JavaScript 比 Java 和 .NET 缺陷更少，修复更快

对数百万个商业应用程序的研究显示，近 75% 的应用程序存在安全缺陷，并随着时间的增长而变得不那么安全。其中，82.2% 的.NET 应用程序存在缺陷，而 Java 的缺陷为 77.7%，JavaScript的缺陷为 55.8%。只有 9.5% 的 JavaScript 应用程序存在较严重的安全漏洞，而 Java 和 .NET 的比例分别为 19.9% 和 21.9%。此外，JavaScript 缺陷的修复速度也更快，其一半的缺陷平均在 116天内修复，而 .NET 为 158 天，Java 为 243 天。

消息来源：Dev Class

老王点评：这个结果有点出乎意料，专门为企业应用而设计的 Java 和 .NET 反而不如 JavaScript。

微软通过补丁检查过期的 Office 套件

微软打算通过更新推送一个补丁，来了解知道在 Windows PC 上安装了多少个超出支持范围的 Office 应用副本。该补丁主要检查的是已经停止支持的 Office 2007 和 2010，也包括今年 4 月将停止支持的 Office 2013。微软称，“这个更新将默默地运行一次，不会在用户的设备上安装任何东西”。微软没有提到它打算如何处理从更新中收集的数据。

消息来源：The Register

老王点评：微软这手未免伸的有的过长了，难道支持过期的 Office 就不能用了么？

Linux 基金会发起新的“开放元宇宙基金会”

Linux 基金会称，开放元宇宙基金会（OMF）的使命是培养一个由开发者、工程师、学者和思想领袖组成的强大社区，希望联合各行业，“致力于开发开源软件和标准，以建立一个包容的、全球性的、供应商中立的、可扩展的元宇宙”。他们认为元宇宙“可以在数字空间创造新的就业机会和产业。它可以弥合物理世界和数字世界之间的差距，同时提供一个任何人都可以创造自己机会的奇妙世界。……所有这些的未来市场价值可能超过任何单一的媒体市场。”

消息来源：Linux 基金会

老王点评：我倒是觉得成立这个开放元宇宙基金会有的太早了。

Twitter 修改开发者协议明确禁止第三方客户端

前几天，我们 报道（#882） 过，在没有告知的情况下，众多第三方 Twitter 客户端由于 API 访问受限而不能使用。现在 Twitter 给出了一个解释，“Twitter 正在执行其长期的 API 规则，这可能导致一些应用程序无法工作”。在其 API 规则中添加了一条新的规则，限制开发者“使用或访问授权材料去创建或尝试创建 Twitter 应用的替代或类似的服务或产品”。这意味着 Twitter 明确禁止了开发者开发第三方客户端。

消息来源：The Register

老王点评：我想说 Twitter “醒悟”的太晚了，凭啥让第三方客户端挣钱啊，瞧瞧它的某个山寨品早就干掉第三方客户端了。

因软件故障，7000 盏灯连续亮了 17 个月

美国麻省的一所高中十多年前安装了一种软件控制的照明控制系统，但在 2021 年该软件出现了故障，以至于所有的灯都无法关闭，这 7000 盏灯 24 小时点亮，一直亮了 17 个月。但是由于年代久远，安装该照明系统的公司也几经易手，已经没有修复该系统专有软件了。而更换整个照明系统需要替换大量硬件，一时也无法开展。

消息来源：ARS Technica

老王点评：一方面，软件的淘汰速度要比我们想象的要快，另外一方面，“古老”的电气开关看起来比软件更可靠。

用 AI 检测 AI 撰写的文字

一家从事反剽窃服务的公司正在开发一种新的工具，以检测 ChatGPT 等 AI 工具生成的文字。他们发现 AI 写作中有明显的模式，“人类并不倾向于在高概率的地方持续使用高概率的词，但 GPT-3 会这样做”。他们的检测器基于与 GPT-3 相同的架构，并将其描述为该 GPT-3 的微型版本。“它所做的是以与 GPT-3 阅读语言完全相同的方式阅读语言，但它不是吐出更多的语言。”而是显示一篇文章中似乎有多少是 AI 写的。他们认为该工具可以保护学术诚信。

消息来源：The Register

老王点评：AI 的进步我们只能顺应，而无法逆转。一方面我们要利用 AI 来替我们完成大量初级、重复的工作，另外一方面也可以利用 AI 来防止 AI 用在不当的地方。

微软元宇宙梦碎，砍掉了整个 VR/AR 团队

在这波大规模裁员中，微软砍掉了虚拟现实和混合现实项目的整个团队。微软在 2017 年收购的社交虚拟现实平台 AltSpaceVR 被整个砍掉了，该平台将于 3 月 10 日关闭。微软也裁掉了开发混合现实框架 MRTK 的团队，该团队本应在下个月发布新版本，MRTK 目前的重心是混合现实头戴式设备 HoloLens。

