為持續推動臺灣資安產業接軌國際，並深化臺日數位供應鏈合作，數位發展部數位產業署與台灣資安大聯盟（TWDDC）及台灣資訊安全協會（TWISA）合作，赴日參與年度資安盛事「2026 Japan IT Week Spring」，偕9家臺灣資安廠商設立「CYBER TAIWAN PAVILION（臺灣資安館）」，向日本市場展示我國在零信任、AI資安及後量子加密等領域的自主研發能量，展現臺灣作為全球數位供應鏈可靠夥伴的資安技術實力。記者許若茵／台北報導

為持續推動臺灣資安產業接軌國際，並深化臺日數位供應鏈合作，數位發展部數位產業署與台灣資安大聯盟（TWDDC）及台灣資訊安全協會（TWISA）合作，赴日參與年度資安盛事「2026 Japan IT Week Spring」，偕9家臺灣資安廠商設立「CYBER TAIWAN PAVILION（臺灣資安館）」，向日本市場展示我國在零信任、AI資安及後量子加密等領域的自主研發能量，展現臺灣作為全球數位供應鏈可靠夥伴的資安技術實力。

[caption id="attachment_212641" align="aligncenter" width="1024"] Japan IT Week 2026 Spring期間，駐日公使周學佑、數位產業署、台灣資訊安全協會共同出席為國內資安廠商進軍日本市場加油打氣（圖／數產署提供）[/caption]

數產署表示，日本作為臺灣重要的經貿夥伴，其對於供應鏈韌性與整合型資安解決方案的需求日益增長。本次「臺灣資安館」以強化企業供應鏈資安韌性為核心，邀請我國駐日代表處公使周學佑親臨，為參展業者打氣，彰顯政府對資安產業布局國際市場的高度重視。透過館內整合展示與技術交流，不僅提升臺灣品牌的國際能見度，更為臺日雙方在數位轉型過程中的安全防護，創造更多具體的合作契機。

本次參展陣容涵蓋智慧資安、關楗、如梭世代、叡廷、誠雲、騰雲運算、智弘軟體、中華資安國際及勤晁科技等9家國內資安尖兵，展出技術橫跨資安託管與曝險管理、紅隊演練、後量子加密（PQC）、AI資安應用、DDoS防護、特權帳號管理及跨域資料安全等關鍵防禦領域。

更多科技工作請上科技專區：https://techplus.1111.com.tw/

展會期間，數產署積極媒合產業商機，不僅接觸近600家潛在對象，更透過首度舉辦的廠商Pitch活動，吸引約150位國內外專家參與。後續成功促成與GMO網際網路集團、伊藤忠科技解決方案公司、NSW Inc.等指標性大廠進行商務洽談，初步估計媒合商機達1350萬元。

數產署指出，隨日本經產省轄下日本情報處理推進機構(IPA)刻正推動 SECURITY ACTION政策，日本中小企業資安需求將迎來大幅增長。本次展會藉由「國家隊」的整體品牌形象，台灣廠商不僅能有效降低進入日本市場的門檻，更能把握臺日友好契機，為資安外銷注入強勁動能。

科技社群討論區：https://pei.com.tw/feed/c/tech-plus

數產署強調，本次訪日拓銷行程不僅提升臺灣資安業者在國際市場的能見度，更透過拜會日本資料中心協會(JDCC)、日本計測器工業會(JEMIMA) 與慶應大學全球研究所(KGRI)，進一步鏈結日本在資料中心、工業控制及數位信任等領域資安需求，未來將持續透過國際展會及產業交流機制，協助臺灣資安解決方案接軌國際，提升我國於全球資安產業鏈之關鍵地位，並為臺日資安產業長遠合作奠定堅實基礎。

這篇文章 台資安產業進軍Japan IT Week 布局供應鏈防護商機 最早出現於 科技島-掌握科技新聞、科技職場最新資訊。

網路雲端基礎設施暨資安大廠Cloudflare執行長普林斯（Matthew Prince）本週於德州奧斯汀舉行的「西南偏南」（SXSW）大會，預計到2027年全球網路上的AI機器人流量將超越人類搜尋量。

記者鄧天心／綜合報導

網路雲端基礎設施暨資安大廠Cloudflare執行長普林斯（Matthew Prince）本週於德州奧斯汀舉行的「西南偏南」（SXSW）大會，預計到2027年全球網路上的AI機器人流量將超越人類搜尋量。

[caption id="attachment_210139" align="aligncenter" width="1024"] 2027年網路流量黃金交叉，AI機器人將多過真人。（圖／AI生成）[/caption]

普林斯指出，生成式AI的普及提升自動化程式（Bot）的網頁使用率，AI機器人為了精確回答用戶查詢，需橫跨大量站點蒐集數據，他舉例，人類選購相機可能僅瀏覽5個網站，但AI代理程式（AI Agent）為完成相同任務，訪問量可能是人類的1,000倍。

