iThome 新聞
- CISA暴露的GitHub儲存庫公開844 MB機密資料 2026-05-21美國網路安全暨基礎設施安全局(CISA)上週被發現在GitHub不慎公開一個原應設為限制私有的儲存庫Private-CISA,導致大量機密資料暴露,由於內容含有AWS GovCloud政府雲端服務帳號,以及CISA內部系統憑證,相當危險,而可能成為近期美國政府最嚴重的資料外洩事故,此事經知名資安部落格Krebs On Security報導後,引起外界關注,周峻佑
- 資安署擴大資安長共識營規模,首度邀集五院建立資安治理共識 2026-05-21面對日益嚴峻的資安挑戰,建立跨機關的資安治理共識已成為國家韌性的關鍵。數位發展部資通安全署近日擴大舉辦「115年度政府機關資安長共識營」,今年最大不同點在於,資安署顯著擴大了參與規模,首度邀請總統府、國安會及立、司、考、監五院資安長共同參與,有別於去年活動對象主要聚焦於行政院所屬機關及地方政府。其用意顯然是為了強化國家資安聯防,使防禦體系從原本的行政體系延伸至全政府層次,藉此化解各機關之間的資安認知落差。羅正漢
- Hitachi Vantara修補Pentaho資料整合與分析平臺重大漏洞,未更新可能導致遠端執行程式碼攻擊 2026-05-21Hitachi Vantara近日發布資安公告,修補旗下Pentaho Data Integration & Analytics產品的第三方元件重大漏洞,建議用戶張明德
- Drupal修補重大SQL注入資安漏洞,並破例為已停止支援版本發布更新 2026-05-215月20日內容管理系統Drupal開發團隊發布資安公告,修補資安漏洞CVE-2026-9082,此為SQL注入類型的弱點,存在於Drupal Core的特定資料庫抽象API,該API的主要功能是清理資料庫所執行的查詢語句,防範SQL注入攻擊。周峻佑
- Mini Shai-Hulud供應鏈攻擊波及GitHub,近3800個內部儲存庫遭外洩 2026-05-21GitHub週三(5/20)指出,其內部近3,800個原始碼儲存庫遭到未授權存取,起因是一名員工裝置安裝了惡意的VS Code擴充套件。雖然GitHub並未揭露細節,但外界猜測這是駭客組織TeamPCP針對JavaScript開源工具集TanStack發動供應鏈攻擊的連鎖效應,攻擊沿著開發者工具鏈逐步滲透,最終進入GitHub內部。陳曉莉
- 先進AI模型處理長流程文件任務仍不可靠,內容遭改寫更難察覺 2026-05-21隨著AI代理,以及vibe coding等應用逐漸普及,企業開始嘗試把文件整理、格式轉換、資料拆分與程式開發等知識工作交給大型語言模型(LLM)處理。不過,微軟研究院(Microsoft Research)發表論文《LLMs Corrupt Your Documents When You Delegate》,指出現階段LLM在長流程委派式工作中,仍難以維持內容的完整性與準確性。王珮瑤
- Anthropic悄悄修補Claude Code 2個沙箱繞過漏洞,研究人員批評陷用戶於風險中 2026-05-21Anthropic Claude Code是許多開發團隊愛用的AI助理工具,但研究人員發現,Anthropic去年10月以來在5個月內悄悄修補了Claude Code兩個沙箱繞過漏洞,卻未曾以公告或任何方式發出提醒,置廣大開發商及企業用戶於攻擊風險中。林妍溱
- 為了推廣Azure Arc混合雲管理架構,微軟開放部分版本Windows Server 2025用戶使用熱修補功能 2026-05-21微軟近日宣布,正式開放部分版本Windows Server 2025用戶啟用熱修補(Hotpatch)功能,讓企業可在伺服器系統不需重新啟動的情況下,就能安裝更新程式,減少因此導致服務中斷的頻率與時間。張明德
- 資安公司警告研究員Chaotic Eclipse公布的零時差漏洞已能串成攻擊鏈 2026-05-21研究人員Chaotic Eclipse先後公布多個零時差漏洞,包括BlueHammer(CVE-2026-33825)、RedSun、UnDefend、YellowKey(CVE-2026-45585)、GreenPlasma,目前微軟僅修補BlueHammer,並公布YellowKey的緩解措施,但有資安公司警告,透過上述漏洞已可建立完整的攻擊流程。周峻佑
- 微軟個人帳號將開始停用簡訊傳送驗證碼 2026-05-21微軟宣布將開始停用以簡訊作為Windows 11上個人版微軟帳號的驗證及帳號回復,要求用戶改用通行密鑰等無密碼驗證方式。林妍溱