分类 硬核观察 下的文章

苹果 AR 眼镜被无限期推迟

据报道,由于技术上的挑战,苹果公司已经无限期推迟了其轻型增强现实(AR)眼镜的推出,但仍计划在今年推出其首款混合现实(MR)头盔。MR 头盔结合了增强现实和虚拟现实(VR),将在今年的春季活动中推出,该设备的价格将在 3000 美元左右。但 Meta 的 Quest Pro 价格只有它的一半左右。

消息来源:路透社
老王点评:看来在 AR 眼镜上又一家巨头折戟了,我原本很看好苹果的 AR 眼镜。

数千 Sophos 防火墙存在严重漏洞

数千台暴露在互联网上的服务器运行的 Sophos 防火墙中存在一个严重漏洞,允许黑客执行恶意代码。它的严重性评级为 9.8/10。当 Sophos 在去年 9 月披露该漏洞时,它已经作为一个零日漏洞在野外被利用。该安全公司敦促客户安装热补丁或完整的升级。最新的研究发现,有超过 4400 台运行 Sophos 防火墙的服务器仍然存在漏洞,约占所有的 Sophos 防火墙的 6%。

消息来源:ARS Technica
老王点评:作为第一道防御措施,如果连严重漏洞都不去修补,无异于给盗贼开门。

Windows 专业版也将默认禁止访客访问

这意味着最新版本的 Windows 10、Windows Server 2019、使用 SMB2 和 SMB3 的系统将不再默认允许访客账户访问远程服务器,或允许那些提供无效凭证的人回退到访客账户。这使得 Windows 专业版与企业版和教育版中安全性保持一致,它们自 Windows 10 以来就不再允许默认访问。允许客户端使用访客登录使用户容易受到中间人攻击或恶意服务器的影响。微软称,自 Windows 2000 以来,Windows 客户端和服务器就不允许访客访问或远程用户作为访客或匿名用户连接。只有第三方远程设备可能默认需要访客访问,但运行 Windows 的系统不需要。

消息来源:The Register
老王点评:默认访客可能是方便,但在当前网络安全越来越重要的形式下,显然是个严重的安全缺陷。

PyTorch 和 Triton 正在打破英伟达 CUDA 的垄断

大部分机器学习软件开发框架严重依赖于英伟达 CUDA,并在英伟达 GPU 上表现最佳。但随着 PyTorch 2.0 和 OpenAI Triton 的到来,英伟达 CUDA 对机器学习的垄断地位正逐渐瓦解。即将到来的 PyTorch 2.0 在英伟达 A100 上的训练性能提升了 86%,在 CPU 上的推理性能提升了 26%。而且这种优势可以扩展到 AMD、英特尔、特斯拉、谷歌、亚马逊、微软等等各个公司生产的 GPU 和 AI 加速器上。而 Triton 能让高级语言达到与使用低级语言相当的性能,提高了可用性。

消息来源:Semi Analysis
老王点评:又一次证明了开源胜过闭源,无论闭源的护城河有多深。

Basecamp 因巨额账单退出云计算

Basecamp 的 CTO,也是 Ruby On Rails 的创建者 DHH 介绍了让该公司退出云计算的巨额账单。其 2022 年的费用为 320 万美元,绝大部分都花在了 AWS 上,其中 S3 花费 90 万美元,RDS 47 万美元,OpenSearch 52 万美元,Elasticache 12 万美元。即便如此,也是经过大量工作才减少到这一费用的,该团队不但运行了成本检查计划,还就作为私人协议就长期使用达成了协议。DHH 还用戴尔服务器的三年均摊成本做了对比。

消息来源:The Register
老王点评:云计算确实有很多好处,但也可能是个让你花钱上瘾的无底洞。

使用了 25 年的笔记本内存规范 SO-DIMM 将被替换

制定内存标准的组织 JEDEC 正在制定新规范,以取代已经使用了 25 年的 SO-DIMM 规范。新的 CAMM 标准将基于戴尔公司的设计,目标是在 2023 年下半年完成 1.0 规范,到明年推出基于 CAMM 的系统。现有的 SO-DIMM 在 DDR5/6400 时已经遇到了“困境”,CAMM 的主要吸引力在于它可以实现更高的内存密度,同时还可以扩展到更高的时钟速度。

消息来源:PC World
老王点评:这是不是代表以后笔记本会需要更多内存?

