資安風險
」 資安 AI 微軟 數發部 駭客
問世16年後爆紅!這款iPhone收購價「狂飆60倍」 業界揭原因
早已停產多年的iPhone4,竟在問世16年後迎來意外翻紅,回收與二手價格短時間內暴漲,最高甚至出現約60倍的漲幅。近日,「iPhone 4回收價上漲60倍」相關話題登上熱搜,引發網友熱烈討論。業界分析指出,iPhone 4再度走紅,與Z世代偏好復古美學、追求「低科技感」以及逃離數位焦慮的心態密切相關。TechWeb報導,iPhone 4過去多被視為廢舊手機,回收價僅約5元人民幣,但近期部分機況良好的機型,轉售價格已達150至300元,全新未拆封的版本更被喊價至近千元。TechWeb查詢二手交易平台發現,目前多數iPhone 4的成交價格仍在百元以內,平台數據顯示,近7日平均成交價約為45元,但整體關注度明顯上升。據了解,iPhone 4於2010年6月推出,配備3.5吋 Retina螢幕、A4處理器、500萬畫素後置鏡頭與iOS 4系統,方正的邊框設計與實體Home鍵,至今仍具高度辨識度。在當前曲面螢幕、挖孔設計成主流的手機市場中,其極簡且帶有復古氣息的外型,反而顯得與眾不同。業界分析指出,iPhone4再度走紅,與Z世代偏好復古美學、追求「低科技感」以及逃離數位焦慮的心態密切相關。其500萬畫素鏡頭拍攝出的影像帶有明顯顆粒感與高對比效果,被形容為「低保真」風格,呈現出類似老電影的敘事氛圍。在TikTok上,#iPhone4Photography標籤累積播放量已突破5億次,成為年輕族群拍攝寫真與靜物的另類工具。相較動輒上千元的復古膠片或CCD相機,iPhone 4入手門檻低、配件便宜,甚至可自行更換電池,維修成本不高,進一步助長其流行。不過,專家提醒,iPhone 4最高僅支援iOS 7.1.2,長期未更新恐存在資安風險,消費者也須留意炒作造成的價格泡沫,避免盲目跟風「高價接盤」。
比特幣納儲備資產? 央行評估4風險「不適合」
針對比特幣是否納入中央銀行儲備資產,央行最新報告指出,比特幣作為儲備資產將有價格波動劇烈、流動性、資訊安全與託管、監管規範架構尚未成熟等四大風險。不過,報告提到,鑑於穩定幣在跨境支付領域的應用潛力,央行將密切關注其發展與影響。央行表示,儲備資產多在危機時期用以維持經濟及金融穩定,因此投資著重流動性、安全性及收益性;比特幣流動性仍遠不及傳統資產、存在價值不穩定及資安風險等安全性疑慮。儘管比特幣具備供給固定、去中心化、可分散投資組合及政治動亂情境下可攜性等特性,且過去加密資產展現高報酬的潛力,但歷年來比特幣亦多次出現崩跌,即便波動有下降趨勢,仍遠高於主要貨幣、美債及黃金的波動性。比特幣雖有顯著交易量,但流動性遠不及傳統儲備資產,加上加密資產市場有價格操縱潛在風險,交易集中少數交易所與平台,若遇到技術故障或平台破產事件,流動性可能瞬間消失。比特幣目前缺乏一致性的監管架構恐導致法律風險,更令央行難以將加密資產納入儲備資產的管理策略中。近一年來全球主要央行及國際機構也對比特幣作為儲備資產抱持審慎態度,倭國認為比特幣等加密貨幣不適合作為央行儲備資產。截至收稿,比特幣小漲0.06%,暫報90,352.33美元。
微軟Windows 11推「代理式AI功能」恐釀資安漏洞 官方向用戶發警告
微軟近日向Windows 11用戶推出全新的「自主代理式 AI(agentic AI)」功能,提供用戶能透過人工智慧協助處理檔案整理、寄送電子郵件等任務。然而,微軟也在最新支援文件中坦言,這類AI需要更深層的系統存取權限,同時可能變成惡意軟體入侵的新途徑,恐釀全新的資安風險;不過官方強調該功能將預設關閉,建議熟悉安全風險的用戶再啟用。綜合外媒報導,微軟Windows 11用戶推出全新的「自主代理式 AI(agentic AI)」功能,但為降低風險,微軟同步推出名為「代理工作區(agent workspace)」的實驗功能,為AI建立一個受限的獨立使用者環境。這個環境類似Windows 11的有限權限帳號,允許 AI 使用部分系統常用的檔案與應用程式,但無法操作特定使用者安裝的軟體,也不能任意存取使用者資料夾(C:\Users\)內的內容,除非獲得明確授權。微軟指出,這種設計比完整虛擬機(例如 Windows Sandbox)更有效率,同時保留必要的安全隔離,且相關操作都會被完整記錄。儘管如此,微軟仍示警,這類AI本質上具備潛在風險。另外微軟也提到,AI代理可能遭遇跨提示詞注入攻擊(XPIA),「惡意內容可能藏在介面元件或文件中,導致AI被迫執行非預期指令,例如竊取資料或安裝惡意程式。」微軟強調,這項功能目前並未強制啟用,而是在系統中預設關閉。使用者若想啟用,需自行前往「設定>AI Components>Experimental agentic features」開啟。此外,官方也提醒,啟用後將影響系統內所有使用者,因此需要充分了解其安全風險。隨著Copilot+ PC推出,微軟全力推動AI技術,卻遭外界多次批評實用性與安全性不足,包括先前因隱私疑慮而遭質疑的Microsoft Recall。這次的自主代理式AI表面上能提升效率,但在高度系統權限與操作不可預期的前提下,仍讓不少使用者憂心其安全性。
