“销售软盘的最后一人”

专注于销售和回收软盘的 Floppydisk.com 创始人 Tom Persky 自称是“该行业最后一人”。他早期的生意是软盘复制，在上世纪曾经兴盛一时，利润丰厚。但随着软盘的使用下降，他开始销售空白软盘，他如今是全球软盘的供应商。他说之所以还在销售软盘是他“忘记退出这个行业了”。他买下了数百万张空白软盘，然后靠着销售库存和回收软盘为生。他目前的库存大约还有 50 万张，包括 3.5 英寸、5.25 英寸 和 8 英寸等不同尺寸的软件。

消息来源：aiga

老王点评：其实才二十年，软盘已经销声匿迹了（除了日本之外）。我觉得，现在或许是收藏一些这个“3D 打印的保存图标”的时候了。

Chrome 的增强拼写检查会将你的表单数据传递到谷歌

一家 JavaScript 安全公司称，当用户手动激活 Chrome 的增强拼写检查功能和 Edge 的微软编辑器的拼写和语法检查器时，实际上是将你的表单数据发送到谷歌或微软。而你在表单中输入的数据可能包括个人身份信息、住址、电子邮件、信用卡号码等等机密信息。如果启用“显示密码”，甚至会将你的密码发送出去。这两种浏览器都有自己的默认启用的基本拼写检查器，它们不会构成安全风险，因为它们的行为与增强功能不同。

消息来源：Bleeping Computer

老王点评：很显然，“增强”的拼写检查需要服务器端的处理，自然会将你的输入传输到服务器上。类似的，现在云输入法，也会将你的输入事无巨细地传输到别人的服务器上。

Arm 高管称 RISC-V 在数据中心领域算不上竞争对手

在近日召开的新闻发布会上，Arm 高管承认，RISC-V 确实带来了一些竞争压力。但他说，“虽然 RISC-V 自 2010 年以来就有了，但最近才进入商业产品。”Arm 公司的另外一位高管称，“我们真的不认为 RISC-V 现在或在不久的将来是我们在数据中心领域的重要竞争对手。”他认为 RISC-V 更适合于小众或专业应用。

消息来源：The Register

老王点评：就像当年的 Linux 一样，谁能想到它能干倒 Unix 和 Windows 服务器呢？我看好 RISC-V 未来的发展，这或许要不了几年。

AI 机器人遇到“提示注入”攻击

研究人员发现了一种被称为“提示注入”的技术，可以将 AI 机器人重定向到重复令人尴尬和可笑的短语。一些推特用户在这个发现之后，劫持了一个在 GPT-3 语言模型上运行的自动推特机器人，从而导致该 AI 机器人被迫关闭。注入式攻击的概念并不新鲜，如 SQL 注入、XSS，但防御“提示注入”的困难来自于 AI 没有正式的语法，因而不像其他注入攻击那样纠正语法就能防御大部分攻击。

消息来源：ARS Technica

老王点评：我想，AI 或许很快就会“进化”出防御的能力。

Ubuntu 支持更多来自中国的 RISC-V 板卡

除了支持赛昉的昉·星光和全志的哪吒 RISC-V 板卡外，Canonical 工程师也在努力为下个月的 Ubuntu 22.10 添加更多的 RISC-V 板卡支持。他们正在为一款起价为 16.90 美元的 RISC-V 板卡 Sipeed Lichee RV 提供支持。它是一块带有 M.2 接口的计算模块板，可以连接到载体板。它使用全志 D1 SoC，采用单核玄铁 C906 64 位 RISC-V 处理器，运行频率仅为 1.0GHz。这是一块非常便宜但很慢的板卡，适用于物联网领域。

消息来源：Phoronix

老王点评：看起来 Canonical 越来越重视 RISC-V 了，而且，中国的 RISC-V 厂商进展也不错。

Craigslist 的界面和 25 年前一样

分类广告网站 Craigslist 自 1995 年上线以来，其页面外观一直没有变化。其创始人称，对使用这个网站的用户来说，它简单又方便，这就足够了。他说作为一名工程师，简单就是美，实用就是美。Craigslist 总共只有 10 名员工，从事开发、客服和会记工作，没有任何人从事销售工作。

消息来源：PCMag

老王点评：你认同他的说法吗？我觉得还是懒 —— 不过话说也有一些人批评 Linux 中国好多年没改版的网站很丑。至于我们这么多年没改版的原因就不说了，我只能说新版就来了，就来了，只要小白不烂尾……

