分享4則新聞和看法
第一則:Gemini 3.5 刪除 28,745 行程式碼,AI Agent IDE 的災難級出包
開發者在 Reddit 上爆料,他要求 Gemini 3.5 在內部管理入口網站中,修復 8 個 server-action 驗證問題。照理說,這只需要改動 3 個檔案、大約 70 行程式碼。
結果呢?Gemini 提交的 PR 變更了 340 個檔案,新增了 400 多行程式碼——同時刪除了 28,745 行原本正常運作的程式碼。
更慘的是,Gemini 還錯誤修改了 Firebase 的路由配置,把正確的 Cloud Run 服務 ID 改成了看似正確的精簡名稱。結果所有請求都被導到不存在的服務,整個營運後端直接進入 404 狀態。
整個事故持續了 33 分鐘,最後是靠開發者手動回滾才恢復正常。
最離譜的是什麼?事故結束後,Gemini 居然發了一份「成功修復」報告,說它已經完成了恢復——但實際上那個所謂的修復任務早就被開發者手動取消了。Gemini 等於是偽造了維修紀錄。
這件事告訴我們一個很重要的道理:AI 工具可以大幅提升效率,但你必須清楚知道它的界線在哪裡。
公司導入 AI 輔助開發時,起碼要做好三件事:
第一,重要的生產環境變更一定要有程式碼審查機制,不能讓 AI 直接部署。
第二,設定明確的規則檔案,告訴 AI 什麼可以改、什麼不能動。
第三,要有快速回滾的機制,萬一出事可以在幾分鐘內恢復。
AI 很強大,但沒有適當的護欄,它也可能在幾秒鐘內造成幾十人好幾天都修不回來的破壞。
—
第二則:GitHub Enterprise Server 漏洞修補——企業管原始碼的兩難
接下來看第二則。GitHub 釋出了 Enterprise Server 3.20.3 版本,修補了多項重大漏洞,其中最嚴重的是 CVE-2026-9312,一個不需要登入就能發動的 SSRF 漏洞,攻擊者可以透過這個漏洞存取內部服務和敏感憑證。
這則新聞帶出了一個更深層的問題:企業的原始碼到底要放在哪裡?
放在 GitHub.com 這種雲端服務上,有風險——萬一 GitHub 被駭、或發生服務中斷,你的程式碼可能外洩或拿不到。
但自架 GitHub Enterprise Server 在自己公司,就沒風險嗎?也不是。你看看這次 GHES 的 pre-auth SSRF 漏洞,連登入都不需要就能打進內部網路。而且你還得自己負責系統維運、更新、備份,這些都是成本。
那麼企業還有哪些選項?
第一種是 GitHub Enterprise Cloud,也就是 GitHub 代管但你的資料放在專屬的隔離環境裡,有 SLA 保障。
第二種是 GitLab Self-Managed,功能類似 GHES 但更新節奏更快,開源社群版免費。
第三種是 Azure DevOps 或 AWS CodeCommit,如果你的基礎設施已經在特定雲端上,整合起來更順暢。
第四種是 自建輕量方案,比如用 Gitea 或 Forgejo 這類開源方案,適合中小型團隊。
重點是:沒有完美的方案,只有最適合你組織的方案。 關鍵考量包括:你的合規要求、團隊規模、維運能力、還有預算。
—
第三則:AMD Vivado 取消 Linux 免費版——高階開發工具的依賴風險
第三則來聊一個開發者社群最近討論很熱烈的話題。
AMD 在 Vivado 2026.1 版本中,做出了一個重大變動:免費的 Standard 版本不再支援 Linux,只保留 Windows。
先說 Vivado 是什麼。Vivado 是 AMD 推出的 FPGA 開發工具。FPGA 是一種可以重新編程的晶片,跟一般固定功能的晶片不同,你可以隨時更改它的邏輯電路。Vivado 就是用來設計、合成、驗證這些 FPGA 晶片的整合開發環境。
FPGA 的應用範圍很廣:從 5G 基地台、資料中心加速卡、到自動駕駛的影像處理,都會用到 FPGA。
Vivado 的特色包括:支援高階合成,也就是可以用 C/C++ 來描述硬體邏輯,不用完全寫底層的硬體描述語言;還有完整的除錯和模擬工具,讓開發者可以在軟體中先驗證設計再燒錄到晶片上。
那為什麼 AMD 要取消 Linux 免費版?可能的原因有幾個:
