2026-03-18

現代化雲端環境極度複雜，需要一套新的風險管理方法，為企業專案提供全方位檢視，可精準、快速判斷雲端風險的優先次序、將風險情境化，並且矯正風險而設計。藉由將多個雲端專案集中檢視，可確保企業有效發掘及防範資安風險。

2026-02-12

全球排名前10,000個網站當中有超過40%都採用React框架，因此React已成為企業應用程式、電子商務平台以及營運關鍵業務系統的骨幹。Facebook的資安團隊在2025年12月3日揭露了CVE-2025-55182這個影響React Server Components的認證前遠端程式碼執行漏洞。

2026-01-15

轉型到雲端原生應用程式保護平台（CNAPP）並非一蹴可幾，但越來越多組織正將CNAPP視為強化雲端安全的關鍵策略，並積極採取行動。本文將闡述企業加速轉型的原因，並提供一份易懂的指引，協助企業快速評估自身CNAPP成熟度所處的階段。

2025-12-10

新版本的Vidar Stealer 2.0從原本的C++改成只用C語言全部重寫，據稱效能和效率都獲得提升。此版本的推出正值Lumma Stealer相關活動衰退之際，這似乎意味著它旗下的駭客集團正在探索Vidar和StealC等作為替代方案。

2025-11-04

Salesloft-Drift的資料外洩事件呈現了AI工具之間的高度連動性，如何在整個商業生態系中產生連鎖漏洞。這次的攻擊並非駭客強行突破防線或利用高超技術滲透，而是因為他們取得一把「通往內部信任系統」的鑰匙——被深度整合在企業營運中的AI Agent。

2025-10-22

資安事件分析報告提供了對於特定漏洞（已被或可能被利用的漏洞）、惡意程式傳遞機制以及規避技術的全面洞察，雖然這種透明度對於資安社群來說至關重要，能幫助企業組織建立更有效的防禦措施，但同時也逐漸成為一把雙面刃。

2025-09-24

AI有助於網路防禦方以全新的方式搶先對抗敵人，透過提升可視性與加快回應速度，在威脅被利用前即主動化解風險並補強資安缺口。然而，AI也帶來更高的風險。AI已經成為駭客主要的目標，也正被駭客利用於越來越多的用途，發動更大規模、更精密的攻擊。

2025-07-17

最近新的社交工程攻擊行動是利用TikTok龐大的使用者社群來散布Vidar和StealC資訊竊取惡意程式。有別於那些假冒CAPTCHA真人驗證網頁然後擷取剪貼簿內容來誘騙使用者執行惡意腳本的假CAPTCHA攻擊行動，這起新的攻擊行動利用了TikTok的熱門度以及廣為流傳的特性。

2025-06-25

近期趨勢科技在監控進階持續性滲透威脅（APT）時，發現了一起瞄準台灣和日本的攻擊行動，應該是由Earth Kasha所發動。在2025年3月偵測到這起行動，發現它使用魚叉式網路釣魚手法來散布新版的ANEL後門程式。

2025-05-20

思路鏈（CoT）推理方式鼓勵模型先透過一系列的思考步驟來尋找答案，然後再做出最終回應。DeepSeek-R1的一項特點就是會公開其CoT推理過程。在針對擁有6,710億參數的DeepSeek-R1進行一系列提示攻擊測試之後發現，其CoT資訊可被用來大幅提高攻擊成功率。

2025-04-28

網路資安情勢正在快速演變，而延伸式偵測及回應（XDR）正處於轉型的最前線。傳統上，資安營運中心已具備SIEM與SOAR工具。然而，XDR有望透過將功能整合至單一平台來重塑這些市場。這樣的演進不僅是一種技術轉變，更是一種策略性的調整。

2025-03-27

破解版軟體安裝程式會如何在你的裝置植入惡意程式？根據研究顯示，駭客會利用YouTube這類平台，再配合人們信任的檔案代管服務來散播假的軟體安裝程式，並使用加密來躲避偵測，竊取敏感的瀏覽器資料。

2025-02-26

「不受控制的AI」指的是那些行為不符合其創造者、使用者或人類整體利益的人工智慧系統。不受控制的AI是一項全新風險，這類AI會在違背其設計目標的情況下使用資源，而AI是如何變壞的呢？評估AI是否走在正軌上的最佳方式，就是單純地觀察AI的行為。

2025-01-08

本篇文章將探討目前業界在AI風險評估方面所做的努力。雖然目前已經有一些不錯的研究成果，但人們卻仍忽略了應該將因果關係與攻擊情境做連結的重要環節。

2024-12-31

代理式AI將成為一種能根據目標自己解決問題的技術，帶領人類進一步邁向AI的理想境界，只不過進步也會帶來風險。代理式AI之所以強大，在於它複合了多種AI系統，但這種複合式AI的每一個元件都有可能包含讓它變成不受控AI的弱點，因此必須思考如何防範。

2024-11-19

不論是一般網路駭客或國家級駭客集團都看準了IoT裝置安全性有限、卻又日益連網的情況。駭客正利用所謂的Operational Relay Box（ORB）網路以及不死殭屍網路進行一場持續的典範轉移，其影響就如同近年來駭客的攻擊工具、手法與程序（TTP）紛紛移轉至就地取材（LOTL）攻擊一樣。

2024-10-14

本文將逐一檢視駭客突破防線進入企業最重要的七種攻擊管道來協助資安長（CISO）與資安領導人強化企業的攻擊面管理策略並降低資安風險，這些攻擊管道包括電子郵件、網站與網頁應用程式、漏洞、裝置、跳島攻擊、內賊威脅、雲端。

2024-09-26

「開放全球應用程式安全計畫」（OWASP）的十大風險清單一直是企業改善軟體安全最具指標性的一份參考資料。2023年，OWASP又增加了一份專門針對AI的風險清單。AI風險清單分別在該年的春季和夏季發布了兩個草稿版本，而第一份正式版也在當年的10月發布。

2024-08-27

資安團隊正面臨許多迫切的挑戰，例如警報通知疲勞轟炸。此問題的核心來自於威脅偵測及回應解決方案零散、不連貫且缺乏效率。許多資安人員會採用一套SIEM將分散於各種資安工具的記錄檔與警報通知蒐集在一起，然而這樣的做法仍存在著問題。

2024-07-11

根據最近一份有關網路資安風險的研究指出，有高達半數的新加坡受訪者承認其數位攻擊面正在「逐漸失控」，他們隨時處於救火狀態，無法好好完成自己分內的工作。這些趨勢突顯出企業有必要改變其網路資安方法，也就是：簡化資安堆疊讓資安變得更加流暢。