🚨 今日科技重點
- Anthropic 發布 Claude Sonnet 5,主打「最能自主行動的 Sonnet」並大幅降價 — 新模型已成為 Free/Pro 方案的預設模型,Max、Team、Enterprise 用戶亦可使用;在推理、工具使用、程式撰寫等代理型任務上逼近 Opus 4.8 表現,定價僅為每百萬輸入 2 美元、輸出 10 美元(8/31 前優惠價)
💡 「用更便宜的模型跑更多代理任務」正成為主流策略,企業導入 AI Agent 時應重新評估模型選型的成本效益曲線
- Adobe 修補 ColdFusion/Campaign Classic 7 個滿分 CVSS 10.0 漏洞,其中一個已遭在野利用 — 路徑遍歷漏洞 CVE-2026-48282 於公開揭露後數小時內即出現利用嘗試,攻擊者嘗試讀取 Windows 系統目錄檔案,影響 ColdFusion 2025.9、2023.20 及更早版本
💡 Adobe 資安長坦言「揭露到遭利用的視窗已從數天壓縮到數小時」,修補節奏必須同步加速
- Citrix 修補 NetScaler 六個漏洞,其中一個「類 CitrixBleed」記憶體洩漏已在 24 小時內遭利用 — CVE-2026-8451 等六項 CVE(CVSS 6.9~8.8)影響 NetScaler ADC/Gateway,可能導致檔案讀取或阻斷服務,另包含新型 HTTP/2 Bomb 阻斷服務手法
💡 NetScaler 再現 CitrixBleed 式漏洞模式,曾受該系列漏洞影響的企業應優先排查此次修補
🧠 AI / LLM 動態
- 阿里巴巴推出 SkillWeaver 框架,解決 AI Agent 工具路由問題並降低 99% Token 消耗 — 面對數千個工具的代理任務常因把整個工具庫塞進上下文而暴增至 88 萬 token,SkillWeaver 改用執行圖搭配 Skill-Aware Decomposition 逐步擷取候選工具,將單次查詢消耗壓到約 1,160 token
💡 大型工具庫的「全量載入」策略已不可持續,任務導向的動態工具檢索將成為企業級 Agent 架構標配
⚙️ Backend / Infra
- Microsoft 將後量子密碼學(PQC)轉換時程提前至 2029 年 — 因量子運算進展超乎預期,微軟將原訂時程加速,聚焦 TLS 1.3、加密敏捷性與信任鏈更新,要求內部系統儘速具備可切換後量子演算法的能力
💡 量子威脅時程持續提前,仍在規劃 PQC 遷移的團隊應重新校準內部里程碑,避免屆時措手不及
🛡️ 資安快訊
- 新型 ChocoPoC RAT 專門鎖定資安研究員,經偽造 PoC 漏洞程式碼庫散布 — 攻擊者在 GitHub 上發布偽裝成漏洞利用程式碼的 PyPI 套件(如 frint、skytext),一旦執行 PoC 便暗中植入編譯後的惡意模組,skytext 套件已被下載約 2,400 次
💡 研究員與紅隊人員測試他人 PoC 前應先於隔離環境執行,不可假設「漏洞研究社群共享的程式碼」必然安全
- Unit 42 揭露「幻影搶注」手法:攻擊者搶先註冊 AI 幻覺捏造的網域發動釣魚 — 研究團隊向 AI 模型提出 68.5 萬個品牌相關問題,得到 210 萬個連結,其中約 25 萬個捏造網域尚無人註冊;曾有攻擊者在 AI 預測網域後僅 23 天就搶注並架設完整仿冒購物網站竊取資料
💡 開發者與 AI 代理不應盲目信任模型吐出的網址,應建立網域白名單或即時驗證機制再串接下游流程
- 研究員分析 3,000 筆即時 ClickFix 惡意 Payload,揭露 API 驅動的規避手法 — 偽造「證明你是人類」頁面背後已改由 API 伺服器動態產生 Payload,新版誘導使用者透過 Windows 終端機而非執行框執行指令,且下載檔案改置於下載資料夾以繞過 AMSI 掃描
💡 ClickFix 手法持續進化以規避傳統偵測點,企業應強化終端機指令執行監控,而非僅依賴 RunMRU 等舊有鑑識依據
🎯 工程師建議
- ColdFusion/Campaign Classic 緊急修補:CVE-2026-48282 已在揭露數小時內遭利用,運行 ColdFusion 2025.9 或 2023.20 及更早版本者應立即套用 Adobe 最新修補。
- NetScaler 排查:曾受 CitrixBleed 影響的 NetScaler ADC/Gateway 環境,應優先確認 CVE-2026-8451 等六項漏洞的修補狀態。
- PoC 執行隔離:測試第三方發布的漏洞 PoC 前,一律於隔離、無網路存取的沙箱環境執行,避免 ChocoPoC 式供應鏈攻擊。
- AI 生成網址驗證:串接 LLM 產生連結或網域的自動化流程,應加入即時網域驗證或白名單機制,防範幻影搶注攻擊。
End of article