美國卓克索大學（Drexel University）電腦科學系副教授Rachel Greenstadt與喬治華盛頓大學（George Washington University）電腦科學系助理教授Aylin Caliskan上周在Def Con駭客大會上公布了一項研究成果，展示如何透過機器學習技術，利用程式碼與二進位程式的風格辨識出程式的作者。

Greenstadt與Caliskan先藉由程式作者透過GitHub公開的程式碼建立了抽象語法樹，這些語法樹反映了程式碼的底層架構，而能用來辨識作者的風格。Caliskan的另一項研究還能自經過編譯的二進位程式中辨識出作者。

根據Wired的報導，Caliskan是以Google的Code Jam程式設計大賽的程式作為樣本，顯示其機器學習演算法在100名作者中，能找出其中96名作者，若把樣本擴大至600名，辨識率也有83%。

儘管研究人員認為該成果能夠用來確認學生是否抄襲，或開發人員是否違反競業條款，還是讓安全社群用來找出病毒的作者，但較令人擔憂的是，威權政府也能用它來辨識撰寫規避審查等程式的作者。

研究也發現，有經驗的開發人員比新手的作品更容易辨識，那些用來解決複雜問題也比簡單問題的程式碼更容易找到主人。其實現在有些開發人員已經開始利用工具來模糊化自己的程式撰寫風格，以避免身分曝光，但未來這些程式或者也逃不過機器學習系統的法眼。

2017年的AWS re:Invent大會上，AWS宣布推出新資料庫雲端服務Aurora Serverless。而透過Aurora Serverless，可以提供企業用戶隨需使用、自動擴充的資料庫服務。此外，此產品也採用Serverless執行方式，不需布建虛擬機，根據實際使用量計費。而在近日，AWS宣布，Aurora Serverless正式支援MySQL資料庫。

雖然Aurora資料庫引擎可以相容MySQL、PostgreSQL，不過，目前Aurora Serverless相容的資料庫為MySQL 5.6版。AWS表示，現在此服務已經在美國東區、西區、歐洲愛爾蘭，以及日本東京的資料中心上線。該資料庫服務採取每秒計費的方式，最少使用時間要多於5分鐘。

要啟用相容Aurora的無伺服器MySQL叢集前，開發者要先指定資料庫引擎，目前相容的資料庫為MySQL 5.6版。接下來，使用者便可以指定每個Aurora運算單元的最小容量、最大容量，系統會根據使用情境調整使用規模，當叢集需要額外資源，系統會從使用者資源池調派資源，進行水平擴充。反之，當系統活動不活躍時，Aurora會自動水平收縮。

AWS資深技術傳教士Randall Hunt也解釋Aurora Serverless資料庫的運作原理。首先，系統會先布建Aurora Storage Volume，並且建立多個異地備援副本。再者，系統會在企業用戶虛擬私有雲內安插端點程式，作為應用程式的連接點。當端點程式部署完成後，AWS會於虛擬私有雲及應用程式間，安裝負載平衡工具，同時，建立起多租戶網路架構，將流量疏導至個別資料庫。

雖然Aurora資料庫服務，可以支援MariaDB、PostgreSQL、甲骨文，以及微軟SQL Server等資料庫引擎，現階段Aurora Serverless可以支援的資料庫引擎，只有MySQL 5.6版本。圖片來源：AWS

使用者可以指定每個Aurora運算單元（Aurora Compute Units）的最小容量、最大容量。而目前該資料庫服務採取每秒計費的方式，最少使用時間要多於5分鐘。圖片來源：AWS

 在中控中心，使用者可以看到資料庫運算的基本資訊，像是資料庫容量、CPU使用率、資料庫連線數等。圖片來源：AWS

系統會先布建Aurora Storage Volume，並且建立多個異地備援副本，並在虛擬私有雲內安插端點程式。之後AWS會於虛擬私有雲及應用程式間，安裝負載平衡工具，同時，建立起多租戶網路架構，將流量疏導至個別資料庫。圖片來源：AWS

