又係時候更新 Google Chrome 瀏覽器喇!因為 Google 宣布為咗修補三個高風險漏洞,所以就推出 80.0.3987.122 版本更新檔。Google 講到明其中一個漏洞正被黑客廣泛利用嚟入侵 Chrome 用家,真係要 LaLa 裝喇。 今次被發現嘅三個漏洞,其中兩個係由 Google 自己嘅 Security Team 發現,另一個就由外人通報,仲獲取到 5000…
Search Results: 漏洞 (809)
繼 Anthropic 日前高調發布具備自動挖掘零日漏洞能力的 Mythos 後,OpenAI 隨即宣布推出專為網絡安全用途打造的 GPT-5.4-Cyber 模型,並同步擴展「Trusted Access for Cyber」計劃,將工具開放給數千位經過驗證的網安專家及安全團隊使用。相較一般版本,特製模型刻意放寬部分安全限制,務求讓防守方在合法情境下擁有更高操作自由度,應對日益複雜的攻擊手法。 想知最新科技新聞?立即免費訂閱! 據官方資料顯示,GPT-5.4-Cyber 是在 GPT-5.4 基礎上微調而成,新增多項針對攻防分析的能力,其中最受關注的是支援二進制逆向工程(binary reverse engineering)。這項功能可協助分析已編譯的可執行程式,從中識別潛在漏洞及惡意行為模式,大幅提升研究人員對惡意軟件的拆解效率,進一步將過往需要高門檻專業技能的工作工具化及自動化。 不過,這項技術目前仍屬「有限開放」階段。OpenAI 表示…
Sangfor 應急響應工程師近期在處理多宗應急響應(Incident Response)個案時,發現一個值得企業高度重視的趨勢:黑客的入侵手法,正由傳統電郵釣魚,逐步轉向更具欺騙性、也更貼近日常工作流程的協作平台攻擊。 想睇更多專家見解,立即免費訂閱! 作為 Sangfor IR Team 的其中一員,在筆者看來,這不是一次簡單的攻擊手法升級,而是黑客對企業防守習慣的一次精準利用。很多企業已經在郵件安全、防毒、連結檢測上投入大量資源,但對 Microsoft Teams 這類日常協作工具的警覺性,仍然明顯不足。黑客正是看準了這個心理落差,繞過傳統郵件安全過濾系統,直接把攻擊送到員工最習慣、也最容易放下戒心的地方。 本文希望拆解這條從「會議邀約」到「財務詐騙」的完整攻擊鏈,同時分享對這類事件的幾點實務判斷,提醒企業管理層、資訊保安負責人,以及前線員工,不要再把協作平台視為天然可信的內部空間。 入侵流程解析:從線上會議到帳戶劫持 從近期觀察到的個案來看,黑客的攻擊路徑已經相當成熟,而且每一步都圍繞一個核心原則:不急於破壞,而是先取得信任,再利用信任變現。 1. 突破常規:Teams 會議邀約釣魚 黑客先註冊合法的微軟帳號,成為 Teams…
網絡安全界正迎來一場深層地震!AI 龍頭 Anthropic 秘密研發的新一代基礎模型「Mythos」的預覽版近日正式曝光,新模型展現的「代理運算」(Agentic Computing)能力與編碼推理性能,被形容為超越現有 Haiku、Sonnet 及 Opus 三大體系。不過這款被賦予古希臘神話名稱的模型,在展現強大防禦潛力的同時,也預視了黑客利用 AI 進行自動化攻擊的恐怖前景。因此,Anthropic 表示因安全考量不向公眾開放,並轉而發起 Project Glasswing 計劃,與逾 40 家科技及金融機構合作,提升關鍵基礎設施的安全防禦。 想知最新科技新聞?立即免費訂閱! 根據 Anthropic…
AI 生態系統不斷轉型,由以往的「AI 輔助」正逐漸轉向「 AI-Native(AI 原生)」,這轉變不止是技術上的升級,更重塑了企業運作模式。兩大國際級頂尖公司 Palo Alto Networks 及 IBM,聯手透過深度整合,以平台化、一體性方案保障企業應用 AI Agents 的安全,助客戶實現 AI-Native。 IBM 與 Palo Alto Networks 的夥伴關係建立在共同目標之上,包括資源互補,以及簡化網絡安全複雜性。Palo Alto Networks 提供網絡安全技術,包括基於 Precision AI 的 Cortex XSIAM 平台、專注 AI 安全的 Prisma AIRS 2.0 等;而 IBM…
可能不少人都玩過交友 App,但未必每個人都能透過程式認識到志趣相投的朋友。為了更精準為用家進行配對,社交平台 Tinder 就推出 AI 配對服務,但條件是要授權程式可以讀取及上傳用家手機相簿內的相片,交給 Tinder 的 AI 運算……不知道大家會否接受這條件? 想知最新科技新聞?立即免費訂閱! AI 的興起,催生出各種不同的有趣應用,不少企業都希望藉此提升用家體驗。Tinder 這項名為「Photo Insights」的新功能便希望利用 AI 技術提升用家體驗。不過,有網絡安全專家卻發現這種 AI 應用潛藏極大的私隱風險,如用家抱著貪方便的心態使用,隨時跌入敏感資料外洩的陷阱。 這項被形容為極具私隱侵入性的新功能,目前採取了「選擇性加入」(Opt-in)的模式,不會預設用家接受相簿被強行讀取。當用家同意授權後,Tinder…
