📡 科技日報 — 2026-05-10

🚨 今日科技重點

• Palo Alto PAN-OS CVE-2026-0300（CVSS 9.3）遭主動利用，Root RCE 補丁 5/13 才到 — User-ID Authentication Portal 緩衝區溢位，未認證攻擊者可在 PA-Series/VM-Series 防火牆取得 root 權限；CISA 已列入 KEV，聯邦機構修補截止日 5/9，廠商正式補丁 5/13 發布。

  💡 暫時緩解：立即將 Authentication Portal 存取限制為受信任內網區域，並停用 L3 介面上的 Response Pages。

• Apache httpd CVE-2026-23918（CVSS 8.8）：HTTP/2 double-free 可導致 DoS 與 RCE，已有修補版本 2.4.67 — mod_http2 在收到 HEADERS frame 後立即被 RST_STREAM 取消時，同一 h2_stream 指標被兩次釋放；Debian 系及官方 Docker 映像使用 mmap allocator，存在 RCE 風險。

  💡 立即升級至 Apache httpd 2.4.67；使用官方 Docker 映像的服務需同步更新基底映像。

🧠 AI / LLM 動態

• Anthropic 為 Claude Managed Agents 引入「Dreaming」記憶鞏固機制 — 類比人類睡眠整合記憶的原理，Agent 閒置時自動回顧過去 Session、提取模式並更新記憶庫，法律 AI 公司 Harvey 導入後任務完成率提升約 6 倍。同步推出 Multi-agent Orchestration 多 Agent 協作編排與 Outcomes 追蹤，進入公開 Beta。

  💡 Dreaming 仍為研究預覽，可選擇自動更新或人工審查；啟用前評估記憶隱私範圍與額外 API 呼叫成本。

• Anthropic Mythos 首通 32 步攻擊模擬；GPT-5.5、DeepSeek V4、Kimi K2.6 密集問世 — Mythos 在 UK AI 安全研究所專家任務達 73% 成功率，GPT-5.5 緊追 71.4%；中國側 GLM-5.1、MiniMax M2.7、Kimi K2.6、DeepSeek V4 在 12 天內接連發布，推論成本顯著低於西方競品。Physical Intelligence π0.7 實現機器人跨硬體零樣本遷移。

  💡 前沿模型能力提升開始觸發各國政府安全審查，AI 廠商需將評測排程納入發布計畫。

• Microsoft、Google、xAI 同意模型上線前接受美國政府安全評測 — CAISI（AI 標準與創新中心）將在發布前評估模型對國家安全的潛在影響；OpenAI 與 Anthropic 的既有協議已重新談判，三家公司亦加入，5/5 宣布生效。

  💡 前沿模型「先測後發」監管框架逐步成形，企業選型時需關注各廠商的評測合規進度。

⚙️ Backend / Infra

• Linux Kernel 6.6.138 / 6.12.87 / 6.18.28 修補 IPsec UDP 記憶體損毀漏洞 — 核心在 splice 共享 pipe 頁到 socket 時，ESP 層錯誤原地解密而非建立安全副本，導致加密 UDP 流量損毀；補丁強制觸發 copy-on-write，VPN/IPsec Tunnel 及容器化網路工作負載受益最明顯。（5/8 發布）

  💡 運行 IPsec VPN 或加密 UDP 流量的系統應優先套用此批穩定版更新；損毀問題不易從應用層偵測。

• Google 在 Cloud Next 2026 發布 TPU 8t/8i：訓練成本效益較前代提升 2.8x，挑戰 NVIDIA — TPU 8t 專注訓練，可將前沿模型開發週期從數月縮短至數週；TPU 8i 專注推論與 Agent 運行；Google 已承諾提供多吉瓦 TPU 產能給 Anthropic、OpenAI 及 Meta，形成自有算力生態對抗 NVIDIA。

  💡 AI 算力多元供應格局成形，評估訓練與推論基礎設施時可納入 Cloud TPU 與 GPU 的成本效益比較。

🛡️ 資安快訊

• cPanel CVE-2026-41940 遭武器化：東南亞政府與 MSP 成目標，4.4 萬 IP 掃描中 — 認證繞過漏洞允許遠端攻擊者獲取 WHM 控制面板管理權限；24 小時內多個威脅行為者利用 GitHub 上的公開 PoC，部署 AdaptixC2、Mirai 變體及「Sorry」勒索軟體，主要目標為菲律賓、寮國政府機構及全球 MSP/主機商。補丁已於 4/28 發布。

  💡 立即套用 4/28 補丁；審查所有網際網路可存取的 WHM 入口，並監控異常登入及大量帳號鎖定事件。

🎯 工程師建議

• 本週緊急修補優先序：① CVE-2026-0300（Palo Alto PAN-OS，先限制暴露面，等 5/13 補丁）② CVE-2026-41940（cPanel WHM，已有補丁立即套用）③ CVE-2026-23918（Apache 2.4.66 升至 2.4.67）④ Linux Kernel IPsec fix（VPN 環境優先）
• 評估 Claude Managed Agents Dreaming：在開啟自動記憶更新前，盤點 Agent 可存取的資料範圍、制定記憶隱私政策，並估算 Dreaming 排程所產生的額外 API Token 成本。
• AI 模型監管合規準備：美國政府評測框架已擴及微軟、Google、xAI，採購或整合前沿 AI 模型的企業應追蹤各廠商評測狀態，並在合約中納入安全合規條款。

🎪 社群趣事 & 新知

• AI 寫了 Microsoft 30% 及 Google 25% 以上的程式碼 — 兩家科技巨頭公開揭露 AI 生成程式碼的比例，「vibe coding」（讓 AI 主導、工程師驗收）已從邊緣實踐走向主流。工程師社群的反應呈現兩極：一派慶祝重複性工作消失，另一派憂心 debug 越來越難——因為沒有人真正「懂」這段程式碼是怎麼寫出來的。
• TIL：HTTP/2 RST_STREAM 的設計初衷與意外後果 — RST_STREAM 是 HTTP/2 讓客戶端中途取消請求以節省頻寬的機制，CVE-2026-23918 揭示當「取消清理路徑」缺乏冪等保護時即成攻擊入口。協定邊界案例往往比一般 bug 更難被常規測試覆蓋，fuzz testing 對這類漏洞尤為重要。