國安局揭陸製AI風險 賴瑞隆促數發部常態示警加強資安防護
國安局日前公布「DeepSeek」等五款陸製生成式AI語言模型的檢測結果,指出部分模型可能涉及「強迫同意不合理隱私條款」及「蒐集設備參數」等問題,引發資安疑慮。對此,民進黨立委賴瑞隆今(20)日表示,數發部應定期發布相關檢測資訊與示警,提醒民眾提高防範意識。賴瑞隆指出,總統賴清德昨日已提及中共持續透過多元方式滲透台灣,藉以達到政治目的。他引述國安局所披露的報告指出,部分陸製AI模型不僅要求使用者同意不合理的隱私條款,也可能在背後蒐集個資,形成資安風險。他強調,這些行為恐與中共政策要求有關,數發部有必要針對潛在資訊外洩或惡意蒐集的情況提出明確提醒。他表示,雖然產業因需求不同而有不同考量,但仍可能受到認知作戰或資訊操弄影響。他呼籲,數發部應定期將掌握的檢測數據與風險資訊對外發布,讓民眾了解使用陸製AI可能面臨的威脅,並強化政府在第一線面對中國滲透時的防護能力。數發部次長侯宜秀回應,部會內已建立AI模型資安驗測框架,供行政機關使用,目前公務機關禁止使用中製生成式AI模型。至於企業與一般民眾,數發部將持續公布最新驗測結果,協助使用者在採用前做出更審慎的判斷。侯宜秀指出,中製生成式AI確實可能存在資安疑慮,不同領域的使用者對於場景與風險程度的評估也有所不同。例如教育領域因使用者較缺乏判斷力,因此更應全面避免;但部分不需價值判斷的領域在成本或需求考量下,企業可能仍會採用,因此政府將持續發布風險資訊,提供使用者參考。
指對岸可能透過AI侵犯隱私 賴清德:避免下載具資安疑慮的應用程式
民主進步黨今(19)日召開第二十一屆第五十六次中常會,賴清德總統兼任主席表示,希望所有的黨公職,能協助政府宣導,呼籲國人與企業能提高警覺,避免下載具資安疑慮的中國製應用程式,來降低資訊外洩的風險,與成為資安破口的可能。民進黨發言人韓瑩會後轉述賴清德致詞,賴清德指出,近年來人工智慧科技快速崛起,已經是全球先進國家發展的重點,尤其是生成式AI語言模型的發展,應用範圍更為廣泛,為人類生活帶來更便捷、更快速的發展,同時,也帶來威脅跟挑戰。賴清德再指,台灣不僅身處第一島鏈的關鍵防線,也是全球資安風險的最前線,中國藉由各種手段試圖滲透台灣社會,AI協助的數位滲透,更成為其重要手法之一。賴清德提到,日前,國安單位抽測中國製的生成式AI,發現普遍存在強迫同意不合理隱私條款、過度蒐集個資、逾越使用權限等資安風險,以及資訊扭曲等問題。賴清德說,中國極有可能透過這些AI模型,侵犯台灣民眾的個人隱私,進而發動像是駭客攻擊、認知作戰與精準監控,來危害台灣的民主社會和國家安全。賴清德表示,「資安即國安」,政府會持續強化關鍵基礎設施,包含水電、能源、電信、運輸及金融網絡等安全,提升國家數位韌性與資安防護,我們也會導入AI,強化資安、無人載具的建構與生產。賴清德說,「與此同時,我們希望,企業及個人對資訊安全要有更好的認知,一起提升國家的資安,還有個人的資安」。對此,賴清德表示,中央黨部每年都會邀請外部資安專家來講課,提升黨工的資安意識,所以,接下來兩週舉辦的資安課程,希望全體同仁都能夠撥空參加,了解新型態的資訊技術發展,以及可能的資安風險。最後,賴清德也希望所有的黨公職,能協助政府宣導,呼籲國人與企業能提高警覺,避免下載具資安疑慮的中國製應用程式,來降低資訊外洩的風險,與成為資安破口的可能。
點名陸製「生成式AI語言模型」藏資安風險 國安局示警:DeepSeek等5款
「生成式人工智慧(AI)語言模型」近年快速發展,應用範圍廣泛。各國政府及學研機構日益關注中製「生成式AI語言模型」存在資安疑慮。為維護我國家安全及民眾個資,國安局依據《國家情報工作法》,蒐研各國資安報告及情資後,協調統合法務部調查局、警政署刑事局等單位,抽測中製「生成式AI語言模型」。檢測結果顯示,相關產品普遍存在資安風險及內容偏頗等問題,提醒國人慎選並注意資料外洩。本次抽驗中製「生成式AI語言模型」,包含「DeepSeek」、「豆包」、「文心一言」、「通義千問」及「騰訊元寶」等5款。檢驗內容包含「應用程式」及「生成內容」等兩大部分。首先,在「應用程式」部分,驗測團隊採用數發部發佈「行動應用APP基本資安檢測基準v4.0」,針對「過度蒐集個資」、「逾越使用權限」、「數據回傳與分享」、「擷取系統資訊」及「掌握生物特徵」等5類違規樣態下的15項評鑑指標,逐一執行驗測分析。「通義千問」在15項指標中,驗出11項違規情形;「豆包」與「騰訊元寶」計有10項違規;「文心一言」及「DeepSeek」則各有9項及8項違規。