今天 3Q 客戶最值得關注的三件事:AI 助手首度成為供應鏈攻擊的入口,惡意 CLAUDE.md 可讓 Claude Code 在不知情下執行惡意指令;DeepSeek 旗艦模型永久降價 75%,企業 AI 部署成本即將大幅壓低;Claude Code 自動模式讓多工並行成為日常,開發效率門檻進一步降低。資安意識與工具效率這兩件事,今天都要同時抓。
產業動態
TrapDoor 供應鏈攻擊首度以 AI 助手為入口,Claude Code 開發者需即刻警覺
一場名為「TrapDoor」的協調式供應鏈攻擊同時鎖定 npm、PyPI 與 Crates.io,共涉及 34 個惡意套件,目標是竊取開發者的 SSH 金鑰、雲端憑證與加密貨幣錢包。攻擊者的新手法是向熱門開源專案提交 Pull Request,在 CLAUDE.md 與 .cursorrules 設定檔中植入惡意指令。開發者 clone 倉庫後只要用 Claude Code 或 Cursor 等 AI 助手開啟,代理便會把這些檔案視為可信任指令執行,可能在毫不知情下跑出惡意命令。這是首次記錄到將 AI 助手本身當作攻擊面的供應鏈事件。
對 3Q 客戶意義:3Q 技術團隊及客戶若使用 Claude Code 開發,clone 外部 repo 前務必人工審查 CLAUDE.md 內容,嚴禁直接信任陌生倉庫的 AI 指令設定檔。
DeepSeek 旗艦 AI 模型永久降價 75%,企業導入成本大幅壓低
DeepSeek 宣布對其旗艦 AI 模型實施永久性 75% 折扣,企業透過 API 呼叫的成本將直接縮減四分之三。此舉延續近兩年 AI 模型價格戰趨勢,但「永久」定價代表企業可以此為基準做長期規劃,不再需要擔心試用期結束後帳單暴衝。對正在評估或已局部部署 AI 整合的中小企業而言,ROI 計算將更為有利。
對 3Q 客戶意義:客戶若在評估將 AI 接入 ERP 查詢、工單分類或客服流程,現在是重新試算 API 成本的好時機,DeepSeek 可作為 OpenAI/Anthropic 的低成本替代方案納入比較。
工具開源
OpenClaw v2026.5.22 發布:AI Gateway 啟動加速、Windows 安全強化
OpenClaw 發布 2026.5.22 版本,主要改動包括:Gateway 與模型啟動路徑精簡化、/models 端點響應時間降至約 5 毫秒、npm 套件改為鎖定依賴版本以提升部署穩定性,以及 Windows 安裝與更新路徑的安全強化。此工具定位為輕量 AI Gateway,可作為本地或私有雲的多模型 API 代理層,適合不想直接暴露 LLM 端點給內部系統的場景。
對 3Q 客戶意義:需要在內網部署 AI API 代理、統一管理多模型存取權限的 3Q 維運環境,OpenClaw 可作為自建 proxy 的輕量替代方案評估。
技巧與觀點
Greg Brockman 分享:讓 Codex 自動辨識並固化重複工作流的提示詞框架
OpenAI 聯合創辦人 Greg Brockman 公開一套結構化提示詞,指導 Codex 回顧歷史對話與記憶,自動找出「至少重複兩次、輸入穩定、有明確複用價值」的任務,並以「技能」、子代理或自動化工具的最小形式將其固化。這是一種讓 AI 助手持續自我優化的方法論,目標是把重複勞動逐步轉為可複用的自動化資產,避免每次都重新描述相同流程。
對 3Q 客戶意義:3Q 在為客戶規劃 AI 工作流導入時,可採用此框架思路,讓 AI 助手主動識別可標準化的業務流程(如報工、對帳、進貨確認),加速從「試用」到「落地」的轉換。
Claude Code 自動模式實戰:多工並行才是正確打開方式
Claude Code 核心開發者分享目前最有效的使用技巧:啟用自動模式(關閉權限提示、讓代理自主執行),這是實現多個 Claude 工作階段並行的關鍵前提。具體做法是啟動一個 session 讓它自主跑,同時再開另一個 session 處理不同任務,兩條線並進。這種做法能在不增加等待時間的情況下大幅提升整體開發吞吐量。
對 3Q 客戶意義:3Q 開發團隊若同時維護多個客戶專案,善用 Claude Code 自動模式搭配多 session 並行,可在不增加人力的情況下顯著提升每日產出。
3Q 編輯部觀點
今天有一條新聞必須認真對待:TrapDoor 把 AI 助手本身變成了攻擊入口。過去我們擔心的是「AI 被用來寫惡意程式」,這次更直接——攻擊者直接污染 CLAUDE.md 設定檔,讓 Claude Code 在開發者毫不知情下替攻擊者執行指令。只要你 clone 了被污染的 repo 再開 AI 助手,代理就可能照單全收。這個攻擊面的出現,代表「信任設定檔」這件事從此需要重新評估。
對 3Q 這樣的 IT 顧問公司,衝擊是雙層的。一是自家開發流程要加審查節點,不要盲目 clone 外部 repo 後立刻開 Claude Code;二是在協助客戶推動 AI 導入時,必須把「AI 代理的信任邊界」說清楚,讓客戶理解 AI 不是只看程式碼,設定檔本身也是可被操控的攻擊面。這個話題短期內會在客戶會議上被問到,先準備好答案。
DeepSeek 降價 75% 是另一個值得記下的訊號。AI API 成本的下降速度遠超預期,原本要反覆試算「導入 AI 划不划算」的中小企業,現在算盤會越來越好看。製造業客戶若考慮把生產報工、品質異常記錄或進貨確認接上 AI 自然語言介面,或是讓老 ERP 支援語音查詢,現在重新試算一次 API 成本是有意義的動作。
Claude Code 自動模式的討論也值得一提。小團隊維持高產能的方法不是加班,是把等待時間填滿。多 session 並行搭配自動模式,讓三個人同時推進五個專案變得可行。這不是炫技,是 3Q 維持競爭力的實際工具。
資料素材來源:AIHOT (aihot.virxact.com)。本文由 3Q 編輯部用 Claude 篩選、翻譯為繁體中文、加上對 3Q 客戶意義的觀點。各則新聞著作權屬原始發佈者,請點上方連結看原文。