10.0。滿分。

這不是什麼考試成績。CVE-2026-20182,Cisco SD-WAN 控制器的認證繞過漏洞,CVSS 嚴重度評分拿到了理論上的天花板。遠端、不需認證、可取得管理員權限——而且已經被國家級駭客利用了。

同一週,OpenAI 承認 Sora 每天燒 1,500 萬美金的 GPU 算力是一場昂貴的錯誤。Anthropic 跟四大會計事務所 KPMG 簽了全球聯盟。Q1 全球創投金額破了 3,000 億美金的歷史紀錄。Windows BitLocker 被一個零日漏洞撕開了一個口。

五條新聞,一個共通的結構:錢往 AI 倒得越來越兇,但基礎設施的裂縫也越來越多。

Cisco SD-WAN:CVSS 滿分不是開玩笑

CVE-2026-20182 影響的是 Cisco Catalyst SD-WAN Controller 和 SD-WAN Manager 的認證流程。漏洞出在 vdaemon 服務處理 DTLS 連線(UDP port 12346)時對認證請求的驗證不足。

白話說:攻擊者送一個特製的控制連線請求過去,不需要帳號密碼,就能拿到管理員等級的存取權限。進去之後可以操作 NETCONF,直接改整個 SD-WAN 網路的配置。

Cisco Talos 追蹤到積極利用此漏洞的威脅組織 UAT-8616,一個從 2023 年就開始鎖定 Cisco SD-WAN 基礎設施的高度成熟團隊。CISA 已經把這個 CVE 加入 Known Exploited Vulnerabilities 目錄。

沒有 workaround。唯一的修復方式是升級。

換個角度想:SD-WAN 是企業把分散的辦公室網路串在一起的核心骨幹。一旦控制面被打穿,攻擊者不只進了一台機器——他進了整個網路拓撲。這就是為什麼 CVSS 給了滿分。影響的不是一個節點,是整個架構。

原文來源:Cisco warns of an actively exploited SD-WAN flaw with max severity — CSO Online
原文來源:Ongoing exploitation of Cisco Catalyst SD-WAN vulnerabilities — Cisco Talos
原文來源:CISA Adds Cisco SD-WAN CVE-2026-20182 to KEV — The Hacker News

網路骨幹被打穿是基礎設施的問題。接下來這個,是商業模式的問題。

OpenAI Sora 終結記:每天燒 1,500 萬美金的 GPU 做了什麼

Sora 在四月二十六日正式關閉。從公開發布到收攤,不到 18 個月。

死因很直接:算力成本。根據 The Information 的報導,Sora 的推論成本每天超過 1,500 萬美金——光是讓使用者生成那些 10 秒鐘的影片,就把 GPU 燒成字面意義上的「融化」。而留存率呢?Pro 用戶 30 天後的留存率不到 8%。花了上億美金建的東西,用了一次覺得新鮮,第二次就不回來了。

更慘的是連帶效應。Disney 在 2025 年十二月簽了 10 億美金的三年授權合約,讓 Sora 可以用 200 多個 Disney、Marvel、Pixar、Star Wars 角色生成內容。Sora 一關,這筆交易直接崩盤。

怎樣讓一個 AI 產品一定失敗?答案是你的成本結構要求每天都有大量活躍用戶,但你的產品本質是一個「用一次就夠了」的玩具。影片生成不像聊天機器人——它沒有每天回來的理由。OpenAI 把一個 demo 級的體驗包裝成商業產品推出去,市場用留存率投了反對票。

原文來源:OpenAI shuts down Sora amid costs and shifting AI video market — MSN
原文來源:Why OpenAI Killed Sora: The $15 Million Per Day Disaster — Miraflow
原文來源:OpenAI Will Shut Down Sora; Disney Drops $1B Investment — Variety

有人在燒錢,有人在擴版圖。Anthropic 這週的動作屬於後者。

Anthropic × KPMG 全球聯盟 + 開發者平台三連更

KPMG 跟 Anthropic 簽了全球聯盟,推出「Digital Gateway Powered by Claude」。四大會計事務所裡第一個跟 AI 公司簽這種等級合約的。

同一時間,Claude 開發者平台連續推出三個更新:

