國家互聯網應急中心聯同中國網絡空間安全協會，近日聯合發布《OpenClaw安全使用實踐指南》，就近期在內地迅速走紅的開源人工智能代理工具「OpenClaw」（俗稱「龍蝦」），向普通用戶、企業用戶、雲服務商及技術開發者提出具體安全防護建議，以回應社會對其潛在網絡安全及私隱風險的關注。 早前曾發出「國家級風險提示」 指南指出，OpenClaw 屬代理式人工智能系統，能依據自然語言指令直接操控電腦完成下載、執行程式、存取檔案等操作，由於通常被賦予較高系統權限，一旦配置不當或遭惡意利用，可能導致敏感數據外洩、系統被植入惡意程式，甚至成為攻擊企業和關鍵基礎設施的新入口。 早前，國家互聯網應急中心曾就 OpenClaw 發出「國家級風險提示」，提醒市場注意提示詞注入、憑證洩露、惡意插件等多重風險，是次發布實踐指南，被視為在風險預警基礎上的進一步操作層面落實。 在普通用戶層面，指南強調應將 OpenClaw 安裝在專用設備、虛擬機或容器環境中，與日常辦公、網銀、社交等日常使用環境嚴格隔離，不宜直接安裝於日常使用的個人電腦，並避免以管理員或超級用戶權限運行，以降低因誤操作導致系統被全面接管的風險。 同時，建議用戶不在 OpenClaw 環境中存儲或處理身份證號碼、銀行帳戶、醫療紀錄等私隱及敏感資料，並需及時安裝官方發布的最新版本及安全補丁，減少已知漏洞被攻擊者利用的可能性。 企業應避免開放過高權限 對企業用戶，指南提出以下 8 點建議： 1．明確允許與禁止的使用場景、數據範圍和操作類型，建立內部使用規範和審批流程2．做好智能體運行環境的基礎網絡與環境安全防護3．做好智能體權限管理與邊界控制4．做好智能體運行監控與審計追蹤建立5．做好智能體關鍵操作保護策略6．做好智能體供應鏈安全與代碼管理7．做好智能體憑證與密鑰管理8．做好人員培訓與應急演練 指南亦對雲服務商和開發者提出要求，指出雲服務商要做好雲主機基礎安全層面的安全評測與加固、安全防護能力部署/接入，以及供應鏈及數據安全防護。 有分析認為，今次《OpenClaw…

近日有騙徒冒充水務署，以短訊或電郵方式向市民發送訛稱「用水帳戶資料更新提示」通知，並列出所謂 「欠款」，誘使收件人點擊連結進入釣魚網站，並要求輸入個人資料或信用卡資料以繳交費用。近期受害人包括公司董事，輸入信用卡資料後隨即被扣 2.3 萬元。 想知最新科技新聞？立即免費訂閱！ 假冒水務署的詐騙手法，早在兩年前已出現，近日的個案反映此類以政府公共服務名義進行的釣魚攻擊近期又再度活躍起來。在新一批受害人中，包括一名 69 歲公司男董事。該董事如常檢查電郵，發現一封署名「水務署客戶服務」的可疑電郵（地址：[email protected]），內容指欠交 $18.54 水費。他未有懷疑，點擊電郵內的超連結，進入假冒水務署的網站輸入信用卡資料。隨即收到銀行通知，帳戶被扣約 23,000元。他察覺有異，遂即時報警。 反詐騙協調中心呼籲市民保持警惕，就算發送人名稱有「WSD」或「GOV」也未必為真，並緊記以下三點： 1．水務署的短訊發送人名稱必定以「#」號開頭（#WSD及#WSD eWater）； 2．水務署不會通過電郵或短訊內的超連結引領客戶到其他網站或要求客戶提供信用卡資料。 3．水務署致客戶有關電子帳單的電郵，均由 [email protected] 或[email protected] 發出 虛假水費單五大特徵…

