OpenAI 推出可将自然语言翻译成代码的 Codex API

为 GitHub Copilot 辅助编程工具提供技术支持的 OpenAI 组织，现又推出了可将自然语言转译成代码的私有测试版 Codex API 。这套应用程序接口能够理解十多种编程语言，允许开发者以简单的英语词汇来阐述相关命令并执行，从而轻松为当前的应用程序开发流程引入自然语言编程体验。在接受了数十亿行公共代码的训练之后，Codex 能够支持广泛的框架和语言，以及适应不同开发者的编程风格。该 API 模型最擅长于 Python，但也 精通 JavaScript、Go、Perl、PHP、Ruby、Swift、TypeScript、Shell 等编程语言。

以后“码农”级别的程序员可以下岗了。

DeFi 平台 Poly Network 被攻击，已造成至少 6 亿美元的损失

Poly Network 是一项用于在多个区块链之间进行通证交换的跨链协议，它运行在 Binance 智能链、以太坊和 Polygon 区块链上。周二发生的攻击连续袭击了每条链，被窃取了至少 6.11 亿美元。这应该是迄今为止最大的 DeFi 黑客攻击事件之一。被盗资产中包括了 2.73 亿美元的 ETH、2.53 亿美元的 BNB、以及 8500 万美元的 USDC。而同样被盗的 3300 万美元的 USDT 则被 USDT 发行方 Tether 冻结。

最近以来，对跨链基础设施的攻击愈演愈烈，在 DeFi 越来越规模庞大的同时，可能一点小的错误就可能导致积木式崩塌。

TikTok 超越 Facebook 成为全球下载量最大的应用程序

字节跳动在 2017 年推出了 TikTok 国际版，其下载量现在超过了 Facebook、WhatsApp、Instagram 和 Facebook Messenger —— 后面这些都是 Facebook 的产品。该应用程序的受欢迎程度在全球疫情期间有所提高。

看来大家都是疫情期间在家刷“抖音”啊。

Firefox 版本号到了 100 会发生什么

根据 Chrome 和 Firefox 的官方时间表，Chrome 100 稳定版将于 2022 年 3 月正式发布 ；Firefox 100 将于 2022 年 3 月进入 Nightly 版本。Mozilla 担心浏览器的 User-Agent 字符串带有三位数的 Firefox 版本号可能会破坏许多网站的功能。为此他们在 Firefox Nightly 92 版本更新中进行了实验，在该字符串中使用 100 这个数字进行测试：Mozilla/5.0 (Windows NT 10.0; rv:100.0) Gecko/20100101 Firfox 100.0。开发人员需要检查他们的网站代码，以确保 Firefox 100 不被当成 Firefox 10 或 Firefox 00。

开源软件的“谦逊”传统被抛弃了，不知道从谁开始，一年不换几个大版本号就感觉没做什么似的。

Google 正计划为 Fuchsia OS 安装完整的 Chrome

Fuchsia 项目和 Chromium 项目有很多重叠之处，并与 Chrome OS 共享代码和硬件。时至今日，Fuchsia 项目依然利用 Chromium 引擎。根据 Chromium BUG 追踪器，自今年 5 月开始，Google 就开始为 Fuchsia OS “创建 Chrome 浏览器安装包”，也就是说 Fuchsia OS 将会获得完整的“Google Chrome”浏览器体验，支持包括同步等关键功能。

这样折腾，不如两个系统合并起来好了。

英特尔 C/C++ 编译器全面采用 LLVM 技术

英特尔的下一代 C/C++ 编译器正在全面采用 LLVM 编译器堆栈，以取代他们以前的专有编译器代码库。英特尔的编译器专家称，最新的英特尔 C/C++ 编译器使用 LLVM 可以提供更快的编译时间、更好的优化、增强的标准支持，以及对 GPU 和 FPGA 卸载的支持。英特尔建议所有新项目使用他们基于 LLVM 的英特尔 C/C++ 编译器，现有项目应计划在今年迁移到新编译器。他们的“经典”英特尔 C/C++ 编译器将在定期更新结束后过渡到遗留模式。除此以外，他们也在将 Fortran 编译器过渡到 LLVM。

