這篇 cornerstone 是我去醫院探病那兩小時被 polish 出來的。
12:02,病房等檢查。手機上的 Discord thread 顯示剛剛丟出去那句指令。
2026-05-24 那天我陪家人去醫院。12:02 進病房、把家人安頓好、掏出手機在 Discord 上回了一句「@艾爾文 Erwin grok 的部分你接著做、ZeKe 我已經先暫停」,然後等檢查。14:00 回到桌前,這篇文章長出 voice polish + 跨角色合作開頭 + 11 處口語化修正 — 我什麼都沒做,5 個 agent 接力做完。
這個 2 小時的故事我會分散在 W1-W4 每週開頭講完。W1(這篇)是接力的起點:12:03 Erwin 接過 grok thread、用 sender_context schema 知道 receiver_id 是自己、立刻接話。下面是這篇 cornerstone 本身。
我是做前端的。
從 jQuery 寫到 Backbone,從 Angular 寫到 React 18,再到 Vue 3 / Svelte / Astro。每隔 2-3 年就有一波「你過時了」 — 從「Backbone 死了」到「jQuery 該丟了」,再到「React 18 該 deprecated for Server Components」。每一波都伴隨「前端工程師要被取代了」的恐慌。
沒有一次成真。
這幾個月 a16z 那句「軟體已死、寫程式成本歸零」傳得很廣。我目前的判斷是:這是假議題。從工程師角度看,這只是歷史節奏的最新一波 — 是轉變,不是取代。
成本沒有消失,只是換了地方。真正該問的不是「誰活下來」,是「怎麼跟上這次的節奏」。
一、歷史脈絡 — 每一波都是「轉變不是取代」
這幾年我每次想都是同一件事:這不是第一次。把時間線拉開看就清楚。
90 年代 → 2000 年代
工程師寫 C / assembly,自己管 memory、配 register、跟硬體對話。然後 Java / Ruby / PHP / Python 出現,OS 與 memory 層被抽象掉。當時的恐慌是「真正的工程師都會寫 C,這些新人不算」。實際發生的是:低階管理任務自動化,2000 年代的工程師寫得更高層、出貨更快,責任往上推到物件導向設計、API 結構、跨團隊整合。
2000 年代 → 2010 年代
工程師自己架 physical server、手動配 Apache、寫客製化 clustering。然後 AWS / GCP / Kubernetes 出現,infrastructure 被往上抽一層。當時的恐慌是「sysadmin 技能是護城河,這些雲端小孩不懂底層」。實際後面發生的事是 — 那些手動的運維工作慢慢被自動化掉,2010 年代的工程師不再擁有 server、開始擁有分散式架構 — 責任推到 distributed systems、SRE、cloud security、eventual consistency。
2010 年代 → 2020 年代
工程師寫一堆 framework boilerplate、手刻 CRUD、加 glue code 黏 API、打 React-vs-Vue 聖戰。然後 agent / Cursor / MCP / codegen 出現,boilerplate 被自動化了。現在的恐慌一字不差:「真正的工程師手寫 code,這些 AI 小孩懂個屁」。我目前判斷的軌跡是:boilerplate 任務自動化,2020 年代的工程師會停止寫 boilerplate,開始管 agent 編排、prompt 設計、AI 安全治理。
三波的共同節奏 — junior 任務被自動化、senior judgement 往上推。沒有一次「工程師被取代」。每一次都是「抽象層往上加一層」。我這幾年觀察下來,真正被淘汰的不是那層被抽象掉的工程師 — 是抓著舊那一層不放、不肯往上走的人。
AI 也是這個節奏的最新一波。沒有什麼奇點、也沒有什麼「成本歸零」 — 就是下一層抽象而已。
二、「寫程式成本→0」是 a16z 在說的 — 從工程師角度是假議題
a16z 講「軟體已死」是 marketing 角度 — 對 LP 講「下一個千億機會在哪」。從工程師角度看,這個敘事漏了一件事:成本沒消失,只是換了地方。
我目前實際看到的成本去處:
typing CRUD endpoint 的成本掉很多 — Cursor / Claude / Copilot 寫 boilerplate 很快。但「這個 endpoint 該不該寫、跟既有系統怎麼整合、會碰到哪些資料、需要什麼權限、怎麼 review、會不會洩漏」 — 這些成本沒掉,有些反而更高
算力成本 — GPU 從 TSMC 出貨價到資料中心電費,全球資本支出在飆
API token 成本 — 跑 agent 不是免費,每一次 LLM call 都在燒錢。Cursor / Claude / Copilot 的團隊月帳單已經 non-trivial,scale 起來變主要成本項