根據Cloudflare觀測，在生成式AI時代前，網路流量中機器人僅占約20%，且多數為Google等大型搜尋引擎的合法爬蟲或惡意詐騙程式，然而，生成式AI對數據近乎的需求，機器人流量大幅提升，並預估在2027年迎來黃金交叉。

更多科技工作請上科技專區：https://techplus.1111.com.tw/

普林斯認為，網路生態的質變將催生新技術需求，例如為AI代理程式開發「即開即啟、完工即毀」的拋棄式「沙盒」（Sandbox）環境，他預見未來每秒將有數百萬個沙盒被創建，以應對消費者委託AI規劃旅遊、管理行程等自動化需求。

大規模自動化運作，對資料中心與伺服器等實體基礎設施構成了沉重壓力，普林斯對比新冠疫情期間，串流媒體如YouTube、Netflix曾導致網路節點近乎崩潰；儘管AI流量成長較為緩慢，卻呈現「無止盡爬升」的趨勢，目前尚不見放緩跡象。

面對潛在的流量過載風險，Cloudflare等提供內容傳遞網路（CDN）與DDoS防護的資安廠商，正積極推出阻擋惡意AI爬蟲、優化站點可用性的解決方案，普林斯強調，AI並非單純的新技術，而是一場如同「從桌機轉向行動裝置」的重大平台轉移（Platform Shift），「未來人類消費資訊的模式將被徹底顛覆。」

延伸閱讀：

貝佐斯親征中東與亞洲集資1000億美元 成立AI製造業基金

資料來源：techcrunch

這篇文章 Cloudflare執行長：2027年AI訪問網站次數將超越人類 最早出現於 科技島-掌握科技新聞、科技職場最新資訊。

加強帳號安全、設警報、定期清理閒置資源，還要準備緊急帳號，才能防止算力被偷用。作者：黃婉中（雲端架構師）

加強帳號安全、設警報、定期清理閒置資源，還要準備緊急帳號，才能防止算力被偷用。

上個月，我和往常一樣追蹤每位客戶的 Azure 使用狀況，忽然發現一個很顯眼的數字：某客戶的帳單暴增了一百倍。

我立刻聯絡客戶，想確認是不是有什麼新專案在跑，或是大規模的測試上線，但心裡有個不太好的預感。
幾個小時後，客戶回覆了。果然，他們的帳號被拿去挖礦，自己完全不知道。

我請客戶立刻從 Log 裡檢查異常登入，移除那些陌生帳號。但狀況比想像中嚴重。他們發現自己沒有權限。駭客早一步把訂閱所有權轉走，所以資源池變成別人的。

他們無法在 Portal 停止服務，只能眼睜睜看著帳單往上跳。最後還是靠後台協助，才終於停止帳單暴增。

跟同事討論一陣後，發現雲端環境被挖礦的案例很多，各廠都不能倖免。最可怕的是無法及時發現。

其實，這種事很常見

這類攻擊的手法並不是什麼新潮的技術，最常見的是密碼潑灑（Password Spray）攻擊：用一組常見或猜得到的密碼去嘗試大量帳號，成功後便用受害租戶的權限建立 Container 或 VM，安裝挖礦程式並開挖。
整套流程很快，如果沒有設好偵測規則，駭客能在租戶內停留很久。

如何降低損失和預防？我們可以從身份、監控、生命週期管理和應急等 4 個層面著手。

身份與權限

大家都知道要裝防火牆，常忽略身份管理，其實，身份管理是雲端資安的核心。
挖礦駭客不需要花力氣突破我們設下的防線，只要撿到沒開多因素驗證（Multi-factor authentication，簡稱 MFA）的管理帳號，就能默默登入，開始挖礦。
除了多因素驗證，最小權限原則、條件式和 Just-In-Time 存取也很關鍵：

• 多因素驗證 ：除了密碼，還要再用一種方式確認你是本人，像是簡訊驗證碼、手機通知、指紋或臉部辨識。沒有 MFA 的帳號，是駭客最愛的獵物。
• 最小權限原則：分層、細分角色，別讓人人是 Owner。權限只給到他們完成工作所需的最小範圍。
• 條件式存取（Conditional Access）：限制可登入管理界面的地理位置、裝置、或風險等級，不是只要通過密碼驗證就能登入。
• JIT（Just-In-Time）存取：臨時提升權限，時間到自動收回，比起長期開放權限安全得多。

監控與預警

這次客戶能發現異常，是因為帳單暴衝。但帳單只是結果，我們絕對可以透過預警，把損失降到更小，譬如設定預算（Budget），當使用量或成本超過預算範圍就觸發警報。
此外，也可結合 Azure Monitor、Defender for Cloud、或 DDoS Protection，建立更完整的警報鏈。

