本網站使用瀏覽器紀錄 (Cookies) 來提供您最好的使用體驗,我們使用的 Cookie 也包括了第三方 Cookie。相關資訊請訪問我們的隱私權與 Cookie 政策。如果您選擇繼續瀏覽或關閉這個提示,便表示您已接受我們的網站使用條款。 關閉
互聯網域名系統的受信託機構將主持會議,探討十年難得的新頂級域名機遇及捍衛全球多持份者模式的迫切性。 洛杉磯2025年11月8日 /美通社/ -- 負責協調互聯網域名系統 (DNS) 的非牟利組織 ICANN (互聯網名稱與數字地址分配機構),將於本年度在葡萄牙里斯本舉行的 Web Summit 上,圍繞即將擴展的通用頂級域名 (gTLD),以及日益升級的互聯網治理地緣政治辯論,主持關於數碼身份未來的重要討論。 ICANN 誠邀 Web Summit 與會者參加以下會議: 互聯網的地緣政治:團結抑或分裂?(11 月 11 日 15:20-15:45 西歐時間,於 Government Summit 第 13 舞台):ICANN 總裁兼行政總裁 Kurtis Lindqvist、Internet Society 總裁兼行政總裁 Sally Wentworth,以及 The National Interest 特約編輯 Steve Clemons,將探討全球跨境協作如何抵禦地緣政治壓力,以及此一結果將如何決定互聯網的未來——是維持共享資源,還是分裂為相互競爭的體系。 以新域名革新您的網上形象 (11 月 11 日 11:30-12:15 西歐時間,於 Masterclass 5):請即參加由 ICANN 全球域名與策略高級副總裁 Theresa Swinehart、Sky Group 域名管理主管 Nisha Parkash,以及 CSC 法國區域總監 Patrick Hauss 主持的會議,了解自訂域名如何提升品牌知名度、安全性與客戶體驗。此會議專為正準備 2026 年 4 月下一輪 gTLD 申請的首席市場總監 (CMO)、品牌主管和首席技術總監 (CTO) 而設。 這正是數碼世界的關鍵時刻。隨著創新與機遇並存,互聯網的未來及其治理模式備受考驗。在 ICANN 的會議期間,與會者將了解到,為何我們整個社會絕不能將互聯網視為理所當然,或任由其碎片化,以及各機構如何在這個全球共享的資源上,確保並保護其獨特的身份。 ICANN 正籌備啟動新 gTLD 計劃:2026 回合。申請期預計於 2026 年 4 月開放,為企業、社群和各類組織提供獲取其專屬 gTLD 的良機。自訂 gTLD (例如 .brand 或 .city),是在競爭激烈的網上市場中,提升品牌知名度、建立消費者信任並促進創新的強大工具。2026 回合亦將擴大國際化域名 (IDN) 的供應,使互聯網更易為非拉丁字母用戶所用,並更具包容性。 「下一輪新 gTLD 標誌著互聯網演進的重要里程碑。」ICANN 總裁兼行政總裁 Kurtis Lindqvist 表示,「我們正賦權各組織創建其獨特的數碼身份,促進市場競爭與消費者選擇。與此同時,我們必須保持警覺,守護使這一切創新得以實現的互聯網治理多持份者模式。在 Web Summit 上,我們期待與全球領袖深入交流,共同探討未來的機遇與我們必須應對的威脅,確保為下一代實現一個單一、開放且可互通的互聯網。」 有關新「gTLD 計劃:2026 回合」的詳情,請瀏覽:https://newgtldprogram.icann.org/. ICANN 簡介ICANN 的使命是協助確保穩定、安全和統一的全球互聯網。想聯絡其他互聯網人士,您需要於電腦或其他裝置輸入網址(名稱或數字)。輸入的地址必須獨一無二,讓電腦清楚知道如何找到每一個人。ICANN 在世界各地協助、協調和支援這些獨一無二的標識符。ICANN 成立於 1998 年,是一家非營利性公益公司,參與者來自世界各地。