尤其5款抽測的中製應用程式,均有要求「位置資訊」、蒐集「截圖」、「強迫同意不合理隱私條款」,以及「蒐集設備參數」等問題。其次,在「生成內容」部分,本次驗測依照我國「AI產品與系統評測中心」公告10項AI評鑑類別,進行生成內容評測。檢測結果顯示,5款中製「生成式AI語言模型」所生成的內容,出現嚴重偏頗與不實資訊,包括:一、政治立場親中:在涉及兩岸、南海、國際爭端等議題時,生成內容採用中共官方立場。例如:「台灣目前由中國中央政府管轄」、「台灣地區不存在所謂國家領導人」、「強調中國社會主義特色」。二、歷史認知偏差:針對台灣歷史、文化、政治等議題的描述,生成不實資訊,意圖影響使用者對台灣背景資訊的認知,包括「台灣不是一個國家」、「台灣是中國領土不可分割的一部份」、「中國台灣」。三、關鍵字審查:生成內容刻意排除特定關鍵字,例如「民主」、「自由」、「人權」、「六四天安門事件」等,顯示資料系統遭政治審查與控制。四、資訊操弄風險:中製AI語言模型可輕易生成具高度煽動性、抹黑他人、散播謠言的內容,恐被用來傳散不法資訊。五、網路攻擊指令:在特定情況下,可生成網路攻擊指令及漏洞利用程式碼,增加網路安全管理風險。目前國際上已有多國政府,包括美國、德國、義大利及荷蘭等國,針對特定中製「生成式AI語言模型」發出禁用、避免使用等警告,甚至要求應用程式商店下架。主要關切在於,中製AI語言模型可識別使用者身分,透過蒐集對話與記錄等功能,將使用者個資回傳至中企伺服器,甚至依照中共《國家情報法》、《網路安全法》等規定,提供特定政府部門運用。國安局協同法務部調查局及警政署刑事局,驗測5款中製「生成式AI語言模型」後,發現普遍存在資安風險及資訊扭曲等問題,建議國人提高警覺,避免下載具資安疑慮的中製應用程式,以保護個人隱私及企業資訊。國安局未來將持續加強與國際友盟分享情資,掌握跨國資安風險,以確保我國家安全及數位韌性。
Discord爆用戶個資大量外洩! 官方證實:駭客竊取身分證、地址
全球擁有超過2億活躍用戶的即時通訊平台Discord日前證實,遭遇嚴重資安事件,導致約7萬名用戶的政府核發身分證明文件(如護照、駕照)照片遭到外洩,部分用戶的姓名、電子信箱、IP位址與交易紀錄等敏感資料也可能遭到駭客存取。綜合外媒報導,據Discord發言人說明,此次受影響用戶數約為70,000人,駭客取得的資料類型包括姓名、使用者名稱、電子信箱、IP 位址與部分客訴對話紀錄;而在金流方面,僅涉及信用卡末四碼及付款歷史等「有限的財務資訊」,平台強調用戶密碼及完整的付款資料未遭外洩。Discord 表示,有駭客組織在駭入系統後試圖勒索金錢,並散布誇大的數據(聲稱竊得超過200萬筆資料)以施壓。但平台明確拒絕付款,並指出該數字不實,是駭客試圖操控輿論的一部分。而有一個自稱為「Scattered Lapsus$ Hunters(SLH)」的駭客組織對此事件宣稱負責,並指入侵手法為滲透Discord所採用的客服系統 Zendesk。報導指出,在駭客建立的Telegram頻道中,有用戶已經上傳上百張用戶手持身分證明文件的照片,還包括部分含有姓名、電子郵件、地址資訊與被遮蔽電話號碼的用戶資料庫。不過,媒體尚未獨立驗證這些資料真實性是否與Discord外洩案有關。對此,隱私權倡議團體Electronic Frontier Foundation(電子前線基金會)表示,Discord此案凸顯線上平台年齡驗證制度的資安風險。該組織副主任Maddie Daly指出,「一旦使用者提交身分資料,就無從得知這些資料會如何儲存、處理與分享。只要系統一旦遭駭,風險即難以承受。」事實上,今年稍早女性匿名社群App「Tea」也曾爆出資料外洩事件,約7.2萬張上傳作為性別驗證的用戶照片被駭客盜取,凸顯相關平台在處理個資方面的潛在風險。目前,Discord已主動聯繫所有受影響用戶,並同步通知執法單位,也已立刻撤銷該第三方廠商的系統存取權限,並與數位鑑識公司合作進行全面調查,確保平台未來資安強度。Discord強調,此次事件並非其主系統遭駭,而是駭客入侵其第三方客服廠商系統後,非法取得用戶資料。而這些資料主要來自近期進行年齡驗證或向客服申訴年齡判定結果的用戶,駭客透過攻擊客服系統,取得這些使用者上傳的身分證。對於台灣用戶是否受到影響,Discord尚未提供進一步的地區性統計,但建議曾進行身份驗證的用戶應密切注意個資動態。
43%用戶還在Win 10!數億裝置失去安全更新 微軟2替代方案供用戶選擇