生命週期管理（Lifecycle Management）

另一個常見的漏洞是閒置資源，這些「睡著的資源」對攻擊者來說是完美的藏身之處：沒有使用紀錄也沒人定期檢查。駭客就是利用這些資源，安靜地把我們的算力變成他們的現金流。
閒置的 VM、容器、或儲存帳戶都是攻擊者的理想藏身之處。

把資源納入生命週期管理，包含：

• 定期盤點所有服務的活動狀態。
• 把「閒置資源」列為監控項目。
• 在建置流程加入到期自動檢視機制與自動清除流程，避免一個測試環境忘了關就一直活著。

就像房子空久了沒人住，也要定期巡視。定期管理沒在用的服務，別讓閒置資源成為後門。

緊急存取帳號（Break Glass Account）

這次事件，之所以隔了幾天才能讓駭客停止入侵，是因為客戶沒有任何能搶回控制權的緊急存取帳號（Break Glass Account），這是一種後門保險機制。建立兩個獨立帳號，不受 MFA、Conditional Access 影響，這些帳戶具有高度特殊許可權，且不會指派給特定個人。平常鎖起來，緊急時啟用。
這能確保即使駭客偷偷建立了新的訂閱，我們仍能登入並取回資源層控制。

駭客不一定要偷你的資料，有時候是想偷算力。
學會管理權限、監控與資源生命週期，企業才能安全上雲，而不被綁架。

這篇文章 帳單暴增 100 倍，客戶竟然沒發現：雲端被挖礦，比你想的更常見｜專家論點【黃婉中】 最早出現於 科技島-掌握科技新聞、科技職場最新資訊。

蘋果近日針對iOS和iPadOS發布了安全更新iOS 18.6.2和iPadOS 18.6.2。記者孫敬／編譯

蘋果近日針對iOS和iPadOS發布了安全更新iOS 18.6.2和iPadOS 18.6.2，以修補其核心Image I/O框架中的一個關鍵零時差漏洞，該漏洞編號CVE-2025-43300，其核心為Image I/O框架中存在的「越界寫入」（Out-of-bounds write），屬於蘋果作業系統處理和顯示各種圖片格式的基礎，攻擊者發送的惡意圖片，會將資料寫入記憶體緩衝區的預期範圍之外，可能讓攻擊者完全掌控受影響的裝置。

延伸閱讀：全球最強DDoS殭屍網路「RapperBot」遭瓦解！雲端科技巨頭亦攜手合作

[caption id="attachment_189290" align="aligncenter" width="2816"] 駭客針對iPhone發起的越界寫入攻擊，可能背後有一個專業的組織在運作。（圖／AI生成）[/caption]

「零點擊」攻擊手法類似飛馬，蘋果敦促用戶立即更新iPhone

由於此漏洞的攻擊手法具有高度針對性，這暗示了背後有複雜的駭客組織參與其中，類似於過去用於部署「飛馬」（Pegasus）等監控工具的「零點擊」（Zero-click）漏洞，受害者只需透過即時通訊軟體接收一個檔案，無需任何使用者互動，裝置就會被入侵。

為了應對此一威脅，蘋果已向廣泛的裝置提供安全修補：

• iPhone XS及後續機型
• iPad Pro（13吋、12.9吋第3代及後續機型、11吋第1代及後續機型）
• iPad Air第3代及後續機型
• iPad第7代及後續機型
• iPad mini第5代及後續機型

本次修補透過實施改進的邊界檢查，防止越界寫入的發生，CVE-2025-43300漏洞現在流竄在尚未更新的用戶。資安研究人員和蘋果皆強烈建議所有用戶立即透過裝置「設定」中的「軟體更新」功能，安裝最新版本，以保護自己免受此類定向攻擊。

資料來源：Cyber Security News

這篇文章 iPhone用戶快更新！駭客藉「越界寫入」發送惡意圖片 收到沒打開仍會被入侵 最早出現於 科技島-掌握科技新聞、科技職場最新資訊。

檢察官形容福爾茲營運的龐大網路，是「有史以來最強大的分散式阻斷服務（DDoS）殭屍網路之一」。記者孫敬／編譯

近期，一個名為「RapperBot」的殭屍網路（Botnet）遭美國聯邦政府突襲並下線，其幕後主嫌也已在8月6日於奧勒岡州家中被捕，並查獲殭屍網路的指揮與控制系統。檢察官形容這個由22歲男子福爾茲（Ethan Foltz）營運的龐大網路，是「有史以來最強大的分散式阻斷服務（DDoS）殭屍網路之一」，該網路也被稱為「Eleven Eleven Botnet」或「CowBot」。

延伸閱讀：Windows 11更新釀災？群聯緊急駁斥假文件 強調已展開調查

[caption id="attachment_189279" align="aligncenter" width="2816"] 這次RapperBot的圍捕行動不只有檢調單位，雲端科技公司們也有參與。（圖／AI生成）[/caption]

