2025/6/26～7/25  精選DevOps與開發新聞

七月熱門的開發圈新聞雖然是Google與OpenAI搶奪併購Windsurf的大戰，但還是有不少開發工具和DevOps需要知道的新聞，尤其AI開發工具開始出現新的安全風險，值得留意。Martin Fowler最近發表了他對於LLM如何衝擊軟體開發的觀察，他的提醒，值得大家思考，軟體開發將跨入一個不確定性抽象層的發展階段。 

#軟體開發架構 #LLM
Martin Fowler：LLM讓軟體開發邁向不確定性抽象層

發表過多本知名軟體架構書籍的軟體架構大師Martin Fowler，最近發表了他對於LLM如何衝擊軟體開發的觀察，非常值得IT人員參考。這篇文章名為「LLM帶來新的抽象層本質」。就像當年高階程式語言帶來了新的抽象層，他認為，LLM同樣也帶來了新的抽象層，只是這個新的抽象層次，將邁向了不確定性的方向發展。無法像過去，一隻程式執行100次都會是完全一模一樣的錯誤，現在無法確定，一次提示儲存到Git後，每次是否能得到相同的行為。他提醒，當我們開始運用LLM來輔助開發時，必須找出方法來和這樣的不確定性共存，這將是巨大也是令人興奮的改變。「不確定性帶來的變化，將是軟體專業史上從未出現過的影響。」

下圖為他引用同事Birgitta Böckeler繪製的軟體抽象層次示意圖。

#AI輔助開發 #Line經驗
Line母公司LYC展示自用GenAI開發助手，程式碼建議正確率高達96%

Line母公司LYC在年度科技大會中，展示了用自家程式碼訓練模型，打造出來的GenAI開發助手Ark Developer，可以支援程式碼建議，技術文件生成，自動化測試和QA輔助，及程式碼審查。預計6、7月正式啟用，估計今年可以幫IT部門提高15%生產力。初期試用結果，程式碼助手可以處理30%的開發工單，回答正確率達到96%，可以分擔不少開發工作。在技術文件生成上，寫1隻API文件和審查時間可以減少62.5%。AI自動化測試的成效更好，可以支援約3成測試範圍，縮短95%測試時間。一天可以處理3千個程式碼檢查請求，提供5千次程式碼審查意見。LYC積極運用AI來提升各領域的生產力，不只軟體開發，自家服務已經導入了44個生成式AI應用，目前也有35個改善營運效率的AI專案。像是他們也導入了一款RAG工具Seek AI，作為內部知識管理工具，可以回答應運相關問題和整理營運資訊。

#AI開發工具 #併購Windsurf #Wave11新版
不到2天，Devin談定併購Windsurf，買下取得250人團隊、數十萬用戶和8千萬美元年營收

「聊聊？」Windsurf 新任執行長Jeff Wang收到知名AI開發助手Devin的開發公司 Cognition創辦人一封簡單的來信，不到2天，就談妥自家公司與250名員工的併購案。Cognition也在隔周周一宣布已和Windsurf簽下收購協議，買下了一度因OpenAI收購傳言而聲名大噪的AI新創公司Windsurf。Jeff Wang指出，Devin和Windsurf的組合可以建立一個端到端的AI平臺。

Cognition這項收購包含Windsurf的智財、產品、商標、品牌和業務及所有員工。Cognition將取得包含Windsurf年度經常性收入（Annual Recurring Revenue，ARR）8200萬美元，企業端ARR季增2倍，Windsurf每日經常用戶數數十萬，包含350多家企業客戶。

Cognition執行長Scott Wu表示，現有Windsurf團隊將照常運作，包含同名產品Windsurf在內所有開發工作，而Cognition也會持續著重開發Devin。未來幾個月，Cognition將著手整合Windsurf功能、IP到Cognition產品中。Cognition也保證Windsurf員工的股票權益。

Windsurf也在七月中推出併購後的新版本Wave 11，開發代理Cascade開始支援語音指令，也強化瀏覽器的整合等。

#AI開發 #搶人大戰
Google攔截搶人，挖走Windsurf創辦人和主要開發成員

原本在5月時，彭博報導OpenAI同意以30億美元收購Windsurf強化自家AI輔助編碼工具的實力，甚至都簽訂了意向書，但當時，兩家公司未證實，直到7月，另一家媒體揭露，WindSurf執行長Varun Mohan及共同創辦人Douglas Chen雙雙加入Google DeepMind，另外還有多位核心開發成員。OpenAI也宣布收購WindSurf談判排他期已終止，這家新創公司得以開放其他公司的收購邀約。媒體報導OpenAI併購破局的關鍵是，Windsurf股東不希望其技術被微軟存取。但依據OpenAI和微軟的投資合約，微軟可存取OpenAI的技術。彭博估計，Google挖了兩名高層及一小組團隊，加上技術授權的總代價是24億美元。

