內容管理系統Drupal在2018年3月爆出代號為CVE-2018-7600的客戶端程式碼執行漏洞Drupalgeddon 2，雖然官方已經釋出修正版本，但是根據研究，還有超過10萬個Drupal網站沒有更新，其中許多已經被入侵且植入惡意挖礦程式，不乏許多知名網站或是政府機構網頁。

資安研究員Troy Mursch使用程式碼搜尋引擎PublicWWW找到約50萬個使用Drupal 7的網站，經過他對這些網站進行掃描後，發現有115,070個使用容易被攻擊的老舊Drupal版本，134,447個網站沒有漏洞，而有225,056個網站無法確定Drupal版本。Troy Mursch提到，Drupal版本至少要到7.58才不會受到Drupalgeddon 2漏洞影響。

Drupal安全小組則認為，Troy Mursch的研究方法存在問題，因為他判別Drupal版本是根據網站上公開的CHANGELOG.txt，但可能在這115,070被Troy Mursch認為容易受攻擊的網站，已經做了相對應用的措施。對此Troy Mursch回應，要嘗試入侵50萬個網站絕對是非法的行為，因此他無法採取更進一步的方法，來證明這些網站都是易受入侵的，而他也認為，這115,070個網站使用過時的Drupal版本，本來就非維護網站安全的最佳實踐。

另外，也不是只有Troy Mursch在研究Drupal過期版本的漏洞議題，資安廠商Malwarebytes Labs也一直在關注Drupalgeddon 2漏洞被利用的情況。Malwarebytes Labs以網路裝置搜尋引擎搭配PublicWWW，對約8萬網站進行掃描，發現其中有約有900個網站確定受到入侵。大部分這些網站都託管在AWS等雲端環境，有許多都處在測試階段，雖然沒有對公眾公開，但也沒有更新或是刪除。另外，也有其他部分網站使用其他語言或是用途，但所有受害網站的交集就是過期的Drupal。

Malwarebytes Labs在客戶端發現的惡意軟體，其中有81％都是網頁挖礦程式，12.3％是假更新，剩下6.7％是技術詐騙。Malwarebytes Labs直指，2017年秋天是惡意挖礦行為最猖獗的時候，在2018年初已經有減緩的趨勢，是Drupal的漏洞重新燃起了這個趨勢。該公司提到，很明顯加密貨幣採礦是現在惡意注入攻擊首選，有許多公開以及私有的API讓這個攻擊變得容易，而且他們正被大量惡意的使用中。

受漏洞影響的網站會隨著時間增加，Malwarebytes Labs認為，CMS的漏洞修補仍然是個問題，潛在的受害網站數量的成長從來沒有停止。根據他們對8萬個網站的調查，還有三分之一的網站使用Drupal 7.3.x，而這是2015年8月釋出版本，加總7.2、7.3以及7.4這些容易受Drupalgeddon 2漏洞影響的網站數量，超過整體的一半。

「企業決策者多半浪費了90%的精力，來篩選、尋找有價值的數據」，曾被選為美國Top 4技術長的Teradata技術長Stephen Brobst如此說道。隨著AI風潮崛起，過去大力擁抱大數據分析的企業，紛紛轉向投入機器學習、深度學習技術。

但Stephen Brobst認為，企業對這些技術的運用方式，用錯地方。他認為，企業應該利用人工智慧和機器學習技術，來尋找對決策制定有影響的數據，而不是浪費大把時間來梳理數據。「這不是決策者該做的事。」

儘管調查機構Gartner預測，2020年時，超過3成CIO會將AI作為企業IT五大投資重點之一，但在Stephen Brobst看來，人工智慧只是一個市場行銷用語，他認為，許多企業CEO常把AI掛在嘴邊，認定AI能拯救公司，因此給出許多承諾，要用AI來改善各種現狀，不論目標實不實際，也要求公司CIO得實現這些承諾。「AI就像一把大傘，包羅萬象，但也可能什麼都不是。」他提醒。

就像Hadoop，也曾一度被企業視為是資料分析的銀彈，以為可以解決任何問題，後來發現也不盡然。他建議，企業得對人工智慧（AI）有正確的期待，必須先了解AI到底能做什麼、不能做什麼，而非對AI有過度期待，誤以為它就可以解決所有問題。

相較於沒有明確定義的人工智慧，機器學習是比較具體的技術。Stephen Brobst解釋，現今提到的機器學習，多半指的是線性數學，可用來歸類和預測結果，而且大多已是研究了數十年的資料探勘技術。

「人們對AI總有一種好萊塢式的想像，會問說機器能不能思考？」Stephen Brobst直接了當地回答：「不，機器不會思考。」他補充，比較適當的修正問法應該是，機器能不能仿照人思考特定問題的過程，來處理同樣的情況，「這個答案就會是可以，不過，只是有時，而非總是可以。」不過，靠機器來處理問題的好處是，可以比人更快、更便宜，甚至不用5秒就可以做出決定。

Image may be NSFW.
Clik here to view.

企業得先了解AI能做什麼、不能做什麼，而非過度期待，誤以為AI可解決所有問題。── Teradata技術長 Stephen Brobst　（圖片來源／ Teradata）

機器學習和深度學習的應用與工具

機器學習正是利用疊代學習技術，讓電腦可以從數據自動找出可用的趨勢和洞察，而不是靠人工定義明確的規則來尋找數據的意義。也因此，「機器學習技術的優點是快速、低成本和高準確率。」他說。

而深度學習，則是更進一步運用比機器學習更多層的神經網路，來分析數據，並從中找出模式。Stephen Brobst提到，深度學習可以容忍雜訊高的數據，也能夠整合看似不相關的數據來源，還能解釋數據中非線性的關係。甚至，他強調，深度學習有趣的地方，在於它的「自動化」。進一步說，深度學習具有自動抽取特徵（Feature Extraction）的能力，人們也稱之為特徵學習（Feature Learning）。

正因為深度學習適合用來分析複雜、高維度的數據，比如影像、音訊、影片、時間序列和文字檔等，或像是即時數據流、感測器數據等。也因此在各行業開始出現廣泛的應用，如在汽車業將深度學習技術用於自駕車的導航系統，利用深度學習圖像辨識的優勢，來識別路標、交通號誌和道路狀況等。而在高科技製造業，也能用深度學習技術辨識影像和音訊，來優化工廠營運。在醫療業也透過深度學習技術來判讀醫療影像，或是來尋找新藥組合。

不過，Stephen Brobst認為，深度學習最大的價值是這3個領域：預測配對、詐騙偵測和故障預測。第一個預測配對應用，指的是透過分析顧客過往的網路行為歷史，比如購買歷史或瀏覽歷史，進而預測、推薦顧客可能會需要的產品或服務。他舉例，不少零售業者利用深度學習技術，以數據為原料，來打造推薦引擎（Recommendation engines），成功讓特定類型產品的銷量增加了30％。

其次是詐騙偵測，Stephen Brobst解釋，由於詐騙人士常在網路活動中隱藏自己的足跡，但藉助深度學習用多層神經網路來分析複雜的數據，能夠找出這些詐騙人士的活動模式，進而有效偵測詐騙，而且「深度學習模型的預測力，比傳統線性數據分析模型要好上許多」。電信業、零售業和金融業等產業都可運用這類反詐騙偵測技術。知名第三方支付服務商PayPal，就是利用深度學習成功偵測出詐騙行為的例子。

Image may be NSFW.
Clik here to view.

Teradata技術長Stephen Brobst列出了一份深度學習主要開源工具，這也是他認為企業想導入深度學習時可參考採用的技術。　（攝影／王若樸）

PayPal光是2017年交易量超過77億次，出色的成績也引來不少有心人士。PayPal透過深度學習技術來偵測詐騙行為模式，以過濾可疑的使用者或遭盜用的帳號。PayPal從支付交易歷史資料中，甚至還有使用者登入裝置，或是交易時的地理位置、IP地址和使用者帳戶資料等資料點，來建立詐欺行為特徵的模型，來分析每筆交易的細節，以判斷是否有詐騙或盜用情形。過去靠線性模型只能處理20到30個變數，但PayPal改導入深度學習技術後，可以處理到數千個資料點，更容易從大量資料中找出偵測模型。

Stephen Brobst舉的另一個例子是丹麥銀行的詐騙檢測系統，過去作法是先仰賴專家人工建立的規則引擎來篩選詐騙事件，再展開進一步調查，但這樣的篩選誤報率很高，導致後續調查費時費工，也只能順利找出4成的詐騙事件。有時銀行一天就會收到1,200件誤報事件（正常交易，但被規則引擎誤判為疑似詐騙交易），導致大多數調查工作都是做白工，也讓這些應該正常完成的交易，為了調查而暫停或延後執行，進而影響了不少顧客的生意。後來，丹麥銀行導入Teradata深度學習技術，以真實發生的詐騙案例為數據來源，來訓練誤報事件的判斷模型，讓報錯率大幅減少至少6成。隨著誤報事件的減少，詐欺調查資源也可以集中，進而提高了成功找出詐騙交易的比例。

此外，丹麥銀行還採取了「冠軍／挑戰者」（Champion／Challenger）的方法，透過不斷比較模型效果，來優化最終的深度學習預測模型。每個挑戰者（也就是每個模型）的預測表現若低於門檻，系統就會匯入更多資料，比如客戶的地理位置或最近ATM交易資料，讓挑戰者重新訓練新模型，不斷比較每個挑戰者的表現，並從中選出冠軍，來找出最有效率又最能避免報錯率的模型。最後，丹麥新的檢測系統可以分析每年數百萬次的交易行為，甚至尖峰時期可以分析每分鐘數十萬次的交易行為。

儘管在金融業，運用深度學習來進行詐騙偵測頗有效果，不過，Stephen Brobst認為，深度學習運用最有成效是第三個應用領域，也就是故障預測。他解釋，透過感測器蒐集到的數據，比如IoT裝置的數據流、工廠機器感測器數據，或是自駕車和飛機引擎感測器的數據等，然後以深度學習演算法分析，可用來預測機器什麼時候會故障，並因此提早維修，避免事故發生。這些用來分析的感測器數據，不論是簡單的溫度、壓力和功耗數值，或是複雜的機器運轉聲音等非結構化資料，都可以放進深度學習模型中訓練來進行預測。

儘管深度學習在以上三方面表現突出，但卻不代表它是萬用金鑰。Stephen Brobst表示，「深度學習雖然是解決問題的好方法，卻不見得是最好的方法。」結合淺層學習和深度學習來解決問題，也未嘗不是個好辦法。他進一步解釋，淺學習與深度學習的結合，就是線性數學模型與非線性模型的結合，而線性模型可用來完成簡單任務，比如在網購上用淺層學習，就足以預測顧客挑襯衫會順便看領帶，所以，系統應推薦幾款領帶給顧客。但是，「若要進一步依據不同顧客的偏好，更精準推薦領帶的款式，實現個人化行銷，就得用到深度學習的非線性模型來分析。」他說。

在對機器學習和深度學習的能力有所了解後，才能給予合理的期待。下一步就是要知道，有哪些工具適合打造深度學習模型？Stephen Brobst表示，開源機器學習框架TensorFlow就是一個廣受歡迎的工具，因為它可適性強，可以應用在不同設備或環境上，不論是雲端、移動裝置或使用CPU和GPU都支援，也支援多種語言，如Python和C/C++。而其他開源框架，他也推薦兩個開發人員愛用的工具，適合訓練CNN的Caffe和RNN的Torch。

而以資料倉儲起家的Teradata，Stephen Brobst表示，近來在深度學習的布局也正是鎖定第三個應用領域，在自家數據分析平臺（Teradata Analytics Platform）上，最近推出了4D Analytics功能，主打IoT邊緣裝置的數據分析。

這套分析平臺的4D Analytics，是指在原本的3D空間位置數據外，還加上了第四維度的時間，讓使用者可以在Teradata分析平臺上處理地理空間、時態和時序數據。由於許多感測器的數據會隨著時間不斷有微妙變化，比如飛機每次起飛的高度，但人們常忽略這些變化，而4D Analytics就像一連串的截圖分析一樣，來呈現不同感測器在不同時間的數據。例如可分析一段時間內，地鐵、計程車或餐廳人潮的變化，作為智慧城市發展的參考，或是分析穿戴裝置或醫療設備上的心跳變化數據等。

用開源框架LIME來面對不可解釋性的挑戰

不過，雖然深度學習可帶來精準預測，但卻有不可解釋性的問題。Stephen Brobst表示，一般線性數學有公式可以解釋預測結果，但由於深度學習由層層神經網路堆疊而成，涉及非線性數學，而其中又有許多隱藏層，就像黑盒子一樣，無從理解演算法運作的原理。也因此，人們對於深度學習演算法做出的決策，會抱持懷疑態度，像是在金融業等，對可解釋性就有嚴苛的要求。而在醫療方面，Stephen Brobst舉例，雖然已知某套演算法的判斷能力通常比人要好，但當它告知醫生該給某位病人截肢時，醫生還是會質疑，或是不願意做，因為他們不了解系統下決策的原因。

然而，面對不可解釋性的挑戰，Stephen Brobst表示，現在也有一些方法用來加強深度學習的可解釋性，其中一個就是華盛頓大學開發的開源框架LIME（Local Interpretable Model-Agnostic Explanations）。LIME試圖透過一些局部保留、取樣的作法，嘗試建立一個較可理解的解釋層，例如用簡化模型來描述深度學習模型所抽取的特徵，來幫助解釋為何某些特徵比較重要。丹麥銀行的防詐騙深度學習模型也應用了LIME框架在深度學習模型上增設了一個解釋層，來說明諸如封鎖某交易的原因，提高透明性來爭取顧客信任。

 CTO小檔案 

Teradata技術長Stephen Brobst

學歷：MIT電腦科學暨人工智慧博士

經歷：1999年進入Teradata，現為該公司技術長，主導產品技術研發，2014年時更入選為美國Top 4技術長。加入Teradata前，他則是一位連續創業家，創立過Tanning、NexTek和Strategic科技系統等三家專注於資料庫技術的新創。不只業界經驗豐富，也曾任教於波士頓大學和麻省理工學院。

Image may be NSFW.
Clik here to view.

 公司檔案 

Teradata

● 成立時間：1979年

● 主要業務：提供客戶大數據分析、資料倉儲和整合行銷管理解決方案

● 總部：美國俄亥俄州

● 全球員工數：11,100人

● 年營收：約21.6億美元（2017年）

● 總裁兼CEO：Victor Lund

 公司大事紀 

● 2014年：併購Think Big Analytics

● 2016年：推出Teradata Everywhere服務

● 2017年：發布Teradata分析平臺

● 2018年：在分析平臺中，新增4D Analytics功能

經過多次的產品策略調整後，現在HPE將逐漸把旗下的超融合產品，統一在HPE SimpliVity 380這條產品線上。我們這裏介紹的HPE SimpliVity 380 Gen10，是這條產品線最新產品，由HPE最新的DL380 Gen10伺服器，搭配SimpliVity OmniStack儲存軟體平臺而成，採用全快閃儲存組態，可支援VMware vSphere或微軟Hyper-V兩種虛擬化環境，提供具備高可用性與擴展性的儲存環境，還有一系列附屬進階應用功能。

自主儲存核心平臺的轉換

在超融合產品這個領域，HPE算是走得比較波折，歷經了數次更換核心儲存平臺的策略轉折。

儲存叢集軟體平臺是超融合系統的核心所在，可以說超融合系統其實是在儲存叢集軟體平臺上搭建起來的，也是超融合系統廠商的核心技術所在，因此各廠商都是在自身的儲存平臺上發展，幾乎不會有更換這個核心系統的情況——HPE卻是個例外。

HPE是在2014年時進入超融合系統領域，當時是在還未分拆前的HP時期，並且是以VMware EVO:RAIL超融合系統聯盟成員的身分，推出基於VMware vSAN儲存叢集的EVO:RAIL架構的超融合產品。嚴格來說，EVO:RAIL更接近一種OEM型式的產品，HPE只提供伺服器硬體，軟體則是VMware提供，而沒有HPE自主的軟體平臺。對於身為一線大廠的HPE來說，自然不會滿足於這種受制於人的情況，很快就在2014年底，HPE又以自身的StoreVirtual VSA儲存叢集軟體為基礎，推出自主儲存平臺的超融合產品。

接著HPE在2015年中退出EVO:RAIL聯盟，專心經營基於StoreVirtual平臺的超融合產品。接下來的2年時間，HPE雖然數次更新基於StoreVirtual平臺的CS與HC超融合產品線，但受限於StoreVirtual這個較老的平臺，並沒有很大的進展。

源自LeftHand的StoreVirtual，是一款歷史悠久的SAN類型儲存虛擬化軟體，是HPE在2008年併購LeftHand後所取得的產品，2012年才更名為StoreVirtual，目前版本已更新到12.7版，不僅擁有建構高可用性儲存叢集的能力，也擁有豐富的進階資料服務功能。

儘管StoreVirtual有著久經考驗、便於部署的優點，但相較於其他超融合伺服器採用的儲存叢集系統，StoreVirtual也顯得功能與架構比較老舊，雖然支援SSD+硬碟的混合儲存組態，但SSD只是做為儲存分層使用，而沒有SSD快取功能，另外也沒有壓縮與重複資料刪除等較新穎的功能。在StoreVirtual的舊架構制約下，也影響了HPE超融合產品的競爭力。

而HPE解決超融合系統競爭力問題的手段，便是在2017年初併購SimpliVity。

SimpliVity成立於2009年，是專門發展超融合應用系統的新創廠商，2012年推出首款基於專屬OmniStack平臺的超融合伺服器產品OmniCube，在超融合領域享有不錯的評價，是這個領域領導廠商之一。以SimpliVity的OmniStack軟體平臺為基礎，HPE很快就在2017年中時，推出新的HPE SimpliVity 380超融合伺服器產品。

所以從2014年起算，HPE的超融合系統核心儲存軟體平臺，先後經過了VMware vSAN，StoreVirtual VSA，以至目前的SimpliVity OmniStack，一共經歷了3個世代，雖然沒有任何一種是HPE自身獨立研發，不是OEM就是透過併購取得，充滿了大廠的資本運作色彩，不過後兩者都是HPE可以自主掌控的系統平臺，也算是一種自主平臺。

目前HPE同時維持StoreVirtual，以及SimpliVity OmniStack兩種超融合軟體平臺，但未來會完全轉到SimpliVity平臺上。

Image may be NSFW.
Clik here to view.

