🚨 今日科技重點
- 多個威脅行為者積極利用 cPanel 漏洞(CVE-2026-41940) — cPanel 身份驗證繞過漏洞遭多個威脅行為者大規模利用,包括勒索軟體部署、殭屍網路散播及網路間諜活動。Censys 掃描發現 8,859 台主機暴露含 ".sorry" 副檔名的開放目錄,其中 7,135 台確認運行 cPanel 或 WHM;Shadowserver 蜜罐最高偵測到超過 44,000 個相關 IP 發動掃描或暴力破解攻擊。
💡 所有對外 cPanel 實例應立即套用官方補丁,並審查近期存取日誌是否有異常認證行為。
- MOVEit Automation 嚴重認證繞過漏洞修補(CVE-2026-4670 & CVE-2026-5174) — Progress Software 修補 MOVEit Automation 兩個嚴重漏洞:CVE-2026-4670 允許未認證攻擊者繞過身份驗證,CVE-2026-5174 為提權漏洞。兩者組合可讓遠端攻擊者取得執行個體管理控制權,並存取儲存的憑證與敏感業務資料。由 Airbus 研究人員私下回報,目前尚無野外利用跡象。
💡 考量 MOVEit 過去遭大規模利用的歷史,應立即部署此次補丁,不可拖延。
🧠 AI / LLM 動態
- Anthropic 推出 Claude Security 公開測試版,搭載 Opus 4.7 漏洞掃描與修補功能 — Anthropic 正式為 Enterprise 客戶推出 Claude Security 公開測試版,利用 Claude Opus 4.7 對程式碼進行跨檔案資料流追蹤與元件互動分析,自動偵測安全漏洞並生成修補建議。功能涵蓋嚴重程度與信心度評分、可重現步驟、Slack/Jira webhook 整合,以及 CSV/Markdown 匯出,無需 API 整合即可透過 Claude.ai 側邊欄操作。後續將擴展至 Team 與 Max 方案。
💡 AI 驅動的自動化程式碼安全掃描正從實驗功能演進為企業標配,安全工程團隊值得優先評估。
- 2026:AI 輔助攻擊元年——漏洞利用時間縮短至 44 天,惡意套件暴增八倍 — 大型語言模型大幅降低發動複雜網路攻擊的門檻:公開套件庫中的惡意套件從 2022 年的 55,000 個暴增至 2025 年的 454,600 個;漏洞利用平均時間從 2020 年的逾 700 天縮減至 44 天,而企業平均修補嚴重 CVE 的時間仍達 74 天。研究者指出應從根本消除漏洞類別,而非仰賴被動修補。
💡 攻防時間差已倒轉——供應鏈強化與記憶體安全語言採用比單純加快補丁速度更具戰略價值。
⚙️ Backend / Infra
- Cloudflare 公開高效能 LLM 推論架構,自研 Infire 引擎實現 Prefill-Decode 分離 — Cloudflare 揭露其在全球網路上高效運行大型語言模型的技術架構,核心創新是將輸入處理(prefill)與輸出生成(decode)分離至不同最佳化系統,搭配自研 Infire 推論引擎實現跨 GPU 管線並行與張量並行。同時整合提示快取、Mooncake KV-cache 跨 GPU 共享及草稿模型推測解碼,顯著降低記憶體用量並加速冷啟動。
💡 Prefill-Decode 分離正成為大規模 LLM 推論主流架構,自建推論服務的團隊應研究此設計模式。
- Linux 核心九年老漏洞 CVE-2026-31431「Copy Fail」遭野外利用,CISA 加入 KEV — CVE-2026-31431(CVSS 7.8)利用密碼學認證模板邏輯錯誤污染核心頁面快取,允許非特權本地使用者對 setuid 二進位檔注入程式碼取得 root 權限。732 位元組 Python PoC 可影響 2017 年後幾乎所有主流 Linux 發行版,包括 Amazon Linux、RHEL、SUSE 及 Ubuntu。修補版本為 Linux 核心 6.18.22、6.19.12 及 7.0。
💡 容器與雲端環境中本地提權尤為危險,應立即更新核心並稽核容器逸出防護配置。
🛡️ 資安快訊
- Microsoft Edge 將所有密碼以明文儲存於記憶體,即使未使用亦然 — 資安研究人員發現 Microsoft Edge 在瀏覽器運行期間將整個密碼資料庫以明文保存於記憶體中,即便相關密碼並未被主動使用。具有系統管理員權限的攻擊者可透過記憶體傾印提取所有儲存密碼。此議題在 Hacker News 獲得逾 326 點討論,多位評論者指出 Chrome、Firefox 等 Chromium 系瀏覽器亦存在類似行為。
💡 高安全性環境應強制使用硬體安全金鑰(YubiKey)搭配企業密碼管理器,而非依賴瀏覽器內建密碼儲存。
🎯 工程師建議
- 立即修補 cPanel CVE-2026-41940:確認所有 cPanel/WHM 實例均已套用最新補丁,搜尋伺服器上含 ".sorry" 副檔名的檔案,並審查 /usr/local/cpanel/logs/ 中的認證日誌以確認是否已遭入侵。
- OpenTelemetry 現已成熟可投入生產:儀器化函式庫穩定、規格確立,一次儀器化即可將可觀測性資料傳送至任意後端。現在是從專有 APM 遷移至 OTel 開放標準的最佳時機。
- Linux 核心更新優先級提升:CVE-2026-31431 已有野外利用,應將受影響系統更新至 6.18.22 或 7.0 排入緊急維護視窗,並確認容器執行時的特權隔離設定。
🎪 社群趣事 & 新知
- GameStop 提出 555 億美元收購 eBay 要約,HN 社群:這不是模擬,這是 2026 年 — 曾是迷因股代表的 GameStop 在轉型投資公司後,向 eBay 提出 555 億美元的敵意收購要約,此消息在 Hacker News 獲得 608 點,成為本週最熱烈討論的科技商業事件。評論區充斥著「2021 年的迷因成真了」及「電玩店收購電商的商業計畫書寫法」等幽默討論。
- TIL:AI 現在撰寫了 Google 超過 25% 的程式碼:根據 MIT Technology Review 2026 年突破性技術評選,AI 輔助編碼已成為業界新常態——Microsoft 約 30%、Google 逾四分之一的程式碼由 AI 生成。工程師圈流傳新梗:「我問 AI 文件化這段程式碼,它說『我也不知道這在做什麼』」,遞迴式幽默完美詮釋了 2026 年的開發者處境。
- 「我對 Bun 感到擔憂」引發熱烈討論 — 一篇質疑 Bun 在 Anthropic 收購後是否會走向「功能劣化(enshittification)」的文章在 HN 獲 339 點,工程師社群對 AI 公司收購開源工具後的長期可信度表達高度關切。這反映出 2026 年開發者最深層的焦慮:優秀的開發工具被大型 AI 公司收購後,是否還能保持其技術誠信?
End of article