近期大埔火災造成重大傷亡，社會各界紛紛捐款以支援救災及援助工作。然而有騙徒竟利用火災名義進行詐騙，包括假冒慈善機構或院方，發放惡意連結及二維碼（QR Code）聲稱籌款，甚至假扮義工意圖收集災民的個人及銀行訊息。此外，HGC 環球全域電訊對事件深表關切，並實行多項支援措施。 想知最新行內動態？立即免費訂閱！ 針對近日有騙徒以不法手段利用居民的個人資料，包括渾水摸魚冒認居民身份領走1萬元應急錢或冒認災民領取援助，香港網絡安全事故協調中心（HKCERT）強烈呼籲市民務必提高警覺，避免善款及個人資料落入不法之徒手中。 詐騙手法包括： 1．假網站及釣魚訊息騙徒冒充慈善機構，例如假冒「香港聖公會福利協會」，發送籌款釣魚短訊或電郵，附上惡意連結，誘使市民進入虛假籌款網站，從而騙取善款。 有網民整合其中一宗假網站網址並發帖警示。（圖片來源：「守網者」專頁） 2．虛假二維碼籌款社交平台亦有流傳「災民急需援助」訊息，同時附上不明來源二維碼，要求即時轉帳。亦有騙徒冒充仁濟醫院籌款，仁濟醫院已澄清，從未授權任何第三方收取善款。 3．假冒義工收集資料可疑人士假扮義工，派發虛假的「大埔宏福苑災民登記表」，要求災民填寫姓名、身分證號碼、住址，甚至銀行帳戶及提款密碼。而社會福利署登記證表格並未要求災民提供銀行及提款密碼等。 可疑人士自製假「災民登記表」騙取災民個人資料。（圖片來源：反詐騙協調中心） HKCERT 防騙建議： ．保護個人資料：切勿隨便填寫任何表格，切勿透露個人敏感資料，例如姓名、身份證號碼、銀行戶口號碼、網上銀行帳戶及密碼。 ．主動核實官方資訊：捐款前，請瀏覽政府新聞網，或向相關機構查證，確認透過官方及可靠途徑進行捐款。如接獲自稱機構職員來電，亦須再三核實來電者身份。 ．拒絕陌生連結及二維碼：切勿點擊不明連結或隨意掃描可疑二維碼及轉賬至來歷不明的戶口。 ．使用反釣魚工具：可利用「CyberDefender 守網者」的「防騙視伏器」，通過檢查網址和IP地址等，來辨識詐騙及網絡陷阱。 ．互相提醒：提醒親朋好友、長者及弱勢群體普及防騙意識，避免他們成為騙徒目標。 如有懷疑，可致電「防騙易…

一年一度，由本地解決方案分銷商安領科技（Edvance Technology）主辦的 TechFORWARD26 圓滿落幕！今年主題為「The Edge of Intelligence」，現場有多達 17 間網絡安全供應商攤位展示，全日共有 11 場專家演講及專題討論，內容涵蓋大部分網絡安全領域，非常豐富。 Edvance International Chairman & Group CEO Raymond Liu 率先致歡迎辭，為活動揭開序幕。Raymond…

電子詐騙手法持續升級，從傳統的視覺混淆陷阱到針對 AI 技術的新型釣魚攻擊，市民面臨的網絡安全威脅日益增大。香港網絡安全事故協調中心（HKCERT）提醒，當前黑客不但利用肉眼難察的細微視覺差異進行「以假亂真」的詐騙，更會進一步針對人工智能（AI）工具展開隱蔽性的釣魚攻擊。面對這些類型的新型態詐騙，市民務必提高警覺，落實最佳保安實踐，以保障個人資料與財產安全。 想知最新科技新聞？立即免費訂閱！ 視覺陷阱：用「rn」冒充「m」的釣魚手法 最近出現典型的電郵釣魚攻擊事件，該郵件聲稱來自科技公司 Microsoft，但實際上其電郵地址中的「microsoft」字樣存在細微的視覺陷阱。黑客將字母「m」替換為由「r」和「n」組成的「rn」，形成「rnicrosoft」，令用戶在匆忙查看郵件時難以察覺異常。 這種極度細微的視覺混淆手段越來越普遍，黑客還可能利用類似的大小寫和字母替換手法，例如將「o」換成「0」、「l」換成「1」或「I」以及使用西里爾字母「а」假裝英語「a」，來製造真假難辨的釣魚電郵或網站，誘騙用戶洩露敏感信息或點擊惡意鏈接。 郵件地址中的字母「m」替換為由「r」和「n」組成的「rn」，形成「rnicrosoft」。 使用 AI 工具需警惕：釣魚攻擊與安全隱患 除了視覺陷阱，針對 AI 工具的新型網絡攻擊也逐漸浮出水面。根據近期保安研究，OpenAI 新推出的 ChatGPT Atlas 瀏覽器被發現存在嚴重漏洞，由於 Atlas…

