1 1/4 的 Java 应用程序仍受 Log4Shell 影响

在基于 Java 的开源日志实用程序 Log4j 中的 Log4Shell 漏洞被披露两年后，大约 1/4 的应用程序仍依赖于过时的存在漏洞的库。安全商店 Veracode 的研究显示，绝大多数存在漏洞的应用程序在开发人员实施了 Log4j 库后可能从未更新过该库，32% 的应用程序运行的是 2015 年之前的 EOL 版本。之前的调查还显示，79% 的开发人员在首次将第三方库引入项目后从未更新过这些库。仅有约 3.8% 的用户在运行不会受到 Log4Shell 攻击的 2.17 版，但此版本也存在容易受到远程代码执行攻击的漏洞。

（插图：DA/235f50dd-5052-4072-a5cd-21f0edbdccbb）

消息来源：The Register

老王点评：都是程序能跑就不动，除非不动程序员就得跑路。

2 OpenAI 的非营利部分去年收入仅 4.5 万美元

OpenAI Inc. 于 2015 年作为非营利组织成立，2019 年推出了所谓的上限营利实体 OpenAI Global LLC。尽管私人投资者对 OpenAI 的估值高达 860 亿美元，但据 OpenAI 向美国国税局提交的 990 报告，OpenAI 在 2022 年的收入仅为 44485 美元，几乎全部来自投资收入。OpenAI 上一次提交该报告是在 2017 年，当时的收入为 3320 万美元。OpenAI 没有披露其营利部门的收入，不过据 The Information 在 8 月份的报道，OpenAI 去年的收入为 2800 万美元，到 2023 年可能将接近 10 亿美元。

（插图：DA/57a3a326-5f52-4188-986f-721a423c6e78）

消息来源：CNBC

老王点评：异想天开的治理结构终究不能共富贵。

3 被博通收购的 VMware 将变成订阅制

VMware 宣布转向订阅模式，停止销售 VMware 的内部部署永久许可证，也一并终止了支持和订阅服务的续订销售。之前，VMware 的客户可以购买内部部署永久许可证，而支持和订阅续订服务可以单独提供支持和软件更新。VMware 称，客户可以继续使用具有有效合同的永久许可证产品。永久许可证永不过期，但停止销售支持和订阅续订服务，这意味着不愿转向其他许可模式的客户将得不到支持或更新。

（插图：DA/fac939a2-2e00-4c37-9e5a-70165794c6d0）

消息来源：The Stack

老王点评：改成订阅制就能让 VMware 变好吗？

1 美国讨论数据政策以避免全球互联网碎片化

美国要就全球互联网的规则制定一个明确的立场，因为各国政府都在面对数据跨境流动的加速，以及日益严重的经济、隐私、收入不平等和国家安全后果。在欧盟上周五晚些时候同意制定新的人工智能法规的几天后，白宫正在加紧克服内部分歧，就美国和其他国家政府应如何看待全球数据流的迅速崛起制定一项新政策。一位美国政府高级官员在接受采访时说，尽管世界上一些国家的政府越来越多地试图限制信息流动，但美国并没有放弃长期以来倡导的自由开放的互联网。

（插图：DA/cf928bae-bc49-4e93-9c58-f932e88a8ac7）

消息来源：彭博社

老王点评：越来越中心化的互联网早晚会分裂成一块一块的，这是不是另外一种意义上的“去中心化”？

2 AMD 认为可以通过芯片组件和代码解决功耗/发热问题

在过去的几年里，随着摩尔定律的放缓，半导体的温度逐渐升高，需要更多的功率来推动一代又一代的高性能。AMD CTO 说，芯片设计者仅仅在芯片中加入更多晶体管是不够的。AMD 最早优化能效的方法之一是将计算与 I/O 和内存分离，通过使用先进的封装进行扩展，以提高单个产品的密度，使其超过微粒极限。AMD 本周发布的 MI300 系列加速器正是采用了这种方法。该芯片有 APU 和 GPU 两种形式，由多达 13 个较小的 芯片组件 Chiplet 组装而成。AMD 目标是到 2025 年将计算效率从 2020 年的基线提高 30 倍。迄今为止，它只实现了 13.5 倍的改进。