#IDE開發環境 #Kiro
AI整合開發環境出現新的指標工具，Amazon發布Kiro預覽版

不同於用「對話形式」操作的Amazon Q Developer，Kiro是類似傳統IDE開發環境的AI開發工具，涵蓋了從需求、設計到測試的全流程支援。Kiro可協助開發人員將想法轉化為詳細規格，進而產生可用的程式碼、文件與測試，以建構完全符合需求的內容，並可隨時與團隊分享。
Kiro的兩大核心功能即為規格（Specs）與鉤子（Hooks），前者即是生成需求、設計與任務規格，後者指的是事件驅動的自動化功能，例如在儲存React元件時，可自動更新測試檔案，或是在提交時，可自動執行安全性檢查以掃描洩露的憑證。
Kiro支援三大作業系統，macOS、Linux與Windows，也支援多款主流開發語言，如Python、Java、JavaScript、TypeScript、C#、Go、Rust、PHP、Ruby、Kotlin、C、C++、shell腳本、SQL、Scala、JSON、YAML和HCL等程式語言，不過，目前只有英文進行最佳化，之後才會支援更多語言。

#軟體供應鏈安全 #AI開發
Cursor AI延伸套件遭仿冒，暗藏惡意程式偷走價值50萬美元的加密貨幣

一名白俄羅斯的區塊鏈開發人員，他的加密貨幣資產在今年6月遭竊，損失約50萬美元，找來卡巴斯基分析後，發現這名開發人員下載了仿冒的Cursor AI延伸套件Solidity Language，會暗中植入惡意程式到本地端。這款套件下載次數高達5.4萬次，正版套件也不過才6.1萬次。後來發現，因為仿冒的惡意套件，更新時間是六月但正版卻是5月中，導致在OPen VSX套件庫中的搜尋排名上，仿冒套件高於正版，導致需求開發者不知情而下載了惡意套件。
惡意套件在受害電腦部署後門程式Quasar後，會使用竊資軟體從瀏覽器、收信軟體、加密貨幣錢包收集特定資料，最終洗劫受害者的加密貨幣錢包。

#惡意套件 #IDE
多款IDE延伸套件檢驗機制有瑕疵，惡意套件冒用「已驗證」徽章來欺騙開發人員

一家資安業者OX在今年5月至6月，調查了VSCode、Visual Studio、IntelliJ IDEA、Cursor等IDE工具，對延伸套件的驗證方式有瑕疵，導致攻擊者能讓惡意套件偽裝成已經過驗證的狀態，進而引誘開發人員安裝，而能在開發環境執行任意程式碼。OX向微軟、Cursor、JetBrains通報此事，但三家廠商表示不會進一步處理。微軟解釋，攻擊者無法在市集發布這些有問題的延伸套件檔案，只能經由側載（side-loading）安裝，因此只有中低風險，將不會登記CVE編號。JetBrains同樣因為這種套件並非來自官方市集，使用者必須自行負責。
開發人員最好直接從官方市集安裝延伸套件，避免以套件是否具備通過驗證的徽章，做為主要確認的依據。

#Copilot #MCP #VSCode
GitHub Copilot Chat擴充功能終於開源了，VS Code也正式支援MCP

微軟釋出VS Code 1.102，最受矚目的是將GitHub Copilot Chat擴充功能開源了、也正式支援MCP，另有多項與終端機、聊天介面、自訂指令相關的功能改善。Copilot Chat擴充功能正式以MIT授權釋出。開發者可深入研究聊天代理、自訂指令與模式的實作，並據此修改、擴充或提出回饋，降低企業整合成本，進一步擴展人工智慧在本地開發環境的應用可能性。

另外，MCP伺服器現已成為VS Code中的一級資源，不再依附全域設定檔，這代表使用者能針對不同工作情境設定專屬的人工智慧協作環境。VS Code 1.102提供了專屬的圖形介面管理工具，方便開發者檢視、安裝並管理MCP伺服器，同時整合Profiles、Settings Sync。 

#AI代理開發 #AWS #Bedrock
AWS旗下Bedrock AI代理人平臺AgentCore開放預覽，免費試用到9月

AWS七月中宣布預覽AI代理人平臺Amazon Bedrock AgentCore，包含7大服務模組，分別是提供會話隔離的低延遲無伺服器環境AgentCore Runtime，用來管理短期與長期記憶的AgentCore Memory，實現企業級身分管理以存取各種第三方工具的AgentCore Identity，與提供統一存取介面的AgentCore Gateway。另外還有提供代理執行視覺化監控的AgentCore Observability，支援網頁自動化工作流程的AgentCore Browser，以及於隔離環境中執行代理生成程式碼的AgentCore Code Interpreter等。開放免費試用到9月，

