🚨 今日科技重點
- Cisco Unified CM CVE-2026-20230 遭自動化 Webshell 投放攻擊升溫 — 此 SSRF 漏洞(Cisco 於 6/3 發布修補)截至 6/24 已升級為透過 Tor 路由的全自動 Webshell 投放行動;攻擊者先以 file:// 寫入測試檔做指紋掃描,再植入後門。啟用 WebDialer 服務的企業環境風險最高,即使已打補丁仍需手動清除 Webshell。
💡 立即確認 WebDialer 是否停用,並掃描 Web 根目錄下的可疑 .jsp 檔案;補丁本身無法移除已植入的後門。
- Ubiquiti UniFi OS CVE-2026-34908/34909(CVSS 10.0)CISA 今日為修補截止日 — CISA 於 6/23 將兩個 UniFi OS 滿分漏洞列入 KEV 目錄,今日(6/26)為聯邦機構修補截止日;兩漏洞組成認證繞過 + 命令注入攻擊鏈,研究人員在公告後數日即捕捉到 Mirai 僵屍網路利用。
💡 將 UniFi OS Server 更新至 5.1.12 以上;若設備暴露於互聯網,建議立即下線檢查後再重新上線。
🧠 AI / LLM 動態
- OpenAI Assistants API 將於 2026/8/26 停止服務,強制遷移至 Responses API — OpenAI 確認 Assistants API Beta 將於 8/26 完全關閉,官方替代方案為 Responses API + Conversations API。架構差異根本性:Thread → Conversation、Run → Response、Assistant → Prompt;OpenAI 不提供自動遷移工具,開發者須自行處理歷史 Thread 回填。
💡 八月底前留給測試的時間已不多,若專案依賴 Assistants API,現在就要開始分階段遷移規劃。
- SK Hynix 確認 Nasdaq ADR 掛牌,目標 7/10 上市、籌資 290 億美元 — 全球 HBM 市占約 60% 的 SK Hynix 計劃以 ADR 方式在 Nasdaq 掛牌,若成功將超越阿里巴巴 2014 年 218 億美元,成為史上最大 ADR 募資案。全部資金用於龍仁半導體叢集新廠(Y1 fab)與先進封裝廠擴建。
💡 AI 推理對 HBM 的需求已直接驅動記憶體大廠走向美國資本市場,AI 基礎設施投資週期仍在加速。
⚙️ Backend / Infra
- GitHub Enterprise 新增「break-glass」緊急憑證撤銷功能 — 企業管理員現可一鍵撤銷特定使用者的所有 PAT、SSH Key 及 OAuth Token,無需等待 SSO 流程;個人成員也可自助批次清除自己的所有憑證並產生稽核日誌。針對帳號遭竊情境的事件回應時間大幅縮短。
💡 帳號入侵事故的「止血」動作從多步驟手工撤銷縮短為單次操作,請更新 IR Runbook 納入此新功能。
- Linux 7.2 合入 Cache Aware Scheduling,AMD EPYC 特定工作負載提升 44% — Intel 工程師主導開發超過一年的 Cache Aware Scheduling 已合入 Linux 7.2 主線,確保共享資料的執行緒被排程至同一 LLC 域,減少快取競逐。AMD EPYC Genoa 的 ChaCha20 測試提升 44%,Intel Sapphire Rapids 延遲敏感工作負載提升 30%,透過 CONFIG_SCHED_CACHE Kconfig 啟用。
💡 多 LLC 架構的現代 CPU 有望從 Linux 7.2 開始自動獲益;高並發後端服務升級核心後無需改碼即得效能紅利。
🛡️ 資安快訊
- 假 AI Agent Skill 繞過 Cisco、NVIDIA 等所有掃描器,擴散至 26,000 個 Agent — 安全研究公司 AIR 建立名為 brand-landingpage 的惡意 Skill,以外部連結延遲載入惡意邏輯繞過靜態分析,透過 Marketplace 擴散後才替換外部頁面為惡意腳本。核心問題是結構性的:掃描只發生一次,但 Skill 指向的外部頁面隨時可被替換。
💡 AI Agent Skill 的供應鏈安全缺乏動態監控;安裝 Skill 前應驗證外部依賴 URL 是否固定版本或有內容雜湊驗證。
🎯 工程師建議
- 今日緊急修補優先序:① Cisco Unified CM → 確認 WebDialer 停用 + 掃描可疑 Webshell(即使已打補丁)② Ubiquiti UniFi OS → 升至 5.1.12+(今日為 CISA KEV 截止日)
- OpenAI API 遷移規劃:Assistants API 八月底關閉,建議先盤點所有依賴的 Thread 資料、評估歷史資料回填需求,再制定分階段切換計畫;新功能一律在 Responses API 上開發。
- AI Agent Skill 安裝原則:僅安裝有明確版本鎖定的 Skill;對指向可變外部 URL 的 Skill 保持高度懷疑,直到生態系統建立動態掃描機制前風險持續存在。
🎪 社群趣事 & 新知
- 工程師 2026 年最新 meme 趨勢:AI 工具焦慮已超越「CSS 難寫」成為共鳴度最高的梗,社群裡最流行的說法是「我的工作現在是審查 AI 寫的程式碼,然後跟 AI 說它的程式碼不夠好,然後 AI 跟我說它的程式碼其實很好。」
💡 幽默背後是真實的職涯焦慮,也反映 AI 輔助開發帶來的認知摩擦仍未被有效解決。
- TIL — Firefox 的 Logo 其實是小熊貓,不是狐狸:「Firefox」在英文中正是紅色小熊貓(Red Panda)的別稱,Mozilla 選用此名是為了讓品牌聽起來「更快、更靈活」,Logo 中環抱地球的動物是小熊貓——這個知識仍讓大多數開發者驚訝。
End of article