HPE SimpliVity 380是HPE旗下最新一代超融合伺服器產品，以源自SimpliVity的OmniStack 3.0儲存叢集系統為基礎，結合vSphere或Hyper-V虛擬化平臺，以及HPE的DL380 Gen10伺服器而成，可提供從單節點到8節點的超融合應用環境。

獨樹一格的超融合平臺

能吸引HPE併購，SimpliVity的OmniStack自然有過人之處。OmniStack的主要功能，是為上層的Hypervisor環境，提供具備高可用性與擴展性的Scale-Out叢集儲存空間，這和其他超融合軟體平臺沒甚麼不同，特別之處在於，OmniStack是以獨有的軟硬體整合架構，來提供儲存叢集服務。

標準的超融合伺服器產品，都是純粹的軟體定義型式，硬體部份是單純的x86通用伺服器。OmniStack則不同，引進了專屬的硬體元件，擁有RAID卡與專屬加速卡的配置，其中RAID卡可為每臺伺服器提供基本資料保護，加速卡則適用於執行壓縮與重複資料刪除運算作業，因而能有效減輕伺服器主機的負擔，解決一般超融合產品因負載混雜，以致難以管理效能的問題。

另外，OmniStack的進階資料服務也值得一提。其他一些超融合系統的儲存叢集雖然也提供快照、Clone或複製等服務，但都是以儲存端的LUN或Volume為單位執行。而OmniStack內含的VM備份、VM Clone與VM遷移等附加功能，全部都是以個別VM為單位來執行，可與Hypervisor的VM管理無縫的整合。

HPE SimpliVity 380儲存組態

相較於歷來的HPE超融合伺服器產品，SimpliVity 380的儲存規格有了重大異動，只支援全快閃儲存組態。

SimpliVity 380的硬體部份，與HPE上一代超融合伺服器HC 380一樣，都是採用HPE自身的ProLiant DL380伺服器，不過儲存規格大異其趣。

2016年發表的HC 380，和2年前當時的多數超融合伺服器產品一樣，同時支援硬碟與SSD兩種儲存裝置，以儲存區塊（storage block）為單位，將機箱正面的24個2.5吋磁碟槽區分為3個儲存區塊，每個含有8臺磁碟，HPE為HC 380提供了13種儲存區塊規格選項，包含混合配置（SSD+硬碟）、純硬碟配置與全快閃配置等3種類型。

而到了2017年中推出的SimpliVity 380，則改為只支援全快閃組態，不僅可提高效能，也便於效能的管理。SimpliVity 380先後有兩種版本，分別是較早期基於DL380 Gen9伺服器的舊版本，與2017年11月推出、改用DL380 Gen10伺服器的新版本，無論新版或舊版，SimpliVity 380都只支援SSD，並同樣以5臺、9臺與12臺SSD為配置單位。

其中SimpliVity 380 Gen9可提供4種儲存組態，而SimpliVity 380 Gen10一開始則只有2種，不過現在已增加為5種組態。

就儲存容量來看，儘管SimpliVity 380只支援SSD，但最大容量其實還是超過上一代同時支援硬碟與SSD的HC 380，前者單節點最大容量可達46TB，後者則只有40.2TB。

再加上SimpliVity 380還能提供HC 380沒有的重複資料刪除與壓縮功能，可以進一步提高儲存空間的使用效率，讓SSD發揮比帳面容量規格更大的可用空間。

Image may be NSFW.
Clik here to view.

採用全快閃儲存組態

目前Gen10版的SimpliVity 380一共有5種儲存組態可選，涵蓋4.8TB到46TB的範圍，分別為（1）超小：960GB SSD×5臺；（2）小：1.92TB SSD×5臺；（3）中：1.92TB SSD×9臺；（4）大：1.92TB SSD×12臺；（5）特大：3.84TB SSD×12臺。不過其中"特大"容量組態，只有4000系列的機型才能提供。

OmniStack的專屬加速卡

搭載了專屬的加速卡，可說是HPE SimpliVity 380最的大特色。

標準的超融合伺服器產品，是純粹的軟體定義型式，硬體元件只有伺服器本身的處理器、記憶體，以及搭載的硬碟、SSD與網路卡，完全依靠系統軟體來實現運算、儲存管理，以及資料保護功能。

但軟體定義化也造成不同運算負載混雜，效能管理不易的副作用。無論是上層VM的運算負載，還是底層儲存叢集的儲存相關運算負載，都同樣由伺服器主機承擔，一旦底層的儲存叢集系統，啟用即時壓縮與重複資料刪除功能等高負載的儲存服務，便會衝擊到上層VM的運算資源。

針對這個問題，HPE SimpliVity 380則提供了特別的解決辦法——由專用加速卡來執行壓縮與重複資料刪除，以便把這些負載從節點主機卸載下來，近而把節點主機的運算資源盡可能留給VM使用。

這張加速卡全名稱作OmniStack Accelerator Card（OAC），顧名思義是專門搭配SimpliVity OmniStack儲存軟體平臺的硬體裝置。OAC卡本身是全高度、全長度、雙寬度的PCIe介面卡，由1張運算卡與1張內含超級電容的供電卡組成。

運算卡的核心是ㄧ顆Xilinx Zynq FPGA SHA-1與壓縮引擎晶片，搭配512MB DRAM記憶體、8GB NVRAM記憶體與32GB NAND快閃記憶體，還有1組檢測管理用的網路埠（預設關閉）。供電卡的部份，則含有12顆超級電容。

運作時，OmniStack儲存軟體平臺會資料讀到OAC卡上，執行壓縮與重複資料刪除運算，若系統遭遇斷電事故，則可藉由超級電容的供電，將資料寫入OAC卡的快閃記憶體中保存。

Image may be NSFW.
Clik here to view.

OmniStack加速卡圖解

全名稱作OmniStack Accelerator Card（OAC）的硬體加速卡，可搭配HPE SimpliVity 380的OmniStack儲存平臺，提供壓縮與重複資料刪除運算功能。

HPE SimpliVity 380硬體解剖

自2014年推出旗下首款超融合伺服器產品起，HPE的超融合伺服器在硬體部份，都一直採用自身的2U伺服器，但伺服器型式經過多次更動。

從第1代的超融合伺服器CS 200-HC與CS 240，到第2代的CS 250/HC 250，都是使用2U/4節點Apollo 2000伺服器機箱，差別只在於後者的節點規格較新。這2代產品都是高運算密度路線，但每個節點的磁碟容量與介面卡擴充能力，相對十分有限

而從2016年推出的第3代產品HC 380起，則改用HPE主力ProLiant伺服器系列中的DL380 Gen9，是標準2U/單節點機箱，運算密度不如先前的Apollo 2000，但可為每個節點提供更大的磁碟容量，以及介面卡安裝空間。

接下來在2017年中發表的第4代產品SimpliVity 380，一開始也是使用DL380 Gen9，不過很快就更新為DL380 Gen10，處理器從先前Gen 9的Xeon E5-2600 v4，換成新一代的Xeon Scalable，單一節點的最大處理器核心數同樣是16～44個，但處理器架構從Broadwell平臺換成Skylake，並新增可選擇1或2顆處理器的選項（先前是預設固定配置2顆處理器）。記憶體容量也從142～1,467GB，略為提高到最高1,536GB。

不過，比起底層的伺服器規格更新，SimpliVity 380的最大特色，是安裝了1張RAID卡與1張專屬的硬體加速卡，其中RAID卡用於提供基本RAID保護，加速卡則是專門搭配OmniStack軟體平臺，用於執行壓縮與重複資料刪除運算功能，以卸載處理器的運算負擔。

Image may be NSFW.
Clik here to view.

相較於HPE早期超融合產品採用2U/4節點機箱，HPESimpliVity 380改用基於DL380的2U/單節點機箱。

Image may be NSFW.
Clik here to view.

I/O介面規格

每臺SimpliVity 380節點，都直接在主機板上內含了1組管理用的iLO管理埠(1)，以及4組GbE埠(2)，另外還可選擇搭配1張10GbE FlexLOM模組，以額外提供2組10GbE埠(3)。主機板上另預留了3個空的PCIe插槽(4)，可安裝選購的4埠GbE網路卡、雙埠10GbE或10/25GbE網路卡。

Image may be NSFW.
Clik here to view.

RAID卡與加速卡

RAID卡提供基本RAID保護，加速卡可搭配OmniStack軟體平臺，用於執行壓縮與重複資料刪除運算功能。

Image may be NSFW.
Clik here to view.

電源供應器

2組1600W電源供應器提供熱備援的電力供應。

Image may be NSFW.
Clik here to view.

RAID卡與加速卡

可選擇安裝1或2顆Xeon Scalable處理器，包括Xeon Silver 4100、Xeon Gold 5100、6100系列。主機板上一共有24組記憶體DIMM插槽，可選擇安裝8GB、16GB、32GB或64GB的RDIMM記憶體模組。主機板透過Riser board提供的6組PCIe擴充槽中，有3組已經被RAID卡與加速卡占用。Gen10伺服器另一個特點是電源供應器尺寸縮小，所以在機箱背面還有額外空間，可以配置2個磁碟槽，用於補充機箱正面的磁碟槽，提供比標準2U機箱更多的磁碟槽數量。

OmniStack軟體平臺的管理功能

OmniStack原本只支援VMware vSphere這一種Hypervisor，但不久前的5月初新增支援對微軟Hyper-V，目前最新版本是3.7.4版。

除了系統底層含有專用硬體加速卡之外，OmniStack部署與運作方式，與一般超融合軟體平臺沒太大差異，透過每臺節點上部屬的虛擬化控制器，將各節點儲存空間合併為叢集儲存空間，並透過NFS協定將儲存空間提供給Hypervisor，供VM儲存使用。

在系統管理方面，OmniStack沒有獨立的控制臺，是透過嵌在vCenter Web Client，或微軟System Center控制臺中的介面來管理。也能與HPE的OneView Global Dashboard管理介面整合，由後者統一監控管理。

OmniStack的最小系統規模是單節點，是最早提供單節點組態的超融合系統，不過原廠建議至少以2臺節點來組成叢集，以提供起碼的高可用性能力。至於最大的單一叢集規模是8節點，這在當前的超融合系統中，算是較小的叢集規模，不過可將最多32個節點組成統一管理的聯邦架構（Federation），簡化多叢集環境的管理。

OmniStack擁有同類產品少見的雙層資料保護架構，每臺節點都有傳統的RAID卡，即使只有單節點，也可透過RAID卡提供基本資料保護。以多個節點組成叢集時，則能進一步提供提供跨節點的寫入I/O複製機制，除了多一層保護外，也擁有因應單一節點失效的高可用性。

OmniStack也內含了壓縮與重複資料刪除，以及VM的備份、Clone與遷移等一系列進階儲存服務功能，特別的是，VM備份、Clone與遷移等功能，都是以個別VM為目標來運作，可與上層Hypervisor的VM管理整合。

Image may be NSFW.
Clik here to view.

內嵌式的管理控制臺

SimpliVity沒有獨立的控制臺，是利用嵌在vCenter Web Client或微軟System Center介面中的plug-in控制臺，來進行系統管理，包括硬體狀態監控、儲存叢集管理，以及附加進階功能操作等。

Image may be NSFW.
Clik here to view.

以VM為核心運作的進階應用服務

HPE SimpliVity 380底層的OmniStack儲存平臺，內含了一系列儲存應用附加功能，包括VM備份、VM Clone與VM遷移等附加功能，全部都是以個別VM為單位來執行。

 產品資訊 

HPE SimpliVity 380 Gen10

●原廠：HPE (02)2652-8700

●建議售價：廠商未提供

●機箱型式：2U/單節點

●處理器：Xeon Scalable×1或2

●記憶體：144GB～1,536GB

●儲存容量：SSD×5～12臺

●叢集擴充能力：1～8節點（單一叢集），32篩點（聯邦管理架構）

●支援虛擬平臺：VMware Sphere,微軟Hyper-V

【註：規格與價格由廠商提供，因時有異動，正確資訊請洽廠商】

2014年，微軟執行長Satya Nadella一上任，就打出「Cloud-first, mobile-first」的新方向，一舉翻轉了微軟過去長年以線下、本地端、桌面端為重的發展策略，也成了後續4年，微軟全球戰略和產品發展的主軸。Satya Nadella將微軟大軍，帶到了新的企業戰場，讓微軟在雲端市場大戰上坐二望一，有機會進逼雲端龍頭AWS的地位。

但在去年微軟開發大會Build 2017上，Satya Nadella卻一反常態，不再雲端、行動琅琅上口，取而代之的是藉助AI強化的各種服務和產品，尤其主打智慧雲（Intelligent Cloud）和智慧邊緣（Intelligent Edge）。

眾人的解讀是，Satya Nadella戰略藍圖終於揭露了第二版，核心戰略就是AI-First。因為不論是Intelligent Cloud或是Intelligent Edge，都是仰賴AI技術為基礎，或甚至是過去一年來微軟熱推的Azure認知服務，就是各式各樣的雲端AI服務。AI貫穿在微軟各類產品和服務之中，也因此，媒體一律以AI First戰略，來形容微軟的新戰略。

但是，其實Satya Nadella從來沒有說微軟的新戰略是「AI First」，而只是不斷強調，微軟將以AI來發展微軟的新戰略，真正的戰略是「Intelligent Cloud & Intelligent Edge」。另一個他沒說的原因，也可能因為Google搶先一步喊出要改以AI First做為自家新戰略，微軟當然不願意跟風。

不過，去年Build大會，微軟這個「智慧雲和智慧邊緣」戰略布局還不明朗，即使在雲端有不少認知服務，或也推出了Azure IoT Edge套件，但在這兩者之間的交集並不深，最明顯的例子就是去年的Azure IoT Edge套件版本，只是和Azure雲端採取同樣的容器執行環境（但這本來就是Windows作業系統支援的執行環境之一），再加上操作介面類似，但企業若想要在Azure IoT Edge設備上進行AI分析，企業還得自行費一番功夫客製才行。

但是，到了今年Build 2018大會，微軟直接就把Azure雲端認知服務上熱門的影像分類及識別服務，打包成Azure IoT Edge上的影像辨識功能Custom Vision，也才真的實現了「智慧＋邊緣」的整合。

這是原本Azure雲端才有的服務，現在也能在本地端運用，甚至不只邊緣設備，行動裝置，連無人機、機器人等設備都可以用。因為微軟還把Azure IoT Edge的核心runtime程式開源，可以放入各種裝置OS中，讓這些裝置也成為微軟智慧邊緣設備生態系的一環。在這些設備上，可以直接就近偵測、識別、分析環境影像資料，甚至立即秀出視覺化分析結果，因為採邊緣運算架構，在本地端就能處理，不用回傳到雲上分析，即使沒有網路或突然斷網都不怕。微軟還預告，Azure其他AI認知服務，例如語音、語言等功能，未來數月後也會開始支援Edge端。

iThome記者余至浩赴美直擊微軟今年Build 2018大會，為何微軟採取這個新方向？Satya Nadella的答案是：微軟想要打造出人人可用的AI框架、工具和產品，不只開發人員好用，還要讓各產業都能用。實現這個目標，「第一步就是要讓AI通吃雲端和邊緣。」這也正是微軟花了近2年，才開始展現成果的新戰略。

不過，2017年，Satya Nadella揭露了戰略藍圖上列出了三項，除了Intelligent Cloud和Intelligent Edge之外，第三項就是Serverless，他甚至說，Serverless將會是從根本，徹底顛覆開發者的關鍵。不過，至今微軟在Serverless的布局仍未明朗，顯然，好戲還在後頭。

不像Google、臉書、IBM等科技巨頭，一直以來有著明確AI戰略布局，反倒是，前幾年，外界對於微軟這家公司的印象，都還停留在發展行動與雲端業務，AI產品反而不是它的主打，就算擁有許多豐碩的AI研究成果，但一直以來，並沒有一個具體的AI戰略，直到去年，微軟喊出要做智慧雲與智慧邊緣（Intelligent Cloud &Intelligent Edge）的新戰略後，微軟的AI戰略才開始躍上檯面，甚至今年3月更展開組織大改造，全力聚焦AI、雲端與邊緣，吹響反攻企業AI的號角。

微軟AI發展起步早，許多產品更早就悄悄融入AI技術

其實微軟深耕AI早已多年，早從20多年前，就開始深入AI研究，不論是在物體偵測、語音識別、機器翻譯，或是自然語言理解技術方面，在最近幾年都有許多重大性的突破，例如，微軟研究院在2016年以96%的辨識率，刷新了圖片的物體識別新記錄，樹立了深度學習技術的新里程碑，隔年，又以低於5.1%的語音辨識錯誤率，幫助AI正式超越專業聽打記錄員。

今年1月，微軟的AI系統更在SQuAD問答測驗中打破人類記錄，史無前例拿下82.65的超高分，甚至3月時，微軟的機器翻譯技術更出現重大突破，使AI中翻英程度能夠媲美人類專業水準，一舉拿下69.9分，平均比專業譯者還多出1.3分。不僅如此，微軟也正努力讓AI能與人流利對話，或是能回答更複雜的問題，就像是人類那樣。

2014年出道的「微軟小冰」 就是一個典型的例子。這個當年發跡於微信上、會講中文的對話式聊天機器人，甚至比Google的Google Assiatant推出都還早， 才一推出，就引起廣大迴響，短短3天使用人數就超過150萬人。

