【大紀元2026年04月27日訊】(大紀元記者戴德蔓台灣台北報導)數發部資安署指導、國家資通安全研究院4月27日辦理首屆「產品資安漏洞獵捕活動」,共集結11家國內資通訊大廠、179位本土資安研究員,針對20組產品進行測試,最終確認20項有效漏洞。資安院表示,產品在上市前透過外部測試驗證,有助提前發現潛在風險、縮短修補時程,進一步強化整體產品安全與市場信任,並強化MIT產品競爭力。
資安院說明,本次活動涵蓋網通設備、網路儲存設備(NAS)及工業網通等產品,其中包含3項嚴重等級與6項高風險漏洞,均已完成修補。參與活動的179位研究員中共有25位成功提交漏洞報告,使廠商得以在產品上市前掌握潛在問題,將原本可能於上市後才暴露的風險提前處理。
資安署署長蔡福隆說,隨著歐盟《網路韌性法》等國際規範陸續上路,強化台灣產品安全與建立供應鏈信任與提升出口競爭力及國家整體數位韌性密切相關。他表示,首屆漏洞獵捕活動成果豐碩,後續將辦理第2屆,促使業者更加重視產品資安,也讓政府機關與企業在採用資安產品時,有更安全的環境。
在漏洞樣態方面,資安院說,部分元件因使用弱密碼或預設帳密,可能導致任意檔案遭讀取;另有因未妥善檢查參數輸入格式,而產生命令注入(Command Injection)風險。整體觀察顯示,不少漏洞具備實際攻擊價值,且可能形成連鎖攻擊,顯示產品資安仍有強化空間。
資安院表示,整個的活動建立的機制就是由紅隊研究員挖掘,企業來進行修補,第三方資安院來做一個公正性的確認,參與計畫之藍隊廠商皆表達高度意願持續參與後續活動,紅隊研究員建議未來若能進一步明確揭露測試標的資訊與評估標準,將更有助提升漏洞挖掘成效。
國家資通安全研究院院長林盈達表示,活動初期曾擔心駭客找不到漏洞,或廠商產品漏洞過多,但結果證明,兩種擔心都沒有發生。參與的駭客共找出20個漏洞,其中9個屬於高嚴重等級(包含3個屬於高嚴重性、6個高風險漏洞),顯示台灣資安研究員具備實力。未被找到漏洞的產品,在高強度測試下仍具備防護能力,而被找出漏洞的產品,則可在上市前完成修補。
檢測中心總監劉建良說,企業若導入產品資安(PCERT)概念,將建立專責團隊持續進行漏洞更新與修補,並透過相關機制強化產品資安處理能力。他表示,此次活動也促使企業由被動防禦邁向主動發現風險,提前補足弱點。
資安院規劃於今年第3季開始受理報名,於9月至10月辦理第2屆漏洞獵捕活動,將由硬體測試轉向軟體供應鏈安全驗證,針對政府機關常用系統,並導入AI工具進行漏洞挖掘,預計募集800萬元獎金。
資安院表示,未來將持續推動產品資安驗證工作,透過公私協力模式強化MIT產品競爭力,讓台灣製造從「Made in Taiwan」邁向「Make It Trusted」。
責任編輯:曉玫
