mei/blog
Template
1
0
Fork 0
Code Issues Pull Requests Actions Packages Projects Releases Wiki Activity
16fd822492
blog/source/_posts/weekly/2024/2024-14.md
mei 16fd822492 update
2024-11-16 11:34:10 +08:00

158 lines
19 KiB
Markdown
Raw Blame History

This file contains invisible Unicode characters

This file contains invisible Unicode characters that are indistinguishable to humans but may be processed differently by a computer. If you think that this is intentional, you can safely ignore this warning. Use the Escape button to reveal them.

This file contains Unicode characters that might be confused with other characters. If you think that this is intentional, you can safely ignore this warning. Use the Escape button to reveal them.

---
title: Linuxcat周刊(第14期) 0.0.0.0 Day漏洞曝光谷歌、Safari、火狐等主流浏览器面临威胁
tags:
- 俄罗斯
- Google
- OpenAI
- ChatGPT
- Cloudflare
- 网络安全
- 域名
- AI
- HarmonyOS Next
categories:
- Linuxcat周刊
index_img: /img/weekly/2024/14/00109-1618395439.webp
banner_img: /img/weekly/2024/14/00109-1618395439.webp
permalink: /weekly/2024-14/index.html
date: 2024-08-09 19:00:00
---
## 乐子
### 1 俄罗斯杜马议员 Aleksei Didenko 警告 Google、Android 和 iOS 将很快被屏蔽
俄罗斯国家杜马议员 Aleksei Didenko 表示,谷歌可能很快就会在俄罗斯被屏蔽,还包括谷歌 Android 操作系统以及用于苹果设备的 iOS 操作系统。他在 8 月1 日 YouTube 服务遭遇服务中断后表示,用户不应依赖西方服务。他强调,这不是因为俄罗斯的过错而发生。
Didenko 表示,“我们建议企业代表和科学家转向其他平台”,公务员和官员,特别是那些有权接触国家机密的人,长期以来一直被禁止使用这些平台。他指出这不应被公众视为一个悲剧,并以 Netflix 在俄罗斯被屏蔽为例,“当然有一些人表达了不满,但随着时间推移,大家都会冷静下来”。
> 消息来源: [莫斯科共青团员报](https://www.mk.ru/politics/2024/08/02/deputat-didenko-predupredil-o-blokirovke-google-android-i-ios.html)
评论: 学习邻居,超越邻居,虽然环境不同,要不叫你俄超越?
### 2 谷歌 Chrome 警告 uBlock Origin 可能很快会被禁用
谷歌 Chrome 浏览器鼓励已更新到最新版本的 uBlock Origin 用户在禁用 Manifest v2 扩展之前切换到其他广告拦截器。
正如 uBlock Origin 首席开发人员和维护人员 Raymond Hill 周五所解释的那样,这是由于谷歌不再支持 Manifest v2 (MV2) 扩展平台而转而支持 Manifest v3 (MV3) 所致。
谷歌 Chrome 用户也被警告删除或用类似的扩展程序替换 uBlock Origin 广告拦截器。
> 消息来源: [BleepingComputer](https://www.bleepingcomputer.com/news/google/google-chrome-warns-ublock-origin-may-soon-be-disabled/)