現在，全球更有超過1億名的忠實用戶都是它的粉絲。 從剛開始只能文字溝通，到後來具備視覺辨識及聲音交流的感官能力，微軟小冰開始變更聰明，能做更多的事，不論是唱歌、寫詩、主持、採訪都難不倒它。 到了今年，它更可以像朋友一樣跟你聊天了。這些幕後技術都是來自AI。微軟悄悄展示它深厚的AI功底。

不僅如此，微軟的智慧語音助理Cortana，更將它的AI技術發揚光大。與微軟小冰同年推出的Cortana，開始將語音助理帶到Windows裝置上，不僅先後登陸Android與iOS兩大行動平臺，後來更進軍智慧家庭等裝置市場，去年全球使用人數也破億。

雖然就普及度來說，Cortana始終不及Google語音助理Google Assistant或蘋果的Siri。但微軟替它在企業市場找到新天地，近幾年更開始將它與自家產品整合，例如Office 365等，將Cortana變成是企業辦公室小助手，能幫忙安排或提醒待辦等事項。去年底，Cortana更正式進駐行動版Skype，讓Skype用戶可以文字向它詢問天氣、航班及股價等資訊。微軟用來挑戰Slack的企業協作、開會與通訊服務Microsoft Team，今年也將整合Cortana功能，能幫忙小組成員撥打視訊電話、或邀請他人加入會議等。

微軟Microsoft 365今年推出時，同樣也支援Cortana應用，甚至在這次的Build大會上，微軟更進一步讓Cortana開始能與亞馬遜的Alexa展開對話交流，共同合作完成使用者指示交辦的任務。例如，以Cortana查詢與友人用餐的地點後，再請Cortana呼喚Alexa幫忙叫車等。

除了上述以外，微軟過去幾年也逐步將AI技術融入自家的產品與服務中，例如，Office文書處理軟體等，讓這些產品更加具有智慧，甚至不斷推出新的AI功能或工具，來改善用戶體驗，只是微軟並沒有將這些技術對外公開，就算公開了，也沒有對外大肆張揚，而是被巧妙隱藏起來，成為幕後技術。

微軟默默耕耘AI多年，直到去年，微軟執行長Satya Nadella喊出了要做「智慧雲與智慧邊緣」的新戰略布局後，微軟的企業AI戰略，才正式浮出檯面，更一舉躍升為微軟Azure雲端主力，甚至今年3月微軟更展開組織大改造，並宣布將AI、雲端與邊緣，視為取代「行動優先、雲端至上」戰略的下一階段新方向，未來更要積極轉型，致力於將AI商品化，進而吹響反攻企業AI的號角。

要讓AI成為人人可用的一門技術

在今年的Build開發者大會上，Satya Nadella更表示，身為一家平臺、開發工具的大型企業，從長遠的戰略方向來看，未來要做的事，就是將過去多年AI研究累積的成果，變成人人可用的AI框架、工具及產品，讓開發者更容易將AI放進自己的應用當中，甚至更要讓各行各業都能用。為了達到這個目標，「第一步，就是要讓AI通吃雲端和邊緣。」他這樣說。

所以不意外，今年Build大會上，微軟發布的眾多雲端產品和新服務，AI的身影隨處可見。微軟不只利用雲端AI搶攻企業，去年還開闢另一個新戰場，開始聚焦智慧邊緣應用。今年，微軟正式將雲端AI觸角，延伸到了智慧邊緣，推出第一個支援智慧邊緣的認知服務。並且還有更多支援相關應用的硬體裝置推出，如深度學習相機、無人機與Kinect體感裝置等，甚至還開源釋出Azure IoT Edge服務的Runtime程式碼，要讓智慧邊緣的能力，快速擴散到各種裝置或設備上，幫助它建立屬於自己的智慧邊緣生態系。

Image may be NSFW.
Clik here to view.

微軟不只要利用雲端AI搶攻企業市場，甚至去年更開始另闢新戰場，聚焦智慧邊緣（Intelligent Edge），到了今年更終於有了可商用的產品出現，不再只是概念或構想。像在今年Build大會展區中，就展出不少結合智慧邊緣的應用，例如穿戴設備或無人機等。（攝影／余至浩）

為推動新戰略布局，微軟組織也重新大改造

Image may be NSFW.
Clik here to view.

為了要執行新策略，微軟今年3月也進行組織大改造，以因應下一階段的戰略方針，將以智慧雲與智慧邊緣發展為重心。

未改組以前，微軟核心組織包括Windows與裝置事業群（Windows and Device Group）、Office、雲端與企業、AI+Research及遊戲事業群。

經過重新改組後，原來的Windows與裝置事業群正式一分為二，其中部分業務與Office產品事業群，合併成立新的體驗與裝置（Experience & Devices）事業，包括了原本Windows、Office、Surface、Xbox等業務也都一併併入新的事業群，並由原Office產品事業群主管Rajesh Jha續掌。

而Windows平臺部分則是與Azure雲端平臺部門合併為雲端＋AI平臺（Cloud + AI Platform）新事業群，未來將專注於發展結合Azure雲端與AI的個人裝置或產品。主管仍由原來負責企業與雲端的微軟執行副總裁Scott Guthrie繼續擔任。

至於人工智慧及研究（AI&Research）事業群，除了部分業務切分給雲端＋AI平臺外，仍負責掌管集團AI研究與發展。主管則還是Harry Shum。

在給員工的公開信中，微軟執行長Satya Nadella也宣示未來將以雲端與智慧邊緣做為下一階段的發展創新。

微軟智慧邊緣（Intelligent edge）產品商用化，終於能夠在今年看到了。雖然早在2017年，微軟就已提出了智慧邊緣的概念及架構，但當時產品還未成型，一直到今年，在這次Build 2018大會上，微軟才正式宣布自家智慧邊緣產品Azure IoT Edge，將在今年正式上線，意味著，微軟花了2年時間布局智慧邊緣，終於在今年可以邁入商用化階段。

隨著微軟智慧邊緣的商業模式和更多產品、服務陸續到位，微軟今年更進一步開源釋出Azure IoT Edge服務的Runtime程式碼，要讓Azure IoT Edge的能力或功能，更容易快速擴散到各種裝置或設備上，以建立一個更完整的智慧邊緣生態系。

微軟開源Azure IoT Edge智慧邊緣服務核心程式碼

Azure IoT Edge是微軟去年推出的第一個智慧邊緣服務，它由3個核心元件組成，IoT Edge Runtime、IoT模組，以及採用雲端設計的介面。IoT Edge Runtime是安裝在IoT Edge裝置底層作業系統上的一支程式，微軟利用它建立一套跟Azure雲端一樣的容器（Container）執行環境，在這個執行環境中來部署及執行容器化的IoT Edge模組。IoT Edge模組裡面裝的可以是利用容器打包的Azure雲端服務、機器學習程式碼，或者是自己寫好的一段程式。因為是和Azure雲端一樣的容器執行環境，因此，同一支容器應用程式，可以在本地邊緣端或在Azure雲端上執行。

它更可以當成是一種IoT Edge層OS，也就是說，任何裝置只要裝上Runtime程式，就等於是預載了IoT Edge處理、分析，以及串連Azure IoT的能力。微軟將它開源釋出，意味著，之後任何人都可以自由修改這個Runtime，加入新的程式碼以符合自身需求，或為自己的應用添加新功能，使用上將具備有更高的擴充性。對於開發者來說，也更容易取得IoT Edge應用程式開發的主控權。

而且不像Amazon的AWS Greengrass服務提供的是一套軟體，想要用得先在裝置上安裝整套軟體。IoT Edge Runtime則可以是藏在OS層底下的一組或一支程式，企業更容易將它整合到自家應用系統，或現場IoT設備當中，而無須安裝整套軟體，整合相較容易多了。微軟已經把Runtime程式碼公開在Github平臺上，供人自由取用。

終於能在Edge裝置跑真正AI應用

有了更容易散播Azure的IoT Edge能力的環境，微軟現在更進一步推出與AI深度整合的Azure IoT Edge新服務，讓AI應用可以在IoT Edge裝置上真正落地。第一個推出的就是微軟認知服務的影像辨識工具Custom Vision，這是原本Azure雲端才有的影像分類及識別服務，現在也能用在本地端，不只行動裝置能用，現在各種裝置上都能用，例如無人機、機器人等，可以直接就近偵測、識別、分析環境影像資料，在裝置上立即呈現視覺化分析結果，因為在本地端就能自行運算處理，不用在傳雲，所以即使沒有網路也不怕。其他的微軟認知服務，例如語音、語言等功能也將在數月內開始支援。

其他與Azure IoT Edge相關的服務也有更新推出，例如除了能讓開發者以JavaScript編寫自己的程式以外，現在針對智慧邊緣的串流分析服務，也新增對C#語言的支援了，不過目前還停留在封閉預覽版（Private Preview）階段。

微軟還推出不少智慧邊緣新工具，用於簡化開發、測試、部署智慧邊緣應用。像是開發人員現在能使用如VSCode等熟悉的雲端開發工具，在同一套相同開發環境上，開發、測試，打包容器化的IoT Edge模組，也能支援Visual Studio Team Services及Microsoft Team Foundation Server這類自動化及整合服務工具，加快應用程式的部署

再者，微軟將去年雲端Azure上推出的Azure Event Grid事件路由託管服務，更進一步延伸到智慧邊緣，用來簡化在裝置上基於事件的應用程式開發和管理流程，另針對安全部分，也推出有像是Azure IoT Edge Security Manager管理工具，從硬體端來持續強化對裝置安全的保護。

微軟更將這些容器化的IoT Edge模組，變成是一個個可以在線上交易買賣的商品。微軟在活動上介紹了IoT Edge marketplace市集交易平臺，讓企業或開發人員能夠利用這個市集平臺，來尋找符合自己應用需求的IoT Edge模組，並放進自己的裝置中，減少應用開發、測試的時間，當然，對於微軟來說，這個新服務背後更大的野心，就是要建立更完整的智慧邊緣應用生態系。

對於容器的布局，微軟也開始漸漸往智慧邊緣靠攏了。因為Azure IoT Edge本身是以容器技術為基礎建立的容器執行環境，微軟靠著容器架構，串起了雲端和智慧邊緣。因此，為了要滿足能支撐百億級IoT Edge裝置部署，所需建立及管理的容器叢集應用基礎架構，將來容器技術的發展，勢必也得往這方向前進，從微軟這次更新的容器服務中，就可看出端倪。

在新版AKS容器調度服務（Azure Kubernetes Service）中，其中一項重要的更新功能，就是開始支援了Azure IoT Edge的容器調度管理的功能，讓企業也能開始利用Kubernetes在本地端執行容器調度任務，管理更直接且即時，而且僅需單一管理介面，管理人員就可以同時管雲端和智慧邊緣兩套不同環境，管理起來將更容易，對於企業來說，直接能就近調度管理不同IoT Edge容器叢集，以後不一定要上雲。

微軟自去年發表Azure IoT Edge服務以來，至今已與包括Advantech、Beckhoff Automation、HPE、Moxa、 NexCom、Plat’Home，以及Toshiba等在內超過240家晶片、硬體製造商合作，將該服務整合到如閘道器設備、嵌入式系統、Raspberry Pi 3開發板，以及穿戴設備等各式各樣裝置或設備中。服務推出迄今，更有超過1千個以上裝置，已取得微軟官方認證。

對抗AWS，微軟聯手高通推出深度學習視訊攝影機

為了要將微軟AI服務能力帶進邊緣裝置上，以開發出更多智慧化的IoT應用。微軟還推出一款深度學習視訊攝影機套件（vision AI developer kit），來與AWS DeepLens分庭抗禮。它的外型就像是一臺網路攝影機，其硬體使用了高通的AI引擎和晶片技術加速運算，讓相機具備有就近運算及AI影像識別處理能力。微軟還在相機內整合了自家Azure IoT Edge服務，讓企業更容易將Azure服務以容器迅速打包，並在相機上啟用執行，讓開發者可以快速部署，來進行應用的開發及測試。

在大會上，微軟也公開展示一段畫面，利用這臺相機擷取到的影像畫面，直接搭配Azure機器學習模型現場作預判，幫助美國洛克威爾自動化公司（Rockwell Automation）快速檢測出異常的問題設備，即早報修。當相機偵測到異常情況時，也只須向雲端發送警示訊息，不需要將整段監視影片全部上傳雲，有效減少網路頻寬成本。

Image may be NSFW.
Clik here to view.

微軟推出一款深度學習視訊攝影機套件（vision AI developer kit），來與AWS DeepLens互別苗頭。這臺相機硬體上使用了高通的AI引擎和晶片技術加速運算，也支援了Azure IoT Edge服務，微軟還現場示範，利用相機擷取到的影像畫面，直接搭配Azure機器學習模型現場作預判，幫助美國洛克威爾自動化公司快速檢測出異常的問題設備，即早叫修。（圖片來源／微軟）

所有Windows 10裝置都將是智慧邊緣裝置

除了視訊攝影機，微軟也找來中國無人機製造商DJI合作，未來DJI旗下無人機機型，包括M210 RTK 、Mavic Air等都將支援Azure IoT Edge的功能，讓民用無人機也能夠具備有近端運算、AI處理執行的能力，能用於精準農業、建築測量及保安監控服務上。合作一開始，兩家更合力推出一個桌上Windows 10版SDK工具，可以將全球7億個Windows10電腦裝置，都變成是無人機的飛行控制器，開發者從電腦上就能遠端遙控無人機飛行，或是即時接收飛機上的數據，藉此開發出更多新應用。

甚至，微軟也預告將在下一版Windows更新發布時，將內含機器學習演算法提供硬體加速能力，並可適用在任一臺搭載支援DirectX 12的GPU顯卡的Windows裝置上，想當然爾，微軟更大目標，是要讓以後所有的Windows10電腦裝置，都能變成是智慧邊緣裝置，讓開發人員能夠輕易以Azure IoT Edge在它上面開發不同的AI應用。

微軟Kinect體感裝置在AI與Edge再次找到新舞臺

而曾被微軟視為明日之星的深度感測相機Kinect，儘管去年已停產，但顯然微軟另有盤算，甚至早已替它找到了新出路，就是結合智慧邊緣應用。

微軟在大會上介紹了一項結合Kinect動作感測器與智慧邊緣裝置的新專案Project Kinect for Azure，在這項計畫裡，他們將原來使用於遊戲和PC上的Kinect動作辨識技術，整合到了智慧邊緣裝置上，讓企業不需要專用Kinect設備，透過這個Kinect開發硬體，就能自行開發結合手勢或體感控制的新應用。例如，建置具有避障與自動導航功能的機器人與無人機等。

更重要的是，這個Kinect開發裝置上，還整合Azure IoT Edge功能，讓開發者可以在裝置上利用Azure 機器學習、或認知等服務，打造更多結合AI與動作追蹤的智慧邊緣應用。

一手打造微軟AR眼鏡HoloLens的微軟第一發明家Alex Kipman更在自己的LinkedIn上發表文章，對於這項新專案揭露更多細節。他表示，硬體上，新一代Kinect裝置將搭配與下一代微軟AR眼鏡HoloLens相同，採用更高精度的3D深度感測相機、感測器，能提高操控者動作偵測的精細度，以便能夠在更低功耗的裝置上進行開發，讓上億的終端裝置都能透過手勢、觸控等形式蒐集資料，展現更多元化的應用。甚至，「當有了更精準的數據作依據之後，也意味著，以後開發人員部署AI應用將更容易。」他表示。

Image may be NSFW.
Clik here to view.

曾被微軟視為明日之星的深度感測相機Kinect，儘管去年已停產，但顯然微軟另有盤算，就是結合智慧邊緣應用。新一代的Kinect開發板，讓企業不需要專用Kinect設備，就能自行開發結合手勢或體感控制的新應用。例如打造具有避障與自動導航功能的機器人與無人機等。（圖片來源／微軟）

Project Brainwave深度學習平臺也將支援智慧邊緣應用

去年夏天，微軟發布一套代號為Project Brainwave的深度學習加速平臺，在本次大會上也終於推出預覽版，而且不只提供了雲端版的公開預覽，還發布就地部署版的封閉預覽。這也代表，未來針對智慧邊緣應用，也能夠使用這項新服務。

微軟以DNN深度學習框架整合英特爾FPGA晶片，在自己的資料中心內打造出一個具備深度學習運算環境的FPGA資源池，來加快資料處理的時間， 讓企業使用微軟AI應用可以更即時，甚至微軟宣稱，在AI硬體加速運算方面，Project Brainwave能比Google的TPU快5倍，此前微軟也曾將它用於加速自家Bing搜索引擎服務，並且能獲得比原先更快10倍的查詢速度。

專訪微軟Azure IoT總監：Azure IoT Edge Runtime就是智慧邊緣OS

Image may be NSFW.
Clik here to view.

微軟Azure IoT總監Sam George。（攝影／余至浩）

「它就是一個智慧邊緣OS。」講到微軟這次開源釋出的IoT Edge Runtime核心程式碼，微軟Azure IoT總監Sam George親口對我這麼說。

Azure IoT Edge是微軟第一個智慧邊緣服務，讓雲端的Azure服務可以就近在本地端執行，不只支援了Windows或Linux兩大作業系統，對於硬體運算能力要求也不高，即使是記憶體容量只有128MB大小的Raspberry Pi單板電腦也能用。

IoT Edge Runtime執行程式則是負責啟用和管理裝置上不同的智慧邊緣服務，它更是組成Azure IoT Edge服務的核心元件之一。Sam George解釋，微軟之所以會將它開源的原因有2個，一是開發者需求，能讓他們自行修改或增加新的功能，並放進自己的應用中；二是透過採用開放透明的方式，將替他們帶來與更多硬體廠商合作的機會。

他補充說，藉由更多開發者加入，一同檢視、修正，甚至貢獻自己程式碼，也將能讓Runtime功能更加完整。

不過，提到和競爭對手亞馬遜的AWS Greengrass服務有何不同？Sam George直截了當的說：「Azure IoT Edge等同於就是AWS Greengrass」，不同的地方是，他說，Azure IoT Edge是基於容器技術建立的一套系統，讓Azure雲端服務可以在近端邊緣裝置上執行，意味著，同一支開發完成的容器應用程式，同時可以跑在雲端和邊緣。不過，這項Azure IoT Edge服務目前還是公開預覽版，預計今年下半年才會正式推出上線。

除此之外，對於新版AKS容器調度服務（Azure Kubernetes Service）也一併開始支援Azure IoT Edge，他更興奮的表示，對於智慧邊緣發展來說，這將是一項重大突破，代表以後也能用它執行容器調度任務了，而且僅需單一介面，就能管雲端和邊緣兩套不同的容器叢集應用環境，或者是不同區域的IoT Hub，管理和部署上都更方便。

【智慧邊緣應用實例】日本東京停車廠將AI帶進穿戴裝置加快檢修

Image may be NSFW.
Clik here to view.