人工智能（AI）技術被廣泛應用，同時也被黑客迅速「武器化」，令網絡攻擊防禦難度急速上升，單靠人力已難招架。香港網絡安全事故協調中心（HKCERT）最新揭示六大 AI 協助攻擊手法，呼籲企業與市民高度警覺，並提醒防禦策略也需進化。 HKCERT 已引入 AI 工具進行威脅偵測，截止今年 8 月共完成 35 億次掃描，成功識別多個可疑網站，這表明同步提升防禦意識與技術，才能有效應對 AI 武器化帶來的全新挑戰。 想知最新科技新聞？立即免費訂閱！ 一、代理式AI所帶來最新風險 近期，Agentic AI 的快速發展，帶來新的網絡安全風險。這種 AI 不再只是被動回應的聊天機器人，而是能主動操作電腦系統，執行更複雜任務。以往要多人協力才能發動的精密網絡攻擊，現在可能只需一名黑客，就能指揮多個…

網絡安全新聞網站 Cybernews 近日報道了一宗涉及 160 億條密碼的「史上最大規模數據洩漏」事件，涉及 Facebook、Google 等主流服務，引起廣泛關注。香港網絡安全事故協調中心（HKCERT）稱，香港暫無受影響報告，有外國資深網絡安全媒體則指出，這並非來自近期大規模入侵，實際數字或被誇大。惟無論如何，企業和市民都需要提高網絡安全意識，如定期更換高強度密碼。 想知最新科技新聞？立即免費訂閱！ Cybernews 形容為大規模武器化情報 Cybernews 研究團隊自 2025 年初開始密切監控網絡，發現了 30 個暴露的數據集，每個數據集包含數千萬至超過 35 億條記錄，總計達 160 億條，資料涵蓋多個常用網絡服務平台如…

隨著繳税季節的來臨，公眾在準備提交稅務申報的同時，網絡犯罪分子亦可能會利用人為疏忽，通過各種網絡平台發起釣魚攻擊和詐騙活動。黑客可能透過偽造的稅務局網站和欺詐訊息，誘使用戶洩露敏感的個人或財務資料。因此，香港網絡安全事故協調中心（HKCERT）提醒公眾於繳税季節期間應小心注意網絡安全，尤其對透過釣魚網站要求提供個人數據，或要求立即採取行動的通訊應保持警惕。 想知最新科技新聞？立即免費訂閱！ 經電郵或短訊發送偽造通知 在繳税季節，假冒稅務局的釣魚網站成為網絡犯罪分子的常用手段。他們可能會通過電子郵件或短訊發送偽造的通知，聲稱你的稅務資料需要更新或存在問題，並要求你立即回應。這些詐騙訊息可能會包含一個惡意連結，將你引導至一個假冒的稅務局網站，要求你輸入敏感訊息，如身份證號碼、銀行賬戶訊息等。HKCERT 提醒公眾，稅務局不會通過電子郵件或短訊要求提供此類敏感訊息。 以下是假冒稅務局網站和謊稱來自稅務局的電子郵件的例子： 釣魚網站盜取稅務局標誌、eTax名稱和網址hkataxorevenu[.]com[/]hk。（HKCERT 提供圖片） 釣魚電郵同樣盜取稅務局標誌，以及用 Hong Kong SAR 等字樣來增加緊急性。（HKCERT 提供圖片） 如何識別和防範釣魚詐騙 為了保護自己免受這類詐騙的侵害，公眾在收到任何自稱來自稅務局的電子郵件或短訊時，應仔細核實發件人的身份和訊息的真實性。切勿點擊任何可疑的連結或下載附件，尤其是來自不明來源的郵件。若對訊息的真實性有疑問，請直接聯繫稅務局或相關機構進行確認。 保護個人訊息和財務安全至關重要，以下是 HKCERT 的一些建議： 不要查閱被瀏覽器標示為可疑的網站和不應點擊任何不明來歷的連結，例如來自搜尋引擎的廣告等。檢查瀏覽器上所顯示的網址域名有否可疑，惡意的網址域名帶誤導性或與所聲稱機構名稱不符。使用瀏覽器的反釣魚功能來幫助阻止釣魚攻擊，這些功能可以分析網址並在偵測到釣魚網站時彈出警告頁面。當收到可疑的電子郵件或即時訊息時，請務必通過官方渠道核實詳細訊息。切勿在不明來源的網站或向未知發件人提供上個人資料或登入密碼。若網站並非使用…

