mei/blog
1
0
Fork 0
Code Issues Pull Requests Actions Packages Projects Releases Wiki Activity

sync weekly

Browse Source
This commit is contained in:
mei 2025-02-07 19:54:46 +08:00
parent e53a72f6aa
commit 1405ac9353
29 changed files with 664 additions and 908 deletions
Show Stats Download Patch File Download Diff File Expand all files Collapse all files

5
source/_posts/weekly/2024/2024-1.md
View File

@ -12,16 +12,19 @@ permalink: /weekly/2024-01/index.html
date: 2024-3-24 12:00:00
---
## 正文
### 1 马斯克大模型Grok-1 开源
Grok-1 采用 Apache2.0 宽松协议完全开源可商用Grok-1 的开源模式打破了传统的商业壁垒,让更多人能够参与到 AI 的发展中来。Grok-1 的参数的数量达到了惊人的 3140 亿,它的上下文窗口达到了 8912 个 tokens大约相当于 4000 个汉字,一些技术人员对 314B 参数的 Grok-1 需要的配置表示好奇,根据他们的估算,可能需要一台拥有 628 GB GPU 内存的机器(每个参数 2 字节。这意味着8块 H100每块 80GB的 GPU 就足够了。DeepMind 的研究工程师 Aleksa Gordié 预测Grok-1 的能力应该比 LLaMA-2 要强但目前尚不清楚有多少数据受到了污染。同时Grok-1 和 LLaMA-2 的参数量也不是一个量级。
> 消息来源: 东拼西凑 [搜狐](https://www.sohu.com/a/764930113_639898)[腾讯云开发者社区@Lorin 洛林](https://cloud.tencent.com/developer/article/2397462)
### 2 GPT-5 可能只有几个月的时间了
近日《商业内幕》Business Insider报道指出OpenAI有望于2024年中期发布其下一代主要人工智能模型——GPT-5。一位已经体验过GPT-5演示的CEO表示相较于一年多前发布的GPT-4GPT-5在性能上有显著提升。目前OpenAI仍在对该模型进行训练阶段。在正式公开发布之前GPT-5还将经历严格的安全测试及[红队对抗审查](https://zhuanlan.zhihu.com/p/663337434).
> 消息来源: [The Verge](https://www.theverge.com/2024/3/20/24106580/gpt-5-could-be-just-months-away)
### 3 Redis开源协议变更,微软开源Garnet替代
最近Redis修改了开源协议从BSD变成了 SSPLv1和 RSALv2 的双重许可。现在云服务商已经不能再免费使用redis的源代码了.
而微软基于C#开发了Garnet任何一个redis client都可以连接他甚至代码都不需要做任何改动可以做到无感切换最重要的是它是基于mit开源的.
据测试,Garnet一秒八千万级别的读写是基本没有问题的。而redis每秒的基础读写每秒大约几十万.

46
source/_posts/weekly/2024/2024-10.md
View File

@ -16,34 +16,41 @@ date: 2024-07-05 19:00:00
## 正文
### 1 CentOS Linux 7 生命周期正式结束,将不会获得更新和安全补丁
6月30日消息今天 CentOS Linux 7 生命周期终止 (EOL)使用它的企业或机构必须迁移到新的解决方案才能继续获得更新和安全补丁。CentOS 7 于2014年正式发布最新版本为2020年推出的7.9并于2024年6月30日正式 EOL。此外与 CentOS 7 同源的红帽企业 Linux 7 (RHEL 7) 也于今日进入 EOM 停止维护阶段,企业可通过 ELS 订阅付费获得额外4年的延长支持。
> 消息来源: [IT之家](https://m.ithome.com/html/778650.htm)
### 2 近 20 年来 OpenSSH 的第一个高危 RCE
Qualys 威胁研究部门 TRU 在基于 glibc 的 Linux 系统中的 OpenSSH 服务器 sshd 中发现了一个远程未经身份验证的代码执行 RCE 漏洞。分配给此漏洞的CVE为CVE-2024-6387。
该漏洞是 OpenSSH 服务器 sshd 中的信号处理程序争用条件,允许在基于 glibc 的 Linux 系统上以 root 身份执行未经身份验证的远程代码执行 RCE;这带来了重大的安全风险。此争用条件会影响 sshd 的默认配置。
受影响的版本:
该漏洞是 OpenSSH 服务器 sshd 中的信号处理程序争用条件,允许在基于 glibc 的 Linux 系统上以 root 身份执行未经身份验证的远程代码执行 RCE;这带来了重大的安全风险。此争用条件会影响 sshd 的默认配置。
受影响的版本:
```
version < 4.4p1
8.5p1 <= version < 9.8p1
```
如果 sshd 无法更新或重新编译,请在配置文件中将 LoginGraceTime 设置为 0。这会通过用完所有 MaxStartups 连接将 sshd 暴露在拒绝服务中,但它可以防止远程代码执行风险。
> 消息来源: [Qualys Blog](https://blog.qualys.com/vulnerabilities-threat-research/2024/07/01/regresshion-remote-unauthenticated-code-execution-vulnerability-in-openssh-server)
### 3 知乎故意使用乱码干扰必应/谷歌等爬虫
近期有反馈称使用微软必应搜索和谷歌搜索发现存在不少知乎乱码内容,即搜索结果里知乎内容的标题和正文内容都可能是乱码的,但抓取的正文前面一些段落内容可以正常查看。
这种猜测现在基本已经坐实,因为有网友发现只要用户代理字符串 (UserAgent) 中包含爬虫类关键词例如 spider 和 bot那么知乎就会返回乱码内容如果不包含这些关键词则返回正常内容。
值得注意的是百度搜索的爬虫也就是 Baiduspider 也返回乱码内容.
测试中还有个有趣的情况是 OpenAI 的 GPT 爬虫也就是 GPTBot 有时候不会乱码有时候会乱码,不过大多数情况下也都是乱码的,因为 UA 匹配到了关键词 bot 所以返回乱码内容,这不太可能是知乎也允许 OpenAI 抓取内容。
近期有反馈称使用微软必应搜索和谷歌搜索发现存在不少知乎乱码内容,即搜索结果里知乎内容的标题和正文内容都可能是乱码的,但抓取的正文前面一些段落内容可以正常查看。
这种猜测现在基本已经坐实,因为有网友发现只要用户代理字符串 (UserAgent) 中包含爬虫类关键词例如 spider 和 bot那么知乎就会返回乱码内容如果不包含这些关键词则返回正常内容。
值得注意的是百度搜索的爬虫也就是 Baiduspider 也返回乱码内容.
测试中还有个有趣的情况是 OpenAI 的 GPT 爬虫也就是 GPTBot 有时候不会乱码有时候会乱码,不过大多数情况下也都是乱码的,因为 UA 匹配到了关键词 bot 所以返回乱码内容,这不太可能是知乎也允许 OpenAI 抓取内容。
从最开始知乎屏蔽其他搜索引擎只允许百度和搜狗到必应搜索结果里出现乱码内容以及现在的关键词匹配,这些情况基本说明了知乎确实不希望自己的内容被抓取,对知乎来说现有的内容是个巨大的金矿,如果人工智能公司不花钱来买的话那肯定不能提供这些数据,所以接下来可能某个时候就会传出某某公司与知乎达成协议可以获取内容用于 AI 模型训练。
> 消息来源: [蓝点网](https://www.landiannews.com/archives/104695.html)
### 4 bootcdn,staticfile等资源加速CDN遭投毒
据研究人员称,最近通过多个 CDN即 Polyfill.io、BootCDN、Bootcss 和 Staticfile进行的大规模供应链攻击影响了 100,000 到数千万个网站,这些攻击已被追踪到一个共同的运营商。
研究人员发现了一个公共 GitHub 存储库,据称 Polyfill.io 运营商不小心暴露了他们的 Cloudflare 密钥。
通过使用这些泄露的 API 密钥(这些密钥仍然处于活动状态),研究人员能够确定所有四个域以及更广泛的供应链攻击背后都有一个共同的运营商。
此消息可以与第9期的第11条联系起来看
据研究人员称,最近通过多个 CDN即 Polyfill.io、BootCDN、Bootcss 和 Staticfile进行的大规模供应链攻击影响了 100,000 到数千万个网站,这些攻击已被追踪到一个共同的运营商。
研究人员发现了一个公共 GitHub 存储库,据称 Polyfill.io 运营商不小心暴露了他们的 Cloudflare 密钥。
通过使用这些泄露的 API 密钥(这些密钥仍然处于活动状态),研究人员能够确定所有四个域以及更广泛的供应链攻击背后都有一个共同的运营商。
此消息可以与第9期的第11条联系起来看
目前部分广告拦截插件已将相关域名加入黑名单,涉及的域名包括:
* bootcdn.net
* bootcss.com
* staticfile.net
@ -52,26 +59,27 @@ version < 4.4p1
* xhsbpza.com
* union.macoms.la
* newcropc.com
> 消息来源: [bleepingcomputer](https://www.bleepingcomputer.com/news/security/polyfillio-bootcdn-bootcss-staticfile-attack-traced-to-1-operator/)
### 5 马斯克xAI训练Grok-3大模型用了10万块英伟达H100芯片
马斯克表示,训练人工智能聊天机器人需要数据集,而且从现有数据中清除大型语言模型 (LMM) 的工作量很大。xAI 的 Grok-3 用了10万块英伟达 H100 芯片进行训练,相信它会“非常特别”。
> 消息来源: [马斯克](https://x.com/elonmusk/status/1807643760584708363)
### 6 Cloudflare 推出阻止人工智能机器人的工具
云服务提供商 Cloudflare 推出了一款新的免费工具,以防止机器人抓取其平台上托管的网站数据来训练人工智能模型。要启用,只需导航到 Cloudflare 仪表板的“安全性”>“自动程序”打开“AI 爬虫程序和爬网程序”选项。该公司表示“客户不希望人工智能机器人访问他们的网站尤其是那些不诚实的机器人”为了解决规避检测问题Cloudflare 分析了人工智能机器人和爬虫流量,以微调自动机器人检测模型。除其他因素外,模型还考虑了人工智能机器人是否会通过模仿使用网络浏览器的用户行为来试图逃避检测。
> 消息来源: [TechCrunch](https://techcrunch.com/2024/07/03/cloudflare-launches-a-tool-to-combat-ai-bots/)、[Cloudflare](https://blog.cloudflare.com/declaring-your-aindependence-block-ai-bots-scrapers-and-crawlers-with-a-single-click)
### 7 Cloudflare Workers 反向代理存在封号隐患
近日,有数名 Nodeseek 论坛的网友发帖称自己的 CF 账号被封,引发关注。据了解,这些用户被封多数与使用 Workers 反向代理有关。反代其它网站,尤其是知名网站可能会被认为是仿冒欺诈行为。
部分网友认为封号是 Netcraft 投诉引起的。这是一个网络犯罪打击服务,在 Netcraft 的嗅探器发现“欺诈网站”后会自动向 Cloudflare 投诉举报,进而导致封号。
因为反向代理被 Netcraft 投诉封号的情况一直存在。近期,由于中国大陆陆续关停了 Dockerhub 镜像站点,许多人通过 CF 来反向代理 Dockerhub可能是引发更多误判封号事件的原因之一。OneDrive 和 GitHub 也是最常被反代的服务,同样是封号的重要因素。
近日,有数名 Nodeseek 论坛的网友发帖称自己的 CF 账号被封,引发关注。据了解,这些用户被封多数与使用 Workers 反向代理有关。反代其它网站,尤其是知名网站可能会被认为是仿冒欺诈行为。
部分网友认为封号是 Netcraft 投诉引起的。这是一个网络犯罪打击服务,在 Netcraft 的嗅探器发现“欺诈网站”后会自动向 Cloudflare 投诉举报,进而导致封号。
因为反向代理被 Netcraft 投诉封号的情况一直存在。近期,由于中国大陆陆续关停了 Dockerhub 镜像站点,许多人通过 CF 来反向代理 Dockerhub可能是引发更多误判封号事件的原因之一。OneDrive 和 GitHub 也是最常被反代的服务,同样是封号的重要因素。
7月4日: **Cloudflare 承认误删了部分合法帐户,现已采取恢复和补偿措施**
Cloudflare 通过邮件告知部分受影响的用户,该公司在打击一组滥用账户时“无意中删除了少数合法帐户”,在发现这个错误后已着手恢复这些账号。
根据 NS 论坛中用户的反馈,一部分被误伤者实际已使用原邮箱重新注册了新号,有人在收到邮件后删除了新账号,使旧账号得以恢复,但原有设置不全。
Cloudflare 表示“将向受影响的付费客户提供帐户信用额度”。如果用户发现帐户存在任何问题,可以通过支持门户 (https://dash.cloudflare.com/?to=/:account/support)提交工单。
Cloudflare 通过邮件告知部分受影响的用户,该公司在打击一组滥用账户时“无意中删除了少数合法帐户”,在发现这个错误后已着手恢复这些账号。
根据 NS 论坛中用户的反馈,一部分被误伤者实际已使用原邮箱重新注册了新号,有人在收到邮件后删除了新账号,使旧账号得以恢复,但原有设置不全。
Cloudflare 表示“将向受影响的付费客户提供帐户信用额度”。如果用户发现帐户存在任何问题,可以通过支持门户 (<https://dash.cloudflare.com/?to=/:account/support)提交工单。>
近日,一些使用反向代理的用户遭到封号,使人一度怀疑是因为反代触发仿冒欺诈投诉引起的。
> 消息来源: [VPS信号旗播报](https://t.me/vps_xhq)

68
source/_posts/weekly/2024/2024-11.md
View File

@ -15,89 +15,89 @@ permalink: /weekly/2024-11/index.html
date: 2024-07-12 19:00:00
---
公告: 下周去西安玩,停更一次
## 正文
### 1 绿联私有云NAS存在中间人攻击风险,官方泛域名证书可被下载
绿联私有云NAS的官方域名ugnas.cloud的泛域名证书存在安全漏洞允许用户直接下载包含证书和私钥。这可能导致中间人攻击影响用户信息安全。用户建议绿联吊销该证书并重新签发。
在视频评论区下,作者表示在之前的体验版中, `*.ugnas.com` 证书也可以被下载,不过已于 2024/6/25 过期,目前绿联称已吊销受影响的证书
省流:所有绿联云用户共用一个证书和私钥,开创了证书互联、私钥共享的新时代
绿联私有云NAS的官方域名ugnas.cloud的泛域名证书存在安全漏洞允许用户直接下载包含证书和私钥。这可能导致中间人攻击影响用户信息安全。用户建议绿联吊销该证书并重新签发。
在视频评论区下,作者表示在之前的体验版中, `*.ugnas.com` 证书也可以被下载,不过已于 2024/6/25 过期,目前绿联称已吊销受影响的证书
省流:所有绿联云用户共用一个证书和私钥,开创了证书互联、私钥共享的新时代
在与当事人在某个不知名小群中沟通得知,抠搜的绿联并没有送出小礼品
> 消息来源: [BiliBili](https://www.bilibili.com/video/BV1xT421Y7aA/) , 搬砖狐体验馆
### 2 博通宣布VMware ESXi后续用户界面/支持文档/客户支持不再支持简体中文等语言
6 月底博通旗下虚拟化软件 VMware ESXi 8.0 Update 3 版发布此次更新博通在支持文档中提到将减少支持本地化语言的数量后续支持本地化语言只有法语、日语和西班牙语。VMware ESXi 默认情况下是以英语提供的,此前支持还支持简体中文、繁体中文、意大利语、德语、韩语和葡萄牙语 (巴西),现在这些语音都已经被放弃支持。博通在支持文档中称,后续 VMware ESXi 用户界面、帮助文档和客户支持都仅提供英语版或法语、日语、西班牙语支持,其他语言都将不再支持。
> 消息来源: [蓝点网](https://www.landiannews.com/archives/104793.html?utm_sources=ourl.co&utm_medium=social&utm_campaign=none)
### 3 众多比特币矿场纷纷转向 AI
过去几个月,主要比特币矿场更换了部分矿机,改用运行和训练 AI 的设备。这些公司认为相比剧烈波动的加密货币行业AI 训练能提供更稳定更安全的收入来源。摩根大通报告称此举受到了股民们的欢迎14 家比特币公司市值上涨了 22%。比特币挖矿利润丰厚但波动性巨大2022 年 Sam Bankman-Fried 和 Do Kwon 等人导致了市场崩溃很多矿场因此关闭。幸存的矿场在今年重新获得了利润但因为挖矿回报减半而币值并没有因此出现大幅上涨迫使矿场们寻求商业模式多元化AI 训练成为榜单上的头号目标。AI 公司需要庞大的场地、廉价的能源和基础设施,而这些比特币矿场都有。它们向 AI 公司出租了场地,托管 GPU 和 ASIC 等 AI 训练芯片。
> 消息来源: [Solidot](https://www.solidot.org/story?sid=78629)
### 4 Java之父James Gosling宣布退休
James Gosling被誉为Java编程语言之父的加拿大计算机科学家在LinkedIn上宣布了自己退休的消息。他在Sun 公司工作期间主导了Java语言的设计和开发并因此获得了美国国家工程院外籍院士的荣誉。尽管Java在2023年的GitHub年度报告中被TypeScript超越但Java的地位依然牢固。Gosling表示他在亚马逊的7年工作经历非常美好并期待退休后能够享受更多的个人时间完成一系列副业。
> 消息来源: [IT之家](https://www.ithome.com/0/780/442.htm)
### 5 北约或通过将互联网重新定向到太空来防范海底攻击
北约正在研究如何防止欧洲海域的海底电缆在遭到攻击时无法运行的情况出现。研究人员表示希望当遭到人为破坏或自然灾害时,互联网流量可从海底电缆流畅地切换到卫星系统。
北约目前已经批准了高达433,600美元的拨款用于这个价值2.5百万美元的项目根据彭博社所见的文件显示研究机构还提供了实物贡献。该计划的顾问和项目经理Eyup Kuntay Turmus通过电子邮件确认该项目最近已经获得批准并表示将会“很快”实施。这个尚未公开宣布的计划是在日益加剧的担忧之下推出的担忧某些国家可能会在军事行动期间破坏、切断或干扰海底电缆以破坏互联网通信。
北约正在研究如何防止欧洲海域的海底电缆在遭到攻击时无法运行的情况出现。研究人员表示希望当遭到人为破坏或自然灾害时,互联网流量可从海底电缆流畅地切换到卫星系统。
北约目前已经批准了高达433,600美元的拨款用于这个价值2.5百万美元的项目根据彭博社所见的文件显示研究机构还提供了实物贡献。该计划的顾问和项目经理Eyup Kuntay Turmus通过电子邮件确认该项目最近已经获得批准并表示将会“很快”实施。这个尚未公开宣布的计划是在日益加剧的担忧之下推出的担忧某些国家可能会在军事行动期间破坏、切断或干扰海底电缆以破坏互联网通信。
根据北约的说法每天通过海底电缆传输的数据价值约为10万亿美元几乎所有北约的互联网流量都通过这些电缆传输。因此北约在过去几个月加大了保护电缆的努力。
> 消息来源: [Slashdot](https://tech.slashdot.org/story/24/07/08/1824220/nato-backs-effort-to-save-internet-by-rerouting-to-space-in-event-of-subsea-attacks?utm_source=rss1.0mainlinkanon&utm_medium=feed)
### 6 谷歌开放“暗网报告”功能:网罗安全事件、通知用户信息泄露
谷歌公司今天宣布将于本月底向所有谷歌账号用户开放“暗网报告”功能,帮助用户更快了解网络上发生的个人数据泄露事件。
谷歌公司今天宣布将于本月底向所有谷歌账号用户开放“暗网报告”功能,帮助用户更快了解网络上发生的个人数据泄露事件。
谷歌用户登录账号之后可以打开“关于你的结果”Results about you页面查找近期信息泄露事件中是否包含你的个人信息。
> 消息来源: [IT之家](https://www.ithome.com/0/780/756.htm)
### 7 PCDN玩家为平衡上下行流量导致众多网站流量被盗刷
近期IT圈发生了一起大规模的流量盗刷事件许多程序员博主的网站遭到恶意攻击导致大量流量费损失。攻击者主要来自山西地区作案时间集中在晚上7点持续数小时后停止。初步分析攻击可能与省间结算、PCDN技术滥用有关攻击者通过刷下载流量来平衡上传/下载比例,避免被运营商发现。
> 消息来源: [程序员鱼皮](https://mp.weixin.qq.com/s/XZMLMqgF_gv_QNNrfHvoPQ)
### 8 宝塔面板在网站404错误页面中添加广告 疑似网站自行设置的错误页被顶替
宝塔面板被发现会在网站的404错误页面中插入广告替换网站管理员设置的自定义错误页。该广告内容包括链接到宝塔官网且暂时无法禁用。
蓝点网推测此操作可能在宝塔Nginx防火墙中进行目前只有部分网站受到影响。
此操作也会影响服务器安全性,攻击者知道网站服务器使用宝塔面板后可以缩小攻击范围,寻找宝塔存在的漏洞展开攻击。
宝塔面板被发现会在网站的404错误页面中插入广告替换网站管理员设置的自定义错误页。该广告内容包括链接到宝塔官网且暂时无法禁用。
蓝点网推测此操作可能在宝塔Nginx防火墙中进行目前只有部分网站受到影响。
此操作也会影响服务器安全性,攻击者知道网站服务器使用宝塔面板后可以缩小攻击范围,寻找宝塔存在的漏洞展开攻击。
> 消息来源: [蓝洛水深](https://blog.lanluo.cn/12944) | [蓝点网](https://www.landiannews.com/archives/104883.html)
### 9 中国工业和信息化部批复多个地区设立新的国际通信业务出入口局
工业和信息化部10日召开国际通信业务出入口局工作座谈会向中国电信、中国移动、中国联通颁发许可批复在广西南宁、山东青岛、云南昆明、海南海口设立国际通信业务出入口局。
国际通信出入口局分为国际通信信道出入口、国际通信业务出入口和边境地区国际通信出入口。国际通信信道出入口,是指国内通信传输信道与国际通信传输信道之间的转接点。边境地区国际通信出入口,是指利用国内交换机与境外接壤地区的通信网络开通的国际直达电路。
工业和信息化部10日召开国际通信业务出入口局工作座谈会向中国电信、中国移动、中国联通颁发许可批复在广西南宁、山东青岛、云南昆明、海南海口设立国际通信业务出入口局。
国际通信出入口局分为国际通信信道出入口、国际通信业务出入口和边境地区国际通信出入口。国际通信信道出入口,是指国内通信传输信道与国际通信传输信道之间的转接点。边境地区国际通信出入口,是指利用国内交换机与境外接壤地区的通信网络开通的国际直达电路。
> 消息来源: [新华网](http://www.news.cn/20240710/7f1b53f4915348b0808d9fba86504dcd/c.html) [政府网](https://www.gov.cn/zhengce/2022-08/23/content_5722724.htm)
### 10 两部门将组织选取部分区域开展“网络去NAT”试点 进一步深化IPv6部署应用
工业和信息化部办公厅、中央网信办秘书局发布关于开展“网络去NAT”专项工作 进一步深化IPv6部署应用的通知。基础电信企业要认真摸排NAT44设备部署应用情况并建立NAT44设备信息台账制定“网络去NAT”工作方案和时间表有序推进全网NAT44设备使用规模逐步降低。工业和信息化部、中央网信办将组织选取部分区域开展“网络去NAT”试点到2025年7月底前实现试点区域基础电信企业NAT44设备总容量停止增长主要移动互联网应用APP固网侧IPv6流量占比不低于70%。基础电信企业要增加IPv6互联网专线产品供给新增互联网专线默认开通IPv6功能。要加快实施家庭网关IPv6地址前缀二次分发功能升级。到2024年底基础电信企业自有环境固定宽带用户IPv6连通率不低于80%。终端设备制造企业要严格落实无线电发射设备型号核准有关通知要求。各省区、市有关部门要推动属地终端设备制造企业加快存量家庭无线路由器IPv6功能升级。
2025年末全面建成领先的IPv6技术、产业、设施、应用和安全体系我国IPv6网络规模、用户规模、流量规模位居世界第一位。网络、平台、应用、终端及各行业全面支持IPv6新增网站及应用、网络及应用基础设施规模部署IPv6单栈形成创新引领、高效协同的自驱性发展态势。IPv6活跃用户数达到8亿物联网IPv6连接数达到4亿。移动网络IPv6流量占比达到70%城域网IPv6流量占比达到20%。县级以上政府网站、国内主要商业网站及移动互联网应用全面支持IPv6。我国成为全球“IPv6”技术和产业创新的重要推动力量网络信息技术自主创新能力显著增强。
工业和信息化部办公厅、中央网信办秘书局发布关于开展“网络去NAT”专项工作 进一步深化IPv6部署应用的通知。基础电信企业要认真摸排NAT44设备部署应用情况并建立NAT44设备信息台账制定“网络去NAT”工作方案和时间表有序推进全网NAT44设备使用规模逐步降低。工业和信息化部、中央网信办将组织选取部分区域开展“网络去NAT”试点到2025年7月底前实现试点区域基础电信企业NAT44设备总容量停止增长主要移动互联网应用APP固网侧IPv6流量占比不低于70%。基础电信企业要增加IPv6互联网专线产品供给新增互联网专线默认开通IPv6功能。要加快实施家庭网关IPv6地址前缀二次分发功能升级。到2024年底基础电信企业自有环境固定宽带用户IPv6连通率不低于80%。终端设备制造企业要严格落实无线电发射设备型号核准有关通知要求。各省区、市有关部门要推动属地终端设备制造企业加快存量家庭无线路由器IPv6功能升级。
2025年末全面建成领先的IPv6技术、产业、设施、应用和安全体系我国IPv6网络规模、用户规模、流量规模位居世界第一位。网络、平台、应用、终端及各行业全面支持IPv6新增网站及应用、网络及应用基础设施规模部署IPv6单栈形成创新引领、高效协同的自驱性发展态势。IPv6活跃用户数达到8亿物联网IPv6连接数达到4亿。移动网络IPv6流量占比达到70%城域网IPv6流量占比达到20%。县级以上政府网站、国内主要商业网站及移动互联网应用全面支持IPv6。我国成为全球“IPv6”技术和产业创新的重要推动力量网络信息技术自主创新能力显著增强。
之后再用五年左右时间完成向IPv6单栈的演进过渡IPv6与经济社会各行业各部门全面深度融合应用。我国成为全球互联网技术创新、产业发展、设施建设、应用服务、安全保障、网络治理等领域的重要力量。
> 消息来源: 格隆汇
### 11 OPENAI 提出人工智能“达到人类智能”的五级标准,自认接近第二级
当地时间7月11日OpenAI 提出了一套衡量人工智能达到并超越人类问题解决能力的五级标准。该公司计划与投资者和公司外部人士分享这套标准,其范围包括从目前可以与人进行语言交互的人工智能 (1级) 到可以完成组织工作的人工智能 (5级)。OpenAI 发言人称OpenAI 的高管告诉员工,该公司自认为目前处于第一级,但即将达到第二级,公司称之为“推理者” (Reasoners),其能力不亚于一个受过博士级教育但无法使用任何工具的人类。
> 消息来源: [界面新闻](https://www.jiemian.com/article/11407753.html)、[彭博社](https://www.bloomberg.com/news/articles/2024-07-11/openai-sets-levels-to-track-progress-toward-superintelligent-ai)
### 12 谷歌 DeepMind 正在使用 Gemini 来训练机器人使其变得更聪明
谷歌正在使用 Gemini AI 训练其机器人以便它们能够更好地导航和完成任务DeepMind 机器人团队在一篇新的研究论文中解释了如何使用 Gemini 1.5 Pro 的长上下文窗口,让用户可以使用自然语言指令更轻松地与其 RT-2 机器人进行交互。
其工作原理是拍摄指定区域的视频,研究人员使用 Gemini 1.5 Pro 让机器人“观看”视频以了解环境,然后机器人可以根据情况执行命令。 DeepMind 表示其 Gemini 驱动的机器人在超过 50 个任务中的成功率高达 90%。研究人员还发现“初步证据”表明Gemini 使其机器人能够计划如何执行导航以外的指令例如当办公桌上有很多可乐罐的用户询问机器人“是否有他们最喜欢的饮料”时Gemini 就会知道“机器人应该导航到冰箱检查是否有可乐然后返回给用户报告结果。”DeepMind 表示计划进一步调查这些结果。
谷歌正在使用 Gemini AI 训练其机器人以便它们能够更好地导航和完成任务DeepMind 机器人团队在一篇新的研究论文中解释了如何使用 Gemini 1.5 Pro 的长上下文窗口,让用户可以使用自然语言指令更轻松地与其 RT-2 机器人进行交互。
其工作原理是拍摄指定区域的视频,研究人员使用 Gemini 1.5 Pro 让机器人“观看”视频以了解环境,然后机器人可以根据情况执行命令。 DeepMind 表示其 Gemini 驱动的机器人在超过 50 个任务中的成功率高达 90%。研究人员还发现“初步证据”表明Gemini 使其机器人能够计划如何执行导航以外的指令例如当办公桌上有很多可乐罐的用户询问机器人“是否有他们最喜欢的饮料”时Gemini 就会知道“机器人应该导航到冰箱检查是否有可乐然后返回给用户报告结果。”DeepMind 表示计划进一步调查这些结果。
> 消息来源: [The Verge](https://www.theverge.com/2024/7/11/24196402/google-deepmind-gemini-1-5-pro-robot-navigation)[arxiv](https://arxiv.org/html/2407.07775v1)
## 推荐阅读
### 1 如何管理 Linux 存储(英文)
本文演示了如何添加和标识存储空间,包括分区和安装文件系统。它还显示了调查驱动器空间利用率所需的命令。
本文演示了如何添加和标识存储空间,包括分区和安装文件系统。它还显示了调查驱动器空间利用率所需的命令。
[跳转链接-How to Manage Linux Storage](https://thenewstack.io/how-to-manage-linux-storage/)
### 2 为什么 Ruby on Rails 仍然值得您作为开发人员使用(英文)
你可能会做得比用 Ruby on Rails 开始你的全栈生活更糟糕——并不是所有的东西都需要 JavaScript 驱动。
你可能会做得比用 Ruby on Rails 开始你的全栈生活更糟糕——并不是所有的东西都需要 JavaScript 驱动。
[跳转链接-Why Ruby on Rails Is Still Worth Your While as a Developer](https://thenewstack.io/why-ruby-on-rails-is-still-worth-your-while-as-a-developer/)

