新的 USB “橡皮鸭子”比以前更危险

USB “橡皮鸭子”看起来就像一个普通的 U 盘。但把它插入电脑，机器就会把它看作是一个 USB 键盘。最初的 USB “橡皮鸭子”在 10 多年前发布，成为黑客们的最爱，如创建一个假的 Windows 弹出框来获取用户的登录凭证，或使 Chrome 浏览器将所有保存的密码发送到攻击者的服务器。这些年来它也在不断更新。新的 DuckyScript 3.0 允许用户编写函数、存储变量和使用逻辑流控制，成为了一种功能丰富的语言。它还可以将数据编码为二进制格式，并通过键盘的大写锁定或数字锁定灯的闪烁作为信号，来窃取目标机器的数据。用这种方法，攻击者可以把它插上几秒钟，告诉别人："对不起，我想那个 U 盘坏了"，然后把它拿回来，并保存他们所有的密码。

消息来源：The Verge

老王点评：真是防不胜防，要我说，这些黑客工具的想法也真巧妙。

Copilot 将使计算机教育的编程练习变得毫无意义

有计算机教授担心 Copilot 将使传统的计算机教育的编程练习变得毫无意义，因为 Copilot 知道所有的答案。“据我所知，Copilot 在所有的入门编程作业上都接受过专门培训，Copilot 该死的喜欢编程入门作业。”虽然很多计算机编程练习可以在网上找到代码的例子，但老师也可以在谷歌上找到它们，然后用抄袭检测器将这些代码与提交的代码进行比较。而 Copilot 是不同的，它实际上产生了新颖的解决方案，在表面上有足够的不同，以至于它们看起来可能来自学生们自己写的。

消息来源：The Register

老王点评：确实，这就如同使用计算器来学习初等数学，并不能真的让人学会数学。所以，计算机教育需要为 Copilot 这类 AI 工具的到来做一些准备。除了限制对 Copilot 的访问，是否还可以做更多的事情？

新的后量子密码学算法将于 2024 成为标准

上个月，由恩智浦、IBM 和 Arm 的安全专家共同编写的专门安全算法被美国 NIST 选中，成为旨在应对量子威胁的行业全球标准的一部分。NIST 宣布了这些后量子密码学算法将在 2024 年成为标准。而目前通行的 RSA 和 ECC 等密码学算法用了十多年才确定了最佳标准。

消息来源：IoT Times

老王点评：先不说两年时间能不能准备好，我认为现在的抗量子加密学算法还未经受过考验，仓促之下怕是用处有限。

Facebook 创始人年轻时也曾宣誓捍卫用户隐私

2003 年 Slashdot 曾经 报道，哈佛大学新生扎克伯格和加州理工新生丹吉洛开发了一个系统，可以分析用户的音乐播放列表并学习人们的收听模式。这个制作播放列表的软件是他们的高中毕业项目。这篇帖子引起了微软和其他公司的注意，有公司给出了一份接近一百万美元的报价，但他们拒绝了。有趣的是，在该帖子的一个评论中，后来成为 Facebook 创始人的扎克伯格曾发誓要保护用户隐私，“除了你之外，你的音乐收听数据都不会提供给其他任何人。我们希望利用大量的数据来帮助分析，但你的个人数据将永远不会被其他人看到。”而后来成为 Quora 联合创始人和 CEO 的丹吉洛，也补充说，“我不会向人们发送垃圾邮件。我保证。”

消息来源：Slashdot

老王点评：曾经的年轻人都怀着淳朴的理想，然而成为巨龙之后，都喜欢珠宝。

研究人员发布可以本地运行的 Copilot 替代品

GitHub Copilot 是最近几个在 AI 帮助下生成编程代码建议的工具之一，但在许可证方面和该软件向微软公司发送遥测数据方面存在一些争议。美国纽约大学的一位研究人员开源了一个 Copilot 的替代品 FauxPilot，它可以在本地运行，而不会将数据发送回微软。FauxPilot 不使用 Codex，它依靠的是 Salesforce 的 CodeGen 模型。但该模型也是在 GitHub 所有的公共代码上训练的，因此许可证问题并没有得到解决。当然，你可以使用这个可以本地运行的 AI 模型专门针对某类许可证进行学习，或许针对你自己希望重复使用的代码进行学习。