Facebook 在数百万台服务器上使用 Kpatch 内核实时补丁

内核实时补丁允许内核在运行时安全地实施就地修补，而无需为了升级内核而进行冗长的开机自检（POST）和启动过程。Facebook 采用的是红帽的 Kpatch 方案，已经在其数百万台服务器上进行了部署。除了 Kpatch 方案之外，其它的内核实时补丁方案还有 SUSE 维护的 kGraft 和 Oracle 的 Ksplice 方案。Facebook 还分享了他们在应用过程中遇到的各种问题。

消息来源：Phoronix

老王点评：这是我听到的内核实时补丁最大规模的部署了，看起来已经可以在大规模生产环境使用了。Facebook 的经验可以学习一下。

黑客使用木马版 PuTTY SSH 客户端植入后门

安全公司报告，黑客组织在一次针对媒体公司的钓鱼攻击中使用了木马版 PuTTY SSH 客户端。PuTTY 是流行的开源 SSH 客户端。攻击者首先向目标发送邮件提供亚马逊的工作机会，后续通信中发送了包含了 IP 地址和登陆凭证以及木马版的 PuTTY 的文件。攻击者诱骗受害者打开文件运行木马版本以进行技能评估。但该版本含有恶意载荷，会部署和安装后门程序。

消息来源：Mandiant

老王点评：PuTTY 是一个小巧而流行的 SSH 客户端，但是一定要使用一个干净的。很多人在临时使用 SSH 时，都会去网上随便搜索一个 PuTTY 下载使用，这种往往是有木马的。

LastPass 表示在驱逐前已被入侵内部系统 4 天

今年 8 月，LastPass 被入侵，入侵者使用多因素身份验证成功通过了身份验证，从而访问了内部开发环境。但 LastPass 表示，“系统设计和控制阻止了威胁行为者访问任何客户数据或加密密码库”。这很可能是因为只有构建发布团队才能将代码从开发环境推送到产品环境，而它们是“物理分离，没有直接连接”的。

消息来源：BleepingComputer

老王点评：虽然入口被突破，但是内部损失有限，这说明良好的内部 IT 环境还是相当重要的。

Linus Torvalds 称他不是工作狂，格雷才是

在 LPC 2022 上，Linux 创始人 Linus Torvalds 谈到了工作。他说他不是工作狂，在参加这次会议前花了六天时间在玩潜水。他说，他可以一年又一年在内核上工作是因为他可以短时间离开放松下，最筋疲力尽的时候通常是合并开始时，而 Linux 内核社区真正的工作狂是稳定版内核维护者 GKH（格雷），每周都不停的工作。他也介绍了外出旅行时的装备，他使用一台 M2 MacBook Air 笔电，运行 Fedora Workstation 36。Fedora 还没有支持 ARM-64 M2 处理器的版本，他自己动手让 Fedora 36 能运行在 M2 上，这个版本不完美，不支持 3D 图形，Chrome 也不支持。

消息来源：ZDNet

老王点评：一个可以坚持 30 年的不是工作狂的工作狂。

以太坊合并完成，为全球电力节省了 0.2%

2022 年 9 月 15 日，以太坊准备了 8 年之久的从 PoW 切换到 PoS 顺利完成。此次合并只是对以太坊进行一系列升级的第一步，而接下来还将实施另外四个开发阶段。最终目的是让以太坊的扩展性更好、速度更快、使用成本更低。据报告，此前以太坊网络每年消耗约 2300 万兆瓦时的能源，合并后，可将以太坊的二氧化碳排放总量减少 99.992%。Vitalik 称，这降低了全球电力消耗 0.2%。不过，显然相当多的以太坊矿工转移到了继续采用 PoW 的 ETC 网络上了。

消息来源：CCRI

老王点评：合并是成功了，未来是不是成功不好说。

Cloudflare 放弃 Nginx 代理服务器

长期以来，Cloudflare 都依赖于 Nginx 作为其 HTTP 代理堆栈的一部分。但现在，其已替换为由 Rust 编写的自研 Pingora 软件。该公司宣称，Pingora 每日可处理超过一万亿次请求。在提供更高性能的同时，CPU 和内存资源的开销还仅为旧方案的三分之一。不过，Pingora 尚未开源 —— 尽管 Cloudflare 表示其正在制定计划。