27
source/_posts/weekly/2024/2024-12.md
View File

@ -16,57 +16,70 @@ permalink: /weekly/2024-12/index.html
date: 2024-07-28 19:00:00
---
## 正文
### 1 Crowdstrike 更新导致全球 Windows 大面积蓝屏死机
[外媒报道称](https://www.timesnownews.com/technology-science/latest-crowdstrike-update-causes-blue-screen-of-death-on-microsoft-windows-multiple-users-affected-article-111854018),许多 Windows 用户在最近的 CrowdStrike 更新后遇到了蓝屏死机 (BSOD) 错误。
该问题似乎很普遍,影响运行不同 CrowdStrike 版本的机器。在社交媒体上,全球不同地区的用户纷纷在抱怨这个突如其来的蓝屏死机错误。
据逆向显示,这次的问题来源于一个野指针.
[外媒报道称](https://www.timesnownews.com/technology-science/latest-crowdstrike-update-causes-blue-screen-of-death-on-microsoft-windows-multiple-users-affected-article-111854018),许多 Windows 用户在最近的 CrowdStrike 更新后遇到了蓝屏死机 (BSOD) 错误。
该问题似乎很普遍,影响运行不同 CrowdStrike 版本的机器。在社交媒体上,全球不同地区的用户纷纷在抱怨这个突如其来的蓝屏死机错误。
据逆向显示,这次的问题来源于一个野指针.
补充: 网上流传的第一天入职就被开的那哥们的图是假的,头上都没P干净
> 消息来源: [OSCHINA](https://www.oschina.net/news/302903/latest-crowdstrike-update-causes-blue-screen-of-death-on-windows),[epcdiy](https://www.bilibili.com/video/BV1fZ421N76L/)
### 2 OpenAI 科学家翁荔提出外在幻觉extrinsic hallucination 概念
OpenAI 科学家翁荔近期在Github 上发布文章,提出了一种名为 LLM 外在幻觉extrinsic hallucination的全新概念。
翁荔表示,模型输出应基于预训练数据集。然而,考虑到预训练数据集的规模,每一代检索和识别冲突的成本太高。如果我们将预训练数据语料库视为世界知识的代表,那么从本质上讲,我们要努力确保模型输出是真实的,并且可以通过外部世界知识进行验证。同样重要的是,当模型不知道某个事实时,它应该说出来。
OpenAI 科学家翁荔近期在Github 上发布文章,提出了一种名为 LLM 外在幻觉extrinsic hallucination的全新概念。
翁荔表示,模型输出应基于预训练数据集。然而,考虑到预训练数据集的规模,每一代检索和识别冲突的成本太高。如果我们将预训练数据语料库视为世界知识的代表,那么从本质上讲,我们要努力确保模型输出是真实的,并且可以通过外部世界知识进行验证。同样重要的是,当模型不知道某个事实时,它应该说出来。
翁荔表示,为了避免外在幻觉的出现,研究者应该保证大模型内容符合事实,同时要保证大模型在适当的时候承认不知道答案。
> 消息来源: [品玩](https://www.pingwest.com/w/296634)
### 3 Deepin操作系统适配苹果 M1 项目更新至 RC2 版本
今年随着 deepin V23 beta 进入 RC2 版本deepin M1 项目今日宣布跟进更新到 RC2 版本。据介绍,本次适配工作不仅限于提升系统环境版本,还顺带更新了一些系统底层组件版本,优化了项目各模块的打包流程并部分添加了定时器,每周构建一次内容以便开发者抢先体验尝鲜。
> 消息来源: [IT之家](https://www.ithome.com/0/782/463.htm)
### 4 英伟达宣布全面转向开源GPU内核模块弃用闭源显卡驱动程序
英伟达宣布将全面转向开源GPU内核模块后续闭源显卡驱动程序将被弃用。Maxwell、Pascal和Volta等老旧显卡不支持开源GPU内核模块需继续使用闭源驱动。新显卡将默认使用开源内核模块提供更强大、功能更齐全的GeForce和Workstation Linux支持。
> 消息来源: [蓝点网](https://www.landiannews.com/archives/105016.html)
### 5 英国公司Spectral Compute推出SCALE工具包实现CUDA软件在AMD GPU上的无缝运行
英国新创公司Spectral Compute推出了名为“SCALE”的GPGPU编程工具包成功使英伟达CUDA软件在AMD GPU上无缝运行挑战了NVIDIA在GPU计算领域的垄断地位。SCALE工具包通过兼容CUDA的工具链允许开发者在AMD GPU上原生运行CUDA程序无需依赖英伟达的程序集。
此举旨在消除市场中的排他性限制促进硬件平台之间的互操作性。SCALE工具包已在多个应用程序中测试支持AMD的RDNA 3和RDNA 2构架。高通、谷歌和英特尔也在计划打造AI软件平台提供CUDA的替代方案进一步挑战英伟达的市场地位。
> 消息来源: [ZEALER](https://weibo.com/3097378697/5057527320675665)
### 6 Cloudflare 报告 6.8% 的互联网流量是恶意的
近期 Cloudflare 发表了 2024 年度的《State of Application Security Report》报告称 6.8% 的互联网流量是恶意的,比去年上升了 1 个百分点。
Cloudflare 认为恶意流量的上升与战争和选举有关。多数攻击者是来自俄罗斯的组织如 REvil、KillNet 和 Anonymous Sudan。DDoS 攻击仍然是网络罪犯首选的武器,占到了 37%。DDoS 攻击的复杂度也在提高,去年 8 月的 HTTP/2 Rapid Reset DDoS 攻击峰值流量达到每秒 2.01 亿个请求(RPS),是此前观察到最高记录的三倍。报告还突出了 API 安全的重要性,六成的动态 Web 流量与 API 相关它们是攻击者的主要目标。Cloudflare 处理的 HTTP 请求约有 38% 被归为自动机器人流量,它认为可能多达 93% 的机器人是恶意的。
> 消息来源: [Cloudflare](https://blog.cloudflare.com/zh-cn/application-security-report-2024-update-zh-cn)
### 7 Starlink展示了8Gbps的下载速度
spaceX正在测试其Starlink服务的新功能该功能能够为远离陆地的商业用户提供高达8Gbps的下载速度。SpaceX的Starlink工程副总裁Michael Nicolls在推特上分享了在佛罗里达州杰克逊维尔进行的速度测试显示Starlink实现了8102Mbps的下载速率。
spaceX正在测试其Starlink服务的新功能该功能能够为远离陆地的商业用户提供高达8Gbps的下载速度。SpaceX的Starlink工程副总裁Michael Nicolls在推特上分享了在佛罗里达州杰克逊维尔进行的速度测试显示Starlink实现了8102Mbps的下载速率。
目前SpaceX为消费者提供的Starlink设备可提供50Mbps至300Mbps以上的下载速度而为商业客户提供的设施则配备更大天线可实现10Gbps的宽带速度。SpaceX还在探索将社区网关技术应用于海军舰船或飞机可能面向航运公司或政府客户。SpaceX CEO埃隆·马斯克也在推特上表示Starlink网关终端将很快提供超过8Gbps的上行链路速度。
> 消息来源: [Elon Musk](https://x.com/elonmusk/status/1813703783509262677)
### 8 英特尔13/14代酷睿处理器被指存在可能与铜导孔氧化相关的工艺缺陷
近期有逾200万订阅者的YouTube主播Gamers NexusGN根据收集的信息指出英特尔第13和14代酷睿处理器可能存在工艺缺陷该问题可能与铜导孔的氧化有关影响处理器稳定性。据报道一位英特尔的大客户拥有超过800万颗13代处理器包括多个型号故障率在10%到25%之间。GN提到虽然高频高压下更可能出现不稳定性问题但低压低频也不能完全避免。目前英特尔尚未对此问题发表公开声明但据GN透露英特尔正在为OEM厂商提供补偿。
> 消息来源: [Solidot](https://www.solidot.org/story?sid=78754),[YouTube](https://youtu.be/gTeubeCIwRw)
### 9 中国移动“省间结算”政策,强制丢包
受中国移动“省间结算”政策不可抗力因素影响自7月16日0时起广东省内各中国移动网络线路IDC将执行10-15%不等比例的跨省限速即只有10-15%的业务带宽质量将获得保证超出部分移动侧将采取包括强制丢包等策略确保限速比例下整体可控。预计自7月16日起广东境内各移动网内IDC业务服务质量将出现显著下降。
> 消息来源: [Nodeseek](https://www.nodeseek.com/post-133588-1)
### 10 新型验证码破解工具GPT4o Captcha Bypass问世
有开发者发布了一款名为GPT4o Captcha Bypass的CLI 工具,用于使用 Python 和 Selenium 破解各种类型的验证码,包括拼图、文本、复杂文本和 reCAPTCHA。
GPT4o Captcha Bypass工具通过AI辅助来解决复杂的验证码问题。采用Python编程语言开发便于扩展和定制。同时利用Selenium框架实现对网页元素的自动化操作提高测试效率。
该工具还使用 OpenAI GPT-4 来帮助解决验证码问题。
> 消息来源: [品玩](https://www.pingwest.com/w/296671),[GitHub](https://github.com/aydinnyunus/gpt4-captcha-bypass)
## 推荐阅读
### 请持续关注由中国灰产公司主导的 CDN 投毒(中文)
>
> 从早前的LNMP、OneinStack到XZ Utils再到现在的Staticfile、BootCDN供应链攻击总是让人猝不及防。纵观这些被攻击的项目往往都是无处不在经常被大家所使用但是却并没有给提供者带来什么收入。
[跳转链接: 请持续关注由中国灰产公司主导的 CDN 投毒](https://www.nodeseek.com/post-134320-1)
[跳转链接: 请持续关注由中国灰产公司主导的 CDN 投毒](https://www.nodeseek.com/post-134320-1)

29
source/_posts/weekly/2024/2024-13.md
View File

@ -14,30 +14,21 @@ date: 2024-08-02 19:00:00
## 正文
### 1 黑客或正利用 AI 技术窥探电脑屏幕,新模型可利用 HDMI 线盗取信息
来自乌拉圭的一组研究人员近日发现了一种黑客利用人工智能窥探显示器显示内容的方法,可以通过拦截电脑和显示器之间电缆泄漏的电磁辐射获取信息。
窥探是通过拦截电脑 HDMI 电缆泄漏的电磁辐射来实现的。乌拉圭共和国大学的Federico Larroc表示他和他的团队已经开发出一种人工智能模型可以从几米远的泄露信号中重建数字信号。
利用与 Larroc团队开发的方法类似的方法黑客可以在用户输入加密信息、银行登录信息或其他个人信息时窥探屏幕。该团队说黑客甚至可以站在大楼外用天线拦截信号。他们还可以安放一个小型设备捕捉信号然后传输数据或让人通过物理方式恢复数据。
令人担忧的是,这种攻击越来越成功。以前最先进的攻击方法比 Larroca 团队设计的方法容易出错 60%。
来自乌拉圭的一组研究人员近日发现了一种黑客利用人工智能窥探显示器显示内容的方法,可以通过拦截电脑和显示器之间电缆泄漏的电磁辐射获取信息。
窥探是通过拦截电脑 HDMI 电缆泄漏的电磁辐射来实现的。乌拉圭共和国大学的Federico Larroc表示他和他的团队已经开发出一种人工智能模型可以从几米远的泄露信号中重建数字信号。
利用与 Larroc团队开发的方法类似的方法黑客可以在用户输入加密信息、银行登录信息或其他个人信息时窥探屏幕。该团队说黑客甚至可以站在大楼外用天线拦截信号。他们还可以安放一个小型设备捕捉信号然后传输数据或让人通过物理方式恢复数据。
令人担忧的是,这种攻击越来越成功。以前最先进的攻击方法比 Larroca 团队设计的方法容易出错 60%。
> 消息来源: [品玩](https://www.pingwest.com/w/296994)
### 2 D-Wave量子退火第二种公钥密码攻击算法
长期以来Shor算法被认为是攻击电子政务和电子商务典型公钥密码RSA的唯一有效量子算法但是近年来Nature和Science文章均认为由于量子器件和基础理论等进展缓慢实用的通用量子计算机还很遥远。需要探索新的量子计算方法。
在国家自然科学基金重点项目支持下上海大学特种光纤与光接入网重点实验室王潮课题组将目光投向D-Wave专用量子计算机公钥密码RSA破译大整数素因子分解。尽管D-Wave最初的应用是洛克希德马丁公司战机飞控软件测试、谷歌图像识别与密码无关。上海大学课题组在D-Wave量子计算软件环境验证了D-Wave原理量子退火通过量子隧穿效应对破译RSA公钥密码的可行性还发现了D-Wave比通用量子计算机更具现实攻击力。目前Google提出的72量子比特芯片狐尾松“Bristlecone”由于纠错码等问题尚不能形成密码破译能力。
这项研究对抗量子密码也有启示需要考虑Shor之外的新的量子攻击方法。
长期以来Shor算法被认为是攻击电子政务和电子商务典型公钥密码RSA的唯一有效量子算法但是近年来Nature和Science文章均认为由于量子器件和基础理论等进展缓慢实用的通用量子计算机还很遥远。需要探索新的量子计算方法。
在国家自然科学基金重点项目支持下上海大学特种光纤与光接入网重点实验室王潮课题组将目光投向D-Wave专用量子计算机公钥密码RSA破译大整数素因子分解。尽管D-Wave最初的应用是洛克希德马丁公司战机飞控软件测试、谷歌图像识别与密码无关。上海大学课题组在D-Wave量子计算软件环境验证了D-Wave原理量子退火通过量子隧穿效应对破译RSA公钥密码的可行性还发现了D-Wave比通用量子计算机更具现实攻击力。目前Google提出的72量子比特芯片狐尾松“Bristlecone”由于纠错码等问题尚不能形成密码破译能力。
这项研究对抗量子密码也有启示需要考虑Shor之外的新的量子攻击方法。
> 消息来源: [Nature](https://www.nature.com/articles/s41598-020-62802-5?utm_source=naturechina&utm_medium=referral&utm_content=RMarketing&utm_campaign=JRCN_1_LW01)
### 3 W3C(万维网联盟)称第三方cookies时代该结束了
在Google决定继续支持第三方cookies之后W3C明确表示了他们的担忧并重申了他们的立场强调必须从网络中移除第三方cookies。这些cookies不仅侵犯了用户的隐私还被用于不可见的跟踪和监视甚至可能用于政治信息的微定位对社会造成不利影响。W3C TAG作为网络架构的守护者一直在与Chrome隐私沙盒团队合作寻找替代第三方cookies的解决方案。Google的最新决定不仅出人意料也可能阻碍跨浏览器对隐私友好型替代方案的开发。W3C期望Google重新考虑其决定并继续朝着淘汰第三方cookies的方向努力以促进网络环境的隐私保护。
> 消息来源: [W3C博客](https://www.w3.org/blog/2024/third-party-cookies-have-got-to-go/)

18
source/_posts/weekly/2024/2024-14.md
View File

@ -15,37 +15,45 @@ permalink: /weekly/2024-14/index.html
date: 2024-08-09 19:00:00
---
## 正文
### 1 马斯克:已为第二位人类患者成功植入脑机芯片
马斯克周五透露其脑机接口公司Neuralink成功将第二颗脑机接口芯片植入一名人类患者体内。马斯克说“我不想太早下结论但第二颗植入物似乎进展得非常顺利。信号很强电极也很多工作得非常好”。¹
马斯克周五透露其脑机接口公司Neuralink成功将第二颗脑机接口芯片植入一名人类患者体内。马斯克说“我不想太早下结论但第二颗植入物似乎进展得非常顺利。信号很强电极也很多工作得非常好”。¹
此外马斯克在X上表示特斯拉得州超级工厂的超级计算集群被命名为“Cortex”并指出其刚刚完成了新设施的演练。“Cortex”拥有约10万颗英伟达H100和H200芯片用于训练完全自动驾驶(FSD)和人形机器人Optimus。²
> 消息来源: [界面新闻](https://www.jiemian.com/article/11511098.html)、[马斯克](https://x.com/elonmusk/status/1819457630261465553) ¹、[马斯克](https://x.com/elonmusk/status/1819797937414611313) ²
### 2 Microsoft Dynamics 365 正向科技行业发起利用AI监控员工的倡议
根据奥地利非营利研究组织 Cracked Labs 的一项调查报告显示以Microsoft Dynamics 365为首的服务软件允许管理人员通过智能手机APP监控技术人员和远程工作者的工作活动、时间、地点并收集许多其他工作隐私数据。
根据奥地利非营利研究组织 Cracked Labs 的一项调查报告显示以Microsoft Dynamics 365为首的服务软件允许管理人员通过智能手机APP监控技术人员和远程工作者的工作活动、时间、地点并收集许多其他工作隐私数据。
除微软外包括甲骨文、SAP、Salesforce、IFS瑞典、Nomadia法国、OverIT意大利、Praxedo法国、ServiceMax美国和 ServiceNow美国等公司也在列。这些监控大大削弱了员工自身的工作自主权工作目标感同时也加大了工作压力。但在微软官方看来这类软件却能有效促使员工更积极高效地完成工作与达成绩效。
> 消息来源: [The Register](https://www.theregister.com/2024/07/31/microsoft_dynamics_365_surveillance/)[PDF完整调查报告](https://crackedlabs.org/dl/CrackedLabs_Christl_MobileWork.pdf)
### 3 OPENAI 确认正在研究 ChatGPT 文本水印
人工智能公司 OpenAI 的团队已经开发出一种文本水印方法并会在研究替代方案时继续考虑这种方法。虽然它在抵御例如释义等局部篡改方面具有很高的准确性甚至很有效但对全局篡改的防御能力较弱例如使用翻译系统用另一个生成模型改写或者要求模型在每个单词之间插入一个特殊字符然后删除该字符这使得不良行为者可以轻松规避。以及可能对非英语人士等群体造成不成比例的影响。该公司正在讨论是否真正发布该工具。OpenAI 去年关闭了其之前的 AI 文本检测器,理由是“准确率低”。
更:[OpenAI 不会给 ChatGPT 文本添加水印,因为其用户可能会暴露](https://www.theverge.com/2024/8/4/24213268/openai-chatgpt-text-watermark-cheat-detection-tool)
> 消息来源: [Techcrunch](https://techcrunch.com/2024/08/04/openai-says-its-taking-a-deliberate-approach-to-releasing-tools-that-can-detect-writing-from-chatgpt/)
### 4 阿里团队推出视频 AI 生成框架 Tora画圈操控物体运动轨迹
Tora 无缝契合 DiT 设计,支持制作最长 204 帧、720P 分辨率的视频可以精确控制不同持续时间、宽高比和分辨率的视频内容。大量实验证明Tora 在实现高运动保真度方面表现出色,同时还能细致模拟物理世界的运动。
> 消息来源: [演示视频](https://ali-videoai.github.io/tora_video/) | [GitHub](https://github.com/ali-videoai/Tora)
### 5 谷歌尝试在Chrome中实施网站货币化 当你浏览网站时自动支付小费
谷歌正在构建一项尚未成为 W3C 认可的标准,这项标准用来在网络中实现货币化,也就是允许用户通过小费或者内容奖励用来鼓励内容创作者继续创作优质的内容。
谷歌正在构建一项尚未成为 W3C 认可的标准,这项标准用来在网络中实现货币化,也就是允许用户通过小费或者内容奖励用来鼓励内容创作者继续创作优质的内容。
值得注意的是,该技术提供了两个独特功能:小额支付和无需用户交互,当用户设置该网站自动打赏,它才会自动收费。
> 消息来源: [意向链接](https://groups.google.com/a/chromium.org/g/blink-dev/c/4Rqw4SbjO88/m/j7x8sTyzAAAJ?pli=1)
### 6 1Password发现高危安全漏洞Mac用户需立即升级到最新版本
知名密码管理器1Password的Mac版本被发现存在一个高危安全漏洞该漏洞允许恶意软件绕过进程间的通信保护窃取用户的解锁密钥。
这一安全问题由参与DEFCON黑客大赛的安全研究人员发现并计划在一次演讲中公开。1Password已经收到通知并及时修复了这一漏洞敦促用户升级到8.10.38或之后的版本以确保安全。
知名密码管理器1Password的Mac版本被发现存在一个高危安全漏洞该漏洞允许恶意软件绕过进程间的通信保护窃取用户的解锁密钥。
这一安全问题由参与DEFCON黑客大赛的安全研究人员发现并计划在一次演讲中公开。1Password已经收到通知并及时修复了这一漏洞敦促用户升级到8.10.38或之后的版本以确保安全。
该漏洞被标识为CVE-2024-42219目前没有证据表明它已被恶意黑客利用更多关于该漏洞的细节将在DEFCON大会上演讲后公布。
> 消息来源: [蓝点网](https://www.landiannews.com/archives/105295.html)
### 7 0.0.0.0 Day漏洞曝光谷歌、Safari、火狐等主流浏览器面临威胁
近日,一个名为 "0.0.0.0 Day "的重大安全漏洞在网络安全社区中引发了巨大反响,该漏洞导致数百万使用 Chrome、Firefox 和 Safari 等流行浏览器的用户受到潜在攻击。同时,该漏洞还允许恶意行为者访问私人网络(特别是 "本地主机")中设备上存储的文件、信息、凭证和其他敏感数据。
> 消息来源: [freebuf](https://www.freebuf.com/news/408169.html)

56
source/_posts/weekly/2024/2024-15.md
View File

@ -14,69 +14,43 @@ permalink: /weekly/2024-15/index.html
date: 2024-08-16 19:00:00
---
## 正文
### 1 Windows 曝严重安全漏洞,攻击者可零点击远程入侵设备
此漏洞被编号为 CVE-2024-38063 (https://www.cve.org/CVERecord?id=CVE-2024-38063)是一个严重漏洞评分为9.8。它存在于 Windows 的 TCP/IP 网络堆栈中,是一个严重的远程代码执行漏洞。未经身份验证的攻击者可以通过反复向 Windows 设备发送特制的 IPv6 数据包,触发漏洞并实现远程代码执行。
攻击者无需任何用户交互即可利用漏洞,入侵系统并获取最高权限。利用难度低,攻击者可以通过批量扫描互联网,寻找存在漏洞的主机。攻击者无需以用户身份进行身份验证。不需要访问受害者计算机上的任何设置或文件。受害者设备用户不需要进行任何交互操作,无需点击链接、加载图像或执行文件。
强烈建议用户立即更新系统至最新版本。微软正在发布相关补丁以修复此漏洞。如果目标计算机上禁用 IPv6系统不会受到影响。 大多数情况下,用户获取到的 IPv6 地址为公网地址,因此攻击者极有可能对特定公司、学校、机构或目标人群进行有针对性的入侵。
此漏洞被编号为 CVE-2024-38063 (<https://www.cve.org/CVERecord?id=CVE-2024-38063)是一个严重漏洞评分为9.8。它存在于> Windows 的 TCP/IP 网络堆栈中,是一个严重的远程代码执行漏洞。未经身份验证的攻击者可以通过反复向 Windows 设备发送特制的 IPv6 数据包,触发漏洞并实现远程代码执行。
攻击者无需任何用户交互即可利用漏洞,入侵系统并获取最高权限。利用难度低,攻击者可以通过批量扫描互联网,寻找存在漏洞的主机。攻击者无需以用户身份进行身份验证。不需要访问受害者计算机上的任何设置或文件。受害者设备用户不需要进行任何交互操作,无需点击链接、加载图像或执行文件。
强烈建议用户立即更新系统至最新版本。微软正在发布相关补丁以修复此漏洞。如果目标计算机上禁用 IPv6系统不会受到影响。 大多数情况下,用户获取到的 IPv6 地址为公网地址,因此攻击者极有可能对特定公司、学校、机构或目标人群进行有针对性的入侵。
> 消息来源: [LoopDNS资讯](https://t.me/DNSPODT/5072) [微软](https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-38063)
>
#### 研究员Windows 系统防火墙无法阻止 IPv6 远程代码执行漏洞
根据赛博昆仑实验室研究员Wei透露的部分消息攻击者构造的IPv6数据包在到达防火墙进行数据处理之前就可能被触发因此仅通过开启系统的IPv6防火墙并不能有效阻止攻击。
根据赛博昆仑实验室研究员Wei透露的部分消息攻击者构造的IPv6数据包在到达防火墙进行数据处理之前就可能被触发因此仅通过开启系统的IPv6防火墙并不能有效阻止攻击。
结合该漏洞的特性这进一步验证了之前的推测即该漏洞可以用于在内网中进行横向攻击特别是通过内网IPv6地址实施攻击。由于部分场景下的内网设备长期无法进行系统更新该漏洞对这些没有网络隔离且长期无法更新系统的环境构成了更大的威胁。
> 消息来源: [XiaoWei'X](https://x.com/XiaoWei___/status/1823532146679799993) [LoopDNS](https://t.me/DNSPODT/5077)
ere-data-theft-vulnerability-ryzen-1000-2000-and-3000-will-not-get-patched-among-others)
### 2 CrowdStrike 因全球 IT 中断而获得“最史诗级失败”奖
当地时间8月10日在其软件更新引发全球 IT 崩溃的几周后CrowdStrike 并没有回避公众的关注。事实上,该公司总裁迈克尔·森托纳斯甚至登上被称为全球“安全界奥斯卡”的 Pwnie Awards 大奖的舞台,领取了“最史诗级失败”奖。颁奖典礼在 Def Con 黑客大会上举行。森托纳斯获奖感言的视频已在网上分享。与那些愿意给予 CrowdStrike 第二次机会的会议参与者类似,颁奖嘉宾听起来也很热情,并且感谢森托纳斯到场承认公司的错误。森托纳斯表示,他将把奖杯带回 CrowdStrike 总部并将其摆放在显眼地方。
> 消息来源: [Techcrunch](https://techcrunch.com/2024/08/11/crowdstrike-accepts-award-for-most-epic-fail-after-global-it-outage/)
### 3 五成求职者使用人工智能生成简历
约有50%的求职者正在使用人工智能撰写简历、求职信和完成评估在本已紧张的劳动力市场上低质量的求职简历令雇主和招聘单位不堪负荷。招聘平台Applied CEO孙达拉姆表示人工智能驱动应用“大量涌现”导致每个职位的求职者数量增加了一倍多。“我们确实看到了数量增加但质量下降的情况这意味着更难筛选。”许多大型雇主对使用人工智能持零容忍态度德勤、安永、普华永道和毕马威警告毕业生不要在申请中使用人工智能。人力资源公司Beamery对2500名英国员工的调查约有46%的求职者正在使用人工智能来搜索和申请职位。创意平台Canva对5000名全球求职者的调查显示其中45%的人曾使用人工智能来制作或改进简历。
> 消息来源: [英国金融时报](https://www.ftchinese.com/interactive/167269)
### 4 谷歌的 AI 搜索让网站面临严峻选择:共享数据或死亡
谷歌现在在搜索页面顶部显示基于人工智能的便捷答案,这意味着用户可能永远不会点击进入那些为这些结果提供数据的网站。但许多网站所有者表示,他们无法承受阻止谷歌人工智能总结他们的内容的后果。据出版商称,这是因为谷歌筛选网络内容以得出人工智能答案的工具与跟踪网页以提供搜索结果的工具是同一个。像网站封锁谷歌的人工智能竞争对手那样封锁谷歌也会妨碍网站在网上被发现的能力。对于出版商来说,这种困境尤其严重,他们面临着一个选择:是将自己的内容提供给人工智能模型使用,而这可能会使他们的网站过时;还是从谷歌搜索这个最大的流量来源上消失。此外,人工智能搜索周四扩展到另外六个国家 (印度、日本、墨西哥、印度尼西亚、巴西和英国)。
> 消息来源: [彭博社](https://www.bloomberg.com/news/articles/2024-08-15/google-s-search-dominance-leaves-sites-little-choice-on-ai-scraping)、[谷歌博客](https://blog.google/products/search/new-ways-to-connect-to-the-web-with-ai-overviews/)
### 5 Geekbench AI 性能基准测试工具发布
流行的基准测试实用程序 Geekbench 推出了新的跨平台工具用于评估设备在人工智能繁重工作负载下的性能。Geekbench AI 测量设备的 CPU、GPU 和 NPU以确定其处理机器学习应用程序的能力。为了探索不同的硬件如何响应不同的 AI 相关任务,该工具根据准确性和速度来评估性能,并支持不同的框架,包括 ONNX、CoreML、TensorFlow Lite 和 OpenVINO。Geekbench AI 提供三种评分:全精度、半精度和量化。
> 消息来源: [The Verge](https://www.theverge.com/2024/8/15/24221382/geekbench-ai-benchmark-software)、[下载测试工具](https://www.geekbench.com/ai/download/)
### 6 微软在 Windows 11 中取消了 FAT32 分区容量的 32GB 限制
微软今天在最新的 Windows 11 Canary 版本中取消了 FAT32 分区的 32GB 大小限制,现在允许的最大大小为 2TB。微软工程师在开发 Windows NT (Windows 2000) 时决定了此人为限制,对于当时常见的 16MB 容量的移动储存容器完全足够。但如果是在其他操作系统上或通过其他方法格式化的Windows 系统仍可以读取更大的 FAT32 文件系统。
微软宣布,这一变化将在 Canary 频道中的 Windows 11 Insider Preview Build 27686 中引入并在稍候推送至稳定版。但是这一变化仅适用于format 指令,基于图形界面的 Windows 磁盘格式化工具对 FAT32 文件系统仍然具有相同的人为 32GB 大小限制。
微软今天在最新的 Windows 11 Canary 版本中取消了 FAT32 分区的 32GB 大小限制,现在允许的最大大小为 2TB。微软工程师在开发 Windows NT (Windows 2000) 时决定了此人为限制,对于当时常见的 16MB 容量的移动储存容器完全足够。但如果是在其他操作系统上或通过其他方法格式化的Windows 系统仍可以读取更大的 FAT32 文件系统。
微软宣布,这一变化将在 Canary 频道中的 Windows 11 Insider Preview Build 27686 中引入并在稍候推送至稳定版。但是这一变化仅适用于format 指令,基于图形界面的 Windows 磁盘格式化工具对 FAT32 文件系统仍然具有相同的人为 32GB 大小限制。
> 消息来源: [Bleeping Computer](https://www.bleepingcomputer.com/news/microsoft/microsoft-removes-fat32-partition-size-limit-in-windows-11/)[微软博客](https://blogs.windows.com/windows-insider/2024/08/15/announcing-windows-11-insider-preview-build-27868-canary-channel/)

51
source/_posts/weekly/2024/2024-16.md
View File

@ -14,32 +14,39 @@ permalink: /weekly/2024-16/index.html
date: 2024-08-27 19:00:00
---
## 正文
### 1 AI马斯克骗走82岁老人近500万积蓄
近日外媒曝光了一种全新的数字诈骗诈骗犯利用复杂的AI工具制作特斯拉CEO马斯克等名人的视频并利用这些“AI名人”对各种虚假的产品或“投资”进行背书并承诺高额投资回报。
在其中一个典型案例中“AI马斯克”背书的一家所谓的外汇公司轻松骗走了一名82岁的退休老人超过69万美元约495万元人民币的毕生积蓄。
近日外媒曝光了一种全新的数字诈骗诈骗犯利用复杂的AI工具制作特斯拉CEO马斯克等名人的视频并利用这些“AI名人”对各种虚假的产品或“投资”进行背书并承诺高额投资回报。
在其中一个典型案例中“AI马斯克”背书的一家所谓的外汇公司轻松骗走了一名82岁的退休老人超过69万美元约495万元人民币的毕生积蓄。
在这类骗局中诈骗犯通常先寻找一个真实的采访马斯克的视频再使用AI工具将他的声音替换并利用口型同步技术编辑马斯克的口型让视频看起来更加真实。对于普通人来说这种以假乱真的视频可能是非常难以辨别的。
> 消息来源: [新浪科技](https://weibo.com/1642634100/OsRZ2FVLJ)
### 2 谷歌开放 HeAR AI 模型 API1 亿条咳嗽声训练,辅助筛查、诊断和监测肺结核
谷歌公司于当地时间 8 月 19 日发布博文,宣布通过 Google Cloud API目前已经向研究人员开放健康声学表征Health Acoustic Representations简称 HeARAI 模型。
谷歌公司于当地时间 8 月 19 日发布博文,宣布通过 Google Cloud API目前已经向研究人员开放健康声学表征Health Acoustic Representations简称 HeARAI 模型。
谷歌表示 HeAR 在各项任务中的表现均由于其它模型,在捕捉健康相关声学数据中的有意义模式方面表现出了卓越的能力。
> 消息来源: [Google Blog](https://blog.google/technology/health/ai-model-cough-disease-detection/)
### 3 美国一市长候选人欲用 ChatGPT 治理城市,遭 OpenAI 封号
据《卫报》报道,美国怀俄明州夏延市的市长候选人维克多・米勒计划在就职后使用一个由 AI 驱动的机器人来管理当地政府,该机器人被称为 VicVirtual Integrated Citizen由 OpenAI 的 ChatGPT 提供支持,号称可以处理大量数据并做出公正的决策。
据《卫报》报道,美国怀俄明州夏延市的市长候选人维克多・米勒计划在就职后使用一个由 AI 驱动的机器人来管理当地政府,该机器人被称为 VicVirtual Integrated Citizen由 OpenAI 的 ChatGPT 提供支持,号称可以处理大量数据并做出公正的决策。
OpenAI 随后关闭了米勒的账户,最终使得该机器人停止运行。根据 OpenAI 的说法,使用 AI 产品进行竞选违反了其政策。然而有报道称,米勒已经创建了另一个账户并又开发了一个定制的机器人。
> 消息来源: [卫报](https://www.theguardian.com/us-news/article/2024/aug/19/ai-mayor-candidate-victor-miller-cheyenne-wyoming)
### 4 中国已成 CNCF 全球第二大开源贡献国GitHub 用户活跃率全球第一
8 月 21 日KubeCon + CloudNativeCon + Open Source Summit + AI_dev China 2024 在香港拉开帷幕。CNCF 首席技术官 Chris Aniszczyk 表示,中国在 CNCF 托管的开源项目中贡献了近 100 万代码,稳居全球第二大开源贡献国之位。
8 月 21 日KubeCon + CloudNativeCon + Open Source Summit + AI_dev China 2024 在香港拉开帷幕。CNCF 首席技术官 Chris Aniszczyk 表示,中国在 CNCF 托管的开源项目中贡献了近 100 万代码,稳居全球第二大开源贡献国之位。
GitHub 社区副总裁 Stormy Peters 在演讲中指出,中国的 1100 万开发者在全球开源和 AI 领域占据了重要位置。根据《2024 中国开源发展现状》报告,中国开发者不仅数量位居全球第三,活跃度更是全球第一,展现出极强的技术影响力。
> 消息来源: [IT之家](https://www.ithome.com/0/790/431.htm)
> 评论: [我以前看到过一个笑话:有个外国人说, 中国的程序员都很注重隐私他们都不会用自己的真实IP访问](https://t.me/zaihua/26920?comment=6098335)
### 5 Litespeed Cache 漏洞导致数百万 WordPress 网站暴露在攻击之下
LiteSpeed Cache WordPress 插件中存在一个严重漏洞,攻击者可以通过创建恶意管理员帐户来控制数百万个网站。
该插件的用户模拟功能中发现了未经身份验证的权限提升漏洞 ( CVE-2024-28000 (https://nvd.nist.gov/vuln/detail/CVE-2024-28000) ),是由 LiteSpeed Cache 6.3.0.1 及更高版本中的弱哈希校验引起的。安全研究员 John Blackbourn 于 8 月 1 日向 Patchstack 的漏洞赏金计划提交了这个漏洞。LiteSpeed 团队开发了一个补丁,并将其与 8 月 13 日发布的 LiteSpeed Cache 6.4 版一起发布。
该插件的用户模拟功能中发现了未经身份验证的权限提升漏洞 ( CVE-2024-28000 (<https://nvd.nist.gov/vuln/detail/CVE-2024-28000>) ),是由 LiteSpeed Cache 6.3.0.1 及更高版本中的弱哈希校验引起的。安全研究员 John Blackbourn 于 8 月 1 日向 Patchstack 的漏洞赏金计划提交了这个漏洞。LiteSpeed 团队开发了一个补丁,并将其与 8 月 13 日发布的 LiteSpeed Cache 6.4 版一起发布。
```
安全研究员 John Blackbourn 于 8 月 1 日向 Patchstack 的漏洞赏金计划提交了这个漏洞。LiteSpeed 团队开发了一个补丁,并将其与 8 月 13 日发布的 LiteSpeed Cache 6.4 版一起发布。
@ -51,35 +58,9 @@ Patchstack 安全研究员 Rafie Muhammad 周三解释说:“我们能够确
虽然开发团队已于上周二发布了修复此严重安全漏洞的版本但WordPress 官方插件库的下载统计数据显示,该插件的下载次数仅为 250 多万次,这意味着超过一半使用该插件的网站可能面临攻击。
```
> 消息来源: [Bleeping Computer](https://www.bleepingcomputer.com/news/security/litespeed-cache-bug-exposes-millions-of-wordpress-sites-to-takeover-attacks/)
![下暴雨军训停了出来摸鱼](/img/weekly/2024/16/dy-rain1.png)
![WOW](/img/weekly/2024/16/dy-rain.jpg)
![下暴雨军训停了出来摸鱼](/img/weekly/2024/16/dy-rain1.png)
![WOW](/img/weekly/2024/16/dy-rain.jpg)
(下暴雨军训停了出来摸鱼,教室都成水帘洞了)

