用,使用者可透過單一指令安裝,並以SuperGrok Heavy帳號登入。陳曉莉
- TeamPCP兜售近450個Mistral AI程式碼儲存庫 2026-05-18之前傳出AI公司Mistral AI的PyPI套件遭到入侵,駭客發布含有惡意程式碼的2.4.6版,此為蠕蟲Mini Shai-Hulud供應鏈攻擊的一部分,Mistral AI也發布資安公告,證實NPM與PyPI套件先後遭到入侵,指出該公司是周峻佑
- 新駭客基礎架構出現,加速裝置碼釣魚、竊取Microsoft 365權杖 2026-05-18資安業者Proofpoint發現近日出現新的攻擊基礎架構,可讓駭客更容易發動裝置碼釣魚(device code phishing)攻擊,進而竊取Microsoft 365或其他雲端帳號的存取權杖(Access Tokens)。林妍溱
- Yarbo割草機器人傳出重大安全漏洞,可能遭攻擊者遠端控制,用戶需立即升級新版韌體 2026-05-18受氣候變遷影響,草木生長較以往更為茂密,透過割草機器人協助清理庭院,一些擁有大型庭院或戶外空間的用戶已開始採用。當前的割草機器人已不僅是自動化割草機械,還進化為IoT裝置,能透過GPS、攝影機與網路進行遠端操作與管理,還能多臺機器人組成群組同時作業,但也和其他IoT裝置一樣,無法避免漏洞與網路威脅的影響。近日德國資安研究員Andreas Makris便在GitHub上發表報告, 揭露割草機器人廠商Yarbo,其機器人韌體存在重大安全問題,可能遭到遠端控制,甚至可能危及人身安全。張明德
- Dell SupportAssist服務引發Windows BSOD災情 2026-05-18近日Dell電腦新版的SupportAssist引發部份用戶裝置的藍色死亡螢幕(Blue Screen of Death,BSOD)災情,並使電腦陷入無限重開機循環。林妍溱