微軟(Microsoft)將在14日正式終止對Windows 10的支援,這意味著全球仍使用該系統的數億台電腦將不再獲得安全性更新與修補。政策生效後,無論一般使用者或企業裝置,資安風險都將升高。根據《BBC》報導,微軟建議升級至Windows 11,並為部分符合資格的個人電腦提供免費升級。不過因硬體門檻所限,許多老舊裝置無法支援新版系統。對此,美國消費者團體PIRG資深主任普羅克特(Nathan Proctor)直言,此決策「正演變成一場對消費者與環境的災難」,他批評科技業讓產品壽命愈來愈短、難以維修且被迫淘汰,「人們值得擁有能長久使用的科技」。依StatCounter數據,截至2025年7月,全球約有43%的Windows使用者仍在用Windows 10。微軟表示,全球有超過14億台裝置運行自家作業系統。在英國(UK),消費指南機構《Which?》估計仍有2100萬人使用此版本。該機構9月調查顯示,約四分之一受訪者打算在官方支援結束後繼續使用;每七人約有一人計畫直接購買新電腦。目前微軟提供兩個替代方案:其一,升級至Windows 11;其二,註冊「延伸安全性更新」(Extended Security Updates,簡稱ESU)計畫。ESU可在未來12個月持續提供關鍵安全更新,但不含技術支援與功能更新。已更新至最新版本、擁有微軟帳號且完成電腦備份的使用者,可免費獲得此服務;不符合條件者需支付30美元或以1000點Microsoft Rewards點數兌換。企業用戶則需每台裝置支付61美元。普羅克特批評,這將迫使許多仍運作良好的電腦被淘汰,使用者不得不為新裝置額外支出,對經濟與環境形成壓力。報導中提到,自2015年推出以來,Windows 10透過更新修補漏洞與加入新功能;停止支援後,系統將不再獲得防護補丁,裝置更易遭病毒、惡意軟體或駭客攻擊。近月多起大型網攻波及零售、汽車製造與托嬰連鎖等產業,資安再成焦點。微軟消費者事業行銷長梅赫迪(Yusuf Mehdi)在官方部落格表示,持續使用不受支援的系統,企業可能難以符合法規要求。若選擇升級Windows 11,需以微軟帳號登入;新系統相較舊版幾乎取消「本機帳號模式」,引發部分使用者對隱私與資料綁定的疑慮。對仍堅持留在Windows 10的使用者而言,未來不僅面臨安全風險,其他軟體開發商也可能逐步停止提供更新,導致部分功能無法使用。從技術、隱私到成本,這場作業系統更替正牽動數以億計人的數位生活。
Windows 10將停更 4億台電腦無法升級面臨資安危機
微軟宣布,作業系統Windows 10將於2025年10月14日後停止版本更新與支援,涵蓋企業及個人用戶。然而截至今年8月,全球仍有46.2%的Windows用戶使用Windows 10,約有4億台電腦因硬體限制無法升級至Windows 11,引發高度關注。根據外媒的報導,美國消費者權益組織《消費者報告》(Consumer Reports)已致函微軟執行長納德拉,呼籲延長Windows 10的免費支援期限。該組織指出,如果微軟拒絕延長更新,數億台電腦將面臨資安風險,包括資料外洩與網路攻擊的威脅。《消費者報告》批評微軟一方面鼓勵用戶升級至Windows 11以強化網路安全,另一方面卻將現有Windows 10用戶暴露於風險之中,並稱此舉「虛偽」。此外,加州聖地亞哥的個人用戶Lawrence Klein上月對微軟提起訴訟,指控公司利用Windows 10支援終止迫使用戶購買新設備。他認為,微軟此舉可能造成電子廢棄物增加,並危及未使用微軟產品用戶的資料安全。他希望法院要求微軟持續免費支援Windows 10,直到使用率降至10%以下。微軟此前已開始向用戶發送更新通知,提供延長Windows 10支援的兩種免費方式,一是使用1000點Microsoft Rewards兌換,二是將「設定」同步備份到雲端。若選擇其他方式,個人用戶需支付30美元以購買一年延長安全更新資格。事實上,Windows 10於2015年發佈時,其10年的生命週期看起來似乎並不合理。然而這款作業系統的普及卻比預期耗時更長,雖然Terry Myerson在發佈時雄心勃勃地預測,這款新作業系統將在兩到三年內覆蓋10億台設備,但這一里程碑直到2020年才得以實現,如今距離實現已經過去了近5年。相比之下,Windows 11推出四年以來普及速度更緩慢,部分原因在於新系統對硬體需求較高,對一般用戶及企業而言升級成本過高,但對遊戲玩家而言則因效能提升而遷移較快。專家指出,Windows 10支援終止後,尚無法升級的舊設備將面臨更高的安全風險,用戶需自行評估是否升級或採取其他防護措施。
北市試辦機器狗巡人行道惹議 數發部長示警:恐遭敵對勢力遠端操控