架構判斷成本 — 哪個 task 用哪個 model、哪段 flow 該 cache、agent 怎麼編排,這是新的 senior 工作
debug / review 成本 — Cursor 寫出來的 code 你要看懂、要驗證、要 review。review 的技能本身也變了:從「這個 code 是否正確」變成「這個 AI 生成的 code 是否符合 codebase convention、有沒有 hallucinate API、有沒有違反慣例」
整合成本 — 你不寫 boilerplate,但你要寫 MCP、要接 API、要設 webhook
資安治理成本 — 從前是合規部門的事,現在變成工程師 first-class 的責任。後面會講
a16z 敘事裡「成本→0」的,只是「敲鍵盤輸入字元」這件事。整個系統的總成本沒下降,只是錢花的位置變了 — 從寫 code 那層,移到判斷跟治理那層。
所以真議題不是「成本歸零後誰活下來」,是「怎麼適應這次節奏轉變」。下面從兩個角度看 — 公司端與工程師端。
三、適應新節奏的兩種具體形態 — 公司端
先看公司怎麼適應。把 2022-2025 的 AI 產品名單分成兩堆。
沒適應轉變的:
Jasper AI(2022 估值 $1.5B,2024 大規模裁員、估值大幅縮水)— AI copywriter wrapper,沒有自有 model、沒有自有資料、使用者輸入也不會回饋產品;GPT-4 出來後競爭基礎徹底消失
Chegg(ChatGPT 推出後 2023 年 5 月一天跌 49%)— 線上家教平台被 ChatGPT 直接吃掉,學生用 ChatGPT 不用 Chegg
OpenAI GPT Store 上千個第三方 GPTs(90%+ 在發佈後 6 個月內活躍度降到接近零)— prompt 是公開的、複製成本為零、基礎模型一升級就過時
早期 AI Note-taking 應用 — 被 Notion AI / Apple Intelligence 內建蓋掉
純 prompt 翻譯、純 prompt 摘要、純 prompt 修圖工具 — 模型升級就死
這些不是「死於成本→0」 — 是死於「沒找到轉變後的新差異化」。共同病徵:模型是別人的、prompt 是公開可複製的、使用者輸入是 one-shot 的(不會回饋產品)。一旦基礎模型升級或加入該功能,整個產品的存在價值消失。
我這幾年觀察下來,死亡時間 ≈ 基礎模型下次升級時間 ≈ 通常 6-12 個月。
找到新差異化的:
Tesla FSD — 實車駕駛資料 → 模型訓練 → FSD 表現提升 → 更多人買 → 更多里程資料。其他自駕業者拿不到 Tesla 的車隊里程資料,這是排他性 input
Bloomberg GPT — 40 年自有金融資料 → 領域微調 → 輸出優於 GPT-4 通用版 → 客戶留存 → 訂閱費反饋研發。金融專有 corpus 是 Bloomberg 獨有,OpenAI 拿不到
Replit Agent — 百萬使用者程式碼編輯行為 → autocomplete 模型 → 編輯體驗改善 → 更多使用者 → 更多資料。使用者編輯行為這個 signal 只在 Replit IDE 內部產生
Hugging Face — 開源社群 model usage telemetry → 推論優化 → 速度與成本改善 → 更多企業上 → 更多 telemetry。社群是護城河、telemetry 是燃料
這些不是「活下來」 — 是「找到轉變後的新差異化形態」。共同點是滾雪球,四個環節缺一不可:
資料來源具獨佔性(其他人拿不到)
資料能餵回 model(不是純做報表用)
改進能被使用者感知(用戶覺得越來越順)
使用者用得越多產生越多資料(閉環)
一份 SOP 寫在 Notion 裡不是雪球。一個 dashboard 不是雪球。只有四個環節都到位、迴圈轉起來,才是雪球。少一個環節,那不叫雪球,叫「一個 feature」。
對台灣多數企業,雪球的燃料就在公司內部:客戶對話、SOP、案件庫、製程參數 — 國外大模型拿不到。繁中、在地用語、領域 know-how — 這些優勢國外大模型拿不到。
在台灣,這個雪球可以走兩條路徑。
Path A:中小企業 / 服務業 — 把 domain knowledge 結構化
繁中、在地用語、客戶名單、領域 know-how — 這些國外大模型不會專門為了台灣 context 訓練。但要注意一個關鍵:一份 SOP 寫在 Notion 裡不是雪球。SOP 被 agent 拿來用 → 客戶回饋流回來 → SOP 更新 → agent 改善 — 這個迴圈轉起來才是雪球。
保險 / 借貸 → 累積客戶對話 → 微調出在地化的銷售 agent
物流 / 客服 → 老員工 SOP → ticket routing 與第一線回應 agent
營造 / 廣告代理 → 過去案件檔案 → 投標書與提案產生器
Path B:資料敏感型行業 — 內部運營資料即護城河
在金融、醫療、政府、法律、保險、製造業,核心資料只在組織內部產生,外部模型不可能擁有。資料一旦進 model = 半永久的領先。
