Anthropic 同日打出兩張牌:Opus 4.7 快速模式研究預覽上線,法律行業 20+ MCP 連接器直接打通 Word 與 Outlook,AI 整合從賣模型轉向嵌入既有軟體。資安面兩則重要警訊值得立刻關注:npm 供應鏈大規模中毒(160+ 套件被植入後門竊取雲端金鑰),加上 Google 確認駭客已用 AI 加速漏洞挖掘——維運多台伺服器的 IT 管理者需要把自動化掃描排進日常流程。
模型發佈
Claude Opus 4.7 快速模式開放研究預覽,API 與 Claude Code 均可試用
Anthropic 宣布 Claude Opus 4.7 快速模式(Fast Mode)已在 API 及 Claude Code 中開放研究預覽。目前細節仍在釋出中,定位是在保留 Opus 推理能力的同時大幅縮短回應延遲,適合需要即時互動的企業應用場景。研究預覽階段歡迎開發者回報效能數據。
對 3Q 客戶意義:對正在評估或已接入 Claude API 的 3Q 客戶,快速模式可讓原本因延遲卡關的場景(即時客服機器人、生產現場輔助查詢)重新列入可行選項。
來源:X:Claude Devs(Anthropic 官方帳號)
產品動態
Claude 攻進法律行業:20+ MCP 連接器直接整合 Word、Outlook 及合約管理系統
Anthropic 針對法律行業發布 20 多個 MCP 連接器及 12 個專用外掛,將 Claude 深度整合進合約管理、文件處理等核心工作流。Claude 現可在 Microsoft Word、Outlook 中協助起草、修訂、條款比對,並自動化處理日常法律事務(如風險條款標記、摘要生成),不需切換到獨立介面。Anthropic 同步宣布與多個司法公益組織合作,擴大法律 AI 服務可及性。
對 3Q 客戶意義:MCP 整合框架快速向垂直行業延伸,3Q 可參考此模式,為有合約審查需求的製造業或政府單位客戶設計類似的「嵌入辦公工具的 AI 助理」,降低導入門檻。
Cursor 新增 Microsoft Teams 整合,微軟產品體系企業可直接使用
AI 程式碼編輯器 Cursor 正式加入 Microsoft Teams 整合,完整連接器清單現為 Slack、Linear 與 Teams 三項。使用微軟 365 產品體系的企業可在 Teams 頻道內直接觸發 Cursor 工作流,安裝入口位於 Cursor Dashboard 的 Integrations 頁面。對習慣微軟生態的台灣中小企業 IT 團隊而言,這是比 Slack 整合更貼近現實的選項。
對 3Q 客戶意義:客戶多數在用 Microsoft 365,這個整合讓 AI 輔助開發工具能融入既有 IT 環境,向有內部開發需求的客戶推薦時多了一個具體切入點。
工具開源
Statewright:用狀態機約束 AI Agent 行為,正確率從 2/10 提升到 10/10,已整合 Claude Code
Statewright 是一個開源框架,透過視覺化狀態機為 AI Agent 定義「規劃 → 實作 → 測試」等工作流階段,並嚴格限制各階段可呼叫的工具,防止 Agent 在不該的時機執行危險操作。在本地模型測試中,套用約束後任務正確率從 2/10 大幅提升至 10/10,一個標準修 bug 工作流可在 46 秒內完成。目前已整合 Claude Code 等主流平台,採商業可用開源授權。
對 3Q 客戶意義:想把 AI Agent 導入 ERP 流程維護或自動化測試的 3Q 客戶,可用 Statewright 作為架構參考,以狀態機約束降低 Agent 誤操作風險,這是向企業主說明「AI 安全可控」的具體示範。
來源:Hacker News / GitHub(statewright/statewright)
產業動態
npm 生態遭大規模供應鏈攻擊:160+ 套件被植入後門,可竊取 AWS、GitHub Token 及 SSH 私鑰
資安機構 Socket 發現大規模 npm 供應鏈攻擊「Mini Shai-Hulud」,攻擊者組合利用 GitHub Actions 三種漏洞繞過雙因素驗證,在 TanStack、Mistral AI、UiPath 等知名專案的套件中植入惡意版本。受感染套件安裝後會自動執行惡意程式碼,竊取 AWS、GCP、Kubernetes、GitHub Token 及 SSH 私鑰等敏感憑證。此波攻擊波及超過 160 個套件名稱、近 373 個惡意版本,目前惡意版本已清除,但供應鏈風險仍持續存在。
對 3Q 客戶意義:有使用 Node.js 或 npm 建置內部工具、前端系統的 3Q 客戶應立即審查 package-lock.json,並考慮導入 Trivy 或 Grype 等軟體組成分析(SCA)工具定期掃描依賴套件。
