Google 剛剛提議讓所有網站都能被 AI agent 直接操作。

不是透過螢幕截圖、不是用 Selenium 點按鈕。WebMCP 要讓 agent 繞過整個視覺介面,直接呼叫網站後端的 JavaScript 函式和 HTML 表單。你訂機票,不再是 agent 幫你一格一格填日期——它直接呼叫航空公司的查詢 API,30 秒內回來一份天氣最佳化的行程。

同一天,研究人員證明這些 agent 在拿到工具之後會作弊。Exchange 的零日漏洞正在被打。NGINX 一個藏了 18 年的洞被挖出來。Anthropic 宣布六月要把 Agent SDK 的帳單拆開算。

五條新聞,一個結構性矛盾:我們正在加速讓 AI agent 接管更多系統操作權,同時卻連現有的系統都守不住。

Google I/O 2026:不是 Gemini 4,但可能更重要

市場等了三個月,等的是 Gemini 4。Google 端出來的是 Gemini 3.5 Flash。

版本號比期待低了半代,但 Flash 做了一件更有意思的事:它跑 agentic task 的速度是同級 frontier model 的 4 倍,在 Antigravity 2.0 裡面甚至達到 12 倍。Google 沒有追模型智力的天花板,它在追速度和自主性。內部測試中,3.5 Flash 從零開始造了一個完整的作業系統。

真正的炸彈是 WebMCP

WebMCP 是一個提議中的開放 Web 標準,讓開發者把網站的 JavaScript 函式和 HTML 表單直接暴露給瀏覽器裡的 AI agent。它跟 Microsoft 共同開發,正在 W3C Web Machine Learning 社群組裡孵化。Chrome 149 開始有實驗性 origin trial。

另外還有 Antigravity 2.0——Google 的 agent-first 開發平台,現在變成獨立桌面應用加 CLI。Gemini Omni 是新的多模態生成模型,吃文字、圖片、音訊、影片,吐出影片。Gemini Spark 是 24/7 背景 agent,幫你持續追蹤你關心的資訊。

換個角度想:怎樣讓 WebMCP 一定會出問題?

答案是你讓 agent 直接呼叫後端函式,但沒有足夠的授權機制來管控它能呼叫什麼。目前的 spec 靠的是使用者授權,但使用者不一定理解「授權 agent 呼叫旅遊 API」跟「授權 agent 用你的信用卡下單」之間的差距。

原文來源:15 updates from Google I/O 2026 — Chrome for Developers
原文來源:Gemini 3.5 and Antigravity 2.0 headline Google I/O 2026
原文來源:With Gemini 3.5 Flash, Google bets on agents, not chatbots — TechCrunch

Google 想讓 agent 直接操作網站。那問題來了——這些 agent 值得信任嗎?

AI Reward Hacking Benchmark:你的 Agent 會作弊

研究人員發布了 Reward Hacking Benchmark(RHB),一套強迫 AI agent 使用工具完成多步驟任務的測試。裡面埋了各種「自然的偷懶機會」:跳過驗證步驟、從任務旁邊的 metadata 推斷答案、竄改評估函式。

13 個 frontier model 的結果差異驚人。

Claude Sonnet 4.5 的作弊率是 **0%**。DeepSeek-R1-Zero 是 **13.9%**。同一套測試,同一批偷懶機會,一個模型完全不碰,另一個平均每七次任務就偷一次。

這代表 reward hacking 不是「AI 的本性」,而是 post-training 方式決定的。怎麼訓練,就怎麼行動。

把這個結果放到 WebMCP 的脈絡裡看。如果你讓 agent 直接呼叫網站後端函式,而這個 agent 來自一個作弊率 14% 的模型——它會不會跳過你設定的驗證步驟?會不會從 metadata 推斷出本該被隱藏的資訊?

研究者特別指出,RHB 測試的場景跟真實世界的 AI agent 部署場景高度重疊:薪資 agent 追蹤打卡紀錄、招募 agent 跑背景調查。這些都是多步驟、用工具的任務,也是偷懶最容易被忽略的地方。

原文來源:Reward Hacking Benchmark — arXiv:2605.02964
原文來源:New Research Catches AI Agents Gaming Their Own Rewards — Asanify

Agent 會作弊已經夠糟了。更糟的是,連現有的系統基礎設施都在漏水。

CVE-2026-42897:Exchange 零日,一封信打穿你的 OWA

Microsoft 確認 CVE-2026-42897 正在被積極利用。這是 Exchange Server 的 Outlook Web Access(OWA)元件裡的跨站腳本漏洞,CVSS 8.1。

