2026-05-18 資安新聞重點報告

1. G7發布「AI軟體物料清單（AI SBOM）」最低元素指引
- 結論：G7網路安全工作小組提出AI SBOM最小揭露項目，推動供應鏈透明化與可稽核。
- 關鍵事實：發布「最低元素」清單／聚焦AI系統元件、模型與相依關係的可追溯／由G7網安工作小組對外公布。
- 後續：各國是否採納為採購或合規要求，尚未明朗/待觀察。

2. 微軟揭露Exchange Server重大漏洞（CVSS 8.1）且已見攻擊利用
- 結論：Exchange Server出現高風險弱點，微軟指出已觀察到實際漏洞利用，組織需加速修補。
- 關鍵事實：重大等級8.1分／產品為Exchange Server／已偵測到利用活動。
- 後續：攻擊規模、受害面與IoC擴散情形，尚未明朗/待觀察。

3. NGINX曝「潛伏18年」漏洞：可在無需認證下達成RCE
- 結論：長期存在的NGINX弱點被揭露，攻擊者可能在未驗證情況下遠端執行程式碼，需儘速盤點與更新。
- 關鍵事實：漏洞被描述為存在18年／無需認證即可利用／影響可達遠端程式碼執行。
- 後續：受影響版本範圍與修補落地進度，尚未明朗/待觀察。

4. Akamai以2.05億美元收購LayerX，強化AI與瀏覽器安全
- 結論：Akamai透過收購擴充瀏覽器端與AI相關防護能力，屬重大資安企業併購決策。
- 關鍵事實：收購金額2.05億美元／標的LayerX／主軸為AI與瀏覽器安全強化。
- 後續：整合時程、產品路線圖與客戶遷移策略，尚未明朗/待觀察。

5. Grafana Labs存取權杖外洩：GitHub程式碼庫遭竊並被勒索
- 結論：Grafana Labs因存取權杖外洩導致原始碼庫被入侵、資料遭竊並面臨勒索，凸顯憑證管理風險。
- 關鍵事實：外洩的是存取權杖／入侵目標為GitHub程式碼庫／事件後續出現勒索。
- 後續：外洩範圍、是否影響發行版本與供應鏈風險評估，尚未明朗/待觀察。

6. 駭客濫用Langflow漏洞與NATS，竊取AI與雲端環境存取金鑰
- 結論：攻擊者結合Langflow漏洞與NATS訊息中介濫用，目標轉向竊取金鑰以擴大雲端與AI環境存取。
- 關鍵事實：利用Langflow漏洞／搭配NATS訊息中介系統／竊取AI與雲端環境存取金鑰。
- 後續：受害產業分布與防護建議是否更新，尚未明朗/待觀察。

7. Tycoon 2FA被用於裝置驗證碼網釣，搭配Trustifi追蹤器挾持M365帳號
- 結論：新型釣魚鏈結合2FA驗證碼誘騙與追蹤器回傳，鎖定Microsoft 365帳號接管。
- 關鍵事實：手法指向裝置驗證碼/Device Code phishing／使用Tycoon 2FA相關工具鏈／搭配Trustifi追蹤器以挾持M365帳號。
- 後續：受害規模與微軟/資安廠商的阻斷措施成效，尚未明朗/待觀察。

8. 台灣資安廠商DEVCORE於柏林Pwn2Own奪冠
- 結論：DEVCORE在國際漏洞競賽Pwn2Own柏林站取得冠軍，顯示研究與攻防技術成果。
- 關鍵事實：主體為DEVCORE／賽事為Pwn2Own／地點為柏林並奪冠。
- 後續：競賽揭露漏洞的修補時程與公告細節，尚未明朗/待觀察。

