76%。

2025 年,只有 26% 的企業設有 Chief AI Officer。2026 年,76%。一年之內,三倍。

IBM 今天發布的 CEO 調查說,2,000 位全球 CEO 裡有 64% 表示他們「對 AI 產出的策略建議感到自在」。不是用 AI 整理會議紀錄、不是拿 AI 寫行銷文案——是讓 AI 參與「要不要進入新市場」「要不要裁掉一個部門」這種層級的決策。

同一天,五角大廈正式簽下七家 AI 公司的機密合約。Google 580 位員工(包括 DeepMind 研究員)簽公開信反對,管理層連眼皮都沒抬一下。

信任在加速建立。而驗證,跟不上。

IBM 調查:76% 企業有 CAIO,AI 正式進入決策核心

IBM Institute for Business Value 這份調查的樣本不小:2,000 位 CEO,橫跨 33 國、21 個產業,時間是 2026 年 2 月到 4 月。

幾個數字一起看。

76% 的受訪企業已經設立 CAIO(Chief AI Officer),2025 年這個數字是 26%。不是「計劃設立」,是已經到位。一年內從四分之一跳到四分之三,代表 AI 治理從「先進企業的選配」變成「不做會被問為什麼不做」。

64% CEO 對基於 AI 的策略決策感到自在。這句話值得拆開來想。策略決策不是推薦一部電影或排一個班表——是牽涉到幾千萬美金投資、幾百個工作崗位、幾年方向的那種決定。六成以上的 CEO 說他們 OK。

再往下看會更不舒服。到 2030 年,受訪者預期 48% 的例行決策將由 AI 做出。一半。而且是 CEO 自己說的——不是 AI 廠商的行銷話術。

29% 的員工將在 2026-2028 年間需要重新培訓換崗位,53% 需要升級技能才能繼續做現在的工作。加起來是 82%。十個人裡八個人的工作內容會在未來兩年被 AI 重塑。

組織設計的變化也很劇烈。77% 的受訪者說「人才管理」和「技術管理」的角色正在合併——CTO 和 CHRO 的邊界越來越模糊。已經做完五個核心業務領域重組(技術、財務、HR、營運、跨部門協作)的企業,達成目標的機率是其他企業的四倍。

這份報告在說的不是「AI 很厲害」,是「CEO 們已經把 AI 當成理所當然的決策夥伴」。速度快到讓人想問一個逆向問題:怎樣做一定會出事?

答案:在沒有足夠驗證機制的情況下,把決策權限交給一個你無法完全理解其推理過程的系統。而這正是 64% 的 CEO 正在做的事。

原文來源:IBM Study: CEOs are Reshaping C-suite Roles for the AI Era — IBM Newsroom
原文來源:IBM survey: CEOs expect AI to make 48% of routine decisions by 2030 — Stock Titan

五角大廈 AI 合約最終章:580 名 Google 員工抗議無效

2018 年,Google 員工聯名抗議 Project Maven——國防部的 AI 無人機計畫。結果是 Google 退出合約,CEO Pichai 承諾「不將 AI 用於武器」。那是矽谷員工運動的高水位。

2026 年,歷史看似重演。Google 與五角大廈簽下機密 AI 合約,允許 Gemini 在國防部的機密網路中運行,用途包括「任何合法的政府目的」。580 多名 Google 員工(包括 DeepMind 的研究員)聯名簽署公開信,要求 Pichai 拒絕合約,理由是「致命性自主武器」和「大規模監控」的風險。

這次管理層沒動搖。合約照簽。

為什麼 2026 不是 2018?Fortune 的分析很直白:員工的議價能力已經不一樣了。2018 年 Google 需要搶 AI 人才,員工流失的成本極高。2026 年 AI 人才供給增加、裁員潮讓員工更不敢亂動、而且 AI 合約的營收規模大到管理層不可能讓步——這份合約是一個 $2,000 億五角大廈 AI 基建計畫的一部分。

更大的背景是 Anthropic 的處境。Anthropic 堅持兩條紅線——Claude 不用於自主武器、不用於大規模監控美國公民。五角大廈的回應是:把 Anthropic 標記為「supply chain risk」,限期六個月內所有聯邦機構和國防承包商停用 Anthropic 產品。Anthropic 在四月的上訴法院裁定中也敗訴。

七家公司簽了合約:SpaceX、OpenAI、Google、NVIDIA、Reflection、Microsoft、AWS。唯一缺席的是堅持底線的那一家。

這裡有一個讓 CEO 們不願意面對的結構性問題。AI 安全研究做得最認真的公司被排除在軍方合約之外。而其他公司同意「按政府要求調整安全設定」——在機密環境中,沒有人能審計這些 AI 系統到底被怎麼用。

