安卓的 Rust 代码中发现的内存安全漏洞为零

谷歌称，“在过去几年/版本中，内存安全漏洞的数量大幅下降。”每年的内存安全漏洞数量从 2019 年的 223 个下降到 2022 年的 85 个。Android 13 是第一个该版本中加入的大部分新代码都是内存安全语言的安卓版本，Rust 在 Android 13 所有新的原生代码中占 21%。在整个 Android 12 和 13 系统中，“在安卓的 Rust 代码中发现的内存安全漏洞为零”。

消息来源：9to5google

老王点评：这是 Rust 在产品领域很具有说服力的证明。

OpenAI 的新聊天机器人可以解释代码

OpenAI 发布了一个通用的聊天机器人原型 ChatGPT，可以以更像人类的方式和用户对话。虽然这种聊天机器人本质上是 “随机鹦鹉”，它们的知识仅仅来自于训练数据中的统计规律，而不是像人类那样对世界这个复杂而抽象的系统的理解。但有人用编码问题测试了它，并声称其答案是完美的。比如说，它会说“你使用的那个循环条件犯了一个严重的错误！”或者可以让它像一个聪明的黑客一样解释冒泡排序算法。

消息来源：The Verge

老王点评：能解释代码其实并不令人意外，要是能进一步可以帮忙审查代码就更好了。

英国年龄超过 50 岁的 IT 专家仅有 22%

根据英国计算机协会的研究，在当地 190 万 IT 专家中，只有 22%（41.3 万）达到或超过 50 岁，而英国其他就业领域中 50 岁以上的平均人数约为 56.1万。另外，老年技术人员的时薪中位数为 25 英镑，比整个 IT 专家群体的时薪高 14%。

消息来源：The Register

老王点评：看来 IT 还是吃青春饭的比较多，而且老了不值钱。

回音

• 一个被美国军方关联公司 掌握 的 SSL 根证书机构 TrustCor，其根证书被 Firefox 和 Edge 浏览器 停止信任。

可根据自然语言指令进行《我的世界》游戏的 AI

英伟达最近发布的一篇论文，披露了其为《我的世界》游戏训练的通用 AI 代理 MineDojo。研究人员给它输入了 73 万个 YouTube 视频（转录了超过 22 亿字），抓取了 7000 个维基网页，以及 34 万个 Reddit 帖子和 660 万条评论。人们可以用高级自然语言告诉 MineDojo 代理在游戏中做什么。不同于其它为电子游戏开发的 AI，它们往往只擅长特定的任务，研究人员开发了一个可扩展的训练框架，能够成功执行各种开放式任务的通用代理。

消息来源：Ars Technica

老王点评：能根据自然语言进行游戏，这距离通用 AI 更进一步了。

GPT-3 可以写押韵的诗歌和歌词

OpenAI 宣布了 GPT-3 的一个新模型，人们发现它可以生成押韵的歌曲、打油诗和诗歌，而这是 GPT-3 以前无法产生的水平。用机器生成诗歌并不新鲜，甚至早在 1845 年，发明家们就已经在想办法通过自动化来写出有表现力的诗句。但是，专家们特别指出，GPT-3 的最新模型可以将有关各种主题和风格的知识整合到一个能写出连贯文字的模型中。

消息来源：Ars Technica

老王点评：AI 甚至可以写押韵的诗歌，比那些下三路诗歌强了不止一点。

API 安全漏洞成为大量泄露数据的重要风险

恶意行为者利用 2021 年 12 月披露的一个 API 漏洞，获得了超过 540 万 Twitter 用户的数据。报告称，在过去 12 个月里，95% 的企业在生产用的 API 中遇到了安全问题，20% 的企业由于 API 中的安全漏洞而遭受数据泄露。API 攻击的一个不幸的现实是，这些系统的漏洞提供了对前所未有的数据量的访问。

消息来源：Venture Beat

老王点评：API 是一道通向内部的门，而设计一个完善安全的 API 的重要性，往往被人忽视。

欧盟允许在飞行中使用智能手机

欧盟委员会已经根据最现代的标准调整了关于移动通信的立法。在欧盟范围内，航空公司将能够在其飞机上安装最新的 5G 技术，允许乘客像在地面上一样使用他们的智能手机和其他连接设备。5G 覆盖将通过在飞机上安装一个所谓的 “微蜂窝” 来实现。

消息来源：Slashdot

老王点评：手机真的影响飞行安全吗？

96% 下载的脆弱的依赖关系是可避免的

据一份软件供应链状况报告，对软件供应链攻击的数量在过去的三年里增加了 742%。根据该报告，每月下载的脆弱的依赖关系多达 12 亿个。其中，96% 的下载有一个安全版本。此外，68% 的受访者确信他们的应用程序没有使用脆弱的库。然而，在对企业应用程序的随机扫描中，68% 的人在其开源软件组件中存在已知的漏洞。

消息来源：Venture Beat

老王点评：说到底，安全不仅仅是上游开发者的问题，更多是下游使用者的问题。

72% 的美国员工希望将简单重复的工作交给 AI

根据一项调查，72% 的美国员工会将发票管理、审计和简单的报告等工作任务委托给 AI，以便他们能够专注于使他们在工作中成长的任务。调查还发现，比起年长的工人，更多的 Z 世代对 AI 帮助他们工作感兴趣。

消息来源：Venture Beat

老王点评：这是大势所趋，其实我们身边也逐渐有了越来越多的 AI 接管的工作。

谷歌的秘密项目教 AI 编写和修改代码

这个名为 Pitchfork 的秘密项目现已转到谷歌实验室，旨在 “教代码自己编写代码和重写”。Pitchfork 能够通过机器学习技术训练 AI 编写代码、修复 Bug，以及更新代码。其最初目标是构建一款工具，可以将谷歌的 Python 编程语言代码库更新到较新的版本。但随着时间的推移，该项目的目标转向了一个通用系统：可以减少人类开发者编写和更新代码的需要，同时又能保持代码质量。