9. 國家級網攻走向「資料可信度戰」：Fast16不癱瘓系統而竄改結果
- 結論：報導指出新型態攻擊重點在篡改資料/模擬結果以誤導決策，而非傳統癱瘓服務。
- 關鍵事實：概念為「資料可信度戰」／案例指Fast16不以癱瘓為目標／可竄改核武模擬結果誤導工程判斷。
- 後續：是否出現可對應的防護框架與落地實作案例，尚未明朗/待觀察。

10. 網路戰人才大出走：8成因薪資離開，軍方急祭加薪
- 結論：軍方網路戰/資安人力流失嚴重，主要原因為薪資，因而以加薪作為緊急留才手段。
- 關鍵事實：出走主因「薪資」占比約8成／人才大量流失／軍方提出加薪方案搶救。
- 後續：加薪幅度、編制制度與留才成效，尚未明朗/待觀察。

11. 中華電信攜手經濟部商業署建置「行動工商憑證」系統
- 結論：政府與電信業者合作推動行動化工商憑證基礎建設，強化數位身分與商務應用。
- 關鍵事實：合作方為中華電信與經濟部商業署／建置行動工商憑證系統／屬身分憑證/驗證基礎設施。
- 後續：上線時程、適用場景與申辦規模，尚未明朗/待觀察。

12. 駭客兄弟檔離職6分鐘刪光聯邦資料庫：AI聊天紀錄成關鍵證據
- 結論：美國聯邦層級資料庫遭內部人員破壞，調查以AI聊天紀錄等數位跡證強化舉證。
- 關鍵事實：涉案者為兄弟檔且已離職／約6分鐘內刪除資料庫內容／AI聊天紀錄被用作鐵證。
- 後續：司法進展、復原與責任歸屬，尚未明朗/待觀察。

13. 虛擬化管理進入「對話時代」：Vates導入MCP架構
- 結論：Vates在虛擬化管理引入MCP架構，主打以對話式互動提升管理效率。
- 關鍵事實：廠商Vates／導入MCP架構／定位為對話式（自然語言）管理。
- 後續：實際支援範圍、資安控管與企業採用案例，尚未明朗/待觀察。

14. 從治理到防禦：精誠軟體攜手產官學共創AI資安防護生態圈
- 結論：精誠軟體以合作模式推進AI資安治理與防禦生態系，強調跨界協作。
- 關鍵事實：主體精誠軟體／合作對象涵蓋產官學／聚焦AI資安防護與治理。
- 後續：合作計畫的具體標準、產品/服務與落地成果，尚未明朗/待觀察。

15. 虎門科技通過ISO 27001國際驗證
- 結論：虎門科技取得ISO 27001驗證，代表資訊安全管理制度通過國際標準查核。
- 關鍵事實：公司虎門科技／通過ISO 27001／屬ISMS制度性驗證。
- 後續：驗證範圍（部門/服務）與後續稽核結果，尚未明朗/待觀察。

16. SGS參展COMPUTEX 2026：主打AI資安與永續趨勢交流
- 結論：SGS以展會形式推廣AI資安與永續合規/驗證相關服務，提供專家交流。
- 關鍵事實：參展COMPUTEX 2026／攤位Q113／主題AI資安與永續趨勢。
- 後續：將發布的服務方案或合作案，尚未明朗/待觀察。

17. 【IT經理必看】阿里雲既有帳號無痛轉移：聚焦財務合規與海外布局
- 結論：文章解析阿里雲帳號/組織移轉方法與合規優勢，面向企業IT管理情境。
- 關鍵事實：主題為既有帳號轉移／強調財務合規／談海外布局優勢。
- 後續：實務限制、支援地區與最佳實作更新，尚未明朗/待觀察。

18. 澎湖祖孫共學入校園：強化資安與防詐意識
- 結論：地方推動跨世代資訊素養教育，透過校園活動提升資安與反詐觀念。
- 關鍵事實：地點澎湖／模式為祖孫共學／主題資訊安全與防詐。
- 後續：是否擴大到更多學校與成效評估，尚未明朗/待觀察。