2026年6月重大資安事件速報:AI 自主挖漏洞、Microsoft 365 Token 外洩、GitHub OAuth 一鍵攻擊
踏入 2026 年 6 月,資安界繼續冇覺好瞓。今個禮拜有三單重大事件值得 IT 人密切關注:AI 工具自主發現兩年前嘅 Redis RCE 漏洞、Microsoft 365 Android App 洩露 Account Token、以及 GitHub VS Code OAuth 一鍵竊取攻擊。以下逐一詳細分析。
👉 延伸閱讀:Palo Alto PAN-OS 漏洞遭大規模利用 企業修復攻略一文睇晒
資安事件一:AI 自主挖漏洞 — CVE-2026-23479 Redis RCE
最新報告指出,一個自主式 AI 安全掃描工具成功發現 Redis 資料庫入面一個潛伏咗足足兩年嘅 Remote Code Execution(RCE)漏洞,編號 CVE-2026-23479。呢個漏洞係 use-after-free 類型,存在於 Redis 處理 blocking client 連線嘅程式碼入面。任何經過身分驗證嘅使用者都可以利用呢個漏洞,喺 hosting Redis 嘅伺服器上面執行任意 OS command。
Redis 官方已經釋出修補版本。CVSS 評分雖然未正式公佈,但考慮到 RCE 嘅性質,預計係 Critical(9.0+)。全球有超過 10 萬個 public-facing Redis instance,IT 團隊應立即檢查同升級。特別係用 Redis 做 caching layer 或者 message broker 嘅 production 環境,一定要優先處理。
呢單嘢最大嘅啟示係:AI 自主漏洞挖掘時代已經來臨。傳統靠人手 audit code 或者等 researcher 回報嘅模式將會被徹底顛覆,未來漏洞發現速度會以倍數增長。
資安事件二:Microsoft 365 Android Token 外洩 — Debug Flag 惹禍
第二單同樣震撼 — 網絡安全研究員發現,多款 Microsoft 365 Android App(包括 Outlook、Teams、Word 等)喺 production build 入面殘留咗一個 debug flag。呢個 flag 會 disable 正常嘅 account token 分享限制,等於任何安裝咗喺同一部手機嘅 App 都可以偷走 Microsoft 365 嘅 account token。
試想像:你裝咗一個睇落好正常嘅 flashlight app,佢喺背後靜靜雞拎走咗你 Microsoft 365 嘅 token — 即係可以 access 你全部 email、OneDrive files、Teams 對話。呢個漏洞嘅影響範圍極廣,因為 Microsoft 365 Android App 嘅用戶數以億計。
Microsoft 已經確認問題並推出更新。IT admin 應該:
1. 確保所有用戶嘅 Microsoft 365 App 已經更新到最新版本
2. 考慮啟用 Conditional Access Policy,限制只准 compliant device 登入
3. Review Azure AD sign-in logs,留意異常登入活動
資安事件三:GitHub VS Code 一鍵 OAuth 攻擊
第三單係針對開發者嘅精準攻擊。研究員披露咗一個透過 Microsoft Visual Studio Code 發動嘅 one-click 攻擊手法:受害者只需要點擊一條惡意連結,攻擊者就可以偷走完整嘅 GitHub OAuth token。
攻擊流程係咁:攻擊者 craft 一條特殊嘅 VS Code URL(`vscode://` protocol),當受害者 click 落去,VS Code 會自動開啟並觸發 GitHub 認證流程。因為 VS Code 本身係 trusted application,GitHub 唔會額外提示 MFA。Token 到手之後,攻擊者可以:
– Clone 同 modify private repositories
– 喺 source code 入面 inject 惡意程式碼
– 竊取 repository secrets 同環境變數
– 偽造 commit 破壞 supply chain
暫時 GitHub 同 Microsoft 仲未推出全面修復。臨時防禦措施:喺 GitHub Settings → Applications 入面 revoke 所有唔認得嘅 authorized OAuth apps,同埋避免 click 來歷不明嘅 `vscode://` 連結。
資安總結:2026 威脅三大趨勢
三單事件反映咗 2026 年資安威脅嘅三大趨勢:
1. AI 自動化攻擊 — 攻擊者同防守方都會用 AI,速度競賽白熱化
2. Mobile + Cloud Token 安全 — Mobile App 嘅安全漏洞可以直接 bypass enterprise-grade Cloud security
3. Developer Toolchain Attack — CI/CD pipeline 同開發工具鏈已經成為 attacker 嘅重點目標
🔗 參考資料:NVD NIST 漏洞資料庫
IT 團隊應該將呢三單事件列入本週 risk register,優先處理 Redis 升級,然後檢查 Microsoft 365 登入紀錄,最後 review GitHub OAuth app permission。記住:patching 永遠係最平嘅 insurance。
資安 延伸閱讀
📌 零日漏洞危機:Gogs RCE、FortiClient EMS 漏洞
📌 Windows Netlogon + PAN-OS 雙漏洞危機
#資安 #Redis #Microsoft365 #GitHub #CVE #零日漏洞 #AI安全 #Token洩漏
