🚨 今日科技重點
- Anthropic Project Glasswing:AI 發現數千個零日漏洞,但生態圈修補率不足 1% — Anthropic 以未公開的 Claude Mythos Preview 對全球主流作業系統與瀏覽器進行漏洞掃描,數週內發現數千個高危漏洞,包含一個 27 年 OpenBSD 漏洞及 FreeBSD NFS RCE(CVE-2026-4747)。Apple、Google、Microsoft、Linux Foundation 等逾 40 個組織受邀使用,但不到 1% 的漏洞已完成修補。
💡 AI 發現漏洞的速度已遠超人類修補能力,漏洞管理流程需要根本性變革。
- Palo Alto PAN-OS CVE-2026-0300(CVSS 9.3)遭主動利用,補丁預計 5/13 發布 — 防火牆 User-ID Authentication Portal 的 buffer overflow 漏洞允許未認證攻擊者以 root 執行任意程式碼,已列入 CISA KEV,PA-Series 與 VM-Series 受影響,Prisma Access 不受影響。
💡 若 Captive Portal 對外開放,立即限制僅受信任 IP 存取,靜待 5/13 官方修補。
🧠 AI / LLM 動態
- Amazon Bedrock AgentCore Payments 預覽:AI Agent 可透過 Coinbase / Stripe 自主完成付款 — AWS 聯手 Coinbase 和 Stripe 推出首個專為 AI Agent 設計的支付框架,支援 x402 協議,開發者可設定 session 層級消費上限,Agent 在執行期間自主完成交易全流程,目前支援美東、美西、歐洲法蘭克福、亞太雪梨四個 AWS 區域。
💡 「AI Agent 幫你刷卡」進入真實落地,agentic commerce 基礎設施開始成型,務必設定 spending limit 避免 Agent 失控消費。
- 美政府與 Google、Microsoft、xAI 簽署前沿 AI 預部署評測協議 — 商務部 CAISI 宣布在模型公開發布前評估其網路安全能力;Google DeepMind、Microsoft、xAI 於 5/5 加入;OpenAI 與 Anthropic 先前已有類似協議。
💡 「先測後發」的 AI 監管框架正在形成行業標準,企業採購前沿 AI 服務時需追蹤評測合規進度。
⚙️ Backend / Infra
- AWS DevOps Agent GA:AI SRE 跨 AWS、Azure、On-Prem 自動排查事件 — AWS DevOps Agent 正式 GA,整合 Datadog、Dynatrace、New Relic、PagerDuty、GitHub Actions、GitLab CI/CD,可自主診斷事件、縮短 MTTR,並分析歷史事件模式提出預防建議。計費以 Agent 工作秒數計算,Enterprise Support 用戶享 75% 點數抵扣。
💡 On-call 的凌晨三點可能很快會由 AI Agent 先行處理,工程師審核結果即可。
- Google 第八代 TPU 8t & 8i:訓練效能近 3x,推論延遲降低 5x — Google Cloud Next 2026 發布的 TPU 8t 針對訓練最高擴展至 9,600 顆、2 PB 共享 HBM;TPU 8i 為推論優化,SRAM 增至 384 MB,ICI 網路直徑縮短逾 50%,首次將訓練與推論拆為兩條專用晶片產品線。
💡 AI 硬體路徑正式分叉——訓練與推論最佳晶片不再相同,基礎設施選型策略需要調整。
- Linux Kernel 7.0 正式移除 Rust 實驗標籤,Rust 驅動成核心一等公民 — 以 Rust 1.93 穩定版為最低需求,NVIDIA Nova GPU 驅動與 Google Android ashmem 已採用 Rust 並運行於數億裝置;搭載 Ubuntu 26.04 LTS 於 4/23 正式推出。
💡 核心記憶體安全漏洞的攻擊面將隨 Rust 驅動比例提升而系統性縮小。
🛡️ 資安快訊
- Ivanti EPMM CVE-2026-6973(CVSS 7.2)已遭主動利用,修補版本已發布 — 具管理員憑證的遠端攻擊者可在 Ivanti EPMM 12.8.0.1 以前版本執行任意程式碼。已列入 CISA KEV,聯邦機構修補截止日為 5/10。修補版本:12.6.1.1、12.7.0.1、12.8.0.1。
💡 修補版本已就緒,無需等待,立即排程升版。
🎯 工程師建議
- 本週修補優先序:① CVE-2026-0300(Palo Alto PAN-OS,先限制 Captive Portal 暴露面,等 5/13 補丁)② CVE-2026-6973(Ivanti EPMM,修補版本已就緒,立即升版)
- Bedrock AgentCore Payments 試用前:務必設定 session-level 消費上限與 spending governance 規則,避免 Agent 失控消費。
- AI 監管合規:若組織採購前沿 AI 服務,建議在合約中加入安全評測狀態揭露條款,並追蹤 NIST CAISI 評測框架更新。
🎪 社群趣事 & 新知
- Project Glasswing 悖論引爆社群討論:AI 找到的漏洞多到修補團隊接不住,Bruce Schneier 撰文呼籲業界重新思考漏洞揭露框架。HN 留言區有工程師評論:「以後 CVE triage 本身就要靠 AI 才跟得上。」
💡 安全研究的速度不對稱問題,在 AI 時代被放大到全新量級。
- TIL:AWS MCP Server 正式 GA,AI 助理可安全存取所有 AWS 服務 — Agent Toolkit for AWS 內建的受管 MCP Server,讓 AI coding assistant 透過固定工具集取得帶認證的 AWS API 存取,開發者不再需要手動在提示詞中貼 JSON 輸出。詳見 AWS 週報 5/11。
End of article