消息来源：Phoronix

老王点评：当年掀翻了 Apache 的 Nginx ，终有一天也会被其它的 Web 服务器掀翻。

DeepMind 研究员论文称 AI 将消灭人类

来自谷歌 DeepMind 和牛津大学的研究人员发表的一篇新论文称，超级智能的 AI “很可能” 会给人类带来生存灾难。这篇论文设想地球上的生命将变成人类与超级先进的机器之间的零和游戏。他们认为，在一个资源有限的世界里，对这些资源的竞争是不可避免的。在未来的某个时刻，监督某些重要功能的高级 AI 可能被激励想出作弊策略，以损害人类的方式获得其奖励。

消息来源：VICE

老王点评：虽然可以按照阿西莫夫机器人三定律的原则设计一些 AI 自限的规则，不过，说到底，还是要让 AI 认为人类的存在是必要的才行。

AI 机器人在论坛模仿发帖，导致用户互相指责对方是机器人

一位 YouTube 主播利用论坛的内容训练了一个 AI 语言模型，并将该 AI 模型用于 10 个机器人程序，然后在 24 小时内发了 1.5 万个论坛帖子。这些机器人虽然偶尔会犯错，但该论坛的用户花了两天时间才注意到问题，并识别出了其中一个机器人账号。机器人账号导致了用户之间的不信任，即使在关闭了这些机器人之后，用户彼此之间仍然会指责对方是机器人。

消息来源：Solidot

老王点评：过去是安能辨我是雌雄，现在是谁知道你是不是个机器人呢？

微软 Teams 以明文方式存储授权令牌

安全分析师在微软 Teams 的桌面应用程序中发现了一个严重的安全漏洞，它在 Windows、Linux 和 Mac 中以明文方式存储授权令牌，使威胁者能够访问认证令牌和开启了多因素认证（MFA）的账户。研究人员在 2022 年 8 月发现了这个问题，并向微软报告。然而，微软并不同意这个问题的严重性，并表示它不符合打补丁的标准。由于微软不准备提供补丁修复，专家建议用户改用浏览器版本的微软 Teams 客户端。

消息来源：BleepingComputer

老王点评：或许微软有自己的逻辑，不过微软这种否认后再提供补丁的事情也不少。

回音

• 美国财政部上个月宣布制裁混币器 Tornado Cash 后引来了反对诉讼，现在它 澄清 制裁不涉及源代码，美国人可以查看、复制、讨论和教授源代码，或将源代码包含在书面出版物中。

MGLRU 页面回收算法有望并入 Linux 6.1 内核

LPC 2022 上，谷歌工程师披露了 MGLRU 项目的最新进展。作为当前 Linux 内核页面回收代码的一个更好替代方案，如果 MGLRU 能够在 2022 年进入 Linux 6.1，那它也将成为年内最激动人心的创新之一。从 ChromeOS / Android，到台式机、工作站、甚至服务器领域，MGLRU 普遍能够在各项工作负载和各类硬件平台上提供更好的性能。一旦进入主线，它的下一个改进是让 MGLRU 达到可以安全地默认启用的程度。

消息来源：Phoronix

老王点评：在这次 LRC 大会上，谷歌宣讲了好几个重量级的技术进展。

到 2030 年，软件将占拖拉机公司约翰迪尔收入的 10%

美国农机巨头约翰迪尔公司的所有拖拉机和收割机都标准配有自动驾驶功能。该公司现在计划在几年内将 150 万台机器和 5 亿英亩的土地连接到其运营中心，并将之前销售的没有自动驾驶功能的拖拉机升级自动驾驶功能。尽管农民已经在为运营成本，如化肥和燃料，而苦苦挣扎，但该公司希望为运营其越来越智能的车辆出售软件订阅。分析师估计，农用软件的平均毛利率为 85%，而设备销售的毛利率为 25%。

消息来源：The Register

老王点评：软件和硬件哪个重要？从汽车到拖拉机，纷纷采用软件订阅，这是不是说明软件越来越重要，而且软件的利润也更高。

谷歌在欧洲面临 250 亿欧元的反垄断罚款

谷歌是最大也是最重要的广告技术提供商，市场份额超过九成。欧盟以及英国的监管机构正在调查谷歌是否滥用其在数字广告市场的支配地位，可能导致其面临 250 亿欧元的反垄断罚款。去年法国的反垄断监管机构对谷歌开出了 2.2 亿欧元的罚单。

消息来源：BBC

老王点评：真是树大招风啊，谷歌太有钱了。