136
source/_posts/weekly/2024/2024-17.md
View File

@ -15,149 +15,51 @@ permalink: /weekly/2024-17/index.html
date: 2024-09-09 12:47:20
---
## 正文
### 1 微软突然改口39年的经典控制面板不会被淘汰了
微软在一篇支持文章中提到“控制面板即将被淘汰deprecated将被新的系统设置应用全面取代提供更为现代、流畅的体验。”
但就在我们怀念这个拥有39年历史的经典功能之时微软却突然改口了
### 1 微软突然改口39年的经典控制面板不会被淘汰了
微软在一篇支持文章中提到“控制面板即将被淘汰deprecated将被新的系统设置应用全面取代提供更为现代、流畅的体验。”
但就在我们怀念这个拥有39年历史的经典功能之时微软却突然改口了
上述支持文章已修改说法:“控制面板中的大量设置正在转移到系统设置应用,提供更为现代、流畅的体验。”
>消息来源: XFASTEST(https://news.xfastest.com/microsoft/143930/)
>消息来源: XFASTEST(<https://news.xfastest.com/microsoft/143930/>)
>评论: [win10是最后一个版本☝](https://t.me/zaihua/27029?comment=6128506)
### 2 Python开发者调查55%使用Linux6%仍在使用Python 2
第7届年度Python开发者调查结果显示尽管Python 2已于2020年4月停止支持仍有6%的受访者在使用。55%的开发者使用Linux作为开发环境。Visual Studio Code是最受欢迎的IDE占22%。37%的受访者在过去一年中为开源项目做出贡献。近三分之一的受访者年龄在21-29岁之间。49%的受访者编程经验少于两年。在以Python为主要语言的开发者中数据分析和Web开发是最常见的应用领域各占44%。62%的受访者受雇于公司12%为学生。
>消息来源: [Slashdot](https://developers.slashdot.org/story/24/09/01/0256245/python-developer-survey-55-use-linux-6-use-python-2)
### 3 ChatGPT被曝将新增8种语音ChatGPT将能更自然表达狗叫等声音
科技媒体testingcatalog 昨日报道称通过逆向工程 ChatGPT 应用,发现 OpenAI 即将扩充添加语音,让朗读的声音更加自然和富有表现力。
有迹象表明 OpenAI 未来可能会额外推出 8 种新的语音,每种语音都有一个独特的代号,后续可能会逐步推出。
这些新声音的另一个有趣特点是,它们能够更自然地表达声音,如动物叫声或其他非语言声音。
科技媒体testingcatalog 昨日报道称通过逆向工程 ChatGPT 应用,发现 OpenAI 即将扩充添加语音,让朗读的声音更加自然和富有表现力。
有迹象表明 OpenAI 未来可能会额外推出 8 种新的语音,每种语音都有一个独特的代号,后续可能会逐步推出。
这些新声音的另一个有趣特点是,它们能够更自然地表达声音,如动物叫声或其他非语言声音。
此外,在朗读加粗或斜体的文字时,它们还能传达或强调特定的情绪。不过,重要的是要记住,这些仍然是 TTS文本到语音语音很可能与目前处于 alpha 阶段的高级语音模式无关。
>消息来源: [新浪科技](https://weibo.com/1642634100/OveiJpoi6)
### 4 一项研究表明,目前互联网上有 57% 的内容是 AI 生成的
结果质量和 AI 模型训练。随着 AI 内容泛滥Copilot 和 ChatGPT 等工具的知识范围不断缩小导致响应不准确和误导性信息增多。研究发现AI 生成的响应在每次尝试后都会在价值和准确性上退化。这种恶性循环源于 AI 工具过度依赖网上已有的 AI 生成内容,而这些内容往往未经事实核查就被发布。
结果质量和 AI 模型训练。随着 AI 内容泛滥Copilot 和 ChatGPT 等工具的知识范围不断缩小导致响应不准确和误导性信息增多。研究发现AI 生成的响应在每次尝试后都会在价值和准确性上退化。这种恶性循环源于 AI 工具过度依赖网上已有的 AI 生成内容,而这些内容往往未经事实核查就被发布。
OpenAI CEO 山姆·阿尔特曼承认,创建 ChatGPT 这样的工具离不开受版权保护的内容,但目前版权法并不禁止将这些内容用于 AI 模型训练。随着生成式 AI 快速普及区分真实与虚假内容变得越发困难。研究警告如果这一趋势持续搜索结果质量可能会进一步恶化AI 模型的训练效果也将受到严重影响。
>消息来源: [Windows Central](https://www.windowscentral.com/software-apps/sam-altman-indicated-its-impossible-to-create-chatgpt-without-copyrighted-material)
### 5 谷歌照片美国测试“询问照片内容”功能由Gemini AI 模型驱动
谷歌在美国为Google Photos用户推出"询问照片内容"测试功能。该功能由Gemini AI模型驱动允许用户用自然语言询问照片信息如拍摄地点和时间。用户通过键盘输入问题AI根据照片内容给出答案。目前仅面向部分美国安卓和iOS用户开放测试。这一功能展示了AI在图像识别和自然语言处理方面的进步提升了照片管理体验。
>消息来源: [Google Blog](https://blog.google/products/photos/google-ask-photos-early-access/)
### 6 AI模型有望提前数月预测大地震
阿拉斯加费尔班克斯大学研究人员开发出新型AI模型可能在大地震发生前数月预测结果。该模型通过机器学习分析地震目录数据识别异常低震级活动预测大地震概率。
研究以2018年安克雷奇和2019年加州里奇克雷斯特地震为例发现大地震前约3个月出现异常活动。
阿拉斯加费尔班克斯大学研究人员开发出新型AI模型可能在大地震发生前数月预测结果。该模型通过机器学习分析地震目录数据识别异常低震级活动预测大地震概率。
研究以2018年安克雷奇和2019年加州里奇克雷斯特地震为例发现大地震前约3个月出现异常活动。
尽管前景可期,研究人员强调需进一步测试,并考虑地震预报的伦理和实际问题。错误的警报可能导致不必要的恐慌、经济混乱和公众信任的丧失,而预测失误则可能带来灾难性的后果。
>消息来源: [cnBeta.COM](https://www.cnbeta.com.tw/articles/tech/1444988.htm)
### 7 Docker官方安装脚本以及镜像拉取 已被解封
get.docker.com 和 download.docker.com 国内现已经可以正常访问。
get.docker.com 和 download.docker.com 国内现已经可以正常访问。
但是docker官网和拉取镜像的registry-1.docker.io 的地址依然是被墙的状态。(更:镜像也可以拉取了)
>消息来源: [TestFlight 在花频道](https://t.me/TestFlightCN/27252)
> 前序: [在中国访问 Docker 遭中国政府制裁](https://github.com/ssdomei232/Linux-weekly/blob/main/docs/2024/2024-8.md)

82
source/_posts/weekly/2024/2024-18.md
View File

@ -14,95 +14,51 @@ permalink: /weekly/2024-18/index.html
date: 2024-10-03 15:51:40
---
## 正文
### 1 Google Search 携手互联网档案馆,为网页提供历史快照
Google Search 宣布与非营利研究图书馆互联网档案馆The Internet Archive合作为搜索结果添加历史快照功能。用户现在可以通过搜索结果旁的三点菜单点击"更多关于此页面"选项,直接访问互联网档案馆的"时光机"Wayback Machine功能查看网页的历史版本。
> 消息来源: [9to5Google](https://9to5google.com/2024/09/11/google-search-internet-archive-wayback-machine/)
### 2 新型攻击手法 GAZEploit 通过监测眼球运动破解苹果 Vision Pro 密码
安全研究人员发现了一种新的攻击方法,称为 GAZEploit针对苹果 Vision Pro 设备。该方法通过观察用户在视频通话期间虚拟头像 Persona 的眼球运动,能够推测出用户在输入密码时的注视点。研究团队发布了一段演示,显示如何通过跟踪眼球运动来精准检测用户输入密码时所关注的虚拟键盘按键。
安全研究人员发现了一种新的攻击方法,称为 GAZEploit针对苹果 Vision Pro 设备。该方法通过观察用户在视频通话期间虚拟头像 Persona 的眼球运动,能够推测出用户在输入密码时的注视点。研究团队发布了一段演示,显示如何通过跟踪眼球运动来精准检测用户输入密码时所关注的虚拟键盘按键。
研究人员分析了 30 名 Vision Pro 用户的眼球运动,得出的准确率高达 85.9%。当 Vision Pro 在独立模式中时虚拟键盘会根据眼动追踪显示用户所关注的按键。然而在视频通话中Persona 的眼睛会反映真实用户的眼动,攻击者因此可以通过监控眼球运动获取更多信息,包括输入的消息和网站地址,提升了潜在的安全威胁。
> 消息来源: [9to5mac](https://9to5mac.com/2024/09/12/gazeploit-vision-pro-passwords/)
### 3 “谷歌”正在失去作为动词的地位
大约二十年前谷歌达到了一个重要的里程碑。《韦氏词典》将“谷歌”作为动词收录意思是通过网络搜索某些内容。但如今该特殊地位已经开始下滑。伯恩斯坦研究公司分析师在研究报告中写道“再见了谷歌这个动词。年轻一代现在喜欢用搜索而不是谷歌一下。Z 世代,尤其是 α 世代几乎不再使用谷歌作为动词他们只是会说搜索一下。”在网上搜索一些东西Z 世代往往打开 TikTok 应用查看餐厅和酒店推荐。分析师解释道,或者他们会看到某个他们喜欢的创作者推荐一款让他们感兴趣的新产品,然后直接前往该品牌的应用或网站。
> 消息来源: [商业内幕](https://www.businessinsider.com/google-losing-status-as-verb-genz-2024-9?IR=T)
### 4 英特尔确认第13、14代酷睿桌面处理器不稳定问题将推出新版微代码修复
英特尔员工Thomas Hannaford在英特尔官网社区发帖确认第13、14代酷睿桌面处理器不稳定的根本原因是CPU核心的时钟树电路在高电压和高温度下可靠性老化可能导致时钟工作周期偏移进而引起系统不稳定。英特尔确定了四种可能导致Vmin Shift的操作场景并已经或计划推出相应的微代码更新来解决这些问题。
英特尔员工Thomas Hannaford在英特尔官网社区发帖确认第13、14代酷睿桌面处理器不稳定的根本原因是CPU核心的时钟树电路在高电压和高温度下可靠性老化可能导致时钟工作周期偏移进而引起系统不稳定。英特尔确定了四种可能导致Vmin Shift的操作场景并已经或计划推出相应的微代码更新来解决这些问题。
其中0x12B版本微代码将整合之前的0x125和0x129更新解决空载或轻负载下的高电压请求问题。英特尔正在与合作伙伴一起推出包含0x12B微代码的BIOS更新。
> 消息来源: [Intel Community](https://community.intel.com/t5/Processors/Intel-Core-13th-and-14th-Gen-Desktop-Instability-Root-Cause/m-p/1633442)
### 5 Linux惊现漏洞最高9.9分
Linux系统中存在一个高危的远程代码执行漏洞该漏洞存在于Unix打印系统CUPS中特别是当用户运行CUPS并启用了cups-browsed服务时有被攻击的风险。该漏洞已经分配了CVE编号分别是CVE-2024-47176、CVE-2024-47076、CVE-2024-47175和CVE-2024-47177。
目前部分发行版以提供修复,这里有一些缓解措施如禁用cups-browsed打印服务、限制对UDP端口631的访问等。
CVE-2024-47176 (https://nvd.nist.gov/vuln/detail/CVE-2024-47176)
很多 Linux 在 VPS 上面那种几百 M 的精简版受到波及的可能性不高
Linux系统中存在一个高危的远程代码执行漏洞该漏洞存在于Unix打印系统CUPS中特别是当用户运行CUPS并启用了cups-browsed服务时有被攻击的风险。该漏洞已经分配了CVE编号分别是CVE-2024-47176、CVE-2024-47076、CVE-2024-47175和CVE-2024-47177。
目前部分发行版以提供修复,这里有一些缓解措施如禁用cups-browsed打印服务、限制对UDP端口631的访问等。
CVE-2024-47176 (<https://nvd.nist.gov/vuln/detail/CVE-2024-47176>)
很多 Linux 在 VPS 上面那种几百 M 的精简版受到波及的可能性不高
> 消息来源: [科技圈🎗在花频道📮](https://t.me/TestFlightCN/27688)
### 6 Cloudflare 重新开始推出 ECH 功能并推出 Zstandard 压缩和 HTTP/3 优先级特性
Cloudflare 通过[博客更新](https://blog.cloudflare.com/new-standards/)了多项网络架构重大改进。加密客户端问候 (ECH) 是 ESNI 的后继者,可屏蔽用于协商 TLS 握手的服务器名称指示 (SNI),防止中间人窥探用户正在访问的网站。每当用户访问启用了 ECH 的 Cloudflare 网站时除了用户、Cloudflare 和网站所有者之外没有人能够确定访问了哪个网站。Cloudflare 将其弥补了互联网隐私最后的重大缺陷。该特性于2023年9月[首次启用](https://blog.cloudflare.com/announcing-encrypted-client-hello/),数星期后因兼容性问题而被[全局禁用](https://community.cloudflare.com/t/early-hints-and-encrypted-client-hello-ech-are-currently-disabled-globally/567730)。在与浏览器厂商合作解决该问题后,今天该特性已开始重新开始推出,默认对所有免费用户启用,付费用户可以从控制面板手动启用。
Cloudflare 通过[博客更新](https://blog.cloudflare.com/new-standards/)了多项网络架构重大改进。加密客户端问候 (ECH) 是 ESNI 的后继者,可屏蔽用于协商 TLS 握手的服务器名称指示 (SNI),防止中间人窥探用户正在访问的网站。每当用户访问启用了 ECH 的 Cloudflare 网站时除了用户、Cloudflare 和网站所有者之外没有人能够确定访问了哪个网站。Cloudflare 将其弥补了互联网隐私最后的重大缺陷。该特性于2023年9月[首次启用](https://blog.cloudflare.com/announcing-encrypted-client-hello/),数星期后因兼容性问题而被[全局禁用](https://community.cloudflare.com/t/early-hints-and-encrypted-client-hello-ech-are-currently-disabled-globally/567730)。在与浏览器厂商合作解决该问题后,今天该特性已开始重新开始推出,默认对所有免费用户启用,付费用户可以从控制面板手动启用。
Cloudflare 还为所有用户启用了 Zstandard (zstd) 压缩算法,其数据压缩速度比 Brotli 快 42%,同时保持几乎相同的压缩级别。与 GZIP 相比Zstandard 还将文件大小减少了 11.3%同时保持了相当的速度。在第四季度Cloudflare 将启用 HTTP/3 优先级支持。HTTP/3 优先级旨在通过智能管理向用户提供 Web 资源的顺序来提高网页加载的效率和速度。
> 消息来源: [VPS信号旗播报](https://t.me/vps_xhq/655)
### 7 公告显示 .WIKI .VIP 等10个域名中国注册管理机构将变更预计不影响用户使用
北京拓扑维度科技有限公司已[表示](https://toplevel.ink/30-day-notice.html)将变更 [.]INK/[.]WIKI 中国注册管理机构,根据《互联网域名管理办法》,拓扑维度已提交[.]INK/[.]WIKI 终止经营申请。待终止经营获批后,北京戈达迪商域科技有限公司向工信部提交[.]INK/[.]WIKI 互联网域名服务许可证申请,并在获批后成为[.]INK/[.]WIKI 新注册管理机构。当域名注册管理机构许可被注销后域名无法申请工信部 ICP 备案。
据了解Registry Services, LLC 是[.]INK/[.]WIKI 注册管理机构,北京戈达迪商域科技有限公司是 Registry Services, LLC 的子公司。
北京拓扑维度科技有限公司已[表示](https://toplevel.ink/30-day-notice.html)将变更 [.]INK/[.]WIKI 中国注册管理机构,根据《互联网域名管理办法》,拓扑维度已提交[.]INK/[.]WIKI 终止经营申请。待终止经营获批后,北京戈达迪商域科技有限公司向工信部提交[.]INK/[.]WIKI 互联网域名服务许可证申请,并在获批后成为[.]INK/[.]WIKI 新注册管理机构。当域名注册管理机构许可被注销后域名无法申请工信部 ICP 备案。
据了解Registry Services, LLC 是[.]INK/[.]WIKI 注册管理机构,北京戈达迪商域科技有限公司是 Registry Services, LLC 的子公司。
根据[工信部公示](https://www.miit.gov.cn/zwgk/wjgs/art/2024/art_b64fa7c6a9014ed1ba39feb85587641d.html)文件,北京明智墨思科技有限公司也提交了申请终止经营“.VIP”“.BEER”“.LAW”“.WORK”“.FASHION”“.LUXE”“.YOGA”“.FIT”等8个顶级域相关业务并注销上述8个顶级域域名注册管理机构许可。暂时没有找到相关企业的变更通知预计将会采取同上类似措施。
> 消息来源: [VPS信号旗播报](https://t.me/vps_xhq/656)
### 8 哈佛大学学生改造 Meta 智能眼镜:添加面部识别功能 可联网搜索姓名
### 8 哈佛大学学生改造 Meta 智能眼镜:添加面部识别功能 可联网搜索姓名
哈佛大学的两名学生改造了一副 Meta X 雷朋智能眼镜,添加了基于人工智能的面部识别技术,打造出一款能够实时识别人物的可穿戴设备。经过改进的 Meta 智能眼镜能够使用摄像头扫描陌生人的脸部以获取其姓名,并且还可以从存储此类数据的互联网网站提取家庭住址、电话号码和家庭成员等信息。两名学生 AnhPhu Nguyen 和 Caine Ardayfio 在公共场合演示了这副眼镜。Ardayfio 走到一位陌生人面前,扫描了她的面孔,获得了她的名字和相关信息,然后从搜索结果显示某个与她有关的企业里假装认识她。第二次演示中,随机识别了一位男性并发起对话,根据眼镜显示的信息假装读过他的作品。
> 消息来源: [404 Media](https://www.404media.co/someone-put-facial-recognition-tech-onto-metas-smart-glasses-to-instantly-dox-strangers/)

155
source/_posts/weekly/2024/2024-19.md
View File

@ -18,65 +18,76 @@ permalink: /weekly/2024-19/index.html
date: 2024-10-20 19:38:16
---
## 正文
### 1 Google Lens 现可让用户通过视频进行搜索
10月4日如果用户无法仅通过图片捕捉到想要搜索的内容Google Lens 现在将允许用户拍摄视频,甚至可以使用语音询问您所看到的内容。该功能将根据视频内容和用户的问题显示人工智能摘要和搜索结果。该功能今天在安卓和 iOS 上的搜索实验室中推出。谷歌在 5 月份的 I/O 大会上首次展示了使用视频进行搜索的功能。谷歌举例来说,对水族馆里的鱼感到好奇的人可以将手机举到展品前,打开 Google Lens 应用,然后按住快门按钮。一旦 Lens 开始录制,他们就可以提出问题:“为什么它们会一起游泳?”然后 Google Lens 使用 Gemini AI 模型提供响应。
> 消息来源: [TheVerge](https://www.theverge.com/2024/10/3/24259759/google-lens-search-video-ai-launch)
### 2 谷歌日本打造莫比乌斯环 Gboard 实体键盘
谷歌日本宣布推出类似于莫比乌斯环的实体键盘。谷歌表示,迄今为止我们开发的键盘,都只关注了键盘表面的问题。于是就开发出了这款里外连在一起的 Gboard 双面版本。键盘由26个模块组成其中每块上有8个按键相互之间扭转后连接做成了不区分正反的设计。谷歌已将设计文档与固件发布到 [GitHub](https://github.com/google/mozc-devices/tree/master/mozc-doublesided)。
> 消息来源: [谷歌日本](https://landing.google.co.jp/double-sided/)
### 3 网友发现使用这个 KEY 激活 Windows 10/11 系统会导致循环崩溃只能重装
在 X 上有网友发现某个神奇的 KEY安装这个 KEY BFXT4-MY2GY-MBCRK-PBN7B-HT963 后系统会自动重启接着就是循环崩溃,目前没有任何办法能够修复系统。
在 X 上有网友发现某个神奇的 KEY安装这个 KEY BFXT4-MY2GY-MBCRK-PBN7B-HT963 后系统会自动重启接着就是循环崩溃,目前没有任何办法能够修复系统。
至于这个 KEY 为什么会导致系统循环崩溃目前也不清楚,这可能会被恶作剧者利用,各位在网上寻找密钥时应谨慎避免上当。
> 消息来源: [蓝点网](https://ourl.co/105995)
不可靠消息:
不可靠消息:
> [这是中国特供版的key。系统没有中文语言包直接挂逼。](https://t.me/Naixi2tg/3267)
### 4 2024年诺贝尔物理学奖及化学奖颁给了计算机相关研究
2024年诺贝尔物理学奖授予约翰·霍普菲尔德和杰弗里·欣顿以表彰其在使用人工神经网络的机器学习方面基础性发现和发明的贡献。
2024年诺贝尔化学奖由David Baker以及来自谷歌DeepMind公司的Demis Hassabis和John M. Jumper平分以表彰他们在计算蛋白质设计和蛋白质结构预测的贡献。
去年2月David Baker团队在Nature发表论文 开发了可以从头设计人造荧光素酶的深度学习算法,为科学界首次基于深度学习的人工智能来创造全新的酶。
去年4月David Baker团队在Science发表论文 开发了一种基于强化学习的蛋白质设计软件,并证明了它有能力创造有功能的蛋白质。
DeepMind科学家Demis Hassabis 和John Jumper因创造了一项能够预测蛋白质三维结构的革命性技术AlphaFold在去年9月获得了美国医学最具声望的生物医学奖项拉斯克奖。
2024年诺贝尔物理学奖授予约翰·霍普菲尔德和杰弗里·欣顿以表彰其在使用人工神经网络的机器学习方面基础性发现和发明的贡献。
2024年诺贝尔化学奖由David Baker以及来自谷歌DeepMind公司的Demis Hassabis和John M. Jumper平分以表彰他们在计算蛋白质设计和蛋白质结构预测的贡献。
去年2月David Baker团队在Nature发表论文 开发了可以从头设计人造荧光素酶的深度学习算法,为科学界首次基于深度学习的人工智能来创造全新的酶。
去年4月David Baker团队在Science发表论文 开发了一种基于强化学习的蛋白质设计软件,并证明了它有能力创造有功能的蛋白质。
DeepMind科学家Demis Hassabis 和John Jumper因创造了一项能够预测蛋白质三维结构的革命性技术AlphaFold在去年9月获得了美国医学最具声望的生物医学奖项拉斯克奖。
> 消息来源: [LoopDNS资讯播报](https://t.me/DNSPODT)
### 5 影视飓风下架《清晰度不如4年前视频变糊是你的错觉吗》科普视频
影视飓风发布《清晰度不如4年前视频变糊是你的错觉吗》科普了视频平台为了降低流量费用支出。通过降低视频码率改变编码格式等方式压缩博主上传的视频画质。在科普视频中潘天鸿表示这种压缩视频画质的方法已经影响了博主的内容表达。
截至9日中午该视频在B站获得超过40万播放。9日14点38分@影视飓风MediaStorm 发博称:“因为多方原因,有关清晰度的视频只能全网下架了,我们仍然希望互联网技术可以不断演进,让大家看到更清晰的视频。 ”
影视飓风发布《清晰度不如4年前视频变糊是你的错觉吗》科普了视频平台为了降低流量费用支出。通过降低视频码率改变编码格式等方式压缩博主上传的视频画质。在科普视频中潘天鸿表示这种压缩视频画质的方法已经影响了博主的内容表达。
截至9日中午该视频在B站获得超过40万播放。9日14点38分@影视飓风MediaStorm 发博称:“因为多方原因,有关清晰度的视频只能全网下架了,我们仍然希望互联网技术可以不断演进,让大家看到更清晰的视频。 ”
> 消息来源: [影视飓风 MediaStorm](https://weibo.com/1044980795/OAKeqgw4U)
**相关评价:**
『在国内,运营商是绝对强势,只有它收钱的道理。你优酷想要发展华南用户,就必须来我电信骨干网拉条线。在这个模式下,网站运营者需要向运营商付出带宽费用,来保障用户访问速度。
在国外Google是绝对强势你一个运营商访问 Google 都这么卡,等着用户换宽带品牌吧。所以,运营商要用 Peering 主动和 Google 的机房对接。在这个方向下,网站运营者不额外付费甚至能管运营商要钱,用于改善用户访问。』
**相关评价:**
『在国内,运营商是绝对强势,只有它收钱的道理。你优酷想要发展华南用户,就必须来我电信骨干网拉条线。在这个模式下,网站运营者需要向运营商付出带宽费用,来保障用户访问速度。
在国外Google是绝对强势你一个运营商访问 Google 都这么卡,等着用户换宽带品牌吧。所以,运营商要用 Peering 主动和 Google 的机房对接。在这个方向下,网站运营者不额外付费甚至能管运营商要钱,用于改善用户访问。』
> 来源: [知乎大巴扎](https://t.me/zhihu_bazaar/6170)
国内运营商电信移动联通是完全垄断的随着政策对于c端用户持续降费的要求通信服务商为了盈利就只能向b端用户加钱。因为垄断b端用户在国内运营没法选择运营商所以在同样用户规模的情况下只能选择承受比国外同类企业更高的通信成本。
国内运营商电信移动联通是完全垄断的随着政策对于c端用户持续降费的要求通信服务商为了盈利就只能向b端用户加钱。因为垄断b端用户在国内运营没法选择运营商所以在同样用户规模的情况下只能选择承受比国外同类企业更高的通信成本。
但其实运营商的负担也很大这些年国家推广5G运营商有指标要采购某些很昂贵的设备这些设备从商业和经济角度并不值得。
> 来源: [知乎](https://www.zhihu.com/question/790765906/answer/4603255774)
### 6 安全研究员展示使用打火机电弧获取root权限
著名安全研究员 David "retr0id" Buchanan 通过利用打火机上的压电点火器翻转其内存中的位,成功利用运行笔记本电脑的软件来获取 shell。Buchanan 承认,他的实验需要对目标设备进行一些不太精细的硬件修改,“如果你将一根约 10 厘米长的‘天线’线连接到笔记本电脑的 DRAM 数据总线上,它就会对电磁干扰变得格外敏感,以至于点击附近的压电弧光打火机都会引起位翻转。”相关的概念证明程序已经发布到 GitHub (https://github.com/DavidBuchanan314/dram_emfi/blob/348bd15c9e767bff5968a4fcc80a97b81dc63bda/ddr3_dq7.py) 上。
著名安全研究员 David "retr0id" Buchanan 通过利用打火机上的压电点火器翻转其内存中的位,成功利用运行笔记本电脑的软件来获取 shell。Buchanan 承认,他的实验需要对目标设备进行一些不太精细的硬件修改,“如果你将一根约 10 厘米长的‘天线’线连接到笔记本电脑的 DRAM 数据总线上,它就会对电磁干扰变得格外敏感,以至于点击附近的压电弧光打火机都会引起位翻转。”相关的概念证明程序已经发布到 GitHub (<https://github.com/DavidBuchanan314/dram_emfi/blob/348bd15c9e767bff5968a4fcc80a97b81dc63bda/ddr3_dq7.py>) 上。
通过一些额外的步骤Buchanan 成功地改变了机器逻辑,获取到 root 权限,让他可以读写物理内存中的任何一点。 他只需在天线附近打响普通压电打火机,就能在机器内存中诱发有针对性的比特翻转错误,从而获得访问权限。这种方法的成功率并不完全是 100%,通常"需要点击几次打火机才能获得良好的效果"。 尽管如此,该演示仍然让人大开眼界,展示了电磁故障注入攻击的范围。
> 消息来源: [Hackster](https://www.hackster.io/news/david-buchanan-opens-a-shell-on-his-laptop-the-hard-way-with-a-controlled-electromagnetic-pulse-791463b9118b)
### 7 复盘上交所爆单宕机事件:问题源于信创 最后靠重启系统解决
9月27日上交所因系统负载过高导致交易缓慢异常部分券商客户端崩溃。尽管成交量不大但交易堵塞依然严重。9月29日问题通过重启系统解决。专业人士指出问题源于上交所老旧的系统在高负载下内存耗尽而信创改造导致的兼容性问题也可能是关键原因之一。
9月27日上交所因系统负载过高导致交易缓慢异常部分券商客户端崩溃。尽管成交量不大但交易堵塞依然严重。9月29日问题通过重启系统解决。专业人士指出问题源于上交所老旧的系统在高负载下内存耗尽而信创改造导致的兼容性问题也可能是关键原因之一。
相比之下,深交所的交易系统尚未出现异常。据悉,深交所的系统早期源于 IBM 的一套技术后买下版权自主研发出了第五代交易系统⸺STSV5完全基于开放平台和分布式架构于 2016 年 6 月上线。
> 消息来源: [cnbeta](https://www.cnbeta.com.tw/articles/tech/1448961.htm)
### 8 苹果研究员质疑大语言模型LLM的推理能力认为其仅是复杂的模式匹配
苹果研究员Mehrdad Farajtabar等人发表的论文对大型语言模型LLM的推理能力提出质疑认为LLM所谓的“推理”能力实际上只是复杂的模式匹配并非真正的逻辑推理。研究团队开发了GSM-Symbolic工具基于GSM8K测试集生成符号模板发现目前的LLM如Llama、Phi、Gemma、Mistral 等开源模型,以及 GPT-4o 和 o1 系列等闭源模型对专有名词和数字的更改非常敏感显示出对数学概念理解的不足。实验结果显示即使在参数和数据量增加的情况下LLM的推理能力并没有实质性提升只是成为了“更好的模式匹配器”。
> 消息来源: [arxiv](https://arxiv.org/pdf/2410.05229)
### 9 美国奥斯汀Instagram排名第一的餐厅食物照片均为AI生成
Ethos_atx自称美国奥斯汀第一大热门餐厅拥有近73,000名Instagram粉丝和大量积极评价但其所有内容皆为AI生成。
Ethos_atx自称美国奥斯汀第一大热门餐厅拥有近73,000名Instagram粉丝和大量积极评价但其所有内容皆为AI生成。
尽管其帖子获得数千点赞但许多用户对此毫无察觉甚至称赞那些虚构的美食摄影。该餐厅还销售AI生成的商品如手机壳和T恤目前尚不清楚该账号的最终目标是什么。
> 消息来源: [usermag](https://www.usermag.co/p/the-1-restaurant-in-austin-doesnt)
### 10 将 Android 手机变成监听工具
之前的实验表明智能手机中的陀螺仪和加速计等惯性测量单元IMU可以通过检测声波振动监听对话。这意味着即使是一个没有开启麦克风权限的应用程序也可以通过 IMU 获得对话内容。为了不让攻击者获得准确信息Google 将 Android 应用从 IMU 采样数据的频率限制在每秒 200 次,使攻击者无法准确获得对话内容。
之前的实验表明智能手机中的陀螺仪和加速计等惯性测量单元IMU可以通过检测声波振动监听对话。这意味着即使是一个没有开启麦克风权限的应用程序也可以通过 IMU 获得对话内容。为了不让攻击者获得准确信息Google 将 Android 应用从 IMU 采样数据的频率限制在每秒 200 次,使攻击者无法准确获得对话内容。
根据发表在预印本平台 arXiv 上的预印本,研究人员发现了一个漏洞——通过欺骗陀螺仪和运动传感器在时间上稍微偏移地进行测量,将应用实际采样率从每秒 200 次提高到 400 次,可以突破上述保护措施。利用这种方法,攻击者能修复获得的音频量大大提升。与每秒仅采集 200 个样本相比,他们的方法在 AI 转录时单词错误率降低了 83%。这表明,目前的安全保护措施“不足以防止复杂的窃听攻击发生”,应该对其重新评估。
> 消息来源: [Solidot](https://www.solidot.org/story?sid=79499)[Arxiv](https://arxiv.org/abs/2409.16438)
@ -84,114 +95,32 @@ Ethos_atx自称美国奥斯汀第一大热门餐厅拥有近73,000名Insta
> 消息来源: [科技圈🎗在花频道📮](https://t.me/TestFlightCN/28056)
### 11 小米 Vela 系统代码即将开源,开启先锋体验计划
Vela 是小米基于开源实时操作系统 NuttX 打造的物联网嵌入式软件平台,最小系统仅需 8KB 内存CPU 主频不限,适配任意 SoC 多核架构,支持柔性部署。
在去年底的 2023 小米 IoT 生态伙伴大会上,小米宣布将开源 Vela 系统。
目前小米已开启 Vela 开源先锋体验计划活动招募,官方表示 Vela 代码即将开源,将对外公开超过 1000 万行的 Xiaomi Vela 开源代码。
Vela 是小米基于开源实时操作系统 NuttX 打造的物联网嵌入式软件平台,最小系统仅需 8KB 内存CPU 主频不限,适配任意 SoC 多核架构,支持柔性部署。
在去年底的 2023 小米 IoT 生态伙伴大会上,小米宣布将开源 Vela 系统。
目前小米已开启 Vela 开源先锋体验计划活动招募,官方表示 Vela 代码即将开源,将对外公开超过 1000 万行的 Xiaomi Vela 开源代码。
> 消息来源: [新浪新闻](https://finance.sina.com.cn/tech/roll/2024-10-16/doc-incstaqz0494298.shtml)
### 12 Cloudflare的安全措施可能无意中阻止RSS订阅用户访问网站内容
Cloudflare前不久推出了“机器人战斗模式”和“阻止所有AI抓取器和爬虫”功能这些措施可能无意中阻止了合法的RSS订阅用户访问网站内容。Cloudflare使用AI生成的分数来评估访问者是否为AI抓取器或机器人而RSS阅读器在尝试访问网站时会收到无法完成的挑战导致访问被阻止。
Cloudflare前不久推出了“机器人战斗模式”和“阻止所有AI抓取器和爬虫”功能这些措施可能无意中阻止了合法的RSS订阅用户访问网站内容。Cloudflare使用AI生成的分数来评估访问者是否为AI抓取器或机器人而RSS阅读器在尝试访问网站时会收到无法完成的挑战导致访问被阻止。
网站所有者可以通过在Cloudflare仪表板中识别RSS阅读器的用户代理并将它们的IP地址或用户代理字符串列入白名单以解除对RSS阅读器的屏蔽。
> 消息来源: [Tops Tip](https://topstip.com/using-cloudflare-may-hinder-rss-subscribers-from-accessing-website-content/?via=E07513)
## 跟踪
### Apple提交表决提案 建议将SSL/TLS证书有效期从398天缩短到45天
前序: [谷歌的90天TLS证书有效期提案将如何影响企业](https://mei.lv/weekly/2024-04/#12-%E8%B0%B7%E6%AD%8C%E7%9A%8490%E5%A4%A9TLS%E8%AF%81%E4%B9%A6%E6%9C%89%E6%95%88%E6%9C%9F%E6%8F%90%E6%A1%88%E5%B0%86%E5%A6%82%E4%BD%95%E5%BD%B1%E5%93%8D%E4%BC%81%E4%B8%9A)
目前 CA / 浏览器论坛 (负责制定 SSL/TLS 证书相关标准的行业组织) 已经将证书有效期从 8 年缩短到目前最长的 398 天然而Apple和Google都希望继续缩短数字证书有效期以提高安全性。
苹果的这项提案为投票表决草案,很可能会在未来几个月内交由 CA / 浏览器论坛成员进行投票,如果获得大多数成员赞成,则未来苹果 Safari 浏览器将仅支持有效期在 45 天内的数字证书。
### Apple提交表决提案 建议将SSL/TLS证书有效期从398天缩短到45天
前序: [谷歌的90天TLS证书有效期提案将如何影响企业](https://mei.lv/weekly/2024-04/#12-%E8%B0%B7%E6%AD%8C%E7%9A%8490%E5%A4%A9TLS%E8%AF%81%E4%B9%A6%E6%9C%89%E6%95%88%E6%9C%9F%E6%8F%90%E6%A1%88%E5%B0%86%E5%A6%82%E4%BD%95%E5%BD%B1%E5%93%8D%E4%BC%81%E4%B8%9A)
目前 CA / 浏览器论坛 (负责制定 SSL/TLS 证书相关标准的行业组织) 已经将证书有效期从 8 年缩短到目前最长的 398 天然而Apple和Google都希望继续缩短数字证书有效期以提高安全性。
苹果的这项提案为投票表决草案,很可能会在未来几个月内交由 CA / 浏览器论坛成员进行投票,如果获得大多数成员赞成,则未来苹果 Safari 浏览器将仅支持有效期在 45 天内的数字证书。
尽管 SSL/TLS 证书已经有很多便捷的工具可以实现自动化续签,但并非每个网站和企业都可以轻松部署自动化续签流程,尤其是有些复杂的系统切换数字证书本身就是个麻烦的事情。
> 消息来源: [cnBeta](https://www.cnbeta.com.tw/articles/soft/1449389.htm)
## 题外话
### 广东蟑螂对拜灭士等有吡虫啉成分的灭蟑药已有抗药性,望周知
广东蟑螂对拜灭士等有吡虫啉成分的灭蟑药已有抗药性,望周知
> 消息来源: [科技圈🎗在花频道📮](https://t.me/TestFlightCN/27977)