#AI開發代理 #GitLab
GitLab開放公測AI代理協作開發平臺Duo，從需求規劃、開發測試到部署都有專門AI代理支援

GitLab公開測試人工智慧協作平臺Duo代理平臺，這項新服務主打以人工智慧代理協助軟體開發流程。Duo將熟悉的軟體開發團隊角色轉化為可由人工智慧擔任的虛擬成員。目前已有軟體開發、程式碼審查、安全分析、產品規畫、測試工程和平臺維運等多種專業代理，每一種代理可依其能力協助用戶完成指定任務。這些代理能夠讀取、搜尋、建立或修改GitLab平臺上的各類開發資料，並依開發團隊的標準，自動化執行各項流程。VS Code、JetBrains系列IDE或GitLab介面都能直接與AI代理互動。

另一項特色是Flows設計，能將多個人工智慧代理組成一連串自動化工作流程，由系統根據預設步驟協調各代理完成複雜任務。例如開發者僅需描述需求，平臺即可由代理分工負責需求分析、程式設計、測試驗證等階段，甚至可自動化CI/CD組態轉換、事件通報與根本原因分析等高複雜度流程。

#深度研究 #Azure
微軟要讓AI代理更容易整合深度研究，雲端AI開發平臺AI Foundry新增Deep Research工具包

微軟雲端AI開發平臺Azure AI Foundry推出Deep Research SDK工具包，可以將Azure的深度研究功能，快速整合到各種AI代理中。這個深度研究功能，以Open AI的o3-deep-research模型為核心，由此模型調度不同模型和應用程式，來自動化完成多階段研究流程。透過這個SDK，開發者更容易用API串接Azure Deep Research到自建商業應用、內部入口網站、RPA工具，或其他AI代理中。目前是公開預覽階段，開發者需申請才能試用。

#Qwen #Gemini CLI
仿效Gemini CLI，阿里巴巴Qwen也推命令列GenAI開發工具加入戰局

在Gemini CLI命令列GenAI代理工具爆紅之後，阿里巴巴也加入戰局，旗下AI團隊Qwen在七月底釋出新版開源模型Qwen3-Coder，主打程式撰寫與多步驟代理任務能力，同步推出命令列AI代理工具Qwen Code。
Qwen同時開源名為Qwen Code的命令列AI代理工具，這是基於Google Gemini CLI開發的改良版本，能夠整合自定提示詞設計與函式呼叫格式，支援多輪互動、函式封裝與開發者自訂任務流程。使用者僅需安裝Node.js並輸入API金鑰，即可於終端機環境中調用Qwen3-Coder進行即時程式對話、工具操作，以及複雜的任務推論。

#IaaS #AI代理開發
Docker Compose正式支援AI代理開發，可用YAML檔定義主流AI代理框架和模型配置

Docker旗下容器管理工具Docker Compose新增了人工智慧代理開發支援，開發者現在僅需透過compose.yaml檔案，即可完成人工智慧代理、模型及相關工具的定義與調度，系統會自動建立與啟動所需的代理式應用環境，而且在本機、CI流程或雲端生產環境都能維持相同架構，簡化人工智慧代理開發與部署的技術門檻。開發者可在compose.yaml中直接描述LangGraph、Vercel AI SDK、Spring AI、Google ADK等人工智慧代理框架，透過Compose組合不同運算元件，建立能夠整合多個大型語言模型，並橫跨各種工具與服務的人工智慧代理應用。
Compose也支援至Google Cloud Run與微軟Azure Container Apps的部署，Compose檔案經開發、測試階段，可在雲端環境繼續使用，不用重寫或轉換。

#AI瀏覽器 #Perplexity
Perplexity釋出AI瀏覽器Comet，主打提供搜尋答案還可用自然語言逛網站

AI搜尋業者Perplexity在7月中正式釋出AI瀏覽器Comet來挑戰Google的Chrome，內建Perplexity搜尋引擎，強調速度快且提供答案。另一特色是加入Comet助理，允許用戶以自然語言互動作為上網的主要介面，省去用戶在不同分頁或多個應用程式來回切換的麻煩。從搜尋、購物比價、或對正在讀取的網頁有問題，都可以透過和Comet互動來完成。目前支援Mac及Windows，現階段提供給Perplexity Max方案付費用戶及邀請已加入等候清單的用戶使用。但該公司計畫會提供一款內含Comet的免費版Perplexity給所有用戶，未來幾個月也會再推出支援其他平臺的Comet版本。