日本東京的立體停車廠維運業者Famm，從一個多月前，開始試用智慧邊緣技術，搭配穿戴裝置，來幫助他們改善停車廠設施維護，甚至是加快檢修。並且首度將他們的使用成果在Build大會上公開展出。（攝影／余至浩）

智慧邊緣應用，現在不只能用在常見的閘道器等設備上，就連隨身帶著走的穿戴式裝置，也都能夠用了。日本東京有家立體停車廠維運業者Famm，從一個多月前，開始試用智慧邊緣，將AI能力帶進前端停車場維修作業上，透過結合穿戴裝置與智慧邊緣技術，來幫助他們改善停車廠設施維護，甚至是加快檢修。今年也首度在Build大會上公開展出。

日本人口密度最高的東京，不只地狹人稠，車位更是一位難求，因此地面上設置許多上下層的立體停車場，雖然多數已採自動化管理，但仍需要人工定期維護，對停車廠設施零件更新或汰換，畢竟一旦稍有不慎，就可能會造成停放的車輛翻覆，嚴重甚至可能會危及駕駛的生命。

為了提高人員作業效率，Famm現在開始要求維修人員以一臺可攜式東芝迷你電腦設備，頭上並搭配類似Google Glass眼鏡裝置來進行現場的工作，更借助AI幫助他們提前預測車場設備零件的壽命，盡早進行更換作業，降低事故風險。

現在工程人員進到停車場後，人站在地面，直接以目視方式對準上下層的停車位設施，就能馬上知道哪些設備零件需要替換或進一步處置，不需要像以前再爬上爬下，作業上也更安全。

頭上的眼鏡會自動將擷取到的影像畫面回傳至操作員腰上的電腦設備，並直接從設備上進行預判後，再將判讀結果顯示在眼鏡上，維護人員馬上就能知道哪些零件需要更換。

Famm透過借助微軟Azure IoT Edge智慧邊緣服務，將它在雲端上已訓練完成的電腦視覺機器學習模型打包封裝，可以直接使用在人員身上的設備上，跟著人一起移動。因為不需要連網就能用，所以即使到了沒有網路的地方也不怕。

甚至，這家公司更將它用來排除故障，幫助維修人員找出有問題的設備或零件，加快檢修。因此，需要有更多的現場資料，來幫機器學習訓練，以提高預測的準確性。因為Azure IoT Edge是和Azure雲端一樣的容器執行環境，因此雲端上機器學習訓練完成，可以馬上套用。使用至今，不僅明顯減少了人為出錯的情況，更大幅縮短作業的時間。而以往維護工作，需要老練的維修人員靠著長年的經驗來判斷，現在即使新進的人員也能夠很快上手。

延續去年智慧雲端（Intelligent Cloud）戰略布局，在今年Build大會上，微軟持續擴大智慧雲端產品的布局，不只有一系列的認知新服務推出，還加入更多新功能、更多樣的AI開發工具、框架釋出，以及許多整合AI功能的雲端新產品問世，讓企業更容易將微軟AI技術帶進自家產品中。

微軟認知服務大更新，持續深化AI應用

微軟兩年前開始提供雲端認知服務，涵蓋辨識（Vision）、語音（Speech）、語言（Language）、知識（Knowledge）和搜尋（Search）等五大類，均是由微軟研究院與Bing搜尋引擎服務的AI成果，轉化而成，讓開發人員可以透過API迅速將這些AI技術，放進自己的應用或產品當中，迄今已有逾100萬名開發者使用過這些服務。

今年微軟也持續深化認知服務，推出更多新服務及功能，第一個就是針對語音和機器翻譯類型推出的統一語音服務（Unified Speech service），以往這類服務只作為獨立產品，開發者想要用得各別來用，現在可以在單一窗口取得這些服務，包括語音轉文字、文字轉語音及語音翻譯等，使用上將更方便。

為此，微軟還發表一個語音裝置開發套件（Speech Devices SDK），讓開發者更容易拿它來測試、開發出新的語音裝置應用。另一個面向企業用戶端的語音套件（Speech client SDK），則是匯整多種語音功能，並也支援跨平臺及其他語言的綁定。

在機器翻譯服務上也有推出新功能，包括在微軟神經機器翻譯（Neural Machine Translation, NMT）服務上，新增客製化的翻譯功能，從而能更好地翻譯企業內部重要的數位內容，而且文字、語音都能翻。另外，新版雲端機器翻譯服務（Microsoft Translator text API），開始能原生使用NMT翻譯功能了，現在能先理解句子前後文意再進行翻譯，大幅提高翻譯的品質。除此之外，雲端版Microsoft Translator翻譯服務，現在，也能被整合到Android裝置裡的不同App中，並且還支援離線翻譯的功能。

在視覺類型的認知服務上，新的電腦視覺服務，除了整合新的OCR辨識模型，強化英文字型識別能力外，在文字辨識上也能支援更多不同的語言類型，包括簡體中文、日文、西班牙文及葡萄牙文。並且在Custom Vision影像辨識服務上，現在除了可以識別出不同圖片的類別外，也能辨別物體了。

微軟也針對搜尋的認知服務發布不少更新。其中一個將AI與索引技術整合的Azure Search搜尋服務，讓企業想要從大量文字或圖片中，找出有意義資訊或內容將變得更容易許多。除此之外，微軟也同步更新搜尋引擎Bing，例如推出Bing Visual Search這個視覺搜尋新服務，讓用戶能夠以圖搜圖，載入特定的圖片後，就能找到類似的商品，也能識別出圖片中的條碼、文字和人物資訊。

在雲端管理服務方面，微軟也更新Azure IoT Hub雲端物聯網平臺，讓企業開始可以將它運用在IoT裝置大規模部署及管理的自動化作業上，並且也能允許對於裝置上的應用程式進行更細緻化管理，例如，能用來管理容器化的IoT Edge模組等。

化敵為友，微軟Cortana與亞馬遜Alexa也能相互對話了

在對話式AI服務方面也有新的應用推出。今年的Build大會上，微軟首度公開展示自家Cortana與亞馬遜Alexa服務整合的初步成果，已經能做到讓兩家語音助理彼此互通，例如，對著Amazon Echo說話時，能要求Alexa幫忙呼喚Cortana，由它來提供行事曆行程，或是以Cortana詢問與友人晚餐的地點後，再呼叫Alexa幫忙叫車。Cortana開始能跟第3方的語音助理通話，意味著，之後將能視應用需求切換不同語音助理幫忙完成不同任務。雖然這項新服務仍在測試階段，但對於開發者來說，將能用它發展出更多元的應用。

對話式AI工具大翻新，幫助企業打造更聰明的Chatbot

此前，借助微軟釋出的對話式AI開發工具，讓開發人員已經能夠在網站、應用程式、Skype，臉書即時通，以及Slack等平臺建立自己的Chatbot（聊天機器人）應用。在今年大會上，微軟也針對對話式AI工具Bot Framework大翻新，而且一口氣還增加超過100項新功能，可應用在不同對答情境，還有更多AI對話式工具更新釋出，包括Aure Bot服務、微軟認知語言理解服務（LUIS），以及知識型的QnAMaker服務等。

其他開發工具，例如Bot Builder套件，現在能幫助開發者打造出能結合複雜AI對話的Chatbot應用，還能與人更自然的對答。

原來能支援跨平臺Chatbot測試和除錯的Bot框架模擬器（Bot Framework Emulator），在最新一版中也簡化Bot裝置管理。至於新的Bot 部建工具（ Bot Builder Tools），則是讓企業管理跨平臺的Chatbot變得更容易。透過這些新的對話式AI服務及工具，讓開發人員更容易將更多AI對話能力，整合進自己的Chatbot應用裡。

微軟將發展十年的ML.NET機器學習框架開源

除了AI對話工具以外，今年Build大會上，微軟另一個重要關鍵的發布，就是將它開發、發展了十年的機器學習框架ML.NET開源出來，變成是任何人都能使用的一個跨平臺的機器學習框架，雖然目前還是預覽版，但ML.NET已是相當成熟的一套AI開發工具，早已被使用在微軟的Windows、Bing與Azure等產品中，並且也支援了TensorFlow、Accord.NET和CNTK等主流機器學習函式庫。

未來.NET開發人員將能用它建立自己的機器學習模型，並使用在自己的應用程式中。微軟強調，這套框架的使用，不需要具備開發及調校機器學習模型方面的專業知識就能用，開發人員上手更容易。微軟現在已將它公開在GitHub平臺上。

新推出更多整合AI功能的雲端企業產品

除了上述的AI服務及開發工具外，在今年Build大會上，微軟也推出不少整合AI功能的雲端企業產品，例如，在以結合Office 365、 Windows 10、企業行動方案推出的Microsoft 365整合性產品上，隨處可見大大小小的AI功能或智慧輔助工具，來幫助使用者順利完成工作。例如能以Cortana作為工作助手，幫忙規畫行程，收發郵件，還可與亞馬遜Alexa協作等。

並且在程式開發平臺上，也開始加入AI偵錯能力，來幫助開發者改進程式碼品質，例如新推出的IntelliCode工具，可從開發者在Visual Studio 2017平臺上的程式碼庫中，掃描並分析程式碼風格，以及本人的使用習慣格式，自動維持開發程式邏輯的一貫性，當開發者提交或是瀏覽程式碼時，IntelliCode也會自動進行掃描，找尋不尋常的程式碼，來幫助開發者提高程式品質。

不僅於此，除了持續擴大雲端AI應用，微軟今年更開始將混合實境（Mixed Reality）功能帶進辦公室應用中。微軟也介紹兩款全新的HoloLens App，分別是Microsoft Remote Assist與Microsoft Layout。前者可以應用在於遠端操作指示作業，讓現場工程師能透過這個App遠端與總公司技術人員溝通，或是請求專業人員即時同步協助，完成設備故障檢修等問題；後者則是能允許在MR裝置建立的虛擬空間中觀看設計完成的3D模型，而且是等比例大小呈現在使用者眼前，也能直接對內容加以修改，或與其他人共享彼此交流。

深耕AI多年的微軟，過去卻遲遲沒有主打AI產品。直到去年祭出智慧雲與智慧邊緣的新戰略布局，AI開始躍上檯面，甚至今年3月組織大改造後，更全力開始擁抱AI與雲端，從企業應用市場切入，持續深化雲端AI企業應用和服務力，更要強攻智慧邊緣，開闢另一個企業AI新戰場

微軟智慧邊緣（Intelligent edge）產品商用化，終於能夠在今年看到了。雖然早在2017年，微軟就已提出了智慧邊緣的概念及架構，但當時產品還未成型，一直到今年，在這次Build 2018大會上，微軟才正式宣布自家智慧邊緣產品Azure IoT Edge，將在今年正式上線，意味著，微軟花了2年時間布局智慧邊緣，終於在今年可以邁入商用化階段。

隨著微軟智慧邊緣的商業模式和更多產品、服務陸續到位，微軟今年更進一步開源釋出Azure IoT Edge服務的Runtime程式碼，要讓Azure IoT Edge的能力或功能，更容易快速擴散到各種裝置或設備上，以建立一個更完整的智慧邊緣生態系。

微軟開源Azure IoT Edge智慧邊緣服務核心程式碼

Azure IoT Edge是微軟去年推出的第一個智慧邊緣服務，它由3個核心元件組成，IoT Edge Runtime、IoT模組，以及採用雲端設計的介面。IoT Edge Runtime是安裝在IoT Edge裝置底層作業系統上的一支程式，微軟利用它建立一套跟Azure雲端一樣的容器（Container）執行環境，在這個執行環境中來部署及執行容器化的IoT Edge模組。IoT Edge模組裡面裝的可以是利用容器打包的Azure雲端服務、機器學習程式碼，或者是自己寫好的一段程式。因為是和Azure雲端一樣的容器執行環境，因此，同一支容器應用程式，可以在本地邊緣端或在Azure雲端上執行。

它更可以當成是一種IoT Edge層OS，也就是說，任何裝置只要裝上Runtime程式，就等於是預載了IoT Edge處理、分析，以及串連Azure IoT的能力。微軟將它開源釋出，意味著，之後任何人都可以自由修改這個Runtime，加入新的程式碼以符合自身需求，或為自己的應用添加新功能，使用上將具備有更高的擴充性。對於開發者來說，也更容易取得IoT Edge應用程式開發的主控權。

而且不像Amazon的AWS Greengrass服務提供的是一套軟體，想要用得先在裝置上安裝整套軟體。IoT Edge Runtime則可以是藏在OS層底下的一組或一支程式，企業更容易將它整合到自家應用系統，或現場IoT設備當中，而無須安裝整套軟體，整合相較容易多了。微軟已經把Runtime程式碼公開在Github平臺上，供人自由取用。

終於能在Edge裝置跑真正AI應用

有了更容易散播Azure的IoT Edge能力的環境，微軟現在更進一步推出與AI深度整合的Azure IoT Edge新服務，讓AI應用可以在IoT Edge裝置上真正落地。第一個推出的就是微軟認知服務的影像辨識工具Custom Vision，這是原本Azure雲端才有的影像分類及識別服務，現在也能用在本地端，不只行動裝置能用，現在各種裝置上都能用，例如無人機、機器人等，可以直接就近偵測、識別、分析環境影像資料，在裝置上立即呈現視覺化分析結果，因為在本地端就能自行運算處理，不用在傳雲，所以即使沒有網路也不怕。其他的微軟認知服務，例如語音、語言等功能也將在數月內開始支援。

其他與Azure IoT Edge相關的服務也有更新推出，例如除了能讓開發者以JavaScript編寫自己的程式以外，現在針對智慧邊緣的串流分析服務，也新增對C#語言的支援了，不過目前還停留在封閉預覽版（Private Preview）階段。

微軟還推出不少智慧邊緣新工具，用於簡化開發、測試、部署智慧邊緣應用。像是開發人員現在能使用如VSCode等熟悉的雲端開發工具，在同一套相同開發環境上，開發、測試，打包容器化的IoT Edge模組，也能支援Visual Studio Team Services及Microsoft Team Foundation Server這類自動化及整合服務工具，加快應用程式的部署

再者，微軟將去年雲端Azure上推出的Azure Event Grid事件路由託管服務，更進一步延伸到智慧邊緣，用來簡化在裝置上基於事件的應用程式開發和管理流程，另針對安全部分，也推出有像是Azure IoT Edge Security Manager管理工具，從硬體端來持續強化對裝置安全的保護。

微軟更將這些容器化的IoT Edge模組，變成是一個個可以在線上交易買賣的商品。微軟在活動上介紹了IoT Edge marketplace市集交易平臺，讓企業或開發人員能夠利用這個市集平臺，來尋找符合自己應用需求的IoT Edge模組，並放進自己的裝置中，減少應用開發、測試的時間，當然，對於微軟來說，這個新服務背後更大的野心，就是要建立更完整的智慧邊緣應用生態系。

對於容器的布局，微軟也開始漸漸往智慧邊緣靠攏了。因為Azure IoT Edge本身是以容器技術為基礎建立的容器執行環境，微軟靠著容器架構，串起了雲端和智慧邊緣。因此，為了要滿足能支撐百億級IoT Edge裝置部署，所需建立及管理的容器叢集應用基礎架構，將來容器技術的發展，勢必也得往這方向前進，從微軟這次更新的容器服務中，就可看出端倪。

在新版AKS容器調度服務（Azure Kubernetes Service）中，其中一項重要的更新功能，就是開始支援了Azure IoT Edge的容器調度管理的功能，讓企業也能開始利用Kubernetes在本地端執行容器調度任務，管理更直接且即時，而且僅需單一管理介面，管理人員就可以同時管雲端和智慧邊緣兩套不同環境，管理起來將更容易，對於企業來說，直接能就近調度管理不同IoT Edge容器叢集，以後不一定要上雲。

微軟自去年發表Azure IoT Edge服務以來，至今已與包括Advantech、Beckhoff Automation、HPE、Moxa、 NexCom、Plat’Home，以及Toshiba等在內超過240家晶片、硬體製造商合作，將該服務整合到如閘道器設備、嵌入式系統、Raspberry Pi 3開發板，以及穿戴設備等各式各樣裝置或設備中。服務推出迄今，更有超過1千個以上裝置，已取得微軟官方認證。

對抗AWS，微軟聯手高通推出深度學習視訊攝影機

為了要將微軟AI服務能力帶進邊緣裝置上，以開發出更多智慧化的IoT應用。微軟還推出一款深度學習視訊攝影機套件（vision AI developer kit），來與AWS DeepLens分庭抗禮。它的外型就像是一臺網路攝影機，其硬體使用了高通的AI引擎和晶片技術加速運算，讓相機具備有就近運算及AI影像識別處理能力。微軟還在相機內整合了自家Azure IoT Edge服務，讓企業更容易將Azure服務以容器迅速打包，並在相機上啟用執行，讓開發者可以快速部署，來進行應用的開發及測試。

在大會上，微軟也公開展示一段畫面，利用這臺相機擷取到的影像畫面，直接搭配Azure機器學習模型現場作預判，幫助美國洛克威爾自動化公司（Rockwell Automation）快速檢測出異常的問題設備，即早報修。當相機偵測到異常情況時，也只須向雲端發送警示訊息，不需要將整段監視影片全部上傳雲，有效減少網路頻寬成本。

Image may be NSFW.
Clik here to view.

