📡 科技日報 — 2026-05-04

🚨 今日科技重點

• CVE-2026-41940：cPanel & WHM 認證繞過零日漏洞，150 萬台伺服器受威脅 — CVSS 9.8，CRLF 注入允許未授權攻擊者偽造 root session（user=root, hasroot=1, tfa_verified=1），完全繞過密碼與 2FA。漏洞早在 2 月即遭零日利用，4 月 28 日 cPanel 發布修補；watchTowr 已公開 PoC。

  💡 若你管理 cPanel/WHM 主機，立即更新至最新版本；Cloudflare WAF 已於 4 月 30 日緊急部署防護規則。

• Microsoft & OpenAI 終止獨家雲端協議，OpenAI 可自由選擇 AWS 與 Google Cloud — 4 月 27 日雙方重新談判：OpenAI 不再受 Azure 獨家限制，AGI 條款被刪除，Microsoft 持股並保有至 2032 年的 IP 授權（非獨家）。AI 雲端市場競爭格局重寫。

  💡 AWS 與 Google Cloud 將加速爭搶 OpenAI 推理工作負載，雲端定價競爭即將白熱化。

🧠 AI / LLM 動態

• Mistral Medium 3.5 發布：128B 開放模型 SWE-Bench 達 77.6%，4 張 GPU 可自架 — 5 月 2 日發布，整合推理、指令遵循與程式設計於單一 128B dense 模型，256k context window；MIT 授權開放權重。Vibe 平台同步推出雲端遠端 Agents，Le Chat 新增 Work 模式支援多步驟並行任務。

  💡 自架成本大幅降低，開源 coding agent 生態再添強棒；Mistral 持續以開放策略挑戰 GPT-4 等級模型。

• 五角大廈與 OpenAI、Google、Microsoft 等 8 家公司簽署機密 AI 協議，排除 Anthropic — AI 工具將整合至武器瞄準與任務規劃等機密軍事網路；Anthropic 因拒絕接受「所有合法用途」條款（涵蓋自主武器）而遭排除，並提起法律訴訟。

  💡 AI 倫理邊界與商業利益的衝突正式浮上台面，此案將成為 AI 安全政策的重要判例。

⚙️ Backend / Infra

• Debian APT 正式引入硬性 Rust 依賴（2026 年 5 月起） — .deb/.ar/.tar 解析與 HTTP 簽章驗證等核心模組改以 Rust 實作，不支援 Rust 工具鏈的 Alpha、HPPA、M68k 等 11 個非主流架構 Port 面臨日落警告。x86-64/ARM/RISC-V 用戶透明升級。

  💡 Rust 正式進入 Debian 最核心元件，系統程式設計語言版圖加速位移；DRM 子系統預計一年後跟進。

• AWS DevOps Agent 正式 GA：AI 自主事故分析整合 PagerDuty、Grafana，MTTR 縮短 75% — 自主偵測、調查與修復生產事件，整合 Datadog、Dynatrace、New Relic、Splunk、GitHub Actions、GitLab CI/CD；支援跨 AWS 與 Azure。Enterprise Support 客戶可抵扣 75% 費用。

  💡 AI SRE 代理從實驗走向生產；按秒計費模式意味著 AWS 正在押注此類工作負載的爆發性成長。

🛡️ 資安快訊

• CVE-2026-41940 技術深析：CRLF 注入如何升級為完整 root session — 攻擊者注入偽造 session 欄位至 cPanel cpsrvd session 檔案，繞過密碼與 2FA 雙重認證，完全掌控主機及代管網站；CVSS 9.8，Go/Rust PoC 已流傳開源社群，Rapid7 統計約 150 萬台 cPanel 實例暴露於網際網路。

  💡 主機商應立即掃描暴露面並套用 cPanel 更新；Cloudflare WAF 緊急規則已於 4 月 30 日部署。

• CISA KEV 新增 6 個在野漏洞：Fortinet、Microsoft、Adobe 均上榜 — CISA 更新已知被利用漏洞目錄，含 Fortinet FortiOS、Microsoft Windows 及 Adobe 產品的高嚴重性漏洞，聯邦機構須限期修補。

  💡 建議所有組織對標 KEV 制定修補 SLA，優先於 CVSS 評分排序。

🎯 工程師建議

• cPanel 主機立即升級：CVE-2026-41940 有公開 PoC，任何延遲均等同開放攻擊面；同時啟用 Cloudflare WAF 緊急規則作為額外防線。
• 評估 OpenAI 多雲部署策略：隨 Microsoft-OpenAI 獨家關係終止，AWS Bedrock 與 Google Vertex AI 的 OpenAI 相容 API 將成為合理備選；開始評估遷移成本。
• Debian 升級確認 Rust 工具鏈：若維護非主流架構 Port，立即確認 Rust 工具鏈可用性，否則面臨日落風險。

🎪 社群趣事 & 新知

• 2026 年工程師日常梗圖：AI 文件化的誠實時刻 — 「我請 AI 文件化這段程式碼，它說：我也不知道這在幹嘛。」在多個開發者社群瘋傳；「我現在是 prompt 工程師還是軟體工程師？」成為 Reddit 與 HN 本週最高讚自嘲討論。

  💡 TIL：Douglas Engelbart 1963 年發明滑鼠時原名「X-Y 位置指示器」，「滑鼠」這名字是因為電線像尾巴才有的，而他從未因此獲得任何版權費。

• Vibe Coding 登陸行動裝置：Lovable 上架 iOS/Android，Q1 App 上架量年增 60% — 無程式碼 AI App 建構工具正式行動化，帶動全球 App 生態再度膨脹；AI 生成 App 佔比持續攀升，市場對「真實用戶使用」的 App 與 AI 量產 App 之間的品質落差討論加劇。