🚨 今日科技重點
- Google 投資 Anthropic 最高達 400 億美元,並提供五吉瓦算力 — Alphabet 以首批 100 億美元現金入股(估值 3,500 億美元),在五年內提供五吉瓦 Google Cloud 算力,若 Anthropic 達成績效目標則追加 300 億美元;Google 已成 Anthropic 最大外部股東,持股估計逾 14%。此舉讓 Anthropic 在 Amazon(最高 200 億)與 Google(最高 400 億)兩大雲端巨頭夾持下,形成獨特的「雙雲」戰略護城河。
💡 AI 基礎建設資本戰已進入國家級規模:算力供給協議成融資條件新標配,對 GPU 採購與雲端策略規劃的工程團隊有直接影響。
- Fortinet CVE-2026-35616(CVSS 9.1):FortiClient EMS 預驗證 RCE 已遭野外積極利用 — 攻擊者無需任何憑證即可繞過 FortiClient EMS API 授權並取得系統最高權限。3 月 31 日起已有蜜罐偵測到利用嘗試,影響版本 7.4.5–7.4.6,完整修補預計於 7.4.7;Fortinet 已釋出緊急 hotfix。FortiClient EMS 管理企業端點 VPN 策略,一旦失守攻擊者可推送惡意配置橫向移動全網。
💡 CVSS 9.1 加在野利用,請在 24 小時內套用 hotfix;若 EMS 面向公網,應立即隔離並啟動事件回應。
🧠 AI / LLM 動態
- MCP(Model Context Protocol)突破 9,700 萬月安裝量,成為 AI Agent 工具整合事實標準 — 自 2024 年 11 月發布以來 16 個月成長 4,750%,Claude、ChatGPT、Gemini、Microsoft Copilot、AWS Bedrock 均已原生支援,公開 MCP 伺服器逾 10,000 個。Anthropic 的協議已取得 AI 工具整合的制定權,類比於 REST API 之於 Web 服務的地位。
💡 若你的服務有外部 API,現在是建立 MCP server 以接觸所有主流 Agent 用戶群的最佳時機;錯過這個窗口等同於 2010 年沒做 REST API。
- WordPress Playground 推出官方 MCP 伺服器 @wp-playground/mcp — 開發者可透過 WebSocket 將 Claude Code 或 Gemini CLI 接入瀏覽器端 Playground,實現本機 PHP 執行、檔案讀寫與網站管理,完全無需觸碰 WordPress 後台。WordPress 同步推出 Connectors API,讓站主透過官方外掛配置 OpenAI、Google、Anthropic 等 AI 供應商。
💡 WordPress 正快速 AI 化其開發工具鏈,MCP 擴展至 CMS 平台意味著 Agent 協作流程已開始滲透非核心工程場景。
- Anthropic 發布 Claude Opus 4.7 並同步測試 Project Glasswing:Mythos 與五大科技巨頭聯合資安測試 — Opus 4.7 在高難度軟體工程任務表現顯著優於 4.6,內建自動偵測並封鎖高風險資安請求。Project Glasswing 讓約 50 個組織早期存取尚未公開的 Claude Mythos,聚焦防禦性資安應用,合作方含 Amazon、Microsoft、Apple、Google 與 NVIDIA。
💡 Anthropic 已擁有 40% 企業 LLM API 支出市佔(OpenAI 降至 27%),Mythos 若正式上線將進一步拉大差距。
⚙️ Backend / Infra
- Linux 7.1-rc1 合併窗口關閉:排程器 HRTIMER 重構、PREEMPT_RT ARM 正式進主線 — 本次合併窗口收入 12,996 個變更集:高解析度計時器(HRTIMER)子系統重構以降低 overhead、新增 WQ_AFFN_CACHE_SHARD 工作佇列親和性範圍減少多核心競爭,以及 Rust 最低版本提升與效能優化選項。ARM 架構的 PREEMPT_RT 即時核心首次無需 out-of-tree 補丁即可建置。
💡 嵌入式與即時系統開發者:ARM PREEMPT_RT 進主線意味著即時 Linux 的維護成本將大幅下降,值得提前評估遷移時程。