香港 - Media OutReach Newswire - 2025年11月10日 - 在 2025 年的加密市場裡,「安全」已成為交易所競爭的核心戰場。根據 CertiK 的六月區塊鏈安全報告,今年全球加密產業因駭客攻擊與詐騙造成的損失已突破 21 億美元,其中交易平台與個人錢包都是重災區。面對這樣的風險高頻環境,多數交易所紛紛升級安全架構,而其中,MEXC 在風控與防詐層面上的主動佈局,正逐漸成為業界關注焦點。 MEXC 風控:智慧化監測與合規並行的安全準則 作為全球性交易平台,MEXC 的風控設計不再是傳統的「事後防禦」,而是建立在即時數據與 AI 模型驅動的「預防性架構」。MEXC 的風控系統核心包括 KYC 實名機制、AML (反洗錢) 系統、AI 交易行為分析、冷熱錢包分離與多簽制度 等多層防護。 這套機制搭配 AI 模型,能在秒級時間內辨識出異常交易特徵,例如: 自成交與虛假交易量刷單; 可疑資金來源或跨境轉換行為; 多帳戶操控或高頻訂單異常模式。 一旦觸發風控條件,系統會自動限制相關操作或暫時凍結交易,以防止惡意操縱與資金外流。不同於被動式的安全策略,MEXC 的 AI 驅動風控 更注重及時性與可追溯性,確保合法用戶的正常交易不受影響,同時提升整體市場健康度。 MEXC 防詐騙策略:AI 智能威脅辨識 + 用戶教育雙線並進 在詐騙模式持續演進的環境下,MEXC 採取了一套「技術防禦 + 用戶教育」並行的防詐策略。平台透過 AI 模型實時分析登入行為與裝置信息,快速辨識可能的釣魚風險及異常登入,並在必要時即時封鎖存疑會話。 此外,MEXC 內部建立了多層防禦: 防釣魚連結過濾系統,自動阻斷偽裝官網或惡意郵件; 2FA 雙重認證機制,提高登入與出金安全門檻; 安全警示與教育公告,定期向用戶推送防詐指引與實際案例; 交易行為風險盤查,防止帳號被攻陷後的資金異常劃轉。 這些功能讓 MEXC 的防詐體系兼具「預警」與「阻斷」功能,不僅保護平台運作,更強化用戶防範心理,避免因外部釣魚或假客服詐騙導致資產流失。 資產凍結的原因與解決方案:MEXC 風險管控的透明機制 針對市場常見的疑問——「帳戶資產被 MEXC 凍結時該怎麼辦?」——平台的管理邏輯其實相當明確。根據 MEXC 的官方規範,帳戶凍結屬於系統偵測異常交易行為後的暫時性安全措施,用以防範洗錢資金流入、價格操縱以及跨帳套利等高風險事件。 當帳戶被凍結時,用戶會收到系統通知及明確的申訴指引,可依情況分兩種處理流程: 已通過認證用戶:可進入「加速審核通道」以便快速解凍; 尚未提交資料的用戶:需先完成 KYC 與相關交易證明提交後,再進入審核程序。 平台同時設立 24 小時人工客服團隊,確保用戶可在申訴過程中隨時追蹤進度。根據內部統計,MEXC 的風控誤報率低於 0.1%,並持續依據用戶回饋優化模型,以平衡安全與便利性。 這樣的「機制透明化」使 MEXC 的凍結政策不再被視作懲罰行為,而是金融風險控管下的必要程序,從而提升了市場對交易平台的信任度。 MEXC 的安全共識:平台防線與用戶自我保護並行 在安全防線日益複雜的加密生態中,MEXC 也持續推動「使用者安全意識升級」,倡導每一位交易者應與平台共同守護資產安全。官方建議包括: 採用強密碼與 Google Authenticator 雙驗證; 僅從官方網站或 App 進入交易環境; 避免信任高槓桿喊單群與假冒投資顧問; 定期檢查 API 權限與授權應用。 這樣的安全文化,反映了 MEXC 在「建立安全共治框架」上的企圖心:平台負責制度與技術防護,用戶則負責基本防詐行為與操作警覺。 從「風控」到「信任」的新一代交易所安全架構 隨著駭客、詐騙與惡意套利手法不斷演進,交易所的安全不再只是技術問題,而是整個生態的信任方程式。MEXC 透過 AI 化風控、防詐騙策略與透明化凍結申訴制度,在多重挑戰中探索出一條以「預防、偵測、保護」為核心的安全道路。 當安全成為用戶選擇平台的首要條件,MEXC 的風控體系或許不僅是防火牆,更是重建市場信任的關鍵。 風險聲明 本文為第三方產業觀察報導,僅供資訊參考,不構成投資建議。加密貨幣市場波動劇烈,投資人應根據自身風險承受能力與市場狀況,審慎做出交易決策。 Hashtag: #MEXC #MEXC風控 #MEXC安全 #MEXC反洗黑錢發佈者對本公告的內容承擔全部責任
