量子计算机距离破解 BTC 加密还差百万级

量子计算机可借助量子的特性来加速某些计算，科学家们正在研究“到底需要多大规模的量子计算机”才能攻破 BTC 网络。他们发现，如果将破解 BTC 加密的时间窗口限制在 BTC 网络的出块时间 10 分钟，将需要动用规模达到 19 亿个量子比特的超级计算机。但若放宽到半小时，就只需要动用具有 1300 万个量子比特的量子计算机。IBM 创纪录的超导量子计算机，目前也只达成了 127 个量子比特。而将量子比特扩大百万倍，看起来在十年内不大可能做到。

老王点评：即便量子计算机真的发展到那么强大，也有比破解 BTC 更重要的事情要做。

可以训练 AI 的 AI

深度神经网络在 10 年前开始超越传统算法，这是因为我们终于有了足够的数据和处理能力来充分利用它们。训练神经网络需要仔细调整数百万甚至数十亿的参数值，这些参数是这些网络的特征，目标是为它们找到近乎理想的值，这个过程被称为优化，但训练网络并不容易。科学家们构建了一种“超网络”以 加快训练过程，即训练神经网络的神经网络。给出一个为某些任务设计的新的、未经训练的深度神经网络，超网络可以在几分之一秒内预测出新网络的参数，理论上可以使训练不再必要。

老王点评：虽然还不是最可怕的情况，但是这无异于给了 AI 一种自我进化的能力。

影响 12 年来所有 Linux 发行版的本地提权漏洞

Polkit 是一个 SUID 程序。它被默认安装在每个主要的 Linux 发行版中。任何普通用户都可以通过利用其默认配置中的这个 漏洞，在有漏洞的计算机上获得完全的 root 权限。这个漏洞自 2009 年 5 月创建以来一直存在，即使 polkit 守护程序本身没有运行，它也可以被利用。

老王点评：其实 Linux 世界中这种早期潜伏的危险应该还不少，因为那时候 Linux 显然没现在这么重要。

微软推出中国特供版的“微软电脑管家”

微软专门针对国内用户发布了一款“微软电脑管家”的软件。官方介绍称：“微软电脑管家聚合了微软 Windows 系统强大的底层研发能力，搭配微软独有反病毒引擎，全面构建您的电脑防护体系。主打低占用、不打扰、干净、不捆绑的产品特点，为用户提供电脑体检、反病毒、主页反劫持、电脑垃圾清理等功能。”不过，虽然该软件的开发商是世纪互联的子公司北京蓝云公司，但是微软表示该软件隶属于微软。

老王点评：真是熟悉的配方。

波士顿动力的机器人从 DHL 获得 1500 万美元的工作机会

去年 3 月，波士顿动力公司公布了其第二款商业机器人 Stretch。该机器人建立在箱子搬运概念之上，旨在将该公司的先进机器人技术带入仓库/物流环境中。最近，波士顿动力公司 宣布，物流巨头 DHL 已经承诺与其达成一项为期多年、价值 1500 万美元的合作，它将在未来三年为 DHL 物流中心带来一支机器人队伍，首先它将负责从卡车上自动卸货，随后还将增加更多的任务，以进一步实现包裹处理过程的自动化。

老王点评：看来以后这种体力活都是机器人的了。

Let's Encrypt 错误签发数百万张证书

Let's Encrypt 工程师称在 2022 年 1 月 26 日 00:48 UTC 部署修复程序时发现，所有通过 TLS-APLN-01 质询颁发和验证的证书都是错误的，需在 5 天内让错误证书失效，计划 从 1 月 28 日 16:00 UTC 开始吊销错误证书。但并非所有证书都受此问题影响，预计不到 1% 的活跃证书受此问题，影响当前已经向相关用户发送邮件通知。