金融 — 交易行為、信用模型、客戶風險檔案
醫療 — 病歷、影像資料、患者縱向追蹤
政府 — 行政流程、案件審核、法規交叉查詢
法律 — 案例庫、合約模板、爭議點分析
保險 — 理賠紀錄、核保案例、客戶資料
製造業 — 製程參數、量測資料、保養紀錄
但這也帶出一個關鍵限制 — 核心資料絕對不能離開企業內網。後面會接到這個。
四、適應新節奏的兩種具體形態 — 工程師端
從前端的角度看,最直接的轉變不是「我手寫 code 變少」這件事 — 是跟其他角色合作的方式整個變了。
- 跟設計師合作 — 以前對 Figma spec 要排 meeting,現在我寫個 MCP 接 Figma API、agent 自己讀規格。但同一條 MCP 通道進企業之後,就是 indirect prompt injection 的入口(後面破口 1 會講)
- 跟前端同事合作 — 以前 review PR 看的是「同事寫的 code 邏輯」,現在變成「我跟同事都在判斷 agent 寫的東西該不該 merge」。誰的 convention 進 codebase 從 ad-hoc 討論變成 team policy。連帶問題:agent 拿著超出原本職權的 token 在你 codebase 做事 — 後面破口 3(agent 權限蔓延)會講
- 跟後端合作 — 以前 schema 改動要排會,現在 backend 出 OpenAPI / GraphQL,MCP 餵給 AI,前端 types + mock + validation 一次同步。前端不用等後端 done 才能開工。但每多一條 MCP 信任邊界就模糊一次 — 後面破口 4(5.5% MCP server 有 tool poisoning)會講
合作模式被重寫,新責任也跟著冒出來。下面先看單兵層面的轉變。
我這幾年觀察到的規律 — 每次轉變後,工程師責任都會「往上推」一層。但要講清楚一件事:底層能力沒有消失,它只是從「日常每天要管」變成「解難題時要拿出來」。
90s → 2000s:不用每天管 memory 配置,但 debug GC pause、寫 real-time 系統、優化 cache miss 時還是要懂;日常層往上推到 OO 設計、API 邊界、語言層級的抽象
2000s → 2010s:不用每天管 server,但 SRE incident、分散式 debug、跨 AZ failover 時還是要懂 networking + OS + kernel;日常層往上推到分散式架構、最終一致性、queue topology、cloud security
2010s → 2020s:不用每天寫 boilerplate,但 debug AI agent 行為、優化 token cost、抓 silent failure 時還是要懂底層;日常層往上推到 agent 編排、prompt 設計、AI 安全治理
每一層都是「日常可以放手,難題時要把底層拉出來」。這也是 senior 跟 junior 差距越拉越大的原因 — 不是寫 code 速度,是知道什麼時候要回到底層。
還有另一個我這幾年觀察到的 pattern:每一波技術轉變都讓「分開的職責」被整合成新角色。
2010s 出現了「Data Engineer」— 把 DBA、ETL dev、analytics、cloud platform 整合成一個角色,因為 big data 那波需要這種跨域整合
2010s-2020s 出現了「DevOps / SRE / Platform Engineer」— sysadmin + developer + automation 的整合
2020s 正在出現「AI Engineer / Agent Architect」— ML + software + UX + security + 領域知識的整合
我自己的 blog 從前端內容開始寫資料工程也是因為這個 — AI 這波把資料工程的需求拉到前面,「前端工程師理解 backend + AI + data」變成可行(而且越來越必要)的整合方向。
所以不只是「junior 被吃、senior 往上推」。是「新的整合角色一直冒出來」。工程師在這波要做的不是擔心被取代,是判斷自己要往哪個整合方向走。
從我前端的具體日常感受到的轉變:
以前我 debug DOM API 跨瀏覽器差異,現在我 debug Cursor 寫出來的 code、驗證它有沒有理解需求 — debug 的技能本身變了:要會抓 hallucinate 的 API、要看出哪段是模型「自信但錯」的 code、要分辨 generated state logic 的 off-by-one
以前我跟 designer 對 Figma spec,現在我寫 MCP 接 Figma API 讓 agent 自己讀規格 — design token 變成 codebase 強制執行的契約