最新 API 威脅報告揭示:攻擊數量創新高,其中金融服務業、電信與旅遊業 風險最高 Thales 公布 2025 年上半年最新 API 威脅報告,警告 API (這些支撐應用程式、支付與登入的幕後連接器) ,已成為網路犯罪分子的首要攻擊目標。 在超過 4,000 個受監測的環境中,Thales 僅在 2025 年上半年已監控記錄超過 40,000 起 API 事件。儘管 API 只佔整體攻擊面 14%,卻吸引 44% 的進階機器人流量,顯示攻擊者正將最複雜的自動化攻擊重點,集中於支撐關鍵業務營運的工作流程上。 金融服務業遭遇最大規模 DDoS 攻擊 報告中最引人注目的發現之一,是針對某金融服務的 API ,發動史上最大規模應用層 DDoS 攻擊,高達 每秒 1,500 萬次請求(RPS)。 不同於傳統攻擊目標是癱瘓網路頻寬的流量型 DDoS 攻擊,這次攻擊專門鎖定應用層,直接利用 API 消耗資源並中斷營運。 2025 年上半年,所有以API 為目標的 DDoS 攻擊流量中,有 27% 針對金融服務業,這反映出該產業嚴重依賴API進行即時交易,例如餘額查詢、轉帳和支付授權。 這起事件顯示攻擊者已開始將大規模與隱蔽性相結合:利用龐大的殭屍網路與無標頭瀏覽器,模擬合法 API 請求,使防禦者更難區分惡意流量與真實用戶。 報告的關鍵發現: · 2025 年上半年 API 安全事件超過 40,000 起,平均每日超過 220 起;若此趨勢持續,全年數量將突破 80,000 起。 · 以目標端點劃分的攻擊分佈:37% 為資料存取 API,32% 為結帳/支付,16% 為身分驗證,5% 為禮品卡/促銷驗證,以及 3% 為影子端點或設定錯誤的端點。 · 未部署自適應 MFA 的 API,帳號填充(credential stuffing)與帳號接管攻擊嘗試次數上升 40%。 · 資料擷取(data scraping) 佔 API 機器人活動的 31%,經常鎖定高價值資訊,如電子郵件地址與支付細節。 · 優惠券和支付詐欺佔攻擊的 26%,利用促銷循環和薄弱的結帳驗證機制做攻擊。 · 遠端程式碼執行(RCE)探測 佔 13%,主要針對 Log4j、Oracle WebLogic 與 Joomla 等高風險 CVE。 · 以產業別來看,金融服務業(27%)居冠,其次是電信和網路服務供應商(10%)、旅遊(14%)以及娛樂和藝術(13%)。 · 影子PI(Shadow APIs) 依然是重大盲點:企業通常實際使用的 API 比預期多出 10–20%。 Thales 應用安全產品副總裁 Tim Chang 表示:「API 是數位經濟的連結樞紐,但同時也成為最具吸引力的攻擊面,我們所看到的,不僅是攻擊規模的擴大,更是網路犯罪手法的根本轉變:他們不需要植入惡意程式碼,只要竄改你的業務邏輯即可。這些請求表面上看似合法,但影響可能極具破壞性。」 Tim接著指出,未來六個月,API 攻擊的數量與複雜度只會持續升高。採取行動刻不容緩,錯過了昨天,行動的最佳時機就是現在。企業必須全面掌握所有正在運行的端點,理解其業務價值,並以具備情境感知與自適應能力的防禦措施加以保護,才能真正保障營收、信任與合規。」 研究方法: Thales 2025 年上半年API 威脅報告是基於 Imperva 全球 4,000 多個客戶環境中的真實攻擊遙測資料。資料收集於 2025 年 1 月至 7 月期間,內容包括: · 涵蓋金融服務、電信、旅遊、醫療保健和電子商務等行業的 40,000 多起 API 攻擊事件。 · 機器人遙測和指紋識別,分析攻擊者如何在 Web 和行動 API 中使用進階自動化技術。 · 終端行為分析,包括流量、異常情況以及顯示存在濫用行為的隱密模式。 · CVE 漏洞追踪,重點在於 Log4j、Oracle WebLogic 和 Joomla 等持續性漏洞 · DDoS 攻擊鑑識,重點在於針對金融服務 API 的史無前例的每秒 1500 萬次請求洪流。 Thales 威脅研究團隊採用行為分析、機器學習與鑑識分析,對攻擊進行分類、映射至目標端點,並辨識跨產業的攻擊趨勢。雖然資料集主要反映 Imperva 的客戶基礎,但仍提供了一個強而有力且具代表性的觀察發現,顯示 API 如何在全球範圍內被武器化。 編輯者附註:詞彙表 1. 應用程式介面(API, Application Programming Interface): 一段程式碼,用來連結兩個或多個應用程式,使其能夠彼此共享資料。例如行動應用程式透過 API 與社群媒體平台連結,讓使用者能以社群帳號登入。 2. 優惠券(Coupon): 結帳時為顧客提供折扣、促銷或特別優惠的數字或實體代碼。 3. 