📡 科技日報 — 2026-05-17

🚨 今日科技重點

• CVE-2026-42897：Microsoft Exchange Server XSS 漏洞遭主動利用 — 本月新揭露的 Exchange Server 跨站腳本漏洞（CVSS 8.1），攻擊者只需傳送精心製作的電子郵件，受害者在 Outlook Web Access 開啟後即觸發任意 JavaScript 執行，目前已有野外利用紀錄。Microsoft 已釋出緊急更新。

  💡 立即套用 Microsoft 緊急更新，並考慮限制 OWA 外部存取來降低攻擊面。

• Cisco SD-WAN CVE-2026-20182 CVSS 滿分 10.0，CISA 聯邦補救期限今日截止 — 無需憑證即可取得管理員權限的認證繞過漏洞，CISA 確認威脅行為者 UAT-8616 正主動利用，聯邦機構補救期限為 2026-05-17（今日）。

  💡 不限政府機關，任何部署 Cisco Catalyst SD-WAN Controller 的組織都應立即套用更新。

🧠 AI / LLM 動態

• Anthropic 推出 Mythos 模型，引發 Project Glasswing 跨業聯盟成立 — Anthropic 新模型 Mythos 在資安與滲透測試領域能力「驚人」，促使 Amazon、Apple、Google、Microsoft 及 JPMorgan Chase 等企業共同成立 Project Glasswing，專注研究 AI 輔助攻擊的防禦對策。

  💡 AI 模型的資安進攻能力正在重塑威脅格局，防守方需同步掌握同等工具。

• OpenAI 宣布 Daybreak 資安 AI 計畫，直接競爭 Claude Mythos — OpenAI 啟動名為 Daybreak 的資安 AI 倡議，以對標 Anthropic Mythos，顯示 AI 資安能力已成大廠新一輪軍備競賽焦點。

  💡 AI 輔助漏洞研究從學術演示走向商業產品，企業藍隊需重新評估防禦策略。

• State of AI 五月報告：AI 代理基準 24 組測試中僅 3 組未釀損失 — 所有前沿模型在代理基準上平均表現虧損，表現最佳的 Opus 4.6 複雜度分數僅 32.6%，凸顯「代理可靠性」仍是最大技術瓶頸。

  💡 生產環境部署 AI 代理前，務必設計人類監督閘門與回滾機制，切勿依賴模型自我修正。

⚙️ Backend / Infra

• AerynOS 2026.05 搭載 Linux Kernel 7.0 正式發布 — AerynOS 成為首個隨發行版正式交付 Linux 7.0 的 Linux 發行版，帶來大量效能改進，對桌面與遊戲場景有顯著提升；Torvalds 已確認 7.0 接近最終版本，Ubuntu 26.04 LTS 預計也將採用。

  💡 Linux 7.0 週期中 Rust 驅動整合大幅加速，是追蹤 Rust-for-Linux 上游動態的好時機。

• Mandiant M-Trends 2026：28.3% 的 CVE 在公開後 24 小時內遭利用 — Mandiant 年度報告揭示漏洞利用速度創新高，「漏洞公開即遭打」已成常態，傳統「等廠商 patch 再說」策略正在失效。

  💡 建議導入執行時期防護（虛擬修補）與自動化漏洞掃描，將曝露窗口壓縮至最小。

🛡️ 資安快訊

• CVE-2026-7482：Ollama 本地 LLM 伺服器漏洞影響逾 30 萬台公開伺服器 — 越界讀取漏洞（CVSS 9.1）影響全球超過 30 萬台公開 Ollama 實例，攻擊者可能從外部觸發異常行為。Ollama 預設監聽 0.0.0.0:11434，暴露面廣。

  💡 立即加防火牆規則或設定 OLLAMA_HOST=127.0.0.1，只允許本機存取。

• PraisonAI 缺少認證漏洞公開後 4 小時內遭利用 — 研究人員揭露 PraisonAI 暴露未認證的敏感端點，威脅行為者在漏洞細節公開後不到 4 小時即發起攻擊，再次印證 Mandiant 報告中極短利用窗口的趨勢。

  💡 開源 AI 工具攻擊面往往被低估，部署前務必審查網路暴露情況並設置認證層。

• node-ipc npm 套件三個新版本確認含竊密後門 — 資安研究人員在新發布的 node-ipc 版本中發現混淆程式碼，確認含有竊密器與後門行為，三個受影響版本已被通報。

  💡 建議 CI/CD 流程加入套件完整性驗證（npm audit、Socket.dev），並鎖定套件版本（package-lock.json）。

🎯 工程師建議

• Cisco SD-WAN 今日截止：CVE-2026-20182 CVSS 10.0，CISA 聯邦補救期限為今日，但即便不是聯邦機構也應立即升級，攻擊者已在主動掃描。
• Ollama 防火牆立即檢查：若團隊有人用 Ollama 跑本地模型，確認是否只綁 localhost。CVE-2026-7482 CVSS 9.1，30 萬台暴露伺服器中可能包含你的。
• AI 代理可靠性不要高估：本月基準報告顯示即便頂尖模型在代理場景可靠性仍低，生產部署前先在沙盒驗證，並設計人工確認閘門。

🎪 社群趣事 & 新知

• AI 已撰寫 Microsoft 30%、Google 25% 的程式碼 — MIT Technology Review 將「生成式編碼」列為 2026 年十大突破技術。Zuckerberg 表示目標是讓 AI 代理撰寫 Meta 大部分程式碼。開發者文化正從「寫程式」轉向「審程式」。

  💡 TIL：你現在審的 PR 裡，平均超過四分之一可能是 AI 生成的。

• 2026 工程師最新自嘲：用 AI 修其他 AI 弄壞的 bug — ProgrammerHumor.io 本週熱門梗：「最適合修 bug 的 AI 工具是用來修另一個 AI 搞壞的那個。」Stack Overflow 在工程師 meme 中的出場率也明顯下滑，因為大家都改問 LLM 了。

  💡 AI debug loop 已在實際 codebase 中出現，雖然是梗，但也是值得警惕的工程風險。

• 矽碳電池量產：主流手機正式進入兩日續航時代 — 2026 年上半年多款旗艦手機採用矽碳負極電池，能量密度提升讓同體積下兩天續航成為真實可交付數字。這是鋰電池材料近十年最顯著的突破，預示 IoT 與穿戴裝置電池設計將進入新階段。

  💡 硬體創新沒有停止——有時候最酷的突破不是新 AI 模型，而是更好的電池。