🚨 今日科技重點
- GitHub Copilot 今日(6/1)正式切換用量計費:「代理編碼一個 session 就燒完一個月額度」 — GitHub Copilot 自今日起全面從固定月費改為 token 用量計費。Pro 方案雖維持 $10/月,但 credits 隨 token 消耗,開發者實測:單次 agentic coding session 動輒消耗 $30–40,等同 Pro 用戶一個工作 session 就清空整月額度。GitHub 官方討論串已累積 900+ 個反對票,開發者怒批「先把我們訓練成重度依賴用戶,再收用量費是 bait-and-switch」。
💡 立即行動:到 GitHub 帳號 Settings → Billing → Copilot 設定 Spending Limit;若有 CI/CD 自動觸發 Copilot 的流程,今天就設定用量上限,避免月底帳單暴增。
- "Dirty Frag"(CVE-2026-43284 + CVE-2026-43500):Linux 核心 LPE 已有公開 PoC,影響所有主流發行版 — 研究人員公開完整 PoC:Dirty Frag 透過 ESP(IPsec)與 RxRPC 子系統邏輯缺陷鏈式串聯,允許任意本機使用者不需競態條件即可確定性地提權至 root。攻擊鏈僅使用標準系統呼叫,esp4/esp6/rxrpc 模組在所有主要企業發行版預設啟用;Ubuntu、Red Hat、CloudLinux 均已發布補丁。
💡 立即執行核心更新並重啟;容器環境特別高風險——共用主機核心意味著一個容器越獄即可影響整台實體機。
🧠 AI / LLM 動態
- Google 第八代 TPU:首次分成 8t(訓練)與 8i(推理)兩顆晶片,121 Exaflops 直撼 NVIDIA — Google 在 Cloud Next '26 發布 TPU 8t 與 TPU 8i,首次將訓練與推理分成兩款專用晶片。TPU 8t 單一 superpod 擴展至 9,600 顆晶片、提供 2 PB HBM,FP4 峰值算力 121 exaflops(是前代 Ironwood 三倍);TPU 8i 推理效能每美元比 Ironwood 提升 80%,並支援百萬晶片規模叢集。Google 同步宣布與 Anthropic 擴大 TPU 供應協議。
💡 訓練 / 推理分晶片是 AI 基礎設施走向成熟的標誌——使用第三方推理 API 的邊際成本有望在 2026 下半年持續下降。
- Linus Torvalds:AI 工具正在把 Linux 核心安全清單淹沒成垃圾郵件資料夾 — Linux 7.1 開發期間,Torvalds 公開指出 AI 程式碼審查工具大量產出重複、低品質安全漏洞回報,造成核心維護者額外負擔。Linux 7.1 預計 6 月 14 或 21 日正式發布,新功能包含 Landlock UNIX socket 存取權限、HRTIMER 子系統重構、WQ_AFFN_CACHE_SHARD 工作佇列親和性改進,以及選用的核心內建 NTFS 讀寫驅動。
💡 AI 輔助安全掃描是雙面刃——導入自動掃描 CI 流程前,先設計去重與優先順序過濾機制,避免讓維護者淹沒在誤報中。
⚙️ Backend / Infra
- GitHub Copilot 用量計費機制詳解:Pro $10/月含 $10 credits,Agentic session 實際成本分析 — 新計費下 Pro 維持 $10/月但包含 $10 credits(token 計費),Pro+ $39/月含 $39 credits,Business $19/seat。問題在於 agentic coding 任務(規劃、研究、多步驟執行)的 context window 極大,單次 session 消耗 token 數量輕易超過月費對應額度。有工程師在 GitHub Community 貼出計算表,顯示直接呼叫 Claude API 比透過 Copilot 便宜約 40%。
💡 考慮將重度 agentic 工作流程從 Copilot 移轉至直接 API 呼叫,或使用本地模型(如 Ollama + Llama 4)處理耗 token 的規劃任務,再用 Copilot 做最終實作。
🛡️ 資安快訊
