分类 硬核观察 下的文章

黑客泄露 GTA 6 测试视频,并出售 GTA 5 的源代码

黑客在论坛上泄露了正在开发之中的侠盗猎车手 6(GTA 6)的数十个测试视频,总长度约 50 分钟,随后这些视频被以侵权为由删除。黑客声称是通过开发商内部 Slack 服务器访问到这些视频的,他们还访问到了游戏源代码,并以 1 万美元的价格出售 GTA 5 的源代码和素材,而其偷到的 GTA 6 测试版暂时不出售。这起事件被认为是游戏史上最大的泄露事件之一,开发商对 GTA 6 的细节以这种方式被分享一事感到“尤为失望”,但表示,“目前我们预计此事不会对现有的游戏进展造成任何干扰。”

消息来源:Bleeping Computer
老王点评:真是防不胜防啊,连游戏公司都成了恶意行为者们的目标。

Adobe-Figma 的 200 亿美元收购不被看好

周四,Adobe 以近乎估值两倍的价格,以 200 亿美元收购了协同设计软件公司 Figma。但二级市场似乎对这次 Adobe 的收购并不看好。消息披露后,Adobe 的股票最高跌幅一度逼近 17%,蒸发了近 300 亿美元市值,而这次的交易总额不过 200 亿美元。一方面,Figma 的一些用户非常沮丧。Figma 是以 Adobe 的竞争对手出现的,其文案宣传也是以 Adobe XD 为目标进行的,现在却被对手收入囊中,令那些逃离 Adobe 的用户情何以堪。另外一方面,Adobe 的收购似乎从没有好下场,比如之前开发了 Flash、Dreamweaver、Firework 网页三剑客的 Micromedia 现在已经没有声音了。

消息来源:CNBC
老王点评:尚未打倒巨龙,就被巨龙收买了——“没办法,他们给的太多了”。

Unicode 15 发布

Unicode 15 增加了 4,489 个字符,总数达到 149,186 个字符。新增字符包括 4193 个 CJK 中日韩表意文字、两种新的语言文字,以及 20 个表情符等等。

消息来源:Unicode
老王点评:Unicode 增加各种语言字符和未收录的少数语种,这没问题,但是我觉得现在收录的各种表情符有点太泛滥了,而且还有些奇奇怪怪的“男人怀孕”字符。

“销售软盘的最后一人”

专注于销售和回收软盘的 Floppydisk.com 创始人 Tom Persky 自称是“该行业最后一人”。他早期的生意是软盘复制,在上世纪曾经兴盛一时,利润丰厚。但随着软盘的使用下降,他开始销售空白软盘,他如今是全球软盘的供应商。他说之所以还在销售软盘是他“忘记退出这个行业了”。他买下了数百万张空白软盘,然后靠着销售库存和回收软盘为生。他目前的库存大约还有 50 万张,包括 3.5 英寸、5.25 英寸 和 8 英寸等不同尺寸的软件。

消息来源:aiga
老王点评:其实才二十年,软盘已经销声匿迹了(除了日本之外)。我觉得,现在或许是收藏一些这个“3D 打印的保存图标”的时候了。

Chrome 的增强拼写检查会将你的表单数据传递到谷歌

一家 JavaScript 安全公司称,当用户手动激活 Chrome 的增强拼写检查功能和 Edge 的微软编辑器的拼写和语法检查器时,实际上是将你的表单数据发送到谷歌或微软。而你在表单中输入的数据可能包括个人身份信息、住址、电子邮件、信用卡号码等等机密信息。如果启用“显示密码”,甚至会将你的密码发送出去。这两种浏览器都有自己的默认启用的基本拼写检查器,它们不会构成安全风险,因为它们的行为与增强功能不同。

消息来源:Bleeping Computer
老王点评:很显然,“增强”的拼写检查需要服务器端的处理,自然会将你的输入传输到服务器上。类似的,现在云输入法,也会将你的输入事无巨细地传输到别人的服务器上。

Arm 高管称 RISC-V 在数据中心领域算不上竞争对手

在近日召开的新闻发布会上,Arm 高管承认,RISC-V 确实带来了一些竞争压力。但他说,“虽然 RISC-V 自 2010 年以来就有了,但最近才进入商业产品。”Arm 公司的另外一位高管称,“我们真的不认为 RISC-V 现在或在不久的将来是我们在数据中心领域的重要竞争对手。”他认为 RISC-V 更适合于小众或专业应用。