Opus 4.7 Fast mode 進入 research preview。不是換小模型,是同一個 Opus 4.7 用更快的 output token 生成速度跑。開發者終於不用在「要品質」和「要速度」之間做選擇。

Cache miss diagnostics 進入 public beta。用過 Claude API prompt caching 的人都知道,cache hit 和 miss 之間的成本差是 10 倍。問題是之前 cache miss 的時候你只知道「沒中」,不知道為什麼。現在 API 會回傳 cache_miss_reason,告訴你是 prefix 不一致、TTL 過期、還是 cache 容量滿了。除錯成本直接砍半。

20+ 法律 MCP 連接器 + 12 個執業領域 Plugin。研究、合約、證據開示、案件管理、法律扶助——每個領域一組專門的連接器。法律是目前 AI 落地最積極的垂直產業之一,Anthropic 顯然想把這塊市場吃死。

把 KPMG 聯盟和法律 MCP 放在一起看,Anthropic 的策略很清楚:不跟 OpenAI 比消費者產品,專攻專業服務業。會計、法律、顧問——這些領域的付費意願高、使用場景明確、而且對準確性的要求可以自然限制幻覺問題。

原文來源:KPMG and Anthropic sign global alliance and launch Digital Gateway Powered by Claude — KPMG
原文來源:Anthropic Release Notes — May 2026 — Releasebot

企業在押注 AI,創投也沒在客氣。

Q1 2026 全球創投 3,000 億美金:歷史紀錄

Crunchbase 的數據顯示,2026 年第一季全球創投總額突破 3,000 億美金,打破所有歷史紀錄。推升的主力毫不意外——AI。

錢的流向很集中:frontier research teams、agent infrastructure、國防軟體、以及受監管產業的垂直工具。Seed round 的中位數規模持續膨脹,一些 AI 公司的種子輪已經來到 10 億美金等級(Ineffable Intelligence 的 11 億美金是近期最極端的例子)。

Shield AI 的 15 億美金 Series G(估值 127 億美金)、Anthropic 累計數百億的融資、OpenAI 的天文數字——頂端的集中度越來越高。

逆向問一下:怎樣讓這波 AI 投資一定虧錢?

答案是你把錢投給那些「用 AI 包裝但本質是傳統 SaaS」的公司。如果一家公司的護城河只是「我們有一個 AI 功能」,那它的護城河會在每一次模型更新時被沖掉一點。真正有防禦力的是資料飛輪、垂直產業 know-how、和強制的合規壁壘。

3,000 億美金裡面有多少投在前者、多少投在後者,要等 2028 年才會知道答案。

原文來源:Q1 2026 Shatters Venture Funding Records As AI Boom Pushes Startup Investment To $300B — Crunchbase

錢在流,漏洞也在長。最後一條回到資安。

CVE-2026-45585:Windows BitLocker 零日繞過

CVE-2026-45585 是一個 Windows BitLocker 安全功能繞過漏洞,CVSS 6.8。攻擊者在實體存取裝置的情況下,可以繞過 BitLocker 加密保護讀取硬碟內容。

6.8 聽起來不高。但這個分數低估了真實風險。

BitLocker 是 Windows 裝置最後一道防線——你筆電被偷了,至少硬碟是加密的,資料拿不走。這個零日漏洞把這道防線撕開了。對企業來說,每一台遺失或被竊的筆電現在都變成了潛在的資料外洩事件。

這不是那種「伺服器被遠端打穿」的高調漏洞。它更像是你家大門鎖被發現有瑕疵——平常不會有事,但一旦出事就是全部的東西都暴露。低調、廣泛、而且影響的是物理世界。

微軟尚未釋出完整修補。

原文來源:CVE-2026-45585: Windows BitLocker Security Feature Bypass — NVD

今天的五條新聞指向同一個矛盾。

AI 投資破紀錄、企業聯盟在擴張、開發者工具在進化——但 Cisco 的網路骨幹被打穿了、Windows 的加密被繞過了、OpenAI 最有野心的產品之一燒掉了數十億美金後關門了。

系統越複雜,脆弱點越多。這不是悲觀,這是物理定律。管理複雜系統的方式不是祈禱它不會壞,而是假設它一定會壞,然後設計讓它壞的時候不會全部一起倒。

如果你的安全策略裡有任何一環的假設是「這個應該不會被攻擊」——今天是個好日子去把那個假設拿掉。