248 lines
22 KiB
Markdown
248 lines
22 KiB
Markdown
---
|
||
title: Linuxcat周刊(第19期) 苹果研究员质疑大语言模型(LLM)的推理能力,认为其仅是复杂的模式匹配
|
||
tags:
|
||
- AI
|
||
- Apple
|
||
- Google
|
||
- SSL/TLS证书
|
||
- Windows
|
||
- 爬虫
|
||
- OpenAI
|
||
- 网络安全
|
||
- 蟑螂
|
||
categories:
|
||
- Linuxcat周刊
|
||
index_img: /img/weekly/2024/19/00002-3576942505.webp
|
||
banner_img: /img/weekly/2024/19/00002-3576942505.webp
|
||
permalink: /weekly/2024-19/index.html
|
||
date: 2024-10-20 19:38:16
|
||
---
|
||
|
||
## 乐子
|
||
### 1 Google Lens 现可让用户通过视频进行搜索
|
||
10月4日,如果用户无法仅通过图片捕捉到想要搜索的内容,Google Lens 现在将允许用户拍摄视频,甚至可以使用语音询问您所看到的内容。该功能将根据视频内容和用户的问题显示人工智能摘要和搜索结果。该功能今天在安卓和 iOS 上的搜索实验室中推出。谷歌在 5 月份的 I/O 大会上首次展示了使用视频进行搜索的功能。谷歌举例来说,对水族馆里的鱼感到好奇的人可以将手机举到展品前,打开 Google Lens 应用,然后按住快门按钮。一旦 Lens 开始录制,他们就可以提出问题:“为什么它们会一起游泳?”然后 Google Lens 使用 Gemini AI 模型提供响应。
|
||
> 消息来源: [TheVerge](https://www.theverge.com/2024/10/3/24259759/google-lens-search-video-ai-launch)
|
||
|
||
### 2 谷歌日本打造莫比乌斯环 Gboard 实体键盘
|
||
谷歌日本宣布推出类似于莫比乌斯环的实体键盘。谷歌表示,迄今为止我们开发的键盘,都只关注了键盘表面的问题。于是就开发出了这款里外连在一起的 Gboard 双面版本。键盘由26个模块组成,其中每块上有8个按键,相互之间扭转后连接,做成了不区分正反的设计。谷歌已将设计文档与固件发布到 [GitHub](https://github.com/google/mozc-devices/tree/master/mozc-doublesided)。
|
||
> 消息来源: [谷歌日本](https://landing.google.co.jp/double-sided/)
|
||
|
||
### 3 网友发现使用这个 KEY 激活 Windows 10/11 系统会导致循环崩溃只能重装
|
||
在 X 上有网友发现某个神奇的 KEY,安装这个 KEY BFXT4-MY2GY-MBCRK-PBN7B-HT963 后系统会自动重启接着就是循环崩溃,目前没有任何办法能够修复系统。
|
||
至于这个 KEY 为什么会导致系统循环崩溃目前也不清楚,这可能会被恶作剧者利用,各位在网上寻找密钥时应谨慎避免上当。
|
||
> 消息来源: [蓝点网](https://ourl.co/105995)
|
||
|
||
不可靠消息:
|
||
> [这是中国特供版的key。系统没有中文语言包,直接挂逼。](https://t.me/Naixi2tg/3267)
|
||
|
||
### 4 字节跳动推出了新的网络爬虫,激进抓取网络数据
|
||
短视频应用 TikTok 的中国母公司字节跳动在4月份发布了自己的网络爬虫或抓取机器人,名为 Bytespider。尽管 TikTok 有可能在未来几个月内在美国被禁,但字节跳动仍在积极抓取用户数据。数据显示,在过去六周内,Bytespider 的抓取活动每周都会出现大幅增长,每日请求量已经达到 GPTbot 的25倍。
|
||
研究显示,字节跳动的机器人已迅速成为互联网上最激进的抓取工具。它抓取数据的速度是其他大公司的数倍,例如谷歌、Meta、亚马逊、OpenAI 和 Anthropic,这些公司使用自己的抓取机器人来帮助创建和改进大模型。研究显示,Bytespider 机器人并不尊重 robots.txt 文件,虽然该文件不具有任何法律约束力,但它表示抓取机器人不能获取该网站的数据。
