新的超声波攻击可以隐秘劫持电话和智能音箱

安全研究人员发现了一种新的攻击方式，近距离听觉木马（NUIT），它利用智能设备麦克风和语音助手的漏洞，可以静默地远程访问智能手机和家用设备。苹果、谷歌、微软、亚马逊等的语音助手都容易受到 NUIT 攻击。其原理是将语音命令调制成近乎超声的不可闻信号，这样人类听不到，但语音助手仍会对其做出反应。这些信号然后被嵌入到一个载体中，如一个应用程序或 YouTube 视频。从而攻击者就可以操纵你的语音助手做一些事情，比如开门。

消息来源：The Register

老王点评：虽然耳听为虚，但是“听不见”也一样有风险。

谷歌认为聊天机器人为搜索引擎提供了更多的机会空间

Alphabet 的 CEO 在接受采访时表示，谷歌搜索引擎将加入 AI 聊天功能。他表示 AI 的进步将增强谷歌回答一系列搜索查询的能力。他驳斥了聊天机器人对其搜索业务构成威胁的说法，“如果说有影响的话，那就是机会空间比以前更大了。”

消息来源：华尔街日报

老王点评：要是聊天机器人的回答中给出的广告让你无法分辨，是不是更可怕？或许以后 AI 或明确说明，某些交谈内容是付费赞助的？

2018 年以来的 macOS 中包含了比特币白皮书

一位开发者在试图解决打印机的问题时偶然发现了这份 PDF 文件。在 macOS 图像捕捉工具中，一个名为 “虚拟扫描仪 II” 的设备的样本文件 “simpledoc.pdf” 保存了中本聪的这份比特币白皮书。自 2018 年以来，在每一个 macOS 系统中，苹果都包含了它。这并不是该文件被第一次发现，然而苹果没有做出任何反应和置评。

消息来源：Macumors

老王点评：只是个样本文件吧，应该是这样的吧。

谷歌要求安卓应用必须可以删除账户和数据

谷歌宣布，其安卓应用商店上的应用很快就必须让你可以在应用内和网页上删除账户及其数据。当用户要求完全删除账户时，开发者也必须擦除账户的数据。该政策还要求，你可以删除某些数据（比如你上传的内容），而不必完全删除你的账户；此外，它还确保你不必为了清除你的信息而重新安装应用程序，通过网页就可以进行。该政策将分阶段生效。谷歌的应用商店将在 2024 年初开始显示这些变化。而苹果的应用商店已经在几个月前制定了类似政策。

消息来源：Engadget

老王点评：苹果和谷歌的应用商店还比较值得相信。至少这些商店不会放纵恶意应用。大家知道我说的是什么。

谷歌公布其训练 PaLM 模型的超级计算机细节

谷歌的 PaLM 模型是迄今为止其公开披露的最大的语言模型，谷歌通过将其分割到由 4,000 个芯片组成的两台超级计算机上，历时 50 天训练而成。此外，Midjourney 也使用该系统来训练其模型。谷歌称，对于同等规模的系统，采用这些芯片比基于英伟达 A100 芯片的系统快 1.7 倍，省电 1.9 倍。但谷歌没有与英伟达目前的旗舰产品 H100 芯片进行比较，因为 H100 是在谷歌的芯片之后上市的，而且是用更新的技术制造的。

消息来源：路透社

老王点评：AI 的发展兜了一圈，终究还是芯片和计算能力的比赛。

Meta 将推出创造广告的生成型人工智能

Meta 称，“大型语言模型开发中的相当多的技术是由我们的团队开创的，……在几个月前刚刚创建了一个新的团队，生成性人工智能团队”。他们认为人工智能可以提高广告的有效性，部分原因是告诉广告商在制作广告时应该使用什么工具。公司不用在广告活动中使用单一的图像，而是可以让人工智能制作适用于不同受众的图像。

消息来源：日经新闻

老王点评：有人用 AI 拯救（或毁灭）世界，而有人用 AI 来制作广告和让广告更无孔不入。

德国法院裁定 Youtube-DL 的托管商败诉

德国法院已经命令托管服务商 Uberspace 将开源的 YouTube-DL 软件的网站下线。该裁决是由索尼、华纳和环球公司去年提起的版权侵权诉讼的结果，他们称，“YouTube-DL 的服务使用户可以在不付费的情况下翻录流媒体和下载受版权保护的音乐。”。Uberspace 将对判决提出上诉，他们认为，“该命令实际上相当于对 YouTube-DL 的全面禁止，没有考虑到该软件的潜在合法用途。”与此同时，Youtube-DL 的代码仍然可以在 GitHub 上找到。需要提及的是，原始版本的 YouTube-DL 在 GitHub 上的最后一个发布版本是 2021 年底发布的。而一些复刻版本还在继续活跃。