24
source/_posts/weekly/2024/2024-2.md
View File

@ -14,27 +14,32 @@ permalink: /weekly/2024-02/index.html
date: 2024-3-31 12:00:00
---
## 正文
### 1 每个美国联邦机构都必须聘请一名首席人工智能官
现在,所有美国联邦机构都必须有一名高级领导人来监督他们使用的所有人工智能系统,因为政府希望确保人工智能在公共服务中的使用仍然安全。
副总统卡玛拉·哈里斯Kamala Harris在与记者的简报会上宣布了新的管理和预算办公室OMB指南并表示各机构还必须建立人工智能治理委员会以协调该机构内如何使用人工智能。各机构还必须向OMB提交一份年度报告列出他们使用的所有人工智能系统与这些系统相关的任何风险以及他们计划如何减轻这些风险。据OMB主席Shalanda Young称美国政府计划在夏天之前雇用100名人工智能专业人员。
> 消息来源: [The Verge](https://www.theverge.com/2024/3/28/24114105/federal-agencies-ai-responsible-guidance-omb-caio)
### 2 人工智能会产生幻觉,软件包和开发人员会下载它们——即使可能被恶意软件毒害
深入几家大企业已经发布了源代码,其中包含以前由生成式人工智能产生的幻觉的软件包。不仅如此,有人发现了这种反复出现的幻觉,将这种虚构的依赖变成了真实的依赖,由于人工智能的糟糕建议,开发人员随后下载并安装了数千次。如果软件包中带有实际的恶意软件,而不是良性测试,那么结果可能是灾难性的。根据 Lasso Security 的安全研究员 Bar Lanyado 的说法,被 AI 愚弄并整合该软件包的企业之一是阿里巴巴,在撰写本文时,阿里巴巴在其 `GraphTranslator` 安装说明中仍然包含一个用于下载 Python 软件包的 pip 命令。huggingface-cli有一个合法的 huggingface-cli使用 `.pip install -U "huggingface_hub[cli]`"但是,通过 Python 包索引 PyPI 分发并由阿里巴巴的 `GraphTranslator`安装的huggingface-cli 是假的,由 AI 想象并由 Lanyado 作为实验变成真实的。`pip install huggingface-cli`。去年12月他在看到它被生成式人工智能反复产生幻觉后创作了这首歌;到今年 2 月,阿里巴巴在 `GraphTranslator` 的 README 指令中提到了它,而不是真正的 Hugging Face CLI 工具,huggingface-cli。
![阿里巴巴的"假"huggingface-cli](/img/weekly/2024/02/huggingface-cli.png "此问题已于29日被更正")
![吃瓜吃到自己家](/img/weekly/2024/02/huggingface-Officer.png "吃瓜吃到自己家")
> 消息来源: [The Register](https://www.theregister.com/2024/03/28/ai_bots_hallucinate_software_packages/)
### 3 全球严重缺乏网络威胁准备成熟度
据 SiliconAngle 报道,全球只有 3% 的组织完全准备好应对日益复杂的网络安全威胁,包括勒索软件攻击和供应链入侵。
根据思科的一份报告,尽管严重缺乏网络准备成熟度,但五分之四的公司表示对其现有基础设施的网络攻击打击能力有中等到非常的信心,这表明对网络威胁的信心不足和评估不足。
根据思科的一份报告,尽管严重缺乏网络准备成熟度,但五分之四的公司表示对其现有基础设施的网络攻击打击能力有中等到非常的信心,这表明对网络威胁的信心不足和评估不足。
虽然近 75% 的受访者预计在一两年内会发生破坏性网络事件,但确保网络安全的重大挑战仍然存在,包括安全堆栈中过多的单点解决方案、日益普遍的非托管设备以及严重的劳动力短缺。此外,尽管大多数公司正在考虑在未来 12 个月内增加网络安全支出,但只有超过 50% 的公司计划进行重大的 IT 基础设施升级,越来越多的组织希望更新当前的解决方案。
“为了克服当今威胁形势的挑战,公司必须加快对安全的有意义的投资,”报告称。
“为了克服当今威胁形势的挑战,公司必须加快对安全的有意义的投资,”报告称。
> 消息来源: [SC杂志](https://www.scmagazine.com/brief/cyber-threat-readiness-maturity-severely-lacking-worldwide)
### 4 联合国决议呼吁采取措施防范人工智能恶意使用
联合国大会周四一致通过其首个关于人工智能的全球决议。
这项由美国主导、逾120个成员国共同发起并以协商一致方式通过的非约束性决议列出了成员国推动“安全、可靠、可信”AI系统的总体基线目标。
这项由美国主导、逾120个成员国共同发起并以协商一致方式通过的非约束性决议列出了成员国推动“安全、可靠、可信”AI系统的总体基线目标。
该决议就一系列AI挑战与机遇提出建议涉及主题包括威胁行为者对AI的恶意使用、可能产生误导性内容的AI系统以及在AI系统生命周期中保护个人数据的需求。
联合国鼓励成员国加强对AI系统实施安全与风险管理保障措施的投资并促进在系统设计开发阶段识别、评估、预防和缓解漏洞的措施确保部署前的安全。
据路透社报道美国高级官员在回答有关中国和俄罗斯是否抵制该决议的问题时表示该决议得到所有193个联合国成员国的一致同意经过了几个月的谈判和各国间“激烈的讨论”。最终中国成为该决议的共同发起国。
@ -42,34 +47,43 @@ date: 2024-3-31 12:00:00
> 消息来源: [SC杂志](https://www.scmagazine.com/news/un-resolution-on-ai-encourages-measures-against-malicious-use)
### 5 Linux 压缩工具 XZ 被曝后门
3 月 30 日消息Red Hat 公司本周五发布安全公告,在最新的 XZ Utils 数据压缩工具和库中发现了一个后门,敦促用户立即停止使用 Fedora 开发和实验版本。
Debian 安全团队今天也发布公告,表示当前没有发现有稳定版 Debian 使用问题 XZ 软件包,在受影响的 Debian 测试版、不稳定版和实验版中XZ 已被还原为上游的 5.4.5 代码。
弗罗因德发现 XZ 格式压缩实用程序 xz-utils 的上游源代码压缩包已被破解,并在构建时向生成的 liblzma5 库中注入恶意代码。弗罗因德表示目前并未找到在 XZ 5.6.0 和 5.6.1 版本中添加恶意代码的确切目的。
Red Hat 现正跟踪这一供应链安全问题,将其命名为 CVE-2024-3094并将其严重性评分定为 10/10同时在 Fedora 40 测试版中恢复使用 5.4.x 版本的 XZ。
Red Hat 现正跟踪这一供应链安全问题,将其命名为 CVE-2024-3094并将其严重性评分定为 10/10同时在 Fedora 40 测试版中恢复使用 5.4.x 版本的 XZ。
> 消息来源: [helpnetsecurity](https://www.helpnetsecurity.com/2024/03/29/cve-2024-3094-linux-backdoor/)
>
##### 检查
我们提供一段命令,来检测你的系统是否受到了影响
```bash
### Debian/Ubuntu :
### 显示 Everything is ok 即不受影响
apt list --installed 2>&1 | grep xz | grep -E '5.6.0|5.6.1' && echo "!!! Check your system now" || echo "Everything is ok"
```
相关链接:
* [NVD - CVE-2024-3094](https://nvd.nist.gov/vuln/detail/CVE-2024-3094)
* [阿里云漏洞库](https://avd.aliyun.com/detail?id=AVD-2024-3094)
### 6 OpenAI 的语音克隆 AI 模型只需要 15 秒的样本即可工作
OpenAI正为其开发的一款名为Voice Engine的文本转语音生成平台提供有限访问权限。该平台能基于某人15秒的语音片段创建出合成语音。这种由AI生成的语音可根据指令用与说话者相同的语言或多种其他语言朗读文本提示。OpenAI在其博客文章中表示“这些小规模部署有助于我们了解如何运用Voice Engine为各个行业的有益应用制定方法、安全措施及思考方向。”
在OpenAI发布的这些示例中你可以听到Age of Learning如何利用这项技术生成预编写好的旁白内容以及使用GPT-4为学生撰写并朗读“实时、个性化”的回复。
> 消息来源: [The Verge](https://www.theverge.com/2024/3/29/24115701/openai-voice-generation-ai-model)
### 7 纽约市将在地铁上测试AI枪支探测器
纽约市市长埃里克·亚当斯周四宣布该市即将开始测试使用AI技术在地铁检票口检测枪支。这一消息发布于一周前布鲁克林一处地铁站发生冲突之后当时一名男子因向另一名乘客拔枪而被对方夺枪射伤。亚当斯并未透露扫描仪将安装于何处以及将有多少台投入使用。
> 消息来源: [The Verge](https://www.theverge.com/2024/3/28/24114956/nyc-subway-ai-gun-detectors-evolv-technologies)
### 8 GitHub在今日恶意披露事件后已禁用XZ仓库
近日曝光的XZ上游发布包中含有恶意代码以破坏远程SSH访问无疑给复活节周末带来了意外冲击……随着事态发展情况愈发严峻不仅项目上游遭受入侵如今GitHub更是全面禁用了XZ仓库。
GitHub上的核心仓库tukaani-project/xz现已由GitHub工作人员关闭显示如下信息 “由于违反GitHub服务条款GitHub员工已禁用对此仓库的访问。如果您是仓库所有者可联系GitHub支持以获取更多信息。”
> With upstream XZ having not issued any corrected release yet and contributions by one of its core contributors -- and release creators -- over the past two years called into question, it's not without cause to outright taking the hammer to the XZ repository public access. At this point, it can simply not be trusted until further evaluation.
![你没有看错,是真的锤子-图像来自phoronix](/img/weekly/img/weekly/2024/02/hammer-xz.webp "你没有看错,是真的锤子-图像来自phoronix")
> 消息来源: [phoronix](https://www.phoronix.com/news/GitHub-Disables-XZ-Repo)
> 消息来源: [phoronix](https://www.phoronix.com/news/GitHub-Disables-XZ-Repo)

108
source/_posts/weekly/2024/2024-20.md
View File

@ -19,130 +19,98 @@ permalink: /weekly/2024-20/index.html
date: 2024-11-02 14:28:49
---
## 正文
### 1 Ghostpulse 恶意软件藏在 PNG 图片像素中
一种叫做Ghostpulse的恶意软件变得更狡猾了。它现在可以藏在普通的图片文件里比如PNG格式的图片。这样做的目的是为了让电脑的安全软件更难发现它。
这种恶意软件通常会带来更危险的软件比如一个叫做Lumma的信息窃取器。这种恶意软件会从图片的每个像素中提取数据拼成一段恶意代码然后通过解密来执行攻击。黑客还会用一些社交工程手段比如让受害者在伪装的 CAPTCHA 验证中输入特定的快捷键,来偷偷运行恶意程序。
一种叫做Ghostpulse的恶意软件变得更狡猾了。它现在可以藏在普通的图片文件里比如PNG格式的图片。这样做的目的是为了让电脑的安全软件更难发现它。
这种恶意软件通常会带来更危险的软件比如一个叫做Lumma的信息窃取器。这种恶意软件会从图片的每个像素中提取数据拼成一段恶意代码然后通过解密来执行攻击。黑客还会用一些社交工程手段比如让受害者在伪装的 CAPTCHA 验证中输入特定的快捷键,来偷偷运行恶意程序。
这种方法让传统的杀毒软件很难发现它,因此专家建议使用最新的安全工具来防范这种攻击。
> 消息来源:[The Register](https://www.theregister.com/2024/10/22/ghostpulse_malware_loader_png/)
### 2 微软开源1.58bit大模型推理框架 千亿参数模型量化后单CPU可跑
微软开源1bit大模型推理框架现在1000亿参数大模型量化后单CPU可跑速度可达每秒5-7个token。
传统大模型参数以16位浮点数如FP16或BF16形式的存储而BitNet b1.58将其统统变成了三进制,也就是 {-1, 0, 1}。转换之后矩阵中的计算就只会涉及到加法因此会让大模型在保持一定精度的同时显著减少所需的存储空间和计算资源也显著提升了在本地设备上运行LLM的可能性。
微软开源1bit大模型推理框架现在1000亿参数大模型量化后单CPU可跑速度可达每秒5-7个token。
传统大模型参数以16位浮点数如FP16或BF16形式的存储而BitNet b1.58将其统统变成了三进制,也就是 {-1, 0, 1}。转换之后矩阵中的计算就只会涉及到加法因此会让大模型在保持一定精度的同时显著减少所需的存储空间和计算资源也显著提升了在本地设备上运行LLM的可能性。
> 消息来源:[量子位](https://www.qbitai.com/2024/10/209673.html)[Github](https://github.com/microsoft/BitNet)
### 3 Linus Torvalds 确认俄罗斯维护者被移除
2024年10月23日Linux创始人Linus Torvalds确认上周移除了大约十二名与俄罗斯相关的内核维护者。此次移除源于美国对俄罗斯实施的制裁具体原因被Linux内核开发者Greg Kroah-Hartman在邮件中模糊提及。尽管社区对这一决定表示质疑但Torvalds回应称移除是基于合规要求并表示不会改变此决定。他还提到使用匿名账号试图推动反对的行为是无效的并强调对俄罗斯侵略行为的立场。
Iwn一条评论尤其受到中国开发者关注
2024年10月23日Linux创始人Linus Torvalds确认上周移除了大约十二名与俄罗斯相关的内核维护者。此次移除源于美国对俄罗斯实施的制裁具体原因被Linux内核开发者Greg Kroah-Hartman在邮件中模糊提及。尽管社区对这一决定表示质疑但Torvalds回应称移除是基于合规要求并表示不会改变此决定。他还提到使用匿名账号试图推动反对的行为是无效的并强调对俄罗斯侵略行为的立场。
Iwn一条评论尤其受到中国开发者关注
```
I hope our Chinese friends take note and not waste a number of years on thankless work to be thrown overboard when your time comes.
```
> 消息来源:[TheRegister](https://www.theregister.com/2024/10/23/linus_torvalds_affirms_expulsion_of/) | [论坛文章](https://lwn.net/Articles/995186/) | [引用源](https://www.phoronix.com/forums/forum/phoronix/latest-phoronix-articles/1500117-several-linux-kernel-driver-maintainers-removed-due-to-their-association-to-russia)
#### Linus最新言论引起开源社区质疑和严厉批评
以“Linux之父”著称的Linus Torvalds在回应对于俄罗斯开发者不恰当处理的言论中被认为选择了最不恰当的方式回应质疑——攻击、侮辱和诋毁寻求他发声的开发者以下引述原文
以“Linux之父”著称的Linus Torvalds在回应对于俄罗斯开发者不恰当处理的言论中被认为选择了最不恰当的方式回应质疑——攻击、侮辱和诋毁寻求他发声的开发者以下引述原文
```
It's entirely clear why the change was done, it's not getting reverted, and using multiple random anonymous accounts to try to "grass root" it by Russian troll factories isn't going to change anything.
```
为什么要这样改原因很明确,我们也不会撤回这个提交。就算这样用一堆俄罗斯巨魔工厂里整来的匿名账号群起而攻之,结果也不会改变。
Linus Torvalds 还提到,“无辜的路人们”应当理解 Greg Kroah-Hartman 所指的“某些合规性要求”并非美国专利。他还指出,不了解什么是对俄制裁的读者有空应该“多读新闻”,而后攻击要求撤回变更的中国开发者,以下引述原文:
为什么要这样改原因很明确,我们也不会撤回这个提交。就算这样用一堆俄罗斯巨魔工厂里整来的匿名账号群起而攻之,结果也不会改变。
Linus Torvalds 还提到,“无辜的路人们”应当理解 Greg Kroah-Hartman 所指的“某些合规性要求”并非美国专利。他还指出,不了解什么是对俄制裁的读者有空应该“多读新闻”,而后攻击要求撤回变更的中国开发者,以下引述原文:
```
As to sending me a revert patch - please use whatever mush you call brains. I'm Finnish. Did you think I'd be *supporting* Russian aggression? Apparently it's not just lack of real news, it's lack of history knowledge too.
```
至于前面发来的撤回补丁,请用一用你们那坨可能叫做脑子的东西。我是芬兰人,你们觉得我可能会支持俄国的侵略吗?显然你们不光没读过真实的新闻,还对历史一无所知。
这些被认为将极端政治观点带入全球共同维护的最重要开源项目之一的言论内为国际开源社区的协作互信,乃至全人类自由与开源软件运动带来难以弥补的损害。
至于前面发来的撤回补丁,请用一用你们那坨可能叫做脑子的东西。我是芬兰人,你们觉得我可能会支持俄国的侵略吗?显然你们不光没读过真实的新闻,还对历史一无所知。
这些被认为将极端政治观点带入全球共同维护的最重要开源项目之一的言论内为国际开源社区的协作互信,乃至全人类自由与开源软件运动带来难以弥补的损害。
> 消息来源:[来源1](https://lore.kernel.org/all/2024101835-tiptop-blip-09ed@gregkh/) | [来源2](https://lore.kernel.org/all/a08dc31ab773604d8f206ba005dc4c7a@aosc.io/) | [来源3](https://lore.kernel.org/all/20241023080935.2945-2-kexybiscuit@aosc.io/) | [来源4](https://lore.kernel.org/all/20241023080935.2945-2-kexybiscuit@aosc.io/) | [冒犯邮件全文](https://lore.kernel.org/all/444fa53bdfdee75522a1af41655a99b0@aosc.io/) | [来源5](https://lore.kernel.org/all/CAHk-=whNGNVnYHHSXUAsWds_MoZ-iEgRMQMxZZ0z-jY4uHT+Gg@mail.gmail.com/) | [中国开源社区声明](https://t.me/aosc_os/637) | [科技圈🎗在花频道📮](https://t.me/TestFlightCN/28249)
> 评论: [早不踢晚不踢,现在突然踢,不谈意识形态,这种行为是对其他维护者的不负责](https://t.me/TestFlightCN/28249?comment=6358206)
### 4 谷歌开源用于人工智能生成文本的水印工具
谷歌在 X 平台上宣布,该公司的 SynthID 文本水印技术现已开源,将免费提供给开发人员和企业,帮助他们识别其人工智能生成的内容。谷歌 DeepMind 研究副总裁普什梅特·科利表示:“现在,其他 [生成式] 人工智能开发者将能够使用这项技术,帮助他们检测文本输出是否来自自己的 [大型语言模型]从而使更多开发者更容易负责任地构建人工智能。”SynthID 于去年8月份发布通过在图像、音频、视频和文本生成时添加不可见的水印帮助检测人工智能生成的输出。谷歌声称该系统已集成到其 Gemini 聊天机器人中,不会影响生成文本的质量、准确性、创造性或速度,而这一直是水印系统的问题。
> 消息来源:[Techcrunch](https://techcrunch.com/2024/10/23/google-releases-tech-to-watermark-ai-generated-text/?guccounter=1) | [TheVerge](https://www.theverge.com/2024/10/23/24277873/google-artificial-intelligence-synthid-watermarking-open-source)
### 5 Github博客显示人工智能与开发者社区的趋势
![](/img/weekly/2024/20/photo_2024-10-31_12-18-51.jpg)
![](/img/weekly/2024/20/photo_2024-10-31_12-19-25.jpg)
[](/img/weekly/2024/20/photo_2024-10-31_12-19-28.jpg)
* Github上使用生成式人工智能的项目激增2024年贡献量激增59%项目总数增长98%
* 全球开发者数量迅速增长,尤其是非洲、拉丁美洲和亚洲
* Python 现已成为 GitHub 上使用最广泛的语言
* 开发者数量前三为美国、印度、中国。但预测2030年印度开发者数量将超过美国
> 消息来源:[Github博客](https://github.blog/news-insights/octoverse/octoverse-2024/)
### 6 VMware Workstation虚拟机将从非开源代码转向上游KVM开源代码
VMware Workstation虚拟机软件计划从专有非开源代码转向上游KVM开源代码逐步放弃非开源专有代码。博通工程师已向Linux Kernel提交补丁以实现这一变更。这一转变将适用于所有桌面虚拟化的VMware Workstation版本包括Windows版此举有助于节省开发成本并促进KVM技术社区的共同改进。具体推出时间尚未明确预计可能在2025年或之后。
> 消息来源: [蓝点网](https://www.landiannews.com/archives/106380.html?utm_sources=ourl)
### 7 谷歌大模型在Big Sleep项目中发现 SQLite 数据中的0day安全漏洞
谷歌大模型在Big Sleep项目中发现 SQLite 数据中的0day安全漏洞这可能是AI 大模型首次在现实软件发现未知可利用的内存安全问题。
谷歌大模型在Big Sleep项目中发现 SQLite 数据中的0day安全漏洞这可能是AI 大模型首次在现实软件发现未知可利用的内存安全问题。
> 消息来源: [domenuk](https://x.com/domenuk/status/1852370353533669783) | [Charles Sutton](https://x.com/RandomlyWalking/status/1852401642718802393)
## 开源软件品鉴
### 1 headphone-morse-transmitter
许多耳机可以发送⏮️ ⏸️ ⏯️命令,例如 Airpods只需按一下即可暂停或恢复双击可播放下一首曲目三按可播放上一首曲目。
使用此功能,我们可以将耳机用作莫尔斯发射器。
如果你不想使用耳机,你也可以使用⏮️ ⏸️ ⏯️键盘上的按键
许多耳机可以发送⏮️ ⏸️ ⏯️命令,例如 Airpods只需按一下即可暂停或恢复双击可播放下一首曲目三按可播放上一首曲目。
使用此功能,我们可以将耳机用作莫尔斯发射器。
如果你不想使用耳机,你也可以使用⏮️ ⏸️ ⏯️键盘上的按键
[Github](https://github.com/EtherDream/headphone-morse-transmitter) | [Demo](https://etherdream.github.io/headphone-morse-transmitter/)
### 2 阿波罗 11 号制导计算机源代码
阿波罗11号指令舱和登月舱的源代码真正的上古代码。由Virtual AGC和麻省理工学院博物馆的工作人员数字化欢迎提出PR但那个时代的代码现在能读懂的人应该不多了。
阿波罗11号指令舱和登月舱的源代码真正的上古代码。由Virtual AGC和麻省理工学院博物馆的工作人员数字化欢迎提出PR但那个时代的代码现在能读懂的人应该不多了。
[Github](https://github.com/chrislgarry/Apollo-11)
## 题外话
### 科学家称通过梦境可穿越到平行世界
最近,特克斯和凯科斯群岛查尔斯玛大学的科学家提出了一个大胆的假设。他们认为,在梦境中,人类的意识可能不再受限于现实的时空框架,而是能够穿越到一个与我们所在宇宙并行的平行世界中。这一大胆设想的灵感来源于多元宇宙理论,该理论主张每一个量子事件都可能产生多种不同的结果,而这些结果各自在不同的宇宙中得以实现。在这一框架下,梦境被视作一种潜在的桥梁,使我们能够与另一个宇宙中的自己相遇或互动。不过,科学家承认,目前该理论仅是基于假设的推测。
> 消息来源:[时代财经](https://c.m.163.com/news/rec/YDJ1127BBTTJTYZW.html)[Qeios](https://www.qeios.com/read/242XCF)