DDoS出租服務威力驚人，公私部門聯手終結網路威脅

根據調查人員指出，今年4月至8月間，基於Mirai變種的RapperBot殭屍網路，向全球超過80個國家、約1.8萬個受害者發動了超過37萬次DDoS攻擊，且攻擊目標廣泛，從美國政府網路、國防相關服務、社群媒體平台，甚至包含中國的網路賭博網站，其中一些受害者據稱還面臨勒索付款的壓力。若罪名成立，福爾茲將面臨最高10年的監禁。

據美國司法部透露，RapperBot的攻擊火力通常平均達到每秒2至3兆位元（Tbps），而其最大的一次攻擊甚至超過了每秒6兆位元。警方估計，一次平均超過2Tbps且持續30秒的DDoS攻擊，可能對受害者造成500至1萬美元的損失。如此巨大的破壞力，加上其「隨選即用」的租賃模式，使其成為地下網路犯罪的熱門工具。

這次的逮捕行動被命名為「PowerOFF行動」，由美國國防刑事調查局（DCIS）主導，並獲得了阿拉斯加州和奧勒岡州檢察官辦公室的支援。同時，亞馬遜（AWS）、Akamai、Cloudflare、Google等科技巨頭也提供了技術協助，共同辨識並切斷了惡意基礎設施，防止其發動更多攻擊。

美國檢察官麥可．海曼（Michael Heyman）稱讚此案是「傑出的調查工作」，終結了福爾茲的生涯。國防刑事調查局特勤人員肯尼斯．德奇利斯（Kenneth DeChellis）也表示，RapperBot對美國國防部構成了「直接威脅」，並警告其他潛在的網路犯罪分子引以為戒。

資料來源：The Register

這篇文章 全球最強DDoS殭屍網路「RapperBot」遭瓦解！雲端科技巨頭亦攜手合作 最早出現於 科技島-掌握科技新聞、科技職場最新資訊。

長期以來，AI公司Perplexity一直被指控故意繞過反爬蟲機制來抓取網路內容。雖然該公司過去常將這些指控解釋為惡意或誤解，但外媒《9to5mac》報導指出，一份新的報告顯示，這種行為不僅仍在發生，甚至可能變得更嚴重，這無疑給了蘋果公司一個新的理由，讓其重新考慮是否要收購這家公司。記者彭夢竺／編譯

長期以來，AI公司Perplexity一直被指控故意繞過反爬蟲機制來抓取網路內容。雖然該公司過去常將這些指控解釋為惡意或誤解，但外媒《9to5mac》報導指出，一份新的報告顯示，這種行為不僅仍在發生，甚至可能變得更嚴重，這無疑給了蘋果公司一個新的理由，讓其重新考慮是否要收購這家公司。

Perplexity 的文字遊戲 抓取行為的定義之爭

Perplexity的網路爬蟲爭議始於2024年6月。當時，《Wired》等多家媒體指控該公司無視「網站拒絕爬取協議」（Robots Exclusion Protocol），直接抓取其網站內容。對此，Perplexity執行長Aravind Srinivas當時回應，肇事者是一家未具名的第三方網路爬蟲供應商，並表示這「完全是對運作方式的基本誤解」。

不久之後，其他媒體也紛紛指控Perplexity抄襲和進行不道德的網路爬蟲，其中《紐約時報》和《BBC》甚至發出法律威脅。當時，Perplexity稱《BBC》的行為是「操控性且投機取巧」，並認為他們對「技術、網路和智慧財產權法有根本性的誤解」。

此後，Perplexity多次否認這些指控，並在特定使用情境下對爬取（crawling）和抓取（scraping）的定義提出異議。正如《Wired》所報導：

「換句話說，如果使用者手動提供一個網址給AI，Perplexity會說其AI並不是在充當網路爬蟲，而是一個協助使用者檢索和處理他們所請求資訊的工具。但對《Wired》和許多出版商來說，這根本是換湯不換藥，因為每天瀏覽一個網址數千次並從中提取資訊來摘要，看起來就是一種抓取行為。」

同樣地，Srinivas過去也曾承諾會讓使用者更容易連回內容的原始出處。然而，這並沒有解決問題的核心，因為問題在於資訊的來源方式，而不僅僅是呈現方式。

Cloudflare揭露：Perplexity刻意規避封鎖機制

報導指出，Cloudflare近日發布了一份報告，指控Perplexity即使在伺服器明確拒絕所有自動化存取，並包含特定規則來封鎖Perplexity公開的爬蟲時，該公司仍會設法進行爬取。

