近期揭露的一起 Notepad++ 更新基礎架構入侵事件，不只是一宗單純供應鏈風險，更被多家研究單位研判，可能與中國背景的 APT 組織 Lotus Blossom（又名 Billbug） 有關。從攻擊手法與工具鏈來看，這是一場典型的國家級滲透行動：低調、精準、長時間潛伏，且高度聚焦特定目標。

事件最早可追溯至 2025 年 6 月。攻擊者並未入侵 Notepad++ 原始程式碼，而是成功滲透其託管服務商的基礎架構，攔截原本應送往 notepad-plus-plus.org 的更新流量。部分特定使用者在下載更新時，被選擇性導向攻擊者控制的伺服器，取得遭竄改的更新清單。這種「在傳輸路徑動手腳」的手法，正是近年供應鏈攻擊常見的高階策略。

根據調查，攻擊者先控制共享主機伺服器至 2025 年 9 月初，之後再利用竊得的內部憑證，持續操控更新流量，直到 12 月初才完全終止。整體入侵時間可能長達半年，顯示其滲透與維持存取能力相當成熟。

Rapid7 的進一步分析揭露，這次行動不只是流量劫持，更伴隨一套完整的惡意程式投遞鏈。攻擊流程從合法的 notepad++.exe 與更新程式 GUP.exe 開始，隨後下載一個可疑的 update.exe（NSIS 安裝包）。該安裝包會在隱藏的 AppData 目錄中釋放檔案，並透過改名的 Bitdefender 工具進行 DLL sideloading，最終載入一個全新後門程式，研究人員將其命名為 Chrysalis。

Chrysalis 具備完整遠端控制能力，包括指令執行、檔案傳輸與互動式 Shell，同時透過多層混淆、API Hashing 與加密設定隱藏行為。惡意程式還會建立持久化機制、蒐集系統資訊，並與遠端 C2 伺服器通訊，使攻擊者能長期掌控受害主機。

更值得關注的是，攻擊鏈中同時出現 Metasploit shellcode、Cobalt Strike beacon 以及濫用 Microsoft Warbird 的載入器，顯示其開發成熟且具備模組化架構。研究人員比對歷史樣本後發現，其 DLL sideloading 手法、改名的 Bitdefender 工具與 Cobalt Strike 金鑰等多項特徵，均與 Lotus Blossom 過往行動高度重疊。

Lotus Blossom 自 2009 年以來，長期鎖定政府、電信、航空與關鍵基礎設施組織，主要活動於東南亞與中美洲。本次事件顯示其能力持續演進：在保留傳統技巧的同時，導入多層載入器與未公開系統呼叫，提升隱匿性與存活能力。

從防禦角度來看，這起事件再次提醒企業：
供應鏈風險早已不侷限於程式漏洞，而是整個軟體交付與更新流程。
組織應強化更新來源驗證、監控異常更新行為、檢視 DLL sideloading 與未知安裝程式執行紀錄，並對更新流量進行完整性驗證與行為分析。同時，SOC 團隊也需將「更新流程異常」納入威脅狩獵指標，而非僅關注惡意檔案本身。

當攻擊者開始從「更新管道」下手，代表他們不再尋找單一漏洞，而是直接瞄準企業最信任的入口。能否看懂這類看似正常、實則被操控的更新行為，將成為下一階段供應鏈防禦的關鍵分水嶺。

隨著生成式 AI 快速滲透企業與個人應用場景，一個過去未被充分重視的資安風險正逐漸浮上檯面。SentinelOne 旗下 SentinelLABS 與資安搜尋引擎 Censys 最新聯合調查指出，全球已有超過 17.5 萬台 Ollama AI 伺服器直接暴露在公網之上，分布橫跨 130 個國家，形成一層「未受管理、未納管的 AI 算力基礎設施」。

研究團隊指出，這些 Ollama 主機遍布雲端與住宅網路環境，卻普遍未納入企業既有的資安防護、監控與治理機制之中。其中，中國的曝險比例最高，佔整體約三成；其他基礎設施規模較大的國家則包括美國、德國、法國、南韓、印度、俄羅斯、新加坡、巴西與英國。

