少了一个空格的错误指令导致僵尸网络瘫痪

安全专家们观察到一个利用 SSH 连接和脆弱的登录凭证来感染目标的僵尸网络 KmsdBot，该僵尸网络能够挖掘加密货币和发动 DDoS 攻击。专家发现，在该网络接收到一条格式错误的控制指令后，导致该僵尸网络瘫痪，并停止了其攻击。这条错误指令丢失了 URL 和端口号参数之间的空格，由于提供了错误的参数数量，出现了“索引超出范围”的错误，而导致 Go 程序崩溃。

消息来源：The Register

老王点评：编程错误经常有，而观察到僵尸网络因为一个编程错误而崩溃的机会却不多。估计背后的恶意黑客正在叹气。

亚马逊以每月 2 美元换取手机个性化广告

亚马逊邀请部分用户参与其广告验证计划，允许亚马逊跟踪其看到的广告，以提供更具有个性化的广告体验。受邀参加该计划的用户每月可得到 2 美元的奖励。目前该计划只针对英国和美国的部分亚马逊用户，希望加入的用户可以申请等待名单。

消息来源：Ars Technica

老王点评：人家看个性化广告还有钱拿，我们只能选择要不要个性化，反正广告总是要显示给你的。

新版 WinAMP 增加了对音乐 NFT 的支持

沉寂多年的 WinAMP 于今年 8 月复活，发布了一个 5.9 版本。现在它发布了一个修正版本，修复了一些错误和更新了一些组件。在此版本中，WinAMP 出人意料的添加对 NFT 的支持，只是这种 NFT 不是图片而是音视频。其称，“好处是艺术家可以通过创造稀缺性（例如发布独特或限量的曲目），和从歌迷之间的 NFT 的二手销售中获得分成来赚更多的钱。”

消息来源：Ars Technica

老王点评：说实话，我觉得与其将心思放在 NFT 上，不如好好重构 WinAMP。

开源固件基金会发布公开信要求英特尔开源 FSP

开源固件基金会发起一封给英特尔的公开信，呼吁英特尔开源其固件支持包（FSP）。FSP 二进制文件对英特尔系统的固件开放程度有很大的限制，也是在英特尔硬件上支持 Coreboot、LinuxBoot 和其他技术的一个限制因素。而行业对拥有开源固件的兴趣越来越大。开源固件有助于从解决安全问题到在系统的低层次上推动创新功能。

消息来源：Phoronix

老王点评：开源固件是自由硬件、自由软件的一块重要基石，也是英特尔一直舍不得放开的部分，不过我觉得以英特尔的对开源开放的态度，应该比英伟达更容易接受社区倡议。

Zstd 压缩固件的支持提交到 Linux 5.19

多年来，一直有人提议在 Linux 内核的固件处理中增加对 Zstd 压缩的支持，取代现有的 XZ 压缩，以节省磁盘空间，同时提供快速的解压缩。但这些补丁从未进入主线，而最终随着 Linux 5.19 的推出，它将会到位。以 .zst 结尾的固件文件将由 Linux 内核的固件加载器进行解压。

消息来源：Phoronix

老王点评：有时候不得不说，Linux 对于新技术的采纳太过于谨慎了。

Facebook 正在开发“隐私安全”广告产品

据称，Facebook 正在早期开发一个不依赖任何匿名用户个人信息的产品。Facebook 的工程师们称之为“基本广告”，它针对的是那些试图建立知名度和塑造产品认知的品牌广告商。该产品似乎与广告商使用 Facebook 的目标工具背道而驰。但是，既能提供规模，又能绕过 CCPA 和 GDPR 等数据法规的广告仍然会得到广告商的青睐。