根據Cloudflare的說法：「我們觀察到，當其公開宣稱的爬蟲被封鎖時，Perplexity不僅會使用其聲明的 使用者代理（user-agent），還會使用一個偽裝成macOS上Google Chrome的通用瀏覽器。這2種爬蟲都試圖在違反RFC 9309所述的網路爬蟲規範下，存取內容以進行抓取。這種未經宣告的爬蟲使用了多個不在Perplexity官方IP範圍內的IP，並會隨著遇到嚴格的robots.txt政策和Cloudflare的封鎖時輪換這些IP。除了輪換IP之外，我們還觀察到請求來自不同的ASN（自治系統號），試圖進一步規避網站的封鎖。這種活動每天在數以萬計的網域上被觀察到，並產生數百萬次請求。我們透過機器學習和網路信號的組合，成功辨識出這個爬蟲的行為。」

Perplexity在給《The Verge》的聲明中，稱這篇部落格文章是「一場公關噱頭」，並表示「這篇文章中有很多誤解」。

其實，被指控不當抓取或提取網頁內容，並將其作為 AI 生成答案一部分的公司，絕對不只有Perplexity。過去，OpenAI的爬蟲行為也曾被比喻為DDoS攻擊，而Anthropic也有類似情況。

值得注意的是，「網站拒絕爬取協議」並非法律，而是一種被廣泛遵循的慣例。不過，Cloudflare的調查特別點名了Perplexity，而這家公司恰好是傳聞中 蘋果考慮收購的對象。這讓情況變得微妙。

蘋果真的需要這種麻煩嗎？

報導指出，從商業角度來看，蘋果確實應該收購像Perplexity這樣的公司。但考慮到蘋果對於隱私權和「做正確的事」的堅持，他們真的應該收購Perplexity嗎？或許蘋果認為，在它的企業文化、領導方式以及嚴謹的網路爬蟲規範下，能夠洗淨這項技術過去的「原罪」。但這無法抹滅一個事實，Perplexity之所以能走到今天這一步，正是因為它做了那些被指控的行為。

如果蘋果最終決定收購，這意味著他們已經進行了嚴謹的盡職調查，並且沒有發現任何法律上的風險。但這也可能代表，蘋果感受到足夠大的壓力，為了迎頭趕上AI潮流，而稍微妥協了其核心原則。如果真是如此，那將比它目前在AI領域的落後更令人失望。

資料來源：9to5mac

這篇文章 Perplexity的爭議一樁接一樁 蘋果真的應該收購他們嗎？ 最早出現於 科技島-掌握科技新聞、科技職場最新資訊。

AWS在年度雲端安全大會AWS re:Inforce 2025上，推出了十多項安全新功能來簡化安全管理並提供更全面的防護。記者孫敬／編譯

亞馬遜網路服務（AWS）在年度雲端安全大會AWS re:Inforce 2025上，推出了十多項安全新功能來簡化安全管理並提供更全面的防護，本篇文章幫助讀者重點摘要三項關鍵服務的升級。

延伸閱讀：劍指輝達GPU市場龍頭地位！AWS自研Graviton4晶片預計6月底前發布更新

[caption id="attachment_177964" align="aligncenter" width="2000"] AWS副總裁暨資安長Amy Herzog。（圖／AWS）[/caption]

AWS三項關鍵服務聚焦企業、用戶雲端資料安全

一、AWS Security Hub：統一管理安全警報，快速識別關鍵威脅

為了解決企業安全團隊需從多個工具手動收集和分析資訊的痛點，AWS Security Hub升級後猶如一個「安全指揮中心」。它能夠將不同類型的安全警報和漏洞資訊進行關聯分析，讓安全團隊在單一平台即可快速發現雲端系統中的活躍威脅，並有效確立處理優先順序，大幅提升整體安全態勢的可見度。此預覽版本現已向AWS客戶開放。

二、AWS Shield：主動預防攻擊，提升線上系統防護

AWS Shield此次升級旨在提升網站和線上應用程式的防護能力，透過主動偵測網路安全中的配置錯誤和薄弱環節來強化防禦。該服務現在能自動繪製客戶的安全資源圖譜，並識別常見攻擊模式的脆弱點，例如SQL注入或分散式阻斷服務（DDoS）攻擊。

AWS Shield提供易於理解的儀表板，依嚴重程度標示問題，並提供逐步修復指南。此外，客戶還可利用Amazon Q這款生成式AI助手，透過簡單的對話獲得安全設定指導，降低操作複雜性，實現更智慧的安全防護。

三、Amazon GuardDuty：容器環境威脅偵測，識別複雜攻擊模式

AWS宣布將Amazon GuardDuty的擴展威脅檢測功能延伸至容器環境，特別是保護在Amazon Elastic Kubernetes Service（Amazon EKS）上運行的容器化應用程式。Amazon GuardDuty能夠連結客戶系統中的各種安全訊號，並持續監控Amazon EKS的審計日誌、運行時行為以及AWS環境中的活動。這使其能識別可能被忽視的複雜多階段攻擊模式，協助安全團隊縮短調查潛在問題的時間，將更多精力集中於應對真實威脅，從而降低對業務營運的影響。