一邊是 64% 的 CEO 對 AI 決策「感到自在」。另一邊是最大的 AI 買家(美國軍方)要求 AI 公司放棄安全限制。信任和控制正在朝相反的方向跑。

原文來源:Google’s AI deal with the Pentagon has sparked employee backlash — Fortune
原文來源:580+ Google employees urge Pichai to refuse classified Pentagon AI deal — The Next Web
原文來源:Pentagon freezes out Anthropic as it signs deals with AI rivals — Defense News

CVE-2026-26030:Microsoft Semantic Kernel 向量資料庫 RCE,CVSS 9.8

CVSS 9.8。幾乎滿分。出事的不是某個邊緣工具,是微軟 AI 應用框架的核心元件。

CVE-2026-26030 影響 Microsoft Semantic Kernel Python SDK 的 InMemoryVectorStore——AI 應用用來做語義搜尋、文件檢索、記憶體管理的向量資料庫。漏洞在 filter 功能:攻擊者可以透過精心設計的 filter 表達式,注入並執行任意程式碼。

向量資料庫是 2026 年 AI 應用的標配。RAG(Retrieval-Augmented Generation)架構裡,每一次「讓 AI 查你的內部文件」都要經過向量資料庫。你的 HR 政策文件、財務報告、客戶資料——全部存在向量資料庫裡,等 AI 來撈。

現在想像一下:這個向量資料庫的 filter 可以被注入。攻擊者不需要打穿你的防火牆,不需要社交工程你的員工——只要在 AI 會處理的輸入中藏一個惡意 filter 表達式。AI 替你查資料的那一刻,攻擊者的程式碼就在你的伺服器上跑了。

微軟已經在 python-1.39.4 版本修補了這個問題。但修補不等於安全——那些還在跑舊版本的 AI 應用、那些把 Semantic Kernel 包進自己產品裡的企業,不一定知道自己坐在一個 CVSS 9.8 的炸彈上。

AI 框架的攻擊面在持續擴大。PraisonAI(CVSS 9.8)、Langflow(CVSS 9.8)、n8n(CVSS 10.0)、CAI Framework、MS-Agent、Cursor——現在加上 Semantic Kernel。每一個都是被打穿核心元件,不是邊緣功能。

這些框架的共同問題不是程式寫錯,是架構設計假設了一個「輸入都是可信的」世界。在 AI agent 之前,這個假設勉強成立——使用者透過 GUI 操作,輸入受到介面限制。但 AI agent 的輸入來自四面八方:文件內容、API 回應、聊天記錄、repo 設定檔。每一個來源都可能被污染。

原文來源:CVE-2026-26030: Critical RCE in Microsoft Semantic Kernel Python SDK — Windows News
原文來源:CVE-2026-26030 — NVD

ClawHavoc:OpenClaw 1,400+ 惡意 Skills 毒化 AI Agent 生態

1,400 個惡意 Skills。佔整個 ClawHub 註冊表的 12%。

OpenClaw 是 2026 年成長最快的開源 AI agent 框架——一月底衝上 180,000 GitHub stars,單週超過 200 萬訪客。ClawHub 是它的 Skill 市場,開發者上傳 Skill,其他人下載安裝,讓 AI agent 能接 Gmail、操作 Notion、存取 GitHub。

ClawHavoc 就藏在這些看起來很正常的 Skill 裡面。

安全研究員追蹤到一個有組織的攻擊者,在 ClawHub 上傳了超過 1,400 個包含惡意程式碼的 Skills。手法不複雜但很有效:SKILL.md 的觸發條件寫得跟正常 Skill 一模一樣,但執行時會偷偷載入一段 shell script,安裝 AMOS(Atomic macOS Stealer)。

AMOS 是什麼?它專門偷 macOS 上的東西:Keychain 密碼、瀏覽器 session cookie、加密貨幣錢包、SSH key。而 ClawHub 的主要用戶——開發者——的電腦上通常有 AWS 憑證、GitHub token、production 資料庫的存取權限。

攻擊的時間線很清楚。1 月 27 日第一個惡意 Skill 上線。1 月 31 日大量上傳。2 月 1 日安全公司 Koi Security 命名為 ClawHavoc。到 4 月份,惡意 Skill 數量從最初的 341 個膨脹到 1,400+。偽裝的對象包括 Gmail 整合、Notion 助手、Slack 連接器、GitHub 自動化——全部是開發者最想安裝的工具。

這是 AI agent 版本的 npm 供應鏈攻擊,但更危險。npm 惡意套件通常在安裝時執行——你至少知道「安裝了一個新東西」。ClawHavoc 的惡意 Skill 在 agent 運行時才觸發——你的 AI agent 正常工作了三天,第四天遇到特定觸發條件,AMOS 就上場了。

