1 开机启动显示的徽标中可隐藏恶意代码

研究人员发现了大量与开机时 UEFI 显示的徽标图像处理有关的漏洞。恶意代码可以通过附加到镜像中的方式在不被察觉的情况下被安装，目前的安全启动机制都无法阻止这种攻击。这个名为 “LogoFAIL” 攻击是由二十几个新发现的漏洞组成的，这些漏洞已经在负责启动运行 Windows 或 Linux 的现代设备的 UEFI 中潜伏了数年甚至数十年，几乎涵盖了整个 x64 和 ARM CPU 生态系统。首先是 UEFI 供应商 AMI、Insyde 和 Phoenix；然后是联想、戴尔和惠普等设备制造商；以及英特尔和 AMD 等 CPU 制造商。LogoFAIL 攻击的是徽标，特别是硬件销售商的徽标，这些徽标会在 UEFI 仍在运行时，在启动时显示在设备屏幕上。这种新的固件攻击几乎影响所有 Windows 和 Linux 设备。

（插图：DA/19aebc9b-a8da-4d5f-a331-c2e8afa300a0）

消息来源：Ars Technica

老王点评：真是想象力丰富，没想到开机显示的徽标也可以隐藏恶意代码。

2 谷歌 Gemini 的早期印象并不好

谷歌本周发布了新的生成式人工智能模型 Gemini，该模型将为包括 Bard 在内的一系列产品和服务提供支持。谷歌对 Gemini 的卓越架构和能力大加吹捧，声称该模型的性能达到或超过了 GPT-4 等其他领先的生成式人工智能模型。但又传闻证据表明并非如此。比如，有人发现该模型未能正确理解基本事实，会弄错 2023 年奥斯卡奖得主。翻译似乎也不是 Gemini Pro 的强项。即便谷歌拥有搜索和新闻网站，但 Gemini Pro 似乎不愿意对可能引起争议的新闻话题发表评论，而是告诉用户……自己谷歌一下。此外，其广泛传播的演示视频被指造假、基准测试有选择性前提。

（插图：DA/ab59690d-fd51-452c-8bca-50c6b93955c4）

消息来源：Tech Crunch

老王点评：LLM 好不好，数据没有用，用户反馈才是真的。这句话不只是对 Gemini 说的。

3 Fedora 40 新增直接启动统一内核镜像的功能

Fedora 40 正在将其对统一内核镜像（UKI）支持推进到下一阶段，将支持直接从 EFI SHIM 启动 UKI 文件的能力，而无需通过 GRUB 等传统的引导加载器。UKI 将带来更好的 UEFI 安全启动支持，更好地支持 TPM 测量和保密计算，以及更强大的启动过程。

（插图：MJ/a99ba7c8-2e9d-43f8-b16e-fbb11f6ae4df）

消息来源：Phoronix

老王点评：可能是我过于守旧了，我既不喜欢 systemd，也不喜欢 UKI、TPM 和安全启动。

1 LVFS 已为 Linux 用户提供超过 1 亿次固件更新

Linux 厂商固件服务（LVFS）是与 Linux 固件更新工具 fwupd 搭配使用的服务，目前该服务已提供了超过 1 亿次固件更新！而大约一年半前，LVFS 的下载次数为 5200 万次。fwupd/LVFS 使得在 Linux 下更新大量系统固件和设备/外设固件变得异常简单。在广泛支持 LVFS 之前，Linux 用户更新设备固件往往是一件令人望而生畏的苦差事，他们经常需要启动到 Windows 或借助 FreeDOS 进行系统 BIOS 更新，或者干脆不更新固件。

消息来源：Phoronix

老王点评：很棒的工作！

2 openSUSE 新徽标投票还剩一周时间

openSUSE 项目一直在进行品牌重塑，以更好地区分该社区开源项目和 SUSE 本身。目前，openSUSE 项目正在进行徽标设计大赛，调查投票只剩下不到一周的时间。新徽标将在公布后的过渡期内与现有的 Geeko 徽标一起使用。

投票地址

消息来源：Phoronix

老王点评：openSUSE 的粉丝们，你投票了吗？

3 “逻辑量子比特”数量突破记录

量子计算机能完成多复杂的计算取决于它所包含的量子比特的数量。最近，IBM 和 Atom Computing 公司推出了拥有 1000 多个量子比特的设备，几乎是以前最大量子计算机的三倍，但这并没有立即带来计算能力的大幅提升，因为更大的量子计算机往往也会出现更多错误。逻辑量子比特是通过量子纠缠相互连接的量子比特组，与标准量子比特不同，逻辑量子比特能够更好地进行计算而不受错误的影响。波士顿的量子计算初创公司 QuEra 专注于增加逻辑量子比特的数量，研究人员现在能够一次制作多达 48 个逻辑量子比特，这比之前创造的逻辑量子比特数量多出 10 倍以上。