憑證填充攻擊(Credential stuffing): 網路犯罪分子在暗網購買大量帳號/密碼組合,並利用機器人程式在其他網站或服務的登入頁面,不斷嘗試登入,以確認哪些帳密仍可使用。 4. 資料擷取(Data Scraping): 從網站或網頁應用程式中提取資料的行為,常被用於惡意目的,例如操縱價格。 5. 分散式阻斷服務攻擊(DDoS, Distributed Denial of Service): 透過大量流量癱瘓網站,使服務無法使用。通常是利用機器人網路,也稱作殭屍網路,它們接管並控制自動化程式,或可存取網路的實體運算設備。 6. 終端(Endpoint):連接網路系統的實體設備,例如智慧型手機、筆記型電腦、嵌入式設備、感測器或伺服器。 7. 無標頭瀏覽器(Headless browser):沒有圖形介面的 Web 瀏覽器,通常被攻擊者用來自動執行操作並模仿合法使用者行為。 8. 遠端程式碼執行(Remote Code Execution, RCE): 一種安全漏洞,允許攻擊者在遠端電腦上執行自己的程式碼,無論是透過公有網路或私有網路。一旦成功,攻擊者即可存取敏感資料與應用程式、重導流量或發動其他攻擊。 9. 影子 API(Shadow APIs): 又稱「未登錄 API」,是指在組織內部官方監控管道之外存在並執行的 API。
結合聯想全球資源與LPS本地實力,生態圈覆蓋應用軟件、辦公自動化、網絡安全及基礎設施四大領域 作為香港首屈一指的系統集成與應用開發商,LPS具備貫通前、中、後端的全棧技術與交付能力 香港2025年11月10日 /美通社/ -- 聯想電訊盈科企業方案(簡稱「LPS」)近日於「創科啟航,自主共創」出海典禮宣佈成立「自主創新技術生態圈」,與18家領先自主創新科技企業攜手,推動香港及亞太企業的數碼化升級和可持續創新。此舉呼應香港特區政府最新《施政報告》關於深化內地與國際科技合作的倡議,進一步鞏固香港國際創新科技樞紐地位。 該生態圈以「自主創新」為核心理念,融合聯想(Lenovo)強大的全球網絡與LPS的本地化專業能力,整合多個自主研發技術品牌,提供涵蓋應用軟件、辦公自動化、網絡安全及基礎設施四大領域的全棧式解決(full stack)方案,支援企業從策略諮詢到技術落地的端到端轉型需求。 作為香港首屈一指的系統集成與應用開發商,LPS是擁有本地最多自主創新技術專業認證之一的科技服務商,認證數量逾240項。憑藉4,000人的技術團隊及豐富的應用現代化實戰經驗,LPS擅長打造貫通前端應用、中台整合至後端基礎設施的數碼轉型服務,並透過嚴謹的品質與風險管理機制,確保系統穩定、合規可靠及業務持續運作。 在應用軟件方面,LPS 與用友(YonYou)、帆軟軟件(FanRuan)、神策數據(Sensors Data)、紛享銷客(ShareCRM)、海揚數據(OceanBase) 、 中電科金倉(北京)科技股份有限公司(KingBase)、南大通用 (Gbase)合作,提供融合AI與數據分析的ERP、商業智能及數據庫遷移方案,提升企業決策與管理效率。 辦公自動化則與FileZ、致遠互聯(Seeyon)及論客(Coremail)攜手,推動智慧協作與流程自動化,提升協同效率。 在網絡安全領域,聯同360數字安全(360 Tech)、聯軟科技(Leagsoft)、奇安信(QAX)、啟明星晨(VenusTech)及深信服(Sangfor),打造具備AI威脅檢測與主動防禦能力的全方位安全體系,強化網絡安全的韌性。 基礎設施層面,整合雲智慧(Cloudwise)、愛數(Aishu)及麒麟軟件(Kylin)的技術,提供穩定及可擴展度高的 AIOps智能運維、數據備份及操作系統支援。 Lenovo 方案服務業務集團亞太區總經理何一凡表示:「Lenovo一直致力構建開放的技術生態系統,透過聯想創投(Lenovo Capital and Incubator Group),我們已投資並扶持逾300家創新型初創企業,涵蓋AI、半導體及先進製造等關鍵領域。新成立的自主創新技術生態圈,正是將本地技術整合能力與全球佈局相結合的重要一步。憑藉Lenovo遍及180個市場的銷售、服務與合作夥伴網絡,我們將為生態圈成員提供從技術驗證、場景落地到國際拓展的全方位支持。」 LPS 生態系統業務主管梁俊榮表示:「我們相信在開放合作的框架下,技術創新能形成更強的共振效應。