#專門開發領域AI助手 #程式碼KM
程式碼研究代理人Asimov現身，能索引完整程式碼和內部討論區來建立團隊KM

除了通用的開發助手，現在也開始出現「特定用途」的開發助手，一家新創Reflection AI推出了程式碼研究代理人Asimov，能夠索引整個程式碼庫、技術文件及Slack/GitHub討論區，以協助建構團隊的知識大腦。Asimov具備3個關鍵元件，一是藉由存取程式碼庫、架構文件、GitHub線程、聊天紀錄與其它來源，以替工程知識建置單一事實來源；相較於採用規則或README來指示代理人，Asimov則是藉由Memories功能來共同記錄與傳承團隊的知識，可以記住某個功能的運作方式；此外也採用多代理人架構來理解大量資訊，它有許多小型的長脈絡代理人，以用來擷取與提問有關的資訊，也有一個大型的短推理代理人，以整合由前者所蒐集的資訊，並生成一個具邏輯且有脈絡的答案。盲測情況下，Asimov打敗Cursor Ask及Claude Code（Sonnet 4.0）等。

#雲端開發環境 #Azure
2500萬人用的雲端開發平臺Replit宣布與微軟合作，將整合多項Azure工具

知名線上整合開發平臺Replit將整合微軟多項雲端工具，並在微軟雲端App市集上架。Replit是支援超過50種程式語言並提供範本，包括常見的Python、Java、C++等等，並允許多人即時協作開發專案。用戶估計高達2500萬人和50萬家企業。Replit將會整合微軟基礎架構服務如Azure容器應用、Azure VM及微軟版Postgres資料庫，方便開發人員在Azure開發並部署應用程式。

#後量子加密 #.NET
.NET 10發布第六預覽版，新增了後量子加密API，未來再完善抵抗攻擊的演算法

微軟發布了.NET 10第六預覽版，主要有三項更新，包括即時編譯器（JIT）最佳化、一次性執行模式的CLI工具，以及新增後量子加密API。其中，後量子加密（PQC）API，只是先先公開了抽象介面，微軟預告未來逐漸完備抵禦量子運算攻擊的演算法支援。這項API目前已整合進核心函式庫，開發者可逐步評估並於未來專案測試應用。.NET 10預計於今年11月正式發表，屆時將成為LTS長期支援版本，支援期預計三年。

#JavaScript #Nuxt
熱門全端框架Nuxt正式發佈4.0，專案目錄結構大調整來提高檔案監控效能

全端JavaScript開發框架4.0最明顯的改變是，專案目錄結構的大調整。新版預設，應用程式的主要程式碼統一集中於app/目錄，將assets、components、composables與layouts等子目錄有系統地組織於同一層級。這樣的設計一方面有助於分離程式碼與node_modules、.git等工具目錄，使檔案監控效能顯著提升，特別是在Windows與Linux環境下表現尤為明顯。也可以讓現代IDE能更準確區分前端與伺服端程式碼，強化型別推斷與自動完成。不過對於尚未採用新結構的專案，Nuxt 4仍然保留向下相容性。  
型別安全也是Nuxt 4主打重點，在新架構下，專案僅需在根目錄保留一份tsconfig.json，但框架會自動建立多個獨立TypeScript專案，分別對應app、server、shared和建置程式碼。

#AI資料授權 #創用CC新計劃
創用CC組織啟動CC Signals新計畫，打造AI模型可用的資料授權規範

雖然這項計劃與開發者沒有直接相關，但卻是打造AI應用時，需要留意的發展。  
非營利組織創用CC（Creative Commons）宣布啟動全新CC Signals計畫，目的是要在人工智慧時代建立一套兼具法律與技術基礎的資料共享標準。

CC Signals是一套偏好訊號框架，讓資料擁有者能以結構化、機器可讀的方式，標示其內容如何可被人工智慧系統使用。與傳統CC授權不同，CC Signals針對人工智慧資料再利用設定一組有限且有意義的選項，反映公眾利益。這套機制結合技術與法律工具，同時也是一項社會倡議，建立資料分享者與使用者之間的新協議，並在不同法律、技術與規範情境下保持彈性。

更多新聞

獨立研究機構METR最新研究報告顯示，資深開發者用AI來協助解決任務，所花時間反而多了19%年中剛推出AI快速架站工具的設計軟體商Figma申請IPO，要籌備資金來擴大規模原生向量資料儲存服務AWS S3 Vectors預覽版上線，瞄準AI應用儲存成本和效能需求

責任編輯：王宏仁