谷歌公共 DNS 服务正在推行大小写混杂查询

在 DNS over TLS 之前，DNS 查询由于技术原因会被投毒，从而导致客户端访问到投毒者设置的假冒地址。为了避免这种安全风险，最好的方式是使用 DNS over TLS 这样的加密查询通道。但是仍然有大量的 DNS 服务器没有或不能使用加密查询。谷歌从 2009 年就在小范围实验一种名为 0x20 的做法，它可以将查询的域名随机改变字母大小写，这可以有效的提高 DNS 投毒的难度。现在谷歌已经扩大了该方案，已经覆盖了 90% 没有使用加密查询的 DNS 服务器。

消息来源：The Register

老王点评：以后在你的权威 DNS 服务器上看到类似 liNUx.cN 这样的查询不要惊奇。

290 款微星主板的安全启动默认被绕过

安全启动是 UEFI 主板固件中的一项安全功能，确保在启动过程中只有受信任的（签名）软件可以执行。研究发现，微星公司在 2021 年 9 月至 2022 年 1 月期间发布的固件更新，改变了微星主板上的一个默认安全启动设置，该设置允许任何操作系统镜像运行，无论其是否有错误或丢失的签名。受影响的主板超过了 290 款，包括最新的用于英特尔和 AMD CPU 的微星主板。

消息来源：Bleeping Computer

老王点评：我觉得讨厌安全启动功能的人会喜欢这个默认设置。

USB4 2.0 规格正式发布，USB-C 可达 120Gbps

USB-C 是令人困惑的，一个 USB-C 端口或电缆可以支持一系列的速度、电源能力和其他功能，它支持的数据传输速率，可以从 USB 2.0 的 0.48Gbps 一直到 USB4 和雷电 3/4 的 40Gbps。USB 实施者论坛（USB-IF）今天发布了 USB4 2.0 规范，它增加了对 80Gbps 双向带宽的可选支持，以及以高达 120Gbps 速度发送或接收数据的可选能力。但预计在至少 12 到 18 个月内不会看到支持新规格的产品出现。

消息来源：USB-IF

老王点评：都是一种样子的接口，但是有的电缆就特别优秀。?

回音

• 自去年 9 月 宣布 以来，谷歌今天正式 关闭 了其 Stadia 云游戏平台。除了对用户购买的软硬件退款之外，他们还使其游戏手柄能够使用蓝牙，以便在其他游戏平台上使用。

苹果 AR 眼镜被无限期推迟

据报道，由于技术上的挑战，苹果公司已经无限期推迟了其轻型增强现实（AR）眼镜的推出，但仍计划在今年推出其首款混合现实（MR）头盔。MR 头盔结合了增强现实和虚拟现实（VR），将在今年的春季活动中推出，该设备的价格将在 3000 美元左右。但 Meta 的 Quest Pro 价格只有它的一半左右。

消息来源：路透社

老王点评：看来在 AR 眼镜上又一家巨头折戟了，我原本很看好苹果的 AR 眼镜。

数千 Sophos 防火墙存在严重漏洞

数千台暴露在互联网上的服务器运行的 Sophos 防火墙中存在一个严重漏洞，允许黑客执行恶意代码。它的严重性评级为 9.8/10。当 Sophos 在去年 9 月披露该漏洞时，它已经作为一个零日漏洞在野外被利用。该安全公司敦促客户安装热补丁或完整的升级。最新的研究发现，有超过 4400 台运行 Sophos 防火墙的服务器仍然存在漏洞，约占所有的 Sophos 防火墙的 6%。

消息来源：ARS Technica

老王点评：作为第一道防御措施，如果连严重漏洞都不去修补，无异于给盗贼开门。

Windows 专业版也将默认禁止访客访问

这意味着最新版本的 Windows 10、Windows Server 2019、使用 SMB2 和 SMB3 的系统将不再默认允许访客账户访问远程服务器，或允许那些提供无效凭证的人回退到访客账户。这使得 Windows 专业版与企业版和教育版中安全性保持一致，它们自 Windows 10 以来就不再允许默认访问。允许客户端使用访客登录使用户容易受到中间人攻击或恶意服务器的影响。微软称，自 Windows 2000 以来，Windows 客户端和服务器就不允许访客访问或远程用户作为访客或匿名用户连接。只有第三方远程设备可能默认需要访客访问，但运行 Windows 的系统不需要。

