📡 科技日報 — 2026-04-28

🚨 今日科技重點

• Fortinet 修補 CVE-2026-35616（CVSS 9.1）：FortiClient EMS 預驗證 API 繞過遭野外利用 — 攻擊者毋需任何憑證即可提升至系統權限，3 月 31 日起已有蜜罐記錄到利用嘗試，Fortinet 已緊急發布帶外更新。

  💡 CVSS 9.1 且有在野利用記錄，部署 FortiClient EMS 的企業應在 24 小時內套用修補。

• CISA 新增 8 個已遭利用漏洞至 KEV，涵蓋 Cisco SD-WAN Manager — 聯邦機關須於 4–5 月前完成修補，非聯邦組織同樣應以 KEV 目錄為優先修補依據。

  💡 漏洞從公開到被利用的時間窗口持續壓縮，自動化修補排程已是基本門檻。

🧠 AI / LLM 動態

• Anthropic 啟動 Project Glasswing：Claude Mythos 與 AWS、Apple、Google、NVIDIA 聯合測試防禦性資安應用 — 約 50 個組織獲邀早期存取，Anthropic 描述 Mythos 為「效能躍升」；Project Glasswing 聚焦於攻防兼備的資安場景測試。

  💡 大型基礎模型正式進入資安攻防競賽，AI 能力與安全能力的整合將成為下半年焦點。

• Meta Superintelligence Labs 發布 Muse Spark：140 億美元重組 AI 部門後首款旗艦模型 — 原代號 Avocado，是引進 Alexandr Wang 後 Meta 新戰略的具體產出，代表 Meta 從「追趕」轉向「自建頂尖實驗室」。

  💡 Meta 以 Muse 系列品牌正面挑戰 OpenAI 與 Anthropic，開源策略走向值得持續追蹤。

• Google Cloud Next 2026 發布 TPU 8t & TPU 8i：雙晶片戰略強化垂直整合 — 訓練用 TPU 8t 與推論用 TPU 8i 並行推出，持續對抗 NVIDIA GPU 主導地位，並配合 Gemma 4 開源模型形成生態系閉環。

  💡 自研晶片是降低對 NVIDIA 依賴的核心槓桿，雲端廠商垂直整合加速。

• GLM-5.1（MIT，744B MoE）在 SWE-Bench Pro 超越 GPT-5.4 與 Claude Opus 4.6 — 40B 活躍參數，混合專家架構，可完全商用，目前開源編程基準排名第一。

  💡 開源模型效能已實質超越主流閉源方案，自建推論的 ROI 重新值得評估。

⚙️ Backend / Infra

• Linux Kernel 7.0 正式發布：Rust 晉升一等公民、懶惰搶佔（lazy-preempt）成排程器預設 — 正式宣告「Rust 實驗」結束，Rust 驅動程式與核心模組從此視為 first-class citizen；CPU 排程器改用 lazy-preemption 模式為預設，提升混合負載反應性。

  💡 多年努力的里程碑，開發核心模組的團隊現在可以認真規劃 Rust 遷移路徑。

• AWS DevOps Agent 正式 GA：新增 PagerDuty & Grafana 整合，MTTR 降低 75% — 客戶回報平均故障修復時間降低 75%、根因準確率達 94%，AI 驅動的 DevOps 代理從 demo 正式走向生產。

  💡 AIOps 平台化是 2026 年最熱門的 DevOps 趨勢，可觀測性工具的 AI 代理化進入加速期。

• Ivanti EPMM 雙漏洞（CVE-2026-1281、CVE-2026-1340）遭積極利用 — Palo Alto Unit 42 分析完整攻擊鏈，兩個漏洞串接可達成遠端代碼執行，Ivanti 產品已成攻擊者高頻目標。

  💡 執行 Ivanti EPMM 的組織應立即評估暴露面並套用修補，勿等待例行維護窗口。

🛡️ 資安快訊

• CVE-2026-5281：Chrome GPU 管線記憶體損壞已遭野外利用，可執行任意程式碼 — 攻擊者觸發 GPU 處理管線中的記憶體管理錯誤，在瀏覽器上下文內執行任意程式碼，Google 已緊急修補。

  💡 立即確認企業端點 Chrome 版本已實際更新，政策設定不等於已部署更新。

• CISA 另新增 6 個 Fortinet / Microsoft / Adobe 漏洞至 KEV，含 D-Link 路由器 — D-Link DIR-823X 路由器漏洞廣泛存在於中小企業與家庭網路，常被殭屍網路用作跳板。

  💡 清點組織內 D-Link 設備，這類 EOL 設備往往缺乏自動更新機制，需手動干預。

• LMDeploy CVE-2026-33626（SSRF，CVSS 7.5）：公開 13 小時內即遭野外利用 — 開源 LLM 部署工具的 Server-Side Request Forgery 漏洞，13 小時利用速度揭示 AI 推論基礎設施成為攻擊熱點。

  💡 自行部署 LLM 推論框架的團隊應建立 CVE 訂閱告警與緊急修補流程。

🎯 工程師建議

• 今日優先修補清單： (1) FortiClient EMS → 套用 CVE-2026-35616 帶外更新；(2) Chrome → 驗證端點已實際更新；(3) Ivanti EPMM → 套用 CVE-2026-1281 / CVE-2026-1340 修補。
• AI 推論服務安全： LMDeploy CVE-2026-33626 的 13 小時利用速度是警示訊號，自建推論基礎設施應納入與應用程式同等級的漏洞監控。
• Linux 7.0 升級規劃： Rust 核心支援正式穩定，若有核心模組或驅動程式開發需求，現在是規劃 Rust 路線圖的好時機；lazy-preempt 預設值在生產前應於 staging 環境驗證排程行為。

🎪 社群趣事 & 新知

• Stack Overflow 從工程師迷因消失了 — 2026 年的 r/ProgrammerHumor 數據顯示，Stack Overflow 相關梗圖數量急劇下降，因為開發者已改口問 LLM。「複製貼上 Stack Overflow 解答」梗被「複製貼上 AI 生成程式碼」取代，但神秘錯誤依然如故。

  💡 TIL：Stack Overflow 創辦人 Jeff Atwood 曾預測問答網站壽命約 10 年，2008 年創站至今撐了 18 年，比預期多了 8 年。

• 今日冷知識：Linux 的「非正式」起源 — Linus Torvalds 在 1991 年 8 月 25 日發布 Linux 0.01 時，在郵件裡說「這只是個愛好，不會像 GNU 那樣大或專業」。35 年後，它跑在全球 97% 的超算和大多數雲端伺服器上，Linux Kernel 7.0 本週正式發布。永遠不要小看一個 side project。