iThome 新聞
- Anthropic Claude Desktop、Google Chrome疑未經告知、許可,悄悄在用戶裝置安裝檔案 2026-05-07研究人員先後發現Anthropic Claude桌機版及Google Chrome在用戶電腦上安裝檔案,未經事先告知、詢問,也未提供退出選項。林妍溱
- Node.js沙箱函式庫vm2再爆重大逃逸漏洞 2026-05-07Node.js沙箱函式庫vm2出現重大沙箱逃逸漏洞CVE-2026-26956,受影響版本為3.10.4,修補版本為3.10.5。GitHub安全公告顯示,該漏洞嚴重性等級為重大,CVSS v3.1分數為9.8,攻擊者若能將經過特殊設計的程式碼交由VM.run()執行,就可能跳出沙箱,並在主機端執行命令。PoC片段與poc.js檔案現已於GitHub公開,建議使用者升級至vm2 3.10.5或更新版本。李建興
- Arm財報創新高,押注AGI CPU擴大雲端市占 2026-05-07英國晶片設計公司Arm週三(5/6)公布截至3月31日的2026財年第四季財報,該季Arm創下14.9億美元的營收,成長20%。該季Arm淨收入為3.13億美元,每股盈餘0.29美元,高於去年同期的0.2美元。當天Arm股價上漲了13.63%,以237.3美元作收。 在14.9億美元的營收中,有8.2億美元來自於授權費,成長了29%,另外的6.7億美元為權利金,成長11%。陳曉莉
- 北韓駭客ScarCruft利用安卓惡意軟體BirdCall攻擊中國境內的脫北者 2026-05-07北韓駭客ScarCruft(APT37)的攻擊目標,大部分集中在韓國,並關注政府機關與軍事單位,以及與北韓利益有關的企業組織。最近新一波攻擊行動引起研究人員的注意,因為這些駭客在中國特定地區發起攻擊行動,目標就是逃離北韓的難民與脫北者。周峻佑
- 思科網路管理平臺存在阻斷服務漏洞,IT人員需手動重開機才能恢復運作 2026-05-075月6日思科發布資安公告,指出旗下的Crosswork Network Controller(CNC)與Network Services Orchestrator(NSO)平臺存在資安漏洞CVE-2026-20188,一旦遭到利用,攻擊者可在未經身分驗證的情況下,造成CNC與NSO出現服務中斷(DoS)的現象,CVSS風險評為7.5分,危險程度屬高風險等級。周峻佑
- 惡意OpenClaw技能套件被用於散布Remcos與GhostLoader 2026-05-07自今年初開始開源AI代理OpenClaw(曾名Clawdbot和Moltbot)爆紅,「養龍蝦」成為顯學,駭客也鎖定這波風潮,假冒提供技能擴充套件(Skill)的名義,向這些使用者散布惡意軟體。周峻佑
- Anthropic與SpaceX達成算力合作,提高Claude Code與API使用上限 2026-05-07Anthropic週三(5/6)宣布,已與SpaceX達成合作協議,將使用其Colossus 1資料中心的全部算力容量,並將因此放寬Claude Code與Claude API的使用限制。陳曉莉
- 微軟Phone Link應用程式被濫用,惡意軟體CloudZ竊取手機簡訊與OTP 2026-05-07論及手機與電腦之間的互通有無,許多人會想到蘋果強大的生態系,使用者能直接在Mac電腦接聽iPhone的電話,或是使用AirDrop快速分享照片與檔案,不過,微軟也在Windows作業系統導入「手機連結(Phone Link)」應用程式,以提供類似的功能,如今有人盯上這類機制,透過惡意軟體竊取機敏資料。周峻佑
- 劍橋研究指出逾8成金融業者已導入AI,監管機關最擔心資料隱私與AI幻覺風險 2026-05-07劍橋大學賈吉商學院(Cambridge Judge Business School)發布全球金融業AI研究王珮瑤
- 臺灣有74%企業為了轉型而用AI,卻有半數難辨威脅 2026-05-07針對臺灣企業導入AI的現況,資安業者趨勢科技示警,指出國內有相當多企業在追求導入AI速度之際,已經呈現出容易忽略風險控管的現況。 該公司表示,根據旗下企業資安事業群(TrendAI)調查報告TrendAI 2026 global AI study顯示,有74%的臺灣企業迫於高層或市場壓力,核准了可能帶來資安風險的AI方案,這當中卻只有不到一半的企業認為,其內部團隊能辨識惡意或異常的AI行為。 此狀況突顯一種內部風險,臺灣企業在提升競爭力與AI轉型的同時,儘管部分企業試圖建立安全配套,但有半數以上的風險控管能力已成為被忽略的一環。羅正漢