8,520 億到 1 兆美金。

這是 OpenAI 昨天機密遞交給 SEC 的 S-1 草案裡,目標估值的區間。一家 Q1 每收 1 美金就賠 1.22 美金的公司,準備上市時打算募 600 億美金——這金額是 2019 年 Saudi Aramco 史上最大 IPO 的兩倍多。

同一週,Google I/O 把整個年度開發者大會的賭注壓到 Gemini 3.5 跟 Antigravity 2.0 的 agentic 路線、Cursor 推出 Composer 2.5 直接對標 Opus 4.7、Oracle Identity Manager 爆出 CVSS 9.8 的未認證 RCE、Microsoft Exchange Server 還有一個沒修好的零日,只要寄一封信對方開 OWA 就在瀏覽器執行 JavaScript。

五條新聞,一個共通結構:賭注變大、修補窗口變小,中間的差距被 AI 撕得越來越開。

OpenAI 機密 IPO:一兆美金估值對上每 1 美金虧 1.22 美金

OpenAI 五月二十二號照計畫機密遞交 S-1 給 SEC。Goldman Sachs 跟 Morgan Stanley 領投,目標估值 8,520 億到 1 兆美金,預計 Q4 2026 上市,募資金額 600 億美金。

S-1 機密遞交的意思是「先讓 SEC 看,看完再公開」。一般時程:草案先過審、修改、公開(roadshow 前 15 天),然後做投資人路演、定價、開始交易。對應到 OpenAI 這次的節奏,公開 S-1 大概落在 7 月底到 8 月初,roadshow 8 月底,9 月初定價,9 月內或拖到 2027 年初開始交易。

數字裡有兩個要看清楚的點。

第一個是估值區間本身。8,520 億算「低標」、1 兆算「高標」。對比一下:Microsoft 一兆估值花了 44 年才到、Apple 花了 42 年、Saudi Aramco 用油礦支撐才在 2019 年破兆。OpenAI 想用 11 年成立、6 年公開產品的時間衝到這個位置。

第二個是底層的營運狀況。Q1 2026 每 1 美金收入對應 1.22 美金的虧損。換句話說,越賣越虧,而且毛利不是正的。要說服公開市場接受一兆估值,靠的不是現在的營收,是「未來 5 年我會變成下一個 Microsoft」這個故事。

逆向問一下:怎樣讓這個 IPO 一定崩盤?

答案是上市後第一份 10-Q 揭露的真實毛利結構。私募市場可以買「故事」,公開市場買的是「未來四個季度的可預測現金流」。一旦法規要求公開更精細的 unit economics——每個 ChatGPT 用戶平均成本、每次 inference 的邊際算力、跟 Microsoft Azure 的真實授權條款——市場會用一個全新的眼光重新定價。

這也是為什麼 Sam Altman 一直想用 SPV 結構讓員工套現,而不是直接走傳統 IPO。能不公開不公開的,到了 SEC 那裡都要公開。

原文來源:OpenAI to confidentially file for IPO as soon as Friday — CNBC
原文來源:The big questions OpenAI’s trillion-dollar IPO filing may finally answer — Fortune
原文來源:Five things to know about OpenAI’s potentially record-breaking IPO plans — Euronews

OpenAI 在賣未來的故事。下一條,是 Google 用整個年度大會押同一個方向。

Google I/O 2026:所有東西都改名叫 Agent

Gemini 3.5 系列、Antigravity 2.0、Android 17 Cinnamon Bun——昨天 keynote 三個大重點,三個關鍵字:agent、agent、agent。

Gemini 3.5 Flash 是這次主推的旗艦。Google 不用「比 Gemini 3.1 Pro 強」這種一般話術,而是直接給數字:「跨幾乎所有 benchmark 超越 3.1 Pro,速度是其他前沿模型的四倍。」這個包裝很刻意——他們不是賣「最聰明的模型」,是賣「跑得快的 agent 引擎」。Agent 一輪要呼叫 LLM 幾十次,速度直接決定可用性。

Antigravity 2.0 從去年的「AI coding 工具」進化成「agent-first 開發平台」。新功能包括 dynamic subagents(agent 可以自己派子 agent)、scheduled background tasks(背景排程任務)、Antigravity CLI(用 Go 寫的命令列工具)、公開 SDK、底層模型升級為 Gemini 3.5 Flash。

Android 17 加入了 system-level agent 整合。最關鍵的新 API 叫 AppFunctions——應用程式可以把自己的能力暴露給 Gemini 當作工具呼叫。開發者要重新思考:你的 app 不只是給「人」用的介面,還是給「agent」用的能力。

把這三件事放在一起看,Google 的策略很清楚:模型、IDE、作業系統,三層通通往 agent 方向走。每一層都假設「未來軟體的主要使用者不是人,是 agent」。

換個角度想:這個假設如果錯了會怎樣?

