資安院首屆漏洞獵捕活動找出20項漏洞協助廠商提前修補風險

國家資通安全研究院公布首屆產品資安漏洞獵捕活動成果，本次有指標標性資通訊廠商與眾多資安研究員參與，最終確認20項有效漏洞，包含3項嚴重等級與6項高風險漏洞。

國家資通安全研究院公布首屆「產品資安漏洞獵捕活動」成果，本次活動共集結11家國內指標性資通訊廠商(藍隊)與 179位資安研究員(紅隊)，針對廠商旗下網通設備、網路儲存設備(NAS）及工業網通等 20 組產品測試，最終確認20項有效漏洞，其中包含 3項嚴重等級與 6項高風險漏洞，並已全部完成漏洞修補。

數發部資安署署長蔡福隆(中)、國家資通安全研究院院長林盈達(右2)及參與活動廠商代表

首次產品資安漏洞獵捕活動共有11家國內資通訊廠商與179位資安研究員參與

資安院說明本次活動發現的有效漏洞中，部分元件因使用弱密碼可能導致任意存取檔案，亦有因未妥善檢查參數輸入格式，而產生命令注入（Command Injection）風險等。參與活動的 179位研究員共有25位成功提交漏洞報告，除了可獲得獎金之外，還名列產品資安名人堂中，其中有二位發現的漏洞數高達四個。透過資安研究員從實際攻擊者視角進行測試，使廠商得以在產品上市前即掌握潛在問題，將原本可能於上市後才暴露的風險提前處理。

本次活動發現 3項嚴重等級與 6項高風險漏洞，並已申請取得 6個通用弱點與漏洞編號

除此之外，目前已有廠商配合申請取得 6個通用弱點與漏洞（Common Vulnerabilities and Exposures, CVE）編號，部分漏洞還在申請中，資安院將持續追蹤後續辦理情形，未來也會依情況陸續公布細節。

參與本次計畫之藍隊廠商皆表達高度意願持續參與後續活動，紅隊研究員亦普遍肯定本次活動，並建議未來若能進一步明確揭露測試標的資訊與評估標準，將更有助提升漏洞挖掘成效。

資安院亦說明本次紅隊尋找產品漏洞時並未使用 AI 輔助，隨著 AI 應用更多元也更強大，未來再舉辦新活動時將更鼓勵使用 AI 輔助，以更有效率找到產品漏洞。由於11家參與廠商的產品原本就以國際市場為主，也經過許多考驗，活動期間找到的漏洞比預估的少。

主動發現風險全面提升資安韌性

隨著歐盟「網路韌性法」（Cyber Resilience Act, CRA）等國際規範逐步推行，強化我國產品安全與供應鏈信任是提升出口競爭力及國家整體數位韌性十分重要。本次活動優先選擇網通設備、NAS 及工業網通等產品進行驗證，主要考量相關產品出口海外，在面對國際合規與安全要求時更具急迫性。透過漏洞獵捕活動與上市前既有資安檢測程序相互補強，可協助廠商提前發現潛在風險、縮短修補時程，更降低產品上市後才處理未揭露議題的風險，提升產品安全與市場信任。

今年九月預計辦理第二屆漏洞獵捕活動

資安署與資安院未來將持續推動產品資安驗證工作，並宣布預計今年九月辦理第二屆漏洞獵捕活動，將以「軟體供應鏈安全驗證」為主軸，針對政府機關常用軟體項目，優先選擇使用率較高或涉及高風險情境之軟體進行驗證，並透過公私協力模式強化MIT產品競爭力。