微軟推出一款深度學習視訊攝影機套件（vision AI developer kit），來與AWS DeepLens互別苗頭。這臺相機硬體上使用了高通的AI引擎和晶片技術加速運算，也支援了Azure IoT Edge服務，微軟還現場示範，利用相機擷取到的影像畫面，直接搭配Azure機器學習模型現場作預判，幫助美國洛克威爾自動化公司快速檢測出異常的問題設備，即早叫修。（圖片來源／微軟）

所有Windows 10裝置都將是智慧邊緣裝置

除了視訊攝影機，微軟也找來中國無人機製造商DJI合作，未來DJI旗下無人機機型，包括M210 RTK 、Mavic Air等都將支援Azure IoT Edge的功能，讓民用無人機也能夠具備有近端運算、AI處理執行的能力，能用於精準農業、建築測量及保安監控服務上。合作一開始，兩家更合力推出一個桌上Windows 10版SDK工具，可以將全球7億個Windows10電腦裝置，都變成是無人機的飛行控制器，開發者從電腦上就能遠端遙控無人機飛行，或是即時接收飛機上的數據，藉此開發出更多新應用。

甚至，微軟也預告將在下一版Windows更新發布時，將內含機器學習演算法提供硬體加速能力，並可適用在任一臺搭載支援DirectX 12的GPU顯卡的Windows裝置上，想當然爾，微軟更大目標，是要讓以後所有的Windows10電腦裝置，都能變成是智慧邊緣裝置，讓開發人員能夠輕易以Azure IoT Edge在它上面開發不同的AI應用。

微軟Kinect體感裝置在AI與Edge再次找到新舞臺

而曾被微軟視為明日之星的深度感測相機Kinect，儘管去年已停產，但顯然微軟另有盤算，甚至早已替它找到了新出路，就是結合智慧邊緣應用。

微軟在大會上介紹了一項結合Kinect動作感測器與智慧邊緣裝置的新專案Project Kinect for Azure，在這項計畫裡，他們將原來使用於遊戲和PC上的Kinect動作辨識技術，整合到了智慧邊緣裝置上，讓企業不需要專用Kinect設備，透過這個Kinect開發硬體，就能自行開發結合手勢或體感控制的新應用。例如，建置具有避障與自動導航功能的機器人與無人機等。

更重要的是，這個Kinect開發裝置上，還整合Azure IoT Edge功能，讓開發者可以在裝置上利用Azure 機器學習、或認知等服務，打造更多結合AI與動作追蹤的智慧邊緣應用。

一手打造微軟AR眼鏡HoloLens的微軟第一發明家Alex Kipman更在自己的LinkedIn上發表文章，對於這項新專案揭露更多細節。他表示，硬體上，新一代Kinect裝置將搭配與下一代微軟AR眼鏡HoloLens相同，採用更高精度的3D深度感測相機、感測器，能提高操控者動作偵測的精細度，以便能夠在更低功耗的裝置上進行開發，讓上億的終端裝置都能透過手勢、觸控等形式蒐集資料，展現更多元化的應用。甚至，「當有了更精準的數據作依據之後，也意味著，以後開發人員部署AI應用將更容易。」他表示。

Image may be NSFW.
Clik here to view.

曾被微軟視為明日之星的深度感測相機Kinect，儘管去年已停產，但顯然微軟另有盤算，就是結合智慧邊緣應用。新一代的Kinect開發板，讓企業不需要專用Kinect設備，就能自行開發結合手勢或體感控制的新應用。例如打造具有避障與自動導航功能的機器人與無人機等。（圖片來源／微軟）

Project Brainwave深度學習平臺也將支援智慧邊緣應用

去年夏天，微軟發布一套代號為Project Brainwave的深度學習加速平臺，在本次大會上也終於推出預覽版，而且不只提供了雲端版的公開預覽，還發布就地部署版的封閉預覽。這也代表，未來針對智慧邊緣應用，也能夠使用這項新服務。

微軟以DNN深度學習框架整合英特爾FPGA晶片，在自己的資料中心內打造出一個具備深度學習運算環境的FPGA資源池，來加快資料處理的時間， 讓企業使用微軟AI應用可以更即時，甚至微軟宣稱，在AI硬體加速運算方面，Project Brainwave能比Google的TPU快5倍，此前微軟也曾將它用於加速自家Bing搜索引擎服務，並且能獲得比原先更快10倍的查詢速度。

專訪微軟Azure IoT總監：Azure IoT Edge Runtime就是智慧邊緣OS

Image may be NSFW.
Clik here to view.

微軟Azure IoT總監Sam George。（攝影／余至浩）

「它就是一個智慧邊緣OS。」講到微軟這次開源釋出的IoT Edge Runtime核心程式碼，微軟Azure IoT總監Sam George親口對我這麼說。

Azure IoT Edge是微軟第一個智慧邊緣服務，讓雲端的Azure服務可以就近在本地端執行，不只支援了Windows或Linux兩大作業系統，對於硬體運算能力要求也不高，即使是記憶體容量只有128MB大小的Raspberry Pi單板電腦也能用。

IoT Edge Runtime執行程式則是負責啟用和管理裝置上不同的智慧邊緣服務，它更是組成Azure IoT Edge服務的核心元件之一。Sam George解釋，微軟之所以會將它開源的原因有2個，一是開發者需求，能讓他們自行修改或增加新的功能，並放進自己的應用中；二是透過採用開放透明的方式，將替他們帶來與更多硬體廠商合作的機會。

他補充說，藉由更多開發者加入，一同檢視、修正，甚至貢獻自己程式碼，也將能讓Runtime功能更加完整。

不過，提到和競爭對手亞馬遜的AWS Greengrass服務有何不同？Sam George直截了當的說：「Azure IoT Edge等同於就是AWS Greengrass」，不同的地方是，他說，Azure IoT Edge是基於容器技術建立的一套系統，讓Azure雲端服務可以在近端邊緣裝置上執行，意味著，同一支開發完成的容器應用程式，同時可以跑在雲端和邊緣。不過，這項Azure IoT Edge服務目前還是公開預覽版，預計今年下半年才會正式推出上線。

除此之外，對於新版AKS容器調度服務（Azure Kubernetes Service）也一併開始支援Azure IoT Edge，他更興奮的表示，對於智慧邊緣發展來說，這將是一項重大突破，代表以後也能用它執行容器調度任務了，而且僅需單一介面，就能管雲端和邊緣兩套不同的容器叢集應用環境，或者是不同區域的IoT Hub，管理和部署上都更方便。

【智慧邊緣應用實例】日本東京停車廠將AI帶進穿戴裝置加快檢修

Image may be NSFW.
Clik here to view.

日本東京的立體停車廠維運業者Famm，從一個多月前，開始試用智慧邊緣技術，搭配穿戴裝置，來幫助他們改善停車廠設施維護，甚至是加快檢修。並且首度將他們的使用成果在Build大會上公開展出。（攝影／余至浩）

智慧邊緣應用，現在不只能用在常見的閘道器等設備上，就連隨身帶著走的穿戴式裝置，也都能夠用了。日本東京有家立體停車廠維運業者Famm，從一個多月前，開始試用智慧邊緣，將AI能力帶進前端停車場維修作業上，透過結合穿戴裝置與智慧邊緣技術，來幫助他們改善停車廠設施維護，甚至是加快檢修。今年也首度在Build大會上公開展出。

日本人口密度最高的東京，不只地狹人稠，車位更是一位難求，因此地面上設置許多上下層的立體停車場，雖然多數已採自動化管理，但仍需要人工定期維護，對停車廠設施零件更新或汰換，畢竟一旦稍有不慎，就可能會造成停放的車輛翻覆，嚴重甚至可能會危及駕駛的生命。

為了提高人員作業效率，Famm現在開始要求維修人員以一臺可攜式東芝迷你電腦設備，頭上並搭配類似Google Glass眼鏡裝置來進行現場的工作，更借助AI幫助他們提前預測車場設備零件的壽命，盡早進行更換作業，降低事故風險。

現在工程人員進到停車場後，人站在地面，直接以目視方式對準上下層的停車位設施，就能馬上知道哪些設備零件需要替換或進一步處置，不需要像以前再爬上爬下，作業上也更安全。

頭上的眼鏡會自動將擷取到的影像畫面回傳至操作員腰上的電腦設備，並直接從設備上進行預判後，再將判讀結果顯示在眼鏡上，維護人員馬上就能知道哪些零件需要更換。

Famm透過借助微軟Azure IoT Edge智慧邊緣服務，將它在雲端上已訓練完成的電腦視覺機器學習模型打包封裝，可以直接使用在人員身上的設備上，跟著人一起移動。因為不需要連網就能用，所以即使到了沒有網路的地方也不怕。

甚至，這家公司更將它用來排除故障，幫助維修人員找出有問題的設備或零件，加快檢修。因此，需要有更多的現場資料，來幫機器學習訓練，以提高預測的準確性。因為Azure IoT Edge是和Azure雲端一樣的容器執行環境，因此雲端上機器學習訓練完成，可以馬上套用。使用至今，不僅明顯減少了人為出錯的情況，更大幅縮短作業的時間。而以往維護工作，需要老練的維修人員靠著長年的經驗來判斷，現在即使新進的人員也能夠很快上手。

GitHub真的賣了！微軟大砸75億美元買下GitHub

最近GitHub被微軟併購的消息，引起開源社群的注目，而在併購案尚未確立前，許多既有GitHub使用者已經先行逃離，將儲存庫、專案搬離到GitLab或其他的程式碼代管平臺。而現在微軟跟GitHub已經發布正式通知，宣布這樁併購案成立，而微軟也砸了75億美元，將全球最大開源程式碼平臺GitHub納入麾下，此併購案，預計在今年底正式完成。（詳全文）

為何微軟要買GitHub？Satya Nadella解釋看上三大機會

Image may be NSFW.
Clik here to view.

微軟宣布以價值75億美元的股票買下全球最受歡迎的開源碼分享平臺GitHub之後，微軟執行長Satya Nadella也親自在微軟部落格上發表了一篇文章，他承諾將會保留GitHub以開發者為優先的思維，維持GitHub開放平臺的特性，並將讓GitHub獨立運作。微軟亦指派開源碼老將Nat Friedman作為GitHub未來的執行長，現有執行長Chris Wanstrath也將加入微軟，成為微軟的技術院士。雙方計畫在今年底前取得美國與歐盟主管機關的同意並完成交易。（詳全文）

遭微軟併購，GitHub使用者大蜂擁轉移至GitLab

近日GitHub傳出被微軟併購的消息，這事件不但引起開源社群討論，消息傳出後，已經在GitHub掀起了一股逃亡熱潮，開發者蜂擁而至，將專案、儲存庫移轉至GitLab。（詳全文）

看上GitHub搬家潮，GitLab順勢推25折促銷方案大搶開發者

當微軟併購GitHub的消息傳出，開源專案已經掀起一群出走潮，紛紛搬遷其他程式碼代管平臺避風頭。順著開發者這波搬家熱潮，GitLab順勢推出大促銷方案，新使用GitLab的使用者，現在註冊Ultimate、Gold等級會員，只要四分之一的價格，就可使用一整年。（詳全文）

蘋果iOS 12現身，效能更快還大打數位健康新特色

Image may be NSFW.
Clik here to view.

圖片來源／蘋果

在6月4日蘋果於舉行的WWDC上發表了新一代的iOS 12平臺，並釋出iOS 12的開發者預覽版，可發現數位健康已成為行動平臺的重要趨勢，同時iOS 12也添增了Siri捷徑（Siri Shortcuts）與FaceTime群組視訊（Group FaceTime）等新功能。（詳全文）

蘋果發表ARKit 2，支援AR開放檔案格式usdz

伴隨著iOS 12預覽版的出爐，蘋果在6月4日發表了新一代的AR軟體開發框架ARKit 2，以及全新的AR開放檔案格式usdz。

ARKit可用來簡化開發人員打造虛擬實境與擴充實境應用程式的流程，首個版本是在去年跟著iOS 11問世，儘管有研究顯示開發人員對ARKit的開發熱度下滑，但仍有開發人員推崇ARKit是個比Microsoft Hololens與Google Tango更容易使用的AR程式開發框架。（詳全文）

蘋果發表macOS 10.14，強化隱私保護、新增暗黑模式

一年如預期蘋果宣布了新版本桌機作業系統macOS 10.14，代號為Mojave，加入了暗黑模式（Dark Mode）、新增來自iOS的Home等App、改版Mac App Store、並加入Safari隱私防護等功能。6月中釋出公眾測試版，正式版會在今年秋天問世。（詳全文）

分析師郭明錤：今年蘋果所推出的3款iPhone皆為全螢幕，將調降售價

日前自凱基投顧離職並投身天風國際證券（TF International Securities）的知名蘋果分析師郭明錤，近期公布了他在新東家第一份針對蘋果的投資報告，指出蘋果將在今年9月發表3款新iPhone且會調降iPhone價格。（詳全文）

國網中心打造國家級AI雲端平臺，明年第一季上線

為加速國內AI研究發展，科技部推動AI五大戰略，其中之一便是以4年50億元預算打造國家級的AI雲端平臺，國家實驗研究院高速網路與計算中心（國網中心）準備在今年建置AI雲端平臺，年底完成系統測試，明年第一季可望開放外界使用。（詳全文）

高通發表首款擴展實境的入門級處理器XR1

最近高通發表全球第一個用於擴展實境（Extended Reality, XR）的處理器Snapdragon XR1，針對擴增實境、虛擬實境以及人工智慧等應用最佳化，帶來更好的互動體驗以及低耗能優點，Meta、VIVE、Vuzix和Picoare等OEM廠商皆已進行生產搭載XR1的裝置。（詳全文）

VS 2017 15.8讓Hyper-V執行安卓模擬器

Image may be NSFW.
Clik here to view.

圖片來源／微軟

不久前微軟才釋出Visual Studio 15.7版，並且在編譯時啟動Xamarin Runtime改善效能。而近日，微軟也加緊腳步，釋出Visual Studio 2017 15.8第二預覽版，除改善C++開發效能、CPU使用率外，也加強Android、Xamarin跨平臺開發經驗，現在此預覽版中，已初步支援Android P。（詳全文）

AWS圖學資料庫服務Neptune正式上線，毫秒可處理十億筆資料分析

去年AWS在re:Invent全球用戶大會上，就宣布要推出圖學資料庫服務（graph database service）Amazon Neptune，其適用管理的資料類型，各筆資料間都有高連結度，同時，這套服務也支援圖學查詢語言，像是Apache TinkerPop的Gremlin，以及SPARQL。現在該服務正式登場。（詳全文）

首屆總統盃黑客松五強，憑什麼得獎？

第一屆總統盃社會創新黑客松，經過3個月的選拔，終於在6月2日誕生最終的5組卓越團隊，由「搶救水寶寶」、「救急救難一站通」、「零時差隊」、「永不回頭」、「法扶－如虎添翼隊」拔得頭籌，提案主題包括自來水漏水偵測、急救照護通訊與資源整合、空中轉診後送作業流程精進、兒少家暴主動預防與弱勢法律扶助資源的有效分配，其中不乏採用機器學習、深度學習、開放API等新興技術。（詳全文）

Gartner：保險業數位轉型腳步雖慢，但不出5年，AI將成為保險業主流應用

新興技術的崛起，讓各產業紛紛投入數位轉型的行列，但是全球的壽險產業卻是相對落後。「保險產業擁抱新興科技的步調，通常比整體金融產業晚2到3年。」 國際研究暨顧問機構Gartner全球金融服務產業研究與諮詢部門副總裁暨分析師Kimberly Harris-Ferrante直言。

Gartner表示，在越來越多元的新興技術中，對於保險產業來說，AI是最具潛力與轉化型力量的新興科技，能夠打造更個人化的客戶體驗。以保險業前端的應用來說，能透過AI訓練過的聊天機器人（Chatbot）、理財機器人，讓保險產品的線上銷售與服務流程更加完整，提升客戶體驗；而在保險業後端，也能使用AI提高承保、理賠的處理效率，進而降低整體成本。（詳全文）

這幾年，防護型產品的發展，集中在使用者行為分析（UEBA），及端點電腦蹤跡的偵測與反制（EDR）等。相較之下，現在市面上主打防護進階持續性威脅（APT），並且提供專屬設備型態的產品，雖然不多，但仍然有廠商持續推陳出新。

在這種解決方案中，往往又因應端點電腦、網路、電子郵件等面向，區隔為不同的產品，但也有廠商反其道而行，訴求他們產品保護的範圍，能同時涵蓋上述多種領域。像我們這次在2018年資安大會上看到，由瑞奇數碼代理的韓國廠牌AhnLab，他們展出新款的Malware Defense System（MDS）系列設備，便是具備這樣特質的產品。

我們這次取得的測試機種，是可適用於700人環境的MDS 4000。

內建動態分析等多種檢測機制

具體來說，MDS 4000是一款具備沙箱功能的防護設備，每當發現可疑的未知檔案與網址時，便會經由靜態與動態的機制，進行分析。基本上，MDS 設備偵測的來源主要是網路流量，處理的威脅類型則包含了惡意檔案，還有C&C中繼站及惡意網址。

而對於端點電腦，企業則可額外搭配MDS的代理程式，先確認檔案安全不具威脅後，再予以放行。相較於其他同性質的產品，原廠聲稱可在攻擊發動之前便予以攔截，不需等到首位受害者出現後，才進行反制措施。

這款設備，企業可連接到核心交換器上，從中側錄流量，藉此檢查上網、電子郵件，以及檔案伺服器等流量的內容。針對現在相當普遍的加密網路流量的偵測及過濾，MDS 4000則可搭配Symantec ProxySG網頁安全閘道使用。

在MDS設備識別威脅的能力而言，這款產品採用了多重偵測流程，包含了一般常見的黑白名單過濾機制，以及進階的無特徵碼分析等。黑白名單的過濾方式，包含自家的智慧型防禦雲端情資平臺，與企業自行加入的規則。

初步過濾已知的威脅後，MDS 4000也具備無特徵碼的進階偵測機制，分別是行為分析與智慧型動態內容分析，前者是經由沙箱觸發攻擊行為，後者則是透過反組譯，解析可能潛藏在記憶體內執行的有害內容。

Image may be NSFW.
Clik here to view.