消息来源：businessinsider

老王点评：那不就是随意投放么？确实是保护了隐私，不过你也可能会看到更多的广告。

Firefox 拦截了中国用户下载广告拦截扩展

据 蓝点网报道，Firefox 中国版以及国际版均已阻止了中国大陆用户访问其广告拦截扩展的下载页面，而在其它地区则没有被屏蔽。当用户尝试访问时会提示“此页面在您的地区不可用”，返回代码为 “HTTP 451 出于法律原因不可用”。但通过其它方式安装的拦截扩展目前可以正常工作。受影响的广告拦截扩展包括 uBlock Origin、AdGuard AdBlocker 等多款知名广告拦截器。据悉，此次屏蔽可能与芒果 TV 和酷 6 网对 Mozilla 基金会的中国子公司谋智的起诉有关。诉讼原因是 Firefox 安装广告拦截程序后可以屏蔽上述视频网站的片头广告，给原告方带来严重经济损失。Mozilla 在败诉后，提起上述，依然败诉。

老王点评：万恶的广告（商）！

以消除密码为己任的 FIDO 联盟

FIDO 联盟成员包括各大科技公司，其使命为减少世界上“对密码的过度依赖”，以最终实现大规模采用 替代密码的技术。无密码的 FIDO 标准依靠设备的生物识别扫描器（或你选择的主密码）来对你进行本地认证，而不需要将你的任何数据通过互联网传送到网络服务器上进行验证。其主要思路是让操作系统实现一个“FIDO 凭证”管理器，这有点类似于内置的密码管理器。这种机制是存储可以在设备之间同步的加密密钥，并由你的设备的生物识别或密码锁进行保护。

老王点评：密码系统因其屡屡成为安全短板而被人诟病，但是密码系统的结构非常简单，而这种无密码系统似乎又过于复杂了。我总觉得没有银弹，无密码系统或许也有它的问题。

Linux 内核的随机数生成器获得十余年来的重大改进

Linux 内核的 随机数生成器（RNG）不仅在 5.17 中最终废除了 SHA-1，转而使用 BLAKE2s，而且还将在 5.18 中将 /dev/random 和 /dev/urandom 统一起来，使它们之间没有任何区别。所以现在选择哪一个都是正确的，社区的争吵可以停止了。目前还没有改变 RNG 行为方式的任何根本。它仍在计算熵位，并拥有与以前相同的熵源集。但是，将这些熵源转化为加密安全的随机数的底层算法已经被彻底修改了。

老王点评：终于在 WireGuard 创始人的出手后，Linux 的 RNG 开始追上其它操作系统了。

美国认为萨尔瓦多采用比特币破坏了美国利益

美国两党提案《萨尔瓦多加密货币问责制法案》，要求美国国务院提交报告，说明萨尔瓦多采用比特币作为法定货币对美国金融系统的风险缓解情况。他们认为，“萨尔瓦多承认比特币为官方货币，为洗钱集团打开了大门，破坏了美国的利益。”此举很快引来萨尔瓦多总统愤怒的回应：“你们对一个主权和独立国家的管辖权为零！我们不是你的殖民地，也不是你的后院或前院。”

老王点评：比特币是不是只能用于非法目的且不论，但是这种法案显然就是美国一贯的“道理”。

OS/2 将有 Chromium 衍生浏览器

OS/2 Voice 社区称，新的基于 Chromium 的 Otter 浏览器 的公开测试版将“在 2 月的最后一周或 3 月的第一周到来”。OS/2 是 IBM 和微软在上世纪 80 年代末联合开发的操作系统，但在微软退出之后，IBM 最终在 2001 年停止了 OS/2 的工作。因为 OS/2 没有 Rust 编译器，当 Firefox 使用 Rust 代码重写后，在 OS/2 上保持更新版本的 Firefox 越来越困难。因而，OS/2 Voice 基金会在 2017 年就开始了 Otter 浏览器的开发，但是在移植 Qt5 上花了太多的时间。

老王点评：很多人都不知道 OS/2 或以为它已经消亡了，但是没想到这么古老的操作系统居然也开始投入 Chromium 的怀抱。

谷歌至少两年内不会淘汰安卓广告追踪技术

谷歌宣布，将在安卓手机上保留广告商依赖的 AdId 追踪技术 至少两年时间。这在很大程度上缓解了业界的担忧。去年，苹果调整了其 iOS 隐私政策，限制了一项类似的广告追踪技术，对广告商、应用程序开发商和数百家小型广告技术公司带来了显著影响，甚至 Meta 预计今年的广告销售额将因此损失 100 亿美元。