BussFeed 用 AI 报道《CNET 用 AI 撰写文章》

科技新闻网站 CNET 被发现自去年 11 月以来,用 AI 撰写了 75 篇与个人财务有关的文章,但这些文章并没有申明使用 AI 撰写。CNET 回应 称,虽然 AI 撰写了这些文章内容和收集了素材,但发表的每一篇文章都经过了具有相关专业知识的编辑的审查、事实核查和编辑。CNET 随后注明了这些文章由 AI 撰写。他们称正在做其最擅长的事情:测试一项新技术,以便能够将炒作与现实分开。有趣的是,BussFeed 在报道此事时,也使用 ChatGPT 来撰写了整篇报道,但经过编辑审核后,“不得不重写了几次提示,以使其不再插入事实错误”。

消息来源:BuzzFeed News
老王点评:将来,AI 辅助写作可能会接管写作中的大部分工作。

Linux 准备禁用微软的 RNDIS 协议的驱动程序

RNDIS 是通过 USB 提供虚拟以太网功能的专有协议,但除了 Windows 之外,几乎没有得到支持。由于安全问题,Linux 内核正在准备将 RNDIS 内核驱动程序移到 Kconfig “损坏” 选项里,一旦被标记为 “损坏” 一段时间,这些驱动将可能最终从上游源码树中删除。内核维护者 Greg 表示 “因为该协议不可能做到安全,所以禁用所有 RNDIS 驱动,以防止任何人再使用它们”。

消息来源:Phoronix
老王点评:按 Linux 的风格,这么不安全的协议是怎么进入内核的?

前十名痴迷智能手机的国家中,有七个在亚洲

Data.ai 对 2022 年移动互联网的最新研究报告披露,亚洲国家是移动生态系统的主要推动者。在前十名痴迷智能手机的国家中,有七个在亚洲。印尼人以每天平均 5.7 小时的时间名列在手机上花费时间最多的榜首。中国人排在第 18 位,平均每天花费 3.6 小时。但中国人在下载量和消费者在应用程序上的花费方面排名第一,中国人共下载了 1110 亿个应用程序,花费了约 580 亿美元。

消息来源:The Register
老王点评:这份报告里面还有很多有趣的数据,值得一看。

Copilot 添加 Photoshop 式的代码“笔刷”

Copilot 实验室的 VS 扩展中“添加了一个笔刷工具箱,可以修改你的代码,只要选择几行,再选择你的笔刷,就能看到你的代码更新了。”他们演示了添加类型笔刷、修复错误笔刷、添加调试笔刷、易读性笔刷等。并且以后会增加更多笔刷,允许开发人员存储自定义笔刷。他们的目的是“如何赋予开发者权力,而不是使他们自动化”,最终是将一个令人难以置信的简单界面嫁接到 “由机器学习驱动的代码修改” 上。目前该笔刷工具箱的订阅费用是每月 10 美元。

消息来源:GitHub Next
老王点评:我有个脑洞啊 —— 以后或许可以选择“卡马克”笔刷,就可以写出像大神一样的代码了。

Ubuntu 的实时内核接近普遍可用状态

在 Ubuntu 22.04 LTS 中,Canonical 提供了一个测试版的实时内核。一年后,Canonical 宣布带有实时内核的 Ubuntu 接近普遍可用(GA)。而且,它目前仍然是 Ubuntu Pro/Ubuntu Advantage 组合的一部分,这至少对个人使用是免费的。此外,上游的实时补丁系列几乎已经完全就绪,只剩下一些不大的问题了。如果今年实时内核支持进入了 Linux 内核主线,将使 Linux 发行版更容易提供实时内核。

消息来源:Phoronix
老王点评:通过整个社区的各家企业和开发者的努力,Linux 的实时内核终于就快完成了,这对 Linux 的应用场景拓展很有意义。

大量第三方 Twitter 应用停止工作

众多第三方 Twitter 客户端在周四晚上停止工作,目前还不知道是什么原因,Twitter 官方并没有给出解释。“因为新的所有者取消了致力于保持 API 顺利运行的员工,包括之前提供与第三方沟通的开发者布道师”。现在访问这些客户端使用的 API 会返回 “401 未授权” 的错误。据推测,访问受限的原因可能是在这些第三方客户端上的广告被过滤、推文按时间排序而不是按更容易挣钱的算法排序,也有可能是使用这些第三方客户端的用户超过了一定数量。