|
||
> 消息来源: [财富](https://fortune.com/2024/10/03/bytedance-tiktok-bytespider-scraper-bot/)
|
||
|
||
### 5 网易云音乐正在封杀网页版模拟登录
|
||
据酷安网友分享的消息,近期网易云音乐调整风控系统并封杀通过网页版模拟登录的账户,不少用户因为使用第三方客户端、第三方脚本导致账号被冻结。好消息是网易云此次采取的措施并非永久冻结账号,部分账号触发风控系统后被冻结 3~7 天,到期后就会自动解封。在 GitHub 上也有不少网友在讨论这个问题,目前普遍情况是如果网易云检测到通过第三方 API、网页版模拟登录或第三方脚本使用 Cookies 等方式登录,都会触发风控机制。
|
||
> 消息来源: [蓝点网](https://www.landiannews.com/archives/105994.html?utm_src=ourl)
|
||
|
||
### 6 2024年诺贝尔物理学奖及化学奖颁给了计算机相关研究
|
||
2024年诺贝尔物理学奖授予约翰·霍普菲尔德和杰弗里·欣顿,以表彰其在使用人工神经网络的机器学习方面基础性发现和发明的贡献。
|
||
2024年诺贝尔化学奖由David Baker,以及来自谷歌DeepMind公司的Demis Hassabis和John M. Jumper平分,以表彰他们在计算蛋白质设计和蛋白质结构预测的贡献。
|
||
去年2月,David Baker团队在Nature发表论文, 开发了可以从头设计人造荧光素酶的深度学习算法,为科学界首次基于深度学习的人工智能来创造全新的酶。
|
||
去年4月,David Baker团队在Science发表论文, 开发了一种基于强化学习的蛋白质设计软件,并证明了它有能力创造有功能的蛋白质。
|
||
DeepMind科学家Demis Hassabis 和John Jumper因创造了一项能够预测蛋白质三维结构的革命性技术AlphaFold,在去年9月获得了美国医学最具声望的生物医学奖项拉斯克奖。
|
||
> 消息来源: [LoopDNS资讯播报](https://t.me/DNSPODT)
|
||
|
||
### 7 影视飓风下架《清晰度不如4年前!视频变糊是你的错觉吗?》科普视频
|
||
影视飓风发布《清晰度不如4年前!视频变糊是你的错觉吗?》科普了视频平台为了降低流量费用支出。通过降低视频码率,改变编码格式等方式,压缩博主上传的视频画质。在科普视频中潘天鸿表示,这种压缩视频画质的方法,已经影响了博主的内容表达。
|
||
截至9日中午,该视频在B站获得超过40万播放。9日14点38分@影视飓风MediaStorm 发博称:“因为多方原因,有关清晰度的视频只能全网下架了,我们仍然希望互联网技术可以不断演进,让大家看到更清晰的视频。 ”
|
||
> 消息来源: [影视飓风 MediaStorm](https://weibo.com/1044980795/OAKeqgw4U)
|
||
|
||
**相关评价:**
|
||
『在国内,运营商是绝对强势,只有它收钱的道理。你优酷想要发展华南用户,就必须来我电信骨干网拉条线。在这个模式下,网站运营者需要向运营商付出带宽费用,来保障用户访问速度。
|
||
在国外,Google是绝对强势,你一个运营商访问 Google 都这么卡,等着用户换宽带品牌吧。所以,运营商要用 Peering 主动和 Google 的机房对接。在这个方向下,网站运营者不额外付费甚至能管运营商要钱,用于改善用户访问。』
|
||
> 来源: [知乎大巴扎](https://t.me/zhihu_bazaar/6170)
|
||
|
||
国内运营商电信移动联通是完全垄断的,随着政策对于c端用户持续降费的要求,通信服务商为了盈利就只能向b端用户加钱。因为垄断,b端用户在国内运营没法选择运营商,所以在同样用户规模的情况下,只能选择承受比国外同类企业更高的通信成本。
|
||
但其实运营商的负担也很大,这些年国家推广5G,运营商有指标,要采购某些很昂贵的设备,这些设备从商业和经济角度并不值得。
|
||
> 来源: [知乎](https://www.zhihu.com/question/790765906/answer/4603255774)
|
||
|
||
### 8 安全研究员展示使用打火机电弧获取root权限
|