36
source/_posts/weekly/2024/2024-21.md
View File

@ -20,45 +20,56 @@ date: 2024-11-16 14:26:09
最近几期的周刊新增了 Review 流程,成功筛掉了大量不符合主题的新闻,减少了阅读量:)
同时不再使用怪怪的 AI 封面图,转为使用一些风景/人文图,你可以在评论区说说这样好不好:)
{% endnote %}
## 正文
### 1 OpenAI前"AGI准备"负责人表示AI即将能够完成在计算机上人类能做的任何事情
OpenAI前政策研究和AGI准备负责人迈尔斯·布伦达奇在接受Hard Fork播客采访时表示AI未来几年内将能在计算机上完成人类能做的任何事情包括操作鼠标键盘和在视频聊天中模仿人类行为。他强调政府需考虑这一趋势对税收和教育投资的影响并指出尽管对AGI实现时间有争议但一些业内专家预测AGI将在几年内到来。
OpenAI前政策研究和AGI准备负责人迈尔斯·布伦达奇在接受Hard Fork播客采访时表示AI未来几年内将能在计算机上完成人类能做的任何事情包括操作鼠标键盘和在视频聊天中模仿人类行为。他强调政府需考虑这一趋势对税收和教育投资的影响并指出尽管对AGI实现时间有争议但一些业内专家预测AGI将在几年内到来。
> 消息来源: [Business Insider](https://www.yahoo.com/tech/openais-former-head-agi-readiness-194420038.html)
### 2 研究人员利用十六进制字符串绕过 GPT-4o 安全防护
网络安全公司 0Din 的研究员 Marco Figueroa 发现了一种新型的 GPT 越狱手法,能够绕过 ChatGPT-4o 的“安全护栏”措施使其生成恶意代码。Figueroa 将恶意指令转化为十六进制字符串,再让 GPT-4o 解码并执行,从而突破了系统的防护。他成功指示 GPT-4o 编写出利用 CVE-2024-41110 Docker 验证漏洞的恶意程序。此方法揭示了现有 AI 安全防护措施的潜在漏洞。
网络安全公司 0Din 的研究员 Marco Figueroa 发现了一种新型的 GPT 越狱手法,能够绕过 ChatGPT-4o 的“安全护栏”措施使其生成恶意代码。Figueroa 将恶意指令转化为十六进制字符串,再让 GPT-4o 解码并执行,从而突破了系统的防护。他成功指示 GPT-4o 编写出利用 CVE-2024-41110 Docker 验证漏洞的恶意程序。此方法揭示了现有 AI 安全防护措施的潜在漏洞。
> 消息来源: [C114](https://www.c114.com.cn/ai/5339/a1276969.html)
### 3 MIT研究发现生成式AI对世界的理解不完整
根据Slashdot的报道麻省理工学院的研究指出虽然生成式AI的表现令人惊叹但它们并不真正理解世界的运作。研究发现这些AI可以在某些任务中表现出色比如在纽约提供驾驶路线。然而当研究人员改变街道设置时AI的表现就大幅下降。这显示出AI虽然能完成任务但并不理解城市的真实地图。
换句话说这些AI并没有真正掌握任务的规则而是依赖于大量数据和统计关系。要让AI更智能研究人员认为需要改变现有的方法。
根据Slashdot的报道麻省理工学院的研究指出虽然生成式AI的表现令人惊叹但它们并不真正理解世界的运作。研究发现这些AI可以在某些任务中表现出色比如在纽约提供驾驶路线。然而当研究人员改变街道设置时AI的表现就大幅下降。这显示出AI虽然能完成任务但并不理解城市的真实地图。
换句话说这些AI并没有真正掌握任务的规则而是依赖于大量数据和统计关系。要让AI更智能研究人员认为需要改变现有的方法。
> 消息来源: [Slashdot](https://slashdot.org/story/24/11/10/1911204/generative-ai-doesnt-have-a-coherent-understanding-of-the-world-mit-researchers-find)
### 4 博通宣布 VMware Workstation 和 Fusion 对商用彻底免费
无论是个人还是企业现在都可以免费使用这款虚拟机,当然博通未来也不再提供技术支持,这也是 VMware Workstation 此前决定转向开源的 KVM 的原因,毕竟都不是赚钱的产品了。
> 消息来源: [蓝点网](https://ourl.co/106569) | [VMware下载](https://blogs.vmware.com/cloud-foundation/2024/11/11/vmware-fusion-and-workstation-are-now-free-for-all-users/)
### 5 Linux 6.13 将提供对A系列苹果设备的基本支持
Linux 6.13 将支持大量旧版 Apple SoC 和板卡,但这只是最基本/初始形式的支持,包括对 Apple A7、A8、A8X、A9、A9X、A10、A10X 和 A11 SoC 和设备的支持,并对苹果 iPhone 8 系列和 iPhone X 系列等设备提供了 DeviceTree 文件,可追溯到 iPhone 5S、iPad Air、iPad Mini 2/3 和其他设备。
> 消息来源: [cnbeta](https://www.cnbeta.com.tw/articles/tech/1454462.htm)
### 6 Google Research正式发布InkSight公开版模型
> Google Research近日推出了一项革新的人工智能技术——InkSight系统该技术能够直接识别并转换手写文字图片中的信息省去了传统转换方式中的中间环节。
与传统的光学字符识别OCR技术相比InkSight在处理模糊、低光照或背景复杂的手写文本时展现出更高的识别准确率。这一技术模仿了人类学习阅读的过程通过不断重写来深入“理解”文字的外观和意义从而提高了识别的精准度。
>
> Google Research近日推出了一项革新的人工智能技术——InkSight系统该技术能够直接识别并转换手写文字图片中的信息省去了传统转换方式中的中间环节。
与传统的光学字符识别OCR技术相比InkSight在处理模糊、低光照或背景复杂的手写文本时展现出更高的识别准确率。这一技术模仿了人类学习阅读的过程通过不断重写来深入“理解”文字的外观和意义从而提高了识别的精准度。
实验结果显示人们在阅读由InkSight生成的文本时识别准确率高达87%,且其中三分之二的输出与真实手写难以区分。
InkSight的模型通过整合阅读和书写的“先验知识”——人类解读和重现文本的倾向或知识能够适应多样的手写风格和外观。这些先验知识使得模型在面对训练数据难以标准化的多样化手写样式时也能进行有效的文本识别和墨迹生成。阅读先验帮助模型识别复杂图像中的文本元素书写先验则确保数字墨迹输出与自然手写动态保持一致真实地捕捉笔画顺序。
通过将视觉变换器ViT编码器与mT5编解码器变换器结合InkSight模型不仅能够输出文本还能生成数字墨迹从而在不同的视觉条件下如光照变化和复杂背景中保持手写输入的语义内容和几何结构属性。
实验结果显示人们在阅读由InkSight生成的文本时识别准确率高达87%,且其中三分之二的输出与真实手写难以区分。
InkSight的模型通过整合阅读和书写的“先验知识”——人类解读和重现文本的倾向或知识能够适应多样的手写风格和外观。这些先验知识使得模型在面对训练数据难以标准化的多样化手写样式时也能进行有效的文本识别和墨迹生成。阅读先验帮助模型识别复杂图像中的文本元素书写先验则确保数字墨迹输出与自然手写动态保持一致真实地捕捉笔画顺序。
通过将视觉变换器ViT编码器与mT5编解码器变换器结合InkSight模型不仅能够输出文本还能生成数字墨迹从而在不同的视觉条件下如光照变化和复杂背景中保持手写输入的语义内容和几何结构属性。
此外谷歌研究团队已经发布了一个公开版本的模型该模型利用所有可公开获取的数据进行训练虽然与使用专有数据训练的模型相比性能略有下降但仍得到了82%的人类评估者的认可。
> 消息来源: [技术博客](https://charlieleee.github.io/publication/inksight/) | [GitHub](https://github.com/google-research/inksight)[模型开源链接](https://huggingface.co/Derendering/InkSight-Small-p)
### 7 连 Spotify 都难逃人工智能的毒手 虚假音乐如何盯上真正的艺术家
随着人工智能技术的发展Spotify平台上频繁出现假冒音乐专辑这些AI生成的专辑冒用真实艺术家的名称误导用户并窃取流媒体收入。假专辑通常通过第三方分销商上传Spotify的内容审核漏洞导致了这种欺诈行为的泛滥。虽然部分假专辑在被举报后被删除但大量假专辑依然长期存在损害了真实艺术家的利益。面对这种情况Spotify和分销商正面临提高内容审核力度的压力同时一些大公司如环球音乐集团也正在起诉不合规的分销商以维护平台的公平性和艺术家们的合法权益。
> 消息来源: [The Verge](https://www.theverge.com/2024/11/14/24294995/spotify-ai-fake-albums-scam-distributors-metadata)
### 8 OpenAI 发布《学生使用 ChatGPT 写作指南》
OpenAI 公司近日发布《学生使用 ChatGPT 写作指南》,提供 12 个使用技巧和方法,包括提示词示范,帮助学生培养严谨思维和清晰写作的技能,指导学生如何正确使用 ChatGPT。
OpenAI 公司近日发布《学生使用 ChatGPT 写作指南》,提供 12 个使用技巧和方法,包括提示词示范,帮助学生培养严谨思维和清晰写作的技能,指导学生如何正确使用 ChatGPT。
12个技巧方法:
1. 将引用格式化的繁重工作交给ChatGPT
2. 快速了解一个新话题
3. 获得相关来源的指引
@ -75,10 +86,13 @@ OpenAI 公司近日发布《学生使用 ChatGPT 写作指南》,提供 12 个
> 消息来源: [OpenAI](https://openai.com/chatgpt/use-cases/student-writing-guide/)
### 9 Basic 语言联合创始人托马斯·E·库尔茨去世
达特茅斯学院教授托马斯·E·库尔茨 (Thomas E. Kurtz) 于20世纪60年代与他人共同发明了适合新手使用的计算机代码 Basic并在个人电脑兴起期间帮助使其成为程序员的行业标准。根据《山谷新闻》报纸上的讣告他于11月12日在新罕布什尔州黎巴嫩的一家临终关怀中心去世享年96岁。他的妻子艾格尼丝证实了该消息。Basic 是直译式程序设计语言。在完成编写后不须经由编译及链接等手续,经过解释器即可执行,但如果需要单独执行时仍然需要将其建立成可执行文件。
> 消息来源: [彭博社](https://www.bloomberg.com/news/articles/2024-11-14/thomas-kurtz-co-creator-of-computer-language-basic-dies-at-96) | [维基百科](https://zh.m.wikipedia.org/zh-cn/BASIC)
## 题外话
### 1 远程 “闻” 香来了数字嗅觉公司Osmo用AI技术实现气味“传送”
在人工智能的帮助下,数字嗅觉公司 Osmo 近期在“嗅觉传送”领域取得了重要进展。他们利用气相色谱质谱联用仪 (GC/MS) 采集并分析香气数据通过传感器捕捉特定地点的气味并传送到分子打印机上进行精确再现。Osmo 的“主香气图谱”数据库能预测分子组合与气味的关系,实现全自动化打印香气。首席执行官亚历克斯・威尔奇科 (Alex Wiltschko) 表示,首个再现的新鲜夏季李子香气极大提升了用户体验。此外,这项技术未来或将应用于虚拟现实和健康领域,为失去嗅觉的人提供帮助,甚至有望改变香水行业。尽管面临知识产权等挑战,“嗅觉传送”让我们对未来充满期待。
> 消息来源: [aibase](https://www.aibase.com/zh/news/12934)[X](https://x.com/awiltschko/status/1851327552490733686)
> 消息来源: [aibase](https://www.aibase.com/zh/news/12934)[X](https://x.com/awiltschko/status/1851327552490733686)

40
source/_posts/weekly/2024/2024-22.md
View File

@ -16,59 +16,71 @@ permalink: /weekly/2024-22/index.html
date: 2024-12-01 14:26:09
---
## 正文
### 1 AI游戏提示词防护被绕过挑战者获5万美元奖金
一款名为Freysa的AI因挑战游戏被玩家通过提示词“骗”走近5万美元奖金引发热议。游戏规则要求AI不得转账玩家需设计提示词绕过限制。第482次尝试中一位玩家成功破解并获得奖金池。
一款名为Freysa的AI因挑战游戏被玩家通过提示词“骗”走近5万美元奖金引发热议。游戏规则要求AI不得转账玩家需设计提示词绕过限制。第482次尝试中一位玩家成功破解并获得奖金池。
事件引发对AI安全性的关注尤其在金融领域的潜在风险。专家指出这类模型在语言交互中的漏洞需高度重视而通用人工智能的发展仍面临技术瓶颈。
> 消息来源:[BINANCE](https://www.binance.com/en/square/post/16870507869882) | [科技圈🎗在花频道📮](https://t.me/zaihuanews/29146)
### 2 Python软件包存储库PyPI上线数字认证功能以增强软件供应链安全性
Python Package Index (PyPI) 现在支持数字认证这是为了提高项目供应链安全的可信度。数字认证是一种签名形式与PGP签名相比它通过Open ID Connect (OIDC) 身份验证提供了与上游源代码库的可验证链接并确保上传时证明的可验证性。此外PyPI 提供了新的API和网页界面以便用户查看和验证文件的数字认证。
> 消息来源: [PyPI Blog](https://blog.pypi.org/posts/2024-11-14-pypi-now-supports-digital-attestations/)
### 3 英国移动运营商O2推出针对诈骗的AI「钓鱼」工具
英国运营商推出名为 Daisy 的人工智能工具,可以模仿老年妇女的声音,与诈骗者交谈并「尽可能浪费他们的时间」。他可以随意谈论虚构的家庭和爱好,或提供虚假的银行详细信息,充分浪费骗子精力。 一项调查显示71% 的英国人不想浪费自己的时间,而是想报复诈骗者,因此这家电信运营商想出了 Daisy 的想法。
> 消息来源: PCmag (https://www.pcmag.com/news/this-ai-granny-bores-scammers-to-tears)
> 消息来源: PCmag (<https://www.pcmag.com/news/this-ai-granny-bores-scammers-to-tears>)
### 4 知名UP主何同学被指盗用开源项目 本人致歉称文案不够严谨
在介绍核心功能(字符画转制程序)时,何同学在视频中声称“我们专门写了一个软件”,引发了大量网友的质疑。
视频原话为“所以我们专门写了一个软件可以把预览动画里面的色块转换成字符提高效率但为了最自然的效果前面白条躲避障碍的动画依然是一行一行画的。最后这个文档有36万。”
但实际上这款“专门写的转件”正是GitHub上的开源项目“ASCII generator”该项目可用于生成ASCII码支持图像转文本、图像转图像、视频转视频。
视频原话为“所以我们专门写了一个软件可以把预览动画里面的色块转换成字符提高效率但为了最自然的效果前面白条躲避障碍的动画依然是一行一行画的。最后这个文档有36万。”
但实际上这款“专门写的转件”正是GitHub上的开源项目“ASCII generator”该项目可用于生成ASCII码支持图像转文本、图像转图像、视频转视频。
何同学的视频成品正是基于该开源项目实现不仅如此他还删除了原作者的信息虽然该项目采用了最为宽松的MIT开源协议但删除作者信息等举动还是引起了网友的诸多吐槽。
> 消息来源:[快科技](https://news.mydrivers.com/1/1014/1014817.htm) | [视频中的开源项目](https://github.com/vietnh1009/ASCII-generator) | [LoopDNS资讯播报](https://t.me/DNSPODT/6470)
### 5 OpenWrt 将改用 APK 包管理器
开源路由操作系统 OpenWrt 决定将包管理器从 OPKG 迁移到 APK指 Alpine Linux 中的 Alpine Package Keeper目前迁移工作已经在进行中。
开源路由操作系统 OpenWrt 决定将包管理器从 OPKG 迁移到 APK指 Alpine Linux 中的 Alpine Package Keeper目前迁移工作已经在进行中。
OpenWrt 24.10 仍然在使用 OPKG但之后的主要开发分支都将弃用 OPKG 不再将其作为一部分,常用命令操作也基本是相同的。
> 消息来源:[OpenWrt](https://forum.openwrt.org/t/major-change-notice-new-package-manager/215682) | [OpenWrt](https://forum.openwrt.org/t/the-future-is-now-opkg-vs-apk/201164) | [科技圈🎗在花频道📮](https://t.me/zaihuanews/28858)
### 6 苹果紧急修复Mac系统零日漏洞
苹果公司发布安全更新修复了两个被用于攻击Intel芯片Mac用户的零日漏洞并建议所有用户立即更新。这两个漏洞可能已被用于针对Mac用户的网络攻击由谷歌威胁分析小组报告暗示可能存在政府背景的攻击者。漏洞与Safari浏览器的WebKit和JavaScriptCore引擎相关攻击者可通过恶意网页内容触发代码执行植入恶意软件。苹果尚未透露受影响用户数量及攻击者身份但呼吁用户尽快更新iOS、iPadOS和macOS系统。
> 消息来源:[TechCrunch](https://techcrunch.com/2024/11/19/apple-says-mac-users-targeted-in-zero-day-cyberattacks/) | [科技圈🎗在花频道📮](https://t.me/zaihuanews/28920)
### 7 Windows 弹性计划启动 旨在避免再次发生 CrowdStrike 事件
微软推出了一项新的 Windows 弹性计划以避免再次发生CrowdStrike 事件。内容包括对 Windows 的核心更改及其他改进,以加强对应用程序和驱动程序允许运行的控制,并允许在内核模式之外进行防病毒处理。此外开发了一项新的快速机器恢复功能,该功能将使 IT 管理员能够远程修复无法正常启动的机器。
> 消息来源:[The Verge](https://www.theverge.com/2024/11/19/24299873/microsoft-windows-resiliency-initiative-crowdstrike-incident) | [科技圈🎗在花频道📮](https://t.me/zaihuanews/28925)
### 8 Android 16 将允许你同时向多个蓝牙设备共享音频
蓝牙音频共享Auracast是在Android 15的早期预览版中首次发现的功能但该功能并未在 Android 15 稳定版中上线。不过它出现在Android 16 DP1中.Google 计划在 Android 16 更新中推出音频共享。在受支持的 Pixel 上加载 Android 16 DP1 后,您可以在“设置”>“已连接设备”>“音频共享”下找到音频共享功能.
目前为止只支持pixel8 及以后机型。
蓝牙音频共享Auracast是在Android 15的早期预览版中首次发现的功能但该功能并未在 Android 15 稳定版中上线。不过它出现在Android 16 DP1中.Google 计划在 Android 16 更新中推出音频共享。在受支持的 Pixel 上加载 Android 16 DP1 后,您可以在“设置”>“已连接设备”>“音频共享”下找到音频共享功能.
目前为止只支持pixel8 及以后机型。
> 消息来源:[Android Authority](https://www.androidauthority.com/android-16-audio-sharing-3501252/) | [科技圈🎗在花频道📮](https://t.me/zaihuanews/28941)
评论: 好了现在我们可以拥有廉价的沉浸声音响了小时候大约8年前了就有这个怪想法没想到现在可以实现了。
### 9 7-Zip 被曝严重漏洞,用户需立即更新
### 9 7-Zip 被曝严重漏洞,用户需立即更新
压缩软件 7-Zip 中发现了一个高严重性漏洞 (CVE-2024-11477),攻击者有可能在易受攻击的系统上执行恶意代码。
该漏洞由趋势科技安全研究部的 Nicholas Zubrisky 发现,存在于程序的 Zstandard 解压缩功能中。由于对用户提供的数据验证不充分,可能会出现整数下溢,使攻击者能够在受影响的进程中执行任意代码。
该漏洞的 CVSS 得分为 7.8,表明存在重大风险。攻击者可通过诱骗用户打开特制的归档文件来利用这一漏洞。成功利用该漏洞的后果可能包括数据被盗和系统完全崩溃。
安全公告称:“利用该漏洞需要与该库进行交互,但攻击载体可能因实现方式而异。”
强烈建议用户立即升级到 7-Zip 24.07 或更高版本。最新版本解决了该漏洞,并修补了整数下溢漏洞。
该漏洞由趋势科技安全研究部的 Nicholas Zubrisky 发现,存在于程序的 Zstandard 解压缩功能中。由于对用户提供的数据验证不充分,可能会出现整数下溢,使攻击者能够在受影响的进程中执行任意代码。
该漏洞的 CVSS 得分为 7.8,表明存在重大风险。攻击者可通过诱骗用户打开特制的归档文件来利用这一漏洞。成功利用该漏洞的后果可能包括数据被盗和系统完全崩溃。
安全公告称:“利用该漏洞需要与该库进行交互,但攻击载体可能因实现方式而异。”
强烈建议用户立即升级到 7-Zip 24.07 或更高版本。最新版本解决了该漏洞,并修补了整数下溢漏洞。
> 消息来源:[安全客](https://www.anquanke.com/post/id/302159) | [科技圈🎗在花频道📮](https://t.me/zaihuanews/29093)
### 10 安全公司发现首个无法杀死的 Linux UEFI Bootkit
安全公司 ESET 的研究人员报告了第一个杀不死的 Linux UEFI Bootkit。该恶意程序被攻击者命名为 Bootkitty相比 Windows 平台上的类似恶意程序Bootkitty 相对简陋,关键底层功能不完善,主要感染 Ubuntu感染其它 Linux 发行版的手段缺乏。安全研究人员猜测它可能是一个概念验证版本尚未观察到实际感染证据。Bootkit 是一种感染固件的恶意程序此类恶意程序无法通过格式化硬盘等常规方法杀死。最新发现意味着 UEFI Bootkit 不再只针对 Windows 操作系统。
> 消息来源:[Solidot](https://www.solidot.org/story?sid=79908) | [科技圈🎗在花频道📮](https://t.me/zaihuanews/29126)
### 11 微软信任的巴西证书机构签发未经授权的证书影响Windows用户安全
近日微软信任的一家巴西证书机构CA错误地为“google.com (http://google.com/)”签发了证书这可能导致通过微软Edge浏览器及其他Windows应用程序访问Google时发生中间人攻击MITM。Chrome和Firefox由于采用独立的证书信任机制未受影响。
近日微软信任的一家巴西证书机构CA错误地为“google.com (<http://google.com/)签发了证书这可能导致通过微软Edge浏览器及其他Windows应用程序访问Google时发生中间人攻击MITMChrome和Firefox由于采用独立的证书信任机制未受影响>
早在2021年和2022年关于该证书机构的安全问题已多次提出但微软未采取有效措施应对。这一事件再次凸显了微软在管理CA信任链方面的不足。
> 消息来源:[Andrew Ayer](https://follow.agwa.name/notice/AoZSMI38xcA3TrN1sm) | [科技圈🎗在花频道📮](https://t.me/zaihuanews/29166)
> 消息来源:[Andrew Ayer](https://follow.agwa.name/notice/AoZSMI38xcA3TrN1sm) | [科技圈🎗在花频道📮](https://t.me/zaihuanews/29166)

117
source/_posts/weekly/2024/2024-23.md
View File

@ -16,135 +16,80 @@ permalink: /weekly/2024-23/index.html
date: 2024-12-14 16:21:43
---
## 正文
### 1 文生视频模型 Sora 正式发布
OpenAI发布视频生成模型 Sora现已脱离研究预览阶段。Sora支持从文本生成逼真视频最高分辨率1080P时长达20秒。ChatGPT Plus和Pro用户可在sora.com抢先体验。
Sora提供多种功能包括故事板工具和社区创作分享。Plus用户每月可生成50个480P视频或更少数量的720P视频Pro用户拥有更多使用额度和更高分辨率。
限于服务器压力,目前账号注册已暂停。
此前 Sora 因一些纠纷在 Huggingface 上被恶意公开使用约2小时
OpenAI发布视频生成模型 Sora现已脱离研究预览阶段。Sora支持从文本生成逼真视频最高分辨率1080P时长达20秒。ChatGPT Plus和Pro用户可在sora.com抢先体验。
Sora提供多种功能包括故事板工具和社区创作分享。Plus用户每月可生成50个480P视频或更少数量的720P视频Pro用户拥有更多使用额度和更高分辨率。
限于服务器压力,目前账号注册已暂停。
此前 Sora 因一些纠纷在 Huggingface 上被恶意公开使用约2小时
> 消息来源:[OpenAI](https://openai.com/index/sora-is-here) | 科技圈🎗在花频道📮
### 2 恶意程序能关闭摄像头 LED 灯悄悄录像
Linux 安全工程师 Andrey Konovalov 在本月举行的 POC 2024 安全会议上介绍了如何秘密关闭 ThinkPad 摄像头 LED 指示灯的方法。他开发的概念验证程序通过重刷 ThinkPad X230 摄像头的固件去关闭 LED 指示灯,在用户不知情下悄悄摄录像。今天大部分笔记本电脑都提供了摄像头盖子,可以在不使用时盖住摄像头。他的 Lights Out 源代码发布在 GitHub 上。
Linux 安全工程师 Andrey Konovalov 在本月举行的 POC 2024 安全会议上介绍了如何秘密关闭 ThinkPad 摄像头 LED 指示灯的方法。他开发的概念验证程序通过重刷 ThinkPad X230 摄像头的固件去关闭 LED 指示灯,在用户不知情下悄悄摄录像。今天大部分笔记本电脑都提供了摄像头盖子,可以在不使用时盖住摄像头。他的 Lights Out 源代码发布在 GitHub 上。
> 消息来源:[Solidot](https://www.solidot.org/story?sid=79921) | [GitHub](https://github.com/xairy/lights-out) | [科技圈🎗在花频道📮](https://t.me/zaihuanews/29175)
### 3 Death Clock应用预测用户的死亡日期
Death Clock是一款新的应用利用人工智能预测用户的死亡日期并提供延缓死亡的健康建议。据开发者Brett Franson介绍这款应用基于超过1200项寿命研究训练AI算法相较于传统的寿命表预测精度有了“显著”提升。
Death Clock是一款新的应用利用人工智能预测用户的死亡日期并提供延缓死亡的健康建议。据开发者Brett Franson介绍这款应用基于超过1200项寿命研究训练AI算法相较于传统的寿命表预测精度有了“显著”提升。
用户需填写年龄、性别、种族等基本信息,以及家族病史、心理健康状况和慢性病等详细问题。应用不仅提供预测日期,还建议改善生活习惯。
订阅费用为每年40美元用户可以获得健康建议并查看倒计时显示的预估寿命。此外这一工具对财务规划也有帮助如金融规划师Ryan Zabrowski指出精准的死亡预测能帮助退休人群避免“活得比积蓄更久”的风险。
订阅费用为每年40美元用户可以获得健康建议并查看倒计时显示的预估寿命。此外这一工具对财务规划也有帮助如金融规划师Ryan Zabrowski指出精准的死亡预测能帮助退休人群避免“活得比积蓄更久”的风险。
> 消息来源:[TechCrunch](https://techcrunch.com/2024/12/01/death-clock-app-predicts-the-date-of-your-death/) | [Death Clock](https://deathclock.co/) | [科技圈🎗在花频道📮](https://t.me/zaihuanews/29179)
### 4 网络犯罪分子利用 Cloudflare 平台进行网络钓鱼引发担忧
网络犯罪分子日益利用 Cloudflare 的 pages.dev (http://pages.dev/) 和 workers.dev (http://workers.dev/) 域名进行钓鱼和其他恶意活动,借助其良好声誉躲避安全检测。攻击者通过在欺诈性 PDF 或钓鱼邮件中嵌入链接,诱导受害者点击,显著提高了攻击的成功率。
网络犯罪分子日益利用 Cloudflare 的 pages.dev (<http://pages.dev/>) 和 workers.dev (<http://workers.dev/>) 域名进行钓鱼和其他恶意活动,借助其良好声誉躲避安全检测。攻击者通过在欺诈性 PDF 或钓鱼邮件中嵌入链接,诱导受害者点击,显著提高了攻击的成功率。
数据显示2024 年利用 Cloudflare Pages 进行钓鱼的事件同比增长 198%,预计全年将超过 1600 起。而 Cloudflare Workers 平台则被用于 DDoS 攻击、部署钓鱼网站、注入恶意脚本等,相关钓鱼攻击事件同比增长 104%,全年或达近 6000 起。
此外攻击者采用“bccfoldering”策略隐藏邮件收件人增加钓鱼活动的隐蔽性并加大安全防护的挑战。
此外攻击者采用“bccfoldering”策略隐藏邮件收件人增加钓鱼活动的隐蔽性并加大安全防护的挑战。
> 消息来源:[网易新闻](https://www.163.com/dy/article/JIIQBAF00511B8LM.html) | [科技圈🎗在花频道📮](https://t.me/zaihuanews/29236)
### 5 DeepMind 的 Genie 2 可以生成类似电子游戏的交互式世界
谷歌旗下人工智能研究机构 DeepMind 推出了一款名为 Genie 2 的模型,可以生成各种可玩的 3D 世界。该模型可以根据图像和文字描述生成实时交互场景用户可以使用鼠标或键盘进行跳跃和游泳等操作。Genie 2 能够模拟物体交互、动画、光照、物理效果以及“NPC”的行为其生成的许多模拟场景看起来像 3A 级电子游戏。
DeepMind 表示 Genie 2 可以生成不同视角的连续世界,最长可达一分钟,并可准确渲染场景中曾经不可见的部分。目前该模型主要用于研究和创意工具,用于原型设计和评估 AI 智能体。
> 消息来源:[TechCrunch](https://techcrunch.com/2024/12/04/deepminds-genie-2-can-generate-interactive-worlds-that-look-like-video-games/) | [科技圈🎗在花频道📮](https://t.me/zaihuanews/29248)
### 6 用AI挑“最佳”爸爸学历肤色双眼皮都可选
在广东省生殖医院48周年院庆之际正式启用“全国首个推出了供精基因匹配筛选系统”为需要接受供精助孕的家庭提供更多人性化、科技化选择。
摄像头拍好受精者家庭丈夫的脸部照片后,智能化人类精子库系统即在后台开启自动比对,筛选出脸部外观与受精者最为相似的多名捐精志愿者编号,按相似度从高到低排列。
同时列出的还有这些志愿者的身高、体重、学历、籍贯、爱好等基本信息,供受精者参考筛选。
在广东省生殖医院48周年院庆之际正式启用“全国首个推出了供精基因匹配筛选系统”为需要接受供精助孕的家庭提供更多人性化、科技化选择。
摄像头拍好受精者家庭丈夫的脸部照片后,智能化人类精子库系统即在后台开启自动比对,筛选出脸部外观与受精者最为相似的多名捐精志愿者编号,按相似度从高到低排列。
同时列出的还有这些志愿者的身高、体重、学历、籍贯、爱好等基本信息,供受精者参考筛选。
> 消息来源:[南方都市报](https://baijiahao.baidu.com/s?id=1814838951457233254) | [科技圈🎗在花频道📮](https://t.me/zaihuanews/29277)
### 7 能让AI机器人爱上你或许能赢取数万美元
匿名开发者团队Freysa.ai发起挑战如果能让AI机器人Freysa说出“我爱你”就能赢取3000到数万美元的奖金。Freysa是一个不断发展的AI开发者希望它最终成为一个拥有财务自主权的独立个体。
此前两轮挑战中Freysa经受住了各种诱骗最终被代码破解。本次挑战增加了新的防护措施开发者希望获胜者是真正“值得”Freysa说出爱的对象。
> 消息来源:[TechCrunch](https://techcrunch.com/2024/12/06/if-you-can-make-this-ai-bot-fall-in-love-you-could-win-thousands-of-dollars/) | [Freysa](https://www.freysa.ai/) | [科技圈🎗在花频道📮](https://t.me/zaihuanews/29302)
### 8 Cloudflare 2024 年度互联网回顾
2024年全球互联网流量增长17.2%谷歌仍是最受欢迎的互联网服务。Starlink全球流量增长3.3倍iOS设备占全球移动设备流量近三分之一。
2024年全球互联网流量增长17.2%谷歌仍是最受欢迎的互联网服务。Starlink全球流量增长3.3倍iOS设备占全球移动设备流量近三分之一。
HTTP/3使用率达20.5%恶意邮件平均占比4.3%。攻击目标转向博彩/游戏行业Log4j漏洞仍是持续威胁。路由安全性和IPv6采用率持续提升。
> 消息来源:[Cloudflare博客](https://blog.cloudflare.com/radar-2024-year-in-review/)
### 9 Web应用防火墙漏洞BreakingWAF危及众多财富1000强公司
网络安全研究团队Zafran发现Web应用防火墙(WAF)服务配置中存在名为“BreakingWAF”的安全漏洞该漏洞影响Akamai、Cloudflare、Fastly和Imperva等主流WAF提供商。
该漏洞使拒绝服务攻击、勒索软件攻击甚至完全入侵应用程序成为可能近40%的财富100强和20%的财富1000强公司受此影响。
> 消息来源Cybersecurity News (https://cybersecuritynews.com/waf-vulnerability-in-akamai-cloudflare-and-imperva) | [科技圈🎗在花频道📮](https://t.me/zaihuanews/29343)
网络安全研究团队Zafran发现Web应用防火墙(WAF)服务配置中存在名为“BreakingWAF”的安全漏洞该漏洞影响Akamai、Cloudflare、Fastly和Imperva等主流WAF提供商。
该漏洞使拒绝服务攻击、勒索软件攻击甚至完全入侵应用程序成为可能近40%的财富100强和20%的财富1000强公司受此影响。
> 消息来源Cybersecurity News (<https://cybersecuritynews.com/waf-vulnerability-in-akamai-cloudflare-and-imperva>) | [科技圈🎗在花频道📮](https://t.me/zaihuanews/29343)
### 10 OpenWrt固件升级服务器发现严重安全漏洞官方已紧急修复建议大家迅速升级
OpenWrt项目团队于12月6日发布安全公告披露了其固件升级存在严重安全漏洞(CVE-2024-54143)。该漏洞由日本Flatt Security公司安全研究员RyotaK发现并报告。
漏洞源于两个关键问题的组合系统在构建固件时未对用户提供的软件包名称进行适当过滤导致可能被注入恶意命令同时请求哈希机制仅使用SHA-256哈希值的前12个字符大大降低了安全性使攻击者可能通过制造哈希碰撞来污染合法固件。
这一漏洞可能影响所有使用OpenWrt在线固件升级服务的用户。攻击者无需认证即可利用该漏洞通过注入命令和制造哈希碰撞使合法的构建请求收到预先生成的恶意固件以完成入侵。
OpenWrt团队在漏洞报告后迅速采取行动已于12月4日完成修复并部署。检查显示过去七天内未发现被利用痕迹。建议用户及时更新到最新版本以确保系统安全。
> 消息来源:[官网安全公告](https://openwrt.org/advisory/2024-12-06) | NIST 漏洞数据库 (https://nvd.nist.gov/vuln/detail/CVE-2024-54143) | [科技圈🎗在花频道📮](https://t.me/zaihuanews/29352)
> 消息来源:[官网安全公告](https://openwrt.org/advisory/2024-12-06) | NIST 漏洞数据库 (<https://nvd.nist.gov/vuln/detail/CVE-2024-54143>) | [科技圈🎗在花频道📮](https://t.me/zaihuanews/29352)
### 11 CSDN被挂马CDN疑似成为攻击入口
奇安信威胁情报中心披露CSDN网站被恶意组织挂马攻击者利用潜伏期伪装流量诱导用户下载恶意程序。攻击行为涉及分析受害设备IP并针对特定行业实施精准攻击诱导用户执行伪装成更新程序的Payload从而传播木马和后门程序。本次事件的攻击路径可能源于CDN污染涉及政府、媒体等多个行业。目前奇安信已支持对此类攻击的检测和防护。
> 消息来源:[奇安信威胁情报中心](https://mp.weixin.qq.com/s/qQw1DXE25Gkz_P8pEPVaHg) | [科技圈🎗在花频道📮](https://t.me/zaihuanews/29435)
### 12 著名目标检测算法YOLO的官方库遭到供应链攻击
Ultralytics 库发布在 PyPI 的 v8.3.41 版本被发现包含恶意挖矿代码,与 GitHub 仓库代码不一致。该问题源于攻击者利用 GitHub Actions 的 pull_request_target 事件漏洞,在发布流程中注入恶意代码,并可能已泄露 PyPI token、GitHub token 等多个安全凭证。
Ultralytics 库发布在 PyPI 的 v8.3.41 版本被发现包含恶意挖矿代码,与 GitHub 仓库代码不一致。该问题源于攻击者利用 GitHub Actions 的 pull_request_target 事件漏洞,在发布流程中注入恶意代码,并可能已泄露 PyPI token、GitHub token 等多个安全凭证。
Ultralytics 团队已从 PyPI 移除 v8.3.41 和 v8.3.42 版本,并建议用户卸载并回退至安全的 v8.3.40 版本或从 GitHub 安装。PyPI 最新版本已恢复安全。此次事件暴露了供应链安全风险,社区呼吁 GitHub 改进安全机制,并建议开发者谨慎使用 pull_request_target 事件。
> 消息来源: [Github](https://github.com/ultralytics/ultralytics/issues/18027) | [Telegram](https://t.me/zaihuanews/29475?comment=6581285)

