富士康遭勒索軟體攻擊：8TB 蘋果、輝達、英特爾機密文件外洩

針對富士康北美廠區的勒索軟體攻擊，暴露了全球科技供應鏈運作方式中一個根本且令人不安的真相：全球最大科技公司最機密的產品計畫和技術規格，就存放在其代工廠的伺服器上，而這些伺服器的安全強度，完全取決於這些代工廠願意投入多少資源來保護它們。

2026 年 5 月 12 日，富士康證實部分北美廠區遭受網路攻擊。此前，Nitrogen 勒索軟體集團已將這家台灣電子製造巨頭列入其資料外洩網站，並宣稱竊取了 8TB 共逾 1,100 萬份文件的資料。相關截圖顯示，外洩資料疑為與全球最具價值科技公司相關的機密專案文件、內部作業指令及技術工程圖紙，涉及蘋果、輝達、谷歌、英特爾和戴爾。

入侵事件如何演變

這起入侵並非大張旗鼓地現身。根據資安媒體引述的員工說法和內部報告，攻擊最早於 2026 年 5 月 1 日（週五）顯現，富士康位於威斯康辛州芒特普萊森特的工廠員工回報遭遇全面斷網。這場突如其來的大規模中斷，是勒索軟體在富士康網路中部署、加密系統並在操作人員能夠隔離受影響基礎設施之前大量竊取資料的外顯症狀。

富士康資安團隊隨即啟動事件響應程序，並「採取多項運營措施確保生產和交貨的連續性」。這番措辭經過精心選擇：富士康並未宣稱生產未受影響，只說採取了以連續性為目標的措施。業內人士報告指出，受影響廠區的生產中斷持續了數天。

從最初斷網到富士康公開承認之間長達十一天的空窗期（5 月 1 日至 5 月 12 日），本身就意味深長。這暗示公司花了將近兩週時間評估漏洞規模、悄悄與攻擊者談判，或試圖在 Nitrogen 集團公開聲稱洩露前收拾損失。

Nitrogen 是誰？

Nitrogen 在勒索軟體生態系中並非新面孔，但其能力日益提升。該集團自 2023 年起活躍，據信是建立在泄露的 Conti 2 勒索軟體建置器程式碼基礎上的衍生組織——這與 2022 年 Conti 集團原始碼外洩後衍生出多個知名勒索軟體組織的技術脈絡相同。

該集團採用了已成為專業勒索軟體業界標準的「雙重勒索」手法：加密受害者系統以癱瘓業務，同時竊取敏感資料，無論受害者能否從備份恢復，都可以用公開威脅作為第二個施壓槓桿。對富士康這樣的目標而言，資料勒索槓桿的威力甚至超過加密槓桿：從備份中恢復系統雖然操作上痛苦，但終究可行；而已外洩的 8TB 蘋果工程機密，一旦公開便無法收回。

竊取了什麼——以及為何重要

疑遭竊資料的性質，使此次入侵在本質上有別於一般企業勒索軟體事件。富士康作為全球頂尖硬體公司代工廠的角色，意味著其內部系統存放著科技業最嚴格保護的智慧財產：量產前產品規格、供應鏈採購計畫、製造流程文件，以及零組件級別的技術圖紙。

Nitrogen 集團在其資料外洩網站發布的截圖，疑似顯示與多家客戶相關的文件。蘋果未對此次入侵公開置評。輝達、英特爾、谷歌和戴爾同樣婉拒或未回應採訪請求。上述公司均未表示，如果相關文件屬實，將對其產品或客戶構成重大安全風險。

「不影響客戶」的口徑是供應鏈入侵事件的標準危機公關回應，但這掩蓋了真正的隱憂。先進半導體和消費電子產品的量產前規格，對競爭情報和地緣政治工業間諜活動具有極高的價值。即便外洩資料對終端使用者不構成直接資安威脅，其對有充足資源的競爭對手或國家支持的工業間諜行為者的潛在價值，也不容小覷。

AppleInsider 的報導指出，蘋果自身的系統似乎並未直接遭到入侵，面臨風險的文件涉及富士康的製造流程，而非蘋果的原始碼或服務基礎設施。這一區別對於即時產品安全有其意義，但對供應鏈競爭情報而言，意義或許有限。

結構性問題：供應鏈安全

富士康的入侵事件揭示了一個科技業長期迴避正視的結構性安全挑戰。一線代工廠在供應鏈中佔據著獨特的特權位置：它們同時接收多家相互競爭客戶的設計文件、測試規格和製造流程，使其系統成為任何有意獲取工業情報者的「高價值目標集中地」。

從純粹資訊安全的角度來看，這造成了嚴重的風險集中。蘋果在自身安全態勢上投入巨資，但若富士康——製造 iPhone、MacBook 和 Apple Vision Pro 零組件的廠商——管控較弱，蘋果的安全態勢實際上取決於富士康最薄弱的存取控制點。

這並非假設性的隱憂。富士康此前已遭受過勒索軟體攻擊：2020 年的一次獨立攻擊影響了不同廠區，同樣涉及資料外洩。事件的重演表明，這一基本安全架構——大型地理分散的製造廠區持有敏感客戶資料，連接的 IT 系統必須保持足夠的開放性以支援全球生產協調——依然難以得到充分保護。

更廣泛的科技業在供應鏈安全方面已取得一定進展，包括對供應商強制推行零信任架構及強化第三方安全稽核要求。但這些計畫往往聚焦於軟體供應鏈風險（惡意程式碼注入套件或建置流程），而非大規模製造環境中存在的實體和運營技術風險。

法規與法律後果

此次披露具有即時的合規影響。富士康北美廠區須遵守多項資料保護和洩露通報要求，具體取決於受影響資料的類別及廠區所在州的法規。芒特普萊森特工廠所在的威斯康辛州設有由個人資料洩露觸發的通報要求——不過，科技客戶的製造文件可能不屬於相關法規適用的類別。

更具影響力的可能是富士康對其客戶的合約義務。蘋果等公司與代工廠之間的技術供應協議，通常包含安全要求、稽核權及洩露通報時限。富士康是否履行了這些義務——尤其是在 5 月 1 日事件初次顯現時是否及時通知客戶——預計將在未來數週成為重要爭議焦點。

更廣泛的資安背景

富士康的入侵事件發生在一個本就充滿重大資安新聞的一週。OpenAI 發布了 Daybreak AI 漏洞管理平台；美國、英國、澳洲、加拿大和紐西蘭五國政府聯合發布了代理型 AI 安全風險指引；谷歌威脅情報部門也剛披露了其對一起利用 AI 大規模發現並武器化零日漏洞的攻擊行動的阻斷案例。

這些事件描繪的是網路防禦的未來：AI 增強型威脅偵測、自主修補驗證、代理型安全工作流程。富士康的入侵事件則是一個提醒：網路攻擊的現在同樣在迅速演進——即便是擁有資源部署最先進防禦工具的公司，也可能透過第三方關係遭到入侵。

對企業資安主管而言，富士康事件再次印證了資安架構師多年來反覆強調、但高管和董事會遲遲未能內化的一個要點：你的安全態勢不只取決於你自身的管控措施，而是取決於整個供應商生態系中最薄弱的一環。在全球科技業最敏感的智慧財產流經第三方代工廠的世界裡，這一教訓從未像現在這樣迫切。