消息来源：Torrent Freak

老王点评：不知道下一步这个压力是否就会转移到 GitHub，比如不允许发布构建版本。

斯坦福大学发布人工智能状况报告

虽然现在人工智能发展之快，让任何与人工智能有关的报告一发布就面临过期的风险，但是我们仍然能从这份 386 页的 报告 中得到一些有用的信息：

• 在过去的十年里，人工智能的发展已经从学术界主导翻转到了工业界主导，而且这没有改变的迹象。
• 在传统基准上测试模型正变得困难，这里可能需要一种新的模式。
• 人工智能训练和使用的能源占用正在变得相当大，但我们还没有看到它如何在其他地方增加效率。
• 与人工智能相关的技能和工作岗位正在增加，但没有你想象的那么快。
• 政策制定者们正在努力编写一个明确的人工智能法案，如果有的话，这是一个愚蠢的差事。
• 投资已经暂时停滞，但这是在过去十年的天文数字般的增长之后。
• 超过 70% 的中国、沙特和印度受访者认为人工智能的好处多于坏处。美国人呢？35%。

消息来源：Tech Crunch

老王点评：你看出来这些结论哪些不正确或不太正确吗？

采用通用密码的车库门设备

一个市场领先的车库门控制器充满了严重的安全和隐私漏洞。这些设备都采用了相同的容易找到的通用密码来与服务器进行通信，它也会广播未加密的电子邮件地址、设备 ID 以及开关门等信息。估计有超过 4 万台设备受到影响，这些设备位于住宅和商业地产中。任何有一定技术背景的人都可以在设备厂商的服务器上搜索到指定的电子邮件地址、设备 ID 或名称，然后向相关控制器发出指令。

消息来源：Ars Technica

老王点评：虽然我没车库，但是我依然惊讶于现在还有这样对安全毫无意识的厂家。

ACM 批评最新的 C 语言标准草案 C23

将于今年发布的 C23 标准带来了一系列新的特性和改变，“使编写安全、正确和可靠的代码变得更容易”。ACM 杂志最近撰文称，新标准的非特性、错误特性和缺陷都足够多和严重，程序员在没有仔细权衡风险和收益的情况下不应该 “升级” —— C23 “把几十年来完全合法的程序变成了燃烧弹”，如 C23 现在宣布 realloc(ptr,0) 为未定义行为。它还批评了 C23 的新的不可达注解，以及它在指针方面缺乏改进。

消息来源：ACM

老王点评：看来这次的 C23 未必能给 C 语言带来更好的发展，而另外一边，Rust 虎视眈眈。

VoIP 公司 3CX 最初以为供应链攻击是误报

VoiP 软件提供商 3CX 遭遇了一次供应链攻击，该公司称收到警告之后在 VirusTotal 上测试了其桌面应用，没发现问题，认为是一次误报。几天后又检查了一下，结果相同。但直到网络安全公司提供了完整细节之后 3CX 才认识到漏洞的情况。3CX 的日活用户高达 1200 万，包括诸多知名公司客户。该事件是自 2020 年 SolarWinds 被攻击和 2021 年 Kaseya 被攻击以来最突出的供应链攻击。

消息来源：The Register

老王点评：即便是这样大的公司，也可能面对供应链攻击会措手不及。

谷歌云端硬盘撤销 500 万文件数量限制

此前，有用户报告，谷歌云端硬盘服务对能储存的文件数量设定了 500 万的数量上限，超过这个限额之后就必须删除旧文件，否则将无法使用。它的最高容量为 30 TB，因此达到 500 万文件数量也是有可能的。这个上限只适用于你在云端硬盘中创建的文件数量，而不是分享到云端硬盘的文件总数。谷歌最初称这一做法是为了“保持强大的性能和可靠性”，有助于防止“滥用”。在听到用户反对之后，谷歌承认这一限制影响到了少部分用户，取消 500 万文件数量限制。

消息来源：The Verge

老王点评：这件事里面最糟糕的是，谷歌在没有征询用户意见和给出更弹性的解决方案时，就实施了限制。

某个在应用中利用零日漏洞的团队已被解散

之前我们报道过，某个主流电商应用利用零日漏洞达成不可卸载、窃取用户信息等恶意功能，后被谷歌 下架。此事也被其它安全团队独立 验证。据外媒报道，该公司有上百人负责挖掘安卓漏洞，并利用这些漏洞。最初带有恶意功能的版本只针对农村和小城镇的用户，以避免被发现。通过收集用户活动的大量数据，它得以提供更具有个性化的推送通知和广告，吸引用户打开应用并下单。此事曝光发酵后，该团队被解散，大部分人员被分流。并释出了新的版本移除了漏洞利用代码，但底层代码仍保留在其中。安全专家表示，他们从未看到过一个主流应用会那样做。

