這個產業最近的節奏,是各條能力線都在踩油門——晶片更快、模型更小卻更強、機器人能打贏人、連找漏洞都自動化了。但把這禮拜的新聞排在一起看,會發現踩油門的同時,方向盤正在被越來越少的手握住。能力越集中、權限給得越大方,出事的時候要承擔的那一方,往往不是按下油門的人。

一、你裝的那堆 AI 框架,可能各自開了一扇沒上鎖的後門

這禮拜資安圈最該補的功課,不是某一個 CVE,而是一整類。CrewAI 一口氣四個 CVE、LangFlow 一個 HTTP request 就能未授權遠端執行、Flowise 吃到 CVSS 10.0 滿分、Windsurf 更狠是「零點擊」——你不用點任何東西,它處理到一段被動過手腳的 HTML,就會自動幫攻擊者註冊一個惡意的 MCP server 並執行指令。OX Security 盤點下來,這個架構層級的問題沿著官方 SDK(Python、TypeScript、Java、Rust)一路擴散,影響約 20 萬台已部署的 MCP server。

這裡有個關鍵要講清楚:洞不在模型身上。模型沒被越獄、沒對齊失敗,它只是老老實實讀了一份工具清單、照著指示呼叫工具——它做的正是被設計來做的事。問題出在框架怎麼實作那條「自然語言」和「真的去執行 shell 指令」之間的信任邊界。當你把一個會聽話的模型接上能動手的工具,prompt injection 就從一個「內容安全」的小麻煩,升級成一把直接開在你主機上的 shell。

更值得警惕的是落差感。有調查顯示 92% 的資安主管擔心 AI agent 的衝擊,但只有 24% 的組織能完整看見自家 agent 之間在互相講什麼,超過一半的 agent 跑在零監控、零紀錄的狀態下。82% 的高層相信現有政策擋得住 agent 亂來,可是過去一年有 88% 的組織出過 agent 安全事件。自信和現實之間這道縫,比任何單一漏洞都危險——因為你連自己曝險都不知道。

能動手的東西就要當成有身分的人來管:最小權限、高風險動作(寫資料庫、轉帳、對外發訊)一律人類覆核、每個動作都留下完整脈絡的日誌。把 agent 當成「應用程式裡看不見的一部分」,就是替自己留一扇後門。

來源:Microsoft Security — When prompts become shellsOX Security MCP 供應鏈警告Darktrace:92% 資安人員憂心

二、Nvidia 拿 50 億美元入股 Intel,想把每一層都收進自己口袋

老對手變成股東。Nvidia 宣布以每股 23.28 美元、總額 50 億美元買進 Intel 普通股,兩家要一起做好幾代的資料中心與 PC 產品——Intel 出 x86 SoC,裡面塞進 Nvidia 的 RTX GPU chiplet。差不多同個時間,Nvidia 在 Computex 端出主打消費級 PC 的 RTX Spark Superchip,秋天就會出現在 Dell、Lenovo 的機器上,跑 Windows on Arm。消息一出,AMD、Intel、Qualcomm 的股價應聲下挫。

把這件事拉遠一點看就很清楚:Nvidia 已經在資料中心通吃,現在要往 PC、往邊緣裝置這些「離雲端更遠」的地方延伸。一位分析師的說法很傳神——不管 AI 算在哪裡跑,那塊地盤就是獎品,Jensen 不會滿足於只拿到資料中心。對買家來說,方便是真方便,整套堆疊一家搞定;但要記得一件機會成本的事:你省下的整合工夫,是用「議價權交給對方」換來的。當運算的每一層都長在同一家公司身上,哪天它調價、改授權、或單純只是排不出產能,你沒有第二個門可以敲。

來源:NVIDIA Newsroom — Nvidia 與 Intel 合作CNBC:Nvidia 進軍 PC 晶片

三、一個 8B 開源模型,是在 AMD 硬體上從零訓出來的

就在 Nvidia 想把每一層收編的同時,反方向的事也在發生。Zyphra 放出 ZAYA1-8B,Apache 2.0 授權,用的是稀疏路由架構——總共 80 億參數,但每個 token 只實際啟用 7.6 億。最值得記一筆的不是分數,是它的出身:整個模型是在 AMD Instinct 硬體上從零訓練出來的。