老王点评：保险起见，无论是否收到邮件，还是重新签发一下比较好。

美国部分企业关键芯片的库存只能支持数天

美国商务部称，芯片短缺的情况将会持续，企业部分关键零部件的库存只能支撑不到五天。调查显示，关键芯片库存中值已从 2019 年的能够支撑 40 天下降到 2021 年的不到五天。与此同时，对芯片的需求也比 2019 年高出约 20%。调查显示，芯片供需存在严重、持续的错配，受访者认为这个问题在未来六个月内不会消失。

老王点评：看来未来的日子还将继续艰难。

谷歌宣告放弃 FLoC

谷歌两年来一直计划用其他技术来取代 Cookie，以向用户提供有针对性的广告，其使用的是一个名为 FLoC 的系统。FLoC，即“群组联合学习”，将通过使用一个浏览器内的算法来取代 Cookie。该算法将分析用户的浏览历史以确定用户的“兴趣群组”，而广告商根据群组精准投放。其设计初衷是为用户提供一定程度的隐私，但谷歌表示 FLoC 可能不足以保护用户的身份。此外，该系统也遭受到广告商的强烈反对，并在欧盟受到投诉。多家基于 Chromium 的浏览器开发商也都决定禁用 FLoC。周二，谷歌表示向有关拟议的投诉让步，转而计划采取 不同的方法。

老王点评：本质上，谷歌就是一家广告公司，所以它设计的方案自然得不到信任。

由于积极行动，大规模的 Log4j 攻击没有到来

Sophos 认为，因为该漏洞的严重性使数字和安全社区团结起来，激励人们采取行动，攻击者大规模利用 Log4j 漏洞的直接威胁 被避免了。该公司指出，在 12 月 20 日至 23 日期间，被其防火墙阻止的 Log4j 攻击达到顶峰，然后在 1 月期间逐渐减少。

老王点评：但这并不意味着我们已经摆脱了风险，在未来几年会持续有黑客利用这些漏洞发起攻击。

Meta 正在建造世界上最快的 AI 超算

Facebook 母公司 Meta 宣布 它正在建造世界上最快的 AI 超算 RSC。Meta 研究人员表示，新超算将能处理有数万亿参数的神经网络，相比之下 OpenAI 的自然语言处理神经网络 GPT-3 有 1750 亿个参数。新超算计划在今年年中完成建造，将使用 16000 个 GPU，储存容量达到 1 EB，能每秒处理 16 Tbps 的数据。

老王点评：这是为 Meta 宇宙准备的吧。

俄罗斯自研操作系统 Phantom OS 预计今年问世

俄罗斯花了 12 年研发的 Phantom OS 始于 2010 年，计划在今年推出原型操作系统，并创建基于 Genode 微内核的操作系统。其定位于 Linux 系统的竞争者，主打更好的性能，主要用于可穿戴及嵌入式设备。它有一个独特的“永不停机”的设计理念，可以将指定状态的快照存储到永久性存储设备中，一旦断电或者出现其他意外情况，系统可以回滚到最后一次状态并继续工作，好像一切都没发生过。

老王点评：所有宣称取代 Linux 的，最终都不了了之。

去年发生的数据泄漏事件远超历史记录

据一份 新发布的《2021 数据泄露报告》，在过去一年中总共发生了 1862 起数据泄露事件，刷新了 2020 年（1108 起）和 2017 年（1506 起）的最高记录。报告还指出，涉及勒索软件的攻击在过去两年中每年都增加一倍，占 2021 年报告的网络攻击总数的 22%，按照这种增长速度，勒索软件攻击将超过网络钓鱼。

老王点评：勒索软件威胁已经成为了头号威胁，不过似乎国内企业对此的感受不深。

以后可以在 Linux 应用中看到（很多）广告了

Qt 宣布支持客户端应用程序中的广告，应用程序开发人员现在可以在桌面应用程序中提供 广告服务，而这通常是 Windows 用户的待遇。Qt 被广泛使用在桌面应用程序开发中，KDE 就是基于 Qt 框架开发的。虽然估计不会在 KDE 的核心应用程序中看到广告，但有可能一些急于挣钱的发行版会将这些应用程序分叉，在其中放置广告。根据其文档，该广告插件支持所有主流平台，包括 Windows 和 Linux 等等。