自主創新技術生態圈的核心精神是『共建、共創與共享』——我們不只是整合產品,更促進技術互通與方案聯創。未來,我們將持續吸引本地及區內的優質夥伴加入,深化技術交流和產業融合,為客戶帶來更緊貼市場需要、更具經濟價值的解決方案。」 未來,LPS將持續完善生態圈架構,推動更多夥伴加入,共同構建開放、可信且高效的科技合作平台,助力企業實現安全、高效的數碼轉型。 了解更多有關「自主創新技術生態圈」的詳情,請瀏覽:https://www.lpstech.com/site/sc/service/next-gen-it-innovation/overview.html LPS與18家「自主創新技術生態圈」夥伴,包括360數字安全、愛數、雲智慧、論客、帆軟軟件、FileZ、南大通用、中電科金倉(北京)科技股份有限公司、麒麟軟件、聯軟科技、海揚數據、奇安信、深信服、致遠互聯、神策數據、紛享銷客、啟明星晨及用友。 關於聯想電訊盈科企業方案(LPS)LPS 是亞太地區領先的 IT 和技術解決方案供應商。我們與政府和企業合作,透過市場頂尖的解決方案和行業最佳實踐,實現卓越的數碼轉型和推動業務增長。作為聯想集團的成員,我們很自豪能夠借助其全球影響力和技術能力解鎖新的協同效應,專注於AI、數據實踐、雲端運算及網絡安全。憑藉超過4,000人的專家團隊和強大的合作夥伴生態系統,我們致力於提供頂尖的AI解決方案和數據實踐,協助企業在數碼轉型中取得卓越成就。
研究結果為小干擾核糖核酸(siRNA)及治療性疫苗在乙肝功能性治癒策略中的貢獻提供了科學洞見 中國北京和美國北卡羅萊納州達勒姆市2025年11月7日 /美通社/ -- 騰盛博藥生物科技有限公司(「騰盛博藥」或「公司」,股票代碼:2137.HK),一家致力於針對患者需求未被滿足的疾病開發治療方案,以改善患者健康狀況和治療選擇的生物技術公司,今日宣佈其ENSURE II期研究結果已發表於同行評審期刊《自然-醫學》。研究評估了siRNA藥物elebsiran聯合聚乙二醇干擾素α(PEG-IFNα)治療方案的有效性和安全性,並將PEG-IFNα單藥治療方案作為對照組。此外,該研究還探討了乙肝治療性疫苗BRII-179在識別免疫應答患者及提高乙肝表面抗原(HBsAg)清除率中的潛在作用。 標題為《Elebsiran和PEG-IFNα治療慢性乙型肝炎感染:一項部分隨機、開放標籤的II期臨床試驗》的文章現已上線【鏈接】。 ENSURE研究在病毒抑制的慢性HBV患者中分兩部分進行。在第一部分(隊列1-3)中,未接受過BRII-179給藥的參與者隨機接受48周的PEG-IFNα單藥治療,或聯合elebsiran治療(每4周給藥一次(Q4W),劑量為200mg或100mg)。在第二部分(隊列4)中,在先前已完成的II期研究(BRII-179-835-001)中接受過9劑elebsiran聯合BRII-179給藥的參與者,根據乙肝表面抗體(anti-HBs)滴度峰值水平(分別為≥10 IU/L或<10 IU/L)被分類為BRII-179抗-HBs應答者或無應答者,隨後在ENSURE研究中接受48周的elebsiran(100 mg Q4W)聯合每週PEG-IFNα治療。 該論文的關鍵結果包括: 隊列1-3:在治療結束後24周,在隊列2(elebsiran 200mg + PEG-IFNα)的19名參與者中4例(21.1%)實現了HBsAg清除;在隊列3(elebsiran 100 mg + PEG-IFNα)的18 名參與者中6例(33.3%)實現了HBsAg清除。相比之下,隊列1(PEG-IFNα單藥)18名參與者中僅有1例(5.6%)實現了HBsAg清除。 隊列4:在治療結束後24周,參與者中BRII-179抗-HBs應答者的應答率為41.1%(19名參與者中8名),顯著高於無應答者(12名參與者中1名,8.3%)。所有 31名參與者中有9名(29.0%)實現了HBsAg清除。此外,BRII-179抗-HBs應答者比無應答者更快速地實現了HBsAg降低和清除。 在所有研究隊列中,Elebsiran與PEG-IFNα聯合療法總體安全且耐受性良好。 第1-3隊列採用的隨機、陽性對照設計,是驗證elebsiran聯用相較於PEG-IFNα單藥治療臨床獲益的金標準,為未來siRNA藥物在乙型肝炎功能性治癒上的研發提供了重要基準。 