Ollama 本身是一套開源框架，讓使用者能在 Windows、macOS 與 Linux 環境中，快速下載、執行與管理大型語言模型（LLM）。雖然其預設僅綁定在本機位址（127.0.0.1:11434），但只要進行極為簡單的設定變更，將服務綁定至 0.0.0.0 或對外網卡，就可能在無任何驗證機制的情況下，直接對整個網際網路開放。

問題的關鍵不只在於「暴露」，而在於「能力」。研究顯示，近半數（約 48%）的 Ollama 主機啟用了 Tool Calling（工具呼叫）能力，可透過 API 直接執行程式碼、存取外部 API，甚至與其他系統互動。研究人員 Gabriel Bernadett-Shapiro 與 Silas Cutler 指出，這代表 LLM 已不再只是「生成文字」，而是實際被嵌入更大的系統流程中，能夠把指令轉化為行動。

這也徹底改變了威脅模型。研究團隊直言：「純文字生成端點，頂多產出不當內容；但具備工具呼叫能力的端點，卻可能直接執行具權限的操作。」在缺乏身分驗證、同時又暴露於公網的情況下，這已構成目前 AI 生態系中最高風險等級的資安情境。

調查同時發現，部分主機支援推理（reasoning）、視覺（vision）等進階模型能力，甚至有 201 台主機使用移除安全護欄的 uncensored prompt 模板，進一步放大濫用與攻擊風險。

在這樣的背景下，「LLMjacking（大型語言模型劫持）」不再只是理論。攻擊者可直接濫用受害者的 AI 算力資源，用於產生垃圾郵件、散播假訊息、加密貨幣挖礦，甚至將存取權限轉售給其他犯罪集團，而成本與風險卻完全由受害者承擔。

Pillar Security 本週公布的另一份報告也印證了這一點。研究指出，攻擊者已發動名為 Operation Bizarre Bazaar 的行動，系統性掃描未設防的 Ollama、vLLM 與相容 OpenAI API 的服務端點，驗證其可用性後，再以折扣價對外販售。整個地下服務鏈包含三個環節：大規模掃描、端點驗證，以及透過 silver[.]inc 這類「統一 LLM API 閘道」進行商業化轉售。

研究人員 Eilon Cohen 與 Ariel Fogel 指出，這是首度被完整歸因的 LLMjacking 地下市場，相關行動已追蹤至威脅行為者 Hecker（亦稱 Sakuya、LiveGamer101）。

更值得警惕的是，Ollama 生態系高度分散，且大量部署於住宅網路與邊緣環境，不僅加劇治理困難，也為提示詞注入（prompt injection）、惡意流量代理等攻擊手法，提供了新的跳板。

研究團隊最後強調，隨著 LLM 持續向邊緣端部署，並被用來「把指令轉化為實際行動」，防禦思維必須同步進化。任何可對外存取的 AI 服務，都應被視為正式的關鍵基礎設施，同樣需要落實身分驗證、存取控管、持續監控與網路分段，而不應再被誤認為只是單純的開發工具或實驗性服務。

在生成式 AI 加速落地的同時，如何避免「AI 先上線、資安後補救」，將是企業與組織無法迴避的下一個資安考題。

一樁看似單純的 AI 使用行為，卻在美國聯邦資安體系內部掀起不小震盪。根據POLITICO報道，負責守護聯邦網路安全的關鍵機構——美國網路安全暨基礎設施安全局（CISA），其代理署長 Madhu Gottumukkala 去年夏天曾將多份標示為「僅供公務使用（For Official Use Only, FOUO）」的政府合約文件，上傳至公開版本的 ChatGPT，隨即觸發 CISA 內部多起自動化資安警示，並升高至 DHS 層級進行潛在損害評估。

從資安角度來看，此事件格外諷刺。Gottumukkala 不僅是聯邦政府最高層級的資安主管之一，還是在多數 DHS 員工被禁止使用 ChatGPT 的情況下，親自申請並獲准例外使用該工具。然而，正是這項「例外授權」，最終成為敏感資料外流風險的導火線。