除了上述三項核心服務升級，AWS也持續致力於提升整體安全標準。例如，目前已對所有類型的AWS帳戶的根用戶強制實施100%的多因素身份驗證（MFA），進一步強化帳戶安全性。AWS強調，這些全新的安全功能將為客戶帶來更高的安全可見度，簡化安全營運，並幫助他們更有效地保護其雲端環境。

資料來源：AWS

這篇文章 AWS re:Inforce 2025釋出三項關鍵服務升級 強化雲端資料安全 最早出現於 科技島-掌握科技新聞、科技職場最新資訊。

美國資安公司Fortinet發表《2025全球資安威脅預測》報告並提及六大趨勢分析，稱資安威脅者將採用更大規模、更大膽的手法，將其攻擊鏈專業化、強化特定攻擊環節，同時發展更具針對性、更複雜的攻擊手段。記者／孫敬 Archer Sun

美國資安公司Fortinet發表《2025全球資安威脅預測》報告並提及六大趨勢分析，稱資安威脅者將採用更大規模、更大膽的手法，將其攻擊鏈專業化、強化特定攻擊環節，同時發展更具針對性、更複雜的攻擊手段。

此外，由於組織上雲趨勢，威脅者也將聚焦關注雲端環境、利用更多相關漏洞，自動化駭客工具也已進入暗網市場，預期將為其網路犯罪即服務（Cybercrime-as-a-Service，CaaS）的強度、規模再提升。

延伸閱讀：趨勢科技《2025年資安年度預測報告》：駭客攻擊技術及行為改變！中小企業成主要目標

[caption id="attachment_155613" align="aligncenter" width="1980"] 左起：Fortinet技術顧問李鵬、台灣區總經理吳章銘、北亞區資深技術總監劉乙、FortiGuard 資安威脅研究經理林樂。（圖／Fortinet）[/caption]

駭客擴大攻擊規模、效率及專業化，整合虛實提升攻擊手法

「在AI技術發展的推波助瀾之下，網路犯罪手法持續演進。台灣企業組織處於威脅者關注熱區，更需正視組織全體資訊安全、積極採取行動。」Fortinet台灣區總經理吳章銘表示，未來駭客的攻擊力道將不減反增，並以更多元化、複雜的形式出現，防禦方不僅要面對更專業化、更針對性的攻擊，更有涉及跨國犯罪和結合實體威脅的更複雜、大規模攻擊劇本，因此企業組織在每個環節的防禦強度提升更顯重要。

《2025全球資安威脅預測》六大趨勢分析指出，2025年的威脅預測聚焦於網路犯罪者如何進一步擴大規模、更加大膽，以及提升其攻擊效率。從網路犯罪即服務（CaaS）組織逐漸走向專業化、到採用結合虛實世界威脅的複雜劇本，網路犯罪者正在全面提升攻擊手法，執行更具針對性、危害性的攻擊行動。預計在2025年以後將出現六大趨勢：

趨勢一、攻擊鏈專業化程度日漸增強：

近年來，網路犯罪者逐漸將更多精力投注於攻擊前（Left of boom）的偵察與武器化階段，使其威脅行動更精準高效。過去，許多網路犯罪即服務（CaaS）組織提供全方位攻擊工具包，如網路釣魚套件與惡意軟體。然而，Fortinet預測這些組織將更專注於攻擊鏈中的某一環節，提供更專業化的服務。

趨勢二、雲端環境成攻擊新焦點：

雖然邊緣設備仍是威脅者的主要目標，但雲端環境是另一個值得組織未來幾年內密切關注的攻擊面。雲端環境雖然並非新技術，但越來越多的網路犯罪者對其表現出濃厚興趣。由於大多數組織依賴多家雲端服務供應商，Fortinet觀察到攻擊者利用更多與雲端相關的漏洞，並預期這一趨勢在未來將持續增長。

趨勢三、自動化駭客工具進軍暗網市場：

在當今網路犯罪即服務（CaaS）市場中，似乎有無窮的攻擊媒介、及相關程式碼可供選擇，例如網路釣魚工具包、勒索軟體即服務（Ransomware-as-a-Service）、分散式阻斷服務攻擊即服務（DDoS-as-a-Service）等。Fortinet已經看到一些網路犯罪組織以人工智慧（AI）來支持其服務，預期這一趨勢將更加蓬勃。攻擊者將利用大型語言模型（LLM）生成的自動化內容來強化其服務、擴大市場規模，例如將社群媒體偵查結果自動化，形成整合完善的網路釣魚工具包。

