【資安日報】3月2日,OpenClaw存在可被用於接管的資安漏洞ClawJacked

資安公司Oasis Security近日向OpenClaw通報高風險資安漏洞ClawJacked,並指出只要使用者瀏覽攻擊者的網站就可能觸發,過程裡無須使用者進行其他互動,攻擊者就能接管受害電腦建置的AI代理系統

新聞 | AI2 | SERA | 程式開發代理 | SWE-Bench | 後訓練

Ai2推出SERA程式開發代理,公開可重現的低成本後訓練流程

Ai2發表Open Coding Agents計畫並釋出SERA模型,公開後訓練配方與整合工具,主打支援私有程式碼庫的模型調整,官方估算,重現先前最佳開放成果只需400美元算力

2026-01-28

新聞 | OpenSSL | CVE-2025-15467 | CMS | S/MIME | AES-GCM

OpenSSL修補高風險CMS解析堆疊溢位漏洞,恐致DoS甚至引發RCE

OpenSSL修補CVE-2025-15467漏洞,解析CMS的AuthEnvelopedData時要是初始化向量過長,可能觸發堆疊緩衝區溢位導致DoS,且在部分防護不足的平臺不排除被用於遠端程式碼執行

2026-01-28

新聞 | Clawdbot | Moltbot | 組態配置不當

開源AI代理專案Clawdbot竄紅,研究人員警告部分系統出現配置不當,恐讓外人隨意存取機敏資料

Clawdbot(現更名為Moltbot)爆紅,但資安風險被低估。資安研究人員Jamieson O’Reilly發現,網路上存在數百個錯誤配置的Clawdbot Control管理介面,任何人都可能直接接管AI代理,讀取所有對話、竊取API金鑰,甚至以root權限執行指令

2026-01-28

新聞 | 俄羅斯駭客 | 中國駭客 | WinRAR | CVE-2025-8088

俄羅斯與中國駭客加入利用WinRAR路徑遍歷漏洞的行列

Google威脅情報團隊(GTIG)提出警告,去年7月WinRAR修補的高風險漏洞CVE-2025-8088,已有多組人馬加入利用的行列,其中包含數組俄羅斯駭客、中國駭客,以及以經濟利益為動機的駭客團體

2026-01-28

新聞 | 法國 | 視訊會議工具 | Visio

法國推動數位主權,政府部門將以Visio取代Teams與Zoom

法國政府推動數位主權,宣布2027年前全面以自研視訊會議工具Visio,取代Teams、Zoom等非歐洲方案。官方估算,若10萬名公務人員轉用Visio,每年可省下約100萬歐元軟體授權費

2026-01-28

新聞 | OpenAI | Prism | LaTeX | 科學研究 | 學術寫作

OpenAI推出科學文件協作平臺Prism

透過收購雲端LaTeX平臺Crixet,OpenAI推出科學文件協作平臺Prism,將論文撰寫、公式與引文管理、團隊協作整合為單一工作區,導入基於GPT‑5.2的對話式AI功能輔助研究工作進行

2026-01-28

新聞 | CVE-2026-24061 | GNU Inetutils | 資安漏洞

逾80萬臺採用GNU Inetutils建置的Telnet伺服器存在重大漏洞CVE-2026-24061,臺灣有2.4萬臺曝險

研究人員揭露GNU Inetutils telnetd重大漏洞CVE-2026-24061,臺灣有2萬4千多臺Telnet伺服器曝險,維護組織已釋出完成修補的2.8版,用戶應儘速更新軟體

2026-01-28

新聞 | 開源模型 | KimiK25 | 多模態AI | 代理AI

Moonshot AI開源Kimi K2.5,可自動生成最多100個子代理

中國AI新創Moonshot AI宣布開源新一代模型Kimi K2.5,主打「視覺型代理智慧」,具備原生多模態能力,可自動生成並協調最多100個子代理,平行處理複雜任務

2026-01-28

新聞 | Fortinet | FortiCloud | FortiCloud SSO | CVE-2026-24858

Fortinet公布已被積極利用的FortiCloud單一登入新漏洞,並釋出部分版本的更新程式

針對一週前駭客濫用單一登入(SSO)功能FortiCloud入侵防火牆設備,藉此建立管理員帳號及竊取組態設定的事故,本週Fortinet指出,駭客利用的漏洞已被登記為CVE-2026-24858列管,他們也限制尚未修補的設備無法啟用此單一登入功能來因應

2026-01-28

新聞 | ISC | DNS | BIND | CVE-2025-13878

ISC修補BIND 9高風險漏洞CVE-2025-13878,惡意DNS紀錄可導致服務當機

ISC於1月中旬公告修補開源DNS伺服器軟體BIND 9高風險漏洞CVE-2025-13878,攻擊者可透過惡意DNS資源紀錄,遠端觸發服務程序當機,造成名稱解析中斷

2026-01-28

新聞 | 微軟 | Windows 11 | 安全更新

微軟調查Windows 11安全更新引發的電腦無法開機問題

微軟1月安全更新KB5074109再傳災情,部分Windows 11 24H2與25H2實體裝置更新後無法開機,出現黑色死亡螢幕。微軟已證實接獲用戶通報,表示不影響伺服器與虛擬機器,正持續調查原因

2026-01-28

新聞 | Amazon | Amazon Go | Amazon Fresh

Amazon將關閉Amazon Go、Fresh實體無人超市

Amazon宣布關閉智慧超市Amazon Go與Amazon Fresh,坦言無法建立可大規模擴展的經濟模式,實體店面資源轉向同日遞送與Whole Foods Market經營

2026-01-28