雖然相關文件未被列為「機密等級」，但 FOUO 本身即代表資料具備實質敏感性，不得對外公開。更關鍵的是，任何輸入公開版 ChatGPT 的內容，理論上皆會被第三方平台（OpenAI）接收並處理，這與政府內部自建、資料不出網的 AI 工具（如 DHSChat）在風險模型上存在本質差異。

CISA 內部的資安感測機制於 8 月初即偵測到異常行為，短短一週內多次發出警示，並促使 DHS 高層介入調查，評估是否對聯邦網路安全造成實質影響。至於調查最終結論，目前並未對外公開。

CISA 對外回應則強調，該次 ChatGPT 使用屬於「短期、有限範圍」，且在 DHS 控管機制下進行，同時重申政府致力於在風險可控前提下推動 AI 創新，回應川普政府解除 AI 發展限制的政策方向。不過，這樣的說法，仍難以完全消弭外界對「人員風險」與「治理落差」的疑慮。

從資安專業觀點來看，這起事件凸顯的並非 AI 本身的危險性，而是治理與使用邊界的失守。當最高資安決策層未能清楚區分「可用 AI」與「可對外輸入的資料」，即使再成熟的防禦體系，也可能從內部被繞過。

這起事件對全球政府機關與大型企業都是一個明確警訊：
在導入生成式 AI 的同時，「誰可以用、用在哪、資料能不能上傳」不只是 IT 政策，而是資安治理與風險管理的核心問題。否則，最先被 AI 放大的，恐怕不是效率，而是組織自身的制度漏洞。

對許多企業來說，「漏洞已修補」往往意味著風險已解除。
但近期多起 Fortinet FortiGate 防火牆遭入侵的實際案例，正在動搖這個資安世界裡最基本、也最危險的假設。

修補後仍遭攻擊，CVE-2025-59718 並未真正落幕

自 2025 年底 Fortinet 修補關鍵驗證繞過漏洞 CVE-2025-59718 以來，原本預期風暴已過。然而，來自全球多位 Fortinet 管理員的回報卻顯示，即便已升級至 FortiOS 7.4.9、甚至 7.4.10，攻擊仍在發生。

多名受害管理員指出，他們在完全更新的 FortiGate 裝置上，偵測到異常的 SSO 登入行為，並且在數秒內就被建立新的本地系統管理員帳號，典型帳號名稱包含 helpdesk 等，看起來像是自動化腳本所為。

其中一名管理員表示：

「我們的 FortiGate（FGT-60F）已在 2024 年 12 月 30 日升級至 7.4.9，但 SIEM 仍偵測到透過 SSO 登入後，新管理員帳號被建立。行為模式與 CVE-2025-59718 完全一致。」

熟悉的帳號、熟悉的 IP——攻擊手法高度重疊

多起事件的日誌顯示，攻擊行為具有高度一致性：

• SSO 登入帳號：cloud-init@mail.io
• 來源 IP：104.28.244.114
• 登入後立即建立本地系統管理員
• 隨即匯出防火牆設定檔（Firewall Config）

這些 入侵指標（IoCs），與資安公司 Arctic Wolf 在 2025 年 12 月揭露的 CVE-2025-59718 實際攻擊行為完全吻合。
差別只在於——這次發生在「已修補」的設備上。

Arctic Wolf 也在最新通告中坦言：

「目前尚無法確認，這一波攻擊是否完全被既有修補涵蓋，或是否仍存在未修補的攻擊路徑。」

Fortinet 內部確認：7.4.10 仍未完全修補

更令人警惕的是，多名客戶在與 Fortinet 技術支援單位交涉後，獲得一致回饋：

FortiOS 7.4.10 並未完全修補該驗證繞過問題。

根據目前流出的資訊，Fortinet 正計畫於短期內釋出以下版本，嘗試「完整修補」該漏洞：

• FortiOS 7.4.11
• FortiOS 7.6.6
• FortiOS 8.0.0

截至目前，Fortinet 尚未對外發布正式公開說明，也未回應媒體的多次詢問。

這不只是 FortiGate 的問題，而是「修補信任」的問題

從技術角度來看，CVE-2025-59718 的核心風險在於：

• 攻擊者可透過惡意構造的 SAML 訊息
• 在 FortiCloud SSO 啟用的情況下
• 繞過身分驗證，直接取得管理權限

一旦成功，攻擊者能做的事情遠不只新增帳號——
匯出防火牆設定、建立 VPN 帳號、橫向移動、長期潛伏，都是合理推論。

暫時性防護建議：關閉 FortiCloud SSO

在 Fortinet 提供「可驗證的完整修補」前，現階段最實際、也最有效的風險緩解措施只有一個：

立即停用 FortiCloud SSO（若已啟用）

GUI 操作路徑：
System → Settings →
關閉「Allow administrative login using FortiCloud SSO」

