1️⃣ OpenAI 證實 Axios 開發工具遭北韓駭客供應鏈攻擊,全面撤銷 macOS 簽名憑證
OpenAI 發布官方安全公告,確認 3 月 31 日 Axios npm 套件遭北韓威脅組織植入惡意程式碼的供應鏈攻擊波及自身。惡意版本透過 GitHub Actions 工作流程下載執行,該流程有權存取 ChatGPT Desktop、Codex、Codex CLI 及 Atlas 等 macOS 應用的簽名與公證憑證。雖然分析顯示憑證極可能未被成功竊取,OpenAI 仍以最高警戒處理,全面撤銷舊憑證、發布新版應用、與 Apple 合作阻止舊憑證簽署的新軟體通過公證。5 月 8 日起舊版應用將完全失效。根因是 GitHub Actions 使用浮動標籤而非固定 commit hash,且未設最低版本年齡。這件事的警示是,AI 公司的軟體供應鏈安全脆弱性,已經成為國家級攻擊者的目標。
🔗 來源:OpenAI 官方部落格
📌 官方公告
2️⃣ 英國倫敦警察廳考慮導入 AI 協助辨識兒童性虐待受害者,兼顧效率與倫理
BBC 報導,倫敦大都會警察廳正考慮使用 AI 協助辨識線上兒童性虐待受害者,並按嚴重程度自動分類影像。過去一年 Met 調查了超過 5,400 起兒童性虐待案件,1,300 多名兒童需要保護措施。目前警員須手動審閱每一張影像,暴露於極度痛苦的材料中。副局長 Matt Jukes 表示,AI 能大幅減少警員和員工接觸最令人痛苦材料的時間,但強調人類判斷、嚴格監督與受害者照護仍是每項調查的核心。另一項配套技術可讓警員在約 35 分鐘內審閱和風險評估 64.1 萬條訊息。AI 執法應用始終是敏感話題,但兒童保護領域可能是公眾最能接受 AI 減輕人類痛苦的應用場景之一。
🔗 來源:BBC News
📰 媒體報導(BBC News)
3️⃣ Anthropic 推出 Claude Cowork 企業版,全面升級組織級 AI Agent 部署能力
Anthropic 宣布 Claude Cowork 正式開放所有付費方案使用,並新增多項企業級管控功能,包含角色型存取控制、群組預算上限、使用量分析儀表板,以及擴展的 OpenTelemetry 監測支援。早期數據顯示,Cowork 的使用者絕大多數來自工程以外的團隊,營運、行銷、財務、法務等部門用它處理專案更新、協作簡報和研究衝刺等周邊工作。同時 Zoom 也推出 MCP 連接器,可將會議摘要和行動項目直接匯入 Cowork 工作流。這代表 AI Agent 正從開發者工具演變為全組織基礎設施,而企業的導入挑戰也從技術能力轉向治理與成本控制。
🔗 來源:Anthropic 官方部落格
📌 官方公告
4️⃣ OpenAI 營收長內部信示警,市場競爭激烈程度前所未見
The Verge 整理 OpenAI 營收長 Denise Dresser 的內部說法,指出她坦言市場競爭激烈程度是自己見過最激烈的。這封信的背景是 OpenAI 同時面臨 Anthropic 在企業市場的強勢追趕,以及 Google、Microsoft 等巨頭的夾擊。這種來自營收負責人的坦率表態相當少見,也側面印證 AI 產業已從高速擴張期,進入更殘酷的企業客戶與估值爭奪戰。當模型能力差距縮小,真正決定勝負的會越來越像傳統軟體業,包含銷售、部署、信任與生態系鎖定能力。
🔗 來源:The Verge
📰 媒體報導(The Verge)