消息来源:The Register
老王点评:就像当年的 Linux 一样,谁能想到它能干倒 Unix 和 Windows 服务器呢?我看好 RISC-V 未来的发展,这或许要不了几年。

AI 机器人遇到“提示注入”攻击

研究人员发现了一种被称为“提示注入”的技术,可以将 AI 机器人重定向到重复令人尴尬和可笑的短语。一些推特用户在这个发现之后,劫持了一个在 GPT-3 语言模型上运行的自动推特机器人,从而导致该 AI 机器人被迫关闭。注入式攻击的概念并不新鲜,如 SQL 注入、XSS,但防御“提示注入”的困难来自于 AI 没有正式的语法,因而不像其他注入攻击那样纠正语法就能防御大部分攻击。

消息来源:ARS Technica
老王点评:我想,AI 或许很快就会“进化”出防御的能力。

Ubuntu 支持更多来自中国的 RISC-V 板卡

除了支持赛昉的昉·星光和全志的哪吒 RISC-V 板卡外,Canonical 工程师也在努力为下个月的 Ubuntu 22.10 添加更多的 RISC-V 板卡支持。他们正在为一款起价为 16.90 美元的 RISC-V 板卡 Sipeed Lichee RV 提供支持。它是一块带有 M.2 接口的计算模块板,可以连接到载体板。它使用全志 D1 SoC,采用单核玄铁 C906 64 位 RISC-V 处理器,运行频率仅为 1.0GHz。这是一块非常便宜但很慢的板卡,适用于物联网领域。

消息来源:Phoronix
老王点评:看起来 Canonical 越来越重视 RISC-V 了,而且,中国的 RISC-V 厂商进展也不错。

Craigslist 的界面和 25 年前一样

分类广告网站 Craigslist 自 1995 年上线以来,其页面外观一直没有变化。其创始人称,对使用这个网站的用户来说,它简单又方便,这就足够了。他说作为一名工程师,简单就是美,实用就是美。Craigslist 总共只有 10 名员工,从事开发、客服和会记工作,没有任何人从事销售工作。

消息来源:PCMag
老王点评:你认同他的说法吗?我觉得还是懒 —— 不过话说也有一些人批评 Linux 中国好多年没改版的网站很丑。至于我们这么多年没改版的原因就不说了,我只能说新版就来了,就来了,只要小白不烂尾……

Facebook 在数百万台服务器上使用 Kpatch 内核实时补丁

内核实时补丁允许内核在运行时安全地实施就地修补,而无需为了升级内核而进行冗长的开机自检(POST)和启动过程。Facebook 采用的是红帽的 Kpatch 方案,已经在其数百万台服务器上进行了部署。除了 Kpatch 方案之外,其它的内核实时补丁方案还有 SUSE 维护的 kGraft 和 Oracle 的 Ksplice 方案。Facebook 还分享了他们在应用过程中遇到的各种问题。

消息来源:Phoronix
老王点评:这是我听到的内核实时补丁最大规模的部署了,看起来已经可以在大规模生产环境使用了。Facebook 的经验可以学习一下。

黑客使用木马版 PuTTY SSH 客户端植入后门

安全公司报告,黑客组织在一次针对媒体公司的钓鱼攻击中使用了木马版 PuTTY SSH 客户端。PuTTY 是流行的开源 SSH 客户端。攻击者首先向目标发送邮件提供亚马逊的工作机会,后续通信中发送了包含了 IP 地址和登陆凭证以及木马版的 PuTTY 的文件。攻击者诱骗受害者打开文件运行木马版本以进行技能评估。但该版本含有恶意载荷,会部署和安装后门程序。

消息来源:Mandiant
老王点评:PuTTY 是一个小巧而流行的 SSH 客户端,但是一定要使用一个干净的。很多人在临时使用 SSH 时,都会去网上随便搜索一个 PuTTY 下载使用,这种往往是有木马的。

LastPass 表示在驱逐前已被入侵内部系统 4 天

今年 8 月,LastPass 被入侵,入侵者使用多因素身份验证成功通过了身份验证,从而访问了内部开发环境。但 LastPass 表示,“系统设计和控制阻止了威胁行为者访问任何客户数据或加密密码库”。这很可能是因为只有构建发布团队才能将代码从开发环境推送到产品环境,而它们是“物理分离,没有直接连接”的。