消息来源：The Register

老王点评：如果计算量可以承受，我想这个开源的 AI 工具或许在某些开发组织里面发挥作用。

OpenSUSE 考虑移除 Reiserfs 文件系统

20 多年前，Reiserfs 首次引入 SUSE 时，它是当时领先的文件系统，首次为 Linux 引入了日志保护。但在 Reiserfs 作者因谋杀罪而入狱后，该文件系统的开发就停滞了。ReiserFS 一度是 SUSE 的默认文件系统。Reiserfs 现在缺乏用户期望拥有的很多功能，SUSE 的开发者制定了在 SUSE 滚动版中立即移除 Reiserfs 的计划，稳定版也将在几个版本后移除支持。而 Linux 内核从 5.18 开始正在逐渐弃用 ReiserFS，并计划在 2025 年完全删除相关代码。

消息来源：Phoronix

老王点评：本来颇有希望的一个文件系统，却中途崩沮。从某种意义上说，现在的很多开源项目还相当依赖其灵魂人物，一旦遇到“被卡车撞了”这样的意外，如果没有及时引起社区关注和接手，很可能就随同夭折了。

GitHub Copilot 来了，它能帮助程序员，为他们提供人工智能的编码建议，不过，它是否会让事情变得更糟呢？

在 2021 年，我曾花了好几个小时来翻阅 GitHub Copilot 文档，试图弄清楚如何能够加入它的技术预览计划。还好，这一切都得到了回报，我成功加入了预览计划。

而现在，它终于可供所有人使用啦！

如果你还不知道的话，GitHub Copilot 是一个 AI 助手，可帮助你更快、更高效地编写代码。

我能想到的最类似的东西，就是你手机上的（输入法的）自动完成功能。不过，与自动完成功能不同，GitHub Copilot 编写代码，就相当于是在完成整段的句子。

Copilot 现已可供大众使用

正如我在前面提到的，Copilot 已经处于技术预览阶段将近一年了。这意味着，GitHub 只允许非常有限数量的开发者免费使用它，以换取同意 GitHub 监控他们的使用情况，从而改进程序的最终版本。

看起来 GitHub 终于满意地向公众发布了它。现在，任何拥有 GitHub 帐户的人都应该能够使用它，尽管需要付出一定的代价（我很快就会在下面提到）。

公告 中提到：

直到不久前，人工智能都没有能够帮助改进代码，开发软件的过程几乎完全是手动的。现在，这种情况正在改变。今天，我很高兴地宣布，我们正在向所有个人开发者提供 GitHub Copilot。你的 AI 配对程序员来啦。

—— Thomas Dohmke，GitHub CEO

Copilot 作为免费的编辑器扩展，已经帮助数百万开发者加快了他们的编程速度。然而，它确实是有代价的，无论是直接的还是间接的。

GitHub Copilot 定价

与几乎所有令人兴奋的新技术一样，Copilot 对某些人来说可能过于昂贵。它将花费你 10 美元/月或 100 美元/年。

如果你是开源项目维护者或经过验证的学生，那么你可以免费使用它。

GitHub Copilot 不道德吗？

围绕 GitHub Copilot 产品的争议巨大且令人担忧。从技术上讲，这个人工智能是使用大家托管在 GitHub 上的代码来进行训练的。

因此，基本上，GitHub 是通过使用你的代码来提供一个新产品（如果你愿意的话，还可以加点料）。而且，关于 Copilot，可别忘了，自由软件基金会（FSF）也 建议 不要在 GitHub 上托管代码。

我们知道，企业总是喜欢利用事物，但有些人认为这应该不会直接损害托管在 GitHub 上的项目/代码。

但是，是这样吗？

简而言之，在 Copilot 发布后，许多开发者都分享说，他们发现 GitHub Copilot 生成了受版权保护的代码：

我试了下 GitHub Copilot，这是一项付费服务​​，来看看它是否会使用带有限制性许可证的存储库的代码。我检查了它，看看它是否有我在之前雇主那里编写的代码，该代码有一个许可证，只允许其用于免费游戏，并且需要附加许可证。是的，它确实有。