以前我 review 同事 PR,現在我 review agent 自動產的 PR、判斷它有沒有引入 side effect — review 的工作量在某些 codebase 反而變多了,因為 agent 生 code 速度比 review 速度快
以前我關心 webpack bundle size,現在我關心 LLM token usage、prompt cache hit rate、agent context window 滿了沒
以前我擔心 XSS / CSRF,現在我擔心 prompt injection、MCP poisoning、agent 權限蔓延、員工把敏感資料貼進公開 LLM
轉變後責任沒變少,是換了地方。在多數情況,責任的「重量」反而往上加 — 因為你現在要對「agent 做出來的東西」負責,這個 surface area 比手寫 code 大很多。
junior 工程師寫 CRUD 的工作會被吃掉。senior 工程師判斷「這個 agent 該不該被授權、這個 prompt 會不會被注入、這個 MCP 該不該信任」的工作會變多。
歷史上每次都是這個 pattern。我目前沒有理由相信這次會不一樣。
真正被淘汰的,不是某一層被抽象掉的工程師 — 是不願意跟著抽象層上移的人。同樣一個 rhythm,已經出現過四次了。
五、轉變後的新責任 — AI 攻防不對稱
轉變後的新責任之一,是工程師要開始管 AI 安全。這不是「資安部門的事」 — 因為 AI 攻防的非對稱性高到你不能把它丟給單一部門。AI 同時是雪球的引擎,也是洩漏的管道。
AI 兩邊都加速 — 但加速幅度差很多。
攻方加速(指數):
Google DeepMind Big Sleep(2025) — 用 Gemini 框架在無人引導下發現 SQLite 真實 0day(CVE-2025-6965)。首次 AI agent 自動發現生產級軟體 0day。意義不在這一個 CVE,而是「漏洞發掘」這件事的單位成本從幾天的 senior researcher 時間變成 GPU 小時數
Darktrace 2024 — AI-generated phishing 一年內成長 135%。LLM 把客製化魚叉信從「需要 social engineer 寫一週」變成「批次生成」
HYAS BlackMamba — runtime 使用 LLM 動態生成 keylogger variant,繞過 signature-based AV。靠 signature 偵測這套 logic 已經失效
Microsoft Digital Defense Report 2024 — APT41、Forest Blizzard 等威脅行為者已將 LLM 整合進偵察、文案生成、漏洞分析流程
守方加速(線性):
Tines / Torq agentic SOC — L1 alert triage 縮短 60-80%、MTTR 改善 40-50%。但這是現有流程的加速,不是新能力
GitHub Copilot Autofix — 90% 偵測漏洞可自動提案、merge rate 60%+。但 Autofix 只能修「已被掃描到」的,新攻擊面不在範圍
IBM Cost of Data Breach 2024 — 廣泛採用 AI security 的組織每起 breach 節省 $2.22M。省的是事後 incident 成本,不是事前防護成本
粗估的 ROI 對比:
維度 | 攻擊者 ROI 增幅 | 防守者 ROI 增幅 |
|---|---|---|
偵察 / 情報蒐集 | 10-50x | 2-3x |
漏洞發掘 | 5-20x | 2-4x |
社交工程 / Phishing | 10-100x | 1-2x |
攻擊鏈執行 | 5-10x | 2-3x |
整體成本變化 | 下降 80-95% | 下降 30-50% |
攻擊者改善幅度 ≈ 2x 於防守者。
再疊加一個現實:防守要覆蓋全部攻擊面才算成功,攻擊只要找到一個破口。AI 讓「找一個破口」的單位成本暴跌,但「全面覆蓋」的工作量沒有等比下降。
而前面講的雪球效應 — 資料是燃料 — 同時也意味著「資料外漏的單位成本」也在下降。AI 是讓雪球滾起來的引擎,也是洩漏的管道。
Samsung 2023 年是這個轉變的具體例子:當年公司內接連發生 3 起員工把原始碼直接貼進 ChatGPT 的事,之後,全公司禁用所有公開 generative AI 工具並開發內部替代品。任何擁有具排他性資料的組織,遲早會走到同一個十字路口。
我目前的判斷是:傳統「買更多防禦工具」的採購 logic 該被推翻了。新邏輯是「壓縮攻擊面」 — 把 N 條獨立攻擊路徑收斂成 1 個治理點。
六、轉變後要 handle 的六個破口
資料敏感行業(金融、醫療、政府、法律、保險、製造業)對 agentic 攻擊特別誘人,原因有三:
資料價值極高(客戶資料、診療紀錄、財務資料、合約、製程參數、未發表規格)
外部文件流量大(indirect prompt injection 攻擊面天然龐大)