趨勢四、攻擊劇本「實境化」：

網路犯罪者的攻擊劇本正持續改寫優化，使攻擊變得更具侵略性和破壞性。Fortinet預測他們將擴大行動範圍，將網路攻擊與現實生活中的威脅結合。目前我們已觀察到一些網路犯罪組織，在某些情況下對企業的高層和員工，進行涉及實體人身安全的威脅，並預估此種做法將成許多攻擊手法中的常見一環。此外，我們也預測，毒品走私、人口或貨物的非法運輸等跨國犯罪將成為更常見的複雜攻擊手法之一，網路犯罪組織與跨國犯罪集團之間的合作將越來越頻繁。

趨勢五、拓展反制對手框架：

面對不斷演變的威脅策略，網路安全社群也需同步進化，以應對威脅。推動全球合作、建立公私部門合作夥伴關係，以及開發應對威脅的框架，對於增強集體韌性至關重要。目前已有許多相關行動正在推進，例如由Fortinet作為創始成員之一所參與的「世界經濟論壇網路犯罪地圖（Cybercrime Atlas）」計畫。預計未來將有更多此類協作或倡議出現，以有效打擊網路犯罪。

趨勢六、防禦方能贏得平均回應時間（Mean-Time-to-Respond, MTTR）賽局：

隨著機器學習（ML）與人工智慧（AI）技術的普及，防禦方戰術也正迅速提升，更有機會在與攻擊者的軍備競賽中勝出。根據我們最新發現，漏洞被利用的平均時間僅有4.76天，這比之前觀察到的加快了43%，因此，防禦者必須比以前反應得更快。得益於AI技術，安全團隊正加強其即時偵測、分析和回應的能力與速度。我們預測將有更多組織整合AI技術至其網路安全平台，以處理大量資料、快速識別模式與異常行為，並自動化日常任務。

※探索職場，透視薪資行情，請參考【科技類-職缺百科】幫助你找到最適合的舞台！

這篇文章 Fortinet《2025全球資安威脅預測》：駭客攻擊手段更強！雲端、自動化、虛實整合威脅企業資安 最早出現於 科技島-掌握科技新聞、科技職場最新資訊。

在數位化的時代，API（應用程式介面）和Bot（自動化機器人）攻擊已成為企業面臨的重大威脅。根據報導，企業因API漏洞和Bot攻擊每年損失高達94億至1,860億美元。

編譯／Cynthia

在數位化的時代，API（應用程式介面）和Bot（自動化機器人）攻擊已成為企業面臨的重大威脅。根據報導，企業因API漏洞和Bot攻擊每年損失高達94億至1,860億美元（新台幣約3,021.96億元至5.98億元），這充分顯示這些安全問題的嚴重性。API和Bot攻擊在全球網路安全事件中佔比達11.8%，隨著科技的不斷進步以及企業數位化程度的提升，這些攻擊的風險也在逐步上升，若企業對此不加以重視，將可能面臨嚴重的財務損失和品牌聲譽的損害。

API在數位轉型中的關鍵角色

API在數位轉型中扮演著重要的角色，為企業的創新和運營提供支援，從行動應用到電子商務平台，API讓各種應用之間的數據能夠無縫流通。隨著API的普及，安全挑戰也隨之而來，根據統計，2022年API相關的安全事件增加40%，而2023年又增長9%，造成這些漏洞的原因主要包括開發人員經驗不足、缺乏標準化的安全實施，及開發與安全團隊之間的協作不良。報告指出，API漏洞每年造成的損失已達870億美元（新台幣約2.8兆元），比2021年增加了120億（新台幣約3,857.82億元），這顯示加強API安全的迫切需求。

更多新聞：數位轉型少不了API 企業導入安全措施至關重要

Bot攻擊的威脅與增長趨勢

Bot攻擊已成為一種普遍且代價高昂的安全威脅，這些Bot經常被惡意用於網頁抓取、憑證填充、線上詐騙及DDoS攻擊等行為。根據報告顯示，2022年和2023年與Bot相關的安全事件分別增長88%和28%，這持續上升的趨勢顯示，Bot攻擊在API安全領域的影響力越來越明顯，自動化API濫用每年造成的損失高達179億美元（新台幣約5,754.58億元），如果企業無法有效應對Bot攻擊，將面臨更大的安全風險，甚至可能導致財務損失和品牌聲譽受損。

企業面臨API與Bot攻擊風險

年營收超過10億美元（新台幣約321.49億元）得大型企業在API和Bot攻擊方面面臨特別高的風險，其遭受自動化API濫用的可能性比中小型企業高出2到3倍。由於這些企業的數位基礎設施相對複雜，API的管理與安全性變得更加困難。許多大型企業在運營中存在影子API、未驗證API和過期API等漏洞，這些都可能成為攻擊者的攻擊目標。此外，在年營收超過1,000億美元（新台幣約3.21兆元）的超大型企業中，API漏洞和Bot攻擊占所有安全事件的26%，這顯示出建立健全的安全策略是非常必要的，以降低這些風險。