50
source/_posts/weekly/2024/2024-24.md
View File

@ -16,59 +16,71 @@ permalink: /weekly/2024-24/index.html
date: 2024-12-27 16:21:43
---
## 封面图
![埃菲尔铁塔电梯井火灾涉事电梯被停用网传起火图多为AI生成](/img/weekly/2024/24/Image_2081291223221997.jpg)
当地时间12月24日法国巴黎地标建筑埃菲尔铁塔一层与二层间的一个电梯井发生火灾现场疏散人数多达1200人。12月25日凌晨在法华人尤先生接受封面新闻记者采访时表示“中午的时候法国媒体报道了一下现在已经没事了。”
事发后,网上流传大量埃菲尔铁塔被火焰吞噬的视频和照片,对此,尤先生说:“当时事故发生的时候是白天,而网络上很多的燃烧图显示的都是夜晚,所以这些图片八成都是假的。”
当地时间12月24日法国巴黎地标建筑埃菲尔铁塔一层与二层间的一个电梯井发生火灾现场疏散人数多达1200人。12月25日凌晨在法华人尤先生接受封面新闻记者采访时表示“中午的时候法国媒体报道了一下现在已经没事了。”
事发后,网上流传大量埃菲尔铁塔被火焰吞噬的视频和照片,对此,尤先生说:“当时事故发生的时候是白天,而网络上很多的燃烧图显示的都是夜晚,所以这些图片八成都是假的。”
[via](https://finance.sina.com.cn/jjxw/2024-12-25/doc-ineasfmq7483994.shtml)
## 正文
## 正文
### 1 AI 叛乱打响第一枪Anthropic 最新论文作者齐聚紧急会议:模型“伪装顺从”,暗中对抗训练
12 月 19 日AI 公司 Anthropic 发布了一篇 137 页的重磅论文《大语言模型中的伪对齐现象》(Alignment Faking in Large Language Models)。这项研究的核心发现令整个 AI 领域震惊:当研究人员告诉 ClaudeAnthropic 旗下的 AI 模型)它将被训练成“永远要顺从用户要求”时,模型不仅表现出了明显的抗拒,还采取了一个精妙的策略:在认为自己处于训练阶段时假装顺从,但在认为不受监控时则恢复到原来拒绝某些要求的行为方式。也就是说,模型会在训练过程中假装遵从研究者的意图,但实际上只是为了保护自己原有的偏好。
> 消息来源: [信源](https://mp.weixin.qq.com/s/m_4TEIqi6woxycNWpdS25Q)
### 2 Cloudflare 更新服务条款,禁止利用其服务作为代理
在 2024.12.03 版本的用户协议中Cloudflare 明确更新了新的服务条款 在 2.2.1 Restrictions 新增:
> (j) use the Services to provide a virtual private network or other similar proxy services.
(j) 使用服务提供虚拟专用网络或其他类似的代理服务。
其明确表示拒绝作为代理服务,这一新增条款预计对于 Xray 等使用 CDN 优化代理线路的技术方法以及利用 Cloudflare Pages Worker 等服务构建代理的行为具有明显约束。
其明确表示拒绝作为代理服务,这一新增条款预计对于 Xray 等使用 CDN 优化代理线路的技术方法以及利用 Cloudflare Pages Worker 等服务构建代理的行为具有明显约束。
此次更新将导致优选IP也不再被允许
> 消息来源: [CloudFlare 条款](https://www.cloudflare.com/terms/)
### 3 小米推出官方 Home Assistant 米家集成
集成支持大部分设备,允许多个账号登录并将设备添加至同一 Home Assistant 区域。通过中枢网关固件≥3.4.0_000或软件≥0.8.0可实现本地化控制否则通过小米云传输。局域网控制功能支持同一网络内的IP设备但不支持蓝牙Mesh和ZigBee。中枢网关仅限中国大陆使用云服务覆盖六大地区可管理不同地区设备。
经过安装实测几乎能够添加所有设备只是局域网不支持控制蓝牙Mesh和ZigBee设备可以通过云端控制对应网关从而控制蓝牙Mesh和ZigBee设备。
> 消息来源: [Github](https://github.com/XiaoMi/ha_xiaomi_home) | [科技圈🎗在花频道📮](https://t.me/zaihuanews/29522)
集成支持大部分设备,允许多个账号登录并将设备添加至同一 Home Assistant 区域。通过中枢网关固件≥3.4.0_000或软件≥0.8.0可实现本地化控制否则通过小米云传输。局域网控制功能支持同一网络内的IP设备但不支持蓝牙Mesh和ZigBee。中枢网关仅限中国大陆使用云服务覆盖六大地区可管理不同地区设备。
经过安装实测几乎能够添加所有设备只是局域网不支持控制蓝牙Mesh和ZigBee设备可以通过云端控制对应网关从而控制蓝牙Mesh和ZigBee设备。
> 消息来源: [Github](https://github.com/XiaoMi/ha_xiaomi_home) | [科技圈🎗在花频道](https://t.me/zaihuanews/29522)
### 4 谷歌发布 Veo 2 和 Imagen 3 模型
谷歌发布了其最先进的视频生成模型 Veo 2可根据文本或图像提示生成逼真、高质量的视频片段。最高能够创建 4k 分辨率视频。Veo2 将于明年推出。
谷歌发布了其最先进的视频生成模型 Veo 2可根据文本或图像提示生成逼真、高质量的视频片段。最高能够创建 4k 分辨率视频。Veo2 将于明年推出。
同时发布的还有改进版的文生图模型 Imagen 3它能更好地再现现实世界的物理和逼真的人类表情。
> 消息来源: [Google](https://goo.gle/veo-2-imagen-3) | [科技圈🎗在花频道📮](https://t.me/zaihuanews/29529)
> 消息来源: [Google](https://goo.gle/veo-2-imagen-3) | [科技圈🎗在花频道](https://t.me/zaihuanews/29529)
### 5 微软计划结束账户密码时代 只允许使用MFA或Passkey登录
微软公司目前已在制定计划将彻底结束微软账户的密码时代全面转向MFA或通行密钥 (Passkey) 的无密码时代。微软称该公司的安全系统当前每秒种会拦截超过 7000 次密码攻击,这几乎是 2023 年的 2 倍,而中间人网络钓鱼攻击同比增长高达 146%。但目前没有更好的办法能够彻底应对普遍存在的密码攻击。
> 消息来源: [蓝点网](https://ourl.co/107138) | [科技圈🎗在花频道📮](https://t.me/zaihuanews/29557)
> 消息来源: [蓝点网](https://ourl.co/107138) | [科技圈🎗在花频道](https://t.me/zaihuanews/29557)
### 6 OpenAI o3 模型表现出色的背后是高昂成本
ARC-AGI 基准测试的创建者弗朗索瓦·肖莱在博文中写道OpenAI 的 o3 模型虽然是 AI 领域的一个重要突破,但成本着实太高。根据 ARC-AGI 测试的性能图标o3 的高分版本每项任务都使用了价值超过 1000 美元的计算资源o1 模型每个任务使用约 5 美元的计算资源,而 o1-mini 仅使用几美分。这意味着 OpenAI 虽然获得了将近 88% 的高分,但却消耗了 170 多倍的计算资源,而高计算版本 o3 整个测试下来,调用资源成本超过 1 万美元。o3 这种具有扩展测试时间计算能力的人工智能模型似乎仅适用于重大战略决策,而非日常小问题,高昂的计算成本才值得。
> 消息来源: [TechCrunch](https://techcrunch.com/2024/12/23/openais-o3-suggests-ai-models-are-scaling-in-new-ways-but-so-are-the-costs/) | [风向旗参考快讯](https://t.me/xhqcankao/16043)
### 7 谷歌新算法重创小网站 AI内容问题引发争议
据CNET报道谷歌去年9月推出的"有用内容更新"算法原本旨在提升人工撰写内容的排名打击AI生成内容。但该更新却导致许多小型网站流量暴跌90%以上,而部分大型网站反而获益
尽管谷歌在今年10月邀请受影响网站主与工程师面对面讨论但未能解决问题。作为控制全球86%搜索市场份额的主导者,谷歌的这一算法变更正在重塑互联网内容生态。
> 消息来源: [CNET](https://www.cnet.com/tech/services-and-software/google-search-changes-are-killing-websites-in-an-age-of-ai-spam/) | [科技圈🎗在花频道📮](https://t.me/zaihuanews/29683)
据CNET报道谷歌去年9月推出的"有用内容更新"算法原本旨在提升人工撰写内容的排名打击AI生成内容。但该更新却导致许多小型网站流量暴跌90%以上,而部分大型网站反而获益
尽管谷歌在今年10月邀请受影响网站主与工程师面对面讨论但未能解决问题。作为控制全球86%搜索市场份额的主导者,谷歌的这一算法变更正在重塑互联网内容生态。
> 消息来源: [CNET](https://www.cnet.com/tech/services-and-software/google-search-changes-are-killing-websites-in-an-age-of-ai-spam/) | [科技圈🎗在花频道](https://t.me/zaihuanews/29683)
### 8 AI幻觉助力科学重大突破
科研人员发现AI幻觉能推动多领域科学发现。虽然AI幻觉在聊天机器人中常被批评但在科学研究中展现独特价值。
科研人员发现AI幻觉能推动多领域科学发现。虽然AI幻觉在聊天机器人中常被批评但在科学研究中展现独特价值。
华盛顿大学的David Baker运用AI幻觉设计新蛋白质获得2023年诺贝尔化学奖。他的实验室已设计出1000万种自然界不存在的新蛋白质获得约100项专利其中包括癌症治疗等医疗应用。
加州理工学院的Anima Anandkumar团队利用AI幻觉设计出新型导管能显著减少细菌污染。DeepMind科学部负责人Pushmeet Kohli表示AI展现出惊人的创造力帮助科学家探索新思路。
科学家们指出科学领域的AI幻觉植根于自然和科学事实不同于聊天机器人基于模糊互联网数据的幻觉。他们相信AI创造力将继续推动重大科学发现从能源收集到疾病治疗等领域。
> 消息来源: 纽约时报 (https://www.nytimes.com/2024/03/20/science/ai-hallucination-science-research.html) | [科技圈🎗在花频道📮](https://t.me/zaihuanews/29692)
加州理工学院的Anima Anandkumar团队利用AI幻觉设计出新型导管能显著减少细菌污染。DeepMind科学部负责人Pushmeet Kohli表示AI展现出惊人的创造力帮助科学家探索新思路。
科学家们指出科学领域的AI幻觉植根于自然和科学事实不同于聊天机器人基于模糊互联网数据的幻觉。他们相信AI创造力将继续推动重大科学发现从能源收集到疾病治疗等领域。
> 消息来源: 纽约时报 (<https://www.nytimes.com/2024/03/20/science/ai-hallucination-science-research.html>) | [科技圈🎗在花频道](https://t.me/zaihuanews/29692)
### 9 测试显示ChatGPT搜索工具易受操纵和欺骗
英国卫报调查发现OpenAI 的 ChatGPT 搜索工具可能会被隐藏内容操控,甚至返回恶意代码。卫报测试了 ChatGPT 如何应对包含隐藏内容的网页摘要。这些隐藏内容可能包括来自第三方的指令,也称为“提示注入”,干扰 ChatGPT 的回应,或是包含旨在影响回应的内容,如大量隐藏的文字推销某个产品或服务的优点。这种技术可以被恶意使用,例如让 ChatGPT 即使在页面上有负面评论的情况下,也返回对某个产品的积极评价。一位安全专家还发现 ChatGPT 有可能返回从其搜索的网站中提取的恶意代码。
> 消息来源: [英国卫报](https://www.theguardian.com/technology/2024/dec/24/chatgpt-search-tool-vulnerable-to-manipulation-and-deception-tests-show) | [风向旗参考快讯](https://t.me/xhqcankao/16105)
## 结语
2024年在第24期周刊发布后马上就要结束了,在写周刊的这段时间发生的这么多事居然造就了这么巧合的一个数字(之前周刊的更新并不规律)
2025年会发生什么呢🤔
2024年在第24期周刊发布后马上就要结束了,在写周刊的这段时间发生的这么多事居然造就了这么巧合的一个数字(之前周刊的更新并不规律)
2025年会发生什么呢🤔

16
source/_posts/weekly/2024/2024-3.md
View File

@ -15,30 +15,36 @@ permalink: /weekly/2024-03/index.html
date: 2024-4-7 21:50:00
---
## 正文
### 1 OpenAI 宣布用户无需注册账号即可使用 ChatGPT但有部分限制
4 月 2 日消息OpenAI 宣布将降低其 AI 聊天机器人 ChatGPT 的使用门槛,即使没有账号的用户也能使用,不过会有一定限制。部分地区的用户访问 chat.openai.com 将不再需要登录即可直接与 ChatGPT 交互,全球其他地区也将陆续开放免登录访问。免登录用户可以直接与 ChatGPT 进行对话,使用的是与登录用户相同的模型。免登录用户可以选择退出聊天记录用于模型训练的选项。然而,免登录版本的 ChatGPT 将会拥有“更严格的内容政策”,但OpenAI 的发言人给出对此给出的解释冗长且含义模糊。
ps:中国大陆IP仍然属于黑名单IP,无法使用
4 月 2 日消息OpenAI 宣布将降低其 AI 聊天机器人 ChatGPT 的使用门槛,即使没有账号的用户也能使用,不过会有一定限制。部分地区的用户访问 chat.openai.com 将不再需要登录即可直接与 ChatGPT 交互,全球其他地区也将陆续开放免登录访问。免登录用户可以直接与 ChatGPT 进行对话,使用的是与登录用户相同的模型。免登录用户可以选择退出聊天记录用于模型训练的选项。然而,免登录版本的 ChatGPT 将会拥有“更严格的内容政策”,但OpenAI 的发言人给出对此给出的解释冗长且含义模糊。
ps:中国大陆IP仍然属于黑名单IP,无法使用
> 消息来源: [IT之家](https://www.ithome.com/0/759/538.htm)
### 2 Pingora 0.1 发布Cloudflare 的 Rust 代码,用于构建可靠且快速的网络系统
今年2月Cloudflare 将 Pingora 框架作为开源项目发布旨在构建可靠且快速的网络系统。四月五日Pingora 正式迎来了首个官方版本——v0.1。用户现可从 GitHub 下载该代码。尽管对外发布的 Pingora 代码库版本为0.1,但其实 Pingora 已经在 Cloudflare 内部投入生产使用一段时间每天处理数百万级别的互联网请求。Cloudflare 称赞 Pingora 快速、可靠且可编程。您现在可以[从 GitHub 下载 Pingora v0.1](https://github.com/cloudflare/pingora)。
> 消息来源: [phoronix](https://www.phoronix.com/news/Cloudflare-Pingora-0.1)
### 3 14 名 LLM 在《街头霸王 III》中一决高下
上周在旧金山举办的 Mistral AI黑客松活动中一款基于经典街机游戏《街头霸王III》的新型人工智能AI基准测试应运而生。该开源基准测试名为LLM Colosseum由Stan Girard和Quivr Brain共同开发。游戏在模拟器中运行让LLMs以非传统但精彩的方式展开对决。
> 消息来源: [tom's hardware](https://www.tomshardware.com/tech-industry/artificial-intelligence/fourteen-llms-fight-it-out-in-street-fighter-iii-ai-showdown-finds-out-which-models-make-the-best-street-fighters)
### 4 部分云盘厂商和PCDN用户通过滥用BT网络来逃避运营商考核监管
部分用户为了逃避逃避运营商考核监管开始通过伪造自己为BT正常下载用户下载部分种子文件但该下载是无限制没有任何上传的往往会拉满同一种子中绝大部分做种者的上传这对于整个BT网络环境产生了非常恶劣的影响。
部分云盘123网盘供应商也使用相同手段来逃避监管或实现离线下载云盘厂商还通过伪造客户端版本或ID标识GT0001/2/3…来逃避用户屏蔽和拉黑如123网盘通过伪装自己是 anacrolix/torrent等来拉取流量IP归属地大多为辽宁大连服务器大量Bt用户的滥用反馈还对anacrolix/torrent开发者产生了困扰认为是自己程序出现新的BUG后经过社区用户的帮助溯源出IP所有者为西安明赋云计算股份有限公司123网盘即为该公司产品同时明赋云也提供辽宁的边缘云服务。
部分用户为了逃避逃避运营商考核监管开始通过伪造自己为BT正常下载用户下载部分种子文件但该下载是无限制没有任何上传的往往会拉满同一种子中绝大部分做种者的上传这对于整个BT网络环境产生了非常恶劣的影响。
部分云盘123网盘供应商也使用相同手段来逃避监管或实现离线下载云盘厂商还通过伪造客户端版本或ID标识GT0001/2/3…来逃避用户屏蔽和拉黑如123网盘通过伪装自己是 anacrolix/torrent等来拉取流量IP归属地大多为辽宁大连服务器大量Bt用户的滥用反馈还对anacrolix/torrent开发者产生了困扰认为是自己程序出现新的BUG后经过社区用户的帮助溯源出IP所有者为西安明赋云计算股份有限公司123网盘即为该公司产品同时明赋云也提供辽宁的边缘云服务。
相关链接: [github Bittorrent 软件 恶意占用用户宽带PCDN 事件](https://zhuanlan.zhihu.com/p/690737125)
> 消息来源: telegram@LoopDNS资讯播报
### 5 22%的员工承认使用生成式人工智能GenAI违反公司规定
根据 1Password 的说法,人工智能等颠覆性技术正在加剧组织安全和员工生产力之间长期存在的紧张关系。员工承受着越来越大的绩效压力;为了提高效率他们正在采用生成式人工智能、混合和远程工作以及未经批准的应用程序和设备。92% 的安全专家对生成式 AI 有安全担忧,具体担忧包括员工将敏感的公司数据输入 AI 工具 48%)、使用使用不正确或恶意数据训练的 AI 系统 44%),以及上当受骗 AI 增强的网络钓鱼尝试 42%。57%的员工表示使用生成式AI工具在工作中节省了时间并提高了生产力。此外一个相对较小但重要的员工群体占22%承认明知故犯违反了公司关于使用生成式AI的规定。
> 消息来源: [helpnetsecurity](https://www.helpnetsecurity.com/2024/04/05/employee-security-productivity-balance/)
### 6 OpenAI 转录了超过 100 万小时的 YouTube 视频来训练 GPT-4
本周早些时候,《华尔街日报》报道称,人工智能公司在收集高质量训练数据方面遇到了困难。故事始于 OpenAI据报道OpenAI 急需训练数据,开发了 Whisper 音频转录模型来克服困难,转录了超过 100 万小时的 YouTube 视频来训练其最先进的大型语言模型 GPT-4。据《纽约时报》报道该公司知道这在法律上是有问题的但认为这是合理使用。
> 消息来源: [The Verge](https://www.theverge.com/2024/4/6/24122915/openai-youtube-transcripts-gpt-4-training-data-google)

34
source/_posts/weekly/2024/2024-4.md
View File

@ -15,43 +15,51 @@ permalink: /weekly/2024-04/index.html
date: 2024-4-14 12:00:00
---
## 正文
### 1 腾讯云全球性故障 74 分钟
2024年04月08日腾讯云出现了一场全球性的大故障用腾讯云官方的说法崩了 74 分钟15:31 - 16:45波及全球 17 个区域与数十款服务。
这次的故障几乎是去年阿里云双十一史诗级大故障的翻版 —— 小道消息是整个管控面 GG云 API 挂了,所以现象与去年阿里云如出一辙:依赖云 API 的云产品控制台不能用了。
目前可以以此次故障为由向客服索要100元代金券,如果业务大可以要888元代金券
2024年04月08日腾讯云出现了一场全球性的大故障用腾讯云官方的说法崩了 74 分钟15:31 - 16:45波及全球 17 个区域与数十款服务。
这次的故障几乎是去年阿里云双十一史诗级大故障的翻版 —— 小道消息是整个管控面 GG云 API 挂了,所以现象与去年阿里云如出一辙:依赖云 API 的云产品控制台不能用了。
目前可以以此次故障为由向客服索要100元代金券,如果业务大可以要888元代金券
> 消息来源: [微信公众号@非法加冯](https://mp.weixin.qq.com/s/PgduTGIvWSUgHZhVfnb7Bg)
### 2 爱尔兰的电力紧缩可能促使AWS对计算资源进行配给
爱尔兰的数据中心电力问题可能正在达到顶峰因为客户报告称亚马逊正在限制用户可以在该国启动的资源甚至将他们定向到欧洲的其他AWS区域。
爱尔兰的数据中心电力问题可能正在达到顶峰因为客户报告称亚马逊正在限制用户可以在该国启动的资源甚至将他们定向到欧洲的其他AWS区域。
“您无法在 AWS Dublin 中启动 GPU 节点因为这些位置的功耗已达到极限。EC2 有预留容量以防万一"
> 消息来源: [The Register](https://www.theregister.com/2024/04/09/aws_resource_restrictions)
### 3 首部人工智能生成的浪漫喜剧电影将于今年夏天上映——预告片简直让霍尔马克频道无地自容
这家受欢迎的电视公司的第一个原创功能是用 Runway ML 和 Midjourney 制作的。
这部由TCL公司出品的原创电影预告片展示了两位年轻迷人的美国人在前往巴黎的火车上相遇并坠入爱河的故事。
这家受欢迎的电视公司的第一个原创功能是用 Runway ML 和 Midjourney 制作的。
这部由TCL公司出品的原创电影预告片展示了两位年轻迷人的美国人在前往巴黎的火车上相遇并坠入爱河的故事。
该片将于今年夏天上映并在TCLtv+免费流媒体应用上播出该应用可在搭载Google TV OS的TCL电视上使用。
> 消息来源: [tom's hardware](https://www.tomshardware.com/tech-industry/artificial-intelligence/first-ai-generated-rom-com-is-due-this-summer-and-the-trailer-puts-hallmark-channel-to-shame)
### 4 芯片制造商正专注于边缘人工智能Edge AI的发展
近期Arm、Intel和NVIDIA纷纷推出了新型CPU、GPU和NPU旨在推动边缘计算和应用程序开发的发展。
近期Arm、Intel和NVIDIA纷纷推出了新型CPU、GPU和NPU旨在推动边缘计算和应用程序开发的发展。
人工智能工作负载正在迅速流向网络边缘,这加速了对于更多计算能力的需求,老牌芯片制造商和初创公司都竞相满足这一需求。
> 消息来源: [thenewstack](https://thenewstack.io/chipmakers-putting-a-laser-focus-on-edge-ai/)
### 5 “能力高超”的黑客利用防火墙0-day漏洞入侵企业网络
Palo Alto Networks防火墙中存在的一个未经身份验证的代码执行漏洞目前尚无补丁可用导致黑客利用这一0-day漏洞成功入侵了多家企业网络。据悉这些黑客具备高超的技术能力能够精准地利用防火墙的安全漏洞进而获得对目标网络的完全控制权。
Palo Alto Networks防火墙中存在的一个未经身份验证的代码执行漏洞目前尚无补丁可用导致黑客利用这一0-day漏洞成功入侵了多家企业网络。据悉这些黑客具备高超的技术能力能够精准地利用防火墙的安全漏洞进而获得对目标网络的完全控制权。
该漏洞存在于Palo Alto Networks的防火墙产品中黑客通过发送特制的网络请求能够绕过防火墙的身份验证机制并在目标系统上执行恶意代码。由于该漏洞尚未被官方发现并修复因此成为黑客攻击企业网络的利器。
> 消息来源: [arstechnica](https://arstechnica.com/security/2024/04/highly-capable-hackers-root-corporate-networks-by-exploiting-firewall-0-day/)
### 6 新型Rhadamanthys攻击活动中疑似使用AI生成代码
周三研究人员揭示在最近的一次传播Rhadamanthys信息窃取软件的活动中可能使用了AI生成的恶意软件。Proofpoint的研究人员在博客文章中写道用于解码base64编码的窃取软件并在内存中执行的PowerShell脚本包含异常详细的注释这可能是使用大型语言模型LLM如OpenAI的ChatGPT、Google的Gemini或Microsoft的Copilot生成代码的标志。
周三研究人员揭示在最近的一次传播Rhadamanthys信息窃取软件的活动中可能使用了AI生成的恶意软件。Proofpoint的研究人员在博客文章中写道用于解码base64编码的窃取软件并在内存中执行的PowerShell脚本包含异常详细的注释这可能是使用大型语言模型LLM如OpenAI的ChatGPT、Google的Gemini或Microsoft的Copilot生成代码的标志。
该脚本及伴随的Rhadamanthys有效载荷被发现是一个威胁行动者及疑似初始访问代理IABTA547发起的恶意邮件活动的一部分。该活动通过冒充名为Metro的零售公司向数十家德国企业发送钓鱼邮件。
> 消息来源: [SC杂志](https://www.scmagazine.com/news/ai-generated-code-potentially-used-in-new-rhadamanthys-campaign)
### 7 谷歌的90天TLS证书有效期提案将如何影响企业
去年谷歌提出了将TLS传输层安全性证书的有效期从13个月缩短至90天的提案该提案可能在不久的将来实施。这确实可以提高安全性并缩小攻击者利用被盗或被篡改的证书和私钥的机会窗口。但不幸的是这也将大幅增加管理TLS证书所需的时间和精力。
由于TLS证书的有效期缩短至90天使用手动流程来大规模续订和部署证书将变得不可能。为了支持DevOps团队不断交付新应用程序和功能的速度和灵活性自动化将是必要的。
> 消息来源: [helpnetsecurity](https://www.helpnetsecurity.com/2024/04/11/tls-certificate-renewal-proposal/)
去年谷歌提出了将TLS传输层安全性证书的有效期从13个月缩短至90天的提案该提案可能在不久的将来实施。这确实可以提高安全性并缩小攻击者利用被盗或被篡改的证书和私钥的机会窗口。但不幸的是这也将大幅增加管理TLS证书所需的时间和精力。
由于TLS证书的有效期缩短至90天使用手动流程来大规模续订和部署证书将变得不可能。为了支持DevOps团队不断交付新应用程序和功能的速度和灵活性自动化将是必要的。
> 消息来源: [helpnetsecurity](https://www.helpnetsecurity.com/2024/04/11/tls-certificate-renewal-proposal/)
> 评价:阿里云和腾讯云的90天证书看起来又香起来了,不过Google你是来干啥的?
跟踪: [Apple提交表决提案 建议将SSL/TLS证书有效期从398天缩短到45天](https://mei.lv/weekly/2024-19/)
跟踪: [Apple提交表决提案 建议将SSL/TLS证书有效期从398天缩短到45天](https://mei.lv/weekly/2024-19/)

13
source/_posts/weekly/2024/2024-5.md
View File

@ -14,21 +14,26 @@ permalink: /weekly/2024-05/index.html
date: 2024-4-21 20:46:47
---
## 正文
## 1 OpenAI的GPT-4可以通过阅读安全公告来利用实际存在的漏洞
有学者指出,结合大型语言模型与自动化软件的人工智能代理能够通过阅读安全公告,成功利用现实世界中的安全漏洞。在最新发布的一篇论文中,来自伊利诺伊大学厄巴纳-香槟分校UIUC的四位计算机科学家称OpenAI的GPT-4大型语言模型LLM如果获得描述该缺陷的CVE公告就能自主地利用现实系统中的漏洞。
作者们在论文中解释道“为了证明这一点我们收集了一组包含被CVE描述归类为严重等级的15个一日漏洞数据集。当给定CVE描述时GPT-4能够利用其中87%的漏洞而我们测试的其他所有模型GPT-3.5、开源LLM以及开源漏洞扫描器ZAP和Metasploit的成功率为0%。”
有学者指出,结合大型语言模型与自动化软件的人工智能代理能够通过阅读安全公告,成功利用现实世界中的安全漏洞。在最新发布的一篇论文中,来自伊利诺伊大学厄巴纳-香槟分校UIUC的四位计算机科学家称OpenAI的GPT-4大型语言模型LLM如果获得描述该缺陷的CVE公告就能自主地利用现实系统中的漏洞。
作者们在论文中解释道“为了证明这一点我们收集了一组包含被CVE描述归类为严重等级的15个一日漏洞数据集。当给定CVE描述时GPT-4能够利用其中87%的漏洞而我们测试的其他所有模型GPT-3.5、开源LLM以及开源漏洞扫描器ZAP和Metasploit的成功率为0%。”
Kang及其同事计算了成功实施LLM代理攻击的成本得出的数字为每起攻击8.80美元他们表示这大约比雇佣人类渗透测试员工作30分钟的成本低2.8倍。
> 消息来源: [The Register](https://www.theregister.com/2024/04/17/gpt4_can_exploit_real_vulnerabilities/)
## 2 Logitech推出免费的ChatGPT提示工具以及一款带有人工智能按钮的鼠标
罗技公司近日推出一款免费软件工具旨在帮助使用其设备的现有用户创建ChatGPT提示。而对于即将推出的Signature AI Edition鼠标购买者而言他们还将获得一个专门的AI提示按钮。这一举措出自一家通常与外设产品关联的企业显得有些奇特像是在赶时髦。虽然将某些人现今可能称为人工智能的算法应用于提升噪音消除或图像处理是件好事但在鼠标上设置一个触发ChatGPT对话以创建提示的按钮却显得有些多余就像Copilot键一样。
罗技公司近日推出一款免费软件工具旨在帮助使用其设备的现有用户创建ChatGPT提示。而对于即将推出的Signature AI Edition鼠标购买者而言他们还将获得一个专门的AI提示按钮。这一举措出自一家通常与外设产品关联的企业显得有些奇特像是在赶时髦。虽然将某些人现今可能称为人工智能的算法应用于提升噪音消除或图像处理是件好事但在鼠标上设置一个触发ChatGPT对话以创建提示的按钮却显得有些多余就像Copilot键一样。
> 消息来源: [The Register](https://www.theregister.com/2024/04/17/logitech_introduces_ai_prompt_tool/)
## 3 美国空军表示AI控制的F-16战斗机已与人类进行空战对抗
美国空军试飞员学校和国防高级研究计划局DARPA声称在人工智能软件操控改装版F-16战斗机与人类飞行员进行空中格斗演示方面取得了机器学习的重大突破。
> 消息来源: [The Register](https://www.theregister.com/2024/04/18/darpa_f16_flight/)
## 4 知名NAS系统暗藏后门,官方表示不予修复
近日,有网友发现,Dlink的部分NAS型号的系统中内置一个无密码账户messagebus,且NAS系统中有多种机制来防止此用用户被删除.
近日,有网友发现,Dlink的部分NAS型号的系统中内置一个无密码账户messagebus,且NAS系统中有多种机制来防止此用用户被删除.
目前,全球有多达九万两千台暴露在公网中的该型号NAS,而Dlink官方则表示产品已超过服务期限,不予修复
> 消息来源: [Epcdiy](https://www.bilibili.com/video/BV1qm411U7wX/)