LLVM 发展迅速，GCC 似乎有些落伍了，这是 GPL 的原因吗？

小米成为世界头号手机品牌，超过三星、苹果

据 Counterpoint 刚刚发布的数据显示，小米在 2021 年 6 月超过了三星和苹果，首次成为全球第一大智能手机品牌。小米的份额不低于 17.1%，其次是三星，占 15.7%。苹果以 14.3% 的份额位居第三。2021 年 6 月，小米的销售额月增长达 26%，成为该月增长最快的品牌。自 10 年前在这个市场上首次亮相以来，小米已经出货了近 8 亿部智能手机。Counterpoint 称，华为的衰落帮助小米取得了如此大的增长。它一直在华为和荣耀的传统市场，如中国、欧洲、中东和非洲进行扩张。

华为未竟的目标，竟然由小米达成了。

Chrome 将禁用跨源框架内的 alert() 和 confirm()

Chrome 工程团队称，该团队正在禁用跨源框架内的 alert()，以保护用户不被骗子欺骗。但此举将带来的破坏性变化引发了争议。人们认为，这样一个重大的突破性变化是在没有对此事进行广泛讨论的情况下发生的。比如这会影响编程教程和 Javascript 学习网站，这些网站在跨源框架中对用户提供的代码进行沙盒处理。但是谷歌的工程师们对此不以为然，他们说，“Web 上经常发生破坏性的变化，作为一个开发者，针对主要浏览器的早期发布渠道进行测试是很好的做法，可以提前了解任何兼容性问题。”

作为一个垄断了浏览器份额的厂商，确实“有资格”为所欲为啊。

使用由三个随机单词组成的密码的原因

早在 2016 年，英国国家网络安全中心（NCSC）就指导人们在网上注册时选择三个随机词的组合作为密码，而不是想出或重复使用一个复杂的密码。NCSC 认为，大多数网站都强制要求使用复杂的密码，通常包括多个字符和符号的组合。这使恶意行为者的工作更加容易，因为他们可以利用这些规则和现有密码模式的知识来优化暴力攻击。这也意味着人们在多个网站上重复使用相同的密码或其变体，因为创建和记住众多复杂的密码是很乏味的。NCSC 说，使用三个随机词的组合的好处是：密码的长度增加，易于理解的标准，新颖性，以及它的实用性。虽然当前也有猜测三个随机词的搜索算法，但是这种密码方式并不主流，因此具有更好的保护能力。

听起来确实有一定的道理。不过终极解决方案，还是不要使用密码。

ElasticSearch 继续对抗亚马逊 AWS 的开源分叉

今年 1 月，ElasticSearch 改变了其许可证以对抗亚马逊 AWS，因为 AWS 将 ElasticSearch 的功能作为一项服务提供，而“没有与之合作”。AWS 随后分叉了 ElasticSearch，在原有的 Apache 2.0 许可证下发布了一个新的 OpenSearch 产品。OpenSearch 与其分叉的 Elasticsearch 7.10.2 兼容，这使得迁移到 OpenSearch 很容易。

虽然 Elastic 对此无能为力，但他们可以对一些常用的开源客户端库进行修改，拒绝连接到 OpenSearch 集群或运行 Elasticsearch 7 开源发行版的集群，只允许连接到 Elastic 的商业产品。面对这种情况，AWS 承诺提供“一套新的开源客户端，使应用程序可以很容易地连接到任何 OpenSearch 或 Elasticsearch 集群”。同时建议用户不要更新到任何 Elastic 维护的客户端的最新版本，以免他们的应用程序可能会停止运行。

一开始我是同情 Elastic 的，但是现在他们要求所有人都必须选一个立场，那这就过分了。

苹果公司即将开始扫描 iPhone 用户的设备，查找被禁止的内容

苹果发布新闻稿，证实它将扫描美国 iPhone 手机上的非法儿童照片，以引入儿童安全保护功能。苹果声称它利用的是设备上的机器学习功能去分析和做出判断，它并不能访问照片。这些功能将包含在今年晚些时候释出，安全专家对这些功能可能成为政府监视工具或被执法部门滥用表达了担忧。

虽然目前的用途是为了保护儿童，但是也为更广泛的监控开了口子。

新勒索团伙 BlackMatter 瞄准曾被勒索的大型公司

据报道，在 DarkSide 被迫解散之后，一个新的勒索团伙已经成立，该组织声称融合了 DarkSide、REvil 和 Lockbit 等著名勒索软件的功能。目前，BlackMatter 正在活跃在各大黑客论坛上，但是它并不是为了出售自己的软件，而是在搜集那些已经被其他黑客攻击的企业。目标主要是已经被黑客入侵的澳大利亚、加拿大、英国和美国的公司网络，并要求这些公司的收入至少 1 亿美元以上，拥有 500-15000 台网络主机。但其声明称，并不会针对医院、关键基础设施、国防工业和政府部门等特定行业发动攻击。