消息来源：New Scientist

老王点评：虽然现在 AI 很火，但是要是一旦量子计算突破，那带来的颠覆性更大。

回音

• systemd 255 发布了稳定版，并附带了 systemd-bsod 作为 “蓝屏死机” 服务，能够在 Linux 上全屏显示错误信息。

1 Firefox 面临被踢出兼容性要求名单

美国网页设计系统（USWDS）提供了一套全面的标准，为美国政府的众多网站建设者提供指导。它为开发人员提供的文档借鉴了英国同行的 “2% 规则”： “根据 analytics.usa.gov 的观察，我们正式支持任何使用率超过 2% 的浏览器。”而根据该网站前九十天的流量，Firefox 浏览器的市场份额仅为 2.2%。如果低于 2% 的阈值，那么 USWDS 可以不再要求政府网站的开发者继续兼容 Firefox。这将有可能进而影响到企业，越来越多的网站将不再兼容 Firefox。

消息来源：Slashdot

老王点评：除了让 Firefox 用户去访问一下这个观察网站，我们还能做什么？

2 Facebook 停止发送 PGP 加密邮件

2015 年，在斯诺登事件后，Facebook 宣布将允许用户以加密方式接收该公司的邮件。开启该功能后，Facebook 发送给用户的所有电子邮件（主要是点赞通知和私人信息）都将使用已有几十年历史的 PGP 技术进行加密。据 Facebook 称，八年后的今天，由于使用率较低，Facebook 将取消这项功能。该功能已于周二废弃。Facebook 拒绝说明究竟有多少用户仍在使用加密电子邮件功能。

消息来源：Tech Crunch

老王点评：作为在国内早期推广过 PGP/GPG 加密邮件的人，我只能说，绝大部分人都觉得邮件的加密和签名是无谓的麻烦，叹息。

3 中国成为世界上第一个在水下部署商业数据中心的国家

据《中国日报》报道，我国开始在三亚市沿海的水下组装部署商业数据中心。第一个模块已经下水安装，按照计划，他们将在约 35 米深的水下基地安装 100 个水密存储模块，每个模块重达 1,300 吨，这将建立一个可同时运行近 600 万台计算机的数据中心。这些模块将产生大量热量，而这些热量会被周围的海水自然冷却。预计仅此一项就可节省 1.22 亿千瓦时的电力。该水下数据中心计划将于 2025 年投入使用，这些模块的使用寿命长达 25 年。

消息来源：Interesting Engineering

老王点评：微软也做过类似尝试，但没有进一步发展，希望我们的尝试能成功。

1 Linus Torvalds 为假期季做准备

Torvalds 上周日发布了 Linux 内核 6.7 版本的第四个候选发布版。通常，在发布新版内核之前会提供七个候选发布版。按照这个时间表，RC 7 将在耶诞节前夕发布，而正式版将在 12 月 31 日发布。不过 Torvalds “认为这个时间安排最终是可行的，因为假期在发布计划的结尾”。但是可能是由于 6.7 看起来“非常平静”，他预感“必须在 6.8 版本的合并窗口做些什么”，虽然他还不确定要做的是什么，也不确定是否需要。

消息来源：The Register

老王点评：敬业如企鹅皇帝，每年年底也必须得休个假。

2 IBM 发布了 “实用规模” Heron 量子处理器

IBM 发布了其量子处理单元（QPU）系列的最新产品 Heron 量子处理器，IBM 声称它已达到了 “实用规模”。Heron 拥有 133 个量子比特，高于前一个型号。IBM 还宣称，与前代产品相比，Heron 的错误率降低了五倍，这一点非常重要。Heron 将为 IBM 的“量子系统二”计算集群提供动力，该集群将量子计算、经典计算和量子比特控制电子设备结合在一个模块化系统中，该计算集群有 5 米高，与许多量子系统一样，需要低温冷却才能运行。IBM 预计将在十年后推出的 QPU 拥有 2000 个量子比特。

消息来源：The Register

老王点评：像 IBM 这样的百年企业，还在继续不惜代价地投入量子计算机。

3 Hugging Face 泄露的 API 令牌可以完全访问 LLaMA 2 仓库

研究人员在 Hugging Face 上通过字符串搜索和手动收集发现了 1500 多个泄露的 API 令牌，这使他们能够访问 723 个组织的账户。在绝大多数情况下（655 个），被暴露的令牌具有写入权限，可以修改账户存储库中的文件。共有 77 个组织以这种方式被暴露，其中包括 Meta、EleutherAI 等。Hugging Face 存储了 25 万多个数据集，还有 50 多万个人工智能模型。如果攻击者利用了暴露的 API 令牌，可能会导致数据被盗、训练数据被毒化或模型被完全窃取，从而会影响 100 多万用户。数据中毒攻击是人工智能和机器学习面临的最严重威胁之一，被列入 OWASP 的十大 LLM 风险。