國家互聯網應急中心聯同中國網絡空間安全協會,近日聯合發布《OpenClaw安全使用實踐指南》,就近期在內地迅速走紅的開源人工智能代理工具「OpenClaw」(俗稱「龍蝦」),向普通用戶、企業用戶、雲服務商及技術開發者提出具體安全防護建議,以回應社會對其潛在網絡安全及私隱風險的關注。 早前曾發出「國家級風險提示」 指南指出,OpenClaw 屬代理式人工智能系統,能依據自然語言指令直接操控電腦完成下載、執行程式、存取檔案等操作,由於通常被賦予較高系統權限,一旦配置不當或遭惡意利用,可能導致敏感數據外洩、系統被植入惡意程式,甚至成為攻擊企業和關鍵基礎設施的新入口。 早前,國家互聯網應急中心曾就 OpenClaw 發出「國家級風險提示」,提醒市場注意提示詞注入、憑證洩露、惡意插件等多重風險,是次發布實踐指南,被視為在風險預警基礎上的進一步操作層面落實。 在普通用戶層面,指南強調應將 OpenClaw 安裝在專用設備、虛擬機或容器環境中,與日常辦公、網銀、社交等日常使用環境嚴格隔離,不宜直接安裝於日常使用的個人電腦,並避免以管理員或超級用戶權限運行,以降低因誤操作導致系統被全面接管的風險。 同時,建議用戶不在 OpenClaw 環境中存儲或處理身份證號碼、銀行帳戶、醫療紀錄等私隱及敏感資料,並需及時安裝官方發布的最新版本及安全補丁,減少已知漏洞被攻擊者利用的可能性。 企業應避免開放過高權限 對企業用戶,指南提出以下 8 點建議: 1.明確允許與禁止的使用場景、數據範圍和操作類型,建立內部使用規範和審批流程2.做好智能體運行環境的基礎網絡與環境安全防護3.做好智能體權限管理與邊界控制4.做好智能體運行監控與審計追蹤建立5.做好智能體關鍵操作保護策略6.做好智能體供應鏈安全與代碼管理7.做好智能體憑證與密鑰管理8.做好人員培訓與應急演練 指南亦對雲服務商和開發者提出要求,指出雲服務商要做好雲主機基礎安全層面的安全評測與加固、安全防護能力部署/接入,以及供應鏈及數據安全防護。 有分析認為,今次《OpenClaw…
企業網絡安全防護日益嚴密,黑客的攻擊手法亦進化到更狡猾。近期一種名為「Kratos」的釣魚即服務(Phishing-as-a-Service)工具包在黑客圈子中崛起,其特點是透過極度複雜的「七重跳板」技術,將惡意連結重重收藏在合法服務之中,藉此避過企業重金部署的電郵安全防護系統。早前,瑞典知名漏洞管理及身份安全公司 Outpost24 的一名高層管理人員,便差點成為這場精心策劃的高級釣魚攻擊的受害人。 想知最新科技新聞?立即免費訂閱! 偽裝成 JP Morgan 減低戒心 這次攻擊事件由 Outpost24 的子公司 Specops Software 揭露,雖然系統及早識別並成功攔截了攻擊,未有造成任何系統破壞或用戶資料外洩,但從 Specops Software 公開的技術細節,卻充分展示了現時黑客在迴避偵測方面的驚人手段。有別於一般粗製濫造的釣魚電郵,這次黑客選擇偽裝成跨國金融巨頭 JP Morgan,並巧妙地將釣魚郵件無縫插入目標人物現有的電郵對話串中,邀請對方「審閱並簽署文件」,極大程度地降低了受害者的戒心。 為了確保這封帶有惡意連結的電郵能夠順利送達目標人物的收件箱,黑客下了一番苦功。首先,黑客為電郵加上了雙重…
《保護關鍵基礎設施(電腦系統)條例》(第 653 章,以下簡稱《條例》)自 2026 年 1 月 1 日正式生效已過兩個多月。關鍵基礎設施(電腦系統安全)專員辦公室(OCCICS)於同日發布通用《實務守則》(Code of Practice),能源界別專門守則亦於 1 月 28 日公布。此條例旨在強化香港關鍵電腦系統的安全防護,更有助提升整體數碼韌性,增強外資對香港作為國際金融及科技中心的信心。 隨著 AI 技術急速普及,2026 年的網絡安全危機正急劇升級。近年本地及全球網絡攻擊事件持續攀升,AI 已成為黑客強大的工具,能自動化目標偵察、生成高度逼真的釣魚內容、自主調整攻擊策略,甚至針對供應鏈漏洞發動大規模連鎖攻擊。AI…
Cloudflare 近日發布首份《2026 年 Cloudflare 威脅報告》,報告結合 Cloudforce One 威脅研究團隊的專業知識,並藉助 Cloudflare 的全球網絡,揭示現代網絡攻擊的根本轉變。報告顯示,威脅者正運用前所未有的超大規模 DDoS 攻擊,以 AI 系統探測及利用漏洞,並持續攻擊電郵等傳統安全弱點,找出「登入」而非「入侵」的方法。 想知最新科技新聞?立即免費訂閱! 是次報告為安全團隊提供應對新興威脅的見解,並詳細分析 Cloudflare 平均每天攔截的 2,300 億次威脅背後的策略及趨勢。AI 讓任何人都能更輕易地發起高階攻擊,使威脅者的行動速度比以往更快。他們不僅癱瘓網站,還會悄然滲透薪資系統,誘騙軟件誤認其身分。現今的安全防護不再僅阻擋入侵者,而是要驗證網絡內部使用者的真實身分。 Cloudflare…