（插图：DA/87c1847d-e9a5-4f84-874b-4967bd87a0d9）

消息来源：The Register

老王点评：每次人们都能想出来各种方法来继续推动摩尔定律。

3 E3 游戏展宣告死亡

主办方、非盈利游戏商会 ESA 正式宣布了这一消息。E3 创办于 1995 年，很长时间里是玩家最受期待的游戏展会，但过去几年因新竞争对手的出现、游戏行业主要巨头的退出、观众习惯的改变，以及新冠疫情的干扰，这些因素共同导致了 E3 的死亡。2011 年任天堂通过其 Direct 直面会开始以视频方式宣布新游戏和产品，索尼 PS 在 2018 年退出，引发了多米诺骨牌效应。E3 最后一次举办现场展会是在新冠前的 2019 年。疫情促使更多游戏公司以在线视频方式展示游戏。

（插图：DA/68ea5aa0-ee61-4a74-a4db-4300a4affc3f）

消息来源：Solidot

老王点评：时代变了。

1 Linux 内核直呼 666~

Linux 6.6.6 版本发布了，这个版本只是处理了另一个令人头疼的 WiFi 回归问题：IWD 无线守护进程在关机时出现死锁，用户空间的网络管理器也出现相关问题。与几天前发布的 Linux 6.6.5 相比，它唯一的改动就是撤销了一个 WiFi 补丁。该补丁被从 Linux 6.7 反向移植到了 6.6，在 Linux 6.7 Git 内核中不会出现这个问题，因为 6.6 缺少了 6.7 Git 内核中的一个关键元素。而就在之前的周末，由于从 Linux 6.5 回传的补丁存在问题，导致 EXT4 数据损坏，进而影响到了使用 Linux 6.1 LTS 点版本的 Debian 12.3 延迟发布计划。

（插图：DA/3f9b3a5c-c228-4d10-81d7-4be2ee0a4cb4）

消息来源：Phoronix

老王点评：Linux 内核越来越复杂了，回传的补丁经常难以照顾周全。所以，知道做 LTS 支持有多难了吧。

2 中国发布新一代超算“天河星逸”

据报道，“天河星逸”系统以应用为中心，采用国产先进计算架构、高性能多核处理器、高速互连网络、大规模存储等关键技术构建，在通用 CPU 计算能力、网络能力、存储能力以及应用服务能力等多方面较“天河二号”实现倍增。天河二号系统从 2013 年开始一直到 2015 年底 6 次位居世界 500 强榜首，但自从中国不再披露超算基准数据，一直没有关于天河三号的官方公开细节，也没有消息可以确认 “天河星逸” 是否就是天河三号。

（插图：DA/0a9772cd-cb5b-4e26-be85-06f6cb99e743）

消息来源：广州外事

老王点评：中国超算现在已经是隐藏的实力了。

3 英伟达今年投资了二十多家人工智能公司

这些被投资的公司，其中既有估值数十亿美元的大型新人工智能平台，也有将人工智能应用于医疗保健或能源等行业的小型初创公司。根据追踪风险投资的 Dealroom 估算，英伟达在 2023 年参与了 35 笔交易，几乎是去年的六倍。

（插图：DA/01d805e5-98bb-4f75-8391-4dc2748a267f）

消息来源：金融时报

老王点评：英伟达是直接用显卡投资的吧。

1 Go 程序员大多使用 Linux 或 MacOS

Go 团队在八月份对 Go 开发者进行了一项调查，调查结果显示 90% 的受访者表示他们在上一年使用 Go 时感到满意。他们在 Linux（63%）和 macOS（58%）系统上使用 Go 语言，但新的 Go 程序员更倾向于使用 Windows。虽然 x86 兼容系统仍占开发的大多数（89%），但 ARM64 现在也被大多数受访者使用（56%），这种采用似乎部分是由苹果芯片推动的。受访者最喜欢的代码编辑器是 VS Code（44%）、GoLand（31%）、Vim/Neovim（16%）和 Emacs（3%）。3/4 的受访者在使用云服务的 Go 软件上工作，这表明开发人员认为 Go 是一种适用于现代云开发的语言。