統整攻擊趨勢與設備運作的情形

針對攻擊事件的偵測，AhnLab MDS 4000儀表板呈現了威脅事件的資訊，分別是上方攻擊鏈階段的威脅數量，以及近期出現的攻擊事件態勢。而在進階分析的執行上，右上方則是列出正在執行的進度，管理者可間接得知設備負載的情形。

針對攻擊事件呈現詳細的偵測結果

為了測試MDS 4000的防護效果，我們透過手上從網路收集而來的樣本，進行測試。包含去年許多人都聽過的加密勒索病毒，以及具有惡意內容的文件，像是名為蔡英文的國際戰略.DOC檔案，或是假冒業務訂單的.XLS樣本等。當我們存取這些檔案的過程中，MDS 4000便直接攔截。

例如，我們在執行Windows 7的電腦上，將名為蔡英文的國際戰略.DOC樣本檔案開啟，這個假冒的文件便會遭到強制關閉，代理程式也會彈出這個檔案帶有惡意軟體的訊息。我們再透過主控臺，檢視分析這個Word檔案的結果，在報告中，包含了執行畫面的截圖，以及MDS 4000反組譯之後的解析。

在檔案分析的結果中，我們可以看到實際觸發的過程，與開啟一般Word文件看似無異，然而動態分析結果的摘要則指出，這個文件檔案產生了帶有攻擊行為的處理程序，而該處理程序執行完後，會將自己本身刪除。

附帶一提，這裡的觸發流程，會先從執行Windows XP作業系統的環境，開始測試，若是尚未發現可疑的情況，再交由Windows 7平臺再次嘗試觸發，管理者不能指定測試的環境。

而該分析頁面上的資料，MDS 4000能匯出成PDF文件，以便調查人員留存，或討論後續如何因應之用。

但因為這個測試樣本在背景執行，端點電腦遇害時，並不會出現異常畫面，MDS 4000的截圖中，我們只能看到Word開啟空白文件畫面。在沒有輔助說明下，管理者難以得知與詳細執行內容的關連。

而我們也在端點電腦上，執行了加密勒索軟體Bad Rabbit的樣本，代理程式一如預期的成功攔截，告知使用者帶有惡意內容。

由於我們手上的惡意檔案，大部分是已經出現一段時間的樣本，其特徵碼都包含在原廠提供的威脅情資資料庫裡，因此MDS 4000便會直接攔截，並且阻止端點電腦執行，而不會執行後續進階的動態分析流程，所以，我們上述測試的加密勒索軟體便是如此。在這種情況下，若是管理者仍想要了解檔案內容，與攻擊軟體發動的特徵，主控臺也提供了直接傳送到沙箱分析的功能。

於是，我們將上述的加密勒索軟體樣本，透過這個進階功能分析，之後，就會看到觸發後會加密桌面上的檔案，並彈出要求使用者支付比特幣的視窗。另外，我們也將樣本的EXE副檔名改掉後，再次測試，結果MDS 4000也能正確識別出帶有的攻擊特徵。

Image may be NSFW.
Clik here to view.

呈現沙箱執行過程與詳細分析資訊

在惡意攻擊的分析中，MDS 4000不只提供了如上圖的攻擊鏈(1)與摘要，管理者可在此執行遠端處置，也呈現了下圖進一步的鑑識資料，包含在VM中嘗試觸發攻擊的過程(2)，以及詳細的分析資訊(3)，指出發現了那些異常行為。

可依據攻擊鏈流程、近期發生的事件，以及受害標的等總覽整體狀態

從管理介面來看，儀表板對於企業內部整體的態勢，以3種類型的指標加以歸類，包含了攻擊鏈流程各階段、時間分布，以及惡意攻擊的排行等。我們也能檢視，正在執行與排程中的動態分析工作數量，得知MDS 4000的負載情形。

而在既有的儀表板之外，原廠也為MDS 4000新增了名為威脅態勢（Threat Trend）儀表板，以樹狀圖的方式，從威脅來源、分析流程，以及檢查結果，呈現更容易判讀的各項指標。

假如想要了解好發攻擊的設施，以及分析之後惡意威脅的類型分布，管理者也可切換到這個儀表板檢視，並進一步向下探索相關的事件細節。這裡便從分析的來源、流程，最後將所發現威脅，歸納不同等級嚴重程度事件數量。透過這個儀表板，管理者便能選擇遭到攻擊的標的類型、危害的嚴重程度等面向，著手向下調查。

Image may be NSFW.
Clik here to view.

新增威脅態勢樹狀事件關連總覽

MDS 4000依據處理的流程，以樹狀圖的型式，呈現另一種面向的指標。最上排藍色區域(1)為發現攻擊的來源（網路、檔案伺服器、共享資料夾、電子郵件等），中間深綠色區域(2)則依據各種偵測機制，顯示所找出的威脅數量，最終下方以威脅類型(3)統整惡意檔案、C&C中繼站與惡意網址，並細分危險程度、處理完成與否等統計資訊。

 產品資訊 

●建議售價：廠商未提供

●代理商：瑞奇數碼(02)2658-1786

●可處理流量：800Mbps

●可處理檔案數量：每日35,000個

●可監控Windows端點電腦數量：700臺

●設備硬體規格：64GB記憶體、480GB固態硬碟與2TB磁碟

●設備網路介面：4個GbE埠與4個SFP+埠

●可選購功能：電子郵件伺服器監控模式（MTA）、端點電腦管理擴充設備（MDS Manager）

【註：規格與價格由廠商提供，因時有異動，正確資訊請洽廠商】

對於端點電腦的防護，許多廠商在最近2到3年，都爭相推出了涵蓋了偵測與反制（EDR）的解決方案。然而，在此同時，防毒軟體也持續強化，納入更多偵測進階威脅的能力。

今年4月，企業版本的Kaspersky防毒軟體──Kasperksy Endpoint Security for Business（KESB），推出了5年以來的重大改版，新的11版改進重點，包含了操作介面更為容易判讀、使用，針對可疑行為的偵測，擁有更為細致的政策選項，也首度與同廠牌的進階威脅防護平臺，即Kaspersky Anti Targeted Attack Platform（KATA），進行整合。

可與這款防毒軟體搭配、制訂政策的管理平臺，仍然是Kaspersky Security Center（KSC），原廠也一併提供能支援KESB 11的10 SP3版，可管理的端點電腦數量上限擴充為10萬臺，對於與之搭配的資料庫SQL Server，也支援了AlwaysOn高可用性群組機制，企業在部署管理平臺所需的資料庫時，便能啟用上述SQL Server的功能。

支援最新版Win 10平臺，並將工作站進階防護機制擴及伺服器端點

我們取得的KESB與KSC測試版本，介面都是英文。原廠表示， 這兩款軟體的正體中文版本，預計在6月以後才會提供。不過，對於原本已經使用先前版本軟體的用戶來說，KSC集中管理的操作介面變化並不大，管理者若是熟悉常用功能的位置，影響應該相當有限。

而作業系統的支援上，新版KESB能安裝在執行Windows 7與Server 2008以上平臺的電腦，不再向下相容已經結束產品生命周期的Windows XP、Server 2003。而針對Windows 10，KESB 11也正式支援最新版本，也就是2018年4月更新（RS4）。

從因應進階攻擊的功能來看，在現行版本的KESB上，主要透過名為系統監控（System Watcher）的元件，提供相關的保護能力。但這個模組，以往只支援工作站端點電腦，而新版本則將適用的範圍擴及到伺服器平臺，因此對於這些端點而言，KESB 11終於補足了這種進階威脅的防護措施。

只是在新版KESB中，不再使用系統監控這個名稱，而是細分為異常行為偵測、漏洞防護，以及系統修復引擎等。而在設定的項目上，擁有較為細緻的調整彈性，以行為偵測而言，便新增了可納入共用資料夾的選項，而漏洞防護的部分，則是首度針對記憶體內執行的威脅，加入了啟用與否的項目。

Image may be NSFW.
Clik here to view.

能透過專屬管理平臺集中控制

透過Kaspersky Security Center管理平臺，企業可將安裝了KESB 11的電腦，與部署了其他Kaspersky商用防護產品的設備，一併納入管理，並能檢視運作的情況。以圖中的圖表而言，我們就能得知這些受列管電腦的安全態勢。

容易判讀安全程度的新版程式介面

在測試環境中，我們架設了一臺KSC主機，以及幾臺分別執行Windows 7、Windows 10 RS4，以及Windows Server 2012 R2等作業系統的端點電腦。之後，我們也拿了從網路上收集而來的惡意軟體、文件檔案等樣本，包含了WannaCry等加密勒索軟體，與內含進階威脅攻擊的文件等，不少檔案在解壓縮過程時，KESB 11便直接進行了封鎖與刪除。

基本上，端點電腦裡的KESB軟體，還是將自己標示為安全的狀態，但在KSC管理平臺中，管理者能看到這臺電腦曾經遭到攻擊，需要特別加以留意。

相較之下，端點電腦上的KESB 11軟體介面，與先前版本可說是截然不同。在KESB 10上，使用者首先看到的是各項端點的管制措施，像是應用程式控制、外接式裝置控制，以及網頁存取控制等項目。而新版KESB首頁上，則是優先顯示端點電腦的安全狀態，使用者便能快速判讀自己的電腦是否受到威脅。

在KESB 11的個人端程式介面首頁，我們可以看到大大的打勾圖示，下方附註沒有尚未處理的威脅。而這個圖示的左側，則是列出這款防毒軟體所擁有的進階偵測機制，包含了機器學習、雲端沙箱分析、行為分析，以及原廠的信譽評等資料庫平臺等。上述機制清單的旁邊，也顯示所發現的威脅事件數量。

Image may be NSFW.
Clik here to view.

針對異常行為提供進階因應政策

在發現可疑行為的做法上，KSC新增KESB 11專屬的設定項目，包含了偵測到這種型態的手法時，防毒軟體便自動執行檔案刪除、終止處理程序，或是只發出通知。再者，這項保護功能，也能擴及共用的網路資料夾，避免其中的檔案遭受竄改。

可與其他同廠牌防護措施集中管理

在集中控管或是大量部署KESB 11的做法上，企業需要透過建置於Windows Server上的KSC軟體。透過這套軟體控管的特點是，若是公司同時採用了多款Kaspersky的產品，只要KSC安裝了對應的外掛元件後，這些防護措施一概都能經由KSC集中管理。

基本上，這套軟體採用了Windows系統管理主控臺（MMC）為基礎，雖然功能相當豐富，但實際操作的流程而言，仍然有些複雜，管理者仍需要從左側的階層式選單裡，找尋所需的項目。而且，相較於許多企業級防毒軟體的管理平臺，已經朝向網頁化發展，這套軟體雖然也提供，但僅限於檢視防護狀態，管理KESB仍要遠端登入KSC伺服器中，才能操作。

再者，與其他同類型產品中，採取新版軟體政策向下相容的做法有所不同，現行與新版本的KESB政策並不相容，管理者必須個別管控，不過，KSC提供了匯入功能，能將之前版本的政策，轉換成KESB11可用的項目，算是略為減輕管理者控管不同版本KESB政策的不便。

從防護的政策上來看，最顯著的不同之處，在於針對KESB 11的部分，KSC在設定畫面上方加入了防護等級指標，藉此提醒管理者啟用必要的保護功能。而在管制使用者的做法上，新版本KESB增加端點簡化介面模式，開啟之後，端點電腦工具列上圖示的功能，便只保留快速掃描電腦、安裝軟體更新等項目，無法啟用軟體設定介面，而管理者則可透過專屬的密碼，開啟端點電腦上原本封鎖的KESB操作介面。

而對於進階防護的措施而言，除了前述提到的保護機制之外，KESB與自家的安全網路情報平臺（KSN）連接，也被視為重要的一環。而在現有的版本中，管理者只能選擇是否啟用這項功能，但在KESB 11的政策裡，包含了連線到雲端KSN模式與延伸應用模組的項目，前者對於端點電腦無法與KSN連線的情況下，會特別發出警示通知給管理者，後者則是能選擇是否上傳較多的檔案資料，以供KSN進階分析，假如關閉的話，KESB 11只會提供檔案的雜湊值。

此外，原廠也特別強調開啟了KSN雲端模式後，能大幅減少KESB占用端點電腦的記憶體與磁碟空間。根據原廠提供的資料，在啟用之後，所運用的記憶體較未啟用前少了15%到20%，而磁碟空間也減少30%到40%之多。

Image may be NSFW.
Clik here to view.

漏洞滲透防護涵蓋記憶體內執行檢測

針對近年來層出不窮的漏洞滲透攻擊，KSC也提供了相關執行政策的選項，管理者可選擇一律封鎖，或是警示用戶與管理員。另外也加入了記憶體內執行的偵測功能，但只能選擇開啟或關閉。

 產品資訊 

●建議售價：標準版每臺每年2,100元起（未稅）

●代理商：展碁國際(02)2371-6000

●處理器需求：1GHz以上，並支援SSE2指令集

●記憶體需求：2GB

●儲存空間需求：2GB

●作業系統需求：Windows 7 SP1~10、Windows Server 2008 SP2~2016

●管理平臺需求：Kaspersky Security Center 10 Service Pack 3

【註：規格與價格由廠商提供，因時有異動，正確資訊請洽廠商】

在這一章，你將會學到如何編寫精美的跨網站腳本攻擊（XSS）與SQL攻擊 fuzzer，來攻擊以GET與POST請求接收HTTP參數的URL。fuzzer是一種軟體，它會試著送出錯誤或格式不正確的資料來尋找其他軟體的錯誤。fuzzer有兩種常見的類型：mutational與generational。mutational fuzze會試著用不良的資料來汙染已知良好的輸入，而不考慮協定或資料結構。相較之下，generational fuzzer會考慮伺服器通訊協定的微細差別，並使用這些差別來生成技術上有效的資料，傳送給伺服器。使用這兩種fuzzer，都是為了讓伺服器回傳錯誤訊息給fuzzer。

我們要來寫一個mutational fuzzer， 你可以在已經知道某個URL或HTTP請求的良好輸入時使用它。當你可以使用fuzzer來找出XSS與SQL攻擊漏洞之後，就知道如何入侵SQL攻擊漏洞，從資料庫中取出帳號與密碼雜湊。

為了找到與入侵XSS與SQL攻擊漏洞，我們會在C#中使用核心的HTTP程式庫，用程式來建構HTTP請求。我們會先編寫一個簡單的fuzzer來解析URL，並使用GET與POST請求來fuzz HTTP參數。接下來，我們會針對SQL攻擊漏洞來開發完整的入侵程式 ，使用精心製作的HTTP請求來取得資料庫內的使用者資訊。

我們會用一個小型的Linux版本，稱為BadStore，來測試這一章的工具（你可以在VulnHub網站取得，https://www.vulnhub.com/）。BadStore的設計有許多可讓SQL與XSS攻擊的漏洞（以及其他的）。我們從VulnHub下載BadStore ISO之後，會使用免費的VirtualBox虛擬軟體來建立一個虛擬機器，以啟動BadStore ISO，如此一來，當我們進行攻擊時，就可以避免攻擊到自己的主機系統。

設定虛擬機器

要在Linux、Windows或OS X安裝VirtualBox，你要從https://www.virtualbox.org/下載VirtualBox軟體。（安裝過程應該很簡單；你只要跟隨下載軟體的網站上的最新說明操作即可。）虛擬機器（VM）可讓我們使用實體電腦來模擬一個電腦系統。我們可以使用虛擬機器來輕鬆建立與管理有漏洞的軟體系統（例如我們將在這本書中使用的這一個）。

添加host-only虛擬網路

你或許需要在設定VM之前先建立一個host-only（不對外連線）的虛擬網路。host-only的網路只可以在VM與主機系統之間進行通訊。以下是建立步驟：

1. 按下File4Preferences來開啟VirtualBox - Preferences對話方塊。在OS X上，選擇VirtualBox4Preferences。

2. 按下左邊的Network部分。你應該可以看到兩個標籤：NAT Networks與Host-only Networks。在OS X，按下Settings對話方塊上面的Network標籤。

3. 按下Host-only Networks標籤，接著按下右邊的Add host-only network (Ins)按鈕。這個按鈕的圖樣是一張網路卡與一個加號。它應該會建立一個名為vboxnet0的網路名稱。

4. 按下右邊的Edit host-only network (Space)按鈕。這個按鈕的圖樣是一把螺絲起子。

5. 在打開的對話方塊中，按下DHCP Server標籤。將Enable Server打勾。在Server Address欄位中， 輸入IP位址192.168.56.2。

在Server Mask欄位中，輸入255.255.255.0。在Lower Address Bound欄位中，輸入192.168.56.100。在Upper Address Bound欄位中，輸入192.168.56.199。

6. 按下OK來將改變存至host-only網路。

7. 再次按下OK來關閉Settings對話方塊。

建立虛擬機器

安裝VirtualBox並將它設為host-only網路之後，以下是設定VM的方法：

1. 按下左上角的New圖示，如圖2-1所示。

2. 當畫面出現對話方塊來讓你選擇作業系統的名稱與類型時，選擇下拉式選項Other Linux (32-bit)。

3. 按下Continue之後，你可以看到提供RAM給虛擬機器的畫面。將RAM的大小設為512 MB並按下Continue。（在fuzz與入侵漏洞時，會讓web伺服器使用許多虛擬機器的RAM。）

4. 當電腦要求你建立一個新的虛擬硬碟時，選擇Do not add a virtual hard drive並按下Create。（我們會以ISO來映像執行BadStore。）現在你可以在VirtualBox Manager視窗左邊窗格中看到VM，如圖2-1 所示。

Image may be NSFW.
Clik here to view.

