2026-05-21 資安新聞重點報告

1. 資安署啟動15家資服業者聯合稽核（受託者資安聯稽121機關響應）
- 結論：政府擴大對「受託資服/供應鏈」的資安聯合稽核與督導，強化外包與委外風險控管。
- 關鍵事實：資安署宣布啟動聯合稽核；聚焦15家資服業者；有「121機關」響應/配合受託者資安聯稽。
- 後續：稽核範圍、檢測項目與裁處/改善時程尚未明朗。

2. 資安署擴大資安長共識營，首度邀集五院建立資安治理共識
- 結論：中央政府在跨體系層級推進資安治理一致性，提升高層治理與協作機制。
- 關鍵事實：共識營規模擴大；首度邀集五院；目標是建立治理共識。
- 後續：是否形成具體治理框架、KPI或跨院聯防作業規範待觀察。

3. CISA暴露的GitHub儲存庫公開844MB機密資料
- 結論：美國重要資安機構發生程式庫/版本控管外洩事件，凸顯政府機關在程式碼與機密管理的風險。
- 關鍵事實：事件涉及CISA；外洩載體為GitHub儲存庫；公開資料量達844MB且含機密內容。
- 後續：外洩內容影響範圍、是否造成實際濫用與後續補救措施尚未明朗。

4. Drupal修補重大SQL注入漏洞，並破例為已停止支援版本發布更新
- 結論：Drupal針對高風險漏洞緊急修補，且罕見為EOL版本提供更新，顯示漏洞嚴重性與影響面。
- 關鍵事實：漏洞類型為重大SQL Injection；官方已釋出修補；包含已停止支援版本的例外更新。
- 後續：實際受影響版本清單與在野利用情況待觀察。

5. GitLab發布安全更新，修補多項重大漏洞（任意JS、DoS等）
- 結論：GitLab針對高危漏洞釋出更新，企業需加速修補以避免供應鏈與DevOps平台成為攻擊入口。
- 關鍵事實：官方發布安全更新；漏洞可能導致執行任意JavaScript；亦包含拒絕服務等重大問題。
- 後續：是否已有PoC/大規模攻擊與企業修補進度待觀察。

6. 微軟開源RAMPART，讓代理安全測試CI化
- 結論：微軟將AI代理（agent）安全測試工具開源並導入CI流程概念，強化可持續的安全驗證。
- 關鍵事實：專案名稱RAMPART；由微軟開源；定位是把代理安全測試融入CI（CI化）。
- 後續：社群採用度、與既有CI/CD/安全工具整合成熟度待觀察。

7. 新加坡政府公布AI代理沙盒測試結果，評估公共服務效益與治理風險
- 結論：新加坡以沙盒方式驗證AI代理在公共服務的可行性，同步盤點治理與風險控管重點。
- 關鍵事實：由新加坡政府公布；主題為AI代理（AI agents）；同時評估效益與治理風險。
- 後續：是否擴大正式上線範圍、採用標準與監管要求尚未明朗。

8. 微軟開放Windows Server 2025用戶使用熱修補，推廣Azure Arc混合雲管理
- 結論：微軟將熱修補能力擴大到Windows Server 2025使用者，並強化以Azure Arc為核心的混合雲管理路線。
- 關鍵事實：對象為Windows Server 2025用戶；功能為熱修補（hot patching）；策略上進一步推廣Azure Arc混合雲。
- 後續：適用條件（版本/授權/區域）與企業導入節奏待觀察。

9. AI開始進入漏洞研究與通報生態（Mozilla、微軟、GitHub與Curl案例受關注）
- 結論：漏洞研究、回報與管理流程正受到AI工具介入影響，產業關注其品質、治理與誤報風險。
- 關鍵事實：焦點在漏洞研究與通報生態；提及Mozilla、微軟、GitHub、Curl等案例；AI介入引發討論。
- 後續：是否形成通報規範/審查機制、以及社群共識待觀察。

10. SAS CIO揭內部GenAI實戰：員工自建4,200支AI代理，AI Coding改變工程師角色
- 結論：SAS在內部大規模推行GenAI與AI代理，並觀察到AI coding對工程職能分工的改變。
- 關鍵事實：由SAS CIO分享；員工自建約4,200支AI代理；AI coding正在改變工程師角色。
- 後續：治理機制（權限/資料/風險）與成效量化方式待觀察。

11. Confluent推MCP與Agent Skills，讓AI代理協助管理資料串流作業
- 結論：Confluent把AI代理能力導入資料串流維運情境，透過標準/技能模組化提升自動化操作。
- 關鍵事實：Confluent推出MCP；提出Agent Skills；目標是協助管理資料串流作業。
- 後續：企業落地案例、與既有治理/權限控管整合待觀察。

12. 不只合規，更是競爭力：叡揚資訊助攻CRA全面佈局
- 結論：本地業者以CRA（歐盟網路韌性法案）合規為切入，主打把產品資安治理能力轉為競爭力。
- 關鍵事實：叡揚資訊主題聚焦CRA；強調「全面佈局」；定位為產品資安後盾。
- 後續：具體工具/服務內容、客戶導入成果與對接稽核要求待觀察。

13. Sophos研究：71%組織曾遭至少一次身分外洩攻擊
- 結論：身分憑證外洩仍是高普及風險，成為企業資安防護的優先面向。
- 關鍵事實：研究出自Sophos；71%組織曾遭至少一次身分外洩攻擊；反映攻擊普遍性。
- 後續：產業別差異、主要入侵向量與對策成效待觀察。

14. 受贖金攻擊激增935%：OPSWAT為美國油氣管道營運商建構零信任防禦
- 結論：關鍵基礎設施面臨勒索/贖金攻擊升溫，業者以零信任架構與檔案/裝置安全控管強化防線。
- 關鍵事實：主題為贖金攻擊增幅935%；案例場景在美國油氣管道營運商；採取零信任防禦體系。
- 後續：成效指標（事件下降/停機降低）與可複製性待觀察。

15. 記憶體風暴：AI帶動產業升級，記憶體廠急徵8種關鍵人才
- 結論：AI需求推動記憶體產業升級，人才缺口擴大並出現更聚焦的關鍵職能需求。
- 關鍵事實：主題為AI帶動產業升級；記憶體廠急徵8種關鍵人才；反映招募與技能轉型。
- 後續：各職類需求規模、薪資與培訓/學用接軌方案待觀察。

16. 創泓科技宣布成為Hitachi Vantara台灣授權經銷商之一
- 結論：通路與合作版圖擴張，強化企業儲存/資料基礎設施產品在台灣的市場覆蓋。
- 關鍵事實：創泓科技宣布；成為Hitachi Vantara台灣授權經銷商之一；指向通路合作。
- 後續：主打產品線、目標產業與年度業績/客戶案例待觀察。

17. QSAN XN系列通過Veeam Ready驗證，強化備份與復原能力
- 結論：QSAN儲存產品取得生態系驗證，有利企業在備份/復原方案的相容性與導入信心。
- 關鍵事實：產品為QSAN XN系列；通過Veeam Ready驗證；主訴求是資料保護與備份復原。
- 後續：實際效能/相容性測試範圍與客戶導入成果待觀察。

18. 限時搶位：高雄精選IT強棒班，最高補助50%
- 結論：地方/培訓單位推出IT訓練班與補助方案，吸引在地人才培訓與轉職。
- 關鍵事實：活動地點在高雄；主打IT課程；最高補助達50%。
- 後續：名額、課程內容與補助資格細則待觀察。