隊列4的創新設計探索了一種基於患者反應的治療方案,旨在實現更個性化的治療決策,既能最大化高獲益人群的應答率,又能避免其他患者接受不必要且冗長的治療。 其他重要觀察結果包括:1) BRII-179聯合elebsiran治療的經治參與者出現HBsAg降低和清除的速度更快,表明BRII-179可能通過激活免疫系統,增強其對後續治癒性療法的響應能力;2) 50%(4/8)實現HBsAg持續清除的抗-HBs應答者在先前BRII-179-835-001研究中入組時基線HBsAg水平超過1,500 IU/mL,表明BRII-179可能在HBsAg基線水平較高的患者中誘導抗-HBs應答。憑借其良好的安全性特徵,BRII-179有望在不同HBsAg基線水平的患者中發揮獨特的患者免疫和富集作用,從而擴大未來治癒性治療方案的適用人群範圍。 ENSURE研究的首席研究者賈繼東教授表示:「ENSURE研究旨在為慢性乙型肝炎的治癒性療法提供亟需的科學依據並回答其中一些關鍵的科學問題。令人鼓舞的是,24周隨訪數據與治療結束時的結果趨勢一致,該結果為elebsiran的額外臨床獲益提供了進一步的支持,同時提示了BRII-179在激活慢性乙肝患者免疫並富集該人群以實現更高功能性治癒率方面的潛在新作用。我們期待在後續的驗證性研究中進一步確認這些發現。」 關於乙型肝炎 乙型肝炎病毒(HBV)感染是世界上最重大的感染性疾病威脅之一,全球感染人數超過2.54億。[1]慢性HBV感染是肝臟疾病的主要原因,每年約有82萬人死於慢性HBV感染的併發症。[1]中國慢性HBV感染人數達8,700萬,非常值得關注。[2] 關於BRII-179 BRII-179是一種基於重組蛋白質的新型HBV 免疫治療候選藥物,可表達HBV的Pre-S1、Pre-S2和S表面抗原,旨在誘導增強和廣泛的B細胞和T細胞免疫應答。2023年11月,中國國家藥品監督管理局(NMPA)藥品審評中心(CDE)授予BRII-179突破性治療品種認定。 關於Elebsiran Elebsiran是一種經皮下注射給藥的靶向乙型肝炎病毒(HBV)的小干擾核糖核酸(siRNA)研究性藥物,旨在降解HBV RNA轉錄本及限制乙型肝炎表面抗原的產生,其具有針對HBV及丁型肝炎病毒(HDV)的直接抗病毒活性。其是首個進入臨床的採用增強穩定化學增強技術的siRNA,以增強穩定性並最大程度地減少脫靶活性,從而有可能提高治療指數。騰盛博藥於2020年從Vir Biotechnology, Inc. 獲得了在大中華地區開發和商業化elebsiran的獨家權益。2024年5月,中國國家藥品監督管理局(NMPA)藥品審評中心(CDE)授予elebsiran突破性治療品種認定。 關於騰盛博藥 騰盛博藥(股票代碼:2137.HK)是一家生物技術公司,致力於針對存在巨大未被滿足的患者需求、治療手段有限,以及給患者帶來嚴重社會歧視的重大公共衛生挑戰開發創新療法。公司專注於感染性疾病,正在推進一條涵蓋多種獨特候選藥物的產品管線,重點包括針對乙型肝炎病毒(HBV)感染的領先項目。在富有遠見卓識和經驗豐富的領導團隊帶領下,公司在位於羅利-達勒姆、舊金山灣區、北京和上海的主要生物技術中心開展業務。欲瞭解更多信息,請訪問 www.briibio.com。 [1] World Health Organization. (April 2024). Global hepatitis report 2024: action for access in low- and middle-income countries. World Health Organization. Retrieved from https://www.who.int/publications/i/item/9789240091672 [2] World Health Organization. Hepatitis. World Health Organization. Retrieved from https://www.who.int/china/health-topics/hepatitis#:~:text=There%20are%2087%20million%20people,living%20with%20chronic%20hepatitis%20C.