当然，如果我们查看 GitHub Copilot 的常见问题解答（FAQ），其中提到：

GitHub 不拥有 GitHub Copilot 生成的建议。您在 GitHub Copilot 的帮助下编写的代码属于您自己，由您自己负责。

所以说，你为一项服务付了费，最终却为你的项目增加了不便和更多的工作？

在我看来，就简化开发者的任务而言，这听起来一点儿也不令人兴奋。

你对此有什么想法？请在下面的评论区中分享一下吧！

via: https://news.itsfoss.com/github-copilot/

作者：Jacob Crume 选题：lkxed 译者：lkxed 校对：校对者ID

本文由 LCTT 原创编译，Linux中国 荣誉推出

懒人程序员们可以付费使用 AI 代写“作业”了

GitHub 宣布它的 AI 编程助手 Copilot 将开放付费使用，开发者可支付月费 10 美元或年费 100 美元。核实过的学生和流行开源项目的维护者可免费使用。Copilot 使用公开的代码库进行训练，在开发者写代码时根据函数名等上下文自动补完后续代码。很多时候 Copilot 补充的是公开代码库中代码片段的拷贝，在设置中提供了一个选项可以关闭来自公开代码库的代码补充建议。

消息来源：GitHub

老王点评：作为一个有 20 多年编程经验的人，我觉得这对编程人员来说可能并非好事。虽然它可能帮你更快、更轻松地编程，但是也可能导致你的编程基础技能进一步被削弱。最终，Copilot 的进一步强大和程序员越来越弱的编程能力，导致最终失业的是那些依赖 Copilot 的程序员们。

开源代码项目平均有 49 个漏洞

在最新《开源安全状态》报告中发现，一个开源的项目平均有 49 个漏洞和 80 个直接依赖项。修复开源项目漏洞所需的时间也在稳步增加。早在 2018 年，修复安全漏洞平均需要 49 天，而 2021 年则需要 110 天。该报告称，只有 49% 的组织制定了开源软件开发或使用的安全策略，对于大中型公司来说仅为 27%，甚至大约 30% 的组织中没有人直接负责和解决开源安全问题。

消息来源：SNYK

老王点评：开源软件从非主流变成主流，其原本的一些小问题也逐渐形成了大问题。在所有人都开始拥抱开源的时候，反而要审慎地应用开源，要对进入严肃应用场合的开源软件进行管理，使之可以避免一些固有的缺陷和风险。

研究发现区块链的中心化风险

近日，美国国防高级研究计划局（DARPA）发布了一份名为《区块链真的是去中心化吗？》的报告，发现区块链的关键漏洞有可能危及其所谓“去中心化”理念。根据该报告，至少在过去五年中，60% 的比特币流量仅通过三个互联网服务供应商，而 55% 的比特币流量是通过 Tor 进行的。这意味着这些供应商有可能拥有“改写历史”的能力，限制某些交易。此外，大约 21% 的比特币节点正在运行一个容易受到攻击的旧版本的比特币核心客户端。

消息来源：SecurityBoulevard

老王点评：毕竟区块链也是运行在网络上的，算法上的安全并不能解决基础设施不安全的问题。值此区块链暴跌的时机，这一报告又将雪上加霜。

回音

• Cloudflare 解释 说 20 日的 事故 是网络配置错误导致的。Cloudflare 称它修改网络配置本意是增加弹性，结果却导致其 4% 的网络受到影响，进而影响到它处理的大约 50% 的 HTTP 请求。

DuckDuckGo 浏览器对微软的跟踪程序网开一面

DuckDuckGo 的搜索主要是基于微软的必应搜索。最近，研究人员发现 DuckDuckGo 手机浏览器并没有阻止第三方网站上的微软追踪器。DuckDuckGo 解释称，微软不知道用户在 DuckDuckGo 上的搜索，DuckDuckGo 浏览器也屏蔽了所有微软的 cookie，但如果你访问了一个含有微软跟踪程序的网站，那么用户的数据将会暴露给必应搜索引擎和领英。DuckDuckGo 称，根据一份保密的微软搜索合作协议要求，他们为了从必应拉取搜索信息必须如此。

