2026-04-21 資安新聞重點報告

1. Google AI開發工具Antigravity爆重大漏洞，恐繞過沙箱進而遠端執行指令
- 結論：研究人員揭露Antigravity存在可突破沙箱隔離的重大弱點，讓AI開發/代理工具的執行邊界與供應鏈風險再度升高。
- 關鍵事實：漏洞點名為「可繞過沙箱防護」；影響可能延伸至可被用於RCE（遠端執行指令）；由研究人員公開揭露並引發關注。
- 後續：修補與受影響範圍（版本/預設設定/雲端或本地）尚未明朗/待觀察。

2. 思科宣布將併購AI觀測平臺Galileo，強化AI代理監控能力
- 結論：思科以併購方式補齊AI可觀測性能力，目標是強化AI代理（agent）在企業環境的監控、治理與營運可用性。
- 關鍵事實：收購標的為AI觀測平臺Galileo；主軸是「強化AI代理監控能力」；屬企業級產品/平台整合方向的重大決策。
- 後續：交易金額、完成時程與產品整合路線尚未明朗/待觀察。

3. 微軟針對舊版Exchange與Skype for Business推出第二階段ESU，安全更新延至2026年10月
- 結論：微軟延長對已終止支援產品的付費安全更新窗口，降低尚未完成汰換的企業短期暴露風險。
- 關鍵事實：對象為舊版Exchange與Skype for Business；發布「第二階段ESU」；安全更新延長至2026年10月。
- 後續：企業是否採購ESU與最終遷移進度尚未明朗/待觀察。

4. 高下載量protobuf.js爆RCE漏洞，波及gRPC與Firebase套件
- 結論：供應鏈層級的JavaScript常用函式庫出現可導致RCE的漏洞，可能影響大量依賴其生態（含gRPC、Firebase相關套件）。
- 關鍵事實：漏洞類型為RCE；元件為高下載量protobuf.js；波及gRPC與Firebase套件生態。
- 後續：各套件修補版本、受影響版本範圍與利用情況尚未明朗/待觀察。

5. 資安日報：2025年網路犯罪造成美國損失逾200億美元
- 結論：彙整型報導指出美國因網路犯罪造成的年度損失金額巨大，凸顯資安事件的經濟衝擊仍在擴大。
- 關鍵事實：時間點為2025年；損失逾200億美元；屬資安趨勢與統計性揭示。
- 後續：統計來源口徑與分類細節、後續政策或產業因應尚未明朗/待觀察。

6. 別把個資丟給AI：中國Kimi傳隱私洩漏疑慮，提問竟回傳他人履歷電話
- 結論：疑似資料隔離/存取控管問題引發個資外洩疑慮，顯示生成式AI服務在個資處理與回應機制仍具風險。
- 關鍵事實：事件涉及Kimi；用戶提問得到他人履歷與電話等個資；報導聚焦於隱私洩漏疑慮。
- 後續：平台調查結果、是否屬系統性漏洞或個案尚未明朗/待觀察。

7. nginx-ui漏洞敲出MCP系統性盲點：AI整合繼承權限、卻不繼承防護
- 結論：報導以漏洞案例指出AI/自動化整合在權限繼承與防護機制落差，可能形成新的攻擊面。
- 關鍵事實：焦點為nginx-ui漏洞；討論MCP整合情境的「系統性盲點」；核心問題是權限擴大但缺乏對等防護。
- 後續：MCP相關安全最佳實務與產品端防護落地情況尚未明朗/待觀察。

8. Vercel安全事件：說明發生內容、影響範圍與後續處置
- 結論：Vercel對安全事件進行說明並提供後續建議，重點在釐清誰受影響與接下來的補救行動。
- 關鍵事實：事件主體為Vercel；內容涵蓋「發生了什麼、誰受影響、接下來怎麼做」；屬事件通報/復原指引性質。
- 後續：最終調查報告、根因與長期補強措施尚未明朗/待觀察。

9. 健保署：不讓中配涉機敏職務，以防全民就醫資料外流
- 結論：主管機關表態將限制特定身分人員涉入機敏職務，以降低醫療/就醫資料外洩風險。
- 關鍵事實：主體為健保署；核心是「防就醫資料外流」；措施方向為不讓中配涉機敏職務。
- 後續：具體適用職務範圍、法源依據與執行細則尚未明朗/待觀察。