### 3 马斯克:已为第二位人类患者成功植入脑机芯片
马斯克周五透露其脑机接口公司Neuralink成功将第二颗脑机接口芯片植入一名人类患者体内。马斯克说“我不想太早下结论但第二颗植入物似乎进展得非常顺利。信号很强电极也很多工作得非常好”。¹
此外马斯克在X上表示特斯拉得州超级工厂的超级计算集群被命名为“Cortex”并指出其刚刚完成了新设施的演练。“Cortex”拥有约10万颗英伟达H100和H200芯片用于训练完全自动驾驶(FSD)和人形机器人Optimus。²
> 消息来源: [界面新闻](https://www.jiemian.com/article/11511098.html)、[马斯克](https://x.com/elonmusk/status/1819457630261465553) ¹、[马斯克](https://x.com/elonmusk/status/1819797937414611313) ²
### 4 Microsoft Dynamics 365 正向科技行业发起利用AI监控员工的倡议
根据奥地利非营利研究组织 Cracked Labs 的一项调查报告显示以Microsoft Dynamics 365为首的服务软件允许管理人员通过智能手机APP监控技术人员和远程工作者的工作活动、时间、地点并收集许多其他工作隐私数据。
除微软外包括甲骨文、SAP、Salesforce、IFS瑞典、Nomadia法国、OverIT意大利、Praxedo法国、ServiceMax美国和 ServiceNow美国等公司也在列。这些监控大大削弱了员工自身的工作自主权工作目标感同时也加大了工作压力。但在微软官方看来这类软件却能有效促使员工更积极高效地完成工作与达成绩效。
> 消息来源: [The Register](https://www.theregister.com/2024/07/31/microsoft_dynamics_365_surveillance/)[PDF完整调查报告](https://crackedlabs.org/dl/CrackedLabs_Christl_MobileWork.pdf)
### 5 OPENAI 确认正在研究 ChatGPT 文本水印
人工智能公司 OpenAI 的团队已经开发出一种文本水印方法并会在研究替代方案时继续考虑这种方法。虽然它在抵御例如释义等局部篡改方面具有很高的准确性甚至很有效但对全局篡改的防御能力较弱例如使用翻译系统用另一个生成模型改写或者要求模型在每个单词之间插入一个特殊字符然后删除该字符这使得不良行为者可以轻松规避。以及可能对非英语人士等群体造成不成比例的影响。该公司正在讨论是否真正发布该工具。OpenAI 去年关闭了其之前的 AI 文本检测器,理由是“准确率低”。
更:[OpenAI 不会给 ChatGPT 文本添加水印,因为其用户可能会暴露](https://www.theverge.com/2024/8/4/24213268/openai-chatgpt-text-watermark-cheat-detection-tool)
> 消息来源: [Techcrunch](https://techcrunch.com/2024/08/04/openai-says-its-taking-a-deliberate-approach-to-releasing-tools-that-can-detect-writing-from-chatgpt/)
### 6 免费试用服务遭滥用,安全公司曝光 Cloudflare 隧道成黑客“保护伞”
安全公司 Proofpoint 报告指出,黑客大量滥用 Cloudflare 的免费试用隧道服务进行恶意活动。据介绍,隧道技术类似于 SSH允许用户远程访问本地网络数据资源。
黑客通过批量注册账号使用一次性隧道服务,利用每次生成的不同子网域名掩盖真实服务器位置,自 2023 年以来,这种行为变得普遍。黑客通过隧道发送恶意木马和钓鱼邮件,并使用 Python 脚本结合其他技术进行网络攻击Cloudflare 的隧道服务反而成了他们的“保护伞”。
> 消息来源: [IT之家](https://www.ithome.com/0/786/138.htm)
### 7 消息称谷歌 Play 商店突然停止提供完整 APK 包,影响安卓应用侧载安装
根据 APK 提供网站 APKMirrors 的最新消息,谷歌 Play 商店已突然停止提供完整安卓应用 APK 包,将影响一些应用的侧载安装。