消息来源:BleepingComputer
老王点评:虽然入口被突破,但是内部损失有限,这说明良好的内部 IT 环境还是相当重要的。

Linus Torvalds 称他不是工作狂,格雷才是

在 LPC 2022 上,Linux 创始人 Linus Torvalds 谈到了工作。他说他不是工作狂,在参加这次会议前花了六天时间在玩潜水。他说,他可以一年又一年在内核上工作是因为他可以短时间离开放松下,最筋疲力尽的时候通常是合并开始时,而 Linux 内核社区真正的工作狂是稳定版内核维护者 GKH(格雷),每周都不停的工作。他也介绍了外出旅行时的装备,他使用一台 M2 MacBook Air 笔电,运行 Fedora Workstation 36。Fedora 还没有支持 ARM-64 M2 处理器的版本,他自己动手让 Fedora 36 能运行在 M2 上,这个版本不完美,不支持 3D 图形,Chrome 也不支持。

消息来源:ZDNet
老王点评:一个可以坚持 30 年的不是工作狂的工作狂。

以太坊合并完成,为全球电力节省了 0.2%

2022 年 9 月 15 日,以太坊准备了 8 年之久的从 PoW 切换到 PoS 顺利完成。此次合并只是对以太坊进行一系列升级的第一步,而接下来还将实施另外四个开发阶段。最终目的是让以太坊的扩展性更好、速度更快、使用成本更低。据报告,此前以太坊网络每年消耗约 2300 万兆瓦时的能源,合并后,可将以太坊的二氧化碳排放总量减少 99.992%。Vitalik 称,这降低了全球电力消耗 0.2%。不过,显然相当多的以太坊矿工转移到了继续采用 PoW 的 ETC 网络上了。

消息来源:CCRI
老王点评:合并是成功了,未来是不是成功不好说。

Cloudflare 放弃 Nginx 代理服务器

长期以来,Cloudflare 都依赖于 Nginx 作为其 HTTP 代理堆栈的一部分。但现在,其已替换为由 Rust 编写的自研 Pingora 软件。该公司宣称,Pingora 每日可处理超过一万亿次请求。在提供更高性能的同时,CPU 和内存资源的开销还仅为旧方案的三分之一。不过,Pingora 尚未开源 —— 尽管 Cloudflare 表示其正在制定计划。

消息来源:Phoronix
老王点评:当年掀翻了 Apache 的 Nginx ,终有一天也会被其它的 Web 服务器掀翻。

DeepMind 研究员论文称 AI 将消灭人类

来自谷歌 DeepMind 和牛津大学的研究人员发表的一篇新论文称,超级智能的 AI “很可能” 会给人类带来生存灾难。这篇论文设想地球上的生命将变成人类与超级先进的机器之间的零和游戏。他们认为,在一个资源有限的世界里,对这些资源的竞争是不可避免的。在未来的某个时刻,监督某些重要功能的高级 AI 可能被激励想出作弊策略,以损害人类的方式获得其奖励。

消息来源:VICE
老王点评:虽然可以按照阿西莫夫机器人三定律的原则设计一些 AI 自限的规则,不过,说到底,还是要让 AI 认为人类的存在是必要的才行。

AI 机器人在论坛模仿发帖,导致用户互相指责对方是机器人

一位 YouTube 主播利用论坛的内容训练了一个 AI 语言模型,并将该 AI 模型用于 10 个机器人程序,然后在 24 小时内发了 1.5 万个论坛帖子。这些机器人虽然偶尔会犯错,但该论坛的用户花了两天时间才注意到问题,并识别出了其中一个机器人账号。机器人账号导致了用户之间的不信任,即使在关闭了这些机器人之后,用户彼此之间仍然会指责对方是机器人。

消息来源:Solidot
老王点评:过去是安能辨我是雌雄,现在是谁知道你是不是个机器人呢?

微软 Teams 以明文方式存储授权令牌

安全分析师在微软 Teams 的桌面应用程序中发现了一个严重的安全漏洞,它在 Windows、Linux 和 Mac 中以明文方式存储授权令牌,使威胁者能够访问认证令牌和开启了多因素认证(MFA)的账户。研究人员在 2022 年 8 月发现了这个问题,并向微软报告。然而,微软并不同意这个问题的严重性,并表示它不符合打补丁的标准。由于微软不准备提供补丁修复,专家建议用户改用浏览器版本的微软 Teams 客户端。

消息来源:BleepingComputer
老王点评:或许微软有自己的逻辑,不过微软这种否认后再提供补丁的事情也不少。

回音

  • 美国财政部上个月宣布制裁混币器 Tornado Cash 后引来了反对诉讼,现在它 澄清 制裁不涉及源代码,美国人可以查看、复制、讨论和教授源代码,或将源代码包含在书面出版物中。