奧斯卡金像獎主辦單位美國影藝學院宣布與Linux基金會合作，共同推出學院軟體基金會（Academy Software Foundation，ASWF），為電影與媒體產業提供一個中立的開源軟體交流平臺，能夠互相共享技術、視覺特效、動畫或是聲音等資源。

ASWF是經過了影藝學院委員會兩年調查結果的產物。調查發現，在影藝產業中有超過80％的組織使用開源軟體，特別是在動畫與視覺特效領域，但是開源軟體的應用也帶來了一些挑戰，包括缺乏支援的開發、開源函式庫多重版本的管理或是不同治理與授權的使用。ASWF的誕生，便是為了確保影藝產業開源生態系統的健康發展。

美國影藝學院開源調查委員會成員Rob Bredow提到，產業中的開發人員與工程師努力的尋求實現高水準圖像的新方法，開源軟體提供了有用的基礎，讓他們可以專注解決面臨的挑戰本身，而非重新發明輪子這種基礎工作，而學院軟體基金會為開發人員提供了互相交流合作的機會，無論在世界的何處工作，都能共享推動整個產業創新的最佳實踐。

ASWF的目標是提供一個中立論壇，以協調跨專案的工作，建立最佳實踐，並讓整個影藝產業可以相互分享資源。透過開發開放式持續整合以及建構基礎建設，以實現社群參照建置，解決因孤立開發造成的問題，同時也為組織或是個人提供明確的程式碼貢獻途徑，並進一步促進授權更加一致便於使用。

Linux基金會執行主任Jim Zemlin表示，開源軟體幫助開發人員創造出電影、電視節目以及遊戲中，令人驚豔的視覺效果與動畫，而ASWF將為這些開發人員社群提供一個平臺，幫助他們合作並推動下一波創新。

金融法規變動快速，全球金融機構業者，為了因應各國法遵要求，在法遵、治理、風險管理的人力成本逐年攀升。因此，金融業者也越來越重視，如何採取新興技術，進行複雜的法遵管理。

在法遵科技（Regtech）的應用上，臺灣有些企業會選擇向國外廠商購入AI進行應用。但是，AI在臺發展仍面臨法規未健全、資料庫未在地化、中文技術未成熟等三大困境。所以，在使用法規資料訓練AI時，也只適用於英文法規，中文法規在導入時仍有障礙。

其中又以資料庫在地化的挑戰，是臺灣法遵科技能否真正落實的關鍵之一。工研院在8月初資通訊日活動中，揭露了他們在法遵科技的研發進展。在工研院資訊與通訊研究所負責金融與監理科技應用研發的王慶堯博士表示，工研院企圖用AI打造一套法遵管理應用服務平臺，提供分析、管理工具，以期能提高臺灣金融機構執行合規要求的效率。

王慶堯表示，AI已有很好的技術，但如何與領域應用結合才是挑戰，特別是法遵領域。他說，很多在地化的知識，加上每個國家在語言、語意的表達有所差異，不可能放進同一套技術後，就能放諸四海皆準。所以，他強調，一開始訓練AI，就要用在地化的資料，也因此，臺灣法遵科技領域也要走出自己的道路。

開發NLP與機器學習技術，串接法報平臺進行法規文本解析與辨識

法遵管理之所以複雜，是因為一旦監管機關有法規變動，金融機構的法遵人員必須先到各監管單位蒐集、擷取法規文本內容，整理過後才能接著分析、判讀合規要求，並確認是由哪個內部相關權責單位負責，交由權責單位進行作業流程、規範與影響範圍的調整修正後，還要進行合規作業監控，包括合規作業的執行狀態與進度掌握，執行完成之後，內部要再做稽核與風險控管。整套法遵管理流程執行完之後，才能做成法規報告，提供給主管機關。