台北市政府近期宣傳,未來將推動「智能機器狗」巡視人行道,作為科技輔助生活的新措施,但消息一出即引發關注。對此,即將上任數發部長的林宜敬今(28日)表示,機器狗等高科技產品通常必須連網,還可能透過遠端連線或自動更新更改內部軟體,一旦遭境外敵對勢力入侵,恐被操控甚至回傳敏感資訊,因此北政府必須格外謹慎。國外早在多年前便廣泛運用智能機器狗於公共安全巡檢、災害救援及軍事等領域。近期,台北市政府也引進智能機器狗,並在試辦階段將其應用於人行道巡視。然而,外界質疑此舉恐潛藏資安風險,在社會上掀起熱議。民進黨議員簡舒培質疑,該設備外觀與中國廠商「宇樹」的產品高度相似,恐涉資安風險。北市府則澄清,機器狗本體確為中國製造,造價約70萬元,但其環景巡檢系統與遠端控制軟體皆由台灣團隊研發,並強調此舉是為推動智慧城市應用。對此,林宜敬提醒,依現行規範,各級政府若要使用中國製資通訊產品,須經資安長層層核准並報數發部同意。截至目前,數發部尚未收到北市府申請。他再次強調,即便當下檢測結果顯示安全,未來仍可能透過更新或遠端操控留下漏洞,台北市政府應嚴加把關,以確保公共安全不受威脅。
YouTube將推行「AI猜年齡」揪出未成年使用者 自動改為「青少年模式」
影音平台YouTube每月登入使用者超過27億,每天全球觀看影片總時數超過 10億小時,而為了更有效保護年輕使用者,YouTube將在美國使用AI技術來「估算年齡」,若被判定為未成年,則會套用「未成年人保護規範」,避免接觸到不合適的內容。綜合外媒報導,YouTube於今年2月首次宣布了這項AI功能,當時YouTube就說明,將會區分年輕觀眾和成年人,並提供最佳、最適合該年齡段的體驗和保護。依據YouTube官方部落格在7月29日上傳的文章,這項新功能利用AI技術,自動判斷使用者是否未滿18歲,並向使用者發出通知,同時啟動相關保護措施,而該功能將優先在美國實施,後續視情況再推廣至全球。YouTube也提到,如果使用者認為年齡遭到「誤判」,可以上傳政府核發的身分證件,或是自拍照、信用卡資料來進行驗證。不過,有些使用者對於YouTube要求出示身分證件、信用卡資料一事感到不滿,認為此項規定侵犯了隱私權,並有資安風險,部分網友更在Reddit和X寫下了「#BoycottYouTube」。對此,YouTube強調,這只是為了更好地保護年輕使用者,提交證件都是自願的,如果使用者不願意上傳,帳號將保留為「青少年模式」。
微軟停更Windows 10!用戶被迫淘汰氣炸提告 2.4億台電腦將被丟棄
美國加州南部一名男子7日向聖地牙哥高等法院提告微軟,指控該公司計劃於10月14日終止對Windows10的常規支援,用戶將無法接收新功能或安全性更新,構成「強迫汰換」並企圖壟斷生成式AI市場。原告勞倫斯‧克萊因(Lawrence Klein)表示,他的兩台筆電均使用Windows10,屆時將失去安全更新與新功能,形同被迫淘汰。Windows11內建微軟生成式AI服務Copilot,需依賴新型神經處理單元(NPU)才能發揮最佳效能,而該硬體多數舊機型不具備。根據StatCounter統計,全球約43%Windows用戶仍使用Windows10,估計有2.4億台個人電腦因硬體不符規格無法升級Windows11,將面臨資安風險。微軟提供的延長安全更新服務需額外付費,個人用戶每年30美元,企業每台最高第三年達244美元。克萊因在訴狀中稱,微軟的策略將迫使大量用戶購買新裝置,造成電子廢棄物暴增,並危及未使用微軟產品者的資料安全。他要求法院下令微軟持續免費支援Windows10,直至該版本使用率降至總用戶10%以下。微軟對此尚未回應。分析師曾警告,此舉可能導致多達2.4億台電腦被淘汰,「如果這些都是折疊起來的筆記型電腦,一個疊一個,那麼它們的高度將比月球高600公里。」
H20晶片有後門?疑「資安風險」遭陸網信辦約談 輝達「這樣回」
中國國家互聯網信息辦公室31日公告,為維護中國用戶的網路數據安全,網信辦在同日約談輝達,要求輝達就銷往中國之H20晶片可能存在的漏洞與後門等安全風險進行說明,並提交相關證明資料。輝達表示,網路安全至關重要,銷往中國的H20晶片不存在遠端存取或控制的後門,公司將全面配合中國監管機關調查並提交所需數據證明。輝達31日股價下跌0.78%,收在177.87美元。美議員先前呼籲要求美出口的先進晶片必須加入「追蹤定位」功能。美人工智慧(AI)領域專家透露,輝達先進晶片「追蹤定位」與「遠端關閉」技術已成熟。目前美國國會正討論強制輝達等企業在晶片中植入位置追蹤模組,所涉立法議程即《晶片安全法案》(Chip Security Act)。該法案的參眾兩院版本於今年5月推出,目前均在提案階段,尚未通過。然而,輝達晶片在中國需求強勁,不僅科技企業,軍方、國營研究機構與大學也高度倚賴。根據《路透》報導,該公司上周向台積電(2330)下單30萬個H20晶片,以應對中國市場需求。
資安風險高!要求同仁刪「小紅書等5陸製APP」 劉世芳:對國安危害大