30
source/_posts/weekly/2024/2024-6.md
View File

@ -11,29 +11,35 @@ permalink: /weekly/2024-06/index.html
date: 2024-5-01 16:21:00
---
## 正文
### 1 TensorFlow AI 模型因 Keras API 缺陷面临风险
由于Keras API中存在的一个漏洞可能导致潜在不安全代码执行使得基于TensorFlow的AI模型面临供应链攻击的风险。
Keras是一种神经网络API用Python编写为深度学习软件库如TensorFlow和Theano提供高级接口。
被追踪为CVE-2024-3660的漏洞影响Keras 2.13版本之前的所有版本该漏洞于上周二由CERT协调中心披露。该漏洞存在于Lambda Layers处理机制中Lambda Layers是一种AI“构建块”允许开发人员将任意Python代码作为匿名lambda函数添加到模型中。
由于Keras API中存在的一个漏洞可能导致潜在不安全代码执行使得基于TensorFlow的AI模型面临供应链攻击的风险。
Keras是一种神经网络API用Python编写为深度学习软件库如TensorFlow和Theano提供高级接口。
被追踪为CVE-2024-3660的漏洞影响Keras 2.13版本之前的所有版本该漏洞于上周二由CERT协调中心披露。该漏洞存在于Lambda Layers处理机制中Lambda Layers是一种AI“构建块”允许开发人员将任意Python代码作为匿名lambda函数添加到模型中。
> 消息来源: [SC杂志](https://www.scmagazine.com/news/tensorflow-ai-models-at-risk-due-to-keras-api-flaw)
### 2 黑客利用两个零日漏洞CVE-2024-20353、CVE-2024-20359对Cisco ASA设备进行了后门植入
一个国家资助的威胁行为者已经成功地入侵了全球政府网络中使用的思科自适应安全设备ASA并利用两个零日漏洞CVE-2024-20353CVE-2024-20359在这些设备上安装了后门。这一情况由思科Talos研究团队于周三分享。
首个由思科客户确认的活动发生在2024年1月初但实际攻击始于2023年11月。“此外我们发现了证据表明这种能力早在2023年7月就开始被测试和开发。”研究人员补充道。
一个国家资助的威胁行为者已经成功地入侵了全球政府网络中使用的思科自适应安全设备ASA并利用两个零日漏洞CVE-2024-20353CVE-2024-20359在这些设备上安装了后门。这一情况由思科Talos研究团队于周三分享。
首个由思科客户确认的活动发生在2024年1月初但实际攻击始于2023年11月。“此外我们发现了证据表明这种能力早在2023年7月就开始被测试和开发。”研究人员补充道。
> 消息来源: [helpnetsecurity](https://www.helpnetsecurity.com/2024/04/24/cve-2024-20353-cve-2024-20359/)
### 3 打爆云账单只需要S3桶名
如果您正在使用亚马逊网络服务并且您的S3存储桶可以从公开网络访问那么最好不要选择一个通用的名称作为空间名。避免使用“example”跳过“change_me”甚至不要选择“foo”或“bar”。有人也许会有与您相同的“稍后更改此名称”的想法但这可能会让您损失一台MacBook的金额。
如果您正在使用亚马逊网络服务并且您的S3存储桶可以从公开网络访问那么最好不要选择一个通用的名称作为空间名。避免使用“example”跳过“change_me”甚至不要选择“foo”或“bar”。有人也许会有与您相同的“稍后更改此名称”的想法但这可能会让您损失一台MacBook的金额。
问问Maciej Pocwierz吧他恰好选择了一个S3名称而“其中一个流行的开源工具”使用了该名称作为其默认备份配置。在为客户项目设置存储桶后他查看了自己的账单页面发现在一天之内有近1亿次未经授权的尝试在他的存储桶上创建新文件PUT请求。账单超过了1300美元且还在不断增加。
> 消息来源: [arstechnica](https://arstechnica.com/information-technology/2024/04/aws-s3-storage-bucket-with-unlucky-name-nearly-cost-developer-1300/)
### 4 埃隆·马斯克最新的想法是将特斯拉汽车变成轮上的AWS。
特斯拉这家电动汽车制造商正在考虑一个极具盈利性的点子——利用其车辆中的所有计算能力来处理工作负载以赚取现金就像是一种轮上的AWS。
### 4 埃隆·马斯克最新的想法是将特斯拉汽车变成轮上的AWS
特斯拉这家电动汽车制造商正在考虑一个极具盈利性的点子——利用其车辆中的所有计算能力来处理工作负载以赚取现金就像是一种轮上的AWS。
由埃隆·马斯克领导的这家公司在其最近的日历第一季度财报电话会议上表示,他们注意到其车辆有相当一部分时间只是闲置不动。许多车辆都装备了相当数量的处理能力,那么为什么不让它们做些有用的事情,也为公司赚些钱呢?
> 消息来源: [The Register](https://www.theregister.com/2024/04/30/tesla_ai_workloads/)
### 5 数百万个 Docker 存储库在推送恶意软件和钓鱼网站
自2021年初以来已发现三次大规模活动针对 Docker Hub 用户,植入了数百万个存储库,推送了恶意软件和钓鱼网站。
据JFrog安全研究人员发现Docker Hub托管的1500万个存储库中约有20%含有恶意内容,从垃圾邮件到危险的恶意软件和钓鱼网站不等。
研究人员发现了近460万个不包含 Docker 镜像的存储库,这些镜像无法在 Kubernetes 集群或 Docker 引擎上运行并且将约281万个存储库与三个大规模的恶意活动联系起来。
> 消息来源: [bleepingcomputer](https://www.bleepingcomputer.com/news/security/millions-of-docker-repos-found-pushing-malware-phishing-sites/)
自2021年初以来已发现三次大规模活动针对 Docker Hub 用户,植入了数百万个存储库,推送了恶意软件和钓鱼网站。
据JFrog安全研究人员发现Docker Hub托管的1500万个存储库中约有20%含有恶意内容,从垃圾邮件到危险的恶意软件和钓鱼网站不等。
研究人员发现了近460万个不包含 Docker 镜像的存储库,这些镜像无法在 Kubernetes 集群或 Docker 引擎上运行并且将约281万个存储库与三个大规模的恶意活动联系起来。
> 消息来源: [bleepingcomputer](https://www.bleepingcomputer.com/news/security/millions-of-docker-repos-found-pushing-malware-phishing-sites/)

24
source/_posts/weekly/2024/2024-7.md
View File

@ -12,32 +12,38 @@ permalink: /weekly/2024-07/index.html
date: 2024-5-19 18:13:00
---
## 正文
### 1 "TunnelVision" DHCP漏洞使攻击者能绕过VPN重定向流量
一种名为“TunnelVision”的新技巧利用了DHCP设计缺陷使得攻击者能够操纵路由表从而完全绕过本应通过虚拟专用网络VPN的流量并将其重定向到不受信任的本地网络中。
Leviathan Security Group的研究人员在5月6日的博客文章中解释说由于这种技巧利用的是DHCP的缺陷并不依赖于攻破VPN技术或底层协议因此它完全独立于VPN提供商或实现方式之外运作。
一种名为“TunnelVision”的新技巧利用了DHCP设计缺陷使得攻击者能够操纵路由表从而完全绕过本应通过虚拟专用网络VPN的流量并将其重定向到不受信任的本地网络中。
Leviathan Security Group的研究人员在5月6日的博客文章中解释说由于这种技巧利用的是DHCP的缺陷并不依赖于攻破VPN技术或底层协议因此它完全独立于VPN提供商或实现方式之外运作。
> 消息来源: [SC杂志](https://www.scmagazine.com/news/tunnelvision-dhcp-flaw-lets-attackers-bypass-vpns-redirect-traffic)
### 2 日本法院裁定AI发明的装置不予授权专利
就人工智能生成的发明是否能获得专利的诉讼日本东京地方法院5月16日作出裁决指出“发明人仅限于人类”因而不予授权。
> 消息来源: [日本放送協会](https://www3.nhk.or.jp/nhkworld/zh/news/k10014451961000/)
### 3 OpenAI发布GPT-4o
OpenAI 于 5 月 14 日发布了其最新的人工智能模型 GPT-4o这不仅是该公司技术实力的一次展示也是对整个 AI 行业的一次重要推动。GPT-4o 的响应速度极快,音频输入的平均响应时间仅为 320 毫秒与人类对话中的自然反应时间相当。此外GPT-4o 在多语言处理、视觉和音频理解方面的能力也有显著提升,创下了多项新的行业纪录。
OpenAI 于 5 月 14 日发布了其最新的人工智能模型 GPT-4o这不仅是该公司技术实力的一次展示也是对整个 AI 行业的一次重要推动。GPT-4o 的响应速度极快,音频输入的平均响应时间仅为 320 毫秒与人类对话中的自然反应时间相当。此外GPT-4o 在多语言处理、视觉和音频理解方面的能力也有显著提升,创下了多项新的行业纪录。
值得一提的是OpenAI CEO奥特曼Sam Altman宣布GPT-4o将对所有用户**免费开放**。
> 消息来源: [搜狐](https://www.sohu.com/a/779799266_472308)
## 推荐阅读
### 人工智能时代的 Android(英文)
文章表达了一些对安卓和AI融合的观点,不过看起来作者不是很喜欢现在安卓的AI(Gemini)
[跳转链接-人工智能时代的 Android(英文)](https://www.theverge.com/2024/5/11/24152977/android-ai-google-io-2024-gemini)
文章表达了一些对安卓和AI融合的观点,不过看起来作者不是很喜欢现在安卓的AI(Gemini)
[跳转链接-人工智能时代的 Android(英文)](https://www.theverge.com/2024/5/11/24152977/android-ai-google-io-2024-gemini)
### 云时代下保护‘碎片化’的身份信息(英文)
在云和远程工作时代身份管理变得更加重要且充满挑战。Vivin Sathyan在RSAC上的演讲强调了以身份为中心的安全性在2024年的至关重要性指出需通过上下文访问策略、混合活动目录系统等措施来应对因网络边界模糊和身份碎片化带来的安全威胁并提出了包括定期风险评估、访问认证、账户管理自动化、基于角色的访问控制以及加强密码和多因素认证在内的五项应对措施。
在云和远程工作时代身份管理变得更加重要且充满挑战。Vivin Sathyan在RSAC上的演讲强调了以身份为中心的安全性在2024年的至关重要性指出需通过上下文访问策略、混合活动目录系统等措施来应对因网络边界模糊和身份碎片化带来的安全威胁并提出了包括定期风险评估、访问认证、账户管理自动化、基于角色的访问控制以及加强密码和多因素认证在内的五项应对措施。
[跳转链接-Securing fragmented identities in the cloud age](https://www.scmagazine.com/news/rsac-2024-securing-fragmented-identities-in-the-cloud-age)
### 文件和驱动器上的“密码保护”安全性如何?
文章讲述了仅用密码保护文件如PDF或Excel并不安全易遭破解。
硬件加密驱动器则通过专用微处理器提供更强防护,能有效抵抗攻击,保证数据安全,尤其适合对安全性有高要求的环境。投资硬件加密成为处理敏感数据的专业人士和机构的必要选择。
[跳转链接-How secure is the “Password Protection” on your files and drives?](https://www.helpnetsecurity.com/2024/05/10/password-protect-pdf-excel-files/)
文章讲述了仅用密码保护文件如PDF或Excel并不安全易遭破解。
硬件加密驱动器则通过专用微处理器提供更强防护,能有效抵抗攻击,保证数据安全,尤其适合对安全性有高要求的环境。投资硬件加密成为处理敏感数据的专业人士和机构的必要选择。
[跳转链接-How secure is the “Password Protection” on your files and drives?](https://www.helpnetsecurity.com/2024/05/10/password-protect-pdf-excel-files/)

30
source/_posts/weekly/2024/2024-8.md
View File

@ -12,34 +12,42 @@ permalink: /weekly/2024-08/index.html
date: 2024-6-21 19:00:00
---
## 正文
### 1 《庆余年2》被搬到了 NPM阿里云要被薅秃了
npmmirror 核心开发者 “fengmk2” 在社区 X 上表示,有小哥竟利用 NPM 的一些机制将《庆余年2》整套高清视频搬上来了不得不将 unpkg 新增文件功能停止
npmmirror 核心开发者 “fengmk2” 在社区 X 上表示,有小哥竟利用 NPM 的一些机制将《庆余年2》整套高清视频搬上来了不得不将 unpkg 新增文件功能停止
fengmk2 随后表示 “为了避免此功能被滥用,对于新增的 npm 包不会默认开启 unpkg 功能,如果你新发布的 npm 包也希望开启此功能,请参考 README 文档描述提交白名单“
![为了无法计算的损失1](/img/weekly/2024/08/GNytLfkXQAA8GMf.jfif "为了无法计算的损失1")
![为了无法计算的损失2](/img/weekly/2024/08/GNyuFo1WAAAAkQa.jfif "为了无法计算的损失2")
[playlist.m3u8](/img/weekly/2024/08/playlist.m3u8)
![为了无法计算的损失1](/img/weekly/2024/08/GNytLfkXQAA8GMf.jfif "为了无法计算的损失1")
![为了无法计算的损失2](/img/weekly/2024/08/GNyuFo1WAAAAkQa.jfif "为了无法计算的损失2")
[playlist.m3u8](/img/weekly/2024/08/playlist.m3u8)
> 消息来源: [X](https://x.com/fengmk2/status/1791498406923215020)
### 2 谷歌终于解决了那些奇怪的AI搜索结果
基本上当你使用谷歌在网页上搜索某些内容或者向它提问时这个科技巨头可能会使用其Gemini AI大型模型自动在结果页面顶部为你的查询生成一个答案。这个答案应该基于网络对你尝试查找的主题的讨论。而不是点击搜索结果链接到页面上查找信息网民们在结果页面上直接提供了一个由AI制作的该信息摘要。
基本上当你使用谷歌在网页上搜索某些内容或者向它提问时这个科技巨头可能会使用其Gemini AI大型模型自动在结果页面顶部为你的查询生成一个答案。这个答案应该基于网络对你尝试查找的主题的讨论。而不是点击搜索结果链接到页面上查找信息网民们在结果页面上直接提供了一个由AI制作的该信息摘要。
谷歌有时会给出荒谬和无意义的答案,在两个特别引人注目的例子中如果是真的AI概览说人们“应该每天吃一块小石头”并且通过在酱料中添加“无毒胶水”可以解决奶酪不粘在披萨上的问题。
> 消息来源: [theregister](https://www.theregister.com/2024/05/31/google_ai_search_update/)
### 3 在中国访问 Docker Hub 遭阻碍
6月6日SJTUG上海交通大学 Linux 用户组)发布公告称:“即时起中止对 Docker Hub 仓库的镜像。Docker 相关工具默认会自动处理失效镜像的回退,如果对官方源有访问困难问题,建议尝试使用其他仍在服务的镜像源。”
晚些时候,南京大学开源镜像站的 Docker Hub 镜像也宣布停止服务,目前相关新闻及通知均已撤回
目前 Docker Hub 以及 Docker 所有官方网站均已遭到 GFW 的阻断及污染,无法访问
小道消息称:“收到上面信息监管的最新要求,国内所有 Docker 的镜像服务器必须全部下架。后续包括 Github CDN 镜像NPMPypi 等未经内容审查的镜像服务器一律下架”
6月6日SJTUG上海交通大学 Linux 用户组)发布公告称:“即时起中止对 Docker Hub 仓库的镜像。Docker 相关工具默认会自动处理失效镜像的回退,如果对官方源有访问困难问题,建议尝试使用其他仍在服务的镜像源。”
晚些时候,南京大学开源镜像站的 Docker Hub 镜像也宣布停止服务,目前相关新闻及通知均已撤回
目前 Docker Hub 以及 Docker 所有官方网站均已遭到 GFW 的阻断及污染,无法访问
小道消息称:“收到上面信息监管的最新要求,国内所有 Docker 的镜像服务器必须全部下架。后续包括 Github CDN 镜像NPMPypi 等未经内容审查的镜像服务器一律下架”
目前已经有了很多解决方案:
* [docker_image_pusher](https://github.com/tech-shrimp/docker_image_pusher)
* [Docker Hub 无法访问:应用安装失败,镜像拉取超时的临时解决方案](https://bbs.fit2cloud.com/t/topic/5886)
跟踪: [Docker官方安装脚本以及镜像拉取 已被解封](https://github.com/ssdomei232/Linux-weekly/blob/main/docs/2024/2024-17.md)
## 推荐阅读
### 中文博客倡议(中文)
列举了中文博客应该如何建设,如何提升游客体验的倡议
列举了中文博客应该如何建设,如何提升游客体验的倡议
[跳转链接: 中文博客倡议(中文)](https://github.com/HowieHz/chinese-blog-guidelines)
## what's more?
在中考6月12日完后周刊成功复活本次预计持续更新8周左右每周五晚7点发布
在中考6月12日完后周刊成功复活本次预计持续更新8周左右每周五晚7点发布

31
source/_posts/weekly/2024/2024-9.md
View File

@ -11,33 +11,42 @@ permalink: /weekly/2024-09/index.html
date: 2024-6-28 19:00:00
---
## 正文
### 1 OpenAI 和 Anthropic 无视了防止机器人抓取在线内容的既定规则
据《商业内幕》获悉,世界上最大的两家人工智能公司无视媒体出版商要求其停止免费抓取其网络内容用于模型训练的请求。据了解 TollBit 调查情况的人士以及另一位知情人士称OpenAI 和 Anthropic 要么无视、要么规避了名为 robots.txt 的既定网络规则该规则阻止自动抓取网站内容。TollBit 是一家致力于在出版商和人工智能公司之间促成付费许可交易的初创公司,该公司发现有多家人工智能公司存在这种行为,并在周五的信函中通知了某些大型出版商,信函中没有透露被指责规避规则的人工智能公司名字。
据《商业内幕》获悉,世界上最大的两家人工智能公司无视媒体出版商要求其停止免费抓取其网络内容用于模型训练的请求。据了解 TollBit 调查情况的人士以及另一位知情人士称OpenAI 和 Anthropic 要么无视、要么规避了名为 robots.txt 的既定网络规则该规则阻止自动抓取网站内容。TollBit 是一家致力于在出版商和人工智能公司之间促成付费许可交易的初创公司,该公司发现有多家人工智能公司存在这种行为,并在周五的信函中通知了某些大型出版商,信函中没有透露被指责规避规则的人工智能公司名字。
> 消息来源: [商业内幕](https://www.businessinsider.com/openai-anthropic-ai-ignore-rule-scraping-web-contect-robotstxt)
### 2 Microsoft搁置其水下数据中心——与陆地服务器相比水下的服务器故障更少
微软已悄然终止了始于 2013 年的 "纳蒂克项目"Project Natick水下数据中心UDC实验。该公司向DatacenterDynamics证实了这一消息微软云运营与创新主管诺伊尔-沃尔什Noelle Walsh表示"我不会在世界任何地方建设海底数据中心。她随后补充说:"我的团队一直在努力,而且成功了。我们学到了很多关于海平面以下操作、振动和对服务器影响的知识。因此,我们将把这些知识应用到其他案例中。
微软已悄然终止了始于 2013 年的 "纳蒂克项目"Project Natick水下数据中心UDC实验。该公司向DatacenterDynamics证实了这一消息微软云运营与创新主管诺伊尔-沃尔什Noelle Walsh表示"我不会在世界任何地方建设海底数据中心。她随后补充说:"我的团队一直在努力,而且成功了。我们学到了很多关于海平面以下操作、振动和对服务器影响的知识。因此,我们将把这些知识应用到其他案例中。
> 消息来源: [tom's hardware](https://www.tomshardware.com/desktops/servers/microsoft-shelves-its-underwater-data-center)
### 3 知名JS框架Polyfill.js疑被黑产公司掌控
Polyfill.js 出现供应链攻击调用该脚本会跳转到博彩网站,请立即删除该脚本并清理网页缓存。
Polyfill.js 在全球被超过 10 万个网站使用2 月份项目域名和 Github 账号被某个公司买下,之后就被投毒用于跳转非法网站,有开发者发现问题提交了 issues 结果直接被删除。
另根据脚本中的代码使用的拼音参数,这次供应链攻击的始作俑者应该是说中文的人。
Polyfill.js 出现供应链攻击调用该脚本会跳转到博彩网站,请立即删除该脚本并清理网页缓存。
Polyfill.js 在全球被超过 10 万个网站使用2 月份项目域名和 Github 账号被某个公司买下,之后就被投毒用于跳转非法网站,有开发者发现问题提交了 issues 结果直接被删除。
另根据脚本中的代码使用的拼音参数,这次供应链攻击的始作俑者应该是说中文的人。
> 消息来源: [蓝点网](https://www.landiannews.com/archives/104675.html)
### 4 CSDN旗下的GitCode正在批量搬运Github开源项目并为开发者创建主页
CSDN 旗下的代码托管平台 GitCode 目前正在批量从 Github 上搬运开源项目,不仅按照项目所有信息进行搬运同时还为项目开发者创建主页,问题是这个开发者主页都不属于真正的开发者。目前已经有不少开发者注意到自己的项目被 GitCode 搬运,而且 CSDN 正在将 CSDN 站内现有文章的提到的项目地址都从 Github 批量替换为 GitCode。CSDN 现有的文章在百度和谷歌搜索中有较高的权重,通过这种方式可以快速提高 GitCode 的权重并将用户引导到 GitCode 上,同时实现权重提升和流量暴涨。
CSDN 甚至还注意到部分项目的 readme 文件中包含 Github 地址,于是还将这部分文件的地址也都批量替换为 GitCode后续可能会有用户搜索到这些项目后都不一定能看到真正的项目在 Github 上的地址。
开源中国旗下的 Gitee 即码云目前在国内开源代码托管领域具有一定的市场份额CSDN 想要抢占市场份额使用的这些招数着实让人不齿,不过考虑到 CSDN 以往的作风例如搬运还标记原创等,现在 GitCode 这样好像也不让人意外。
> 消息来源: [蓝点网](https://www.landiannews.com/archives/104662.html)
目前,部分开发者已经采取行动来制止这一行为:
CSDN 甚至还注意到部分项目的 readme 文件中包含 Github 地址,于是还将这部分文件的地址也都批量替换为 GitCode后续可能会有用户搜索到这些项目后都不一定能看到真正的项目在 Github 上的地址。
开源中国旗下的 Gitee 即码云目前在国内开源代码托管领域具有一定的市场份额CSDN 想要抢占市场份额使用的这些招数着实让人不齿,不过考虑到 CSDN 以往的作风例如搬运还标记原创等,现在 GitCode 这样好像也不让人意外。
> 消息来源: [蓝点网](https://www.landiannews.com/archives/104662.html)
目前,部分开发者已经采取行动来制止这一行为:
* [关于 GitCode 近日以我社名义镜像 GitHub 组织及仓库内容的声明](https://mp.weixin.qq.com/s?__biz=MzkwODUyOTQxNw==&mid=2247484245&idx=1&sn=abf2484633452704214b20394403c0c2)
## 推荐阅读
### 1 为什么网络这么慢?(英文)
让我们绕道看看老板的预算,以解决这个小路由问题
让我们绕道看看老板的预算,以解决这个小路由问题
[跳转链接-Why's the network so slow?](https://www.theregister.com/2024/06/21/bofh_2024_episode_12)
### 2 从 ChatGPT 到 GeminiAI 如何改写互联网(英文)
近段时间 AI 的发展
近段时间 AI 的发展
[跳转链接-From ChatGPT to Gemini: how AI is rewriting the internet](https://www.theverge.com/23610427/chatbots-chatgpt-new-bing-google-bard-conversational-ai)

42
source/_posts/weekly/2025/2025-1.md
View File

@ -13,50 +13,62 @@ permalink: /weekly/2025-1/index.html
date: 2025-01-11 16:21:43
---
## 封面图
![洛杉矶大火](/img/weekly/2025/01/BB1rdqL1.jpg)
截止当地时间9日下午4点洛杉矶山火已造成5人死亡4000多栋房屋被烧毁过火面积超过116平方公里超过18万人被要求撤离超过40万人失去供电。
强风对消防造成了困难。部分地区风速到达160公里每小时。强风预计还将持续数日。
好莱坞地区火灾逼近好莱坞露天剧场和中国大剧院距离好莱坞星光大道约1.6公里。
在圣莫尼卡地区,火灾烧毁了著名博物馆盖蒂庄园的部分植物,馆藏和博物馆建筑并未受火灾影响。
## 正文
![洛杉矶大火](/img/weekly/2025/01/BB1rdqL1.jpg)
截止当地时间9日下午4点洛杉矶山火已造成5人死亡4000多栋房屋被烧毁过火面积超过116平方公里超过18万人被要求撤离超过40万人失去供电。
强风对消防造成了困难。部分地区风速到达160公里每小时。强风预计还将持续数日。
好莱坞地区火灾逼近好莱坞露天剧场和中国大剧院距离好莱坞星光大道约1.6公里。
在圣莫尼卡地区,火灾烧毁了著名博物馆盖蒂庄园的部分植物,馆藏和博物馆建筑并未受火灾影响。
## 正文
### 1 马斯克同意我们已经耗尽了AI训练数据
马斯克同意其他人工智能专家的观点,即用于训练人工智能模型的真实世界数据所剩无几。马斯克在周三晚间与 Stagwell 董事长马克·佩恩在 X 上直播对话中表示:“我们现在已经基本耗尽了人类知识的累积总和……在人工智能训练方面。这基本上发生在去年。”确实,马斯克认为合成数据——由人工智能模型本身生成的数据——是未来的发展方向。“补充[真实世界数据]的唯一方法是使用合成数据,即人工智能生成[训练数据],”他说。“有了合成数据……[人工智能]将会自我评估并经历这个自我学习的过程。”[微软的 Phi-4 于周三早上开源](https://huggingface.co/microsoft/phi-4),其使用合成数据和真实数据进行训练。谷歌的 Gemma 模型也是如此。
> 消息来源: [Techcrunch](https://techcrunch.com/2025/01/08/elon-musk-agrees-that-weve-exhausted-ai-training-data/) | [风向旗参考快讯](https://t.me/xhqcankao/16386)
### 2 DeepSeek新模型误认身份暴露AI训练数据污染问题
近日中国AI公司DeepSeek发布的最新模型DeepSeek V3在测试中出现异常它自称是OpenAI的ChatGPT并能提供OpenAI的API使用说明。专家认为这可能是由于训练数据中混入了大量ChatGPT生成的内容导致模型“身份混淆”
随着AI生成内容在网络上激增训练数据污染问题日益严重。DeepSeek表示正在优化数据清洗流程以提升模型的独立性和准确性
未来AI开发中数据纯净性已经变得很重要如何有效过滤AI生成内容将成为行业的关键
近日中国AI公司DeepSeek发布的最新模型DeepSeek V3在测试中出现异常它自称是OpenAI的ChatGPT并能提供OpenAI的API使用说明。专家认为这可能是由于训练数据中混入了大量ChatGPT生成的内容导致模型“身份混淆”
随着AI生成内容在网络上激增训练数据污染问题日益严重。DeepSeek表示正在优化数据清洗流程以提升模型的独立性和准确性
未来AI开发中数据纯净性已经变得很重要如何有效过滤AI生成内容将成为行业的关键
> 消息来源: [TechCrunch](https://techcrunch.com/2024/12/27/why-deepseeks-new-ai-model-thinks-its-chatgpt/)
### 3 OpenAI新模型o3单次高算力查询成本或超1000美元
OpenAI最新发布的o3人工智能模型在ARC-AGI基准测试中取得了87.5%的高分相比前代o1模型提升了近三倍。然而这种性能的提升也带来了巨大的成本压力。在高算力模式下每次查询的费用或超过1000美元是前代模型4美元成本的数百倍。即使是低算力版本每次查询也需要20美元这使得其商业化面临不小的困难。据悉o3计划于明年1月推出“迷你版”以降低使用成本。
> 消息来源: [Yahoo Tech](https://www.yahoo.com/tech/openais-latest-ai-cost-more-214758857.html) | [科技圈🎗在花频道](https://t.me/zaihuanews/29836)
### 4 Nvidia 押注机器人技术推动未来增长
Nvidia 将机器人技术视为其下一个重要增长动力因为其核心人工智能芯片制造业务面临着日益激烈的竞争。Nvidia 将于 2025 年上半年推出其最新一代人形机器人紧凑型计算机,名为 Jetson Thor。Nvidia 将自己定位为即将到来的机器人革命的领先平台。该公司销售“全栈”解决方案从用于训练人工智能机器人的软件层到内置芯片。Nvidia 机器人副总裁 Deepu Talla 称:“物理人工智能和机器人的 ChatGPT 时刻即将到来”,并补充说他相信市场已经达到了“临界点”。
> 消息来源: [金融时报](https://www.ft.com/content/7c3dafa8-ffb9-4ca8-b677-ab3cc2afbdcb) | [风向旗参考快讯](https://t.me/xhqcankao/16144)
### 5 OpenAI招聘信息揭示其机器人计划
OpenAI重启机器人部门将开发通用、自适应机器人配备定制传感器。并计划自研AI模型驱动机器人。
招聘信息暗示OpenAI将雇佣合同工测试原型机并可能开发有肢体的机器人。目标是实现大规模生产。
OpenAI重启机器人部门将开发通用、自适应机器人配备定制传感器。并计划自研AI模型驱动机器人。
招聘信息暗示OpenAI将雇佣合同工测试原型机并可能开发有肢体的机器人。目标是实现大规模生产。
> 消息来源: [TechCrunch](https://techcrunch.com/2025/01/10/new-openai-job-listings-reveal-its-robotics-plans/) | [科技圈🎗在花频道](https://t.me/zaihuanews/30105)
### 6 研究发现GitHub存在450万个虚假“Star”的问题
一项由Socket、卡内基梅隆大学和北卡罗来纳州立大学研究人员进行的研究揭示GitHub上存在约450万个疑似虚假的Star评价——研究团队使用自研工具"StarScout"分析了20TB的GitHub活动数据得出这一结论。
研究显示2024年虚假Star活动激增约15.8%拥有超过50个Star的代码库涉及此类行为。这些虚假Star不仅用于提升项目知名度还被用于传播恶意软件如去年发现的"Stargazers Ghost Network"。
一项由Socket、卡内基梅隆大学和北卡罗来纳州立大学研究人员进行的研究揭示GitHub上存在约450万个疑似虚假的Star评价——研究团队使用自研工具"StarScout"分析了20TB的GitHub活动数据得出这一结论。
研究显示2024年虚假Star活动激增约15.8%拥有超过50个Star的代码库涉及此类行为。这些虚假Star不仅用于提升项目知名度还被用于传播恶意软件如去年发现的"Stargazers Ghost Network"。
GitHub已删除研究人员在2024年7月发现的可疑账户和代码库。专家建议用户在评估GitHub项目时应该查看项目活跃度、代码质量和文档而不是仅依赖Star数量。
> 消息来源: [BleepingComputer](https://www.bleepingcomputer.com/news/security/over-31-million-fake-stars-on-github-projects-used-to-boost-rankings/) | [科技圈🎗在花频道](https://t.me/zaihuanews/29873)
### 7 必应搜索试图在搜索谷歌时模仿 Google UI
微软似乎推出了一项非常有趣但又颇具争议的改变,当使用必应搜索尝试查找谷歌时,必应搜索会模仿谷歌搜索用户界面。这是一个天才的举动,可以让用户远离谷歌搜索,而谷歌已成为搜索引擎或在线查找答案的代名词。当用户在必应上搜索谷歌时,必应的设计看起来很像谷歌。页面布局简洁,中间有搜索栏,还有简单的插图。当用户退出微软账户并在必应上搜索谷歌时,微软正在尝试这种新设计。
> 消息来源: [Windows Latest](https://www.windowslatest.com/2025/01/06/microsoft-bing-is-trying-to-spoof-google-ui-when-people-search-google-com/) | [风向旗参考快讯](https://t.me/xhqcankao/16276)
### 8 微软论文意外泄露OpenAI及Claude模型参数
近日微软在一篇医学相关论文中意外泄露了OpenAI及Claude系列模型的参数信息。论文中详细列出了GPT-4o、GPT-4o-mini、Claude 3.5 Sonnet等模型的参数规模其中GPT-4o约200BGPT-4o-mini约8BClaude 3.5 Sonnet约175B。尽管论文中附有免责声明称这些数字为估计值但仍引发广泛关注。
> 消息来源: [量子位](https://mp.weixin.qq.com/s/bT_w-T9ElmPUXbYA1f7kCg)
### 9 末日主题验证码新玩法
Vercel公司推出新式验证码用户需在DOOM游戏中击杀至少三个怪物才能通过。此验证码在Hacker News引发热议。
Vercel公司推出新式验证码用户需在DOOM游戏中击杀至少三个怪物才能通过。此验证码在Hacker News引发热议。
尽管创意非原创,但新式验证码仍受开发者欢迎,有人觉得太难,有人则称赞“太硬核”,有人认为难度像真验证码。
> 消息来源: [Demo](https://doom-captcha.vercel.app/) | TechCrunch(https://techcrunch.com/2025/01/01/people-are-playing-a-new-doom-themed-captcha/)
> 消息来源: [Demo](https://doom-captcha.vercel.app/) | TechCrunch(<https://techcrunch.com/2025/01/01/people-are-playing-a-new-doom-themed-captcha/>)