消息来源：The Register

老王点评：默认访客可能是方便，但在当前网络安全越来越重要的形式下，显然是个严重的安全缺陷。

PyTorch 和 Triton 正在打破英伟达 CUDA 的垄断

大部分机器学习软件开发框架严重依赖于英伟达 CUDA，并在英伟达 GPU 上表现最佳。但随着 PyTorch 2.0 和 OpenAI Triton 的到来，英伟达 CUDA 对机器学习的垄断地位正逐渐瓦解。即将到来的 PyTorch 2.0 在英伟达 A100 上的训练性能提升了 86%，在 CPU 上的推理性能提升了 26%。而且这种优势可以扩展到 AMD、英特尔、特斯拉、谷歌、亚马逊、微软等等各个公司生产的 GPU 和 AI 加速器上。而 Triton 能让高级语言达到与使用低级语言相当的性能，提高了可用性。

消息来源：Semi Analysis

老王点评：又一次证明了开源胜过闭源，无论闭源的护城河有多深。

Basecamp 因巨额账单退出云计算

Basecamp 的 CTO，也是 Ruby On Rails 的创建者 DHH 介绍了让该公司退出云计算的巨额账单。其 2022 年的费用为 320 万美元，绝大部分都花在了 AWS 上，其中 S3 花费 90 万美元，RDS 47 万美元，OpenSearch 52 万美元，Elasticache 12 万美元。即便如此，也是经过大量工作才减少到这一费用的，该团队不但运行了成本检查计划，还就作为私人协议就长期使用达成了协议。DHH 还用戴尔服务器的三年均摊成本做了对比。

消息来源：The Register

老王点评：云计算确实有很多好处，但也可能是个让你花钱上瘾的无底洞。

使用了 25 年的笔记本内存规范 SO-DIMM 将被替换

制定内存标准的组织 JEDEC 正在制定新规范，以取代已经使用了 25 年的 SO-DIMM 规范。新的 CAMM 标准将基于戴尔公司的设计，目标是在 2023 年下半年完成 1.0 规范，到明年推出基于 CAMM 的系统。现有的 SO-DIMM 在 DDR5/6400 时已经遇到了“困境”，CAMM 的主要吸引力在于它可以实现更高的内存密度，同时还可以扩展到更高的时钟速度。

消息来源：PC World

老王点评：这是不是代表以后笔记本会需要更多内存？

BussFeed 用 AI 报道《CNET 用 AI 撰写文章》

科技新闻网站 CNET 被发现自去年 11 月以来，用 AI 撰写了 75 篇与个人财务有关的文章，但这些文章并没有申明使用 AI 撰写。CNET 回应 称，虽然 AI 撰写了这些文章内容和收集了素材，但发表的每一篇文章都经过了具有相关专业知识的编辑的审查、事实核查和编辑。CNET 随后注明了这些文章由 AI 撰写。他们称正在做其最擅长的事情：测试一项新技术，以便能够将炒作与现实分开。有趣的是，BussFeed 在报道此事时，也使用 ChatGPT 来撰写了整篇报道，但经过编辑审核后，“不得不重写了几次提示，以使其不再插入事实错误”。

消息来源：BuzzFeed News

老王点评：将来，AI 辅助写作可能会接管写作中的大部分工作。

Linux 准备禁用微软的 RNDIS 协议的驱动程序

RNDIS 是通过 USB 提供虚拟以太网功能的专有协议，但除了 Windows 之外，几乎没有得到支持。由于安全问题，Linux 内核正在准备将 RNDIS 内核驱动程序移到 Kconfig “损坏” 选项里，一旦被标记为 “损坏” 一段时间，这些驱动将可能最终从上游源码树中删除。内核维护者 Greg 表示 “因为该协议不可能做到安全，所以禁用所有 RNDIS 驱动，以防止任何人再使用它们”。

消息来源：Phoronix

老王点评：按 Linux 的风格，这么不安全的协议是怎么进入内核的？

前十名痴迷智能手机的国家中，有七个在亚洲

Data.ai 对 2022 年移动互联网的最新研究报告披露，亚洲国家是移动生态系统的主要推动者。在前十名痴迷智能手机的国家中，有七个在亚洲。印尼人以每天平均 5.7 小时的时间名列在手机上花费时间最多的榜首。中国人排在第 18 位，平均每天花费 3.6 小时。但中国人在下载量和消费者在应用程序上的花费方面排名第一，中国人共下载了 1110 亿个应用程序，花费了约 580 亿美元。