消息来源：Business Insider

老王点评：我觉得早晚有一天，绝大部分编程工作都变成了计算机自己进行的了。

谷歌安全团队称谷歌等安卓手机厂商迟迟没有修补漏洞

谷歌的 Project Zero 团队说，他们在 6、7 月间发现了 5 个新问题，并告知了 ARM 公司。ARM 在 7、8 月间发布了修复程序。然而，在三个月后，包括三星、小米、Oppo 和谷歌在内的智能手机制造商还没有部署补丁来修复这些漏洞。这些漏洞可以使恶意黑客绕过安卓系统的权限模型，获得对系统的完全访问权。

消息来源：Engadget

老王点评：安全问题的解决链路，光是上游着急也不行。

GitHub 正在测试在 Markdown 中嵌入 JavaScript

GitHub 正在内测在其仓库内的 Markdown 文件内嵌入 JavaScript 代码，这被称之为 “GitHub Blocks”。Markdown 通常用来做代码仓库的说明和文档。通过嵌入 JavaScript，调用 GitHub 提供的 RESTful API，可以使 Markdown 文件变成动态的。它的用例包括渲染字体和颜色，在格式化的表格中显示 JSON 数据，显示仓库分析，如贡献者、问题统计、提交和拉动请求，显示图表，以及动态演示应用功能。

消息来源：DevClass

老王点评：这样就把 Markdown 变成富文本的，动态的了，是不是和 Markdown 本身的初衷背道而驰了？

使用 AI 来创建幻灯片

一家初创公司借助 DALL-E 的 API 创建生成性的幻灯片（PPT），其产品旨在让用户在几分钟内，而不是几小时内创建幻灯片。他们发现，对于他们的大多数用户来说，“在几次尝试中可以得到一些有助于实现其观点的东西。”并且，他们还计划利用 GPT-3 对文件进行总结，添加到幻灯片中。

消息来源：Venture Beat

老王点评：这倒是一个好的应用，以后做 PPT 不用那么费劲就可以做出来了。

AI 辅助编程公司 Kite 关闭和宣布开源

成立于 2014 年的 AI 辅助编程公司 Kite 比 GitHub Copilot 起步更早，但很遗憾的是未能建立起一个盈利机制。Kite 虽然有 50 万月活跃开发者用户，但他们的支付意愿很低，仅仅提高程序员的编程速度 18% 并不能说服工程经理们掏钱。Kite 宣布停止运作，公开大部分源代码，项目托管在 GitHub 上。

消息来源：Kite

老王点评：看来 AI 替代人类进行编程，还有比较长的道路。

安全专家两年间秘密帮助解密勒索软件

安全研究人员在 Zeppelin 勒索软件的加密机制中发现了漏洞，并利用这些漏洞创建了一个工作的解密器，他们自 2020 年以来用于帮助受害公司恢复文件而不向攻击者付款。原本他们在 2020 年 2 月已经准备好了一份技术报告，但推迟了发布，以避免勒索黑帮知道，并悄悄帮助被勒索的机构恢复数据。可能是察觉了这种帮助解密的情况，现在 Zeppelin 采取了多次加密的方式来勒索赎金。

消息来源：Bleeping Computer

老王点评：说到底，勒索软件也是存在 bug 的，这就是和安全专家的博弈。

Meta 公司最新的大型语言模型仅在网上生存了三天

11 月 15 日，Meta 公司发布了一个名为 Galactica 的新的大型语言模型。它是一个用于科学的大型语言模型，由 4800 万篇科学文章、网站文章、教科书、讲义和维基等训练而成。Meta 公司将其模型宣传为研究人员和学生的捷径，说它“可以总结学术论文，解决数学问题，生成维基文章，编写科学代码，为分子和蛋白质做注解，等等。”但是，像所有的语言模型一样，Galactica 只是一个无意识的机器人，无法区分事实与虚构。几小时内，科学家们就在社交媒体上分享了它有偏见和不正确的结果。三天后，Meta 撤下了它的在线演示版本。

消息来源：Technology Review

老王点评：这可能是最短命的 AI。不过抛开夸大的宣传，它或许会有一些更务实的用途。

中国在全球顶级芯片峰会上发表的论文数超越美国

国际固态电路会议（ISSCC）将于明年初在旧金山举行。据会议委员会称，本次会议通过了筛选的 198 篇论文中有 59 篇来自中国，42 篇来自美国，32 篇来自韩国。中国论文数从第三位上升到第一位，中国在每个类别的入选研究论文数量都有所增加。ISSCC 于 1954 年首次举行，它是该领域最大和最著名的国际会议。

消息来源：日经新闻

老王点评：我们的芯片行业在进步，虽然这条路还很长。

对多因素认证的攻击正在增加

三年前，针对多因素认证（MFA）的攻击非常罕见，因为很少有机构启用 MFA。但随着微软、谷歌等开始推行多因素认证，对它的攻击开始增加。在这些攻击中，攻击者破坏了发给已经完成多因素认证的人的令牌，并复制该令牌以获得不同设备的访问。令牌是 OAuth 2.0 身份平台的核心，其目的是使用户的身份验证更简单、更快速，并能抵御密码攻击。微软的检测和响应团队发现攻击者为此目的利用令牌盗窃的情况有所增加。

消息来源：ZDNet

老王点评：道高一尺魔高一丈，安全的关键其实不是技术，是人。