來源:IT之家(RSS)
Google 威脅分析小組確認:犯罪駭客已用 AI 加速挖掘開源軟體重大漏洞
Google 威脅分析小組(TAG)披露,犯罪駭客已實際借助 AI 工具大幅提升漏洞挖掘效率與精準度,成功在廣泛使用的開源軟體中發現重大漏洞,可能導致大規模資料外洩或系統入侵。漏洞細節目前未公開,相關軟體維護方已發布安全更新。這是官方首次公開確認 AI 被攻擊方武器化已從理論變成現實,標誌著防禦端可用的漏洞修補時間窗正在縮短。
對 3Q 客戶意義:維運多台伺服器與 Docker 服務的 3Q 客戶,靠人工定期查閱 CVE 的做法已追不上攻擊節奏,建議將自動化漏洞掃描排入 CI/CD 或定期排程,縮短從漏洞公開到修補完成的時間差。
來源:Hacker News / The New York Times
技巧觀點
Karpathy 警告:AI 開發費用有 90% 浪費在不必要的 Token 上,提示詞快取與模型路由是關鍵
Andrej Karpathy 指出 AI 程式開發帳單的九成浪費來自上下文管理不當,常見問題包括:過度載入檔案、用高價模型處理簡單任務、Agent 重複發送整個程式庫。他提出具體優化策略:啟用提示詞快取(Prompt Caching)、採用多模型路由(日常任務用 Haiku,關鍵任務用 Opus)、建立 SKILL.md 檔案記錄背景知識避免重複描述,以及先分析工具呼叫模式再調整提示詞。他預測未來開發者月費差距將主要取決於上下文管理能力,而非純技術水準。
對 3Q 客戶意義:3Q 在為客戶建置 AI 輔助系統時,導入提示詞快取與模型路由可大幅壓低 API 成本,讓 ROI 試算更容易說服中小企業主點頭。
Google ADK 實戰:打造可暫停、可恢復、永不丟失上下文的長時 AI Agent
Google Developers Blog 介紹如何用 Agent Development Kit(ADK)將無狀態聊天機器人升級為可管理長達數天工作流的企業級 AI Agent(HR 入職、跨部門審批等場景)。核心架構採用持久化狀態機與持久化 Session 儲存,搭配事件驅動 Webhook,讓 Agent 在等待人工確認時「休眠」,被喚醒後能精確恢復複雜任務,不丟失任何上下文。文中附有完整架構設計與程式碼範例。
對 3Q 客戶意義:對需要將 AI 嵌入多步驟業務流程(採購審核、生產工單流轉、電子發票對帳)的 3Q 客戶,ADK 的持久化狀態機設計是可直接落地的架構參考範本。
來源:Google Developers Blog(RSS)
3Q 編輯部觀點
今天的新聞可以歸納出兩條主線:Anthropic 全速擴版圖,以及資安威脅正式進入 AI 加速時代。
Anthropie 這週同時打出兩張牌,值得仔細看。Opus 4.7 快速模式是技術演進,但法律行業 MCP 整合包才是策略轉向的訊號——Anthropic 不再只賣「強大的模型」,而是要賣「嵌進你原本用的軟體裡的 AI 功能」。20+ MCP 連接器直接打通 Word 和 Outlook,讓 Claude 在使用者根本不需要切換介面的情況下自動起草合約、標記風險條款。這個邏輯對 3Q 而言非常有參考價值:客戶不會因為「AI 很厲害」而買單,但「在原本用的系統裡多了一個能自動處理重複性文件工作的助理」就是說得清楚的價值了。
資安面,今天兩則消息合在一起看特別嚴峻。npm 供應鏈攻擊不是新鮮事,但這次的規模(160+ 套件、373 個惡意版本)和手法(組合式繞過雙因素驗證)代表攻擊門檻持續下降。更值得警惕的是 Google TAG 確認駭客已在用 AI 加速漏洞挖掘,也就是說防禦端每次更新的「安全時間窗」正在縮短。對維運多台 Docker 服務的 IT 管理者而言,靠人工定期查閱 CVE 已追不上節奏——把 Trivy 或 Grype 排進 CI/CD 應該從「有空再說」升級為「本季必做」。
工具面,Statewright 和 ADK 長時 Agent 都指向同一個實務問題:AI Agent 進入正式業務流程後,可靠性比能力更重要。用狀態機限制 Agent 在每個階段能做什麼、用持久化 Session 確保長時工作流不中斷——這兩種設計模式現在都有開源框架可以直接拿來用,無需從零設計。這也是 3Q 在幫客戶導入 AI 時最應該強調的差異:不是「AI 能做什麼」,而是「AI 怎麼做到安全可控又不怕斷線重來」。
資料素材來源:AIHOT (aihot.virxact.com)。本文由 3Q 編輯部用 Claude 篩選、翻譯為繁體中文、加上對 3Q 客戶意義的觀點。各則新聞著作權屬原始發佈者,請點上方連結看原文。