老王点评：毕竟谷歌是一家广告大厂，无论是出于自己的利益，还是反垄断诉讼考虑，支持广告追踪是明显的选择。

大型神经网络可能初具意识？

OpenAI 首席科学家 在 Twitter 上说“今天的大型神经网络可能已经初具意识了。”这个说法引来了 AI 专家们的大量讨论，有支持者，也有反对者。反击最激烈的就是图灵奖得主、Meta AI 首席科学家 Yann LeCun，他认为，人工智能还“没有达到‘稍微有意识’的下限，甚至还没有达到‘大型神经网络’的上限。”也有人说，“看到这么多著名的机器学习人士嘲笑这个想法，真是令人失望。”但大多数从事和研究人工智能的人认为，我们离创造有意识的人工智能还有很多年。

老王点评：对于如今已经可以完成一些不可思议的人工智能，是否已经初具意识，你怎么看呢？

Mozilla 和 Meta 提出新的隐私保护广告技术

这种 新广告技术 被称为“可互操作的隐私标注”（IPA）。其核心概念是用成批事件的汇总报告取代每个点击行动的广告报告。它具有两个重要的隐私保护特性：首先它使用多方计算避免任何单一实体如网站、浏览器开发商或广告商掌握用户行为；其次它是聚合系统，即其结果无法关联到单一用户。

老王点评：作为隐私保护先锋，Mozilla 这样浓眉大眼的也积极研究广告跟踪技术，这有点画风不对啊。

发现以太坊漏洞的白帽黑客获得 200 万美元的赏金

白帽黑客在以太坊 L2 扩展解决方案 Optimism 中发现了一个高危漏洞，允许攻击者无限制的复制以太坊通证。他在 2 月 2 日向项目方报告了漏洞，在其修复之后予以披露。在修复之后，项目方向这位白帽黑客奖励了 200 万美元。这是迄今为止最高的单笔 Bug 赏金之一。

老王点评：这种 Bug 是毁灭性的，所以这么高的奖金也是应当的。

苹果改变隐私设置将导致 Meta 明年损失一百亿美元

之前，苹果默认允许广告商在移动设备上跟踪用户，但用户可以手动关闭跟踪。去年苹果以隐私保护的理由改变了这一行为，要求应用向用户询问是否愿意被跟踪。调查显示，54% 的苹果用户在看到该通知之后选择不要跟踪。苹果的这一变动降低了定位广告的准确度，进而降低了对广告商的吸引力。Meta 称，这将导致该公司在 2022 年 损失一百亿美元，占到了 2021 年收入的 8%。而雪上加霜的是，谷歌也准备在安卓中引入了类似的变动。

顺便说一句，Facebook 18 年历史上它的 日活用户首次下降。

老王点评：虽然这保护了隐私，但是我觉得广告商们不会这样坐以待毙，或许我们会见到更多广告位？

Meta 将引入虚拟现实形象之间的强制性距离

Meta 公司 VR 应用“地平线世界”的测试用户抱怨在网上被摸，呼吁在他们的虚拟现实形象周围建立一个保护性的气泡。Meta 公司 周五宣布，它正在旗下两个 VR 应用上引入个人界限，人与人之间的距离将相当于 VR 中的四英尺。

老王点评：不过，某些场景下我们需要更近的距离，或许可以设置个亲密白名单。

微软正式禁用 MSIX 应用安装协议

微软 正式宣布，它已经禁用了 MSIX 应用安装程序协议（ms-appinstaller:）以防止恶意攻击。该协议允许用户直接从网络服务器上安装各种应用程序，而不需要先将其下载到本地。然而，这种 Windows 应用程序安装方式后来被发现用来分发恶意的 PDF 文件。微软表示，它正在研究如何在未来某个时候以安全的方式重新启用该协议，比如添加某些组策略。

老王点评：本意是出于方便，但是却被利用。很多事情都是这样，便利和安全彼此抵触。

回音

• 之前我们 报道过 ，GitHub 上可以冒充其它用户伪造仓库 URL。虽然 GitHub 不承认这是漏洞，但现在对这种类型的伪造 URL 给出了一个 提醒：“这个提交不属于这个版本库的任何分支，可能属于版本库以外的复刻。”