消息来源：Windows Central

老王点评：这代表了微软也结束了其在元宇宙领域的努力。建立在 VR/AR 之上的所谓“元宇宙”，前景堪忧啊。

83% 的 GNOME 用户安装了扩展

去年夏天，GNOME 邀请人们自愿在他们的系统上运行一个工具，以对系统配置方面的数据进行宏观统计。有 2560 人运行了这个工具，他们现在公布了这些数据。一些有趣的数据有：在受访者中，一半的用户在运行 Fedora；近 1/4 的用户使用的是联想的机器；90% 的系统都安装了 Flatpak；3/4 的默认浏览器是 Firefox；只有 1/10 的默认浏览器是 Chrome；83% 受访者安装了非默认的 GNOME 扩展。

消息来源：GNOME

老王点评：我最感兴趣这个安装扩展的比例，这充分说明了多样性的用户需求通过扩展的方式来满足是个好方法。

VSCode 扩展市场容易出现欺骗性扩展

根据调查，74.48% 的开发者在使用微软的 VSCode，几乎每个开发者都会使用扩展，而在 VSCode 市场上有超过 4 万个的扩展。研究发现，攻击者可以轻易地冒充流行的扩展，并欺骗不知情的开发者下载它们。一方面很难区分恶意扩展，扩展名称上的蓝色复选标记仅仅意味着发布者对随便一个域名的所有权。虽然 VSCode 市场会对每个新扩展和后续更新进行病毒扫描，并在发现恶意扩展时将其删除。但上传一个扩展，在被删除前很容易欺骗用户下载使用。最糟糕的是，VSCode 的扩展没有沙箱环境，这意味着扩展可以安装勒索软件、擦拭器和其他恶意代码，还可以改变你的本地代码，甚至使用你的 SSH 密钥来改变远程代码库中的代码。

消息来源：Info World

老王点评：同样是扩展的话题，这个消息反映出来的潜在危险令人担心。我想微软应该对 VSCode 的扩展安全做更多的工作。

C++ 之父认为 Rust 的安全性并不优于 C++

C++ 之父 Bjarne 最近发布了一篇文章，号召认真思考 “安全” 问题；然后做一些明智的事情。Bjarne 对 NSA 关于软件内存安全的报告做出了回应，因为该报告将 C 和 C++ 排除在安全之外。Bjarne 不认为报告中任何一种 “安全” 语言的选择在他所关心的使用范围内比 C++ 优越。他认为，在 NSA 的文件中，“‘安全’仅限于内存安全，而忽略了语言可能（以及将）被用来违反某种形式的安全和保障的十几种其他方式。”

消息来源：Slashdot

老王点评：确实，安全缺陷本来不是 C++ 或者大部分流行的编程语言的一部分，编程的人才是安全漏洞的引入者。问题是，Rust 可以通过语言本身的机制来避免这些本可以避免的安全漏洞。

OpenAI 说 GPT-4 的 100 万亿参数数量是“胡说”

OpenAI 的 CEO 澄清了一些关于 GPT-4 的流言。他说 GPT-4 的发布没有确定的时间框架，“它会在某个时间点出现，当我们有信心能够安全和负责任地完成它时”。并称那张比较了 GPT-3（1750 亿）和 GPT-4（100 万亿）中的参数数量的图表“完全是胡说”。而对于通用人工智能（AGI），他说，“人们在乞求失望，他们会失望的……我们没有一个真正的 AGI。”他也认为 ChatGPT 将杀死谷歌的预测是错误的，“我确实认为搜索有一个变化，可能会在某个时候到来 —— 但变化短期内不会像人们想象的那样剧烈。”

消息来源：The Verge

老王点评：看到 OpenAI 的创始人还如此清醒，这很好。我也为我之前传播的那张错误的参数对比图道歉。

GitHub 将停止支持 Subversion

GitHub 宣布将于 2024 年 1 月 8 日停止支持 Subversion（SVN）。GitHub 是在 2010 年的愚人节这天宣布支持 Subversion 版本控制系统（一度被视为玩笑），当时集中式版本控制系统是主流，分布式版本控制系统如 Git 还是一个新人，还没有迹象显示它将统治世界。通过在 GitHub 后端原生支持 Subversion，GitHub 让用户能更容易迁移到 Git。今天 Git 在开发者中的使用比例高达 94%，Subversion 的使用比例越来越少。