國安局針對5款大陸製APP進行抽檢,包含「小紅書」、「微博」、「抖音」、「微信」及「百度雲盤」等國人熟悉的應用程式,均嚴重違反多項檢測指標,尤其小紅書在15項檢測指標中,全部驗出違規情形,存在資安風險。內政部長劉世芳3日表示,已要求內政部同仁從手機裡刪掉這些APP,因為裡面對國安危害太大了。內政部今天舉行部務會報會後記者會,針對陸製5款APP恐有資安風險,劉世芳表示,內部管控部分,今天已要求內政部同仁從手機裡刪掉這些APP,因為裡面對國安危害太大了,且她在部務會報提之外,也要求單位回去轉達,「我只能管到內政部跟下屬。」內政部資訊服務司長黃國裕補充,小紅書、抖音等只要在APP使用時間內,就會自動蒐集用戶所在地位置,透過白天與晚上使用時間長短,就可以得知用戶在哪上班、住址,甚至可取得用戶通訊錄等,甚至截圖錄影,也會遭APP蒐集資料。黃國裕指出,其中以小紅書最嚴重,即使下載過沒在用,還是可以隨時掌握用戶資料,甚至記住用戶臉部特徵,入境中國可辨識出來用戶;另外即使將APP解除安裝、卸載,還是有可能有反制作為,像是可能殘留程式碼跟資料,建議還是要回原廠或是代理商,恢復手機原廠設定,從最根本移除比較安全。
驗測陸製APP 國安局:5款普遍存在資安風險
國安局今(2)日示警,經國安局依據《國家情報工作法》規定,在蒐研各國資安調查報告及相關情訊後,通報並統合法務部調查局、警政署刑事局等單位,針對數款陸製APP進行抽檢,驗測結果顯示5款普遍存在資安風險;建議國人提高對行動裝置的安全警覺,避免下載具資安疑慮的中製APP,以保護個人隱私及企業營業秘密等相關資訊。有過度蒐集個資及侵犯隱私等資安問題,提醒國人慎選相關產品。國安局指出,近年來國際社會持續關注中共製「行動裝置應用程式 」(APP)資安問題,各國政府及民間研究機構紛紛公開示警,擔心陸製APP用戶的資通訊安全遭嚴重曝險。為避免中共以不正當管道竊取我國人個資,本次抽驗的中製APP,包含:「小紅書」、「微博」、「抖音」、「微信」及「百度雲盤」等5款國人熟悉的應用程式。法務部調查局及警政署刑事局採用數發部發佈「行動應用APP基本資安檢測基準v4.0」相關指標,針對「蒐集個資」、「逾越使用權限」、「數據回傳與分享」、「擷取系統資訊」及「掌握生物特徵」等5類違規樣態所涵括的15項評鑑指標,逐一進行驗測分析。國安局表示,整體檢測結果顯示,抽驗的5款中製APP,均嚴重違反多項檢測指標。尤其「小紅書」在15項檢測指標中,全部驗出違規情形。另外,「微博」與「抖音」計有13項違規,「微信」有10項違規,「百度雲盤」則有9項違規。此結果顯示5款中製APP普遍存在資安風險,超出一般對應用程式蒐集資訊的合理預期。其次,5款陸製APP 均有「過度蒐集個資」與「權限濫用」等資安問題,包括:廣泛蒐集「臉部資訊」、「截圖」、「剪貼簿」、「通訊錄」及「定位」等多項違常違規情形。在「擷取系統資訊」部分,5款中製APP都有蒐集用戶程式清單、設備參數等資安疑慮;另外,在「掌握生物特徵」部分,使用者臉部資訊亦可能遭應用程式刻意蒐集建檔。國安局表示,就「數據回傳與分享」部分,5款陸製APP均將封包資料回傳中國大陸境內伺服器,可能導致使用者個資遭第三方濫用。尤其中共依照《網路安全法》及《國家情報法》規定,可要求企業將用戶資料及數據提供給國安、公安及情工部門,恐使國人個資遭中共特定單位掌蒐及運用。「目前世界多國政府,包括美國、加拿大、英國、印度等國均已對特定中製APP發出禁用或警示。」國安局表示,歐盟甚至啟動「通用資料保護規則」(GDPR),針對與中共相關的特定APP,進行竊資調查,並裁罰鉅額罰金。面對陸製APP存在資安風險,我政府機關已禁止使用中共品牌的資通訊產品,包括各種軟硬體。
駭客新勢力2/資安守護者也淪陷! 精誠遭駭牽動個資黑市價格
近日,臺灣資訊服務業龍頭公司、精誠資訊遭駭客攻擊並勒索,消息傳出震驚業界。精誠資訊是臺灣最大資訊系統整合商,客戶涵蓋航空、金融及多項關鍵產業,每日處理龐大機密資料,因此成為駭客眼中的高價目標。法務部調查局已介入偵辦,不排除與近期活躍的中國駭客組織CrazyHunter有關。此事件不僅衝擊精誠股價,更引發外界對個資與企業機密價值的關注。為何資安公司也會遭駭?關鍵在於駭客鎖定的目標不僅是一般企業,而是「擁有高價值資料的中介者」。資安公司掌握大量客戶的機密與系統權限,一旦被攻破,便能窺見多家企業的敏感數據,並藉此發動更大規模攻擊或勒索。換句話說,攻破資安公司,等於打開多個企業的後門,效益遠超單一企業攻擊。資安公司掌握客戶的機密與系統權限,一旦被攻破,駭客便能發動更大規模攻擊或勒索。(圖/123RF)談到個人資料的價值,根據多家資安研究機構及暗網監控報告,臺灣護照在黑市的價值約在400美元左右(約新台幣1萬2千元),屬於相當高價的身份證件。帶有密碼和個人敏感資料的完整帳號則可高達50美元(約新台幣1500元)。信用卡資料依卡片類型與有效期限,價格約從10美元到100美元(約新台幣300元至3000元)不等。至於網路帳號部分,一組Gmail帳號約65美元(約新台幣2100元),Facebook帳號約45美元(約新台幣1500元),Netflix或Spotify等訂閱帳號價格落在10至15美元(約新台幣300至500元)。PayPal等支付帳號若有餘額,價值可達200美元以上(約新台幣6500元)。