||
著名安全研究员 David "retr0id" Buchanan 通过利用打火机上的压电点火器翻转其内存中的位,成功利用运行笔记本电脑的软件来获取 shell。Buchanan 承认,他的实验需要对目标设备进行一些不太精细的硬件修改,“如果你将一根约 10 厘米长的‘天线’线连接到笔记本电脑的 DRAM 数据总线上,它就会对电磁干扰变得格外敏感,以至于点击附近的压电弧光打火机都会引起位翻转。”相关的概念证明程序已经发布到 GitHub (https://github.com/DavidBuchanan314/dram_emfi/blob/348bd15c9e767bff5968a4fcc80a97b81dc63bda/ddr3_dq7.py) 上。
|
||
通过一些额外的步骤,Buchanan 成功地改变了机器逻辑,获取到 root 权限,让他可以读写物理内存中的任何一点。 他只需在天线附近打响普通压电打火机,就能在机器内存中诱发有针对性的比特翻转错误,从而获得访问权限。这种方法的成功率并不完全是 100%,通常"需要点击几次打火机才能获得良好的效果"。 尽管如此,该演示仍然让人大开眼界,展示了电磁故障注入攻击的范围。
|
||
> 消息来源: [Hackster](https://www.hackster.io/news/david-buchanan-opens-a-shell-on-his-laptop-the-hard-way-with-a-controlled-electromagnetic-pulse-791463b9118b)
|
||
|
||
### 9 OpenAI 推出人工智能工程基准测试 先给自家 o1-preview 最高分
|
||
OpenAI创建了一个名为MLE-bench的新基准,以评估人工智能代理开发机器学习解决方案的程度。MLE-bench 专注于两个关键领域:选择代表当前 ML 开发中具有挑战性的任务,并将 AI 结果与人类表现进行比较。该基准包括75个Kaggle竞赛项目,旨在衡量机器学习工程中自主人工智能系统的进展。
|
||
在最初的实验中,带有AIDE框架的o1-preview模型取得了最佳效果。它在16.9%的比赛中至少获得了一枚铜牌。每次竞赛时更长的处理时间能产出更好的结果,而额外的GPU功率没有产生重大影响
|
||
> 消息来源: [The Decoder](https://the-decoder.com/openais-own-ai-engineering-benchmark-gives-o1-preview-top-marks/)
|
||
|
||
### 10 复盘上交所爆单宕机事件:问题源于信创 最后靠重启系统解决
|
||
9月27日,上交所因系统负载过高导致交易缓慢异常,部分券商客户端崩溃。尽管成交量不大,但交易堵塞依然严重。9月29日,问题通过重启系统解决。专业人士指出,问题源于上交所老旧的系统在高负载下内存耗尽,而信创改造导致的兼容性问题也可能是关键原因之一。
|
||
相比之下,深交所的交易系统尚未出现异常。据悉,深交所的系统早期源于 IBM 的一套技术,后买下版权自主研发出了第五代交易系统⸺STSV5,完全基于开放平台和分布式架构,于 2016 年 6 月上线。
|
||
> 消息来源: [cnbeta](https://www.cnbeta.com.tw/articles/tech/1448961.htm)
|
||
|
||
### 11 苹果研究员质疑大语言模型(LLM)的推理能力,认为其仅是复杂的模式匹配
|
||
苹果研究员Mehrdad Farajtabar等人发表的论文对大型语言模型(LLM)的推理能力提出质疑,认为LLM所谓的“推理”能力实际上只是复杂的模式匹配,并非真正的逻辑推理。研究团队开发了GSM-Symbolic工具,基于GSM8K测试集生成符号模板,发现目前的LLM如Llama、Phi、Gemma、Mistral 等开源模型,以及 GPT-4o 和 o1 系列等闭源模型对专有名词和数字的更改非常敏感,显示出对数学概念理解的不足。实验结果显示,即使在参数和数据量增加的情况下,LLM的推理能力并没有实质性提升,只是成为了“更好的模式匹配器”。
|
||
> 消息来源: [arxiv](https://arxiv.org/pdf/2410.05229)
|
||
|
||
### 12 中国网安机构揭露美国全球监听活动
|
||