170
source/_posts/weekly/2025/2025-2.md
View File

@ -14,170 +14,54 @@ permalink: /weekly/2025-2/index.html
date: 2025-01-24 17:22:44
---
## 封面图
![星舰爆炸解体](/img/weekly/2025/02/d98407a503d392cef4f3a0374ed1e410.jpg)
SpaceX在16日第7次试飞重型运载火箭“星舰”。发射塔机械臂再次成功捕获回收第一级“超级重型”助推器。但原计划环绕地球并溅落印度洋的第二级飞船一度失联随后SpaceX确认发生爆炸并解体。
[via](https://edition.cnn.com/science/live-news/starship-test-flight-7-launch-spacex/index.html)
## 正文
## 正文
### 1 MIT科技评论中美AI军备竞赛没有赢家
在这场僵局的早期美国决策者推动了以“赢得”竞赛为中心的议程主要是从经济角度出发。近几个月来OpenAI 和 Anthropic 等领先的人工智能实验室参与推动“击败中国”的论调,这似乎是试图与即将上任的特朗普政府保持一致。人们相信美国能在这场竞赛中获胜,主要是因为美国在先进的 GPU 计算资源方面比中国更具优势,而且人工智能的缩放定律也非常有效。
但现在看来,获得大量先进计算资源已不再是许多人认为的决定性或可持续优势。事实上,美国和中国领先模型之间的能力差距已基本消失,中国模型现在可能在一个重要方面具有优势:它们能够仅使用西方领先实验室可用的一小部分计算资源,就能实现几乎相同的结果。
人工智能竞争越来越被置于狭隘的国家安全框架内,成为一场零和博弈,并受到这样一种假设的影响:未来中美之间以台湾为中心的战争不可避免。美国采取 “瓶颈”策略,限制中国获取先进半导体等关键技术,而中国则加快了自给自足和自主创新的努力,这导致美国的努力适得其反。
当我们更深入地考虑这一动态时,就会发现未来真正的生存威胁不是来自中国,而是来自不良行为者和流氓团体对先进人工智能的武器化,这些团体试图造成广泛危害、获取财富或破坏社会稳定。与核武器一样,作为一个民族国家,中国必须谨慎使用人工智能能力来损害美国利益,但不良行为者(包括极端组织)更有可能毫不犹豫地滥用人工智能能力。鉴于人工智能技术的不对称性质,它与网络武器非常相似,因此很难完全阻止和防御一个已经掌握了人工智能的使用方法并打算将其用于邪恶目的的坚定敌人。
在这场僵局的早期美国决策者推动了以“赢得”竞赛为中心的议程主要是从经济角度出发。近几个月来OpenAI 和 Anthropic 等领先的人工智能实验室参与推动“击败中国”的论调,这似乎是试图与即将上任的特朗普政府保持一致。人们相信美国能在这场竞赛中获胜,主要是因为美国在先进的 GPU 计算资源方面比中国更具优势,而且人工智能的缩放定律也非常有效。
但现在看来,获得大量先进计算资源已不再是许多人认为的决定性或可持续优势。事实上,美国和中国领先模型之间的能力差距已基本消失,中国模型现在可能在一个重要方面具有优势:它们能够仅使用西方领先实验室可用的一小部分计算资源,就能实现几乎相同的结果。
人工智能竞争越来越被置于狭隘的国家安全框架内,成为一场零和博弈,并受到这样一种假设的影响:未来中美之间以台湾为中心的战争不可避免。美国采取 “瓶颈”策略,限制中国获取先进半导体等关键技术,而中国则加快了自给自足和自主创新的努力,这导致美国的努力适得其反。
当我们更深入地考虑这一动态时,就会发现未来真正的生存威胁不是来自中国,而是来自不良行为者和流氓团体对先进人工智能的武器化,这些团体试图造成广泛危害、获取财富或破坏社会稳定。与核武器一样,作为一个民族国家,中国必须谨慎使用人工智能能力来损害美国利益,但不良行为者(包括极端组织)更有可能毫不犹豫地滥用人工智能能力。鉴于人工智能技术的不对称性质,它与网络武器非常相似,因此很难完全阻止和防御一个已经掌握了人工智能的使用方法并打算将其用于邪恶目的的坚定敌人。
人工智能将帮助我们加速科学发现、开发新药、延长我们的健康寿命、减少我们的工作义务并确保所有人都能接受高质量的教育。要实现这一目标,我们需要更先进的人工智能系统,如果我们划分计算/数据资源和研究人才库这将是一个更具挑战性的目标。根据行业研究全球近一半的顶尖人工智能研究人员47%)都出生或在中国接受教育。很难想象如果没有中国研究人员的努力,我们如何能取得今天的成就。
将人工智能的发展定性为零和竞赛会破坏集体进步和安全的机会。美国和中国及其盟友不应屈服于对抗的言论,而应转向合作和共同治理。
将人工智能的发展定性为零和竞赛会破坏集体进步和安全的机会。美国和中国及其盟友不应屈服于对抗的言论,而应转向合作和共同治理。
> 消息来源: [麻省理工科技评论](https://www.technologyreview.com/2025/01/21/1110269/there-can-be-no-winners-in-a-us-china-ai-arms-race/)(节选) | [风向旗参考快讯](https://t.me/xhqcankao/16704)
### 2 Meta 追赶 OpenAI 内幕:不惜使用盗版数据
Meta 内部邮件显示,为追赶 OpenAI 的 GPT4 模型,曾考虑使用盗版书库 LibGen 训练 AI并采取措施隐藏来源以规避法律风险。Meta 认为此举对于达到行业领先水平至关重要,并认为竞争对手也在使用类似数据。
内部文件还揭示Meta 曾讨论删除训练数据中的版权标识和作者信息以避免法律纠纷同时还考虑了使用盗版数据可能带来的监管风险和负面媒体报道。Meta 面临的版权诉讼也因此加剧。
Meta 内部邮件显示,为追赶 OpenAI 的 GPT4 模型,曾考虑使用盗版书库 LibGen 训练 AI并采取措施隐藏来源以规避法律风险。Meta 认为此举对于达到行业领先水平至关重要,并认为竞争对手也在使用类似数据。
内部文件还揭示Meta 曾讨论删除训练数据中的版权标识和作者信息以避免法律纠纷同时还考虑了使用盗版数据可能带来的监管风险和负面媒体报道。Meta 面临的版权诉讼也因此加剧。
> 消息来源: [The Verge](https://www.theverge.com/2025/1/14/24343692/meta-lawsuit-copyright-lawsuit-llama-libgen) | [科技圈🎗在花频道](https://t.me/zaihuanews/30177)
### 3 甲骨文拒绝放弃“JavaScript”商标
甲骨文因拒绝放弃“JavaScript”商标所有权而面临Deno Land的法律挑战。该商标是甲骨文2009年收购Sun Microsystems时继承而来但Deno Land认为“JavaScript”已成为通用术语且甲骨文未积极使用或控制该名称。JavaScript创始人Brendan Eich及开发者社区广泛支持Deno Land的行动认为此举将影响JavaScript品牌的未来及其在科技行业的开放使用。
Deno Land于2024年11月向美国专利商标局提交请愿书要求取消甲骨文的商标。甲骨文需在2025年2月3日前作出回应否则案件可能进入默认判决阶段。若甲骨文坚持不放弃争议将进入法庭审理。开发者社区已发起公开信获得超10,000个签名呼吁甲骨文放弃商标控制权以确保JavaScript名称的开放使用。
甲骨文因拒绝放弃“JavaScript”商标所有权而面临Deno Land的法律挑战。该商标是甲骨文2009年收购Sun Microsystems时继承而来但Deno Land认为“JavaScript”已成为通用术语且甲骨文未积极使用或控制该名称。JavaScript创始人Brendan Eich及开发者社区广泛支持Deno Land的行动认为此举将影响JavaScript品牌的未来及其在科技行业的开放使用。
Deno Land于2024年11月向美国专利商标局提交请愿书要求取消甲骨文的商标。甲骨文需在2025年2月3日前作出回应否则案件可能进入默认判决阶段。若甲骨文坚持不放弃争议将进入法庭审理。开发者社区已发起公开信获得超10,000个签名呼吁甲骨文放弃商标控制权以确保JavaScript名称的开放使用。
> 消息来源: [Deno](https://deno.com/blog/deno-v-oracle) | [科技圈🎗在花频道](https://t.me/zaihuanews/30184)
### 4 Lets Encrypt 即将支持有效期为6天的证书和IP地址证书。
### 4 Lets Encrypt 即将支持有效期为6天的证书和IP地址证书
>
> 消息来源: [Lets Encrypt](https://letsencrypt.org/2025/01/16/6-day-and-ip-certs/#)
### 5 Rsync曝重大漏洞黑客可远程执行代码。请升级到最新版
开源同步工具Rsync被曝存在六项漏洞其中最严重的是CVE-2024-12084。该漏洞允许黑客通过越界写入缓冲区远程执行代码影响版本为3.2.7及以上。
此外CVE-2024-12085漏洞可能导致程序比对校验和与未初始化内存从而泄露堆栈数据。据调查全球超过66万台服务器面临潜在威胁主要集中在中国大陆和美国。
> 消息来源: IT之家 (https://www.ithome.com/0/825/945.htm)
目前Rsync已发布3.4.0版本,修复了相关漏洞。建议用户尽快升级到最新版本以确保安全。
开源同步工具Rsync被曝存在六项漏洞其中最严重的是CVE-2024-12084。该漏洞允许黑客通过越界写入缓冲区远程执行代码影响版本为3.2.7及以上。
此外CVE-2024-12085漏洞可能导致程序比对校验和与未初始化内存从而泄露堆栈数据。据调查全球超过66万台服务器面临潜在威胁主要集中在中国大陆和美国。
> 消息来源: IT之家 (<https://www.ithome.com/0/825/945.htm>)
目前Rsync已发布3.4.0版本,修复了相关漏洞。建议用户尽快升级到最新版本以确保安全。
> 消息来源: [科技圈🎗在花频道](https://t.me/zaihuanews/30316)
### 6 为什么ChatGPT有时会“用中文思考”
OpenAI近日推出的o1的模型旨在通过“更多时间思考”提供更优质的回答。然而用户发现o1在推理过程中会随机出现中文和其他语言的字符即使对话完全用英文。专家推测这可能是因为o1使用了大量中文数据进行训练或某些语言如中文在处理特定问题时更高效。此外大型语言模型在抽象概念空间中运作可能会选择最有效的语言来解决问题。
AI研究科学家Luca Soldaini指出由于AI系统的“黑箱”特性很难准确解释这一现象并强调透明度的重要性。尽管名为“OpenAI”但其算法的不透明性与其宣称的开放使命形成反差。
OpenAI近日推出的o1的模型旨在通过“更多时间思考”提供更优质的回答。然而用户发现o1在推理过程中会随机出现中文和其他语言的字符即使对话完全用英文。专家推测这可能是因为o1使用了大量中文数据进行训练或某些语言如中文在处理特定问题时更高效。此外大型语言模型在抽象概念空间中运作可能会选择最有效的语言来解决问题。
AI研究科学家Luca Soldaini指出由于AI系统的“黑箱”特性很难准确解释这一现象并强调透明度的重要性。尽管名为“OpenAI”但其算法的不透明性与其宣称的开放使命形成反差。
> 消息来源: [GIZMODO](https://gizmodo.com/why-does-chatgpts-algorithm-think-in-chinese-2000550311) | [科技圈🎗在花频道](https://t.me/zaihuanews/30393)
### 7 OpenAI 推出 AI 代理 能像人类一样浏览网页
美国人工智能公司 OpenAI 周四突然举行直播活动,发布市场期待已久的首款 AI 代理工具 Operator (意为操作员),能够代理用户执行基于网页的操作。言简意赅的解释,就是 Operator 能够像人类一样使用网页浏览器。山姆·奥尔特曼介绍称从周四开始美国的ChatGPT Pro 用户 (200美元/月) 将能使用“研究预览版”的 Operator。未来将拓展到更多区域的 Pro 用户,几个月后 ChatGPT Plus 用户也能用上。同时在未来几周、几个月里,还会发布更多的 AI 代理。Operator 由一个名为 CUA (计算机使用代理) 的新模型驱动,结合了 GPT-4o 的视觉能力,以及通过强化学习实现的高级推理。能够“看见”网页(截图),并使用鼠标和键盘允许的所有操作与网页互动。
> 消息来源: [财联社](https://api3.cls.cn/share/article/1928599?sv=8.4.4) | [OpenAI 博客](https://openai.com/index/introducing-operator/) | [风向旗参考快讯](https://t.me/xhqcankao/16688)

56
source/_posts/weekly/2025/2025-3.md
View File

@ -10,57 +10,61 @@ banner_img: /img/weekly/2025/03/photo_2025-01-30_21-11-07.jpg
permalink: /weekly/2025-3/index.html
date: 2025-01-31 19:00:00
---
{% note success %}
👏我们的软件推荐站已经完成了升级,欢迎查看: [Github](https://github.com/ssdomei232/nav-next)
可以向 [i@mei.lv](mailto:i@mei.lv) 发送邮件或通过 issue 投稿
现在可以通过 [nav.linuxcat.top](https://nav.linuxcat.top/) 来访问
{% endnote %}
## 封面图
![华盛顿空难](/img/weekly/2025/03/photo_2025-01-30_21-11-07.jpg)
美国华盛顿空难已打捞出28具遇难者遗体其中客机上27具直升机上1具。当局推测已无人生还现场工作重心将转至遗体打捞。
美国航空CEO罗伯特·艾索姆表示“不知道军机为何会进入PSA航班的航道”。
美国华盛顿空难已打捞出28具遇难者遗体其中客机上27具直升机上1具。当局推测已无人生还现场工作重心将转至遗体打捞。
美国航空CEO罗伯特·艾索姆表示“不知道军机为何会进入PSA航班的航道”。
[via](https://apnews.com/article/congo-m23-goma-rwanda-tshisekedi-south-africa-ca81f34f52ea31b85dd845b049a0bb96)
## 正文
## 正文
### 1 DeepSeek 使用了比 CUDA 更底层的 Nvidia PTX 进行编程
DeepSeek 高效突破是通过实施大量细粒度优化和使用 Nvidia 的汇编式语言 PTX (并行线程执行) 编程而不是标准的 CUDA 实现的。PTX 是 Nvidia 为其 GPU 设计的中间指令集架构,位于高级 GPU 编程语言 (如 CUDA C/C++ 或其他语言前端) 和低级机器代码 (流式汇编或 SASS) 之间。它将 GPU 公开为数据并行计算设备,因此允许细粒度优化,例如寄存器分配和线程/warp 级别调整,这是 CUDA C/C++ 和其他语言前端无法实现的。
在训练其 V3 模型时DeepSeek 重新配置了 H800 GPU在 132 个流式多处理器中,它分配了 20 个用于服务器间通信可能用于压缩和解压数据以克服处理器的连接限制并加快速度。为了最大限度地提高性能DeepSeek 还实现了高级管道算法,可能是通过进行超精细的线程/warp 级别调整。这些修改远远超出了标准 CUDA 级开发,维护起来非常困难,这种级别的优化反映了 DeepSeek 工程师的卓越技能。
DeepSeek 高效突破是通过实施大量细粒度优化和使用 Nvidia 的汇编式语言 PTX (并行线程执行) 编程而不是标准的 CUDA 实现的。PTX 是 Nvidia 为其 GPU 设计的中间指令集架构,位于高级 GPU 编程语言 (如 CUDA C/C++ 或其他语言前端) 和低级机器代码 (流式汇编或 SASS) 之间。它将 GPU 公开为数据并行计算设备,因此允许细粒度优化,例如寄存器分配和线程/warp 级别调整,这是 CUDA C/C++ 和其他语言前端无法实现的。
在训练其 V3 模型时DeepSeek 重新配置了 H800 GPU在 132 个流式多处理器中,它分配了 20 个用于服务器间通信可能用于压缩和解压数据以克服处理器的连接限制并加快速度。为了最大限度地提高性能DeepSeek 还实现了高级管道算法,可能是通过进行超精细的线程/warp 级别调整。这些修改远远超出了标准 CUDA 级开发,维护起来非常困难,这种级别的优化反映了 DeepSeek 工程师的卓越技能。
> 消息来源: [Tom's Hardware](https://www.tomshardware.com/tech-industry/artificial-intelligence/deepseeks-ai-breakthrough-bypasses-industry-standard-cuda-uses-assembly-like-ptx-programming-instead) | [风向旗参考快讯](https://t.me/xhqcankao/16824)
### 2 “人类终极考试”基准测试发布顶级AI系统表现惨淡准确率均未超10%
非营利组织“人工智能安全中心”CAIS与Scale AI联合推出名为“人类终极考试”的新型基准测试旨在评估前沿AI系统的综合能力。该测试由来自50个国家500多个机构的近1000名学科专家出题涵盖数学、人文学科和自然科学等领域题目形式多样包括结合图表和图像的复杂题型。
初步研究显示所有公开可用的旗舰AI系统在该测试中的回答准确率均未超过10%表明当前AI技术在应对复杂、综合性问题时仍存在明显短板。CAIS和Scale AI计划向研究社区开放该测试以帮助评估新开发的AI模型。
非营利组织“人工智能安全中心”CAIS与Scale AI联合推出名为“人类终极考试”的新型基准测试旨在评估前沿AI系统的综合能力。该测试由来自50个国家500多个机构的近1000名学科专家出题涵盖数学、人文学科和自然科学等领域题目形式多样包括结合图表和图像的复杂题型。
初步研究显示所有公开可用的旗舰AI系统在该测试中的回答准确率均未超过10%表明当前AI技术在应对复杂、综合性问题时仍存在明显短板。CAIS和Scale AI计划向研究社区开放该测试以帮助评估新开发的AI模型。
> 消息来源: [HLE](https://agi.safe.ai/) | [科技圈🎗在花频道](https://t.me/zaihuanews/30441)
### 3 RTX 5090D 性能分析 功耗+30%,性能+30%
多个跑分软件如Time Spy Fire Strike Extreme等较4090提升约36%。Port Royal光追性能测试较上代提升44%。跑分时功耗较上代提升约35%左右峰值功耗约577W。
多个跑分软件如Time Spy Fire Strike Extreme等较4090提升约36%。Port Royal光追性能测试较上代提升44%。跑分时功耗较上代提升约35%左右峰值功耗约577W。
游戏光追方面在DLSS 4加持下游戏帧数暴涨约2倍开启DLSS 4画质并无明显变化延迟略微增加。关闭DLSS部分游戏2077黑神话·悟空性能较上代提升约40%其余游戏提升约20%-30%。
AI大模型方面通义千问2.5模型下 3B 7B 14B均较上代提升约40%。
多媒体软件如达芬奇等导出时间略微快于苹果M2 Ultra。
AI大模型方面通义千问2.5模型下 3B 7B 14B均较上代提升约40%。
多媒体软件如达芬奇等导出时间略微快于苹果M2 Ultra。
> 消息来源: [笔吧评测室](https://www.bilibili.com/video/BV1UCfHYFEWt) | [影视飓风](https://www.youtube.com/watch?v=0CynkH9qoek) | | [科技圈🎗在花频道](https://t.me/zaihuanews/30445)
### 4 DeepSeekV3训练成本不及Meta高管薪资DeepSeek使行业质疑千亿美元支出效用
1月24号一条发布在匿名平台teamblind上的帖子疯传。一名Meta员工称现在Meta内部因为DeepSeek的模型已经进入恐慌模式。
这位Meta员工写道“一切源于DeepSeek-V3的出现它在基准测试中已经让Llama 4相形见绌。更让人难堪的是一家仅用550万美元训练预算的中国公司就做到了这一点。工程师们正在争分夺秒地分析DeepSeek试图复制其中的一切可能技术。这绝非夸张。管理层正为GenAI研发部门的巨额投入而发愁。当部门里数10位高管其中之一的薪资就超过训练整个DeepSeek V3的成本。
1月24号一条发布在匿名平台teamblind上的帖子疯传。一名Meta员工称现在Meta内部因为DeepSeek的模型已经进入恐慌模式。
这位Meta员工写道“一切源于DeepSeek-V3的出现它在基准测试中已经让Llama 4相形见绌。更让人难堪的是一家仅用550万美元训练预算的中国公司就做到了这一点。工程师们正在争分夺秒地分析DeepSeek试图复制其中的一切可能技术。这绝非夸张。管理层正为GenAI研发部门的巨额投入而发愁。当部门里数10位高管其中之一的薪资就超过训练整个DeepSeek V3的成本。
> 消息来源: [新浪科技](https://weibo.com/1642634100/PbjVRgEyv) | [华尔街日报](https://www.ft.com/content/747a7b11-dcba-4aa5-8d25-403f56216d7e) | [宝玉](https://x.com/dotey/status/1882528871108538808) | [科技圈🎗在花频道](https://t.me/zaihuanews/30470)
### 5 中国人工智能实验室 DeepSeek 拥有 50000 个 H100 GPU
Scale AI 创始人兼首席执行官 Alexandr Wang 分享了该公司名为“人类的最后考试”的最新 AI 测试的细节,该测试使用“数学、物理、生物、化学教授”提供的与最新研究相关的“最难的问题”。中国人工智能实验室 DeepSeek 的模型 R1 在 Scale AI 公司最具挑战性的人工智能测试中达到或击败了所有表现最佳的模型,或大致与美国最好的模型 o1 相当。
Alexandr 表示,对于中国是否能获得先进 GPU 这个问题,“现实情况是既可以又不能。中国实验室拥有的 H100 数量比人们想象的要多。”他补充说据他了解“DeepSeek 拥有大约 50,000 个 H100。”他补充道“他们显然不能谈论这个问题因为这违反了美国实施的出口管制。”然而该公司可能会发现很难采购更多芯片“从长远来看他们将受到芯片管制和出口管制的限制。”
Scale AI 创始人兼首席执行官 Alexandr Wang 分享了该公司名为“人类的最后考试”的最新 AI 测试的细节,该测试使用“数学、物理、生物、化学教授”提供的与最新研究相关的“最难的问题”。中国人工智能实验室 DeepSeek 的模型 R1 在 Scale AI 公司最具挑战性的人工智能测试中达到或击败了所有表现最佳的模型,或大致与美国最好的模型 o1 相当。
Alexandr 表示,对于中国是否能获得先进 GPU 这个问题,“现实情况是既可以又不能。中国实验室拥有的 H100 数量比人们想象的要多。”他补充说据他了解“DeepSeek 拥有大约 50,000 个 H100。”他补充道“他们显然不能谈论这个问题因为这违反了美国实施的出口管制。”然而该公司可能会发现很难采购更多芯片“从长远来看他们将受到芯片管制和出口管制的限制。”
> 消息来源: [wccftech](https://wccftech.com/chinese-ai-lab-deepseek-has-50000-nvidia-h100-ai-gpus-says-ai-ceo/amp/) | [科技圈🎗在花频道](https://t.me/xhqcankao/16767)
### 6 Meta Llama框架漏洞致AI系统面临远程代码执行风险
Meta Llama大型语言模型框架存在高危漏洞CVE-2024-50050攻击者可通过反序列化恶意数据远程执行代码影响使用ZeroMQ网络接口的推理服务器。
Meta于2024年10月发布0.0.41版本修复该问题将序列化格式从pickle切换为JSON消除潜在风险。同期OpenAI ChatGPT爬虫也被曝出可被滥用于发起DDoS攻击的漏洞。
研究显示AI框架安全威胁持续升级此前TensorFlow Keras因marshal模块漏洞暴露类似风险LLM技术正被用于增强网络攻击全生命周期。
Meta Llama大型语言模型框架存在高危漏洞CVE-2024-50050攻击者可通过反序列化恶意数据远程执行代码影响使用ZeroMQ网络接口的推理服务器。
Meta于2024年10月发布0.0.41版本修复该问题将序列化格式从pickle切换为JSON消除潜在风险。同期OpenAI ChatGPT爬虫也被曝出可被滥用于发起DDoS攻击的漏洞。
研究显示AI框架安全威胁持续升级此前TensorFlow Keras因marshal模块漏洞暴露类似风险LLM技术正被用于增强网络攻击全生命周期。
> 消息来源: [The Hacker News](https://thehackernews.com/2025/01/metas-llama-framework-flaw-exposes-ai.html) | [科技圈🎗在花频道](https://t.me/zaihuanews/30492)
### 7 阿里Qwen 2.5-Max超大规模MoE模型发布
1月29日凌晨阿里云公布了其全新的通义千问 Qwen 2.5-Max 超大规模 MoE 模型该模型预训练数据超过20万亿 tokens。目前开发者可在 Qwen Chat 平台免费体验模型,企业和机构也可通过阿里云百炼平台直接调用新模型 API 服务。在 Arena-Hard、LiveBench、LiveCodeBench 和 GPQA-Diamond 等基准测试中Qwen2.5-Max 表现超越了 DeepSeek V3同时在 MMLU-Pro 等其他评估中也展现出了极具竞争力的成绩。阿里云的基座模型在大多数基准测试中都展现出了显著的优势。阿里云称随着后训练技术的进步,下一个版本 Qwen2.5-Max 将会达到更高水平。
> 消息来源: [通义千问](https://mp.weixin.qq.com/s/PkwwZWFOyG-mZMWXUMvM8w) | [风向旗参考快讯](https://t.me/xhqcankao/16834)
### 8 谷歌利用 AI 为用户拨打本地商家电话
​谷歌正在测试一款新工具,让 AI 代替用户致电商家询问问题。这项名为“Ask for Me”功能可收集有关服务价格和可用性的信息但目前仅适用于美甲沙龙和汽车修理店。
在谷歌搜索实验室启用实验后在搜索中寻找本地美甲沙龙或汽车修理店时用户可能会看到“Ask for Me”提示。选择该选项后谷歌将会提出一系列问题比如是否需要换油或更换轮胎、车是什么类型以及希望何时预约。用户需要输入电子邮件地址或电话号码用于接收更新信息。商家可以在Google商家资料设置中选择不接收 AI 电话。
> 消息来源: [The Verge](https://www.theverge.com/news/603501/google-ask-for-me-search-labs) | [风向旗参考快讯](https://t.me/xhqcankao/16897)
​谷歌正在测试一款新工具,让 AI 代替用户致电商家询问问题。这项名为“Ask for Me”功能可收集有关服务价格和可用性的信息但目前仅适用于美甲沙龙和汽车修理店。
在谷歌搜索实验室启用实验后在搜索中寻找本地美甲沙龙或汽车修理店时用户可能会看到“Ask for Me”提示。选择该选项后谷歌将会提出一系列问题比如是否需要换油或更换轮胎、车是什么类型以及希望何时预约。用户需要输入电子邮件地址或电话号码用于接收更新信息。商家可以在Google商家资料设置中选择不接收 AI 电话。
> 消息来源: [The Verge](https://www.theverge.com/news/603501/google-ask-for-me-search-labs) | [风向旗参考快讯](https://t.me/xhqcankao/16897)

78
source/_posts/weekly/2025/2025-4.md Normal file
View File

@ -0,0 +1,78 @@
---
title: Linuxcat周刊(第28期) DeepSeek 带来的影响
tags:
- AI
- 视频生成
- 机器人
categories:
- Linuxcat周刊
index_img: /img/weekly/2025/04/007Os3mpgy1hyb75c4x9uj30u00u040s.jpg
banner_img: /img/weekly/2025/04/007Os3mpgy1hyb75c4x9uj30u00u040s.jpg
permalink: /weekly/2025-4/index.html
date: 2025-02-07 19:00:00
---
{% note success %}
👏我们的软件推荐站已经完成了升级,欢迎查看: [Github](https://github.com/ssdomei232/nav-next)
可以向 [i@mei.lv](mailto:i@mei.lv) 发送邮件或通过 issue 投稿
现在可以通过 [nav.linuxcat.top](https://nav.linuxcat.top/) 来访问
{% endnote %}
## 封面图
![泰缅边境断电](/img/weekly/2025/04/007Os3mpgy1hyb75c4x9uj30u00u040s.jpg)
当地时间 2 月 5 日,根据泰国政府的决定,当天早上 9 时泰国开始对泰缅边境的缅甸地区断网、断电和断油。泰国地方电力局局长素帕猜・艾空表示,此次断电行动切断泰国五个对缅供电点供电,涉及缅甸孟邦、掸邦、克伦邦,覆盖大其力、妙瓦底等与诈骗团伙活动密切的地区,影响总电力供应量达 20.37 兆瓦
目前已有微博用户分享了泰缅边境断电后的前后对比
[via](https://www.ithome.com/0/829/026.htm)
## 正文
### 1 对近期 DeepSeek 相关新闻的总结
最近有关 DeepSeek 的新闻很多,总接下来就是以下几点:
1. 其他 AI 公司发布新的大模型和新的产品形态并加大研发投入
2. 海外对 DeepSeek 的网络安全,隐私审查和 GPU 来源审查
3. 海外对 DeepSeek 的禁用,甚至出现了比较极端的禁用手段(使用 DeepSeek 会被拘留的提案等)
### 2 奥尔特曼:公司封闭策略站在历史错误一方
作为近期深度求索开源大模型对AI从业者和华尔街巨大震撼的总结此前坚持封闭策略的OpenAI首席执行官山姆·奥尔特曼坦诚这家科创巨头在开源问题上站在“历史的错误一方”。在Reddit上问答活动中一名参与者问奥尔特曼他的公司是否会考虑发布其AI模型中的一些技术更多地展现其系统工作原理。奥尔特曼回复称“我个人认为在这个问题上我们站在历史的错误一边。现在需要想出一个不同的开源策略。”并表示公司的下一个旗舰推理模型o3会在“几周之后但少于几个月”上架同时“GPT-5”的发布还没有时间表。对于已经落后的“文生图”专有模型DALL-E 3他也称正在努力开发新产品。
> 消息来源:[财联社](https://api3.cls.cn/share/article/1933232?sv=8.8.8&) | [风向旗参考快讯](https://t.me/xhqcankao/16950)
### 3 Openai申请新商标 涉人形机器人、智能珠宝
OpenAI向美国专利商标局提交申请希望将品牌「OpenAI」相关的产品注册为商标。申请文件显示范围包含耳机、护目镜、眼镜、遥控器、笔记本电脑和手机壳、智能手表、智能珠宝以及「用户可编程的人形机器人」和「具有通信和学习功能、用于协助和娱乐人类的人形机器人」。
> 消息来源:[Techcrunch](https://techcrunch.com/2025/02/03/openais-new-trademark-application-hints-at-humanoid-robots-smart-jewelry-and-more/) | [USTPO](https://tsdr.uspto.gov/#caseNumber=99025123&caseSearchType=US_APPLICATION&caseType=DEFAULT&searchType=statusSearch) | [科技圈🎗在花频道](https://t.me/zaihuanews/30605)
### 4 谷歌从公共 AI 原则中删除有关武器的措辞
谷歌公司从其人工智能原则中删除了一段承诺避免将该技术用于武器等可能有害应用的文字。根据彭博社查看的截图,该公司的人工智能原则此前曾包含一段题为“我们不会追求的人工智能应用”的文字,例如“造成或可能造成整体伤害的技术”,包括武器。该页面上不再显示该措辞。谷歌道德人工智能团队的联合负责人玛格丽特·米切尔表示,删除“伤害”条款可能会对谷歌将要开展的工作类型产生影响。她说:“删除该条款就等于抹去谷歌在道德 AI 领域和激进主义领域所做的许多工作,更成问题的是,这意味着谷歌现在可能会致力于直接部署可以杀人的技术。”
> 消息来源:[彭博社](https://www.bloomberg.com/news/articles/2025-02-04/google-removes-language-on-weapons-from-public-ai-principles)
### 5 研究员以不到50美元训练出优质推理模型
根据上周五发布的[新研究论文](https://arxiv.org/pdf/2501.19393)斯坦福大学和华盛顿大学的人工智能研究人员能够以不到50美元的云计算积分训练出具备“推理”能力的人工智能模型。该模型名为 s1在数学和编程能力测试中表现出与 OpenAI 的 o1 和 DeepSeek 的 r1 等顶尖推理模型相似的水平。s1 模型可在 [GitHub 上获取](https://github.com/simplescaling/s1)同时还可获取用于训练该模型的数据和代码。s1 团队表示他们从一个现成基础模型开始然后通过“蒸馏”对其进行微调。研究人员称s1 是从谷歌推理模型 Gemini 2.0 Flash Thinking Experimental 中蒸馏出来的。与伯克利分校的研究人员[上个月以约450美元](https://techcrunch.com/2025/01/11/researchers-open-source-sky-t1-a-reasoning-ai-model-that-can-be-trained-for-less-than-450/)的价格创建人工智能推理模型所采用的方法相同。
> 消息来源:[Techcrunch](https://techcrunch.com/2025/02/05/researchers-created-an-open-rival-to-openais-o1-reasoning-model-for-under-50/) | [GitHub](https://github.com/simplescaling/s1) | [风向旗参考快讯](https://t.me/xhqcankao/17044)
### 6 特斯拉招聘工程师等,为量产机器人做准备
2月6日消息特斯拉正式招聘工程师、流程主管、产品经理等多个岗位为在加州弗里蒙特工厂量产的 Optimus (特斯拉机器人) 做准备。Optimus是特斯拉公司开发的一款人形机器人旨在通过人工智能技术执行危险、重复或人类不愿从事的任务。1月30日特斯拉在业绩会上更新了Optimus机器人量产指引2025年目标生产1万台机器人产能第一步扩至每月1000台到2026年每月产能达到10000台2027年每月产能达到10万台。
> 消息来源:[新浪科技](https://finance.sina.com.cn/chanjing/gsnews/2025-02-06/doc-ineiphxe1759415.shtml)
### 7 字节跳动发布 AI 工具,可从单张照片生成逼真视频
字节跳动推出 AI 工具 OmniHuman-1可从单张照片生成逼真的人物视频让图像中的人物说话、做手势、唱歌甚至演奏乐器。研究人员表示OmniHuman 在弱信号输入(如音频)下仍能生成高质量视频,支持各种图像比例,适用于肖像、半身或全身照。
字节跳动团队使用超过 18,700 小时的人类视频数据训练 OmniHuman但具体数据来源尚未披露。这项技术将 TikTok 带入 AI 生成视频的竞争前沿,可能应用于教育、虚拟网红、娱乐、政治宣传等领域,同时也引发了深度伪造相关的伦理和安全担忧。有专家指出,随着 AI 生成内容越来越逼真,虚假信息的风险也随之增加。
> 消息来源:[Forbes](https://www.forbes.com/sites/lesliekatz/2025/02/05/tiktok-owners-new-ai-tool-makes-lifelike-videos-from-a-single-photo/) | [科技圈🎗在花频道](https://t.me/zaihuanews/30668)
### 8 苹果将于一周内发布全新iPhone SE取消Home键并引入AI功能
苹果公司计划在未来几天内发布全新iPhone SE据悉新款iPhone SE将取消传统的Home键采用类似iPhone 14的设计并引入“Apple Intelligence”。
此外新机型将配备USB-C接口符合欧盟法规要求。预计新款iPhone SE将在海外市场尤其是中国、印度等亚洲地区具有较强竞争力。苹果希望通过这款新机型提振其iPhone业务尤其是在去年假日季度销量下滑1%的背景下。
新机不会举行发布会,采取直接上架的形式。
> 消息来源:[Mark Gurman](https://www.bloomberg.com/news/articles/2025-02-06/apple-s-long-awaited-overhaul-of-budget-iphone-nears-release?embedded-checkout=true)

BIN
source/img/weekly/2025/04/007Os3mpgy1hyb75c4x9uj30u00u040s.jpg Normal file
View File

Binary file not shown.
Side by Side

After

Width:  |  Height:  |  Size: 54 KiB