今天最值得 3Q 客戶注意的三件事:一、Anthropic Project Glasswing 用 AI 在全球關鍵基礎設施掃出超過 1 萬個高危漏洞,資安自動化進入實戰階段;二、Google I/O 發布完整 AI 代理開發生態,WebMCP 開放標準讓網頁直接接入代理工具;三、Karpathy 65 行 CLAUDE.md 讓 AI 編程正確率從 65% 跳到 94%——不是學術討論,是今天可以直接套用的生產力做法。
產品動態
Claude Auto 模式開放 Pro 方案,支援 Sonnet 4.6 與 Opus 4.7
Claude 的 Auto(自動)模式現已在 Pro 方案中開放,同時支援 Sonnet 4.6 與 Opus 4.7 兩個新模型。使用者只需按下 Shift+Tab,Claude 便可自主執行任務,無需使用者逐步確認。Auto 模式讓 Claude 能自主完成多步驟工作流程,是代理化自動化的重要里程碑。Sonnet 4.6 為當前 Claude 主力工作模型,Opus 4.7 則針對高複雜度任務。
對 3Q 客戶意義:3Q 使用 Claude Proxy 串接 Anthropic Max plan 的所有內部系統,現在可直接對接 Sonnet 4.6,多步驟自動化工作流(如發票審核、工單處理、資料彙整)的實用性大幅提升。
產業動態
Anthropic Project Glasswing:AI 在全球關鍵基礎設施掃出逾萬個高危漏洞
Anthropic 發布 Project Glasswing 初步成果。透過約 50 家合作夥伴使用 Claude Mythos Preview 模型,已在全球關鍵系統中找出超過 10,000 個高危或嚴重漏洞,多家夥伴的漏洞發現效率提升超過 10 倍。Cloudflare 在關鍵路徑系統發現 2,000 個漏洞;Mozilla 在 Firefox 150 中修復 271 個,遠超前代模型。掃描涵蓋逾千個支撐網際網路的開源專案,獨立驗證正確率達 90.6%。
對 3Q 客戶意義:協助客戶維運 ERP、POS、政府系統的 3Q,現在就該評估將 AI 驅動的自動化資安稽核納入系統交付前的驗收流程——這已不是未來的技術,而是今天可採購的服務能力。
Google I/O 發布完整 AI 代理開發工具鏈,WebMCP 成 Chrome 開放標準
Google 在 I/O 開發者大會系統性推出 AI 代理的開發與部署生態。核心更新包括:桌面應用 Antigravity 2.0 及命令列工具、SDK;Google AI Studio 新增 Kotlin 支援可一鍵發布 Android 應用;Gemini API 推出託管代理服務;WebMCP 作為開放標準在 Chrome 149 上線,允許網頁向代理暴露工具;Chrome DevTools 亦開放給 AI 代理進行自動化除錯。企業客戶可直接串接 Google Cloud 專案。
對 3Q 客戶意義:WebMCP 讓瀏覽器端工具直接接入 AI 代理,3Q 為客戶開發的 Web 系統未來可以低門檻串接 AI 自動化,新專案架構設計時值得提前納入考量。
Cursor 與 GitHub Copilot 同登 Gartner 2026 年企業級 AI 編程代理魔力象限領導者
Gartner 2026 年企業級 AI 編程代理魔力象限報告出爐,Cursor 以願景完整性居領先地位,超過 70% 的財富 500 強企業已在使用;GitHub Copilot 連續第三年入榜領導者;OpenAI Codex 同列。Cursor 未來將聚焦前沿模型升級、自動化程式碼審查與漏洞修復、強化企業管理儀表板。三家同台,代表 AI 輔助開發已是企業級標配而非選配。
對 3Q 客戶意義:3Q 協助製造業或政府客戶建置內部軟體時,導入 Cursor 或 Copilot 可顯著縮短開發週期,Gartner 背書也能降低客戶的採用疑慮,對預算有限但需求複雜的中小企案主尤具說服力。
來源:Cursor Blog
工具開源
Perplexity 開源 Bumblebee:開發機供應鏈安全唯讀掃描工具