消息来源：Reviewgeek

老王点评：原来 DuckDuckGo 已经是微软的形状了。

GitHub Copilot 将对学生免费开放

去年 6 月，微软旗下的 GitHub 和 OpenAI 推出了 Copilot，它以一个可下载的扩展提供服务，支持 VSCode、JetBrains 等 IDE，可以根据现有代码的上下文提示代码行和功能。微软表示将在今年夏天全面发布这一工具，并将免费提供给学生和“经过验证的”开源贡献者。微软称在技术预览期间，有数万人经常使用该工具，开发者生成的 Java 和 Python 等语言的代码中，约有 35% 是由 Copilot 提示的。

消息来源：Techcrunch

老王点评：嗯，对学生免费——这是帮助学生们尽快上手编程实习职位吗？就是不知道用人单位会怎么想。

荷兰警方制作被害男孩的深度伪造视频，希望获得新线索

在一名少年被谋杀近 20 年后，荷兰警方在使用深度伪造技术将其“复活”后收到了几十条线索。2003 年，一位 13 岁的少年在鹿特丹地铁站的停车场扔雪球时被击毙。这件谋杀案让警方困惑了多年。在其家人的允许下，警方制作了一个视频，在视频中，这位少年请求公众帮助解决这起悬案。荷兰警方认为这可能是世界首例，视频中出现了该少年栩栩如生的形象，并请求知情者提供线索。

消息来源：卫报

老王点评：虽然深度伪造技术颇受非议，但是这种技术也能用在很好的地方。

大部分 Rust 程序员认为 Rust 很有挑战性，但值得

在对 Rust 社区的 年度调查中发现，使用 Rust 的人中，81% 的人至少每周都在使用这种语言。75% 的 Rust 用户表示用于生产环境。在工作中使用 Rust 的人，83% 的人认为它具有挑战性。只有 13% 的受访者认为该语言拖累了他们的团队，而 82% 的人认为 Rust 有助于他们的团队实现他们的目标。只有 1% 的受访者认为挑战不值得，而 79% 的受访者说肯定值得。90% 的人表示将有可能在未来再次使用 Rust。96% 的人使用它的人是因为它可以“构建相对正确和没有错误的软件”，其次是 92% 的人因为性能选择了它。

老王点评：Rust 虽然很难，但是明显已经准备好在生产环境取代 C 语言了。

FSF 公布五篇探讨 GitHub Copilot 的论文

FSF 称微软的 GitHub Copilot 为“服务即软件替代物（SaaSS）”，他们认为它“立即对自由软件运动和我们保障用户和开发者自由的能力提出了严重的问题”，因而向社区征文讨论这一新生事物。现在他们 公布了其中五篇论文，虽然 FSF 不一定同意或反对这些论文的观点，但认为它们推动了对这一问题的讨论。

顺便说一句，Copilot 的意思不是“复制许多”，而是指（飞机上的）“副驾驶”、“自动驾驶仪”，虽然确实是由 AI 从代码库中“复制”出许多代码的。

老王点评：这种写出的代码版权和知识产权该如何界定，还需要讨论，但是我认为这种技术是一种有益的进步。

中国手机品牌几乎统治欧洲最大的通信展

下周，世界最大的手机贸易展，世界移动通信大会（WMC）将在巴塞罗那举办。从目前的情况来看，展会上所有最大的硬件发布似乎都可能 来自中国，如 OPPO、荣耀、TCL、小米的子品牌 Poco 和华为，而不是前些年来自欧洲、美国，甚至像韩国这样的亚洲国家的品牌。截至去年，IDC 报告称，全球最受欢迎的五大智能手机品牌中的三个（小米、Oppo 和 vivo）总部都在中国，虽然第一和第二的位置被三星和苹果占据。

老王点评：虽然苹果和谷歌不太重视这个展会，但是也代表了中国手机制造行业的兴盛。

回音

• 之前我们 报道过 Linux 讨论废弃 ReiserFS 文件系统，现在已经标记该文件系统为废弃，并将在 2025 年删除它。另外，它的作者因杀妻入狱 15 年后，将在 2023 年获释。