- Dirty Frag 技術深潛:比 DirtyPipe 更危險,確定性邏輯缺陷,無需競態條件,成功率接近 100% — 詳細分析顯示 DirtyPipe(2022)依賴競態條件,而 Dirty Frag 是確定性邏輯缺陷,核心崩潰風險極低。漏洞根源在 Linux page-cache 行為中 skb fragment in-place 操作邏輯錯誤。Red Hat 發布 RHSB-2026-003,Ubuntu 有專門緩解指南。
💡 所有提供多租戶 shell 存取的環境(VPS、共享主機、教育平台)應視為最高優先修補對象——任何本機使用者可直接提權至 root。
- CISA:兩個 Microsoft Defender 零時差漏洞(CVE-2026-41091 提權 + CVE-2026-45498 DoS)修補期限 6/3 — CVE-2026-41091(CVSS 7.8,本機提權至 SYSTEM)與 CVE-2026-45498(CVSS 4.0,Defender DoS)已列入 KEV 目錄,Huntress 確認兩者皆在野外遭到利用。修補版本為 Defender Antimalware Platform 1.1.26040.8 與 4.18.26040.7;Windows Update 自動分發,但企業 WSUS / Intune 環境需確認推送狀態。
💡 執行
Get-MpComputerStatus | Select-Object AMProductVersion確認版本;若低於上述版本號,立即觸發 Windows Update 或 Intune 強制更新。
🎯 工程師建議
- Dirty Frag 核心補丁(今日優先):Ubuntu 執行
apt-get update && apt-get upgrade linux-image-generic && reboot;RHEL/Fedora 執行dnf update kernel && reboot;重啟後以uname -r確認新核心版本。多租戶或容器平台為最高優先。 - GitHub Copilot 用量計費今日生效:前往 GitHub → Settings → Billing → Copilot,設定每月 Spending Limit;評估是否將 CI/CD 中的 Copilot 自動化工作流程改為直接 API 呼叫或離線模型以控制成本。
- Microsoft Defender 版本確認(CISA 期限 6/3):在 Windows 端點執行
Get-MpComputerStatus | Select-Object AMProductVersion, AMEngineVersion,確認 AMProductVersion >= 4.18.26040.7,否則立即觸發更新。
🎪 社群趣事 & 新知
- 「Copilot 計費改版是今年最大 bait-and-switch」——開發者社群今日集體爆發 — 計費正式生效第一天,Twitter/X 與 Reddit 上出現大量開發者曬「月費爆表」截圖。最高讚留言:「先花兩年說服我把所有工作都交給代理,再告訴我每個 agentic session 要 $30——這跟 Apple 賣你 Mac 再收 USB-C 轉接頭的錢一樣的套路。」有工程師直接在 GitHub Community Discussion 貼出 API 對比計算表,顯示直接呼叫底層 Claude API 便宜約 40%。
💡 TIL:GitHub Copilot 底層會根據任務類型自動路由到不同 LLM(Claude、GPT-4o、Gemini),token 計費後這個路由邏輯變得非常關鍵,因為不同模型費率差距可達 10 倍。
- HN 熱議 Torvalds 的 AI 抱怨:「每個工具都會被濫用到讓創造者後悔,AI 只是速度更快」 — Linus 在 LKML 吐槽 AI 安全掃描工具洪泛後,社群整理出「Torvalds 對 AI 公開態度演化史」:2024 年「Rust 模組有未來」→ 2025 年「AI 輔助程式碼審查有幫助」→ 2026 年「AI 工具在淹沒我的 inbox」。HN 最高讚回應:「這跟當年 LKML 被自動化測試工具洪泛是同樣的歷史。訊號雜訊比問題永遠都在,AI 只是讓洪水更大。」
💡 這也是對所有 AI 工具導入者的警示:任何能夠自動產出大量輸出的工具,在導入前都需要設計「截流機制」,否則它的副作用會消耗掉它帶來的所有效益。
End of article