谷歌自 2021 年 8 月起推行新的 Android App BundleAAB格式取代 APK 作为标准发布格式。AAB 格式通过减少包大小和加快下载速度来优化用户体验,但无法像 APK 一样直接安装,需要通过 Google Play 或第三方工具进行部署。根据 APKMirrors 的反馈,许多应用已经不再提供完整的安装包,这一变化可能是永久性的。
> 消息来源: [IT之家](https://www.ithome.com/0/786/284.htm)
### 8 .com 域名将在今年9月1日涨价
.com 的价格为何上涨? .com 和 .net 注册机构 Verisign 已与 ICANN 达成协议,可以自 2012 年以来首次提高价格。
作为最大的上市注册机构Verisign 此前多年以来一直受到价格上涨限制,但目前这一限制已经不再存在。
ICANN 和 Verisign 达成了一项新协议,允许 Verisign 在 2021 年、2022 年、2023 年和 2024 年每年将 .com 域名的价格提高 7%。
在2025年和2026年两年的“冻结”之后Verisign可以在2027年至2030年期间每年再次将价格提高7%,随后进入另一个两年的“冻结”。
这个周期将无限期地持续下去,这意味着在 10 年内, .com 域名的价格可能会比现在高出约 70%。
> 消息来源: [新闻在花频道📮投稿爆料](https://t.me/zaihuanews/26586)
### 9 被曝可绕过锁屏高危漏洞搜狗仅在特定Windows系统 已紧急修复
有市民近日收到了工作单位的通知指出搜狗输入法存在一个能够轻易绕过电脑锁屏夺取系统权限的高危漏洞攻击者可以通过部分版本搜狗输入法绕过系统登录密码在锁屏的情况下执行CMD命令获取本机系统权限。因此要求卸载该输入法。
对此搜狗输入法昨日回应称经安全团队排查该问题仅存在于特定版本Windows系统是由于微软屏幕键盘等相关程序主动以特权接口加载中文输入法导致“我们已将此系统漏洞通知微软相关团队。”“在微软修复该漏洞前为更有效保护用户安全我们已采取了主动规避措施在Windows登录界面下搜狗输入法将主动退出加载执行。”搜狗输入法补充道该问题已被紧急修复。
> 消息来源: [财联社](https://www.cls.cn/detail/1753167)
### 10 日本弹幕网站 Niconico 现已恢复网站服务
8月5日角川子公司 Dwango 的弹幕视频网站“NicoNico 动画”大约两个月来首次重新恢复服务。并确认因包括勒索软件在内的网络攻击导致254,241人的个人信息被泄露。
确认泄露的信息包括两所高中的在校生、校友和家长,以及 Dwango 及其关联公司的部分商业伙伴。泄露包括姓名、地址、电子邮件地址、帐户信息等。所有 Dwango 员工的个人信息也被泄露。根据一家大型安全专业公司的调查,“推测 Dwango 员工的帐户信息通过网络钓鱼或其他攻击被盗。” 据称,该公司的网络是利用该账户信息进行渗透的。
> 消息来源: [日经新闻](https://www.nikkei.com/article/DGXZQOUC056CQ0V00C24A8000000/)
### 11 国务卿敦促 X 阻止其 Grok 聊天机器人传播选举错误信息
Grok 一直在社交网络 X 上传播有关副总统卡马拉·哈里斯的虚假信息。这是根据五位国务卿撰写的一封致特斯拉、SpaceX 和 X 首席执行官马斯克的公开信所述,信中声称 X 的人工智能聊天机器人错误地暗示哈里斯没有资格出现在某些2024年美国总统选票上。信函中敦促马斯克“立即对 X 的人工智能搜索助手 Grok 进行更改以确保选民在这个关键的选举年获得准确的信息。7月21日在拜登宣布暂停总统竞选的几个小时后Grok 开始回答有关哈里斯参选资格的问题并误导性地声称部分州的投票截止日期已经过去。该错误信息传播范围广泛在7月31日得到更正之前已影响到 X 及其他平台的数百万用户。
> 消息来源: [Techcrunch](https://techcrunch.com/2024/08/05/secretaries-of-state-urge-x-to-stop-its-grok-chatbot-from-spreading-election-misinformation/)
### 12 阿里团队推出视频 AI 生成框架 Tora画圈操控物体运动轨迹
Tora 无缝契合 DiT 设计,支持制作最长 204 帧、720P 分辨率的视频可以精确控制不同持续时间、宽高比和分辨率的视频内容。大量实验证明Tora 在实现高运动保真度方面表现出色,同时还能细致模拟物理世界的运动。