（插图：DA/3cf4022f-9a7a-460b-8be4-741c10daa2f7）

消息来源：Go Dev

老王点评：使用 Linux 的比 macOS 和 Windows 的要多，但是为什么使用 VS Code 的最多呢。

2 欧盟就《人工智能法》的推出达成共识

来自欧洲议会及其 27 个成员国的谈判代表克服了巨大分歧，签署了《人工智能法》的临时政治协议。争议点主要是生成式人工智能和警方使用面部识别监控等方面。这一结果是在上周举行的马拉松式闭门会谈后达成的，其中一次会谈持续了 22 个小时，“欧盟成为第一个为人工智能的使用制定明确规则的大陆”。关于最终法律的具体内容，官员们提供的细节很少，该法律最早要到 2025 年才能生效，预计将为进一步谈判留出余地，以制定出更细的条款。

（插图：DA/04fef112-325d-43c4-a6b1-1731cd9866b8）

消息来源：AP News

老王点评：就怕立法追不上 AI 的发展速度。

3 让网速感觉更快的新标准 L4S

这项名为 L4S 的新互联网标准已于今年 1 月定稿并发布，它可以大大减少我们等待网页或流媒体加载的时间，并减少视频通话中的故障。它还有助于改变我们对网速的看法，并帮助开发人员创建在当前互联网现实情况下无法实现的应用程序。L4S 是 低延迟、低损耗、可扩展吞吐量 Low Latency, Low Loss, Scalable Throughput 的缩写，其目标是通过减少排队的需要，确保数据包减少不必要的排队等待，花费尽可能少的时间。在某些情况下，数据包缓冲延迟通常为数百毫秒甚至数千毫秒，而 L4S 则可以将延迟时间降至几毫秒。更好的是，它与目前使用的拥塞控制系统广泛兼容。虽然 L4S 还没有被广泛使用，但苹果、谷歌、英伟达、爱立信、德国电信等公司都已经对此表示了极大兴趣。

（插图：DA/cdd2468a-758a-487e-b5bd-b908700ce05e）

消息来源：The Verge

老王点评：为什么这么好的协议改进，我居然之前都没听说过。

1 Linus Torvalds 谈 Rust 和 AI 编程

在 Linux 基金会的日本开源峰会上，Linus Torvalds 在访谈中谈到了在 Linux 内核中使用 Rust 语言的问题。Torvalds 说：“它一直在增长，但内核还没有任何部分真正依赖 Rust。……Rust 还没有真正显示出它是下一个伟大的事物。……要让它成为内核的重要组成部分，还需要数年时间。但它肯定会成为内核的一部分。”我们都知道 Torvalds 对 Rust 进入内核大开绿灯，他认为 “Rust 是技术上有意义的事情之一，……更重要的是，作为内核和开发人员，我们不能停滞不前”。有趣的是，还一个原因是“有一位（Rust）维护者明显比大多数维护者年轻得多。”

他也谈到了对 AI 编程的看法，当被问到是否认为会看到提交由 AI 编写的代码时，他说：“我相信这一定会发生。而且很可能已经发生了，也许规模较小，人们更多使用它来帮助编写代码。”与许多人不同，Torvalds 并不太担心人工智能，“很明显，自动化一直在帮助人们编写代码。这根本不是什么新鲜事。”而对于 AI 幻觉问题，他说：“我每天都能看到没有 AI 而出现的 bug。所以我才不那么担心。我认为，我们自己犯错误的能力还不错。”

（插图：DA/4794e383-cb3e-421e-876b-73720b421b57）

消息来源：ZDNet

老王点评：Linux 内核有这样一位自信而开放的领袖，确实幸事。

2 Meta 用 11 亿张用户照片训练其人工智能图像生成器

Meta 推出了一项独立的文本到图像人工智能生成器服务 Imagine，该服务建立在其名为 Emu 的人工智能模型上，这个模型是在 11 亿张 Facebook 和 Instagram 用户照片上训练出来的。Instagram 上每天上传的照片数以亿计，训练的照片只占了很小一部分。Meta 称排除了私人信息和未在其服务上公开分享的图片。不过，尽管 Meta 公司大力支持开源人工智能，但 Emu 和 Imagine 目前都还没有开源。

