754 億參數、MIT 授權、跑八小時不斷線——中國智譜 AI 的 GLM-5.1 直接在 SWE-Bench Pro 上壓過 Claude Opus 4.6 和 GPT-5.4。同一天 Anthropic 把「太危險不能公開」的 Mythos 模型丟上 Vertex AI 給特定客戶用,微軟開源了 AI agent 的治理工具包,n8n 又爆一個 CVSS 10.0 滿分,然後 GitHub Copilot 悄悄改了資料政策。

GLM-5.1 開源:MIT 授權的 754B 參數模型,八小時自主編碼

智譜 AI(Z.ai)在 4/7 正式發布 GLM-5.1,用的是 MIT License——不是什麼「非商業研究限定」,是真的可以下載、客製化、商用的 MIT。754 億參數,202,752 token context window,在 SWE-Bench Pro 上拿到的分數超過 Claude Opus 4.6 和 GPT-5.4。

但真正讓這個模型跟其他開源模型拉開差距的,是它的「八小時自主任務」能力。Scenario 3 測試裡,GLM-5.1 花八小時從零建出一個 Linux 風格桌面環境——檔案瀏覽器、終端機、文字編輯器、系統監控、甚至還有能玩的遊戲。之前的模型通常做個工具列加一個空視窗就宣告完成了。

API 定價 $1.40/M input tokens、$4.40/M output tokens。北京時間 14:00-18:00 尖峰時段消耗 3x quota,不過四月底前離峰時段都是 1x 標準費率。Hugging Face 上可以直接載。

開源陣營又多了一張真正能打的牌。

原文來源:AI joins the 8-hour work day as GLM ships 5.1 open source LLM

Claude Mythos Preview + Project Glasswing:太危險所以不公開的模型

4/7 公告,Anthropic 最新最強的模型 Claude Mythos Preview 以 Private Preview 形式上線 Vertex AI,但你不能直接註冊來用——只有加入 Project Glasswing 計畫的特定客戶才有存取權限。

為什麼限定存取?因為 Mythos 在資安領域的能力太強了。Anthropic 的說法是:「這個模型已經在 OpenBSD、FFmpeg、Linux 等主流軟體中發現了數千個之前沒人知道的零日漏洞。」不是用它來掃描,是它自己找到的。

Project Glasswing 是 Anthropic 和 Google Cloud、微軟等合作的資安聯防計畫。研究預覽期間 Anthropic 承諾用 $1 億的免費額度支撐大部分用量。正式定價是 $25/M input、$125/M output——目前市面上最貴的模型。

Anthropic 明確表示不打算把 Mythos 公開給一般用戶。這倒是 AI 產業第一次有公司說「我們的模型太強了所以不賣」,而不是反過來。

原文來源:Claude Mythos Preview on Vertex AI

n8n CVE-2026-21858:CVSS 10.0 滿分,Ni8mare 不是隨便取的

又一個 AI 工作流平台中獎。n8n 被爆出 CVE-2026-21858,CVSS 10.0 滿分,研究者取名叫「Ni8mare」——n8n + nightmare 的諧音,名副其實。

技術上是 Content-Type 混淆漏洞。攻擊者送特製的 HTTP request 到 webhook endpoint,利用 Content-Type header 的錯誤處理覆寫內部解析狀態,一路打到讀取認證密鑰、偽造管理員 session、最終 RCE。整條攻擊鏈不需要任何認證。

受影響版本是 1.121.0 以前的所有 n8n,已修補。主要衝擊自架實例——managed 環境因為本地檔案和密鑰的存取方式不同,最嚴重的攻擊路徑用不了。

加上之前的 Langflow(CVSS 9.3)、Flowise(CVSS 10.0)、MLflow(CVSS 10.0),AI workflow 平台的資安紀錄真的慘不忍睹。這些工具為了讓 AI 方便操作開了太多權限,攻擊者同樣方便。自架 n8n 的團隊現在該去確認一下版本號了。

原文來源:Critical n8n Vulnerability (CVE-2026-21858)

微軟開源 Agent Governance Toolkit:第一個覆蓋 OWASP 十大 AI Agent 風險的治理框架

AI agent 越來越多人用,但治理工具幾乎不存在。微軟在 4/2 開源了 Agent Governance Toolkit(MIT License),宣稱是第一個覆蓋全部 OWASP Agentic AI 十大風險的治理方案。

核心賣點是「確定性的亞毫秒策略執行」——不是用另一個 AI 去監控 AI(那樣延遲和準確度都是問題),而是用預定義的規則引擎做 runtime 攔截。支援 Python、Rust、TypeScript、Go、.NET 五種語言的 SDK。

對企業來說這個工具解決了一個很現實的問題:你讓 AI agent 去操作生產環境的 API,怎麼確保它不會做出格的事?之前大家都在用 prompt engineering 來「拜託」AI 別亂來,現在有了硬性的 policy enforcement 層。

不過「覆蓋十大風險」這種宣稱得打個折扣。工具剛出來,社群驗證還不夠,實際部署的案例也有限。方向對,但成熟度還需要時間。

原文來源:Introducing the Agent Governance Toolkit

GitHub Copilot 靜悄悄改資料政策:4/24 起預設用你的互動資料訓練模型

這則消息被前面幾個大新聞蓋過去了,但其實蠻重要的。GitHub 在四月初通知用戶:從 4/24 開始,Copilot Free、Pro、Pro+ 的用戶互動資料——包括輸入、輸出、程式碼片段和相關上下文——預設會被用來訓練和改進 AI 模型

關鍵字:預設。不是 opt-in,是 opt-out。你要自己到設定裡關掉。

三月才出過 Copilot 在 150 萬個 PR 裡塞入宣傳「tips」的事件,現在又來這個。用戶信任度本來就在下滑——多份調查顯示開發者對 Copilot 建議品質的滿意度從 2025 年底開始持續走低,延遲變高、上下文感知變差是最常見的抱怨。

Enterprise 和 Business 方案目前不受影響。如果你用的是個人方案,4/24 之前去 Settings 裡面確認一下資料分享選項。

原文來源:Is GitHub Copilot Getting Worse in 2026?

開源模型跟閉源的差距在快速縮小——GLM-5.1 用 MIT 授權直接挑戰 Opus 和 GPT-5.4,同一時間 Anthropic 卻選擇把最強模型鎖起來不賣。AI 工作流平台的資安債繼續爆,微軟試圖用治理工具包補上這個缺口。GitHub Copilot 的資料政策調整提醒我們:免費的東西,你就是產品。