> 消息来源: [演示视频](https://ali-videoai.github.io/tora_video/) | [GitHub](https://github.com/ali-videoai/Tora)
### 13 OpenAI 宣布今年的DevDay不会公布 GPT-5
今年的 OpenAI DevDay 活动将于 10 月 1 日在旧金山、10 月 30 日在伦敦和 11 月 1 日在新加坡举行。所有活动都将以研讨会、分组讨论、OpenAI 产品与工程团队的现场演示,以及开发者会议的形式举行。注册费用为 450 美元,报名截止日期为 8 月 15 日。
公司还确认,在 DevDay 期间不会发布下一代主旗舰模型,而是将重点放在其 API 和开发者服务的更新上。
> 消息来源: [原文](https://openai.com/devday/)
### 14 光盘时代落幕苹果SuperDrive似乎已停产
外置光驱SuperDrive在苹果美国官网、国行官网上显示为售罄状态。
目前在英国和巴西等部分地区仍有SuperDrive库存但售完后再生产的可能性微乎其微。
> 消息来源: [ITbear](http://m.finance.itbear.com.cn/html/2024-08/11056.html)
### 15 谷歌尝试在Chrome中实施网站货币化 当你浏览网站时自动支付小费
谷歌正在构建一项尚未成为 W3C 认可的标准,这项标准用来在网络中实现货币化,也就是允许用户通过小费或者内容奖励用来鼓励内容创作者继续创作优质的内容。
值得注意的是,该技术提供了两个独特功能:小额支付和无需用户交互,当用户设置该网站自动打赏,它才会自动收费。
> 消息来源: [意向链接](https://groups.google.com/a/chromium.org/g/blink-dev/c/4Rqw4SbjO88/m/j7x8sTyzAAAJ?pli=1)
### 16 HarmonyOS Next第三方App QQ音乐更新
HarmonyOS Next第三方App QQ音乐更新新增开屏广告和QQ登录但QQ还未上架
> 消息来源: [新闻在花频道📮投稿爆料](https://t.me/zaihuanews/26623)
评论:不升级 NEXT 的理由又多了一个,换小米的理由也多了一个
### 17 1Password发现高危安全漏洞Mac用户需立即升级到最新版本
知名密码管理器1Password的Mac版本被发现存在一个高危安全漏洞该漏洞允许恶意软件绕过进程间的通信保护窃取用户的解锁密钥。
这一安全问题由参与DEFCON黑客大赛的安全研究人员发现并计划在一次演讲中公开。1Password已经收到通知并及时修复了这一漏洞敦促用户升级到8.10.38或之后的版本以确保安全。
该漏洞被标识为CVE-2024-42219目前没有证据表明它已被恶意黑客利用更多关于该漏洞的细节将在DEFCON大会上演讲后公布。
> 消息来源: [蓝点网](https://www.landiannews.com/archives/105295.html)
### 18 ICANN已将“.internal”域名保留供私有网络使用
互联网名称与数字地址分配机构ICANN已批准使用“.internal”顶级域名用于私有内部网络。这一域名将不会在公共互联网上访问类似于私人IP地址块如10.0.0.0。此举旨在避免与公共域名的冲突和混淆。Google等组织已经在内部用途中使用了“.internal”域名。
> 消息来源: [Theregister](https://www.theregister.com/2024/08/08/dot_internal_ratified/)
### 19 俄罗斯全面封禁YouTube网页版和客户端均无法访问
俄罗斯已经彻底封禁了谷歌旗下的视频网站YouTube用户现在无法通过网页版或手机客户端访问该平台均显示连接超时。
此前YouTube在俄罗斯访问速度慢、视频播放经常卡顿或无法加载俄罗斯杜马议员将问题归咎于谷歌未在俄罗斯投资维护IT基础设施。谷歌则否认是YouTube技术限制所致但没有详细说明原因。
此外有传言称俄罗斯可能会进一步封禁谷歌搜索和操作系统而一些议员认为限制YouTube访问是对谷歌撤出俄罗斯且不遵守当地法律的反制措施。
> 消息来源: [蓝点网](https://www.landiannews.com/archives/105323.html)
评论: 还得是是毛子,说了就做