答案是 Google 會比任何一家都損失慘重。Apple 沒在 system-level agent 上下太多賭注、Microsoft 還在猶豫 Copilot 跟 Azure AI Foundry 怎麼分工、Anthropic 專注在企業服務、OpenAI 走消費端。只有 Google 一家把整個 stack(模型、IDE、OS)都重押 agent。如果 agent 革命比預期慢個三年,這套押注的機會成本會很大。

但反過來想,如果押對了,Google 是唯一一家可以「從模型一路控制到 Android 系統」的玩家。垂直整合的紅利會出現在 OS 層的 latency、能耗、隱私這些 Apple 強項的地方。

原文來源:I/O 2026 developer highlights: Antigravity, Gemini API, AI Studio — Google
原文來源:Google pushes “agentic AI” at I/O 2026 with Gemini Omni, Antigravity 2.0 — Cybernews
原文來源:Google I/O 2026 Summary: Gemini 3.5, Omni, Antigravity, and System-Level Agents

平台廠商在搶 agent 地盤。AI coding 工具這層的市場結構正在發生分化。

Cursor Composer 2.5、Windsurf 漲價:開發工具的兩種命運

Cursor 五月十八號推出 Cursor 3,主打 Composer 2.5——他們自家訓練的模型,benchmark 上跟 Opus 4.7 跟 GPT-5.5 打平,價格只要 0.5 美金/百萬 input、2.5 美金/百萬 output。同一輪更新加上 Build in Parallel、cloud agent dev environments、Microsoft Teams 整合。

Cursor 三月已經到 20 億美金 ARR。

同一週,Windsurf 把 Pro 方案從 15 美金漲到 20 美金、新增 200 美金的 Max 方案、把 Devin Cloud 跟 Devin Terminal CLI 綁進來、加 Adaptive model router。它的旗艦自研模型 SWE-1.5 在 Cerebras 上跑出 950 tokens/sec,加上 Cascade Hooks 跟免費 parallel agents。

兩家都在進化,但方向不一樣。

Cursor 走的是「自己訓模型 + 控制全 stack」。當你掌握自家模型,邊際成本就是你的、不是 Anthropic 的、不是 OpenAI 的。20 億美金 ARR 攤到內部訓練的模型上,毛利空間大很多。

Windsurf 走的是「綁進 Cognition Labs 的 Devin agent」。Cognition 去年買下 Windsurf 之後,Devin 跟 Windsurf 的整合是這次漲價的核心理由——你付 20 美金多拿到的不只是 IDE,是 Devin 的雲端 agent 容量。

逆向問:哪一家比較容易死?

Cursor 的風險是「自家模型撐不住長期競爭」。Composer 2.5 現在打平 Opus 4.7 是因為市場剛好在 plateau;如果 Anthropic 推 Opus 5.0 把品質拉開兩個等級,Cursor 用戶會直接轉回去用標準的 Claude Code 或者 GitHub Copilot。

Windsurf 的風險是「Devin 不夠好」。Cognition 把整個產品線壓在 Devin agent 上,但 Devin 過去兩年的口碑起伏很大。如果使用者算清楚每月 200 美金的 Max 方案實際能完成多少任務,發現 ROI 比 Claude Code 訂閱差——這價格守不住。

順帶提一下其他玩家:Kiro(Amazon)加入 parallel Spec task execution 把多任務工作流壓到原本的四分之一時間;Antigravity 2.0(Google)也加了 dynamic subagent。整個第二波 AI coding 工具都在搶「parallel orchestration」這塊

原文來源:AI Coding Agents 2026 — Lushbinary
原文來源:Windsurf Guide: Free AI Coding Tool — UCStrategies
原文來源:AI Coding Tools Pricing Comparison 2026 — Developers Digest

開發工具在打仗。資安那邊則是又被打穿了一次。

CVE-2026-21992:Oracle Identity Manager 未認證 RCE

CVSS 9.8。未認證。遠端執行。

Oracle 出 out-of-band patch 修這個。一般 Oracle 每三個月一次 Critical Patch Update,要他們在月中發 emergency advisory,通常表示「我們再不發就出事」。

漏洞點是 Oracle Identity Manager 跟 Web Services Manager 的 REST WebServices 元件。攻擊者不用任何憑證、複雜度低、走 HTTP,可以直接遠端執行任意程式碼。