圖 2-1：含有 BadStore VM 的 VirtualBox

以BadStore ISO啟動虛擬機器

建立VM之後，請按照以下的步驟設定它，來以BadStore ISO啟動：

1. 在VirtualBox Manager的左窗格的VM按下右鍵，並按下Settings。

你可以看到一個對話方塊，顯示網路卡、CD-ROM與其他雜項的設定情形。

2. 在Settings對話方塊中選擇Network標籤。你可以看到七種網路卡設定，包括NAT（網路位址轉譯）、host-only與bridged。選擇host-only網路來配置一個IP位址，它只能讓主機存取，而非其餘的Internet。

3. 你必須將Advanced下拉選單的網路卡類型設為較舊的晶片組，因為BadStore是基於舊的Linux核心，不支援一些較新的晶片組。請選擇PCnet-FAST III。

現在按照以下的步驟來設定CD-ROM，用硬碟的ISO來啟動：

1. 選擇Settings對話方塊的Storage標籤。按下CD圖示，以顯示一個選單，它裡面有一個選擇虛擬CD/DVD磁碟檔案的選項。

2. 按下Choose a virtual CD/DVD disk file選項，找到你之前存至檔案系統的 BadStore ISO，並將它設為可啟動的媒體。現在虛擬機器已經可以啟動了。

3. 按下Settings標籤右下角的OK來儲存設定。接著在VirtualBox Manager 左下角，按下Settings齒輪按鈕旁的Start按鈕來啟動虛擬機器。

4. 啟動機器之後，你可以看到這個訊息："Please press Enter to activate this console"。按下enter並輸入ifconfig來查看你取得的IP配置。

5. 取得虛擬機器的IP位址之後，在你的網頁瀏覽器輸入它，你可以看到圖2-2所示的畫面。

Image may be NSFW.
Clik here to view.

圖 2-2：BadStore web 應用程式的首頁

SQL攻擊

在現今豐富的web應用程式中，程式員必須能夠在幕後儲存與查詢資訊，以提供高品質、穩健的使用者體驗。這通常是以結構化查詢語言（SQL；讀為sequel）資料庫來完成的，例如MySQL、PostgreSQL或Microsoft SQL Server。

SQL可讓程式員藉由SQL陳述式來以程式與資料庫互動。SQL陳述式是要求資料庫根據你提供的資訊或規則來建立、讀取、更新或刪除資料的程式碼。例如，列表2-1的SELECT陳述式可詢問資料庫：在託管的資料庫內的使用者人數。

列表 2-1：SQL SELECT 陳述式範例

SELECT COUNT(*) FROM USERS

有時程式員需要動態的SQL陳述式（也就是說，根據使用者與web應用程式的互動來改變）。例如，程式員可能需要根據某些使用者的ID或使用者名稱，來從資料庫選出資訊。

但是，當程式員拿使用者從不可信任的用戶端（例如web瀏覽器）提供的資料或值來建構SQL陳述式時，如果用來建立與執行SQL陳述式的值未被妥善地清理，可能會導入SQL攻擊漏洞。例如，列表2-2的C# SOAP方法可用來將一位使用者插入web伺服器上的資料庫。（SOAP，或簡易物件存取通訊協定 是一種XML支援的web技術，其用途是在web應用程式快速建立API。它在C#與Java等企業語言中很受歡迎。）

列表 2-2：可被SQL攻擊破解的C# SOAP方法

[WebMethod]public string AddUser(string username, string password){NpgsqlConnection conn = new NpgsqlConnection(_connstr);conn.Open();string sql = "insert into users values('{0}', '{1}');";1 sql = String.Format(sql, username, password);NpgsqlCommand command = new NpgsqlCommand(sql, conn);2 command.ExecuteNonQuery();conn.Close();return "Excellent!";}

在這個案例中，程式員並未在建立1與執行2 SQL字串之前，先對使用者名稱與密碼進行清理。因此，攻擊者可以建構一個使用者名稱或密碼字串，來讓資料庫執行精心製作的SQL程式碼，讓他們可在遠端執行命令，完全控制資料庫。

如果你將一個單引號與其中一個參數一起傳入（例如用user'name來取代username），ExecuteNonQuery()方法會試著執行不正確的SQL查詢指令（見列表2-3）。接著方法會丟出一個例外，它會被顯示在HTTP回應中讓攻擊者看到。

列表 2-3：因為這個SQL指令是使用者提供的未清理的資料，所以它是無效

insert into users values('user'name', 'password');

許多可存取資料庫的軟體庫，都讓程式員藉由參數化查詢（parameterized queries）來安全地使用web瀏覽器這種不可信任的用戶端提供的值。這些程式庫會自動清理被傳給SQL指令的不可信值，將單引號、括號及在SQL語法中使用的其他特殊字元轉換掉。參數化查詢指令與其他類型的物件關係映射（ORM）程式庫，如NHibernate，都可協助防止這類的SQL攻擊問題。

這些由使用者提供的值，較有可能出現在SQL指令的WHERE子句內，如列表 2-4所示。

列表2-4：這個SQL SELECT陳述式會選擇特定user_id的一個資料列

SELECT * FROM users WHERE user_id = '1'

如列表2-3 所示，將一個單引號丟入未被妥善清理的HTTP參數，再用它來建構動態SQL指令時，會讓web應用程式丟出錯誤（例如HTTP回傳碼500），因為在SQL中，一個單引號代表字串的開頭或結尾。因為這個單引號過早結束字串，或開始一個字串卻未結束它，所以會造成陳述式的不正確。藉由將HTTP回應解析成這種請求，我們可以fuzz這些web應用程式，並在參數被篡改時，搜尋會讓回應產生SQL錯誤的HTTP參數（由使用者提供的）。（摘錄整理自《灰帽 C#》）

學習使用C#將沉悶但重要的資安工作自動化

很多人問我為什麼這麼喜歡C#。我身為開放原始碼軟體的支持者、Linux的忠誠使用者，和Metasploit的貢獻者（它主要是用Ruby來編寫的），這麼喜歡C#是很奇怪的事情。當我在幾年前開始使用C#來寫程式時，Miguel de Icaza（GNOME 的發起者）剛啟動一個小型的專案，稱為Mono。

實質上，Mono的目的，是以開放原始碼的方式來實作Microsoft的.NET框架。C#這種語言已經被提案成為ECMA標準，而.NET框架已經被Microsoft吹捧為Java的替代品，因為它的程式碼可以在一個系統或平台上編譯，並且在另一個系統或平台上執行。唯一的問題在於，Microsoft只釋出供Windows作業系統使用的.NET 框架。Miguel與一小群的核心貢獻者一肩承擔，讓Mono專案成為.NET框架與Linux社群接觸的橋樑。幸運的是，有一位建議我學習C#、也知道我對Linux很有興趣的朋友告訴我這個羽翼未豐的專案，要我看看是否可以同時使用C#與Linux。從那之後，我就無法自拔了。

C#是一種優美的語言。這種語言的原創者與首席建構師Anders Hejlsberg原本的工作是編寫Pascal與後來出現的Delphi編譯器。這些經驗讓他對各種程式語言的強大功能具備敏銳的覺查力。在Hejlsberg加入Microsoft之後，C#在2000年左右誕生了。C#早期採用一些Java的語言功能，例如Java的語法細節，但隨著時間的推移，它演變為自成一格的語言，並搶先在Java之前加入一大堆功能，例如LINQ、委派（delegates）與匿名方法。使用C#，你可以擁有許多C與C++的強大功能，也可以使用ASP.NET堆疊來編寫完整的web應用程式或豐富的桌面應用程式。在Windows上，WinForms是UI程式庫的首選，但是在Linux上，GTK與QT都很容易使用。

最近Mono也開始在OS X平台上支援Cocoa工具組。甚至也支援iPhone與Android。

在寫這本書時，Microsoft不但收購了Xamarin（由Miguel de Icaza創建，以支援Mono框架的公司），也開放大量的.NET框架核心原始碼。而且Microsoft正積極地參與Mono社群，以促進使用Microsoft技術來開發行動軟體。

許多人從事的是與安全有關的工作，例如網路與應用安全工程師，並且依賴某種程度的自動化來掃描安全漏洞或分析惡意軟體。因為安全專家們喜歡使用各式各樣的作業系統，所以我們很難寫出可讓所有人都輕鬆運用的工具。

Mono是一種很棒的選項，因為它跨平台，而且有傑出的核心程式庫集合，讓安全專家可以輕鬆地自動執行許多層面。如果你想要學習編寫漏洞入侵程式、自動掃瞄基礎設施的漏洞、反編譯其他的.NET應用程式、讀取離線registry hives（登錄檔註冊單元），或創建自訂的跨平台payload，那麼本書探討的許多主題都可以協助你踏出第一步（你甚至不需要具備 C#的背景）。文⊙Brandon Perry（本書《灰帽 C#》作者）

開發攻擊性與防禦性的C#

身為一位攻擊或防禦軟體的開發者，你必須找出適合你的語言。在合理情況下，一種語言之所以被選中，只因為它是開發者最熟悉的一種。不過，你應該回答以下這些問題，來決定是否選擇某種語言：

• 目標的主要執行環境為何？

• 外界如何偵測與記錄這種語言寫出來的payload（指令內容）？

• 我的軟體需要保持隱匿的程度（例如，常駐記憶體）？

• 用戶端與伺服器端對這種語言的支援程度如何？

• 是否有個大型社群正在開發這種語言？

• 學習曲線為何？以及這種語言的維護難易度如何？

針對這些問題，C#提供了令人滿意的解答。關於目標的執行環境這個問題，在重度使用Microsoft的環境中，.NET是卓越的候選者，因為它已內建於Windows多年了。且因為.NET開放原始碼，現在C#已經是一種可在各種作業系統上執行的成熟語言了。真正支援跨平台的語言非常誘人。

C#一直是.NET語言的代表。因為C#的入門門檻極低，而且擁有廣大的開發社群，你可以快速上手並使用它。此外，因為.NET是一種受控（managed）、豐富型態的語言，你可以輕鬆地將編譯好的組譯碼反編譯為C#。因此，編寫攻擊性的C#的人，不盡然必須在真空環境中獨自發展，反而可以參考豐富的.NET惡意軟體範例，將它們反編譯，閱讀它們的等效原始碼，並"借用"它們的功能。你甚至可以採用.NET反射API來動態載入與執行既有的.NET惡意軟體範例，當然，前提是它們已經被充分地復原，以確保不會造成任何傷害。

PowerShell的最後一個版本（此時是v5）實作的記錄機制比現有的腳本語言還要多。從防禦者的觀點來看，這是很棒的事情。從滲透測試者、模擬攻擊方或 對手的角度來看，這會大幅增加攻擊時的雜訊。就一本說明C#的書籍而言，為什麼我要提到這一點？當我寫愈多PowerShell，我就愈認同當攻擊者使用C#來開發工具時，會比使用PowerShell還要敏捷，容我解釋一下：

• .NET提供一種豐富的反射API，可讓你輕鬆載入已編譯的C#組譯碼，並在記憶體中與它動態互動。藉由在PowerShell payload上執行所有額外的自我訓練（introspection），反射API可協助攻擊者開發PowerShell payload來扮演.NET組譯碼載入器與執行器的角色，讓攻擊者更有機會躲避雷達的偵查。

• 如Casey Smith（@subTee）所展示的，在預設的Windows安裝版本中，有許多合法、Microsoft簽署的二進位檔案可當成C# payload的優良承載程序-msbuild.exe是最隱秘的一種。使用MSBuild來承載C#惡意軟體，可完美體現"在地生活"，這個概念指的是：讓攻擊者融入目標環境，只產生極少的足跡，以存 活一段很長的時間。

• 目前反惡意軟體的供應商在相當程度上仍然未意識到.NET組譯碼在執行階段的能力。外界仍有許多非受控（unmanaged）惡意程式碼尚未把焦點放在有效地掛鉤.NET來執行動態執行階段自我訓練。

• 因為具備存取大量.NET類別庫的能力，熟悉PowerShell的人可以發現轉移至C#是比較順暢的做法。反過來說，如果熟悉C#的人想要將技術轉移到PowerShell與F#等其他.NET語言，他們的入門門檻會比較低。

• C#類似PowerShell，是一種高階語言，也就是說，開發者不需要煩惱低階的編碼與記憶體管理問題。不過，有時你需要做"低階"的事情（例如，與Win32 API互動）。幸運的是，透過C#的反射API與P/Invoke及封送處理（marshaling）介面，你可以隨心所欲地操作底層。文⊙Matt Graeber（Microsoft MVP）

 書籍簡介 

灰帽 C# 建立自動化安全工具的駭客手冊

Brandon Perry／著

賴屹民／譯

碁峰出版

售價：450元

 作者簡介 

Brandon Perry

從開放原始碼的.NET作品Mono開始編寫C#應用程式。在空閒時間，他喜歡編寫Metasploit框架的模組、解析二進位檔案，與fuzz一些東西。他是Wicked Cool Shell Scripts 第二版（No Starch Press）的作者之一。

另一個時代的眼淚！ Oath宣佈，即時通訊軟體先驅之一Yahoo Messenger將在7月17日終止服務。

在那之後，Yahoo Messenger將無法使用，用戶再也無法用電腦或手機版的Yahoo Messsenger和友人通訊。Oath解釋，雖然Yahoo Messenger還是擁有許多忠實用戶，但有鑒於通訊版圖的變化，該公司將打造新的通訊工具來滿足消費者需求。但是在那之前，並沒有工具來取代Yahoo Messenger 。

Yahoo現在正在實驗一個新的群聊服務稱為Yahoo Squirrel，目前還在beta版階段，5月開始以邀請制接受試用。有興趣的用戶可以在squirrel.yahoo.com網站索取邀請函。

用戶的通訊紀錄將保留6個月。使用者可以登入Yahoo網站，選擇驗證方法後、輸入Oath傳來的帳號金鑰、按下「下載」，再輸入郵件信箱後即可收到通訊紀錄檔。這個改變並不會影響Yahoo ID登入其他服務如Yahoo Mail、Yahoo Fantasy等。

Yahoo Messenger和ICQ、AIM、MSN Messenger是近代最早的第一批即時通訊軟體，曾經各擁江山。而隨著新式通訊軟體如Facebook Messenger、WhatsApp、WeChat的崛起，第一代即時通訊軟體早已沒落， AIM在去年走入歷史、MSN Messenger也被微軟收購的Skype取代 。連Yahoo Messenger的持有人Yahoo主要網際網路業務也在2017年被美國電信業者Verizon收購，才改名為Oath。

美國參議院加眾議院的議員加起來有535位，議員來來去去，除非記憶過人，否則很難正確的叫出這些人的名字，紐約時報（New York Times）的新聞工作者長時間受這個問題所苦，於是以Amazon的Rekognition服務開發了議員辨識系統Who The Hill讓電腦來認人。現在以Apache 2.0授權開源，要讓其他的新聞同業也能免於認人之苦。

紐約時報互動新聞工程師Jeremy Bowers提到，即使在美國國會中報導10年的新聞，也很難確定剛剛交談過的人是誰。國會中有535位議員，議員更新週期又很短，每過幾個月就會進行一次特別選舉，成員來來去去背都背不起來。紐約時報前國會記者Jennifer Steinhauer就曾在推特上吶喊「需要用來辨認白宮成員臉的Shazam。」

一開始他們覺得這件事很困難，不過，隨後就發現已經有成熟的產品存在，Amazon的Rekognition服務中，有一個RecognizeCelebrity的名人辨識功能，其中包含國會議員以及行政部門成員的臉孔資料庫。Jeremy Bowers表示，有了這些工具，現在他們只要組合一些API，就能夠建立一個臉部辨識系統來幫記者認臉。他們根據需求建立了辨識系統雛形，國會記者只要拍張議員的臉照，發送到後端應用程式就能取得具有信心指數的辨識結果。

但系統一開始使用狀況並不理想，Jeremy Bowers提到，Rekognition服務會錯誤辨識長很像的名人，而且國會大廳的照明不足，拍出來的臉照品質不佳，他們的測試照片受到陰影跟模糊的影響，辨識率很低落，而且再加上國會大廳地下室的收訊很差，以MMS傳送與接收照片過程緩慢，還容易發生錯誤。

為了解決Rekognition服務名人互相認錯的問題，他們建立了一份國會議員名單，系統只標註這些人，另外，他們也調整拍攝照片的方式，以符合系統要求，而之所以堅持使用文字介面，Jeremy Bowers說明，文字介面對於記者是比較方便的，而且在頻寬不佳的地方，網頁介面反而更緩慢。

在研究人臉辨識系統時，他們也遇到了隱私問題，因此這個人臉辨識的系統，範疇只限制在公眾人物。現在Who The Hill系統紐約時報以Apache 2.0授權開源在GitHub上。

為了要加速推動物聯網（IoT）資安產業標準，國家通訊傳播委員會（NCC）與經濟部今日（6/11）共同發布了IoT設備資安驗證標章制度，雙方將成立共同的物聯網資安標章，最快明年初啟用，並將先用在IP CAM網路攝影機的資安檢測上。NCC表示，未來也將把此標章列為政府部門採購的優先原則，優先採購有符合資安檢測標章的業者。

去年小英政府提出的5+2產業創新政策，不僅將資安視為是發展數位經濟的基礎，為了加速產業創新，更將物聯網資安列為國家資通安全發展首要完備的資安基礎環境，開始致力推動物聯網資安產業標準。NCC與經濟部在今日舉行的「物聯網設備資安認證制度」公開說明會上，也首度提出物聯網設備資安認/驗證標章制度，以及未來政策推動方向。

經濟部部長沈榮津表示，希望藉由政府帶頭推動物聯網資安驗證的標章制度，以建立更安全且穩定的產業發展環境，透過資安技術、標準制定以及嚴格檢測，來打造一個健全的物聯網資安產業的生態系，進而提高產業的國際競爭力。

Image may be NSFW.
Clik here to view.

