2026-05-25 資安新聞重點報告

1. GitHub爆發大規模自動化惡意活動「Megalodon」，短時間波及大量儲存庫
- 結論：GitHub遭遇高強度自動化惡意提交攻擊，造成大量倉庫被污染與清理壓力。
- 關鍵事實：① 6小時內推送近6,000筆惡意提交；② 約5,500個儲存庫受害；③ 活動被命名為Megalodon、呈現自動化特徵。
- 後續：平台處置與受害專案的全面清理/追蹤範圍尚未明朗。

2. GitHub內部儲存庫程式碼外流，確認與供應鏈攻擊事故波及相關
- 結論：GitHub內部程式碼外流事件被證實與供應鏈攻擊牽連，顯示影響可能不只單一專案。
- 關鍵事實：① iThome資安日報指出「確認遭供應鏈攻擊事故波及」；② 事件焦點在GitHub內部儲存庫；③ 屬供應鏈面向的資安事件。
- 後續：外流內容範圍、影響的專案/客戶與後續補救細節待觀察。

3. Laravel語言套件遭挾持，駭客植入竊資軟體
- 結論：Laravel相關語言套件遭供應鏈挾持並被植入惡意程式，開發者需盤點依賴與更新。
- 關鍵事實：① 受害標的是PHP框架Laravel的語言套件；② 攻擊者植入竊資軟體；③ 典型套件/依賴供應鏈風險。
- 後續：受影響版本、感染鏈路與修補/下架狀態尚未明朗。

4. 公務機關2025年資安通報726件，數發部示警5大威脅
- 結論：官方彙整顯示公部門資安事件量高，主管機關提出5大威脅警示作為防護重點。
- 關鍵事實：① 2025年資安通報共726件；② 由數發部提出「5大威脅」示警；③ 主題聚焦政府機關資安態勢。
- 後續：5大威脅對應的具體強化措施與落地成效待觀察。

5. 舊款SonicWall SSL-VPN多因素驗證漏洞未補全，遭破解植入後門
- 結論：部分舊款SonicWall SSL-VPN即便有MFA仍可能被繞過，已出現遭入侵植入後門案例。
- 關鍵事實：① 問題在「多因素驗證漏洞未補全」；② 攻擊者可破解並植入後門；③ 目標為舊款SSL-VPN設備。
- 後續：受影響型號清單、修補覆蓋率與攻擊擴散情況待觀察。

6. CIS更新安全設定基準（Benchmark），涵蓋PostgreSQL、Kubernetes與SQL Server
- 結論：CIS釋出Benchmark更新，為常見平台提供最新強化基準，利於一致化稽核與配置。
- 關鍵事實：① 更新涵蓋PostgreSQL；② 也涵蓋Kubernetes；③ 以及SQL Server。
- 後續：各產品對應版本、差異重點與企業採納進度待觀察。

7. CIS推出支援AI與HPC的強化映像檔，協助企業在AWS部署安全雲端環境
- 結論：CIS以強化映像檔方式降低雲端落地門檻，鎖定AI/HPC工作負載的安全部署需求。
- 關鍵事實：① 主打支援AI與HPC；② 以「強化映像檔」提供；③ 主要用於AWS部署安全環境。
- 後續：適用工作負載範圍、與既有CIS基準整合方式待觀察。

8. 是方攜手行動貝果、高通推Agentic AI服務
- 結論：業者結盟推出Agentic AI相關服務，顯示電信/算力/晶片生態系在代理式AI商用化加速合作。
- 關鍵事實：① 是方與行動貝果、高通合作；② 服務主題為Agentic AI；③ 屬跨業合作推進AI服務落地。
- 後續：服務內容、定價模式與客戶導入案例尚未明朗。

9. 風險升級：不用寫程式也能攻破AI？企業代理人暴露新資安危機
- 結論：報導指出企業導入AI代理人後的攻擊面擴大，且攻擊門檻可能下降，需強化治理與防護。
- 關鍵事實：① 焦點在「企業代理人（Agent）」帶來的新風險；② 強調可能不需寫程式的攻擊方式；③ 主軸為AI資安議題。
- 後續：業界可行防護框架與實務驗證成效待觀察。

