回顾2025年4月第三星期的资安新闻,台湾资安大会CYBERSEC 2025举行是主要焦点,本届规模再创新高,有超过300场的资安专题演讲,以及400家资安业者、超过1,500个摊位的参与,吸引2万位全球产官学界资安专家参与,持续成为企业增进攻防新知,资安产业技术交流与商机拓展的重要平台。
总统赖清德已是连续4年参与这场盛会,不仅展现政府对资安的支持,也延续其担任行政院长到副总统期间对资安领域的关注。面对瞬息万变的国际局势,总统赖清德指出,新版《国家资通安全战略2025》在本月稍早发布,揭露我国2025年至2028年间的国家资安发展方案将朝三大目标前进,包括:强化全社会资安防御韧性、丰富资安产业生态系、构筑新兴科技防御技术,从制度面、管理面、策略面同步推进,盼整合多方力量,加速我国政府与产业的整体防护水准的提升。
面对生成式AI爆红与AI代理窜起之际,LLM风险这项新兴议题,在本星期资安新闻中,占据大量新闻版面,例如:我们最近发布的封面故事,就是针对最新的OWASP十大LLM应用程式风险2025年版加以介绍,让大家真正认识背后的各种风险,才能理解为何一再宣导事实查核与防范敏感资讯泄漏;今年台湾资安大会也有专家介绍最新趋势,包括网路犯罪领域应用AI代理的示警,以及关于LLM应用程式开发安全架构的实务经验。
●OWASP已公布「十大LLM应用程式安全风险」2025年版,可帮助大众增进对于LLM风险的理解,过去多起事件更是反映真实世界存在的LLM风险实例。
●趋势科技网路犯罪研究前瞻威胁研究总监示警,呼吁大家在期待AI Agent应用的同时,也要注意网路犯罪也透过AI自动化提升攻击效率。
●前资安院副院长吴启文强调资安是持续的风险管理,如何平衡AI带来的利益及风险是关键,他建议组织可从WEF报告提出的6个问题来自评本身是否做好准备。
●面对LLM风险,趋势科技提出LLM应用程式开发安全架构的LEARN方法论,剖析LLM应用程式的开发生命周期,并介绍如何分层与识别安全边界的方法。
此外,还有两则新闻与其他重要议题有关,在后量子密码学PQC方面,数位发展部数位产业署宣布,专为台湾设计的PQC迁移指引正式发布;在个资保护方面,今年台湾个资保护委员会将成立,来自筹备处的隐私科技组专家指出,企业可透过PDCA方法检视自身资料保护措施的落实,并强调传统的SMS简讯或OTP易受中间人攻击,应评估安全强度更高的MFA。
在资安防护上,国际间有4则重大消息,其中美国非营利组织MITRE传出停止维护CVE等多项专案,引发相当大关注,这是因为CVE的漏洞命名与指派是弱点管理生态系的基础,一旦漏洞无法集中发布与追踪,影响甚广,而这起风波之下,也突显该专案长年只有美国政府投入给予支持的状况。
●美国政府委托MITRE维护「常见漏洞披露CVE」资料库与「通用缺陷列表CWE」传出合约到期,事隔一天有了反转,将延长合约避免这些专案服务中断。
●凭证产业论坛CA/Browser Forum宣布,现行所有SSL/TLS凭证最长效期为398天,明年缩短至200天,4年后2029年将缩短为47天,且每月需更新一次。
●GitHub推出Security Campaigns,可帮助开发者与资安团队能有系统性方法来处理,让企业处理资安债成开发日常,能排定优先处理顺序、设定处理期限。
●PHP核心原始码(php-src)近期完成安全稽核,主要针对最关键元件部分,共发现27项问题,其中17项具安全风险,多数问题是实作细节与错误处理不足。
至于威胁揭露与漏洞消息方面,CrazyHunter勒索软体攻击调查有后续消息,趋势科技指出该攻击者使用的作案工具有8成是从GitHub平台上取得,同时也证实该组织的攻击目标只锁定台湾。
还有两则漏洞攻击消息,一是有骇客锁定苹果零时差漏洞CVE-2025-31200、CVE-2025-31201攻击,使得苹果紧急修补,另一是有骇客锁定上个月微软修补的漏洞CVE-2025-24054来攻击,有资安业者发现在修补释出的8天后,就观察到锁定该漏洞的攻击行动。