網站設計、APP 開發、AI 自動化與數位轉型的專業文章。
安全防禦
LiteLLM proxy 的 API key 檢查路徑上有一個預先認證 SQL 注入,外洩了所有虛擬 API key、上游 provider 憑證與 proxy 的環境變數。CVSS 9.3。野外首次利用:公告後約 36 小時。事後分析的每一段,都同時打中四個支柱 — 輸入驗證、身分驗證/授權、第三方套件、CIA。
繼續閱讀
AI 協作
2026 年 5 月 1 日,所謂的「代理人控制平面」離開私測。從此每個 AI 代理人都拿到自己的 Entra 身分、Purview 標籤、Defender 執行期治理與 Intune 端點管理 — 單獨訂閱每用戶每月 15 美元,或是包進新的 Microsoft 365 E7 Frontier Suite 99 美元。
繼續閱讀
網頁開發
經過 12 個 alpha、34 個 beta、13 個 RC,carthage-software/mago 第一個穩定版把 linter、formatter、static analyzer 三合一裝進單一執行檔,實測比 PHPStan 快約十倍 — Laravel News 稱它是「Composer 之後 PHP 工具鏈最大的轉折」。
繼續閱讀
資訊安全
當輸入驗證、Session 儲存與 CIA 三元素同時失守——以及今晚每個 PHP 主機型專案該稽核的事
繼續閱讀
AI 應用
為什麼 Headless --print、GitHub Actions 與「放著讓它跑」會徹底改變 PHP 與 App 工程師的日常迴圈
繼續閱讀
網頁開發
Brent Roose 的新框架如何用兩個 HTTP 標頭悄悄取代防 CSRF Token——以及這對你下個 PHP 專案的意義
繼續閱讀
資訊安全
4 月 29 日 SAP 四個官方套件被植入惡意程式,靠 .claude/settings.json 與 .vscode/tasks.json 取得持久化。OWASP A03 從這天開始變得真有殺傷力。
繼續閱讀
AI 與自動化
AI 已經寫了全世界 41% 的程式碼,安全漏洞密度上升 23.7%,但交付速度幾乎沒動。價值到底漏在哪——又該怎麼補上。
繼續閱讀
網頁開發
一個 10.1 萬星的單檔 repo、一個 17.5 萬星的代理人技能框架,與代理人時代的新型專案文件樣貌
繼續閱讀