NCC表示，政府推動物聯網設備的資安檢測，未來將會以國家需求（CIIP）、產業發展優勢及民生需求為優先，在檢測流程上，將由業者經由全國認證基金會（TAF）認可的第3方實驗機構取得合格驗證後，給予認證標章。

在檢測分工上，NCC指出，將參考現行的複合型IoT設備的硬體認證方式，不同的是，以往設備產品的安全認證，需要符合經濟部與NCC各自的驗證規範，以取得兩個不同的標章，未來雙方將成立一個共同的物聯網資安標章，以後只須用同一套物聯網資安標準來檢測，無須再個別來申請。

NCC基礎設施事務處處長羅金賢表示，上個月，NCC已預告IP CAM資安檢測技術指引的草案，預計將於8月完成發布程序，今年底前至少有一家實驗室取得認證資格，最快明年1月就會開始正式執行。

Image may be NSFW.
Clik here to view.

不僅如此，NCC今年還將跟進發布Wi-Fi AP、無線路由器，以及有線電視數位機上盒共3項IoT設備資安檢測技術指引的草案，甚至明年也將把無人機、無線滑鼠、簡報筆等IoT設備納入資安檢測認證的範疇。

Image may be NSFW.
Clik here to view.

至於如何讓業者願意主動配合受檢，羅金賢表示，政府僅鼓勵民間業者自行送測，對於業者要不要送檢，並不具有法規強制力的約束，但他也強調，未來政府機關將把此標章列為公部門採購的優先原則，優先採購有符合此資安檢測標章的業者；此外，待現在立法院審議的《電信管理法》三讀通過正式施行後，他指出，之後也將要求電信等通傳業者，將來使用的電信設備都必須通過此項認證。

另外，經濟部工業局則表示，今年除了將會釋出第2版網路攝影機的資安標準，今年也將持續修訂其他物聯網影像監控系統的資安標準，包括針對影像錄影機與網路儲存裝置推出第1版資安標準，不僅如此，今年底前，還將新增包含車載機、智慧站牌在內等2項智慧巴士車載資通訊系統資安標準。

全球現在約有80億個聯網裝置，除了電腦以及行動裝置外，包括醫療、車輛、穿戴、智慧家庭與城市應用裝置形成了巨大的物聯網，這些無線聯網裝置容易受到駭客干擾訊號的攻擊。MIT現研發出了特殊的無線電發射器（Transmitter），能以隨機高速跳頻技術來防止駭客攻擊，以保護這些裝置的通訊安全並維持與低功耗藍牙相當的每秒傳輸量。

無線電攻擊的嚴重性比想像中的嚴重很多，駭客可以透過無線電定位、攔截或是覆寫資料。MIT的研究員Rabia Tugce Yazicigil提到，更嚴重的情況，在體內安裝胰島素幫浦或是心臟起博器的病人，可能遭有心人士攻擊生命受到威脅。而且駭客還能進行選擇性干擾，只對單個裝置發送攻擊資料封包，當所有裝置皆運作正常，只有一個裝置有問題，這種針對性攻擊通常會被認為是無線連接品質不好，而不容易被發現是攻擊行為。

要抵禦無線干擾攻擊，可以讓載波快速的在不同頻率間切換，這便是常見的跳頻技術，頻率切換的速度越快就越安全。發射器與接受器使用預先決定好的共享序列，在不同的頻道傳送資料，封包等級的跳頻技術會在80個頻道間跳換，一次傳送一個資料封包。而頻率切換的速度不夠快就容易受到攻擊，低功耗藍牙（Bluetooth Low Energy，BLE）發射器傳送一個資料封包要花612微秒的時間，Rabia Tugce Yazicigil表示，一個資料封包在頻道上傳輸太久，就有許多時間能遭受攻擊，駭客只要花1微秒就能鎖定攻擊頻道，接著發射大量資料包讓該頻道阻塞。

研究團隊表示，現有的發射器架構，無法以低功耗高速跳頻。MIT發表了全新的發射器能支援超高速跳頻，他們以體聲波（Bulk Acoustic Wave，BAW）振盪器取代石英振盪器，能夠快速的在無線射頻頻道間切換，每次切換傳送一個位元的資訊。不過這還不夠，如果頻道以固定模式切換的話還是容易受到駭客追蹤，因此研究團隊還加入了頻道產生器，每微秒隨機選擇傳送位元的頻道。

以低功耗藍牙模組來說，跳頻切換的偏移總是固定的正負250千赫，駭客的惡意接受器可以紀錄每個傳送位元的偏移，進而解碼相對應的位元，也就是說駭客只要能夠知道載波的頻率，他們也可以存取在上面傳輸的資訊。而為了解決這個問題，MIT這個新的傳輸器才需要使用頻道產生器，每微秒在80個頻道頻譜中產生一對獨立的頻道。Rabia Tugce Yazicigil表示，頻道是快速且隨機產生的，沒有固定的模式可追蹤，駭客無法得知切確的傳輸頻道，想要攻擊的話就只能亂猜了。

MIT的這個新發射器，結合了超高速跳頻以及隨機頻道技術，提供了無線傳輸更高的安全性，而在傳輸量上，在每微秒的跳頻頻率下，每秒可以傳輸1MB的資料量，與現在普及使用的低功耗藍芽相同。

Computex臺北國際電腦展今年在世貿三館特別設置一個InnoVEX新創特區，不分國家也不分產學界，紛紛展示許多新奇的智慧應用，包括交通大學和Vernace Tech開發的智慧農業預測系統，藉由感測器數據分析和AI技術，來預測農作物發生病蟲害的機率，幫助農夫提早防範。另外，新加坡新創gosh!以IoT概念，開發一款智慧寵物玩具球，不只會移動、逗寵物玩，還可透過球上鏡頭、喇叭、麥克風和App，讓主人即時與寵物對話、追蹤寵物狀態。其他應用還包括鼓勵兒童運動的智慧手錶、以Wi-Fi連線的智慧牙刷、不用寫程式的機械手臂教導系統，以及可離線執行的Deep Force影像辨識和snips語音辨識系統等。

AI農業應用：田間害蟲防制也能上雲端

在智慧農業應用方面，交大生科系和資工系與Vernace Tech共同打造一款可來監控甚至是預測田間害蟲數量的智慧農業預測系統，透過農田中的感測器，不只監測農場溫度、溼度、氣壓、紫外線、二氧化碳濃度和土壤微生物等資訊，進而來推測害蟲數量等。而感測器所測得的數據，會上傳到雲端分析，即時顯示在電腦系統上，使用者也可透過手機App查看。此外，手機App還能遠端控制農場一些設備，比如驅蟲照明燈或噴灑生物抑制劑等。

Image may be NSFW.
Clik here to view.

不只如此，這套系統分析蒐集到的數據後，會利用AI技術來預測土壤微生物的變化趨勢，進而來預估農作物病害、蟲害的發生率，讓農夫提早做準備。研究人員現場表示，未來希望這套系統能自動化決策，也就是說，當系統預測土壤濕度可能不足時，會自動開啟灑水系統。

兒童智慧錶：幼童減肥遊戲化，將運動變成一款競爭式英雄對戰遊戲

近年來兒童肥胖的問題日益嚴重，而為了鼓勵兒童多運動，法國一家新創Team8打造一款同名的兒童智慧手錶，除了具備運動手環的功能外，還內建8種英雄角色，可與其他兒童的英雄對戰，而英雄的戰鬥力來源，就是日常的走路步數。也就是說，只要越常走路，英雄的戰鬥力和等級就會越高，會的技能也越多。

Image may be NSFW.
Clik here to view.

這家新創的CEO Stephen Daucourt表示，Team8手錶還有虛擬運動教練和提醒功能，包括用藥提醒和過敏警示，另外家長也能透過手機App，追蹤小孩的位置或是傳訊息到小孩的手錶。不只如此，手錶記錄的健康數據，也能分享給小孩的家庭醫師。

IoT智慧家居應用：創新寵物玩具球，不只陪玩、餵食還內建相機能遠端監看

除了人要運動，寵物也需要定期的活動。但礙於現代人生活忙碌、少有時間陪寵物玩，新加坡一家新創gosh!以物聯網（IoT）概念，開發一款寵物餵食玩具球和App，讓主人就算不在家，也可用手機等行動裝置啟動玩具球，讓它陪寵物玩。此外，設定時間到時，玩具球還會倒出球裡的飼料，給寵物當獎勵。業者指出，特別的是，這款玩具球還內建相機鏡頭、喇叭和麥克風，讓主人可以即時觀察寵物狀況，也可以透過App跟寵物對話。而玩具球也能計算寵物活動次數和所消耗的卡路里，這些數據也都會顯示在主人的App 中。

Image may be NSFW.
Clik here to view.

IoT智慧家居應用：Wi-Fi電動牙刷來了，不用手機

另一個現場展示的IoT家居應用，則是中國希澈科技公司打造的Avori智慧電動牙刷。業者表示，這款牙刷特別之處在於以Wi-Fi連接App，不像藍牙、需要每次手動連線，而靠Wi-Fi連線，刷牙時也不需要拿著手機。

Image may be NSFW.
Clik here to view.

Avori牙刷配置了9軸感測器，因此可以精準記錄刷牙位移，也會反饋到App的日常潔牙報告。此外，潔牙報告還會根據刷牙姿勢和力道，給予建議。

智慧機器手臂：免寫程式，你怎麼動，機器手臂就怎麼學你動

除了智慧家用設備，迪羅公司也展示了一款智慧視覺機器手臂，整合Nvidia Jetson TX2與機械手臂，可即時辨識影像、加深自動化應用。業者首先使用Nvidia DGX工作站和Nvidia深度學習GPU訓練系統（DIGITS），來訓練深度學習模型，之後再結合TX2和機械手臂，利用Nvidia影像識別工具DetectNet來辨識物體，加強自動化，適用於物件分類等。

而搭配自家開發的機器人智慧製造工藝軟體，使用者不用寫程式、也能教導機器人，也就是以拖拉機器手臂的方式來記錄移動軌跡，而機器手臂之後就會重現記錄的動作。此外，迪羅公司也運用深度學習技術，讓機器手臂能自我學習、優化運動軌跡。

Image may be NSFW.
Clik here to view.

影像辨識新應用：影像辨識不用上雲端，離線也能有9成準確率

近來各種辨識應用炒得沸沸揚揚，但大多數仍仰賴雲端服務來傳送、分析資料，不僅資料安全有疑慮，連線不穩也可能影響辨識率。有鑑於此，臺灣一家新創Deep Force，展示了可離線使用的影像辨識系統。業者表示，公司會先幫使用者訓練深度學習模型，依顧客資料量，準備過程可能花1至數個月，包括訓練之後的測試期。當辨識準確度達90%以上後，系統就會部署到顧客端。

Image may be NSFW.
Clik here to view.

關於應用場域，業者提到，考量到Wi-Fi不適用情形，目前已有國外動物園採用這套離線影像辨識系統，搭配導覽App，讓民眾可邊走邊認識動物。另外，這種技術適用於工廠、醫院或居家的安防巡邏。目前，業者也在開發車用的疲勞程度偵測。

語音辨識也走離線風：就算手機訊號不良的偏鄉，導航也能聽懂你的話

而法國巴黎一家新創snips，也展示了自家的離線語音識別系統。snips產品經理Robin Guinard-Perret表示，自家離線語音辨識系統準確度在94%到98%之間，適用於導航系統，特別是無網路的鄉村或偏遠地區，另外，這套系統也適用於智慧家庭或智慧辦公室、作為語音助理，因其完全離線執行的特性，所以不怕對話資料外流。

Image may be NSFW.
Clik here to view.

業者表示，這家新創的成員，大多是Apple、NASA和Blackphone等公司的前員工，專精於資料科學、機器學習和自然語言處理（NLP）等技術。他們也運用這些技術，來分析背景聲音和特定聲波，可根據不同客戶要求，以不同模型來訓練。訓練完後，也會測試精準度，再部署於客戶端。業者強調，離線執行的特點，也讓他們符合歐盟最嚴個資法GDPR的規範。

其他辨識應用，還有來自日本新創Incubit的影像識別系統。雖然這套系統沒辦法離線執行，但能夠做到精準辨識，比如在路況偵測上，除了能夠在天氣不佳時辨識車牌號碼，還會顯示車輛速度，而業者更表示，他們正在測試系統辨識車子品牌的能力，未來可望推出相關應用。

Image may be NSFW.
Clik here to view.

除了車輛識別，這項系統還可以識別圖案樣式的規律，就算圖案遭到干擾，比如橫條紋出現在不該出現的地方，系統可以識別這項錯誤，並顯示於管理螢幕。這個特點，可用於工廠產品品質檢測。

其他亮眼數位應用也登場

另外，現在也有不少亮眼的數位應用展示，如整合多種支付方式的智慧終端設備T-POS（TC-8）、以平板裝置取代紙本的Sonoba Comet無紙化會議系統，以及可將紙本合約掃描到系統、方便搜尋和控管的Ofigo合約管理。除此之外，一款結合AI技術的Wing天翼智慧外勤業務管理系統，可以在使用一段時間後，預測使用者的業務成功率。

智慧終端設備TC-8由騰雲科技創建，以物聯網概念為基礎，一機成形整合收銀、刷卡支付、電子發票和會員功能。特別的是，這臺裝置支援實體金融卡、信用卡和銀行卡，以及第三方支付，像是支付寶、歐付寶、微信支付、橘子支付和Line Pay等，或是掃條碼、QRcode，也能離線結帳、開發票。此外，TC-8還可自動彙整交易資料、產生各種統計圖表，形成每日報表。

Image may be NSFW.
Clik here to view.

而TC-8之所以能整合多種支付工具，靠的是自家智慧連接平臺O-link支援。騰雲O-link平臺部署在AWS Azure雲端，串接了自家多種服務，比如能根據消費者行為來精準行銷的T-CRM營銷平臺和i-fore前瞻數據分析，以大數據分析技術提供商家會員分析、同期比較分析、點數分析、RFM分析、併買分析和銷售KPI等。

Sonoba Comet無紙化會議系統由日本株式會社CIJ打造，在會議中以平板裝置取代紙張。該系統的會議控管功能，可設定一臺裝置為主控方，其餘則為被控方，而被控方的螢幕就會與主控裝置同步，比如當主控放大或翻頁時，被控的平板也會同步顯示。此外，被控方還可以解除設定，以便自由翻閱或在簡報、PDF上做筆記。

Image may be NSFW.
Clik here to view.

此外，在資料保護方面，如果開的是高機密會議，文件資料還會在會議結束時自動刪除，會議資料則會加密、上傳到管理伺服器保存。

ICJ創建的另一項智慧管理系統，則是Ofigo合約管理。使用者可將紙本合約掃瞄、匯入Ofigo系統，而系統會偵測合約內容，提供使用者搜索功能，像是全文搜索，可使用文件中任何單詞搜尋合約內容，或是模糊搜索，支援半、全形拼字，也可不區分大小寫來搜尋。

除了搜尋功能外，Ofigo系統還能根據合約到期日，自動以E-mail通知相關人員，比如合約到期前7天發送提醒。此外，該系統也有權限管理功能，讓管理員決定誰有編輯、更新和瀏覽權限，以保護機密資料。

另外，來自臺灣的風行天公司，也展示了一款鎖定業務外勤管理需求的Wing天翼App，不只可供外勤人員安排拜訪行程、即時管理客戶資料，還可同步更新工作日報，讓主管了解最新動態。除了這些，Wing還能分析各種數據，產生不同統計報表。而使用一段時間後，透過AI技術，Wing能根據以往業績紀錄，來預測新客戶的成交機率，或是哪一地區較有開發潛力。

Image may be NSFW.
Clik here to view.

今年5月傳出加密貨幣網路Bitcoin Gold（BTG）遭到51%攻擊，駭客盜走了價值1,800萬美元的逾38萬個BTG，日前亦傳出Litecoin Cash遭到51%攻擊，而Coindesk則警告，迄今至少已有5款加密貨幣網路遭到51%攻擊，讓過去以為只是理論上的攻擊行動變成常態。

51%攻擊（51% Attack）指的是針對區塊鏈的攻擊行動，當一群惡意的礦工擁有特定區塊鏈網路超過半數的採礦效能（hash rate）時，就有能力控制、排除或變更交易的排序，並可能執行雙重支付（Double-spending），以同樣的代幣執行兩次的交易，通常是用來訛詐加密貨幣交易中心。

如同Bitcoin Gold是比特幣（Bitcoin）的分支，Litecoin Cash也是萊特幣（Litecoin）的分支，都是屬於較小型的區塊鏈網路。俄羅斯的加密貨幣交易中心YoBit是在今年5月底發現了針對Litecoin Cash的51%攻擊行動，Litecoin Cash團隊雖然沒有直接承認，卻發表聲明表示會強化針對操縱攻擊的保護。

根據專門報導加密貨幣消息的CryptoCoinsNews，除了Bitcoin Gold與Litecoin Cash之外，包括 MonaCoin, ZenCash與Verge等加密貨幣網路都曾遭到51%攻擊。

Coindesk分析，51%攻擊的崛起有兩大因素，一是要掌控小型加密貨幣區塊鏈的大多數採礦效能相對容易，二是採礦市集的現身。採礦市集以租賃方式提供採礦資源，代表惡意礦工不必大費周章自行購買與建置採礦設備，只需要暫時租賃現有的採礦資源即可發動攻擊。

有趣的是，還有人設立了名為Crypto51的網站，列出了針對各式加密貨幣發動51%攻擊一小時的成本，例如要取得Bitcoin Cash的51%採礦效能需要6.65萬美元，MonaCoin為5,510美元，ZenCash是4,543美元，Litecoin Cash則只要277美元。

上述都是屬於小型的加密貨幣區塊鏈，若要針對目前最熱門的比特幣網路發動51%攻擊，一小時的成本就要50萬美元，針對以太幣（ETH）發動攻擊的成本也要35萬美元。

市場分析指出，要真正解決此一問題可能還需要一些時間，暫時解決之道則是要求加密貨幣交易中心增加交易的確認次數，例如從5次增加到50次等，以提高攻擊門檻。