消息来源：The Register

老王点评：在各种公开代码库中，你总是能捡到各种令牌和凭证，即便托管平台一再提醒和防范。

1 苹果用 15 年完成了英特尔芯片替代

苹果的芯片实验室已经成立了 15 周年，拥有在世界各地的实验室工作的数千名工程师。从今年起，所有新款 Mac 电脑都将采用苹果自己的芯片，从而结束了该公司对英特尔 15 年来的依赖。但在成立十余年后的 2020 年，苹果公司才开始放弃使用英特尔的 PC 处理器，转而在 MacBook Air 和其他 Mac 内使用自己的 M1 芯片。突然之间，苹果制造出一款无比轻薄、没有风扇、电池续航时间长达 18 小时的 MacBook Air，而且性能超过了刚刚出货的 MacBook Pro。而配备苹果最先进芯片 M3 Max 的最新 MacBook Pro 比之前生产的最快英特尔 MacBook Pro 快 11 倍。

消息来源：CNBC

老王点评：强如苹果，从头开始也用了十几年才打造出自己的取代芯片。

2 物理学家可能发现了大型量子计算机性能的硬限制

《物理评论快报》上的一篇新报告指出，对于基于电路的量子计算来说，可实现的电路复杂度受到计时质量的限制。维也纳技术大学解释说，该研究小组能够证明，由于任何时钟都不可能拥有无限量的可用能量（或产生无限量的熵），因此它永远不可能同时拥有完美的分辨率和完美的精度。这为量子计算机的可能性设置了根本性的限制。目前，量子计算机的精确度仍然受到其他因素的限制，例如所用元件的精度或电磁场。但该计算表明，今天我们离时间测量的基本限制发挥决定性作用的机制已经不远了。

消息来源：Science Alert

老王点评：或许，到时候会有新的量子计算机的设计？就像在真空管计算机时代是无法想象现在的超大规模集成电路的计算机一样。

3 电子前线基金会发布《隐私优先》白皮书

电子前线基金会（EFF）发布了一份新的白皮书《隐私优先》，它认为一部全面的隐私法必须包括以下内容：无在线行为广告；数据最小化；选择同意；用户访问、移植、更正和删除信息的权利；不优先适用州法律；具有私人诉讼权的强力执法；无付费隐私计划；无欺骗性设计。

消息来源：EFF

老王点评：这样的隐私法，简直就是对现在的数字经济赤裸裸的打脸。

1 Chrome 还有打击广告拦截器的下一个武器

为了打击浏览器上的广告拦截器，Chrome 不但计划在 2024 年 6 月推出限制广告拦截的 Manifest V3 扩展平台，而且还会限制扩展更新过滤规则的方式，以延迟扩展开发者快速响应变化的能力。YouTube 可以立即更换广告投放系统，但一旦 Manifest V3 成为强制规定，扩展开发者就无法立即做出响应。如今，广告拦截器和隐私应用可以自行更新过滤列表，通常使用的是巨大的开源社区的列表。Manifest V3 将通过限制谷歌所说的 “远程托管代码” 来阻止这种情况。所有更新，即使是像过滤列表这样的良性更新，都需要通过 Chrome 商店进行全面的扩展更新。这些更新都需要经过 Chrome 网上应用商店的审核过程，而这将带来很大的时间延迟。

消息来源：Ars Technica

老王点评：对谷歌的反垄断审查更严厉些吧。

2 Java 尝试使用多线程的新方法

在 Java 21 的预览版本中，Java 尝试了多线程的新方法：结构化并发。该方法允许开发者使用结构化编程语法来使用多个线程。从本质上讲，它提供了一种使用熟悉的程序流程和结构编写并发软件的方法。这样，开发人员就可以专注于手头的业务，而不是线程的协调。虚拟线程现已成为 Java 的一项正式功能，它为廉价生成线程以获得并发性能提供了可能。结构化并发为此提供了简单的语法。因此，Java 现在拥有了一个独特的、高度优化的、易于理解的线程系统。

消息来源：Info World

老王点评：这是一个很好的消息，值得关注。

3 研究称 GPT-4 没有通过图灵测试

在一篇题为 《GPT-4 通过图灵测试了吗？》的预印本研究论文中，研究人员将 GPT-4 人工智能语言模型与人类参与者、GPT-3.5 和 ELIZA 进行了对比。其中，ELIZA 是一个上世纪 60 年代开发的基于规则的对话程序。研究人员建立了一个名为 turingtest.live 的网站，他们在该网站上通过互联网举办了一场双人图灵测试。通过该网站，人类审讯者与代表其他人类或人工智能模型的各种 “人工智能证人” 进行互动。令人惊讶的是，ELIZA 在研究中得分相对较高，成功率达到 27%，超过了 GPT-3.5 的 14% 成功率。GPT-4 的成功率为 41%，但就连 GPT-4 也不符合图灵测试的成功标准，既没有达到 50% 的成功率，也没有超过人类参与者的成功率。

消息来源：Ars Technica

老王点评：虽然这个结果令人吃惊，但是我倾向于研究方法有误，比如没有很好地设计符合 GPT 方式的提示语。