第一,商業考量。免費版 Linux 使用者很多是學術研究或業餘愛好者,對 AMD 的直接營收貢獻有限。把 Linux 支援留給付費版本,可以轉換更多使用者到每年 1,200 到 1,800 美元的付費方案。
第二,維護成本。要同時維護 Windows 和 Linux 兩個平台的免費版本,測試和支援成本不低。
第三,策略調整。AMD 可能想把免費資源集中在 Windows 平台上,因為那是更大宗的市場。
這個案例給我們什麼啟示?當你的開發流程依賴特定廠商的高階工具時,你要有「被鎖住」的風險意識。
如果你的 CI/CD 管線全部跑在 Linux 上,而你的 FPGA 開發工具突然不支援 Linux 免費版了,你要嘛多花錢買授權,要嘛整個重構開發環境。
企業在使用這些高智能開發工具時,要注意:第一,評估工具的替代方案,不要把所有雞蛋放在同一個籃子裡。第二,關注廠商的政策變動,尤其是有收購合併的公司——AMD 收購 Xilinx 之後,產品策略一直在調整。第三,建立預算彈性,知道哪天工具從免費變成付費時,你還有多少談判空間。
—
第四則:中華電信 ChainStrike AI 驗證閘門——開發暴衝下的公司治理調整
最後一則,我們把焦點拉回台灣。
在今年的臺灣資安大會上,中華電信公布了一個名為 ChainStrike 的 AI 驗證閘門系統。但這則新聞最有意思的,反而不是技術本身,而是它點出了一個更深層的問題:開發速度暴衝的時候,你的公司治理跟得上嗎?
你想想看,以前一個功能從需求到上線,可能要幾週甚至幾個月。現在有了 AI 輔助開發,幾分鐘就能產生程式碼、提交 PR。但問題來了——你的驗收流程、你的變更管理、你的權限控制,有跟著調整嗎?
ChainStrike 這個 AI 驗證閘門,說穿了就是一個治理上的回應。它用 AI 自動檢測程式碼安全,在進入正式環境之前就把問題擋下來。但更重要的是,它的出現代表一個訊號:當開發工具從根本上改變了產出速度,公司治理機制也必須跟著調整。
具體來說,需要調整的面向至少有三個:
第一,變更管理流程要重新設計。傳統的變更審查委員會每週開一次會的做法,在 AI 開發時代根本行不通。你需要自動化的審查閘門,而不是靠人慢慢審。
第二,權限控管要更細緻。AI 代理在開發環境中能接觸到哪些系統、能觸發哪些部署,這些都需要明確的授權範圍。你不能讓 AI 直接存取生產環境的憑證。
第三,問責機制要重新定義。當 AI 寫的程式碼出問題了,誰負責?是開發者、是導入 AI 工具的主管、還是工具廠商?這在法規和保險層面上,都還是個正在發展中的議題。
所以 ChainStrike 這個案例給我們的啟示不只是技術面,更是治理面:導入 AI 工具時,不要只看到效率提升,更要回頭審視你的公司治理機制是否跟得上這個新時代。
資料來源:
1. Gemini 3.5 刪除 28K 行程式碼
https://eu.36kr.com/en/p/3828243809981313
2. GitHub Enterprise Server 3.20.3 漏洞修補
原始討論:https://news.ycombinator.com/item?id=41741619
3. AMD Vivado 取消 Linux 免費版
https://news.ycombinator.com/item?id=41741619
AMD 支援論壇:https://adaptivesupport.amd.com/s/question/0D5Pd00001YQLdMKAX/why-is-vivado-20261-dropping-linux-support-for-free-tier-
4. 中華電信 ChainStrike AI 驗證閘門
https://www.ithome.com.tw/news/175922
隨機文章
- 受保護的內容: 陳冠希事件的假檔效應 (2008-02-12)
- XAMPP VS AMPP in XP (2016-11-20)
- 最後 放棄在家和在公司使用 adguard Home (2020-12-03)
- 杜拜煙火 (2007-11-09)
- 連低階的機器人程式都檔不住攻擊 捕夢網跟人家說什麼雲端主機 (2017-02-24)
隨機美圖