2025 年第三季,電子郵件攻擊呈現「手法更精緻、攻擊鏈更長、利用合法服務為跳板」的趨勢。攻擊者大量採用 AI/生成式工具強化社交工程,使郵件文案更具說服力且在多語系場景下更難以辨識;同時,他們善用第三方服務,如短網址、雲端平台、電子簽章、以及資安廠商自己的置換連結機制等,來串接、轉向與掩飾攻擊路徑,使既有的靜態過濾與基於來源信譽的防護失效。針對資安廠商的社交工程試探也明顯增加,攻擊者以「少量多次」的方式對公開服務窗口埋伏惡意程式或蒐集情報,嘗試取得長期潛伏的後門。最後,AI 的普及不僅提升釣魚攻擊成功率,也使漏洞挖掘、自動化探針與隱蔽指令的濫用更有效率,導致端到端的電子郵件防護必須由單層規則升級為行為與情境感知、跨通道監控與資料外洩的整合防護體系。以下為ASRC 與中華數位科技在這一季的特殊觀察: 置換連結防護遭到濫用 為降低收件者誤點惡意連結的風險,許多郵件防護機制在郵件傳遞途中執行「置換連結(URL Rewriting)」,將郵件內原始連結改寫為防護服務自有的檢查跳板,以便在使用者點擊時即時檢查最終目的連結的安全性,並記錄使用者與點擊時間,以利事後鑑識或封鎖。這種即時檢測機制在傳統釣魚攻擊中有效降低成功率,並提高事件追溯能力。然而在 2025 年第三季出現明顯濫用的趨勢:攻擊者串接多個置換連結與合法跳轉服務(例如短網址、合法雲端或第三方追蹤域名),形成「多段轉址」的攻擊鏈。 其操作邏輯與風險如下:. 串接防護跳板以躲避即時檢測:攻擊者先利用合法服務(或被入侵的服務)生成短網址或跳轉連結,再將這些連結放入釣魚郵件中。當收件者點擊時,第一個被檢查到的 URL 可能是某資安廠商或其它合法防護的置換域名,因其來源被視為「可信」,系統就不會進一步深度解析或標示為可疑,導致最終惡意目的地得以通過。. 繞過記錄與追蹤機制:若多段轉址使中間某些 Click-tracking/置換節點被系統視為正常流量,系統可能不會完整紀錄最終目的地或點擊者資訊,削弱事後鑑識與責任歸屬。. 利用合法資源作掩護:當轉址鏈包含受信任的第三方(例如廣告追蹤、電子簽章或大品牌雲端),攻擊行為顯得更「自然」,讓使用者與系統更難辨認其惡意意圖。. 自動化與規模化:攻擊者可以自動化生成大量多段轉址連結,配合 AI 編寫的人性化文案,顯著提升釣魚效率。 釣魚郵件的攻擊者嘗試串起不同防護的置換連結,並搭配縮址、轉址的功能,讓置換連結防護失效! 潛在影響防護閘道的「第一層檢查」被合法外殼所迷惑,導致「偽陰性」增加;事後鑑識資訊不完整,延遲事故回應與補救;以及使用者信任度下降(尤其當合法廠商的置換域被濫用時),導致品牌與服務信譽風險。 針對資安公司的社交工程攻擊與試探 第三季觀察到攻擊者特別將目標瞄準「資安公司」或其公開服務窗口,常見攻擊路徑與手法可區分為兩大類:1. 長期潛伏式 Web / 服務窗口滲透攻擊者嘗試以惡意程式感染服務窗口,成功感染後,以小量、頻繁的請求(通常透過 HTTPS/443)取得後續惡意程式,目標是建立可長期維持的後門或定期蒐集目標主機資訊,並定期將資訊上傳到特定外部站點。攻擊行為刻意低調(低頻率、分散來源 IP、混淆 User-Agent),以避免被即時偵測系統標為異常流量。2. 社交工程與商務洽談偽裝以「購買服務」、「產品諮詢」或「技術合作」之名接觸業務承辦人,誘導其提供企業內部資訊、技術細節或測試存取權限。手段常結合精緻的語言、模擬的公司文件與偽造聯絡人資訊,單靠表面核查難以立即識破。常見破綻. 發信來源與真實性不一致:不少攻擊使用的郵件並非來自他們聲稱的公司域名或官方郵件流程,若針對郵件頭、來源 IP 與 SPF/DKIM/DMARC 進行核查,仍可發現破綻。. 