- Apple App Store 自 4/28 起強制要求 iOS 26 / tvOS 26 / visionOS 26 / watchOS 26 SDK — 所有上架 App Store Connect 的新提交必須以對應最新平台 SDK 建置,未更新建置工具鏈的 app 將無法提交更新版本。
💡 立即審查 CI/CD pipeline 的 Xcode 版本設定;若使用第三方 CI 服務(Bitrise、Codemagic 等)需確認其 macOS / Xcode 映像檔已更新。
🛡️ 資安快訊
- CVE-2026-32202:Windows Shell APT28 零點擊 NTLM 憑證竊取,Microsoft 確認野外利用 — Akamai 研究發現此漏洞源於對 APT28 利用之 CVE-2026-21510 的不完整修補:受害者開啟含 UNC 路徑的 LNK 檔案,Windows 自動發起 SMB 連線並洩漏 Net-NTLMv2 雜湊至攻擊者伺服器,無需任何使用者互動。Microsoft 於 4/27 修訂公告,承認原始可利用性評估資訊有誤。
💡 APT28(俄羅斯 GRU)持續利用此類 NTLM 強制驗證攻擊;建議停用 NTLM 或啟用 SMB 簽章,並確認 April Patch Tuesday 修補已部署。
- Microsoft SharePoint 零日 CVE-2026-32201 遭野外利用,CISA 列入 KEV 並設 4/28 修補期限 — SharePoint Server 輸入驗證缺陷允許未授權攻擊者透過網路執行欺騙攻擊,CISA 要求聯邦機構已於昨日前完成修補。April Patch Tuesday 本次共修補 164 個漏洞,規模為三月份兩倍,含 8 個 Critical 等級。
💡 SharePoint 廣泛部署於企業核心工作流程,此類零日極易成為供應鏈橫向移動跳板,非聯邦組織同樣應視為 P0 修補。
- CISA KEV 新增 4 個漏洞:SimpleHelp、Samsung MagicINFO 9、D-Link DIR-823X 系列 — D-Link DIR-823X 廣泛存在於中小企業與家庭網路,常被殭屍網路徵用為跳板;Samsung MagicINFO 9 影響大型顯示管理系統。
💡 D-Link EOL 設備往往無自動更新機制,請手動盤點並隔離或替換。
🎯 工程師建議
- 今日 P0 修補清單: (1) FortiClient EMS → CVE-2026-35616 緊急 hotfix,24 小時內;(2) SharePoint Server → CVE-2026-32201,CISA 期限已過;(3) Windows → April Patch Tuesday(含 CVE-2026-32202)確認部署。
- MCP 整合機會窗口: 9,700 萬月安裝量是明確訊號,若你的服務尚未有 MCP server,現在啟動的邊際成本低、曝光紅利高;可先從 WordPress Playground MCP 的 WebSocket 架構取得靈感。
- Apple SDK 合規: 4/28 起 iOS 26 SDK 已強制,立即確認 CI/CD 中的 Xcode 版本,避免因建置不符導致 App Store 審核被拒。
🎪 社群趣事 & 新知
- Stack Overflow 文化地位持續滑落 — 2026 年 r/ProgrammerHumor 統計:Stack Overflow 相關梗圖數量年減超過六成,「複製貼上 SO 解答」被「複製貼上 AI 生成程式碼」取代,但神秘 bug 依舊如故。最新梗:「請 AI 寫文件,它說『老實說我不確定這段程式碼在做什麼』。」
💡 TIL:Apple Computer Co. 於 1976 年 4 月 1 日成立於 Jobs 父母的車庫,2026 年剛好是蘋果 50 週年——創立日落在愚人節完全是巧合,Wozniak 事後才意識到。
- 2026 年 April Fools 科技梗:Yahoo 推出「Scrōll Stoppr」實體拇指擋板 $4.99 — 一款讓拇指「物理性無法滑手機」的指套配件,在 TikTok Shop 上架,科技社群評:「這反而是今年最誠實的產品。」開發者社群版本:「終於有個 device 可以阻止我在 code review 時看到 production incident。」
💡 在 AI 時代,最好笑的科技梗都指向同一件事:人類才是最難 debug 的系統。