10. 女員工偷查同事個資，和美農會主動揪出並送法辦
- 結論：內部人員濫用查詢權限導致個資侵害，機構主動稽核發現後移送法辦。
- 關鍵事實：涉事為女員工；行為為偷查同事個資；單位主動揪出並送法辦。
- 後續：司法處理結果與內控改善措施尚未明朗/待觀察。

11. 看好ePBF執行期防護與韌體分析市場，義大利商Exein設亞太營運中心
- 結論：資安廠商以區域據點擴張方式搶攻eBPF與韌體安全相關市場，顯示終端/執行期防護需求升溫。
- 關鍵事實：公司為Exein；領域聚焦eBPF執行期防護與韌體分析；在臺設立亞太營運中心。
- 後續：在地合作夥伴、產品落地與客戶導入進度尚未明朗/待觀察。

12. 中華汽車導入Mammoth企業級瀏覽器，保護機敏應用與數據
- 結論：企業以「企業瀏覽器」作為資料與應用存取控管的一環，提升對機敏系統的保護能力。
- 關鍵事實：導入方為中華汽車；工具為Mammoth企業級瀏覽器；目的為保護機敏應用與數據。
- 後續：導入範圍（全員/特定部門）與實際成效指標尚未明朗/待觀察。

13. 杜拜本土獨角獸企業領導人：杜拜是塑造未來科技與推動數位經濟的全球創新中心
- 結論：報導以企業領導人觀點強調杜拜在科技創新與數位經濟的定位與吸引力。
- 關鍵事實：主體為杜拜本土獨角獸企業領導人；論點聚焦「全球創新中心」；方向為未來科技與數位經濟。
- 後續：相關投資、政策配套或具體落地專案尚未明朗/待觀察。

14. 2026職場：心理安全感缺口擴大，企業正付出看不見的成本
- 結論：報導指出員工心理安全感不足可能削弱留才與組織效能，且加薪未必能完全解決。
- 關鍵事實：主題為心理安全感；指稱缺口擴大；強調企業承擔隱性成本。
- 後續：對應管理措施與量化成效尚未明朗/待觀察。

15. 南投「網路e櫃檯」數位轉型有成，打造全天候便民平台
- 結論：地方政府推動線上服務平台，提升洽公便利性與服務可近性。
- 關鍵事實：地點為南投；平台為「網路e櫃檯」；主打全天候便民。
- 後續：服務項目擴充與使用率成長尚未明朗/待觀察。

16. 【5/9確定開班】CCNA國際認證班
- 結論：教育訓練資訊公告，提供網路技術認證課程。
- 關鍵事實：課程為CCNA；開班日期5/9；屬招生/培訓訊息。
- 後續：報名人數與後續梯次尚未明朗/待觀察。

17. 致敬傳奇：庫克卸任蘋果執行長，Sam Altman與Palmer Luckey發文致意
- 結論：科技界人物更迭引發業界關注，多位知名人士公開致意。
- 關鍵事實：庫克卸任蘋果執行長；Sam Altman與Palmer Luckey發文；屬高知名度企業領導人變動。
- 後續：接任者、交接時間表與策略延續性尚未明朗/待觀察。

18. 穩固農業金融資安防線：全國農業金庫蟬聯四年F-ISAC情資分享卓越肯定
- 結論：該機構在金融情資分享與資安協作獲持續肯定，反映其參與聯防機制的成熟度。
- 關鍵事實：單位為全國農業金庫；連續四年；獲F-ISAC情資分享卓越肯定。
- 後續：情資分享成果對防禦成效的量化指標尚未明朗/待觀察。

19. AI代理工具資安隱憂：Google漏洞與OpenAI數據收集惹議
- 結論：彙整型報導聚焦AI代理工具的兩大風險面向：工具漏洞與資料治理/收集爭議。
- 關鍵事實：提及Google相關漏洞；同時提到OpenAI數據收集爭議；主軸為AI代理資安隱憂。
- 後續：各家平台修補、政策調整與外部稽核透明度尚未明朗/待觀察。