為了讓金融機構在法遵管理上更為有效率，工研院的第一步，就是發展法規文本解析與辨識技術，先建立法規領域詞庫。為此，工研院自行開發自然語言處理技術（Natural Language Processing，NLP）與機器學習技術（Machine Learning），要讓AI自動化辨識合規要求與其內容解析處理。王慶堯透露，目前工研院的AI引擎，已經訓練到有能力解析法規文本中的法規概念詞彙、查核日期、查核標的物或項目（包括法報、提報項目）、法源條文、機關或單位，並可分析法規文本相似度。他也提到，接下來將訓練AI引擎，來解析法規概念依存與因果關係，以及辨識法規要求（obligation）。

然而，要訓練法遵AI得先有大量的法規資料，王慶堯表示，目前工研院與一家金融系統SI業者的法規報告平臺（簡稱法報平臺）合作，但還不便透露公司名稱與其產品。此業者長期提供金融業者法報的解決方案，累積了不少法報資料，工研院才與他們合作。等於是工研院介接法報平臺的法規文本，進行AI引擎的訓練。除了此法報平臺的法規資料外，工研院還擷取了中央銀行、金管會等監管機關釋出的公開法規文本資料，來訓練這個AI引擎。

王慶堯表示，有了大量的法規文本，建立起來的法規領域詞庫，就能訓練AI以點、線、面的概念，抽取出結構化資料，並將所有法規建構出法規知識網絡（Ontology）。「點」是抽取法規概念，進行法規詞法分析；「線」是進行法規句法分析，建立法規概念依存或因果關係；「面」則是進行法規語意分析，辨識合規要求。

企圖發展法規知識庫，自動化辨識合規要求

他進一步提及，工研院的下一步，要將抽取出的法規概念與關係，利用語意網路技術（Semantic Web）發展成一套法規知識庫。王慶堯進一步說明，希望能做到自動化辨識合規要求、標註出合規重點、提供相關聯的法規知識，像是法條說明、法規概念定義。要讓法遵人員解讀法規的時間變得快速，並能系統化保存法規與合規處理知識，加速法規變動管理的影響分析與連動追蹤。

當能自動化把法規資料蒐集在法遵管理系統，「法遵人員在解讀法規條文時，不會再只是一連串密密麻麻的文字，而是重點標示與相關聯的法規知識，在解讀上就能更加快速。」王慶堯說。此外，除了協助法遵人員加快法遵管理的速度，他也預告，法規語意檢索、法規關聯比對，都是未來工研院全套法遵管理應用服務的發展方向。

未來，在法規資料庫的基礎下，金融機構的法遵人員，即可透過抽取外部法規的結構化特徵，就能對應到相關的內部法規，再由法遵專家回饋，對應的內規是否正確，進而透過機器學習的方式，訓練出「內外規對應分析模型」、「法規權責對應分析模型」，當未來有新的外部法規出現時，AI模型就能自動推論出對應的內規與內部權責單位，提供給法遵人員建議，此時法遵人員可經確認後再次回饋AI，不斷更新模型。

王慶堯也表示，在法遵專家提供回饋的機制中，其實是希望能系統化保存專家的法遵知識，讓專家的合規要求解讀與處理過程，得以累積與傳承，讓AI能透過法遵專家的回饋，更容易理解法規的重點。

而對金融機構的法遵人員來說，最大好處是不用再逐一到各監管單位蒐集和整理各項法規變動內容。此系統能自動化從監管機關，像是金管會、中央銀行，擷取最新公開的法規資料，並判斷合規要求、合規日期，以重要性來排序。法遵人員只要點選某一項法規要求，法規文本就會顯示出法規要求的索引，標示出規定中的重要特徵，資訊不清楚之處，也會提相關法規名詞參考，甚至，法遵人員無須再找其它資料來判斷出對應的內規。王慶堯提到，此系統可以自動分析出企業內、外部法規的關聯，找出可能需要調整的內規，並協助法遵人員判斷相對應的內部權責單位，直接執行後續的內規調整，以符合主管機關的合規要求。