中国网络安全机构近日发布报告,揭示美国长期实施的全球网络间谍行为。报告指出,美国国家安全局(NSA)利用其在全球互联网中的技术优势,控制了大西洋和太平洋的海底光缆关键节点,并建立了7个全流量监听站点,进行无差别的全球网络数据监控。美国还与英国国家安全中心合作,解析并提取海底光缆中的数据,广泛获取全球用户信息,严重威胁网络隐私与安全。
|
||
此前,华尔街日报曾报道美国声称屡次打击了中国黑客组织的多次侵入活动:如黑客组织“Flax Typhoon”通过路由器和摄像头等设备入侵美国网络的行动;以及今年1月“Volt Typhoon”的渗透行动。
|
||
> 消息来源: 微博 (https://weibo.com/2656274875/OBtKumyuz) | 华尔街日报(英文) (https://www.wsj.com/politics/national-security/china-cyberattack-internet-providers-260bd835)
|
||
|
||
> 评论: [<!-- *F* -->G**监控了多少人 ](https://t.me/TestFlightCN/28005?comment=6319011)
|
||
|
||
### 13 淘宝官方今天发文宣布,网页版摸鱼皮肤正式上线
|
||
在淘宝网顶部新增的按钮“选择主题”中,即可查看目前已上线的皮肤款式。目前共有7大选择,可以切换为Excel、钉钉、邮箱等皮肤。
|
||
皮肤链接:[https://jianghu.taobao.com/challenge.html](https://jianghu.taobao.com/challenge.html)
|
||
> 消息来源: [CNbeta](https://www.cnbeta.com.tw/articles/tech/1449243.htm)
|
||
|
||
### 14 美国奥斯汀Instagram排名第一的餐厅食物照片均为AI生成
|
||
Ethos_atx,自称美国奥斯汀第一大热门餐厅,拥有近73,000名Instagram粉丝和大量积极评价,但其所有内容皆为AI生成。
|
||
尽管其帖子获得数千点赞,但许多用户对此毫无察觉,甚至称赞那些虚构的美食摄影。该餐厅还销售AI生成的商品,如手机壳和T恤,目前尚不清楚该账号的最终目标是什么。
|
||
> 消息来源: [usermag](https://www.usermag.co/p/the-1-restaurant-in-austin-doesnt)
|
||
|
||
### 15 将 Android 手机变成监听工具
|
||
之前的实验表明,智能手机中的陀螺仪和加速计等惯性测量单元(IMU),可以通过检测声波振动监听对话。这意味着,即使是一个没有开启麦克风权限的应用程序也可以通过 IMU 获得对话内容。为了不让攻击者获得准确信息,Google 将 Android 应用从 IMU 采样数据的频率限制在每秒 200 次,使攻击者无法准确获得对话内容。
|
||
根据发表在预印本平台 arXiv 上的预印本,研究人员发现了一个漏洞——通过欺骗陀螺仪和运动传感器在时间上稍微偏移地进行测量,将应用实际采样率从每秒 200 次提高到 400 次,可以突破上述保护措施。利用这种方法,攻击者能修复获得的音频量大大提升。与每秒仅采集 200 个样本相比,他们的方法在 AI 转录时单词错误率降低了 83%。这表明,目前的安全保护措施“不足以防止复杂的窃听攻击发生”,应该对其重新评估。
|
||
> 消息来源: [Solidot](https://www.solidot.org/story?sid=79499)|[Arxiv](https://arxiv.org/abs/2409.16438)
|
||
|
||
群友提醒💪:关机也未必管用,得看手机的设计。目前的手机设计一体式更换电池的时候你就算关机了,但手机也不是关机,只是深度休眠而已,定位之类的如果设计方式上有需要完全可以做到。手机屏幕不亮,但是后台数据完全低休眠度的运行,即 gps 定位、摄像头、录音等等等的。
|
||
> 消息来源: [科技圈🎗在花频道📮](https://t.me/TestFlightCN/28056)
|
||
|
||
### 16 小米 Vela 系统代码即将开源,开启先锋体验计划
|
||
Vela 是小米基于开源实时操作系统 NuttX 打造的物联网嵌入式软件平台,最小系统仅需 8KB 内存,CPU 主频不限,适配任意 SoC 多核架构,支持柔性部署。
|
||