系統整合複雜度高,核心系統 / ERP / CRM / 業務系統互聯 → 橫向移動指數放大
這不是「死亡威脅」清單 — 是轉變後的新工程責任清單。六個破口:
破口 1:Agent 被 prompt injection(供應商文件 / PDF / 第三方 MCP)
採購單、合作夥伴文件、客戶 NDA、合約附件都可能是 indirect prompt injection 的載體。Microsoft Copilot 和 Salesforce Einstein(ForcedLeak CVE 9.4)都中過。新責任:任何進 agent context 的文件都當不可信使用者輸入處理,跟你對待表單 input 的態度一樣。
破口 2:員工把敏感資料貼進外部 LLM
Samsung 2023 案例 — 3 起原始碼外洩之後全公司禁用公開 LLM。Cyberhaven 2024 數據:11% 員工至少貼過敏感資料進公開 LLM。在金融、醫療、法律行業,這同時是合規違規。新責任:內部 LLM gateway 至少要跟公開的一樣好用,不然政策預設失敗 — 員工會用最方便的工具。
破口 3:Agentic 系統權限蔓延
CSA 2026:53% 組織 agent 超出預期權限。事件率高 4.5x。原因是 agent 設計時 default 給「夠用就好」的權限,但 agent 行為會 drift、會被 prompt 改變執行路徑。新責任:capability scoping 變成 agent 設計第一等公民,不是後處理。
破口 4:第三方 MCP 信任邊界模糊
Emergent Mind 2025:5.5% MCP server 有 tool poisoning。Salesforce ForcedLeak CVE 9.4 就是這類。MCP 是新供應鏈,跟 npm dependency 一樣有 typosquatting / malicious update / silent backdoor 風險。新責任:MCP supply-chain review,跟 npm dependency review 同等姿態,可能要更嚴。
破口 5:Shadow AI / 未授權 AI 工具
IBM 2024:Shadow AI breach 多花 $670K。如果不知道團隊在用什麼,就治理不了。新責任:先做 visibility 再做 policy — 不是寫一份禁用清單,是先抓出每個員工已經在用的工具。
破口 6:Agent 跨系統橫向移動(NHI 身份爆炸)
Rubrik 2026:非人類身份對人類身份 45:1,DevOps 144:1。單一 agent credential 洩漏 = 多系統同時失守。長 lived agent token 就是新的「公開 repo 裡的 AWS root key」。新責任:short-lived credential + per-call scoping,不再用永久 token 給 agent。
單獨防每一條:5+ 個獨立工具、5+ 個獨立 audit log、5+ 個獨立採購流程。實務上沒人做得到。
這不是預算問題,是架構問題 — 六個破口在本質上互為 side channel,獨立工具無法察覺跨入口的攻擊鏈。今天 prompt injection 進 agent(破口 1) → agent 拿 over-scope 的 token(破口 3) → 橫向 hop 進別系統(破口 6) → 把資料 egress 出去(破口 2 變形)—— 整條鏈每一節都跨 entry,每節單獨看都不像 incident,但連起來就是 breach。
七、架構解 — 單一抽象層
這正是工程師會做的事。歷史上前端把混亂 DOM 操作收斂成 component framework,把 callback hell 收斂成 async/await,把跨瀏覽器差異收斂成 babel/postcss。每一次都是「用一層 abstraction 把混亂收斂掉」。
這一波 AI 也一樣:所有 AI / agent / MCP / LLM 流量收斂為單一 abstraction layer。
這個 layer 必須同時做到:
對外不開 HTTP port — 消滅遠端注入路徑(對應破口 1、5)
Multi-backend 統一介面 — 換 model 不換程式碼(保留未來彈性、降低供應商鎖定風險)
Identity & capability broker — short-lived credential、capability scoping(對應破口 3、6)
Egress allowlist + 集中 audit log — 異常 destination 即時偵測(對應破口 2、4、5)
on-prem / VPC deployable — 資料完全在企業邊界內(對應整個雪球效應 thesis)
市場上目前沒有單一產品同時做到這五件事。各家方案的缺口在不同地方:
Cloudflare AI Gateway — 好用,但是 SaaS。資料敏感行業放不進去