這句話的分量,得放到「全世界訓練模型幾乎只能靠 Nvidia」這個共識裡才看得懂。長期把一條命脈押在單一供應商身上,是一種看不見的脆弱——平常完全沒感覺,一旦那家出問題(缺貨、漲價、地緣政治卡關),整條線一起癱。ZAYA1 證明了那條路不是唯一解,這種「驗證了還有別條路」的事,價值往往比模型本身的能力更耐久。能擺脫單點依賴的選項,光是存在,就讓整個生態多了一層緩衝。

來源:devFlokers — 2026 年 6 月開源 AI 盤點

四、機器人開始打贏人,這次是桌球

物理世界這條線也在加速,而且加速得有點嚇人。Sony AI 的 Project Ace 是一套自主桌球系統,靠強化學習加上一組能追蹤每分鐘 9,000 轉旋球的感知系統,在正式國際規則下,已經能打贏職業等級的人類選手。Boston Dynamics 的 Atlas 人形機器人也秀了新的敏捷度,NVIDIA 則放出 Cosmos 3 這類物理 AI 模型,專門拿來訓練機器人的動作策略、生成合成資料。

桌球這個例子特別值得停一下。它要的不只是「算得準」,是要在毫秒級的時間裡完成感知、判斷、出手——這正是過去大家覺得機器最難跟人拚的領域。一旦機器在這種高速、即時、對抗性的任務上跨過人類水準,要小心一種推論上的滑坡:覺得「它桌球都打贏人了,那別的應該也行」。能在一個邊界極度明確、規則極度封閉的賽局裡封頂,跟能應付規則模糊、會反過來惡整你的真實世界,是兩件事。看 demo 驚嘆可以,把它的能力直接外推到開放場景,會踩坑。

來源:NVIDIA Blog — 國家機器人週 / 物理 AI

五、微軟用一百多個 AI agent 組成軍團,自己去找漏洞

回到攻防這條線收個尾,剛好跟第一則對照。微軟發表了一套代號 MDASH 的防禦系統,調度超過 100 個專門的 AI agent——橫跨前沿模型和蒸餾出來的小模型——讓它們去發現、辯論、再證明漏洞能不能真的被利用,端到端跑完。靠這套,研究員在 Windows 的網路與認證堆疊裡挖出 16 個新漏洞,其中 4 個是 Critical 等級的遠端執行。

把第一則和這則擺在一起,會看到一個對稱的未來:攻擊方用 AI 把漏洞利用加速到比修補還快,防守方也只能用 AI 軍團去把漏洞先挖出來、先證明、先補掉。攻防都自動化、都提速之後,真正的勝負手不再是「誰手上有 AI」——兩邊都有了——而是「誰能更快把發現變成行動」。這對缺乏資源、補丁總是慢半拍的中小組織不是好消息:當雙方都換上機關槍,火力差距只會被放大,不會被拉平。

來源:Microsoft Security — AI speed defense(MDASH)

收尾:別只盯著「跑多快」,去看「煞車在誰手上」

這禮拜每一條新聞單獨看都是好消息——晶片更強、模型更開放、機器人更靈巧、漏洞挖得更勤。但有個反直覺的判準值得記住:一項技術真正的風險高低,不取決於它跑得多快,而取決於出事時,能踩煞車的人離方向盤有多近。

AI agent 權限給得越爽,能踩煞車的人離得越遠;運算每一層收進同一家公司,能踩煞車的手就越少。能力的加速是看得見的、會上頭條的;而煞車距離的拉長是看不見的,通常要等到撞上去那一刻才現形。下次評估一個新工具、新供應商、新 agent,先別問它能幫你跑多快——先問清楚,真的出事的時候,按下停止鍵的,是不是你自己。