勒索行业都形成了一种新的“行规”了，只求财不要命。

微软计划为 Edge 浏览器提供“超级无敌安全模式”

这个新的“超级无敌安全模式”背后的想法是在 Edge 浏览器的 JavaScript 引擎 V8 中禁用对 JIT 的支持。JIT 的工作原理是将 JavaScript 提前编译成机器代码。如果浏览器需要再次使用这些代码，就会获得显著的速度提升。如果不需要，代码就会被丢弃。但是，JIT 相关的安全问题占 2019 年所有 V8 漏洞的 45%。此外，超过一半的“野外” Chrome 浏览器漏洞依赖于 JIT 相关的错误。而另外一方面，尽管在 2010 年代早期和中期，JIT 在加速浏览器方面发挥了举足轻重的作用，但对 Edge 的性能来说，JIT 已经不是一个关键功能。

一个看起来复杂精巧的系统在带来好处的同时，也可能是麻烦的源头。

勒索软件攻击迫使医院将救护车拒之门外

美国印第安纳州的一家拥有 315 张床位的医院，在周三凌晨开始的勒索软件攻击中陷入瘫痪。他们关闭了一些服务和业务，以试图阻止恶意软件通过其系统传播。这导致他们不得不将救护车拒之门外，并将病人转移到其他医院。截至星期四晚上，该医院的电子邮件系统和电子医疗记录仍然处于关闭状态。

从本质上上勒索软件攻击就是恶意的，并不能指望他们“盗亦有道”。

DNS 服务商被发现可以监听其他客户的动态 DNS 流量的漏洞

安全研究人员发现了一个简单的漏洞，可以拦截一部分通过亚马逊和谷歌等托管 DNS 服务商的动态 DNS 流量。他们“窃听”了包括财富 500 强公司和政府机构在内的 15000 个组织和数百万台设备的内部网络流量。在实验中，他们发现了各种敏感数据，包括计算机名称、雇员姓名、办公地点以及暴露的网络资源信息。亚马逊和谷歌已经在其各自的 DNS 服务中修复了这个问题。

国内使用这种动态 DNS 的企业并不多，而且其实这种服务更应该通过企业内服务提供。

Google 安全团队称 Linux 内核开发需要改进流程和更多人手

在 Google 安全博客上，安全工程师 Kees Cook 称，修正 bug 的稳定版内核每周包含了近百个修正，这给 Linux 供应商施加了压力，迫使他们“只选择最重要的补丁”。他说 Google 的模糊测试工具目前报告 Linux 内核有 1000 个潜在问题，一年内能修复大约 400 个，但随着新问题的发现问题的数量每年会增加 100 个。

Cook 提出了多个建议，包括放弃基于电邮的工作流，引入更多自动化测试和模糊测试，让开发流程更有效率，需要增加至少 100 名工程师。

作为最大的软件开发项目，Linux 内核的开发在繁荣之下，也存在一些隐忧，这包括先进流程的采纳和吸纳更多的新开发者。

2020 年打印用纸数量减少了 4500 亿张

因为新冠疫情打乱了世界各地的工作模式，2020 年打印用纸数量减少了 4500 亿张。2020 年的打印用纸总数为 2.8 万亿张，比 2019 年下降了 14%。激光打印用纸数量下降了 16%，但喷墨打印用纸增加了 4%，喷墨打印机在疫情之前主要是个人使用。惠普商用打印设备销售收入在 2020 财年下降了 22%，但消费者打印设备销售收入增长了 21%。

这算是疫情带来的不多的正面副作用了。

以太坊重磅伦敦硬分叉升级完成

北京时间 8 月 5 日晚 8 点 33 分，以太坊网络区块高度到达 12965000，迎来以太坊伦敦硬分叉升级。本次升级中，有 5 个社区提案（EIP）被加入到以太坊网络的代码。其中具有里程碑式意义的 EIP-1559 是关于以太坊网络交易定价机制的解决方案，它大幅改变了交易费计算方式，使以太坊区块链上的交易费用更可预测、更加便宜。在升级完成后，半天内已经燃烧销毁了 3200 ETH，将会促进 ETH 的通缩。本次升级是以太坊迭代到以太坊 2.0 之前最关键的一次升级。

这样大的升级，居然没有出现引发出硬分叉，可见社区共识相当一致。