在去年底的 2023 小米 IoT 生态伙伴大会上,小米宣布将开源 Vela 系统。
|
||
目前小米已开启 Vela 开源先锋体验计划活动招募,官方表示 Vela 代码即将开源,将对外公开超过 1000 万行的 Xiaomi Vela 开源代码。
|
||
> 消息来源: [新浪新闻](https://finance.sina.com.cn/tech/roll/2024-10-16/doc-incstaqz0494298.shtml)
|
||
|
||
### 17 摩尔线程首个DX12驱动发布
|
||
摩尔线程内测DX12驱动,并在「摩卡玩家」社区启动「Alpha行动」,召集更多玩家对DX12内测版驱动进行体验和反馈,以加速驱动的迭代速度。目前DX12已有超过500款游戏支持,其中不少知名游戏只能在DX12下运行,例如《艾尔登法环》《死亡搁浅》。
|
||
> 消息来源: [快科技](https://news.mydrivers.com/1/1008/1008326.htm)
|
||
|
||
### 18 黑客现在会诱导用户访问终端以绕过macOS Sequoia中的防火墙
|
||
网络安全研究人员目前确认了一种新的攻击载体,其回避了常规的“右键单击打开”,而倾向于欺骗用户将恶意代码(通过.txt文件)直接拖放到终端中。这个新信息竊取器的特定样本将以Cosmical_setup的名义进行,并正在被跟踪为Amos-affiliated。
|
||
攻击者首先会向受害者交付磁盘映像文件(DMG),受害者之后被指示打开终端应用程序,而不是右键单击安装,而是被要求将“.txt”文件直接拖放到终端窗口中。这个看似无害的“.txt”文件实际上是一个恶意的Bash脚本。一旦放入终端,它会触发osascript的执行,然后运行AppleScript命令。
|
||
> 消息来源: [9to5mac](https://9to5mac.com/2024/10/17/security-bite-hackers-are-now-directing-users-to-terminal-to-bypass-gatekeeper-in-macos-sequoia/)
|
||
|
||
### 19 Cloudflare的安全措施可能无意中阻止RSS订阅用户访问网站内容
|
||
Cloudflare前不久推出了“机器人战斗模式”和“阻止所有AI抓取器和爬虫”功能,这些措施可能无意中阻止了合法的RSS订阅用户访问网站内容。Cloudflare使用AI生成的分数来评估访问者是否为AI抓取器或机器人,而RSS阅读器在尝试访问网站时会收到无法完成的挑战,导致访问被阻止。
|
||
网站所有者可以通过在Cloudflare仪表板中识别RSS阅读器的用户代理,并将它们的IP地址或用户代理字符串列入白名单,以解除对RSS阅读器的屏蔽。
|
||
> 消息来源: [Tops Tip](https://topstip.com/using-cloudflare-may-hinder-rss-subscribers-from-accessing-website-content/?via=E07513)
|
||
|
||
### 20 朝鲜黑客利用新发现的 Linux 恶意软件攻击银行 ATM
|
||
受朝鲜政府支持的黑客在入侵了运行 AIX(IBM 专有的 Unix 版本)和 Windows 的银行基础设施之后,现在已将攻击范围扩大到 Linux。该恶意软件名为 FASTCash,是一种远程访问工具,安装在受感染网络内处理支付卡交易的支付交换机上。FASTCash 的目的是破坏银行间网络内的一个关键交换机,该恶意软件驻留在连接发卡域和收单域的银行间交换机的用户空间部分。当使用被盗卡进行欺诈性转账时,FASTCash 会篡改交换机,发卡机构拒绝交易的消息被更改为批准。
|
||
上周末,一名研究人员报告称,发现了两个运行在 Linux 上的交换机 FASTCash 样本。其中一个样本是为 Ubuntu Linux 20.04 编译的,很可能是在 2022 年 4 月 21 日之后的某个时间开发的。另一个样本可能未被使用。截至周日,只有四个反恶意软件引擎检测到每个样本,检测次数为零。
|
||
> 消息来源: [ArsTechnica](https://arstechnica.com/security/2024/10/north-korean-hackers-use-newly-discovered-linux-malware-to-raid-atms/)
|
||
|
||
