iThome 新聞
- 歐洲高鐵業者Eurostar AI客服曝4弱點,護欄繞過衍生提示注入與自跨站腳本風險 2025-12-31歐洲高速鐵路營運商Eurostar官網的AI客服,被英國資安公司Pen Test Partners揭露曾存在四項安全缺陷,包含護欄機制可被繞過、提示注入導致系統提示等資訊外洩、回覆內容可被誘導輸出非預期HTML而引發自跨站腳本(Self XSS)風險,以及對話與訊息識別碼驗證不足。李建興
- 【資安日報】12月30日,React2Shell漏洞利用活動肆虐,近6萬臺Next.js應用程式伺服器被入侵 2025-12-30攻擊行動Operation PCPcat鎖定Next.js應用程式而來,近6萬臺伺服器被入侵周峻佑
- 中國駭客組織Evasive Panda透過AiTM網釣與DNS中毒,對土耳其、中國、印度散布惡意軟體 2025-12-30中國駭客組織Daggerfly(別名Evasive Panda或StormBamboo)去年曾對臺灣發動攻擊,現在又傳出新一波活動,引起外界關注。周峻佑
- 攻擊行動Operation PCPcat鎖定Next.js應用程式而來,近6萬臺伺服器被入侵 2025-12-3012月初React開發工程團隊揭露及修補重大資安漏洞CVE-2025-55182(React2Shell),此為發生在React Server Components(RSC)元件的漏洞,在公布數小時後就傳出遭到利用,近期有資安公司發現新一波大規模攻擊,並指出駭客成功的機率相當高。周峻佑
- 三星手機Bixby助理可能將整合Perplexity AI 2025-12-30三星近年已經用Gemini取代自己的手機助理Bixby,不過最近釋出的軟體測試版顯示,三星可能引進Perplexity AI來強化Bixby。林妍溱
- Airoha藍牙音訊晶片曝三漏洞,可能讓攻擊者控制耳機並冒充連上手機 2025-12-30資安研究人員Dennis Heinze與Frieder Steinmetz公開Airoha藍牙音訊系統單晶片相關研究的完整技術細節,指出多款採用Airoha SoC的藍牙耳機與真無線耳機,可能因三項漏洞被攻擊者在藍牙距離內濫用,不只可能影響耳機本身,還可能在特定條件下進一步冒充耳機與使用者手機建立受信任連線,衍生出竊聽與通話操控等風險。李建興
- 金管會揭露未來4年金融業資安韌性發展藍圖,鼓勵資安左納入軟體安全設計、研擬金融業AI系統安防指引、加強導入零信任架構 2025-12-30金管會持續加強金融業資安管理,從2020年首次發布金融資安行動方案1.0開始,2022年發布行動方案2.0在今年底到期後,金管會今天(12/30)發布「金融資安韌性發展藍圖」,描繪我國金融業未來4年強化資安治理發展方向,例如鼓勵業者資安左移,將安全納入設計,並將研擬金融業AI系統安防指引,加速導入零信任架構等等。蘇文彬
- Chrome擴充套件Trust Wallet 2.68遭植入惡意程式碼,用戶約7百萬美元資產遭到洗劫 2025-12-30加密貨幣錢包服務Trust Wallet在12月26日在X發出警示,指出Chrome瀏覽器擴充套件2.68版涉及安全事件,要求使用者立即停用並升級至2.69版,同時強調僅使用行動版應用程式及其他擴充套件版本不受影響。社群隨後陸續出現回報,稱在使用該擴充套件操作後出現未授權轉出,資產在短時間內被清空。李建興
- 3,370萬用戶資料外洩 酷澎將賠償11.7億美元 2025-12-30針對12月初的3,370萬用戶資料外洩事件,韓國最大電商平臺酷澎(Coupang)本周一宣布,將對受影響的用戶以購物券形式賠償,總價達1.685兆韓圓(約11.7億美元,368億臺幣)。酷澎並報告本案調查進度。林妍溱
- 中國數位人民幣將在2026年邁向存款貨幣 2025-12-30中國人民銀行副行長陸磊於中國金融時報上指出,2026年1月1日將實施新一代數位人民幣(e-CNY)的政策,數位人民幣將由現金型1.0版,升級為存款貨幣型2.0版。這次調整並非改變民眾的支付方式,而是重新界定數位人民幣在金融體系中的制度角色。 在新制度下,部分數位人民幣將在銀行體系內以帳戶方式管理,具備商業銀行負債屬性,並可依法計付利息、納入準備金與存款保險體系。這代表數位人民幣在制度上不再僅是電子形式的現金,而是在特定情況下,開始接近銀行存款的管理邏輯,被視為數位人民幣邁入2.0階段的關鍵變化。陳曉莉