瑞典 AI 編程平台 Lovable 近日爆出嚴重 API 漏洞,任何免費帳戶只須發出 5 次 API 呼叫,即可取得其他用戶的原始碼、資料庫憑證、AI 對話紀錄以至客戶資料,影響範圍涵蓋 2025 年 11 月前建立的每個項目,安全研究員 @weezerOSINT 早於 3 月 3 日透過 HackerOne 通報,惟 HackerOne 將該報告標記為「重複提交」,擱置 48 日才於 4 月 20 日經 X 平台公開披露。
資訊保安
Google《2025 年安全報告》揭示流動安全新趨勢。雖然官方成功攔截逾 175 萬款惡意應用程式,但攻擊正轉向側載渠道及引入 AI 技術。企業決策者必須重新審視 BYOD 政策與裝置管理,及早部署 AI 防禦機制以應對日益嚴峻的流動資安與合規挑戰。
歐洲刑警組織 Europol 聯同全球 21 個國家的執法部門於 2026 年 4 月 13 日啟動代號 Operation PowerOFF 的跨國打擊行動,針對分散式阻斷服務(DDoS)租用平台的營運者及使用者展開大規模執法,向超過 75,000 名涉嫌租用攻擊服務的人士發出警告電郵及信件,同時拘捕 4 名疑犯、關閉 53 個域名、執行 25 份搜查令,並從被扣押的伺服器中識別出 300 萬個相關犯罪帳戶,這次行動更在搜尋引擎移除超過 100 個推廣 DDoS 工具的網址,並在犯罪支付常用的區塊鏈網絡發放警告訊息,為全球企業敲響網絡安全警鐘。
OpenAI 在 4 月 14 日正式發布專為防禦性網絡安全工作而設的新模型 GPT-5.4-Cyber,僅向通過嚴格審查的客戶開放使用,距離對手 Anthropic 推出 Mythos Preview 不過短短 1 星期,兩大 AI 巨頭幾乎同步釋出可以自主發掘軟件漏洞的前沿模型,令華爾街主要銀行、美國財政部以至全球金融監管機構急謀應對之策。
全球開源軟件生態在 2026 年 3 月接連遭遇兩宗嚴重供應鏈攻擊,令超過 10,000 間企業的憑證、雲端金鑰及開發環境陷入洩密風險,黑客組織 TeamPCP 於 3 月 19 日入侵 Aqua Security 旗下漏洞掃描器 Trivy,並在數日內橫向攻陷 Checkmarx 的 KICS、LiteLLM 及 Telnyx 等項目;緊接於 3 月 31 日與北韓關連的 UNC1069 透過社交工程劫持 npm 熱門套件 Axios 的維護者帳戶,將遙距存取木馬注入合法版本。多名資訊安全業界主管警告,事件影響將持續數月,並代表供應鏈攻擊進入以開發者為核心的新階段。
印度 HSBC 近日向網上銀行客戶發出電郵,通知客戶系統將於 2026 年 4 月 6 日起,自動將所有密碼轉為全大階格式,要求用戶屆時以大階字母輸入現有密碼登入,過程中無需重設密碼,多名網絡安全專家及軟件工程師隨即指出,銀行能在後台直接轉換密碼大細階而不要求用戶重設,技術層面幾乎只有一個解釋:印度 HSBC 的系統很可能未按照國際標準,以不可逆方式儲存客戶密碼。事件令外界對這家國際銀行的資訊安全架構產生嚴重質疑。
伊朗革命衛隊(IRGC)於 3 月 31 日發表聲明,將 Apple、Microsoft、Google、Nvidia 等 18 間在中東設有業務的美國科技及國防相關企業列為「合法軍事目標」,揚言由 4 月 1 日德黑蘭時間晚上 8 時起展開報復攻擊,並要求相關公司員工及設施方圓 1 公里範圍內的居民即時撤離
歐盟執委會(European Commission)在 2026 年 3 月 24 日偵測到一宗針對其 Europa.eu 網站平台的網絡攻擊,託管該平台的 Amazon Web Services(AWS)雲端帳戶遭到未經授權存取,攻擊者聲稱已竊取超過 350GB 資料,當中包含多個資料庫、員工個人資料及內部文件
Mandiant《M-Trends 2026》報告揭示黑客入侵移交權限僅需 22 秒。面對 AI 武器化與語音釣魚成主流,傳統人工資訊保安防線已失效。企業決策者必須加速部署自動化防禦及強化備份韌性,應對極速網絡威脅。