消息来源：Solidot

老王点评：谁能想到，当年流行的 Subversion 等版本控制系统都被 Git 所取代了。想想，Linus 真是天命之子啊。

谷歌请回创始人帮助谷歌以打赢 AI 之战

上个月，谷歌的创始人拉里·佩奇和谢尔盖·布林与该公司高管举行了几次会议，以应对 ChatGPT 对该公司的搜索业务的挑战。对谷歌来说，ChatGPT 看起来似乎可以提供一种在互联网上搜索信息的新方法。这两位创始人自从 2019 年离开谷歌的日常工作后，就没有在该公司呆过多少时间，他们审查了谷歌的人工智能产品战略，批准了将更多聊天机器人功能纳入谷歌搜索引擎的计划并提出了想法。

消息来源：《纽约时报》

老王点评：当年靠着搜索变成了一家独大，如今却有可能被 AI 掀翻。

苹果开源了 40 年的 Lisa 操作系统

作为苹果 Lisa 电脑发布四十周年庆典的一部分，苹果通过计算机历史博物馆公开了 Lisa OS 3.1 操作系统的源代码，它采用了苹果学术许可证协议，包括 26MB 源代码，超过 1300 个源文件。苹果 Lisa 发布于 1983 年 1 月 19 日，其名字来自于乔布斯的女儿。它是一款基于鼠标 GUI 的商用计算机，但由于太过昂贵而在商业上失败，苹果于 1985 年终止了该项目。但它为之后的 Macintosh 奠定了基础。

消息来源：计算机历史博物馆

老王点评：欢迎苹果公司将古老的操作系统“文物”放入博物馆。

美科技公司反对对科技算法提起诉讼

在美国最高法院关于 YouTube 算法的一个关键案件中，众多企业、互联网用户、学者甚至人权专家为大科技公司的责任盾牌辩护，他们认为，如果将人工智能驱动的推荐引擎排除在联邦法律保护之外，会对开放的互联网造成全面的改变。他们表示美国联邦法律《通信礼仪法》第 230 条对网络的基本功能至关重要，该法条被用来保护所有网站使其免受第三方内容的诉讼。他们认为，允许对科技行业算法提起诉讼的裁决，可能会甚至导致未来对非算法形式的推荐提起诉讼，并可能对个别互联网用户提起有针对性的诉讼。

消息来源：CNN

老王点评：算法有罪吗？有意的算法作恶应该被惩处吗？无意的算法错误应该被惩罚吗？黑盒式的 AI 决策的责任该由谁承担？这个信息时代打破了很多既有认知。

回音

• 受到批评后，CNET 暂停 了用 AI 辅助（#883） 撰写文章，并辩称，“我们不是秘密的做，而是悄悄的做。”

安卓 13 占比已超过 5%，原因可能你不知道

根据谷歌最新的官方安卓分布数据，安卓 13 在发布后不到 6 个月的时间里，已运行在 5.2% 的设备上。以往，最新版本的安卓在半年后也比这个比例少得多。这主要归功于安卓开发和部署方式的结构性变化。2017 年推出的 Project Treble 项目重新架构了平台，将操作系统框架与底层供应商代码分开。这使得更新设备更容易，而无需等待供应商提供更新的驱动程序。

消息来源：9to5google

老王点评：原来新安卓系统快速普及的背后是有原因的。?

ChatGPT 被列为论文署名作者，你同意吗？

至少有四篇论文或预印本将 AI 聊天机器人 ChatGPT 列为署名作者。ChatGPT 通过模仿其训练的庞大文本能生成令人信服的语句，它在学术界引发了争议，因为它给出的陈述不一定正确。一些期刊出版商和预印本服务认为，将 ChatGPT 等 AI 列为署名作者是不合适的，因为它无法对论文内容和完整性负责。而另外一些出版商认为 AI 对论文撰写的贡献可以写在署名作者列表之外的部分。

消息来源：《自然》

老王点评：我觉得，哪怕就是提供初步的提纲或进行润色填充，也值得署个名。?

勒索软件受害者付款金额大幅下降，但不是因为攻击减少

据研究，自 2019 年以来，受害者的支付率从 76% 下降到 41%。数据显示，去年勒索软件的总收入至少下降到 4.6 亿美元，比 2021 年的 7.7 亿美元下降了 40%。而据另外的数据，2021 年至 2022 年的勒索攻击数量仅仅下降了 10.4%。这一金额的降低的主要原因是，支付赎金可能带来严重的法律后果。此外，最终偿还公司赎金的网络安全保险公司也要求在签发或续签保单之前，企业必须证明他们已经有了相应的工具和措施，以防止被勒索软件攻击。

消息来源：The Register

老王点评：看来猖獗的勒索软件攻击终于达到了一定的制约。?