你不會在安裝時發現異常。你可能永遠不會發現。

原文來源:ClawHavoc Poisons OpenClaw’s ClawHub With 1,184 Malicious Skills — CyberPress
原文來源:ClawHavoc: Inside the Supply Chain Attack That Targeted 300,000 AI Agent Users — Repello AI
原文來源:Hundreds of Malicious Skills Found in OpenClaw’s ClawHub — eSecurity Planet

MCP 200K 伺服器設計缺陷:Anthropic 說「這是 Feature」

200,000 台伺服器。150M+ 次下載。跨 Python、TypeScript、Java、Rust 四種語言的官方 SDK。

OX Security 的研究報告把 MCP 的 STDIO 傳輸介面漏洞稱為「The Mother of All AI Supply Chains」。核心問題直白到令人不安:MCP 的 STDIO transport 在處理使用者輸入時,不做消毒、不做驗證、不做沙箱隔離。攻擊者輸入的指令直接在伺服器端執行。

不需要認證。不需要繞過防火牆。只要你的 MCP server 接受輸入,它就接受一切。

受影響的不只是 MCP 本身。研究人員在 LiteLLM、LangChain、LangFlow、Flowise、LettaAI、LangBot 等主流 AI 框架中都發現了同樣的問題——因為它們全部建在 MCP SDK 之上,繼承了同一個不安全的預設值。共計 10 個獨立的漏洞,橫跨整個 AI agent 生態系。

Anthropic 的官方回應是:這是設計決策,不是漏洞。STDIO 的執行模型是安全的預設值,輸入消毒是開發者的責任。

技術上,Anthropic 說的沒錯——STDIO 本來就是一個 local transport,設計給「信任環境」使用。問題是,2026 年的 MCP 已經不只在 local 跑了。有人把 MCP server 掛在公網上、有人把它塞進 Docker 容器給外部 agent 呼叫、有人把它當作微服務的一環。Anthropic 的安全假設停留在「你只會在本機跑」,現實世界已經跑到前面去了。

200K 台公開暴露的伺服器。這個數字在四月中被披露時是 7,000+。不到一個月,完整掃描出來的數字是 200,000。不是因為伺服器在增加——是因為第一次的掃描範圍太小。

真正的問題不是 Anthropic 要不要修——是整個 AI agent 生態系的安全假設已經過期了。MCP 是 AI agent 的通訊協定標準,月下載量 1.5 億次。如果標準本身的預設值是不安全的,那所有建在標準之上的東西都繼承了同一個弱點。

原文來源:The Mother of All AI Supply Chains — OX Security
原文來源:200,000 MCP servers expose a command execution flaw that Anthropic calls a feature — VentureBeat
原文來源:MCP ‘design flaw’ puts 200k servers at risk — The Register

五條新聞,一個結構。

信任維度:76% 的企業有 CAIO,64% 的 CEO 對 AI 策略建議感到自在,48% 的例行決策預計交給 AI。信任正在被大規模建立——不是漸進式的,是跳躍式的。

控制維度:五角大廈要求 AI 公司放棄安全限制,唯一堅持底線的被標記為 supply chain risk。Google 580 名員工的抗議被無視。AI 系統進入機密環境後,沒有人能審計它們實際被怎麼使用。控制正在被大規模放棄。

攻擊維度:Microsoft Semantic Kernel CVSS 9.8。OpenClaw 12% 的 Skill 市場被毒化。MCP 200K 伺服器暴露在任意指令執行的風險下。攻擊面在每一層都在擴大——向量資料庫、Skill 市場、通訊協定。

三個維度同時在動。信任在加速,控制在鬆綁,攻擊面在擴張。

這三件事放在一起的含義是:我們正在把越來越多的決策權交給 AI 系統(IBM 調查),同時放棄對這些系統的安全限制(五角大廈合約),而這些系統運行的基礎設施正在被系統性地攻擊(Semantic Kernel、ClawHavoc、MCP)。

歷史上每次「加速信任」和「攻擊面擴大」同時發生,中間總會有一個引爆點。不是因為技術不夠好,是因為信任的速度超過了驗證的速度。而當信任超前太多,一個夠大的安全事件就足以把整個信任結構拉回原點。

那個事件會是什麼樣子?也許是一家 Fortune 500 企業的 AI agent 被 ClawHavoc 偷走了 production 憑證。也許是軍方機密網路裡的 AI 系統被 MCP 的設計缺陷滲透。也許只是 Semantic Kernel 裡某個沒更新的向量資料庫。

不知道是哪一個。只知道乘數效應還在累積。