台灣資安新聞彙整 2026.05.13-05.19

巨變時代，掌握資安資訊必不可少！HENNGE 為您彙整每週資安新聞，快速洞悉產業趨勢、資安新知！

5/14

教育科技雲端平台 Canvas 遭 ShinyHunters 數據外洩攻擊案後續跟進

北美最廣泛使用的雲端學習管理系統 Canvas 其母公司 Instructure，在遭受駭客組織 ShinyHunters 利用生產環境漏洞入侵並竊取高達 3.65 TB（涉及 2.75 億用戶） 的機敏數據後，證實於 5 月 11 日限期前支付了贖金以防止學生 ID 與通訊紀錄外洩。各大律師事務所與受影響的大專院校於 5 月 14 日前陸續發布了事件補救與合規審查指引。

https://www.reedsmith.com/articles/canvasinstructure-cyberattack-key-developments-and-action-items-for-higher-education-institutions/

5/15

鴻海北美廠遭 Nitrogen 勒索軟體攻擊，凸顯製造業資安危機

全球電子代工廠鴻海（Foxconn）旗下北美多座工廠近日遭網路攻擊。勒索軟體組織 Nitrogen 隨即宣稱犯案，並稱已竊取多達 8TB、逾 1,100 萬筆檔案，內容包含蘋果（Apple）、英特爾（Intel）、輝達（NVIDIA）、Google、超微（AMD）等大廠的機密技術文件。

https://www.informationsecurity.com.tw/article/article_detail.aspx?aid=12924&mod=1

OpenAI 遭 TanStack 供應鏈攻擊：兩名員工裝置受駭

OpenAI 因 TanStack 供應鏈攻擊導致兩名員工裝置受駭，雖有部分內部憑證遭竊，但並未波及客戶數據與智慧財產權。官方已緊急撤銷並重簽程式碼憑證，並提醒 macOS 用戶務必於 2026 年 6 月 12 日前將 App 更新至最新版本。

https://www.securityweek.com/openai-hit-by-tanstack-supply-chain-attack/

美國借貸中心（ALC）遭勒索軟體攻擊，逾 12 萬人個資外洩

美國非銀行貸款機構 ALC 披露，其於 2025 年 7 月遭遇的勒索軟體攻擊導致超過 12.3 萬名用戶的姓名、生日及社會安全號碼（SSN）等敏感個資外洩。該機構歷時近一年的調查於今年 4 月完成，目前尚無資料遭濫用的證據。

https://www.securityweek.com/american-lending-center-data-breach-affects-123000-individuals/

5/18

Windows 爆「MiniPlasma」零日漏洞，全修補系統仍可遭奪取 SYSTEM 最高權限

資安研究員釋出名為「MiniPlasma」的 Windows 零日漏洞概念驗證（PoC），攻擊者可藉此在已安裝 2026 年 5 月最新更新的系統上串聯奪取最高權限。該漏洞存在於雲端檔案過濾驅動程式（cldflt.sys），最初於 2020 年被通報且一度被判定已修補，但最新調查證實該問題至今依然存在且未被有效解決。

https://thehackernews.com/2026/05/miniplasma-windows-0-day-enables-system.html

OpenClaw 存在漏洞攻擊鏈 Claw Chain，攻擊者可用於竄改組態並植入後門

資安公司 Cyera 提出警告，他們近期向 OpenClaw 開發團隊通報的4項漏洞 CVE-2026-44112、CVE-2026-44113、CVE-2026-44115、CVE-2026-44118，可串連形成攻擊鏈 Claw Chain，呼籲用戶應儘速套用新版程式因應。

https://www.ithome.com.tw/news/175889

駭客濫用 Langflow 漏洞與 NATS 訊息中介系統，竊取 AI 與雲端環境存取金鑰

3月底揭露的圖像化大型語言模型（LLM）開發工具 Langflow 重大漏洞 CVE-2026-33017，近日出現新一波攻擊活動，資安廠商 Sysdig 發布報告指出，駭客正利用這項漏洞結合訊息中介系統NATS，構成新型攻擊手法，竊取 AWS 雲端憑證及 OpenAI、Anthropic 等 AI 服務的 API 金鑰。

https://www.ithome.com.tw/news/175893