強化API與Bot攻擊的防護策略

面對API和Bot攻擊的威脅，企業必須強調跨部門的合作，確保開發團隊和安全團隊能緊密聯繫，共同建立有效的安全防護措施。企業應全面了解自身的API資源，並進行持續監控，以防止漏洞被惡意利用，同時API安全和Bot管理必須整合，以便能有效識別和阻擋自動化攻擊。隨著API和Bot攻擊對企業財務和聲譽的風險不斷增加，企業應立即行動，建立健全的API安全與Bot管理策略，以保護敏感資料、減少財務損失，並維護品牌的良好聲譽。

資料來源：The Hacker News

※探索職場，透視薪資行情，請參考【科技類-職缺百科】幫助你找到最適合的舞台！

這篇文章 API和Bot攻擊與日俱增 每年企業損失達1860億美元 最早出現於 科技島-掌握科技新聞、科技職場最新資訊。

中華電信30日召開臨時董事會通過董事長及總經理人事案，現任董事長郭水義及總經理林昭陽卸任，由執行副總經理（行政長）簡志誠接任董事長，執行副總經理（業務長）林榮賜接任總經理一職，並於同日辦理交接典禮。簡志誠說，將以「中華AI啟動未來」為新願景、全面深化應用生成式AI，讓中華電信大象不僅能轉身，更能以敏捷身手，舞動精彩創造大未來。

記者／李琦瑋

中華電信30日召開臨時董事會通過董事長及總經理人事案，現任董事長郭水義及總經理林昭陽卸任，由執行副總經理（行政長）簡志誠接任董事長，執行副總經理（業務長）林榮賜接任總經理一職，並於同日辦理交接典禮。簡志誠說，將以「中華AI啟動未來」為新願景、全面深化應用生成式AI，讓中華電信大象不僅能轉身，更能以敏捷身手，舞動精彩創造大未來。

中華電信指出，新任董事長簡志誠為台灣工業技術學院電子工程博士，曾任國際電信分公司總經理、海外新事業辦公室顧問、中華電信學院院長、行動通信分公司總經理、網路技術分公司總經理等要職。新任總經理林榮賜為交通大學資訊工程博士，曾任企業客戶分公司副總經理、中華電信公司資訊處副總經理、中華電信研究院副院長、院長、數據通信分公司總經理、總公司技術長、資安長等要職。

延伸閱讀：中華電信加入EV100倡議　拚2030前100%載具電動化

對於接任董座一職，簡志誠承諾，會持續實現公司3大願景，成為以永續發展為基礎的國際標竿企業、成為數位生態系統協創者的領導品牌以及成為超越兆元市值的頂尖科技企業集團。

簡志誠說，將展開3項積極作為Do the right things Right，來加速願景的實現，包括「精簡（減）」產品減法與作業簡化；「務實」80/20法則與資源有效分配；「智慧化」系統架構與流程智慧化，讓組織人才更優化、基礎網路更韌性、科技平台更智慧、客戶夥伴更靈活，讓中華電信大象不僅能轉身，更能以敏捷身手，舞動精彩創造大未來。

因應AI世代的來臨，簡志誠強調，中華電信除將持續在先進連線（包含光纖、低軌衛星、5G/6G、IOWN）、GAI領域、量子科技（量子通訊、後量子密碼學）外，中華團隊將以「中華AI啟動未來」為新願景，讓各式智慧新興應用與研發加速發展，在AI領域與場域上領航前進。

林榮賜提到，目前的重點工作包含3大主軸，「全面深化應用生成式AI」，不僅僅是IT技術專家、也包括普通員工，透過訓練讓每位員工都能駕馭與使用生成式AI技術／工具、提升工作效率；「 建構精實服務韌性」，從網路韌性（陸纜／海纜／微波／衛星多元網路、多軌群星計畫）、系統韌性（上雲備份備援、落實BCP演練）、到資安韌性（DDoS攻擊防禦、零信任架構、多重偵測監控），因應地緣政治及極端氣候挑戰；「持續推動ESG環境永續」，推動包含科技減碳、再生能源、生物多樣性、與落實數位平權等。

簡志誠表示，將與林榮賜齊心協力，領導整個團隊「穩穩」的向前邁進，第一穩，是營收獲利穩定成長；第二穩，是穩健布局新興市場／新技術，朝公司願景大步邁進，創造更佳的經營成果，帶領公司不僅Always Ahead「永遠走在最前面」，更躍進為Always Amazingly Ahead「永遠驚艷領先」。

※探索職場，透視薪資行情，請參考【科技類-職缺百科】幫助你找到最適合的舞台

這篇文章 中華電信新董座出爐！簡志誠：用AI啟動未來 最早出現於 科技島-掌握科技新聞、科技職場最新資訊。