每日精選 AI/Tech 新聞,繁體中文整理
📍 今日全焦點
- GitHub Copilot 帳單炸鍋:$29 變 $750,安全網沒了 — 6/1 代幣計費正式上路,開發者月費一夜暴增 25 倍
- 白宮 AI 行政命令:30天建資安清交所,前沿模型先給政府看 — Trump 簽署 EO,自願框架,明確不設強制審查
- 後續 - Mini Shai-Hulud 新波次:320+ NPM 套件再度淪陷 — 累計 1,055 個惡意版本,攻擊工具已開源讓人人可複製
- 後續 - Anthropic Mythos 開放歐盟資安局,Glasswing 擴至 150 機構 — 第一個拿到頂級 AI 資安模型的政府單位,是 ENISA
- 後續 - SpaceX SPCX 定價倒數 3 天 — 路演書建收尾,最終認購倍數今晚見端倪
今日頭條
不繞圈了,直接看數字——$29 和 $750,差距 25 倍。這是同一個帳號,同一個人,6 月 1 日前後的 GitHub Copilot 帳單。
6 月 1 日,GitHub Copilot(微軟旗下 AI 程式助理,全球最多開發者使用的 AI coding 工具) 正式切換到代幣計費制——GitHub AI Credits,每 1 AI Credit = $0.01 美元,用多少算多少。
舊制度下,你付固定月費,用完 premium 請求額度,Copilot 會自動降級到便宜模型讓你繼續工作(業界叫 fallback,備援機制)。新制度這個備援沒了:額度用完就停,繼續用就直接扣 Credit。
Reddit 和 X 上的截圖在 6/4 前後大量爆發。TechCrunch 報導用的標題直接引用開發者原話:「What a joke(什麼鬼)。」Visual Studio Magazine 跟進:「帳單衝擊已命中開發者。」有開發者估算,按照自己的使用習慣,月費從 $29 → $750(約新台幣 940 → 24,000 元)。
GitHub 提供了緩衝,但只給企業用戶:Business 和 Enterprise 客戶在 6/7/8 月暫時獲得 $30-$70 的補貼額度,個人 Pro 用戶沒有。
時間更巧的是,微軟同步在 Build 2026 宣布:Project Polaris(混合專家架構 MoE 自研模型)將在 8 月替換 Copilot 裡的 GPT-4 Turbo 成為新預設。計費改革 + 模型換心同步進行——如果新模型比 GPT-4 Turbo 便宜,帳單衝擊可能緩解;如果不便宜,這一刀只是第一刀。
給開發者的一行判斷:現在是重新評估 Copilot 實際成本的好時機。Claude Code($100/月 Max 方案,無上限使用)和 Cursor(標準 $32/月)是目前最多人在拿來比較的替代方案。
新聞摘要
白宮發布 AI 行政命令:30 天建「資安清交所」,前沿模型先給政府預覽 30 天
Trump 的 AI 命令不是在管 AI,而是在搶先看 AI——聯邦政府要當第一個拿到最強模型的人。
6 月 2 日,Donald Trump(美國總統) 簽署 《推進人工智慧創新與安全》行政命令(EO: Promoting Advanced Artificial Intelligence Innovation and Security)。
三個核心機制:
機制一:AI 資安清交所(AI Cybersecurity Clearinghouse),30 天內由財政部、NSA(美國國家安全局)、CISA(網路安全暨基礎設施安全局) 共同成立。這個清交所負責協調各單位掃描 AI 工具鏈的軟體漏洞、避免各自重複掃、統一分發修補方案。Mini Shai-Hulud 供應鏈攻擊大爆發的背景讓這個機制的時機很明顯。
機制二:前沿模型自願預覽框架(Covered Frontier Model Framework),60 天內設計完成。AI 廠商可自願把即將發布的「前沿模型」提交聯邦政府,讓政府在公開發布前 最多 30 天 先做資安評估。命令同時明確寫著:「不得建立任何強制性的政府許可、預審、或許可要求。」——白話說,是邀請而不是審查。
機制三:加強聯邦 AI 資安人力,OPM(人事管理局)擴招 AI 資安專家職位。
一行觀察:整道命令的措辭刻意繞開「監管」,方向是「聯邦政府與業界合作護欄」而非「聯邦政府管業界」,與《大美國 AI 法》草案同向——但兩者都沒有強制的牙齒。
後續 - Mini Shai-Hulud 新波次:320+ NPM 套件淪陷,攻擊工具已開源
這個供應鏈攻擊不只沒有停——發動攻擊的工具現在已經開源,任何人都可以複製。