10. 供應鏈安全：從資安治理思維轉型，看見韌性挑戰
- 結論：文章主張以治理與韌性視角重塑供應鏈安全，強調制度化與跨部門協作的重要性。
- 關鍵事實：① 以「資安治理思維轉型」為核心；② 聚焦供應鏈安全；③ 討論韌性挑戰。
- 後續：可落地的衡量指標與最佳實務採行狀況待觀察。

11. AI結合數據與流程：台灣富士軟片資訊加速企業營運轉型
- 結論：業者以AI整合資料與流程作為轉型方法論，強調以流程與數據驅動的落地路徑。
- 關鍵事實：① 主題為AI+數據+流程；② 目標是企業營運轉型；③ 由台灣富士軟片資訊推動。
- 後續：具體產業案例、成效指標與導入門檻待觀察。

12. 臺大醫院與台灣微軟共創智慧醫院新典範
- 結論：醫療機構與雲端/AI廠商合作推進智慧醫院，聚焦醫療場域數位化與AI應用。
- 關鍵事實：① 合作方為臺大醫院與台灣微軟；② 主題為智慧醫院；③ 強調「共創」模式。
- 後續：實際導入系統範圍、臨床成效與治理機制待觀察。

13. 微軟公布YellowKey暫時緩解措施：BitLocker用戶需調整WinRE信任設定
- 結論：微軟針對YellowKey提出暫行緩解作法，BitLocker相關用戶需依指引調整WinRE信任設定降低風險。
- 關鍵事實：① 事件代號YellowKey；② 影響面涉及BitLocker使用者；③ 緩解措施指向WinRE信任設定調整。
- 後續：是否推出永久修補、更新時程與企業端變更影響待觀察。

14. Polymarket遭揭露被駭損失52萬美元加密貨幣，官方稱用戶資金安全
- 結論：Polymarket遭攻擊造成加密資產損失，但官方對外主張用戶資金未受影響。
- 關鍵事實：① 外傳損失約52萬美元加密貨幣；② 官方回應「用戶資金很安全」；③ 屬加密平台資安事件。
- 後續：入侵途徑、責任歸屬與賠付/補救細節待觀察。

15. 6成企業找不到懂AI的資安人才，資安主管年薪飆至800萬美元不罕見
- 結論：人才缺口推升AI資安人力競爭與薪酬水位，企業面臨招募與培訓壓力。
- 關鍵事實：① 受訪企業中約6成反映缺AI資安人才；② 資安主管年薪上看800萬美元「不罕見」；③ 指向市場供需失衡。
- 後續：企業如何透過內訓、外包或自動化緩解缺口待觀察。

16. CIS專家談Mythos AI風險：漏洞發掘加速考驗企業資安基本功
- 結論：AI加速漏洞發掘與利用的節奏，企業需回到基礎控管（資產盤點、修補、權限等）以應對。
- 關鍵事實：① 主題為Mythos AI風險觀點；② 指出漏洞發掘加速；③ 強調企業資安基本功的重要性。
- 後續：Mythos AI相關工具/手法的實際影響案例待觀察。

17. HP EliteBoard G1a評測：鍵盤就是一台AI PC
- 結論：產品定位在商務與雙場域工作，強調極簡空間與AI PC概念整合於鍵盤型態。
- 關鍵事實：① 型號HP EliteBoard G1a；② 訴求「鍵盤就是一台AI PC」；③ 目標客群為商務族與雙場域工作者。
- 後續：實際效能、企業採購反應與生態支援待觀察。

18. 美國人形機器人難以規模化上工：只做單一任務不易創造ROI
- 結論：觀點指出人形機器人若僅能執行單一任務，難以在成本回收上成立，成為規模化障礙。
- 關鍵事實：① 討論焦點為美國人形機器人規模化；② 引述前NASA機器人部門負責人觀點；③ 痛點在ROI與任務泛化能力。
- 後續：多任務能力、成本曲線與實際落地場景進展待觀察。

19. 創泓科技宣布成為Hitachi Vantara台灣授權Distributor之一
- 結論：通路/代理布局更新，強化Hitachi Vantara在台灣市場的供應與服務體系。
- 關鍵事實：① 創泓科技對外宣布；② 取得Hitachi Vantara台灣授權Distributor資格；③ 指向在地通路擴張。
- 後續：代理產品線範圍、合作條件與市場策略待觀察。