Daily News 2026 年 5 月 28 日

📡 科技日報 — 2026-05-28

🚨 今日科技重點 Gitea CVE-2026-27771:…

Charlie · github.com/charlie0227 · 1 min read

🚨 今日科技重點

  • Gitea CVE-2026-27771:潛伏四年的零驗證容器映像洩漏,30,000+ 部署受影響 — 影響全球 30,000+ Gitea 部署,攻擊者無需帳號或密碼即可拉取私有容器映像,並已影響醫療、航太、教育等關鍵產業;漏洞存在近四年才被發現,所有 1.26.2 版本前的 Gitea 均受影響。

    💡 自架 Gitea 的開發者需立即升級至 1.26.2,並稽核過去的容器 registry 存取日誌確認是否已遭外洩。

🧠 AI / LLM 動態

  • Anthropic Project Glasswing 進度更新:Claude Mythos 已識別超過 10,000 個高危漏洞 — Anthropic 與 AWS、Apple、Cisco、Google、Microsoft、NVIDIA 等合作夥伴,透過 Claude Mythos Preview 在關鍵軟體系統中識別出超過一萬個高或嚴重等級漏洞,且不計畫公開發售 Mythos-class 模型。

    💡 AI 輔助大規模安全審計正從實驗走向實戰,Project Glasswing 的協作框架將成為未來業界標準的重要參考。

  • Anthropic Claude Managed Agents:自架 Sandbox 公測 + MCP Tunnels 研究預覽 — 5 月 19 日 Code with Claude London 發布:自架 Sandbox 讓工具執行環境部署在客戶自有基礎設施(支援 Cloudflare、Modal、Vercel 等),MCP Tunnels 讓私有 MCP Server 無需暴露至公網即可與 Agent 連線。

    💡 解決企業採用 AI Agent 最大的安全邊界問題,特別適合需要存取內網資料庫或私有 API 的場景。

⚙️ Backend / Infra

  • KernelScript 0.1 發布:統一 eBPF、用戶空間與核心模組的型別安全 DSL — Multikernel Technologies 在 Linux Foundation Open Source Summit NA(5/18–20)發表,Apache 2.0 授權;開發者只需維護單一原始碼即可自動生成 eBPF 程式、用戶空間載入器與 Makefile,大幅降低 eBPF 開發門檻。

    💡 eBPF 開發複雜度一直是採用障礙,KernelScript 若成熟可能成為 Rust 之後核心工具鏈的重要突破。

  • Linux 7.2 預覽:Btrfs 大頁支援(Huge Folios)+ Intel USB4STREAM 驅動雙雙準備合併 — Btrfs huge folios(最大 2MB 頁)可提升 I/O 吞吐量並降低記憶體管理開銷;Intel USB4STREAM 驅動讓 USB4/Thunderbolt 裝置間實現低延遲直接檔案傳輸,兩者均預計於 Linux 7.2(預計 2026 年 6 月)合併。

    💡 無需應用層修改,升級至 Linux 7.2 後即可受益,尤其適合高密度儲存伺服器與創作者工作站。

🛡️ 資安快訊

  • LiteSpeed cPanel 外掛 CVE-2026-48172(CVSS 10.0):CISA KEV,聯邦截止日 5/29 — 任意 cPanel 使用者可透過 lsws.redisAble 函數以 root 身份執行任意腳本,影響 2.3 至 2.4.4 版本;CISA 5/26 加入 KEV,聯邦機構強制 5/29 修補,請立即升級至 2.4.5。共享主機環境尤其危險。

    💡 共享主機供應商應主動推送補丁,一旦單一租戶帳號被入侵即可橫向提升至整台伺服器 root。

  • Microsoft SharePoint CVE-2026-45659(CVSS 8.8):反序列化遠端代碼執行 — 授權使用者可透過網路觸發不受信任資料的反序列化並執行任意程式碼;已納入 5 月 Patch Tuesday,SharePoint On-Premises 管理者需確認 5 月安全更新已部署(SharePoint Online 不受影響)。

    💡 SharePoint 企業部署量龐大,建議在本周內完成補丁驗證與部署,並確認 WAF 規則已覆蓋反序列化攻擊向量。

🎯 工程師建議

  • Gitea 自架環境立即升級至 1.26.2:CVE-2026-27771 已存在四年,攻擊者可能早已靜默存取私有映像,建議升級後同步審計存取日誌。
  • LiteSpeed cPanel 用戶 5/29 前完成修補:CVSS 10.0 + 主動遭利用 + CISA 強制截止日,三重優先等級,無法立即升級者應暫時限制外部存取 cPanel 管理介面。
  • 評估 Anthropic MCP Tunnels 研究預覽:若 Claude Agent 需連接內網服務,MCP Tunnels 提供比公網暴露更安全的替代方案,現可申請研究預覽存取。

🎪 社群趣事 & 新知

  • 哈佛、牛津等 700+ 網站遭 Ghost CMS 漏洞劫持,植入 ClickFix 偽 CAPTCHA 惡意碼 — 攻擊者利用 CVE-2026-26980 SQL 注入取得 Admin API Key,在頁面中植入偽裝成驗證碼的惡意腳本,誘騙訪客按 Win+R 執行惡意指令;兩組攻擊者甚至在同一網站「搶地盤」。

    💡 TIL:只要彈出視窗要求你按 Win+R 並貼上命令「完成人機驗證」,那就是 ClickFix 攻擊——直接關掉頁面。

  • 2026 工程師新梗:「AI 寫了 bug,再用 AI 修,修出新 bug,繼續問 AI」 — ProgrammerHumor 社群本週熱榜,完整呈現 AI 輔助開發時代的新型無限迴圈除錯體驗。Stack Overflow 出現在梗圖的頻率已顯著下降,取而代之的是對 LLM 幻覺的自嘲。
End of article

More on this topic

Daily News
📡 科技日報 — 2026-05-27
5 月 27, 2026 · 1 min read
Daily News
📡 科技日報 — 2026-05-26
5 月 26, 2026 · 1 min read
Daily News
📡 科技日報 — 2026-05-25
5 月 25, 2026 · 2 min read
0
Would love your thoughts, please comment.x
()
x