🚨 今日科技重點
- GitHub 確認 3,800 個內部倉庫遭竊:員工安裝惡意 VS Code 擴充套件所致 — 駭客組織 TeamPCP 透過偽裝成 Nx Console 的惡意 VS Code 擴充套件入侵一名 GitHub 員工裝置,成功滲透 3,800 個內部程式碼倉庫,並以 5 萬美元叫售;GitHub 已緊急輪換高風險憑證並展開事件回應。
💡 開發工具供應鏈攻擊再度敲響警鐘:請立即稽核團隊已安裝的 VS Code 擴充套件,僅保留來自已驗證發行者的套件。
🧠 AI / LLM 動態
- Trump 臨時叫停 AI 行政命令簽署:「我不喜歡某些條款」 — 美國總統川普於 5 月 21 日宣布推遲原訂 AI 監管行政命令的簽署典禮,後續走向仍在觀望,美國聯邦 AI 政策不確定性再度升溫。
💡 美國聯邦 AI 法規維持真空狀態,企業短期合規壓力未增,但長期規則不明增加戰略規劃難度。
- SubQ 推出業界首款次二次方 LLM:12M token 上下文、推論成本宣稱降低千倍 — 新創 Subquadratic 以 2,900 萬美元種子輪推出 SubQ,採 SSA(次二次方稀疏注意力)架構,在 B200 GPU 上 prefill 速度比 FlashAttention 快 52 倍;惟所有效能數字均為廠商自測,尚待第三方獨立驗證。
💡 若架構可信,長上下文 RAG 與大型文件分析的推論成本有望大幅下降;在獨立基準出爐前宜保持審慎。
⚙️ Backend / Infra
- 供應鏈蠕蟲從 GitHub 蔓延至 Microsoft Python SDK — 同一攻擊者在竊取 GitHub 內部倉庫後,進一步對 Microsoft Python SDK 發動供應鏈蠕蟲攻擊,影響範圍遠超單一倉庫洩漏事件。
💡 開發者應立即確認 pip 依賴是否引用受汙染的 Python SDK 版本,並以 hash 鎖定 requirements.txt 中的關鍵套件。
- Microsoft 摧毀 Fox Tempest 惡意程式碼簽署服務:已吊銷逾千張憑證 — Fox Tempest 透過濫用 Microsoft Artifact Signing 發行短效程式碼簽署憑證,協助 Lumma Stealer、Vidar 等勒索軟體家族偽裝成合法軟體,受害行業橫跨醫療、教育與政府。Microsoft 已扣押核心基礎設施、提起訴訟,並強化相關服務的驗證流程。
💡 程式碼簽署不再是安全的唯一保證:CI/CD 流程應加入 SBOM 與行為沙箱,不可僅憑憑證信任可執行檔。
🛡️ 資安快訊
- Microsoft Defender 兩個零日漏洞遭在野利用:CVE-2026-41091(CVSS 7.8)+ CVE-2026-45498 — CVE-2026-41091 允許本機提權至 SYSTEM 層級;CVE-2026-45498 可使 Defender 拒絕服務。CISA 已於 5 月 20 日將兩者加入 KEV,聯邦機構須於 6 月 3 日前完成修補;修復版本為 Malware Protection Engine v1.1.26040.8。
💡 企業需確認端點策略未阻擋自動病毒碼更新,可透過 Get-MpComputerStatus 驗證 AMEngineVersion 是否已達修補版本。
- CISA 警告:732 位元組 Python 腳本可在幾乎所有主流 Linux 上取得 root(CVE-2026-31431 Copy Fail) — 此九年舊漏洞(algif_aead 模組邏輯缺陷)的 PoC 不需修改即可跨 Ubuntu、RHEL、Amazon Linux 執行,影響 2017 年以來幾乎所有主流發行版,修補版本為 Linux kernel 6.18.22 / 6.19.12 / 7.0。
💡 雲端 Kubernetes 叢集使用者需核查節點 OS 核心版本,AMI 或映像檔若落後需排定輪換。
- Europol 查扣 First VPN:勒索軟體組織常用的匿名基礎設施瓦解 — Europol 逮捕 First VPN 管理員並取得數千名用戶相關資料,此 VPN 服務長期被多個勒索軟體組織用作指揮控制通道。
💡 執法行動持續壓縮地下市場的匿名空間,威脅情報訂閱者應更新已知 C2 基礎設施黑名單。
🎯 工程師建議
- VS Code 擴充套件安全稽核:建立組織白名單政策,禁止未經審查的擴充套件安裝;結合 GitHub Advanced Security 或 Semgrep 對開發環境進行異常行為掃描。
- Microsoft Defender 更新驗證:透過
Get-MpComputerStatus | Select AMEngineVersion確認版本已達 1.1.26040.8,優先處理無法自動更新的離線端點。 - Linux LPE 修補優先序:Copy Fail(CVE-2026-31431)與 Defender 零日並列本週最高優先級;雲端節點可透過 cloud-init 或 userdata 在下次 ASG 輪換時強制套用核心更新。
🎪 社群趣事 & 新知
- 2026 年最熱開發者梗:「這會議本來可以是一封 AI 摘要的信」 — 繼「這會議可以是一封 Email」之後,工程師圈最新進化版梗語誕生,反映 LLM 普及後的職場荒謬感;有人開始問:既然 AI 幫我摘要了會議紀錄,那會議本身還有必要嗎?
💡 TIL:據社群統計,Stack Overflow 月活已低於主要 LLM 問答流量,「LMGTFY」的繼承人或許是「LASKAI」(Let me ask the AI for you)。
- 「我請 AI 幫我寫這段程式的文件,它說它也不知道這在幹嘛」 — 2026 年文件 meme 新浪潮:用 LLM 生成文件反而暴露了自己寫了一段連 AI 都看不懂的程式碼,社群笑稱這是最準確的「技術債偵測器」。
End of article