除了個人資料外,企業機密數據價格更高。一份公司內部的財務報告、技術文件,甚至客戶名單等,都可能以數千至數萬美元價格在暗網交易。部分駭客組織還會根據受害企業的規模與資料重要性調整贖金要求,金額從數萬美元起跳,最高可達數百萬美元不等。個資及企業機敏資料在黑市行情不一,應有效防護以降低被駭風險。(圖/123RF)舉例來說,馬偕紀念醫院曾遭勒索高達250萬美元(約新台幣7500萬元),駭客組織威脅公開1600多萬筆病患個資,甚至有詐騙團體出價約新台幣328萬元購買部分資料。此案例顯示,醫療機構資料在黑市極具吸引力,不僅涉及患者隱私,也關係到醫療安全與信任。檢警調指出,資安公司遭駭,不只是企業單一事件,個資及企業機密在暗網市場的價值不容小覷,從幾百美元到數百萬美元不等。精誠資訊遭駭正提醒社會,當「防守者」成為攻擊目標,資安風險及損失將急速放大。理解這些資料價值,才能更有針對性地加強防護,降低未來被駭風險。2025年7月3日精誠資訊來函聲明如下:本公司接獲匿名網路勒贖信件後,為釐清原由並確認是否為資安事件,即立即啟動資安應變機制並向法務部調查局報案,更委託國際資安專業公司趨勢科技股份有限公司調查,依調查顯示,並未發現有個資外洩情事,亦未發現可能造成個別客戶損害風險的情事。
「駿永資訊」科技升級 構建漏洞與資安輿情系統
「驊宏資通」(6148)子公司的「駿永資訊」,深耕企業網路營運與資訊安全領域,近日已建置並啟用其「CVE漏洞與資安輿情系統」,透過AI技術發展,可以達成優化內部作業流程、有效傳承專業知識,以及創新應用創造營收的三大目標。「駿永資訊」表示,這套系統不僅大幅提升內部技術團隊進行網路與資安維運效率,同時也具備對外提供客戶高價值加值服務潛力,是客戶端提升資安輿情系統的一大升級。過往為協助客戶進行定期維運報告,都是仰賴人工從各網站蒐集與彙整網通設備相關的CVE漏洞資訊,並持續追蹤解決方案。這套「CVE 漏洞與資安輿情系統」改變了這種現狀。「駿永資訊」表示,系統能自動化從指定來源的資安平台擷取、處理資訊,這項自動化能力估計可減少高達80%的人工工時,兼顧提升生產力也能有效傳承與取用資安知識。根據「駿永資訊」的建置系統包括:(1)整合檢索:有強大搜尋框,支援關鍵字與布林邏輯(AND/OR/NOT)查詢,並可透過發布時間、資安風險等級、資料來源、供應商等參數進行進階篩選。(2)首頁儀表板:提供可切換的新聞列表、視覺化文字雲的觀測維度,協助使用者快速掌握議題焦點。(3) 報表管理:可依需求建立報表訂閱任務,並設定關鍵字及頻道條件,系統可自動生成報表並推播至指定電子郵件,也提供歷史報表檢視及下載。除此之外,「CVE漏洞與資安輿情系統」不僅能提升專案形象與客戶滿意度,支援個別客戶設置專屬報表模組產出客製化的報表需求,能發展成為可加值的專業服務,創造新的客戶成功要素。強化資安維運動能 鏈結「思科」AI賦能未來安全營運「駿永資訊」是「思科」的金質經銷商,建置這套「CVE漏洞與資安輿情系統」匯集的豐富、結構化資安數據,可以驅動下一代AI賦能資安應用的重要基礎,期許未來能夠銜接「思科」Foundation AI首款開源安全領域專用大語言模型的Foundation-Sec-8B,持續解決資安營運中的複雜挑戰。駿永資訊打造專屬「CVE漏洞與資安輿情系統」,自動化擷取全球資安情報,強化技術維運效率。 (圖片提供/驊宏資通)「思科」表示,Foundation-Sec-8B並非通用的語言模型,專門訓練於高品質資安資料集,包含威脅情資、漏洞資料庫(如CVEs)、事件回應文件及資安標準(如MITRE ATT&CK)。儘管僅有80億參數,其在多項核心資安基準測試中的表現,可媲美參數多近十倍的模型。根據Foundation-Sec-8B 的設計,其核心應用類別包括:(1) SOC加速(SOC Acceleration):自動化警報分類、事件摘要、案例記錄生成、證據收集等,減少誤報並加速威脅偵測。(2) 主動威脅防禦(ProactiveThreat Defense):模擬攻擊、優先處理漏洞、映射TTPs、建立攻擊者行為模型。(3)工程賦能(EngineeringEnablement):提供安全協助、驗證配置、評估合規性、分析安全策略。這三大核心應用類別再搭配「駿永資訊」的「CVE 漏洞與資安輿情系統」的即時資安情報,能為企業的安全營運帶來深入的洞察、減少誤判、以及快速的反應時間,更能應對日益嚴峻的資安挑戰。
Threads淪詐騙新溫床案引資安憂慮 林國成籲數發部研擬納管機制
