🚨 今日科技重點
- CVE-2026-41940:cPanel & WHM 嚴重認證繞過,150 萬台主機遭殃 — CVSS 9.8,攻擊者無需帳號密碼即可透過 CRLF 注入取得 root 管理權限,估計 150 萬台網路曝露的 cPanel 實例均受影響。漏洞在 2 月下旬即遭零日利用,直至 4 月 28 日 cPanel 緊急發布修補程式,CISA 要求聯邦機構於今日(5/3)前完成修補。
💡 仍在使用 cPanel 的主機商和自管服務請立即升級至 11.136.0.5+ 或 WP Squared 136.1.7+,有公開 PoC(cPanelSniper)在流通,延遲等同開後門。
- CVE-2026-32202:Windows Shell 零點擊憑證竊取,APT28 已在野利用 — Windows Shell 欺騙漏洞確認遭俄羅斯 APT28(Fancy Bear)在野利用,透過惡意 LNK 捷徑觸發自動 NTLM 握手,使用者僅需開啟捷徑即可讓攻擊者取得 Net-NTLMv2 雜湊值,進而實現橫向移動。Microsoft 4 月 14 日修補,CISA 事後確認已積極利用。
💡 立即套用 4 月 Patch Tuesday 更新;並在網路邊界封鎖對外 SMB(TCP 445),可進一步阻斷 NTLM 強制認證路徑。
🧠 AI / LLM 動態
- 五角大廈簽署 AI 機密網路協議,Anthropic 遭排除 — 美國國防部與 OpenAI、Google、Microsoft、AWS、NVIDIA、SpaceX 等企業達成協議,將 AI 工具部署至最高機密的 IL-6/IL-7 軍事網路。Anthropic 被標記為「供應鏈風險」而遭排除,現有工具將在六個月內逐步淘汰。
💡 Anthropic 曾反對軍事 AI 使用限制,此次排除是 AI 安全政策影響商業的重要案例。
- Amazon 追加投資 Anthropic 250 億美元,鎖定 1000 億美元 AWS 算力合約 — Amazon 宣布再投資最多 250 億美元,Anthropic 承諾未來十年砸逾 1000 億美元購買 AWS Trainium2~Trainium4 算力,2026 年底將上線近 1 GW 容量。Anthropic 年化營收已突破 300 億美元。
💡 這是史上規模最大的 AI 雲端算力綁定協議,Trainium 生態成熟速度將直接影響 NVIDIA 在訓練市場的地位。
- Google 發表第八代 TPU 8t(訓練)與 TPU 8i(推理)雙晶片策略 — Cloud Next 2026 上 Google 首次將訓練與推理分為兩款專用晶片。TPU 8t 超級 Pod 峰值達 121 FP4 百京次浮點運算,支援百萬晶片叢集;TPU 8i 每顆備 288 GB HBM 及 8.6 TB/s 記憶體頻寬,均採台積電 2nm 製程,2027 年底對外開放。
💡 Google 採「訓練/推理分開優化」策略,意在針對性取代 NVIDIA 的不同使用場景,而非正面硬剛。
⚙️ Backend / Infra
- AWS DevOps Agent 正式 GA:AI 自主事故調查跨接主流可觀測性平台 — AWS DevOps Agent 自 3 月 31 日正式上線,可自主分析 Datadog、Dynatrace、New Relic、Splunk 等觀測資料,並整合 GitHub Actions、GitLab CI/CD、PagerDuty、Grafana,支援跨 AWS 與 Azure 環境,大幅縮短 MTTR。Enterprise Support 訂閱用戶每月可獲 75% 費用抵扣。
💡 AI SRE 代理從實驗走向生產,按秒計費模式代表 AWS 相信此類工作負載的爆發性增長。
🛡️ 資安快訊
- CVE-2026-3854:GitHub Enterprise Server 單次 git push 即可 RCE(CVSS 8.7) — Wiz Research 發現此 git push option 注入漏洞:攻擊者透過三階段注入鏈取得後端伺服器任意程式執行,88% 自架 GHES 實例均受影響。GitHub.com 當天修補,4 月 28 日公開披露;GHES 用戶需升級至 3.19.3+。
💡 push option 的使用者輸入未做 Shell 逸出,2026 年命令注入仍是第一殺手,自架 Git 服務的團隊必須立即確認版本。
- CISA KEV 新增 6 個被利用漏洞:Fortinet、Microsoft、Adobe 均上榜 — CISA 本週更新已知被利用漏洞(KEV)目錄,新增 Fortinet FortiOS、Microsoft Windows 及 Adobe 產品的六個高嚴重性漏洞,要求聯邦機構限期修補。
💡 KEV 是目前最可靠的威脅優先清單,建議所有組織對標 KEV 制定修補 SLA,而非僅依 CVSS 評分排序。
🎯 工程師建議
- cPanel 主機立即升級:CVE-2026-41940 的 CISA 修補期限是今天(5/3),有公開 PoC,任何延遲均等同開放攻擊面,升級至 11.136.0.5+。
- 封鎖對外 SMB(TCP 445):可有效阻止 CVE-2026-32202 NTLM 強制認證攻擊鏈,即便尚未套用修補也能降低風險。
- GHES 用戶確認版本:CVE-2026-3854 影響 88% 自架實例,升級至 GHES 3.19.3+,不要等下一個維護窗口。
🎪 社群趣事 & 新知
- HN 熱議:一次 git push 攻破 GitHub 伺服器 — Wiz 的 CVE-2026-3854 技術分析在 HN 引發大量討論,開發者驚嘆「git push 能 RCE 是哪種魔法」。高票回覆提醒:push option 的設計從未假設安全邊界,工程師應將所有 CI/CD 鉤子視為不可信輸入。
💡 Shell 注入在 2026 年仍是第一名的漏洞類型,這個教訓自 Unix 誕生以來從未改變。
- 開發者文化:AI 生成程式碼焦慮正在重塑梗圖生態 — 2026 年工程師社群最大的文化張力:貼上 AI 產出的程式碼、測試通過,但沒人完全理解它在幹嘛。Reddit 和 HN 同步出現「我現在是 prompt 工程師還是軟體工程師」的自嘲討論;Stack Overflow 在梗圖中的出鏡率暴跌,已被「問 LLM 截圖」取代。
💡 TIL:機械鍵盤梗進化版:「用 500 美元鍵盤更快地貼上 AI 生成的 bug」,在多個開發者社群獲得年度最高按讚。
End of article