台灣資安新聞彙整 2026.02.25-03.03

巨變時代，掌握資安資訊必不可少！HENNGE 為您彙整每週資安新聞，快速洞悉產業趨勢、資安新知！

2/25

Google 發布 Chrome 安全更新，修補 3 項高風險漏洞，恐導致資料外洩與惡意程式碼執行

Google 發布 Chrome 145 安全更新，修補 3 項高風險漏洞，影響 Media 影音處理、WebGPU 編譯器 Tint 與 DevTools。漏洞可能導致資料外洩、記憶體遭竄改，甚至被用來執行惡意程式碼。

https://www.ithome.com.tw/news/174053

中國駭客 Silver Fox 假借稅務及電子發票名義為幌子，在臺灣散布惡意軟體 Winos 4.0

針對臺灣企業組織的惡意程式 Winos 4.0（ValleyRAT）攻擊活動再度出現！資安公司 Fortinet 指出近期中國駭客 Silver Fox 在臺灣發動多起針對性攻擊，其共通點是假借稅務稽核，或是雲端電子發票為誘餌，企圖誘騙使用者依照指示開啟特定檔案。

https://www.ithome.com.tw/news/174048

2/26

假面試題庫藏後門，微軟揭惡意 Next.js 儲存庫濫用 VS Code 自動任務竊取開發者憑證

微軟威脅情報團隊偵測到一波鎖定雲端開發者的攻擊，駭客在 GitHub 上發布偽裝成 Next.js 專案的技術測驗代碼。開發者一旦下載並執行，系統將植入多階段 C2 後門，旨在竊取存放在開發環境中的雲端部署密鑰。

https://www.ithome.com.tw/news/174066

2/28

Google Cloud API 密鑰爆權限蔓延風險，恐遭駭客存取 Gemini 數據

研究人員發現，許多原本僅用於地圖或帳務標識的 Google Cloud API 密鑰（AIza 前綴），在用戶啟用 Generative Language API 後，會自動獲得存取 Gemini 端點的權限。駭客可利用暴露在前端代碼中的密鑰，竊取企業私有的 AI 訓練數據或耗盡 API 額度。

https://thehackernews.com/2026/02/thousands-of-public-google-cloud-api.html

加拿大零售巨頭 Canadian Tire 驚傳個資外洩，影響逾 3,800 萬個帳戶

加拿大零售龍頭 Canadian Tire 於 2025 年 10 月遭駭客入侵電子商務資料庫，導致旗下包括 SportChek、Party City 等品牌約 3,800 萬個帳戶的姓名、電郵、加密密碼及部分不完整卡號外洩。

https://www.securityweek.com/canadian-tire-data-breach-impacts-38-million-accounts/

3/2

OpenClaw 爆發 "ClawJacked" 漏洞：惡意網站可劫持本地 AI 代理

開源 AI 代理框架 OpenClaw 被揭露存在高風險漏洞（ClawJacked）。當用戶在運行該代理的環境下瀏覽惡意網頁時，攻擊者可透過跨來源請求直接接管 AI 代理，進而存取該代理所連結的雲端資料庫或執行系統指令。

https://www.securityweek.com/openclaw-vulnerability-allowed-malicious-websites-to-hijack-ai-agents/

駭客利用檔案管理員 Windows File Explorer 和 WebDAV 散布惡意程式

資安廠商Cofense指出，駭客濫用Windows檔案總管內建的WebDAV遠端存取功能，誘使用戶連線至遠端伺服器下載XWorm、AsyncRAT等遠端存取木馬，並結合Cloudflare Tunnel隱匿來源。

https://www.ithome.com.tw/news/174103

3/3

Starkiller 釣魚框架採 AiTM 反向代理，轉送真實登入頁面繞過 MFA

電子郵件防護業者 Abnormal AI 發布威脅分析，指出一套名為 Starkiller 的釣魚框架正在地下市場流通，採用 AiTM 反向代理架構，即時轉送合法網站登入頁面，攔截驗證後的連線階段資訊，進而繞過 MFA 並可能導致帳號接管。

https://www.ithome.com.tw/news/174119