消息来源：CNN

老王点评：我的理解是，这就是“知行合一”。

上古的 LISP 机系统软件 v100 恢复成功

这是 MIT CADR Lisp 机的系统软件的最后一个版本。因此，这既是一个新的版本，也是一个非常古老的版本。这款软件和它所运行的机器是一场“重要战斗”的标志和纪念物，那场战斗是一场以敌对方式制造计算机的战争。战斗的双方，MIT/斯坦福一方认为，制造计算机的正确方法是用最好的语言编写最好的软件，如果有必要的话，还要设计特殊的花哨的计算机来运行这些软件；新泽西一方认为制造计算机的正确方法是制造小而快、容易和简单的软件和硬件，做大多数人在当时需要的事情。结果我们都知道了，MIT Lisp 机已经湮没在历史中；而胜利方开发出了 Unix 和 C，建立了 RISC、CISC、X86 指令架构，和基于 Algol 的整个语言家族，包括从 BASIC 到 C++ 到 Pascal 到 Go。被恢复的是 MIT CADR Lisp 机的系统软件的最终版本，从备份磁带上花费了十年的时间提取和清理，并使其在 35 年后首次运行。

消息来源：The Register

老王点评：真是尘封的历史文物。

Tor 合作推出的新浏览器不使用洋葱网络

Tor 项目正在推出一个注重隐私的浏览器 Mullvad 浏览器，它并不是连接到去中心化的洋葱网络。该浏览器的主要目标是使广告商和其他公司更难在互联网上追踪你。默认情况下，该浏览器通过屏蔽元数据，使网站更难对你进行 “指纹” 识别。此外，它还阻止了第三方 Cookie 和跟踪器，并预装了一些插件来进一步减少你的指纹。

消息来源：The Verge

老王点评：虽然装插件也可以实现，但是开箱即用还是会方便。只是这种浏览器有时候并不太方便。

Valve 显示 Linux 游戏玩家份额大跌

Valve 刚刚公布了 2023 年 3 月的 Steam 调查结果，这些初步数字显示 Linux 游戏市场份额下降了 0.54%，使整个 Linux 游戏人口只占 Steam 客户群的 0.84% 左右。而 2 月份的数据为 1.27%。Steam Deck 仍在疯狂销售，所以看到如此大的月度环比跌幅令人惊讶。不过，3 月份数据显示简体中文用户跃升了 27%，现在占 Steam 上整体游戏客户群的 51%。这也是一个非常令人吃惊的数据。如果这一数据准确的话，倒是能说明 Linux 用户群份额降低的原因。

消息来源：Phoronix

老王点评：Steam 报告的数据不是第一次出错了，希望是又一次数学没学好，毕竟这数据有点匪夷所思了。

人工智能政策小组称，FTC 应阻止 OpenAI 推出新的 GPT 模型

人工智能和数字政策中心（CAIDP）今天提出投诉，要求美国联邦贸易委员会（FTC）调查 OpenAI 违反消费者保护规则的行为，认为 OpenAI 推出的人工智能文本生成工具 “有偏见，有欺骗性，并对公共安全构成风险”。CAIDP 认为，GPT-4 越过了伤害消费者的界限，应该引起监管行动。在投诉中，CAIDP 要求 FTC 停止任何进一步的 GPT 模式的商业部署，并要求在未来推出任何模式之前对其进行独立评估。FTC 已经表达了对人工智能工具的监管兴趣。

消息来源：The Verge

老王点评：这是什么盘外招都使出了啊。

谷歌再次暂停废弃 Manifest V2

早在 2018 年 11 月，谷歌就以安全、隐私和性能等既定理由要修改 Chrome 浏览器扩展 API，即 Manifest V2。鉴于它很容易被滥用，允许开发人员创建占用资源的扩展，也不是特别适合于移动设备，谷歌在新推出的 Manifest V3 删除了一些 API，但这导致广告拦截等扩展不能工作或需要修改工作方式。根据统计，去年底，大约有 13.6 万个扩展仍然在 MV2 下运行，而大约有 3 万个扩展依赖 MV3 代码。谷歌已经屡次推迟废弃 MV2 的计划，最近一次承诺在 3 月修订该指南，但目前已再次推迟，并且没有明确的时间表。

消息来源：The Register

老王点评：新的 API 或许有更好的地方，但是既有的扩展生态带来的反弹可能超乎了谷歌的预料。