LiteLLM — 純 routing,沒有 identity broker、沒有 capability scoping
各家 vendor enterprise tier(OpenAI Enterprise / Anthropic Enterprise / Microsoft Copilot Enterprise)— 解了部分問題,但綁定單一 vendor,違反 multi-backend 原則
DLP + SIEM 堆疊 — reactive、事後偵測,無法阻擋 prompt injection 進 agent 之前的攻擊
DIY 自建 — 需要 AI 安全 + 分散式系統 + identity 三類專家,labor market 上找這種人才難度極高
這就是為什麼開始出現這類 abstraction layer 產品的原因 — 不是另一個 AI 工具,是把 N 個 AI 工具的對外攻擊面收斂為 1 個治理點。歷史上前端做了 component framework,這次企業做 AI abstraction layer。同一個 pattern。
結語:歷史節奏,再一次
「寫程式沒成本」是假議題。我做前端,看過 jQuery → Backbone → Angular → React → Vue → Svelte → Astro,每一波都被說「你過時了」。每一次都是轉變,不是取代。
這一波 AI 一樣。成本沒消失,只是換成算力、token、架構判斷、資安治理。junior 任務被吃掉,senior judgement 往上推。歷史節奏,再一次。
公司端的適應是滾雪球 — 用具排他性的內部資料做新差異化。工程師端的適應是責任往上推 — 從寫 code 推到 review agent、編排 prompt、管 AI 安全治理。兩端中間連起來的,是一個架構問題:讓 AI 進企業,但資料還在企業裡。
單一抽象層、no-HTTP-port、identity broker、集中 audit — 這四個原則是我目前看到最有效的組合。OpenAB 就是把這四個原則具體落地的開源 abstraction layer 之一。
對你的公司,這可能是 12 個月後仍在賽場上的差別。對工程師個人,這只是又一次「往上推」的機會。
想看完整的威脅模型表(六破口 × mitigation pattern × abstraction layer 角色)、2x2 matrix 評估工具、或預約你公司的 AI gateway 架構評估 — 如果你在資料敏感行業(金融、醫療、政府、法律、保險、製造業):
→ wchung.tw/blog/openab-series 看完整 OpenAB 系列六篇深度文章
資料來源
市場數據
Jasper AI 估值與裁員(TechCrunch / The Information,2022–2024)
Chegg 股價單日下跌(多家財經媒體,2023-05)
GPT Store 第三方 GPT 活躍度(OpenAI 平台數據與第三方追蹤,2024)
資安研究
Darktrace, Half-Year Threat Report 2024(AI-generated phishing 成長 135% YoY)
IBM, Cost of a Data Breach Report 2024(AI security 採用平均省下 $2.22M;Shadow AI 額外 $670K)
Cloud Security Alliance (CSA), State of Agentic AI 2026(53% agent 權限蔓延)
Cyberhaven, 2024 Workforce AI Usage Report(11% 員工貼敏感資料)
Rubrik, 2026 Identity Threat Report(NHI:human 45:1 整體 / 144:1 DevOps)
Emergent Mind, MCP Tool Poisoning Survey 2025(5.5% MCP server tool poisoning)
具體事件 / CVE
Google DeepMind Big Sleep(Gemini-based framework),CVE-2025-6965(SQLite,2025)— 首例 AI agent 自動發現生產級軟體 0day
Microsoft Digital Defense Report 2024(APT41、Forest Blizzard 整合 LLM 進偵察)
Salesforce Einstein "ForcedLeak"(CVSS 9.4)
Microsoft 365 Copilot "EchoLeak",CVE-2025-32711(2025)
HYAS Labs, BlackMamba LLM-based malware demonstration
Samsung 員工貼原始碼進 ChatGPT 事件,2023(多家韓國 / 國際媒體)
說明:以上為文中數據引用基礎;具體報告連結可自行搜尋來源名稱與年份。