消息来源:The Register
老王点评:我的印象中,Twitter 的某个国内山寨品的衰落迹象之一,就是 API 不好用、开放平台名存实亡、封杀第三方客户端。

流媒体应用可以伪造你的眼睛看向摄像头

英伟达的流媒体软件 Broadcast 现在有一个选项,可以通过深度伪造让你看起来像在与摄像头进行眼神交流,即使你在现实生活中看着别的地方。该功能可以让“内容创作者拍摄自己时可以阅读他们的笔记或剧本”,而不必直接看向摄像机。

消息来源:The Verge
老王点评:这就是我所需要的功能啊,感觉人工智能有时候也能做一些很有趣的事情。

网售的安卓电视盒被预装了恶意软件

安全专家发现,从亚马逊购买的一个安卓电视盒被预装了持久的、复杂的恶意软件,并被植入其固件。该安卓电视盒配备了全志 T616 处理器,通过亚马逊等网络平台销售。不幸的是,这些基于安卓系统的廉价电视盒设备从制造到全球市场的供应都遵循一条模糊的路线。在许多情况下,这些设备以多个品牌和设备名称出售,没有明确说明它们的来源地。

消息来源:Bleeping Computer
老王点评:就如我们之前报道的,智能电视卖的是用户数据,这些廉价电视盒也是一样的生意。

诺顿密码管理器账户被攻破

Gen Digital 公司正在向客户发送数据泄露通知,告知他们黑客已经成功地在凭证填充攻击中攻破了 Norton 密码管理器账户。该公司称自己的系统没有被破坏,而是用户在其它地方泄露的账户信息遭到了利用。该公司发现攻击者使用他们从暗网购买的用户名和密码对,试图登录诺顿客户账户。调查显示,凭证填充攻击已经成功侵入了数量不详的客户账户,这可能导致其他在线账户的泄露,数字资产的损失,秘密的暴露等等。

消息来源:Bleeping Computer
老王点评:密码管理器账户的主密码采用其它地方使用的账户,你说这是怎么想的?

数据库损坏导致全美停飞航班

周三,美国联邦航空局(FAA)的空中任务通知系统发生严重故障,一度导致全美停飞航班。FAA 初步判断问题根源是一个数据库文件受损,而没有证据表明这是一次网络攻击。周二晚间 FAA 的计算机系统就出现了问题,于是他们在周三凌晨航班最少的时候重启了系统。但在经过 90 分钟的重启之后,该系统的功能没有完全恢复,而备份系统也同样发现存在问题。FAA 于是下达了全美的停飞令,导致了大规模航班延误和机场瘫痪。

消息来源:CNN
老王点评:你真想不到一些非常重要的系统有多破旧。

因员工监控软件显示摸鱼,被勒令向公司返回工资

一名加拿大女子以远程方式从事会计工作,她最初声称自己去年被无故解雇,并要求获得赔偿。但该公司告诉法庭,该员工有 50 多个小时没有从事工作有关的任务。该公司说,在发现该员工分配的工作超出预算和进度后,该公司在其工作笔记本上安装了名为 TimeCampon 的员工追踪软件。该软件可以跟踪文件打开的时间,员工如何使用该文件,并将时间记录为工作时间。该软件可以将工作时间记录与使用笔记本电脑播放电影和电视节目等活动分开。法官因此判决该女子败诉并向公司返回部分工资。

消息来源:《卫报》
老王点评:真是,都不能愉快的摸鱼了。

谷歌将在 Chrome 开发中使用 Rust

谷歌今天宣布,他们将允许 Rust 代码进入 Chromium 代码库。谷歌正在努力将 Rust 工具链引入他们的 Chromium 构建系统,并将允许在 Chrome/Chromium 中使用 Rust 库。在 Chromium 中使用 Rust 可以避免内存安全错误,这将有助于加快开发速度,提高 Chrome/Chromium 浏览器的整体安全性。

消息来源:Phoronix
老王点评:继安卓之后,谷歌又将 Rust 加入到 Chrome 开发中,这将对改善浏览器安全有很大的意义。