Perplexity AI 開源 Bumblebee,支援 macOS 與 Linux 的唯讀掃描器。自動檢查開發者機器上的高風險套件、瀏覽器擴充功能與 AI 工具設定檔,發現供應鏈風險時可觸發深度掃描。設計為唯讀(不修改任何系統),可整合至 CI/CD 流程或本機定期稽核,原始碼已開放於 GitHub。
對 3Q 客戶意義:維護多台開發機或協助客戶做 DevOps 的 3Q 工程師,可直接用 Bumblebee 掃描開發環境的潛在供應鏈風險,零成本且不影響生產環境,適合納入日常維運 SOP。
Kakuna:AI 代理自動將 MVP 原型升級為可維護的正式程式碼
Kakuna 是一款 AI 代理工具,透過內建檢查清單與「計畫—目標」工作流,自動執行程式碼審查、補充測試、重構等維護工作,在不改變功能的前提下將快速原型升級為生產就緒的專案結構。一次約 16 小時的執行可產生數百次提交,子代理可平行處理多個任務以加速效率,核心訴求是「反熵增、反程式碼腐化」。
對 3Q 客戶意義:3Q 替客戶快速交付的 PoC 或 MVP 系統若需正式上線,Kakuna 這類自動補強工具可大幅減少人工重構時數,對人力有限的 IT 顧問團隊是值得追蹤的效率槓桿。
來源:X:swyx
技巧觀點
Karpathy 的 65 行 CLAUDE.md:4 條規則讓 AI 編程正確率從 65% 跳到 94%
Andrej Karpathy 發布的 CLAUDE.md 設定檔在 GitHub 獲超過 22 萬星標並登上趨勢榜首。整個檔案僅有 65 行、4 條核心規則,卻讓 AI 編程正確率從 65% 提升至 94%。核心原則包括:強制 AI 深度思考再動手、追求最簡單解法、精準修改(不過度重構)、以目標驅動而非以步驟驅動。本質是「讓 AI 慢下來、想清楚再做」的方法論落地。
對 3Q 客戶意義:任何使用 Claude Code、Cursor 或 Copilot 輔助開發的 3Q 工程師,今天就可以把這 4 條原則套進專案 CLAUDE.md 設定,幾乎零成本換來更高的 AI 協作品質。
3Q 編輯部觀點
今天的新聞有一條清晰的主線:AI 已從「輔助工具」全面升級為「自主代理」,而這個轉變在企業端正在加速落地,而且比多數人預期的更快。
Project Glasswing 是今天最值得認真看的一則。過去資安稽核靠人工,一個中型系統審查要幾週;現在 Claude 可以短時間內掃出一萬個漏洞,正確率超過九成。對 3Q 而言,這不只是「很酷的技術新聞」,而是一個具體的服務機會:協助客戶把 AI 資安掃描納入系統驗收流程,從 ERP 到 POS 都適用。Cloudflare、Mozilla 已經在用了,台灣的企業客戶還沒有人做——先卡位的顧問公司才有話語權。
Google I/O 的 WebMCP 標準值得工程師放在雷達上。它讓網頁應用可以直接向 AI 代理「暴露工具」,是一個低門檻的架構切入點。3Q 替客戶做的 Web 系統,未來可能不需要大幅改寫,只要符合 WebMCP 規範就能接入代理自動化流程。不是今天就要做,但新專案的架構設計可以考慮進去,省得未來回頭補。
Cursor 和 GitHub Copilot 同時登上 Gartner 領導者象限,代表 AI 輔助開發在大企業已是標配。對 3Q 的中小企業客戶來說,這個訊號的意義是:如果連財富 500 強都在用,「AI 輔助開發是否成熟」這個問題已有答案。中小企業現在導入,反而可以借力成熟工具,不必當白老鼠。
Karpathy 的 CLAUDE.md 則是今天最直接可操作的內容。65 行、4 條規則、免費、今天就能用。3Q 內部工程師如果還沒設定 AI 編程規則,這個週末就可以做,不需要等下一個 sprint。
最後一個觀察:Bumblebee 和 Kakuna 代表一個正在浮現的趨勢——「AI 幫你做無聊但重要的維護工作」已成現實。供應鏈掃描很無聊,程式碼重構很無聊,但不做會出事。這類工具讓小型 IT 團隊也能維持大公司等級的工程紀律——而這正是 3Q 客戶群最缺的那一塊。
資料素材來源:AIHOT (aihot.virxact.com)。本文由 3Q 編輯部用 Claude 篩選、翻譯為繁體中文、加上對 3Q 客戶意義的觀點。各則新聞著作權屬原始發佈者,請點上方連結看原文。