### 20 Qwen2-Math 开源 AI 模型发布:阿里通义千问家族新成员,数学能力超 GPT-4o
阿里通义千问 Qwen2 开源家族迎来新成员 Qwen2-Math共有 15 亿参数、70 亿参数和 720 亿参数三个版本,是基于 Qwen2 LLM 构建、专门用于数学解题的语言模型。
其中,最大的数学专用模型 Qwen2-Math-72B-Instruct 超越了最先进的模型,包括 GPT-4o、Claude-3.5-Sonnet、Gemini-1.5-Pro 和 Llama-3.1-405B。
新模型系列 Qwen2-Math 专注于数学能力,目前仅支持英文。
[GitHub仓库](https://github.com/QwenLM/Qwen2-Math)
### 21 0.0.0.0 Day漏洞曝光谷歌、Safari、火狐等主流浏览器面临威胁
近日,一个名为 "0.0.0.0 Day "的重大安全漏洞在网络安全社区中引发了巨大反响,该漏洞导致数百万使用 Chrome、Firefox 和 Safari 等流行浏览器的用户受到潜在攻击。同时,该漏洞还允许恶意行为者访问私人网络(特别是 "本地主机")中设备上存储的文件、信息、凭证和其他敏感数据。
> 消息来源: [freebuf](https://www.freebuf.com/news/408169.html)
## 工具/软件推荐
### 1 将你的 Telegram Channel 转为微博客
支持和特点RSS、搜索、SEO、不需要服务器。
[Github](https://github.com/ccbikai/BroadcastChannel)
### 2 输入XTwitter账号看看AI怎么吐槽你
[twitter.wordware.ai](https://twitter.wordware.ai)
Roast 就是吐槽的内容。没收费。
<!-- ## 言论 -->
<!-- 一个国家如果总是试图把自己的国民变成透明的国民,可以随时追踪与定位的棋子,那么这个国家不可能成为有活力、有创造力的国家,因为所有创造力都隐藏在深渊里,所有活力都来自无监控的自由自在里。
当然,这样的国家也不可能成为什么现代化国家。因为真正的现代化国家绝对不是“编户齐民”的国家,不是严密监控自己国民的国家,而是所有国民都能享有充分自由,特别是享有充分的言论自由、以及免于公权力肆意地骚扰、监管、恐吓、拘禁的自由的国家。
凡是试图全方位监控自己国民的国家,凡是竭力把自己国民置于透明状态的国家,都是以最粗暴、最直白的方式表明自己不是人民的国家。因为真正人民的国家不需要监控自己国民的行踪,国家相信自己的国民,国民也认同并相信、维护自己的国家。真正人民的国家也不需要总追求以上帝的视角试图看透、掌控自己国民的思想与言论,因为真正人民的国家不会因自己国民的任何思想与言论而遭受损害,相反,国家恰是在保护国民的言论自由而保有生命力,在尊重国民思想的自治而保有创造力。人民的国家从来不会也永远不会因自己国民的思想与言论自由而陷入瓦解的危险。因为真正人民的国家不会因为国民对国家的批评乃至反对而遭受损失或陷入危机,相反,它只会在国民的自由思想提供的各种参照系的映照下朝更加完善的方向发展。
现代化国家有不同道路,有各种特色与模式,但是所有真正的现代化国家都有一个本质性的属性,那就是让国民更自由、更解放、更富有、更文明。无论是共同体还是国民个体,都是也只能是在由充分的自由思想、自由言论、自由行动构成的自由生活中才练就自立的能力,以及自治的理性与自治的水平,从而变得更加文明。
所以,要建成现代化国家,自由是方向,也是目标。任何以加强监控国民的言论、思想与行动自由为目的,或者任何会导致对国民的言论、思想自由进行严密监控的政策,都与现代化国家建设的方向与目标背道而弛。
如果中国式现代化是我们的目标与方向,那么,这个方向不是朝向古老的“编户齐民”,而应朝向人人更加自由、更加开放、更加自立、更加文明与更加富有。如果我们对中国式现代化要有信心,要有自信,那么这种现代化应该对国民的监控少于西方现代化对其国民的监控。换个角度说,我们的现代化应该使我们的国民的自由(首先就是言论、思想自由)多于西方国民的自由。正如一切创造力与多样性都基于自由也来自自由一样,所有的信心与自信也都基于自由,来自于自由。没有自由,一切自信与信心都经不起比较和冲击。这是自信与信心的秘密所在。 -->
<!-- [source](http://m.weibo.cn/status/5063245410865019) -->
<!-- 已被删帖 -->
<!-- 我也觉得这话不太对,做个参考留个纪念吧 -->
Reference in New Issue View Git Blame Copy Permalink