歐盟核心機構遭駭：92GB資料外洩背後的新型犯罪邏輯

當你信任的安全工具本身成為入侵的門，你還能信任什麼？

2026年3月19日，歐盟行政核心機構歐洲委員會（European Commission）在毫不知情的情況下，下載了一個已被竄改的開源安全工具。這個看似平常的動作，最終導致92GB壓縮資料遭竊，至少29個歐盟機構的資料面臨外洩風險。歐盟網路安全機構CERT-EU本週發布報告，首次完整揭露這起事件的來龍去脈。

事件始末：一把「假鑰匙」打開了歐盟的雲端倉庫

故事的起點，是一個名為Trivy的開源安全掃描工具。這款工具在開發者社群中廣受信賴，歐洲委員會也將其納入日常安全流程。然而，Trivy本身早已在此前的一次駭客攻擊中遭到入侵。委員會在不知情的情況下下載了被植入惡意程式的版本，駭客組織TeamPCP藉此竊取了與委員會Amazon Web Services（AWS）帳戶綁定的秘密API金鑰。

取得這把「鑰匙」後，攻擊者如入無人之境，存取了儲存在雲端的大量資料。外洩內容包括姓名、電子郵件地址及郵件正文。其中約5萬2,000個檔案包含已發送的電子郵件，CERT-EU指出，退回的錯誤郵件中可能保留使用者實際撰寫的內容，構成個人資料外洩的直接風險。

更值得關注的是後續發展：竊取的資料隨後由另一個駭客組織ShinyHunters公開發布於網路上。兩個獨立犯罪集團分工合作——一個負責滲透與竊取，另一個負責公開施壓——這種協作模式標誌著網路犯罪生態的結構性轉變。

為何此刻格外重要

廣告

廣告合作

[email protected]

廣告

這起事件不只是「又一次大規模資料外洩」。它揭示了一個更根本的安全悖論：越是被廣泛信任、深度整合進基礎設施的工具，一旦遭到入侵，其破壞力就越難以估量。

資安公司Palo Alto Networks Unit 42團隊的報告顯示，TeamPCP近期正在系統性地針對多個開源安全專案發動供應鏈攻擊。其邏輯清晰而危險：鎖定開發者持有的存取金鑰，就等於同時掌控了所有使用這些金鑰的組織。「把被入侵的組織當人質，索取贖金」，Unit 42如此描述這一策略。

對於亞洲企業與政府機構而言，這個警示同樣切身相關。台灣、香港、新加坡的科技企業與金融機構，大量依賴AWS、Azure等雲端服務，並廣泛採用開源工具加速開發。當供應鏈本身成為攻擊向量，再嚴密的內部防護也可能在一個外部工具的漏洞前功虧一簣。

值得對比的是，中國大陸在政策層面長期推動「自主可控」的技術路線，對境外雲端服務與開源工具的使用設有較多限制。這在一定程度上降低了此類供應鏈攻擊的暴露面，但也帶來生態封閉、創新受限等不同層面的代價——這種取捨本身，正是全球科技治理辯論的縮影。

多方視角下的複雜圖景

歐洲委員會的發言人對媒體表示，機構目前「休假中，下週才會回應」。這一回應方式在資安社群引發批評。管理著數億歐洲公民資料的機構，在重大資安事件發生數週後仍無法即時說明，透明度的缺失本身就是一種治理風險。

對Trivy的開發商Aqua Security而言，自家工具成為攻擊跳板，是聲譽與商業的雙重打擊。更廣泛地說，這對整個開源社群提出了嚴肅拷問：開源的開放性是其最大優勢，但在安全驗證機制尚不完善的情況下，這種開放性是否也是最大的弱點？

從地緣政治視角看，此次受害的是歐盟自身的行政機構。歐盟近年來以GDPR、NIS2指令等法規積極建構數位主權與網路安全框架，並對科技企業提出嚴格合規要求。然而，監管者自身成為受害者，無疑對其規範性權威構成挑戰。這一矛盾，在討論全球數位治理標準時，將是難以迴避的話題。

對一般用戶而言，此次外洩涉及的個人資料——姓名、電子郵件、郵件內容——看似普通，卻是網路釣魚攻擊、社會工程學詐騙的絕佳素材。資料外洩的危害，往往不在洩露的瞬間，而在其後數月乃至數年被反覆利用的過程中。