微軟、蘋果都受波及!日誌框架Apache Log4j爆漏洞,堪稱近10年最大資安威脅
微軟、蘋果都受波及!日誌框架Apache Log4j爆漏洞,堪稱近10年最大資安威脅

廣泛受到企業、組織使用的日誌框架Log4j,被資安人員發現存在惡性重大的安全漏洞,可能導致全球上百萬應用程式面臨駭客攻擊風險,牽涉微軟、蘋果、特斯拉等諸多科技巨頭。

Log4j是Apache軟體基金會下的一個專案,基於Java開發而成,多被Java開發人員用於查找錯誤。由於使用範圍極為廣泛,從雲端服務到企業軟體中均有使用,這個被稱作Log4Shell的漏洞也被認為是有史以來最嚴重的資安漏洞。

一串指令就能入侵伺服器,Log4j爆出史上最嚴重漏洞

曾阻止綁架軟體WannaCry的資安研究人員馬庫斯.霍金斯(Marcus Hutchins)也在推特上評論,「Log4j的漏洞非常嚴重,上百萬個應用程式使用Log4j來紀錄,駭客只要一串指令就能發動攻擊。」

他在文中以Minecraft為例,駭客只要在對話框貼入一串訊息,就能遠端執行伺服器上的程式碼。

根據《衛報》報導,資安公司Tenable執行長阿米特.約蘭(Amit Yoran)表示,這不僅是過去10年來規模最大、最嚴重的漏洞,還可能是電腦史上最龐大的漏洞。

約蘭指出,Log4j漏洞影響的規模之大,導致在使用Tenable防護程式的用戶中,每秒就有至少3個系統回報受到該漏洞威脅。

Apache軟體基金會也將Log4j漏洞的嚴重程度,評為最高的10分,任何人都可以從存在該漏洞的服務獲得電腦的完整訪問權限。

資安公司Cloudflare技術長約翰.格拉漢.康寧(John Graham-Cumming)也指出,過去10年裡只有兩個漏洞的嚴重程度能夠與Log4Shell相提並論。

log4j
阻止WannaCry的資安研究人員在推特上表示,Log4j漏洞非常嚴重,上百萬的應用程式都利用了這個日誌框架。
圖/ Twitter

這個漏洞會如此危險,是因為它讓駭客不必透過密碼,就能入侵網路伺服器。駭客可以任意在伺服器端植入惡意軟體、竊取珍貴數據,或者竄改內部的內容等,且門檻極低。

漏洞牽涉範圍廣,外界擔憂駭客攻擊可能將增加

該漏洞最初由阿里巴巴旗下雲端資安團隊所發現,並在11月24日向Apache軟體基金會回報,雖然該基金會已經推出修復程式,但還不能放心,使用Log4j日誌框架的服務眾多,必須由所有者自行更新才能修補漏洞。

已有資安人員在GitHub上,列出經確認面臨Log4j漏洞威脅的大型企業,從蘋果、亞馬遜、特斯拉、Google到Steam、LinkedIn、Webex等,受害範圍非常廣泛。

麥塊
微軟旗下熱門遊戲Minecraft是Log4j漏洞的案例之一,駭客只要在對話框發出一句指令,就能遠端入侵伺服器。
圖/ Minecraft

目前微軟已經為Minecraft用戶發布更新,聲稱服務完成修復,思科也在官網發布相關文章,教導開發人員如何在系統中尋找該漏洞。Steam母公司Valve發言人道格.蘭巴爾迪(Doug Lombardi)則回應,工程師已立即檢查系統,最終認為Steam沒有被攻擊的風險。

雖然目前還沒有傳出利用Log4j漏洞發動攻擊的確切案例,但由於Log4j使用程度之廣,外界估計在爆出消息後的這幾天內,恐怕針對各個伺服器的攻擊就會大量增加。

Cloudflare聲稱,他們也積極為客戶提供保護措施,「但不管我們怎麼做,都沒辦法完全彌補Log4j的漏洞。」若要完全防範威脅,仍得依賴各服務所有者更新Log4j版本。

資料來源:The VergeGuardianLunaSec

責任編輯:侯品如

關鍵字: #資訊安全
往下滑看下一篇文章
迎接AI代理時代,中國信託3大策略重點加速金融轉型
迎接AI代理時代,中國信託3大策略重點加速金融轉型

台灣年度AI盛會「2025 AI TAIWAN未來商務展」日前圓滿落幕,展會期間同步登場的「2025 AI TAIWAN國際趨勢高峰論壇」也吸引來自產官學界的高度關注。副總統蕭美琴親臨現場致詞時指出,人工智慧正以前所未有的速度改變全球產業版圖,台灣正站在這場關鍵變革的十字路口,必須積極布局。

