📡 科技日報 — 2026-04-30

🚨 今日科技重點

• Microsoft 確認 CVE-2026-32202 Windows Shell 欺騙漏洞遭主動利用 — 此高危漏洞已納入本月 Patch Tuesday 修補，攻擊者可透過該漏洞存取敏感資訊；Microsoft 已更新公告確認有野外利用案例。

  💡 立即套用 Patch Tuesday 更新，優先針對面向網際網路的 Windows 系統。

• Chrome CVE-2026-5281：GPU 記憶體管道競態條件遭野外利用 — 攻擊者可觸發 GPU 處理管道中的記憶體錯誤管理，造成記憶體損毀並在瀏覽器沙盒內執行任意程式碼。Google 已確認主動利用。

  💡 強制更新 Chrome 到最新穩定版；企業環境應啟用強制推送策略。

• CISA 將 8 個已利用漏洞加入 KEV，設定 4–5 月聯邦修補期限 — 涵蓋 Fortinet、Microsoft 與 Adobe 產品，聯邦機構須在期限內完成修補；企業亦應參照清單優先排序。

  💡 KEV 目錄是判斷修補優先順序的最佳參考，非聯邦企業同樣建議遵循。

🧠 AI / LLM 動態

• Meta Llama 4 Scout：1000 萬 Token 上下文視窗創開源新紀錄 — Scout 提供史上最大開源模型上下文視窗（10M tokens），Maverick 版本則有 4000 億參數與原生多模態能力，兩者均開源發布。

  💡 長上下文開源模型的突破將大幅降低企業 RAG 架構的複雜度。

• GLM-5.1 MIT 授權 744B MoE 模型在 SWE-Bench Pro 超越 GPT-5.4 — 中國實驗室發布的 GLM-5.1 以 MIT 授權、744B 參數（40B 活躍，MoE 架構），在專家級軟體工程基準上超越 GPT-5.4 與 Claude Opus 4.6，為開源陣營帶來重要突破。

  💡 開源模型在 coding benchmark 正面對決頂級閉源模型，選型時值得納入評估。

• ICLR 2026 研究：讓模型「思考更深」反而增加工具呼叫幻覺 — 新論文發現訓練模型進行更長鏈式推理反而使其更常幻覺出不存在的工具呼叫，對 AI Agent 可靠性提出警示。

  💡 部署 AI Agent 前務必加入工具呼叫白名單驗證層，不可僅依賴模型自律。

• Anthropic Mythos 悄悄進入合作夥伴內測，被描述為「代際躍升」 — Mythos 已在少數客戶進行封閉測試，效能被形容為遠超現有系列；白宮草擬指引讓聯邦機構重獲 Anthropic 合作資格。

  💡 若 Mythos 正式釋出，Claude API 使用者需重新評估模型選型與提示策略。

⚙️ Backend / Infra

• Google Cloud Next 2026：TPU 8t 與 TPU 8i 正式發表，直攻 NVIDIA 市場 — Google 在 Google Cloud Next 上發表兩款新一代 AI 處理器，TPU 8t 針對訓練工作負載，TPU 8i 針對推論，持續深化與 NVIDIA H 系列的正面競爭。

  💡 多元 AI 加速器選項有助打破 NVIDIA 鎖定，為雲端成本談判增加籌碼。

• Linux 7.1：Rust 實驗性效能選項上線，HRTIMER 重構降低排程開銷 — Linux 7.1 合併的 Rust 模組新增實驗性效能選項；HRTIMER 子系統重構針對高頻計時器降低開銷；workqueue 新增 WQ_AFFN_CACHE_SHARD affinity scope，改善多核心 LLC 競爭。

  💡 高核心數伺服器升級至 7.1 後可在排程密集型工作負載見到明顯效能提升。

🛡️ 資安快訊

• CVE-2026-3854 GitHub 後端 RCE：任意已認證用戶可 git push 取得伺服器控制 — Wiz Research 揭露 GitHub 內部 git 基礎設施嚴重漏洞，任何已認證用戶僅需一次 git push 即可在後端伺服器執行任意命令。GitHub 已修補。

  💡 此類供應鏈層級 RCE 提醒所有使用 GitHub Actions 的組織再次審視 runner 隔離設定。

• Fortinet、Microsoft 與 Adobe 共 6 個已知利用漏洞獲 CISA 列管 — 涵蓋 Adobe Acrobat prototype pollution RCE、Marimo 未授權 RCE（無需認證即可取得 shell），以及多個 Fortinet/Microsoft 產品漏洞。

  💡 Marimo notebook 環境若暴露於網路需立即更新或下線，未授權 RCE 風險極高。

🎯 工程師建議

• AI Agent 工具呼叫防護: ICLR 2026 研究警示深度推理模型更容易幻覺工具名稱；在 Agent 框架中加入工具白名單驗證，拒絕不存在的工具呼叫，避免因幻覺引發意外副作用。
• Chrome / Windows 緊急修補: CVE-2026-5281（Chrome GPU RCE）與 CVE-2026-32202（Windows Shell spoofing）均已有主動利用案例；本週優先排程終端更新，企業環境使用強制推播。
• 評估開源大模型新選項: GLM-5.1（MIT）在 coding benchmark 已超越 GPT-5.4；Meta Llama 4 Scout 提供 10M token 上下文，兩者均可自部署，適合有資料隱私顧慮的企業考量。

🎪 社群趣事 & 新知

• 「GPT-6 跳票」成 2026 四月最大社群迷因 — 「April 14」發布窗口過去後，Sam Altman 表示 GPT-6（代號 Spud）仍需數週，開發者社群以「等 Spud」造梗，成為對 AI 行銷時程的集體嘲諷。
• Java 26 釋出：JetBrains 四月開發者月刊精選 — Java 26 於三月釋出，JetBrains 四月彙整重點特性與生態更新，並收錄 Spring Cloud Contract 因一個 typo 而誕生的趣聞。
• TIL：Apple Computer Co. 在愚人節創立滿 50 週年 — 1976 年 4 月 1 日，Jobs、Wozniak 與 Wayne 在車庫成立 Apple Computer Co.，2026 年正式滿 50 年，開發者社群熱烈討論當年手寫合約的「愚人節巧合」。