📡 科技日報 — 2026-06-25

🚨 今日科技重點

• Microsoft 六月 Patch Tuesday：史上最大規模，破紀錄修補 206 個漏洞含 3 個零時差 — 39 個 Critical，含 HTTP/2 Bomb（CVE-2026-49160，可對 IIS／Nginx／Apache 發動遠端 DoS）與 Windows Kernel 用後釋放 RCE（CVE-2026-45657，CVSS 9.8）；3 個零時差均已公開揭露但目前無在野利用紀錄。

  💡 立即套用更新，尤其是暴露於網際網路的 Windows Server；可先在 WAF 層設定 HTTP/2 請求速率限制作為 CVE-2026-49160 緩解措施。

• Anthropic 控訴阿里巴巴 Qwen：史上最大 AI 蒸餾攻擊，2900 萬次互動竊取 Claude 能力 — 阿里巴巴旗下 Qwen 實驗室在 2026 年 4 月至 6 月間，透過近 2.5 萬個假帳號對 Claude 執行大規模蒸餾攻擊，規模超過 DeepSeek、MiniMax 與 Moonshot 三次舊案的總和，目標鎖定軟體工程與 Agentic Reasoning 能力；阿里巴巴未作回應。

  💡 企業 AI API 端點需加強互動模式異常偵測（高頻系統化工程類查詢 = 潛在蒸餾特徵）。

🧠 AI / LLM 動態

• SambaNova 計畫募資 8 億至 10 億美元，估值目標 100 億美元 — AI 推論晶片新創 SambaNova 正洽談新一輪融資，估值較今年初的 20 億美元目標暴增五倍，顯示 NVIDIA 主導的推論加速賽道正吸引大規模資本進場競爭。

  💡 Qualcomm 同日宣佈預計 2029 年資料中心晶片銷售達 150 億美元，推論晶片市場的多極化格局正在加速形成。

• AI 研究員出走潮持續：Google DeepMind 資深研究員 Jonas Adler 與 Alexander Pritzel 加入 Anthropic — 兩位資深研究員加入 Anthropic，延續 2026 年以來 Google AI 人才持續外流的趨勢，進一步強化 Anthropic 的基礎研究能量。

  💡 人才流向是衡量各家 AI 實驗室技術吸引力的最直接指標。

• Google Search 更新：用戶互動媒體資料將用於 AI 訓練，需主動退出 — Google 新政策將 Search 歷史中的媒體上傳資料用於 AI 訓練，預設為啟用，用戶須手動至帳戶設定關閉。

  💡 前往 myaccount.google.com → 資料與隱私 → 關閉「改善 Google 產品」即可退出。

⚙️ Backend / Infra

• Linux 7.2 合併 Cache Aware Scheduling（CAS）：Intel/AMD 多核心效能免費升級 — 歷經超過一年開發，CAS 正式進入 Linux 7.2 主線，確保共享資料的任務被調度至同一 LLC 域，大幅減少快取 miss 與 bounce。早期基準測試顯示 AMD EPYC 與 Intel Xeon 6 均有明顯收益，可透過 CONFIG_SCHED_CACHE Kconfig 選項啟用。

  💡 高並發後端服務（DB、訊息佇列）升級至搭載 Linux 7.2 的發行版後，無需改碼即可獲得排程層的免費效能提升。

• Splunk Enterprise CVE-2026-20253（CVSS 9.8）已遭野外利用並列入 CISA KEV — PostgreSQL Sidecar Service 端點無任何認證，攻擊者可任意建立或截斷檔案進而達成 RCE。影響版本：10.2 < 10.2.4 與 10.0 < 10.0.7，修補版本：10.2.4、10.0.7、10.4.0+。

  💡 Splunk 幾乎是企業安全神經中樞；若被攻陷等同攻擊者完全掌握告警資料，請立即升級。

🛡️ 資安快訊

• CISA 警告 Lantronix EDS5000 高危漏洞遭積極利用，聯邦機構截止 6/26 前必須修補 — 此工業設備序列伺服器漏洞可被遠端利用，攻擊者無需憑證即可存取裝置，截止日期為明日（2026-06-26）。

  💡 OT 與工控網路中的序列轉網路設備往往是最被忽視的攻擊面，請即刻盤點並更新韌體。

• Google 六月 Android 安全更新修補 124 個漏洞，含一個 Framework 元件高危漏洞已遭在野利用 — 此 Framework 高危漏洞可被本地攻擊者利用進行提權，Google 已在六月安全公告中將其標記為積極利用。

  💡 Android 設備管理員應立即推送六月安全更新，尤其針對企業托管設備。

🎯 工程師建議

• 本週優先修補清單：① Windows Server — Microsoft Patch Tuesday 206 CVE，優先處理 CVE-2026-45657（Kernel RCE，CVSS 9.8）與 CVE-2026-49160（HTTP/2 Bomb DoS） ② Splunk Enterprise → 10.2.4 / 10.0.7 / 10.4.0+（已在野利用）③ Lantronix EDS5000 固件（截止 2026-06-26）④ Android 六月安全更新（Framework 提權已在野利用）
• AI API 蒸餾攻擊偵測：參考 Anthropic 指控阿里巴巴案例的行為模式（2.5 萬假帳號 + 高頻系統化工程類查詢），建議評估對 AI API 端點加入速率限制、帳號行為聚類分析與異常互動模式告警。
• Linux 效能免費午餐：規劃將生產環境 kernel 升級路線，Linux 7.2 的 CAS 對多核心高並發服務有潛在無痛增益，可先在非關鍵環境驗證效益。

🎪 社群趣事 & 新知

• 開發者社群熱議 AI 蒸餾倫理：Anthropic 控訴阿里巴巴的案例在 Hacker News 引發熱烈討論，有人認為「蒸餾本質上就是讀書學習」，也有人指出規模化的系統性竊取與自然學習有本質差異。AI 公司的 Terms of Service 執法能力正成為新的法律邊界。
• 本週工程師 meme：「修補 206 個 CVE 的 Patch Tuesday 已出；IT 管理員的三個反應：恐慌、咖啡、再喝一杯咖啡。」——史上最大規模 Patch Tuesday 讓資安社群週二夜間全員爆肝。
• TIL：Firefox 的 logo 其實是小熊貓（Red Panda）而非狐狸——"Firefox" 在英文中正是小熊貓的別稱，Mozilla 當年選用此名是為了讓品牌聽起來「更快、更靈活」，結果多年來幾乎無人知曉真相。