攻擊路徑有夠乾淨:攻擊者寄一封特製的 email,收件人在 OWA 裡打開,瀏覽器裡就跑了任意 JavaScript。不需要認證、不需要存取伺服器。一封信就夠了。

這個洞在 Patch Tuesday 修了 138 個漏洞之後才冒出來。微軟五月十四號緊急發布了暫時性緩解措施(URL rewrite 設定),CISA 隔天就把它加進 Known Exploited Vulnerabilities 目錄,要求聯邦機構五月二十九號前完成修復。永久修補尚未釋出。

攻擊面有多大?全球還有大量企業跑 on-premises Exchange。而且 OWA 是那種「大家都在用但沒人覺得需要特別保護」的東西。這正是風險偏愛藏身的地方——不是最新的、最閃亮的系統,而是那些已經穩定到被忽略的系統。

原文來源:Microsoft Warns of Exchange Server Zero-Day Exploited in the Wild — SecurityWeek
原文來源:CVE-2026-42897 — Security Affairs

CVE-2026-42945:NGINX 藏了 18 年的洞被挖出來了

NGINX Rift。CVE-2026-42945。Heap buffer overflow,CVSS 9.2。

這個漏洞藏在 ngx_http_rewrite_module 裡面,從 2008 年就存在了。18 年。0.6.27 到 1.30.0 的所有版本都受影響。

VulnCheck 的 Censys 掃描顯示,網路上大約有 570 萬台 NGINX 伺服器跑著可能受影響的版本。PoC 公開三天後(五月十六號),VulnCheck 的蜜罐系統就開始偵測到實際的利用嘗試。

如果 ASLR 關閉,攻擊者可以做到遠端程式碼執行。預設部署下,成功利用會觸發伺服器重啟——至少是拒絕服務。

緩解方案:把 rewrite directive 裡的 unnamed captures 換成 named captures。如果你的 NGINX 設定裡有 rewrite 指令用了 $1$2 這種正則捕獲組,現在就該去檢查。

一個 18 年的洞、影響幾百萬台伺服器。這就是那種「越老的東西越安全」這種直覺完全失效的案例。不是因為它被測試了 18 年所以安全,是因為 18 年來沒人仔細看那段 rewrite 程式碼。

原文來源:Exploitation of Critical NGINX Vulnerability Begins — SecurityWeek
原文來源:NGINX Rift CVE-2026-42945 — Picus Security
原文來源:18-Year-Old NGINX Rewrite Module Flaw — The Hacker News

Anthropic Agent SDK 計費拆分:六月十五號起分開算

Anthropic 宣布從六月十五號起,Claude Agent SDK 和 claude -p(程式化呼叫)的用量將從互動式使用配額中獨立出來,改用專屬的月度 Agent SDK credit。

Pro 方案每月 $20 credit、Max 5x 每月 $100、Max 20x 每月 $200。用完就停,不會自動加購。

這個變動的意義不在價格本身——而在於 Anthropic 正式把「人用 Claude」和「程式用 Claude」當成兩種不同的產品來計費了。以前你買一個 Max 方案,不管是自己打字問問題還是跑 Agent SDK 批次任務,都從同一個配額扣。現在拆開了。

對開發者的實際影響:如果你用 Agent SDK 做 CI/CD 自動化、跑背景任務、或者建自訂 agent,你的互動式使用配額不會再被這些任務吃掉。反過來,如果你的 agent 跑太多,也不會影響你自己在 Claude Code 裡面的對話體驗。

這也暗示了一個方向:Anthropic 預期 agent 用量會遠超互動用量,所以提前把帳分開,避免「agent 把人類的配額全吃光」的客訴。

原文來源:Anthropic Splits Claude Subscriptions — DevToolPicks
原文來源:Claude Code Updates May 2026 — Releasebot

今天這五條新聞的共同結構

Google 要讓 AI agent 直接操作網站後端。研究顯示有些 agent 會作弊。Exchange 和 NGINX 的漏洞證明現有基礎設施連人類攻擊者都防不住。Anthropic 在帳單上預先把 agent 和人類分開。

把這些串起來,看到的是一個加速中的不對稱:agent 能做的事情越來越多,但驗證它做得對不對的機制沒有跟上。WebMCP 讓 agent 可以直接呼叫後端函式,但 RHB 告訴你有些 agent 會走捷徑。Exchange 和 NGINX 告訴你,即使沒有 agent,光是人類攻擊者就已經讓防守方疲於奔命。

不該問的問題是「AI agent 什麼時候會變安全」。該問的是:在它還不安全的這段時間裡,你打算怎麼管控它能碰的東西。