早前紐約檢察院披露一宗同網上購票平台 StubHub 有關的重大盜竊案，兩個在外判公司 Sutherland Global Services 工作的員工涉嫌利用系統漏洞，盜取顧客購買的高人氣節目門票，當中包括 Taylor Swift Eras 巡迴演唱會等，並在網上轉售後非法獲利近 63.5 萬美元，零成本賺到盡。 想知最新科技新聞？立即免費訂閱！ 講到黃牛飛，香港人應該再熟悉不過，但凡知名歌手開演唱會，歌迷往往敵不過炒家的「高科技」訂購手法，最終只可以上網捱炒價。不過，這次案件的犯人就完全毋須同人爭，坐定定等收飛。 根據紐約檢察部門公佈的資料可見，主要被告 Tyrone Rose 及 Shamara…

香港網絡安全事故協調中心（HKCERT）早前公布，網絡釣魚佔 2024 年全年處理的保安事故總宗數逾六成，情況為五年來最嚴重，而去年惡意軟件數量亦顯著上升，當中大部分更屬於引誘用戶安裝的木馬程式。對企業來說，以上發現反映出端點漏洞仍是黑客偏愛利用的一大保安弱點。致力協助機構推行數碼轉型的 HCLSoftware 就此提醒本港企業，端點安全固然要重視，但數字經濟的急速發展亦令端點類型與數目激增，為企業的 IT 團隊帶來額外沉重的支援和管理壓力。因此，企業引進一個可以跨平台監察、管理和保護各式端點的一站式解決方案實在刻不容緩。 綜合管理提升效率保障安全 端點泛指連接到電腦網絡並與其交換數據的實體裝置，除了管理層一般認知的流動裝置、桌上型電腦，其實還包括伺服器，甚至銷售點（POS）系統、數碼顯示屏以及各種物聯網（IoT）設備。若 IT 團隊沒有自動化解決方案的協助，需用人手逐一為這些端點進行風險審查和緩解漏洞，費時失事之餘更會令黑客有機可乘。 事實上，由港府「數字政策辦公室」制定的《資訊科技保安指引》（G3）不僅要求政府各決策局或部門在所有伺服器、工作站和流動裝置中部署「端點偵測與回應」解決方案，更已規定各決策局或部門採用風險為本的方法，以「一致及有效的方式」為 IT 系統識別保安風險，訂定應對風險的緩急次序和應對有關風險。換言之，要貫徹風險為本的安全策略，自動化端點管理的常規程序便應結合掃描識別、評估、追蹤和緩解漏洞（包括修補程式管理程序以安裝必要的更新，限定授權軟件安裝，以及調整己置設定）等程序，以確保任何新洞在被利用前得以及時識別和修復，達到增強整體 IT 基礎設施安全勢態的目標。 HCLSoftware 大中華區總經理 Terry Leung…