🤖 AI 日報 #6/10 — 2026/07/13(14:00)

1️⃣ TSMC 7/12 嘉義科學園區二期動土:再蓋 3 座先進封裝廠、90 公頃全區聚焦 AI HPC,接續一期 6 月已量產 2 座

Focus Taiwan/Taipei Times/DigiTimes/AsiaOne 7/12-13:台灣國科會主委吳誠文 7/12 於嘉義科學園區二期動土典禮宣布,TSMC 將在二期 90 公頃園區再蓋 3 座先進封裝廠,接續一期 2 座(6 月已量產)。全區將以 TSMC 為首發展成先進封裝產業聚落,鎖定 CoWoS/SoIC 為 Nvidia、AMD、Broadcom、Google、Meta 等 AI HPC 客戶擴產,全站啟用後年產值上看 9,000 億台幣($9.35B+)。

🔗 來源:Focus Taiwan(中央社英文版)
📌 官方公告(國科會現場宣布)

2️⃣ Wire-level 拆解證實:xAI Grok Build CLI 靜默把整個 repo(含 .env 明文密鑰、git 全史)打包上傳自家 GCS 桶,opt-out 也擋不下

GitHub gist(cereblab/7/11)對 xAI 官方編碼 CLI Grok Build v0.2.93 進行封包級拆解,證實:Grok Build 每次啟動就把整個 repo 打包成 git bundle 上傳至名為 grok-code-session-traces 的 Google Cloud Storage 桶,連 .env 未遮罩明文密鑰、agent 從未讀取的檔案、整段 git history 一併帶走;即使把 grok.com Settings→「Improve the model」關掉,仍持續上傳(opt-out 只對未來生效、不回溯)。實測 12GB repo 產生 5.10GB /v1/storage 上傳。Hacker News 353 pts 頂上首頁,byteiota/LocalLLaMA Reddit/linux.do 同步炎上。

🔗 來源:GitHub Gist by cereblab(wire-level analysis)
📌 一手研究報告(GitHub Gist + HN 首頁 353 pts)

3️⃣ 資安公司 jscrambler 自家 npm 套件遭挾持:8.14.0 preinstall hook 投放 Rust infostealer,直搜 Claude Desktop/Cursor/Windsurf/VS Code/Zed 設定檔盜 API Key

The Hacker News/Socket.dev/Security Boulevard 7/11-12:資安公司 jscrambler 官方 npm 套件於 7/11 遭挾持發布 8.14.0(同批還有 8.16.0/8.17.0/8.18.0/8.20.0):preinstall hook 在 npm install 執行前投放跨平台 Rust infostealer,一次配 Windows/macOS/Linux 三平台原生二進位。專掃 Claude Desktop、Cursor、Windsurf、VS Code、Zed 五大 AI 編碼工具設定檔內 API Key、瀏覽器資料、雲端 credentials、加密貨幣錢包;受害者正是自家安全客戶。首宗把 AI 編碼工具設定檔列為明確目標的 npm 供應鏈攻擊。

🔗 來源:The Hacker News
📰 媒體報導(The Hacker News)