消息来源：The Register

老王点评：这份报告里面还有很多有趣的数据，值得一看。

Copilot 添加 Photoshop 式的代码“笔刷”

Copilot 实验室的 VS 扩展中“添加了一个笔刷工具箱，可以修改你的代码，只要选择几行，再选择你的笔刷，就能看到你的代码更新了。”他们演示了添加类型笔刷、修复错误笔刷、添加调试笔刷、易读性笔刷等。并且以后会增加更多笔刷，允许开发人员存储自定义笔刷。他们的目的是“如何赋予开发者权力，而不是使他们自动化”，最终是将一个令人难以置信的简单界面嫁接到 “由机器学习驱动的代码修改” 上。目前该笔刷工具箱的订阅费用是每月 10 美元。

消息来源：GitHub Next

老王点评：我有个脑洞啊 —— 以后或许可以选择“卡马克”笔刷，就可以写出像大神一样的代码了。

Ubuntu 的实时内核接近普遍可用状态

在 Ubuntu 22.04 LTS 中，Canonical 提供了一个测试版的实时内核。一年后，Canonical 宣布带有实时内核的 Ubuntu 接近普遍可用（GA）。而且，它目前仍然是 Ubuntu Pro/Ubuntu Advantage 组合的一部分，这至少对个人使用是免费的。此外，上游的实时补丁系列几乎已经完全就绪，只剩下一些不大的问题了。如果今年实时内核支持进入了 Linux 内核主线，将使 Linux 发行版更容易提供实时内核。

消息来源：Phoronix

老王点评：通过整个社区的各家企业和开发者的努力，Linux 的实时内核终于就快完成了，这对 Linux 的应用场景拓展很有意义。

大量第三方 Twitter 应用停止工作

众多第三方 Twitter 客户端在周四晚上停止工作，目前还不知道是什么原因，Twitter 官方并没有给出解释。“因为新的所有者取消了致力于保持 API 顺利运行的员工，包括之前提供与第三方沟通的开发者布道师”。现在访问这些客户端使用的 API 会返回 “401 未授权” 的错误。据推测，访问受限的原因可能是在这些第三方客户端上的广告被过滤、推文按时间排序而不是按更容易挣钱的算法排序，也有可能是使用这些第三方客户端的用户超过了一定数量。

消息来源：The Register

老王点评：我的印象中，Twitter 的某个国内山寨品的衰落迹象之一，就是 API 不好用、开放平台名存实亡、封杀第三方客户端。

流媒体应用可以伪造你的眼睛看向摄像头

英伟达的流媒体软件 Broadcast 现在有一个选项，可以通过深度伪造让你看起来像在与摄像头进行眼神交流，即使你在现实生活中看着别的地方。该功能可以让“内容创作者拍摄自己时可以阅读他们的笔记或剧本”，而不必直接看向摄像机。

消息来源：The Verge

老王点评：这就是我所需要的功能啊，感觉人工智能有时候也能做一些很有趣的事情。

网售的安卓电视盒被预装了恶意软件

安全专家发现，从亚马逊购买的一个安卓电视盒被预装了持久的、复杂的恶意软件，并被植入其固件。该安卓电视盒配备了全志 T616 处理器，通过亚马逊等网络平台销售。不幸的是，这些基于安卓系统的廉价电视盒设备从制造到全球市场的供应都遵循一条模糊的路线。在许多情况下，这些设备以多个品牌和设备名称出售，没有明确说明它们的来源地。

消息来源：Bleeping Computer

老王点评：就如我们之前报道的，智能电视卖的是用户数据，这些廉价电视盒也是一样的生意。

诺顿密码管理器账户被攻破

Gen Digital 公司正在向客户发送数据泄露通知，告知他们黑客已经成功地在凭证填充攻击中攻破了 Norton 密码管理器账户。该公司称自己的系统没有被破坏，而是用户在其它地方泄露的账户信息遭到了利用。该公司发现攻击者使用他们从暗网购买的用户名和密码对，试图登录诺顿客户账户。调查显示，凭证填充攻击已经成功侵入了数量不详的客户账户，这可能导致其他在线账户的泄露，数字资产的损失，秘密的暴露等等。

消息来源：Bleeping Computer

老王点评：密码管理器账户的主密码采用其它地方使用的账户，你说这是怎么想的？