老王点评：这个消息让我一时不知道该怎么说，一方面确实可以补贴一些开源开发团队，另外一方面充斥着广告的 Linux ，怎么都感觉不对劲。

自毁代码库的作者要求恢复其发布到 NPM 的能力

Faker.js 的原作者在 自毁 了其两个重要的开源代码库之后，GitHub 和 NPM 一度封禁了他的账户并回滚了其提交的恶意版本。之后 GitHub 恢复了他的账户，而一些社区贡献者 复刻 了他的 Faker.js 项目，并提出了积极的发展路线图。而该作者在 Twitter 上 抱怨称，GitHub 取消了他向 NPM 发布和修复错误的能力，一直没有恢复。他称其还有一百多个包要维护，并委婉地承认了错误：“每个人都会时不时地犯编程错误。没有人是完美的。”

老王点评：公平的讲，虽然该作者的行为不合情理，但是 GitHub 和 NPM 也没有强行封禁的权利和理由。

Linux 供应商固件服务考虑为老旧设备提供开源固件

开发者提议，由 Linux 供应商固件服务（LVFS）这样的实体为已经过了保修期的硬件提供自由开源的固件。这涉及到一些法律问题，而且这样的举动可能不会得到硬件供应商的认可。到目前为止，由于法律要求、良好的安全模式等原因，LVFS 完全依赖于 ODM/OEM 为其硬件上传固件。对于没有经验的用户来说，通常不是很容易自己操作闪存。而采用 LVFS 可以使你更容易地关闭系统的专有固件，并在支持的情况下切换到自由固件。如果用户接受采用第三方固件的风险，这样也为挽救过保的硬件提供了可能。

老王点评：我觉得这是一种有益的尝试。

发现植入到 UEFI 固件中的恶意程序

研究人员通过固件扫描器的日志发现了一个 植入 到 UEFI 固件中的恶意程序 MoonBounce。该扫描器自 2019 年初以来已被整合到卡巴斯基产品中。恶意程序修改了主板上的 SPI 闪存，它不在硬盘上，因此格式化硬盘或更换硬盘不会清除恶意程序。修改后的固件镜像允许攻击者拦截引导序列的执行流，引入一个复杂的感染链。由于感染链只在内存中运行，而在硬盘上没有留下攻击痕迹。该恶意程序可以部署用户模式的恶意软件，从互联网上下载并执行的更多的有效载荷。

老王点评：真是无孔不入，这些恶意程序真是能别开生面的发现利用方法。

FSF 让其 5000 多名准会员提名董事会成员

自由软件基金会（FSF）董事会前几天通过了 新程序，在其 37 年的历史上，第一次可以让其准会员提名其董事会成员。FSF 打算在 2022 年利用这些新程序首先增加几个新董事，然后开始对现有董事进行审查。包括所有现任董事在内的有投票权的成员可以参与投票。FSF 主席说：“向我们的准会员开放董事招聘程序是 FSF 的一个历史性的、受欢迎的里程碑。”该流程是由顾问主导的六个月审查的主要成果。

老王点评：作为开源先锋，FSF 能践行社区治理是一个进步。

Linux 大量向用户提供了固件更新

本周早些时候，在上传了许多新的系统固件文件后，Linux 供应商固件服务提供了大量下载服务。这些固件解决的问题尚未披露，似乎是一个“高度严重的即将到来的安全问题”，但据分析是在更新英特尔 CPU 的微代码。经过 测试发现，无论新的安全问题是什么，它似乎都没有任何广泛的性能影响。

老王点评：在这种时候，就感觉到了 Linux 供应商固件服务的重要性。

回音

• KDE 15 分钟错误消除计划 第一周解决了 87 个错误，涉及 Plasma Wayland 会话、系统设置区、触摸屏处理等。