SecurityWeek 確認 Mini Shai-Hulud 供應鏈攻擊出現新波次:320 個以上的 NPM 套件 遭到投毒,攻擊範圍同時擴及 GitHub Actions 工作流程和 VS Code 擴充套件(開發者的 IDE 本身成為入侵媒介)。整個 Mini Shai-Hulud 系列攻擊自 4 月下旬至今,累計 1,055 個惡意版本、502 個獨立套件受害。
新問題:攻擊工具已開源。幕後組織 TeamPCP 把攻擊工具公開在網路上,讓其他攻擊者也能複製這套手法,導致後續的「是不是同一組人?」越來越難判斷。Palo Alto Networks 的 Unit 42 威脅情報團隊確認這個情況。
最新技術手法:OIDC Token 記憶體抽取(從 CI/CD 管線的合法憑證偷 token)、GitHub Actions Cache Poisoning(讓自動化工作流程自動分發惡意程式)、以及「token 被撤銷就 rm -rf ~/(清空 home directory)」的報復機制。
開發者緊急確認清單:npm audit、pip list 查版本是否在受害清單內;GitHub Personal Access Token 全部輪換;VS Code 擴充套件近期不明更新暫緩安裝。
後續 - Anthropic Mythos 開放歐盟資安局,Glasswing 計畫擴至 150 機構
Anthropic 最強的 AI 資安模型,第一個拿到訪問權的政府機構不是 NSA,是歐盟的 ENISA。
6 月 2 日,Anthropic 宣布 Project Glasswing(玻璃翼計畫) 擴展至全球 超過 150 個機構、15 個以上國家,新增涵蓋電力、水務、醫療、通訊、硬體等關鍵基礎設施行業。
同時公布:ENISA(歐盟網路安全局,European Union Agency for Cybersecurity) 成為首個獲准訪問 Claude Mythos Preview 的政府機構。
Mythos 是什麼:Anthropic 尚未對外公開發布的頂級 AI 模型,官方描述是「已超越人類最頂尖軟體工程師的漏洞發現能力」。自 Glasswing 計畫啟動以來,各合作機構透過 Mythos 已發現超過 10,000 個高危或嚴重等級的安全漏洞。
Anthropic 同步承諾:提供 $1 億美元使用額度(約新台幣 32 億)給 Glasswing 計畫機構,以及 $400 萬美元直接捐款給開源資安組織。
值得注意的政治格局:ENISA(歐盟)優先於美國的 CISA 拿到 Mythos 訪問——這個時間點和 Trump 行政命令「聯邦政府優先看模型」的邏輯方向相反。科技地緣政治的脈絡在這個細節裡。
後續 - SpaceX SPCX 定價倒數 3 天:路演書建收尾,沉默耐人尋味
倒數 3 天,最後的靜默期。
距離 SpaceX SPCX 定價(6/11,週三) 只剩三天,機構路演書建(bookbuilding,機構投資人正式確認認購意願的程序)正在最後收尾。
引人注意的沉默:通常大型 IPO 最後一週,銀行會透過「訂單已超額認購 X 倍」的訊號提振市場;截至今天,這類訊號沒有公開浮現。有兩種解讀:一、機構認購倍數低於預期;二、承銷商刻意壓住,等 6/11 定價前 24 小時一次放出。
背景提示:SpaceX 2025 年全年淨虧損 $49.4 億美元(約新台幣 1,580 億),唯一獲利部門是 Starlink,上季淨利 $11.9 億美元(約新台幣 380 億)。Morningstar 的公允估值約為目前 $135 定價的一半。
定價 $135 自路演開始就沒有調整——固定定價策略本身就是信號,但市場對於這個信號的解讀兩極。
- 6/11(三):晚間定價確認
- 6/12(四):Nasdaq 掛牌,代號 SPCX
來源:CNBC — SpaceX IPO Live Updates(持續更新)
值得關注
- WWDC 2026 今晚(台灣時間 6/9 凌晨 1 點):Tim Cook 最後一屆 Keynote,Siri 換心 Gemini + iOS 27 正式亮相。成果明天見
- SpaceX SPCX 6/11 定價:書建最後窗口,認購倍數 6/11 定價前 24 小時確認
- MiniMax M3 weights 6/11 前公開:發布後 10 天承諾,weights 上 Hugging Face 後才能驗證 SWE-Bench Pro 59% 的真偽
- Gemini 3.5 Pro 月底前:「再給我們一個月」承諾進入最後倒數,三大頂配模型公開比較近了
- GPT-5.6 發布窗口:Polymarket 給 6/30 前發布機率 80-89%,中下旬是最可能的窗口