台灣資安新聞彙整 2026.04.01-04.07

巨變時代，掌握資安資訊必不可少！HENNGE 為您彙整每週資安新聞，快速洞悉產業趨勢、資安新知！

4/2

研究人員揭露 ChatGPT 資料外洩漏洞，攻擊者可竊取用戶對話內容與敏感資訊

資安公司 Check Point 週一發布報告，揭露 ChatGPT 存在資料外洩漏洞，OpenAI 若未及時修補或緩解，將可能導致攻擊者竊取用戶對話內容與上傳資料。

https://www.ithome.com.tw/news/174850

ShinyHunters 宣稱竊得思科 Salesforce 300 萬筆資料

駭客組織 ShinyHunters 本週稍早宣稱，從網路及伺服器大廠思科包括 Salesforce、Aura、AWS bucket 竊得 3 批資料，其中涵括 300 萬筆包含個資（PII）的 Salesforce 紀錄。

https://www.ithome.com.tw/news/174841

4/5

Drift 平台遭北韓駭客竊取 2.85 億美元，源於 6 個月社交工程

去中心化交易所 Drift 揭露，4 月 1 日發生的 2.85 億美元資產失竊案，是北韓組織（DPRK）長期滲透的結果。駭客偽裝成徵才者與合作方，透過數個月的對話建立信任，最終誘導開發者下載包含惡意代碼的雲端錢包測試包。

https://thehackernews.com/2026/04/285-million-drift-hack-traced-to-six.html

36 個惡意 npm 套件利用 Redis 與 PostgreSQL 漏洞植入後門

資安監測發現一波針對雲端資料庫的供應鏈攻擊。惡意套件會自動掃描環境中的 Redis 與 PostgreSQL 雲端執行實例，利用弱密碼或已知漏洞植入持久性後門，目標是攔截企業儲存的機敏數據。

https://thehackernews.com/2026/04/36-malicious-npm-packages-exploited.html

Fortinet 發布 FortiClient EMS 緊急補丁：修補已遭利用的 API 繞過漏洞

Fortinet 針對其端點管理系統發布更新（CVE-2026-35616，CVSS 9.1），該漏洞允許攻擊者在未經身份驗證的情況下繞過 API 限制並提升權限。此系統常被企業用於管理連線到公司地端的遠端辦公權限。

https://thehackernews.com/2026/04/fortinet-patches-actively-exploited-cve.html

4/6

Google DeepMind 揭露「AI 代理人陷阱」：惡意網頁可接管自主 AI

研究人員發現一種新型攻擊「AI Agent Traps」。當自主 AI 代理（Agent）在雲端執行任務瀏覽網頁時，惡意網頁可透過隱形指令注入（Prompt Injection），劫持代理人的決策流程，進而存取其背後連結的企業雲端儲存空間。

https://www.securityweek.com/google-deepmind-researchers-map-web-attacks-against-ai-agents

北韓 UNC1069 鎖定 Node.js 維護者發動社交工程攻擊

駭客組織 UNC1069 正鎖定高影響力的開發者，透過 Slack 與 Teams 進行長達數週的職業社交接觸。最終目標是誘使開發者在雲端開發環境中執行偽裝成測試工具的惡意軟體，以取得開源專案的控制權。

https://www.securityweek.com/north-korean-hackers-target-high-profile-node-js-maintainers/