📡 科技日報 — 2026-04-26

🚨 今日科技重點

• nginx-ui CVE-2026-33032 認證繞過（CVSS 9.8）遭主動利用 — 開源 Nginx 管理介面 nginx-ui 的認證繞過漏洞已被威脅行為者在野利用，攻擊者可完全接管 Nginx 服務，影響所有暴露於公網的部署。

  💡 立即更新 nginx-ui 至最新版本，並考慮限制管理介面的網路存取範圍。

• Fortinet FortiClient EMS CVE-2026-35616（CVSS 9.1）緊急修補 — 未授權 API 存取繞過導致權限提升漏洞已遭到野外利用，Fortinet 發布帶外緊急更新，企業環境需優先套用。

  💡 FortiClient EMS 管理員應立即套用 Fortinet 緊急修補程式，避免未授權提權攻擊。

🧠 AI / LLM 動態

• Google 發表 TPU 8t 與 TPU 8i，加速 AI 訓練與推論競爭 — 在 Google Cloud Next 2026 大會上，Google 正式揭示兩款新一代 AI 加速晶片，強化與 NVIDIA 在 AI 基礎設施市場的直接競爭。TPU 8t 專攻訓練工作負載，TPU 8i 則優化推論效能。

  💡 對於大量使用 Google Cloud AI 服務的企業，新 TPU 可望帶來更低延遲與更高成本效益。

• Anthropic 啟動 Project Glasswing：聯合 Amazon、Microsoft、Apple、Google、NVIDIA 組建 AI 網路防禦聯盟 — Anthropic 以 Claude Mythos 模型為核心測試平台，與多家科技與資安巨頭探索 AI 在主動防禦網路攻擊的應用；Claude Mythos 被形容為「效能躍進」。

  💡 AI 模型正從輔助工具轉型為主動式資安防禦層，值得資安架構師密切關注其開放時間表。

• LMDeploy SSRF 漏洞 CVE-2026-33626 揭露後 13 小時遭野外攻擊 — 開源 LLM 部署工具 LMDeploy 的 SSRF 漏洞（CVSS 7.5）在公開揭露後不到半天即遭利用，凸顯 AI 基礎設施元件的攻擊面正急速擴張。

  💡 自託管 LLM 推論框架（LMDeploy、vLLM 等）需納入與應用程式同等級的緊急修補響應流程。

⚙️ Backend / Infra

• Linux 7.1 合併視窗：排程器、HRTIMER 重構、WQ 親和性與 Rust 效能同步升級 — 7.0 發布後，7.1 合併視窗已納入 3,855 個變更集，亮點包括 HRTIMER 子系統重構降低 overhead、新 WQ_AFFN_CACHE_SHARD 工作佇列減少多核競爭、Intel Panther Lake 預設啟用 FRED、以及 Rust 核心程式碼的 LTO 實驗性支援。

  💡 高並行後端服務工作負載可期待 Linux 7.1 在多核心環境下帶來可觀的吞吐量提升。

• Windows 9x Subsystem for Linux：不需虛擬機即可在現代 Linux 上執行 Win9x 應用程式 — 社群專案讓開發者能在現代 Linux 核心上原生執行 Windows 95/98 時代的二進位，無需虛擬機，引發復古軟體研究圈廣泛討論。

  💡 展示了 Linux 相容層的強大彈性，也提醒工程師遺留二進位的長期維護挑戰不容小覷。

🛡️ 資安快訊

• CISA 新增 8 項已利用漏洞至 KEV 目錄，含 3 個 Cisco Catalyst SD-WAN Manager 缺陷 — 聯邦機構須於 4–5 月截止日前完成修補；Cisco SD-WAN 相關漏洞影響廣泛部署的企業 WAN 基礎設施。

  💡 建議將 CISA KEV 目錄整合至組織的弱點管理自動化告警，實現即時優先修補排序。

• Chrome CVE-2026-5281 野外利用確認，可能導致任意程式碼執行 — Google 已確認此高危漏洞遭主動利用，影響所有主流平台上的 Chrome 瀏覽器。

  💡 確認企業端點 Chrome 自動更新已啟用，並驗證版本實際套用狀況，重點保護高權限工作站。

🎯 工程師建議

• AI 推論框架安全修補需提速： LMDeploy 漏洞 13 小時內遭利用，顯示 AI 基礎設施已成高價值攻擊目標。建議將 LMDeploy、vLLM、Triton Server 等元件納入 CVE 訂閱告警與自動更新流程。
• OpenTelemetry 選型優先考量： 2026 年 OTel 已成可觀測性業界標準，中和廠商鎖定問題。新建或評估可觀測性平台時，優先選擇 OTel 原生支援以保留未來遷移彈性。
• Linux 7.1 效能改善建議提前驗證： HRTIMER 重構與 WQ_AFFN_CACHE_SHARD 對高並行後端服務影響顯著，建議在 staging 環境提前驗證，評估升級前後的延遲與吞吐量差異。

🎪 社群趣事 & 新知

• 2026 工程師日常 meme：「貼 AI 程式碼 → 測試過 → 直接上線」 — 配上「我也不知道它為什麼能動」字幕的梗圖廣泛流傳於 HN 與 Reddit r/ProgrammerHumor，精準命中後 AI 時代工程師的集體焦慮。

  💡 TIL：1947 年哈佛 Mark II 電腦故障，工程師在繼電器中發現一隻真實飛蛾 — 這是「bug」一詞在軟體工程語境下有文獻記載的最早案例。

• GitNexus 突破 19,000 GitHub Stars：解決「AI 代理編輯它根本不理解的程式碼」痛點的開源工具，因精準定位問題而本週登上 GitHub Trending 榜首，值得關注 AI 輔助開發工作流的工程師評估。