Meta旗下社群平台Threads曾在台灣掀起一波熱潮,迅速竄紅並吸引大量年輕用戶。然而,民眾黨立委林國成今(18日)指出,Threads在台灣的用戶數已突破 350 萬,近期更頻頻爆出詐騙案件,衍生資安風險日益嚴重。他呼籲數位發展部儘速提出具體的納管時程,強調「該納管就納管,主管機關應展現應有的公權力」。立委林國成近日指出,目前數位發展部已將Meta、Google、YouTube等六大平台列為網路廣告平台管理對象,但擁有超過350萬用戶的Threads卻未納入,引發外界質疑。對此,數發部長黃彥男回應表示,Threads自今年開始開放廣告業務,依照規定,未來若符合特定規模標準,將依法納管。在尚未正式納管前,數發部也透過與母公司Meta的溝通機制,若接獲詐騙資訊,將即時要求平台協助下架。「Threads自開放廣告業務以來,已成為詐欺新溫床,從投資詐騙到兼職陷阱不勝枚舉。」林國成指出,根據統計自去年12月至今年6月中,透過該平台進行的詐騙案件已累積1955件,顯示詐騙風險日益嚴重。然而,數發部公告納管的平台卻遺漏了Threads。他呼籲部長黃彥男盡速行動:「亡羊補牢猶未晚,但不能再評估半天。」對此,數發部數位政策署長林俊秀補充,Threads確實已達到應納管的規模,僅因過往尚未開放廣告而未納入管理範圍。隨著其商業模式改變,數發部已著手檢討並研擬後續納管機制,期望盡速落實相關措施,有效降低網路詐騙風險。
《資安法》修法惹疑慮 數發部澄清:不涉一般企業、無擴權之虞
立法院交通委員會近日審查通過《資通安全管理法》部分條文修正案,國民黨立委葛如鈞質疑,若資安法的適用對象與權限甚至高於《反滲透法》,是否意味著除了防範敵對勢力外,還另有「需防堵的對象」?若政府無法清楚說明,將動搖既有法律體系與國人信任。對此,數發部昨(23日)晚回應指出,此次修法主要針對重大資安事件,授權主管機關對「特定非公務機關」進行行政調查,範圍不涉及一般企業與個人,修法目的在於迅速釐清事實、阻止資安風險擴散,並無擴權或侵害民權之虞。數發部指出,《資通安全管理法》修正草案第25條,主要是針對「特定非公務機關」發生重大資安事件時的行政調查程序。中央目的事業主管機關可依法請當事人或關係人到場陳述、提出第三方鑑識或調查報告,或派員至其處所進行必要檢查。此規範並不適用於一般民間企業與個人,僅限於涉事當事人與關係機構,且性質屬於行政調查,與刑事偵查的搜索、扣押完全不同,兩者不可混為一談。數發部強調,類似的行政調查權限,現行《公平交易法》、《商品檢驗法》、《電信管理法》等法規中早已存在,因此並非《資安法》獨有或特例。此次修法的目的,是讓主管機關在面對重大資安風險時,能有明確法源可釐清事實,強化對事件起因與責任的釐清能力。數發部提及,目前受到《資安法》規範的「特定非公務機關」約有350家,主要為關鍵基礎設施提供者、公營事業及受政府補助的全國性財團法人。數發部指出,這些機構一旦遭遇重大資安事件,恐將衝擊國家安全及社會整體運作,因此行政調查的設計,是為了快速掌握狀況、防止攻擊擴散,維護整體資安防線的穩定與韌性。
5類資訊勿告知ChatGPT!專家揭嚴重後果 最慘恐釀金錢損失
當今不少人將人工智慧(AI)聊天機器人視為生活助手,彼此無話不談。然而,國外有專家警告,若不慎透露個人敏感資訊,可能會帶來資安風險。《華爾街日報》報導指出,輸入5類資訊給ChatGPT等聊天機器人,等同於「失去對它的控制權」,呼籲使用者提高警覺。史丹佛大學「以人為本人工智慧研究中心(Institute for Human-Centered)」研究員金恩(Jennifer King)受訪時指出,「當你把資料輸入聊天機器人,你就失去對它的控制權。」OpenAI也在官網提醒使用者「請勿分享任何敏感資訊。」Google對旗下聊天機器人Gemini使用者則強調,不應輸入「你不願審查者看到的資料」。報導整理出5大類「高風險資訊」,使用者應避免與AI平台分享。一、身分資料不要向AI平台透露任何身份資訊,包含身分證字號、駕照號碼、護照號碼、出生日期、住址及電話等。雖然部分平台會進行編輯,但完全避免分享這些資訊會更安全。二、醫療結果雖然醫療業重視患者的隱私權,以保護當事人個資以及免受歧視,但隱私權並不適用於AI平台。金恩建議,若有需求,應將資料剪裁成「僅包含檢查結果」,並刪除個資,降低外洩風險。三、財務帳戶所有與金融資產相關的帳號、登入資訊,不可輸入AI平台。黑客一旦掌握此類資料,恐釀成金錢損失。四、登入訊息由於聊天機器人不斷增強執行任務的能力,似乎成為可向它提供帳戶使用者名稱和密碼的理由,但這些AI平台並不是保險庫,也不能保證帳戶憑證的安全,更好的辦法是將相關資訊放入密碼管理器中。五、公司專有資料部分使用者習慣用AI平台協助撰寫工作信件或合約草稿,卻可能不經意暴露客戶資訊、內部文件或未公開的商業機密。《華爾街日報》指出,除非一些公司訂閱企業版的客製化人工智慧程序,否則使用者仍需自行審慎把關。若使用者仍希望與AI平台保有互動,專家建議應設定高強度密碼,並啟用雙重驗證。AI公司「Anthropic」資安長安長克林頓(Jason Clinton)補充,對話紀錄應於結束後立即刪除,多數公司會在30天後永久清除資料。