「我們已在硬體供應鏈上打造出一座堅固的山頭,接下來,台灣更要以AI與軟體應用為核心,開創下一座新高峰,讓台灣持續站穩世界舞台。」蕭美琴強調。

AI應用邁入「代理時代」,大量數位員工走進職場

目前,AI應用的發展已從單純的聊天問答與內容生成,邁入全新的「代理時代」。Google前台灣董事總經理簡立峰說明,所謂AI代理(AI Agent),不僅能理解與回答問題,更具備推理、規劃甚至執行任務的能力。像是特斯拉的無人計程車服務,或Amazon的倉儲與送貨機器人,都意味著AI不再只是螢幕中的語言模型,而是直接參與了人們的日常生活,甚至取代部分白領工作,成為職場上的虛擬同事,舉凡代理撰寫軟體程式碼、產出研究報告等任務,AI都能勝任。

受邀擔任主題演講嘉賓的中國信託金控資訊最高主管賈景光,對此趨勢也有相同見解。他預期,未來金融職場將迎來大量數位員工,AI角色亦將從過去的助理定位,躍升為具備博士班水準的專業夥伴,全面協助企業提升營運效率與生產力。

事實上,為了迎接這股變革浪潮,中國信託早在2018年便前瞻性地成立AI實驗室,積極借鏡國際金融業的成功經驗,推動各項AI專案。這項超前部署的策略,也讓中國信託成為台灣首家連續四年榮獲《Global Finance》雜誌「全球傑出金融創新實驗室」殊榮的金融機構,展現其在AI創新應用領域的領導地位。

中國信託金控
首家連續四年榮獲《Global Finance》雜誌「全球傑出金融創新實驗室」殊榮的金融機構_中國信託金控,受邀分享AI創新應用領域的經驗與策略。
圖/ 數位時代

中信AI發展策略的3大核心重點

進一步探究中國信託金控的AI應用發展策略,可以歸納出3大核心重點。

第一是採取「導入通用工具+自建AI模型並行」的雙軌推動模式。目前市面上由科技大廠或新創企業提供的AI工具已相當成熟,如:語意搜索、摘要總結、內容生成等工具,只要確保符合資安與內控標準,即可快速導入與應用。此外,針對中信獨有的經營Know-how、產品知識、關鍵決策能力等核心競爭優勢,則透過自建AI模型的方式內化至系統中,藉此強化差異化競爭力,與通用工具形成有效互補。
第二為打造AI賦能的企業文化。賈景光強調,推動AI賦能,絕非單純的技術導入專案,而是一場全方位的企業文化變革,必須由高階主管帶頭學習與使用AI,再結合員工教育訓練、不定期內部應用成果與外部趨勢分享、建置學習資源庫、以及Prompt Engineering的技巧養成與實戰演練等方式,循序漸進,逐步型塑出AI賦能的企業文化。

尤其考量到「如何下正確指令」(Prompt Engineering)是AI效益最大化的關鍵,中國信託也將內部累積的指令設計技巧與應用實例,整理為知識庫,讓全體員工得以共同學習、快速上手,加速落實AI於日常工作中。目前,中國信託金控已經盤點出超過200個AI應用情境,協助員工有效提升40%至70%生產力。

第三則是鎖定關鍵應用場景、最大化AI導入成效。每個產業都有自己的關鍵議題,企業在導入AI時應回歸業務本質,從產業策略與關鍵流程出發,找出痛點並對症下藥,才能創造出AI應用的最大價值。

中國信託金控
中國信託金控資訊最高主管賈景光,開場時提到,目前全球市值最高的企業,很大的比例都與AI有關。
圖/ 數位時代

像中國信託便聚焦於優化客戶體驗、提昇內部效率與風險管理3大金融業核心議題,發展相關的AI應用,例如:智能客服已實現70%的客戶詢問可於1秒內快速回應、自主研發的AI模型能主動偵測並攔截可疑交易,2024年累計成功阻擋的詐騙金額已達8.4億元新台幣,為客戶資產安全提供有力保障。

隨著內部AI應用已小有所成,如今,中國信託正積極邁向產業共創階段,並響應金管會倡議成立的「金融科技產業聯盟」,擔任「金融科技應用研發工作圈」的首屆召集人。透過聯合學習、金流履歷、資料整合等方式,研發可以解決金融業共通性問題的AI相關應用,如 : 目前的首要任務是建構全國性金融同業防詐平台,以科技精準阻詐、達到守護民眾財產安全的目的。賈景光強調,唯有打破單打獨鬥,串聯產業力量,才能加速AI在金融業的落地與深化,進一步提升台灣在國際舞台上的AI應用實力,真正讓台灣的金融科技在全球發光發熱。

中國信託金控
賈景光強調,唯有共同合作,串聯產業力量,才能加速AI在金融業的落地與深化。
圖/ 數位時代

登入數位時代會員

開啟專屬自己的主題內容,

每日推播重點文章

閱讀會員專屬文章

請先登入數位時代會員

看更多獨享內容

請先登入數位時代會員

開啟收藏文章功能,

請先登入數位時代會員

開啟訂閱文章分類功能,

請先登入數位時代會員

我還不是會員, 註冊去!
追蹤我們
電商終局戰
© 2025 Business Next Media Corp. All Rights Reserved. 本網站內容未經允許,不得轉載。
106 台北市大安區光復南路102號9樓