影響版本:Oracle Identity Manager 12.2.1.4.0 / 14.1.2.1.0,Web Services Manager 同樣兩個版本。

把這個放到企業環境想:Identity Manager 是什麼?它管的是公司所有員工的身分、權限、SSO、多因素認證。一旦這台被攻陷,攻擊者不只進了一台機器——他變成了「人事系統管理員」。可以新增管理員帳號、可以發 SAML token 給自己、可以給任何系統開門。

Oracle 還沒揭露是否已經有 in-the-wild exploit,但 CVSS 9.8 加上 emergency patch 的組合通常代表「PoC 即將出現」。安全分析師預估這條會在數週內被武器化。

逆向問:你怎樣讓自己一定中招?

答案是把 Oracle Identity Manager 的管理 port 開在公網。聽起來像不會有人這樣做,但實際在 Shodan 上掃一下,這類產品開在公網的 instance 永遠超過大家想像。Oracle 企業客戶很多——銀行、政府、大型製造業——他們的 patch cycle 通常以季為單位。從 emergency advisory 到實際 patch 上線,三到六週是常態。這段時間就是攻擊者的窗口。

原文來源:Oracle Releases Emergency Patch for Critical Identity Manager Vulnerability — SecurityWeek
原文來源:Oracle Patches Critical CVE-2026-21992 — The Hacker News
原文來源:Oracle Security Alert Advisory - CVE-2026-21992

身分管理被打穿是一回事。下一條是郵件伺服器——更難堵的洞。

CVE-2026-42897:Exchange Server 零日,一封信就能跑 JS

五月十四號,Microsoft Patch Tuesday 才剛發完 48 小時,就出現 CVE-2026-42897 這條零日。影響 Exchange Server Subscription Edition、2016、2019。

攻擊方式簡單到嚇人:寄一封刻意設計過的信,對方用 Outlook Web App(OWA)打開信件,瀏覽器 session 裡執行任意 JavaScript。沒有 attachment、沒有 link、沒有要求對方點任何東西。

Microsoft 五月十四號發了 emergency mitigation——但這只是緩解,不是完整 patch。完整修補目前沒有時程。CISA 隔天把它加進 KEV,要求聯邦機構 5/29 前處理掉。

Exchange Online(雲端版)不受影響。受影響的是地端 Exchange——通常是還沒遷雲、用得長久、設定鎖死的那種環境。也就是政府、金融、製造業最多的部署型態。

把這條跟 Oracle Identity Manager 那條放在一起看,會看到 2026 年 5 月一個明顯的趨勢:身分層跟通訊層的零日同時冒出來。一個管「你是誰」,一個管「你怎麼跟外面溝通」。這兩層被打穿的影響不是相加的,是相乘的——攻擊者拿到 Identity Manager 之後,可以借 Exchange 對全公司發釣魚信;拿到 Exchange 之後,可以借社交工程攻擊 Identity Manager 的管理員。

更麻煩的是:Pwn2Own 比賽前幾天剛結束,研究員們挖出更多 Exchange 的相關漏洞,目前還沒公開。等公開的時候,這條零日的攻擊面會再擴大。

原文來源:Microsoft Warns of Exchange Server Zero-Day Exploited in the Wild — SecurityWeek
原文來源:CVE-2026-42897: Microsoft confirms active exploitation — Security Affairs
原文來源:Microsoft Exchange Zero-Day Exploited in the Wild — Cyber Kendra

把這五條串起來看,會看到 2026 年 5 月一個結構性訊號:所有人都在賭 agent 革命——OpenAI 用 1 兆美金估值賭、Google 用整個 OS 賭、Cursor 跟 Windsurf 用自己的 ARR 賭——但支撐這場賭注的基礎設施(身分管理、郵件伺服器)正在加速失守

OpenAI 跟 Google 的押注是「agent 會接管 50% 的軟體工作」。如果這個押注成真,agent 會大規模呼叫 Identity Manager 做權限驗證、呼叫 Exchange 收發信件做溝通。攻擊面不是線性放大,是按 agent 數量平方放大——每個 agent 都是潛在的攻擊跳板。

逆向問一下:如果你是企業 CISO,五年後最該擔心的是什麼?

答案不是「我們的人會被釣魚」,而是「我們的 agent 會被注入 prompt 然後執行錯誤操作」。Prompt injection 之於 agent,相當於 SQL injection 之於 web app——一個普及但目前還沒有成熟防禦的攻擊面。

今天最新的零日修不修,比五年後 agent 安全模型怎麼設計,重要太多了。但兩件事都不能等。