CLI 指令：

config system global
set admin-forticloud-sso-login disable
end

Fortinet 也曾在原始公告中指出：
若設備未註冊 FortiCare，FortiCloud SSO 預設並不啟用。

然而，事實並不樂觀。

仍有上萬台設備暴露在網際網路上

根據 Shadowserver 監測數據：

• 2025 年 12 月中旬：超過 25,000 台 Fortinet 設備啟用 FortiCloud SSO 並暴露於網際網路
• 目前仍有 約 11,000 台 可被直接存取

同時，美國 CISA 已正式將 CVE-2025-59718 列入「已被積極利用漏洞清單（KEV）」，並要求聯邦機構在一週內完成修補。

結語：這是一個「假修補」時代的真實案例

FortiGate 事件再次提醒我們：

修補 ≠ 安全
版本號 ≠ 風險解除
官方公告 ≠ 攻擊結束

對企業與資安團隊而言，現在最重要的不是「是否已更新」，
而是——是否真正理解修補範圍、實際攻擊路徑，以及風險仍存在的現實。

這起事件，值得所有依賴邊界設備與 SSO 架構的組織，重新審視自己的「信任模型」。

問題從來不只是某一家產品安不安全，
而是在攻防節奏上，攻擊者往往比修補流程更快完成布局。

近期，資安公司Palo Alto Networks 修補了影響 GlobalProtect Gateway 與 Portal 的高風險漏洞（CVE-2026-0227，CVSS 7.7），該漏洞已有公開 PoC（Proof-of-Concept） 可利用。GlobalProtect 是 Palo Alto Networks 提供的 VPN 與安全遠端存取解決方案，可透過 Palo Alto 防火牆將使用者流量導入企業網路，並套用與內部網路相同的安全控管。

漏洞概述

此次漏洞影響 PAN-OS 系統，允許攻擊者在 無需認證 的情況下對防火牆發動拒絕服務（DoS）攻擊。官方公告指出：

「PAN-OS 軟體存在漏洞，可能讓未經授權的攻擊者造成防火牆拒絕服務。重複觸發此漏洞可能導致防火牆進入維護模式。」

攻擊者若重複利用此漏洞，可將防火牆強制置入維護模式，使網路流量中斷，並暫時喪失防火牆保護，直至管理員手動干預。

受影響版本

資安廠商強調，此漏洞僅影響已啟用 GlobalProtect Gateway 或 Portal 的 PAN-OS 或 Prisma Access 環境；Cloud NGFW 不受影響。截至目前，Palo Alto Networks 尚未發現該漏洞在實際攻擊中被濫用的案例。

專家觀點與建議

1. 立即檢查與升級：受影響的企業應立即檢查防火牆版本，並盡快升級至官方修補版本，以降低被 PoC 攻擊利用的風險。
2. 監控異常行為：加強對防火牆進入維護模式、異常重啟或網路流量中斷的監控，避免未授權中斷服務影響營運。
3. 強化遠端存取安全：除了更新防火牆，建議檢視 VPN 登入策略、限制無用的遠端訪問，以及定期審查使用者權限。
4. 追蹤威脅情資：考量近期針對 GlobalProtect 登入的攻擊活動（自 2025年12月初起，駭客鎖定 GlobalProtect 登入與 SonicWall API 掃描），企業應整合威脅情資，以快速辨識可疑行為。

總結來說，這次漏洞雖未有大規模攻擊報告，但 PoC 已公開，對企業網路安全仍構成實質威脅。建議企業管理層與資安團隊立即採取行動，確保防火牆與 VPN 安全不受威脅。