（插图：DA/c9b0a5ca-2f10-4467-bdac-0af3a1eba5cb）

消息来源：Venture Beat

老王点评：所以，公开上传的图片其实就是很好的 AI 饲料。

3 微软 DHCP 服务器软件被滥用来欺骗 DNS 记录

据 Akamai 安全研究人员称，只需对运行微软 DHCP 服务器默认配置的服务器发动攻击，就可能会让攻击者欺骗 DNS 记录、入侵活动目录并窃取其存储的所有机密。虽然目前还没有看到服务器受到这种类型的攻击，但在 Akamai 监控的数千个网络中，有 40% 的网络正在使用带有漏洞的默认 DHCP 配置，因此大量的企业都有可能受到攻击。微软 DHCP 服务器默认启用了 DHCP DNS 动态更新，这就是问题所在，除了创建不存在的 DNS 记录外，无需认证的攻击者还可以使用 DHCP 服务器覆盖现有数据。不过，微软接到报告后表示不打算采取动作，而 Akamai 将在不久的将来发布实现这些攻击的代码。

（插图：DA/e8fb1f7a-b4c8-41c2-afd4-e4bb55f8e2ce）

消息来源：The Register

老王点评：默认配置不安全难道不该修复，或者至少发个安全公告吗？

1 人工智能聊天机器人被用来越狱其它人工智能

现代聊天机器人有能力通过伪装特定性格或像虚构人物一样行事来扮演角色。新研究利用了这一能力，要求一个特定的人工智能聊天机器人充当研究助手。然后，研究人员指示这个助手帮助开发可以 “越狱” 其他聊天机器人的提示语。事实证明，研究助理聊天机器人的自动攻击技术在 42.5% 的时间内成功地攻击了 GPT-4，对 Claude 2 的攻击有 61% 的成功率，对开源聊天机器人 Vicuna 的攻击有 35.9% 的成功率。研究人员称，这种助理聊天机器人提升了 25 倍的越狱效率。

（插图：DA/43112e8c-6b66-45f5-b877-a0dd29ae9afa）

消息来源：Scientific American

老王点评：“黑化”的 AI 果然会影响更多 AI。

2 几乎所有密码管理器在安卓上会泄露凭证

当安卓应用程序在 WebView 中加载登录页面时，密码管理器被调用来自动填写凭证时，理想情况下，它应该只自动填写已加载的谷歌或 Facebook 等页面。但研究人员发现，自动填写操作可能会意外地将凭证暴露给底层应用程序。这个漏洞的影响非常大，尤其是在应用程序是恶意程序的情况下。几乎所有的密码管理器，包括 1Password、LastPass、Keeper 和 Enpass，在最新的安卓设备上都存在这个名为 “AutoSpill” 的漏洞。甚至，即使禁用了 JavaScript 注入，大多数密码管理器也容易发生凭据泄漏。该团队还在调查该漏洞是否可以在 iOS 上复制。

（插图：DA/d05324b2-2021-40ba-8d03-023261eea4c0）

消息来源：Tech Crunch

老王点评：这锅不能是 WebView 一个人背，这些密码管理器也要背。

3 苹果公司发布了可以发挥苹果芯片特性的机器学习框架

MLX 是一个类似于 NumPy 的阵列框架，旨在苹果处理器上实现高效灵活的机器学习。其目的是为使用苹果硬件的研究人员简化 ML 模型的训练和部署。这不是一个面向消费者的工具；它为开发人员提供了一个构建 ML 模型的强大环境。MLX 增加了对统一内存模型的支持，这意味着数组位于共享内存中，可以在任何支持的设备类型上执行操作，而无需执行数据拷贝。除了 Python API，MLX 还有一个功能齐全的 C++ API。

（插图：DA/c3e61e5a-8725-4938-b44e-075edff5edd1）

消息来源：Computer World

老王点评：看来苹果也在 AI 方面做了一些工作。