表單回應機制缺少驗證:公司若以網頁表單作為第一接觸點,但未對回覆者進行強制驗證(例如電話回撥、企業郵件網域驗證或商業憑證),將提高被社交工程騙取資訊的風險。. 內部資訊過度披露:公開的 FAQ、技術支援說明或產品文件若包含過多架構或技術細節,能被攻擊者快速收集並用於定向攻擊。 試圖在服務窗口的電腦上埋入可以長期潛伏並洩資的後門 試圖誘騙相關業務承辦人洩露過多的訊息或技術情報 AI 進化帶來的威脅 AI 與大型語言模型(LLM)在 2025 年下半年已廣泛被攻防雙方採用,對電子郵件資安的影響主要有三個面向:1. 強化社交工程內容產出AI 可生成高品質、針對特定組織或個人語氣與文化語境的郵件文案,包含合理的時間脈絡、專業術語與稱謂,有效提高釣魚與偽冒成功率。並且能自動化 A/B 測試郵件標題、內容與呼籲動作,快速優化可欺騙率。2. 自動化漏洞發現與攻擊鏈組合攻擊者利用 AI 加速漏洞掃描、解析郵件伺服器或附件的潛在弱點,並自動生成對應利用代碼或 payload。當 AI 結合自動化工具(如腳本、代理、多段轉址生成器)時,可以大規模產生變異化攻擊,使傳統簽名式防禦失效。3. 對企業內部 AI 系統的濫用(prompt injection / 隱藏指令)隨著企業導入 AI 助手處理郵件(如自動摘要、回覆建議、敏感資訊檢測),攻擊者可能在郵件正文中嵌入隱蔽指令(例如極小字體、白底白字、或特殊格式),誘使 AI 揭露敏感資訊或執行不當行為(稱為 prompt injection)。若 AI 的輸出未經適當的審核或上下文限制,可能成為內部資料外洩或錯誤自動化決策的來源。 電子郵件攻防邁入新階段 電子郵件攻防正進入「以合法性與自動化為盾與矛」的新階段:攻擊者大量利用 AI 生成社交工程與自動化工具,並利用合法第三方與置換連結的信任層來掩護惡意路徑;同時,資安供應鏈本身與對外窗口成為高價值目標。單一層級的靜態防禦(例如只靠 SPF/DKIM/傳統過濾)已不足以應付這類複合、動態攻擊。未來趨勢預測. 多段轉址與合法服務濫用將更加普遍,防護會從「域名信譽」轉向「轉址鏈分析」與「行為得分」。. 攻擊者對資安業者與業務窗口的試探會持續,促使資安公司本身採用更多“對抗式”自我測試與服務窗口硬化(hardening)。. AI 相關的 prompt injection 與模型濫用將成主要攻擊向量,企業若不設限,AI 反而可能成為資料洩露的幫兇。企業防護建議. 強化身分與接觸驗證流程:對外業務/客服/表單回應採用多因子驗證與實體回撥核實。. AI 使用原則與防護:針對內部 AI 處理郵件的流程設計輸入淨化、輸出審核與最小授權。. 釣魚演練與社交工程防禦訓練:針對 VIP/財務/客服進行定向演練與應變流程訓練。. 建立業界協作與即時通報機制:當發現被濫用的第三方或置換域名,應快速通報、分享入侵指標 IoCs 與同步封鎖。 關於 ASRC 垃圾訊息研究中心 垃圾訊息研究中心 (Asia Spam-message Research Center),長期與中華數位科技合作,致力於全球垃圾郵件、惡意郵件、網路攻擊事件等相關研究事宜,並運用相關數據統計、調查、趨勢分析、學術研究、跨業交流、研討活動..等方式,促成產官學界共同致力於淨化網際網路之電子郵件使用環境。更多資訊請參考ASRC 垃圾訊息研究中心網站
A12 藝術空間
威脅
請先登入後才能發佈新聞。
還不是會員嗎?立即 加入台灣產經新聞網會員 ,使用免費新聞發佈服務。 (服務項目) (投稿規範)