### 21 微软 Win11 24H2 Recall AI 功能被曝捆绑文件管理器,卸载会影响后者运行
|
||
微软在 Windows 11 24H2 系统中,将“回顾”(Recall)AI 功能捆绑文件管理器,卸载后可能会影响文件管理器正常使用。例如,尝试卸载时会导致 Explorer 出现故障。
|
||
GitHub 上的讨论表明,Recall 作为系统工具深度植根于 Windows 中,未来可能无法完全移除。有用户反馈卸载 Recall 功能之后,文件管理器可能会无法正常运行,或者“回滚”到旧版 Windows 文件管理器中。
|
||
> 消息来源: [新浪科技](https://finance.sina.com.cn/tech/digi/2024-10-18/doc-incsyfsx5408940.shtml)
|
||
|
||
### 22 字节跳动大模型训练被实习生攻击,涉事者已被辞退
|
||
今年6月,字节跳动商业化技术团队遭遇了由实习生引发的模型训练问题,训练效果不稳定,部分业务受影响。据知情人士透露,该实习生因对资源分配不满,利用Huggingface平台的漏洞恶意注入代码破坏模型训练任务。尽管传闻称损失高达千万美元,实际影响并未如此严重。
|
||
安全专家指出,这次事件暴露了字节跳动在权限隔离和代码审计方面的管理漏洞。目前,该实习生已被辞退,事件已通报相关机构和实习生所在学校。
|
||
> 消息来源: [界面新闻](https://www.jiemian.com/article/11849954.html)
|
||
|
||
## 跟踪
|
||
### Apple提交表决提案 建议将SSL/TLS证书有效期从398天缩短到45天
|
||
前序: [谷歌的90天TLS证书有效期提案将如何影响企业](https://mei.lv/weekly/2024-04/#12-%E8%B0%B7%E6%AD%8C%E7%9A%8490%E5%A4%A9TLS%E8%AF%81%E4%B9%A6%E6%9C%89%E6%95%88%E6%9C%9F%E6%8F%90%E6%A1%88%E5%B0%86%E5%A6%82%E4%BD%95%E5%BD%B1%E5%93%8D%E4%BC%81%E4%B8%9A)
|
||
|
||
目前 CA / 浏览器论坛 (负责制定 SSL/TLS 证书相关标准的行业组织) 已经将证书有效期从 8 年缩短到目前最长的 398 天,然而Apple和Google都希望继续缩短数字证书有效期以提高安全性。
|
||
苹果的这项提案为投票表决草案,很可能会在未来几个月内交由 CA / 浏览器论坛成员进行投票,如果获得大多数成员赞成,则未来苹果 Safari 浏览器将仅支持有效期在 45 天内的数字证书。
|
||
尽管 SSL/TLS 证书已经有很多便捷的工具可以实现自动化续签,但并非每个网站和企业都可以轻松部署自动化续签流程,尤其是有些复杂的系统切换数字证书本身就是个麻烦的事情。
|
||
> 消息来源: [cnBeta](https://www.cnbeta.com.tw/articles/soft/1449389.htm)
|
||
|
||
## 题外话
|
||
### 广东蟑螂对拜灭士等有吡虫啉成分的灭蟑药已有抗药性,望周知
|
||
广东蟑螂对拜灭士等有吡虫啉成分的灭蟑药已有抗药性,望周知
|
||
> 消息来源: [科技圈🎗在花频道📮](https://t.me/TestFlightCN/27977)
|
||
|
||
|
||
|
||
|
||
|
||
|
||
|
||
|
||
|
||
|
||
|
||
|
||
|
||
|
||
|
||
|
||
|
||
|
||
|
||
|
||
|
||
|
||
|
||
|
||
|
||
|
||
|
||
|
||
|
||
|
||
|
||
|
||
|
||
|
||
|
||
|
||
|
||
|
||
|
||
|
||
|
||
|
||
|
||
|
||
|
||
|
||
|
||
|
||
|
||
|
||
|
||
|
||
|
||
|
||
|
||
|
||
|
||
|
||
|
||
|
||
|
||
|
||
|
||
|
||
|
||
|
||
|
||
|
||
|
||
|
||
|
||
|
||
|
||
|
||
|
||
|
||
|
||
|
||
|
||
|
||
|
||
|
||
|
||
|
||
|
||
|
||
|