目標成為SaaS、PaaS服務平臺，讓各家金融單位打造自有法遵知識庫

工研院的終極目標，是打造一個法遵管理應用服務平臺，王慶堯解釋，監管機關對每一個金融單位要求的法規是同一套，金融機構不需每家都自己做一套法遵解決方案，若工研院能提供一個SaaS（Software as a Service）或PaaS（Platform as a Service）服務平臺，讓各家金融單位訂閱，他們則能在此基礎上加速法規理解，並配合自家的內規，依照不同的需求導向，如交易導向、保險導向，可也由內部法遵專家輸入更多內部資料來訓練AI引擎，則能層層累積出一個自有的法遵知識庫。

王慶堯透露，工研院目前已與三、四家大型金控接洽法遵管理解決方案。金控集團在法遵耗費了大量人力成本，也希望採用新技術來解決，因此正在思考如何打造法遵管理系統，節省在法遵人力與時間的成本，對集團其下銀行、保險公司有所幫助。他也進一步預告，工研院將在9月與法報平臺業者，共同舉辦第一階段的產品發表會，將著重在以法報為核心的相關法規知識庫與法遵管理解決方案。

一周前以推特透露將公司下市計畫的特斯拉執行長馬斯克（Elon Musk），經過一個禮拜的沈默後，周二出面說明背後可能的金主是沙烏地阿拉伯主權財富基金，但他表示還沒到最終定案。

馬斯克先後透過推特及員工公開信表示，考慮讓公司在股價420美元時下市。但他之後神隱數日，市場懷疑他怎麼放了槍人就不見，還有人猜測他是要搶在沙烏地阿拉伯人之前動手，免得被惡意收購，引發該公司股價巨幅漲跌。

馬斯克周一終於出面，鉅細靡遺地描述所有來龍去脈。2017年沙烏地阿拉伯主權財富基金親自上門表達買下公司，讓公司私有化的意願，「顯然他們有遠超過此類交易所需金額的錢」。七月底，這家基金買下特斯拉將近5%的股票，略低於美國證管會（SEC）規定需揭露的門檻（5%）。7月31日，雙方再度就此面會。馬斯克表示，當天會議結束後，雙方的交易幾乎底定，剩下就只是流程作業。

8月2日他通知特斯拉董事會，7日就發出了推特貼文，表示已確定獲得投資者支援，唯一不確定因素只剩股東會表決結果。

但馬斯克又表示這還不是最終決定，因為他還和多家其他投資人洽談中。他還說，外界猜測讓特斯拉下市需要700億美元的資金是高估了，他上周說的420美元只是要用來買股東有意願出售持股的收購價。馬斯克預估大約2/3的投資人願意留下。因而媒體推斷大約下市資金只需200到300億美元。

接下來，馬斯克將持續和股東溝通，並請外部顧問研究出可能的架構及方案選擇，也可藉此清查股東留下的意願。而一旦有了最後方案，就會提交特斯拉董事會獨立委員會決議，而如果這關也通過，就會交由特斯拉股東大會表決。

他稍早也透過推特說明選定高盛證券及銀湖資本（Silver Lake）作為財務顧問，以及相關的法務顧問。

馬斯克可能為救公司股價及美國證管會（SEC）出面關切而出面說清楚。如果SEC認定他放話式的宣佈有誤導性資訊或詐欺，處份小到數百萬美元，大到刑事責任。

世界銀行（World Bank）授權澳洲聯邦銀行（Commonwealth Bank of Australia）成為唯一區塊鏈債券安排組織，使用分散式帳本技術進行債券創建、分配、轉移和管理。

世界銀行是為開發中國家募集資本專案，提供貸款的聯合國系統國際金融機構，其官方目標為消除貧窮。世界銀行集團資訊長Denis Robitaille表示，幫助開發中各國在技術導向發展專案上過渡，是世界銀行減少貧困和促進持續發展的關鍵，而這也是世界銀行創新實驗室的發展核心。

世界銀行每年發行可持續發展債券達500億至600億美元，該組織提到，指標型投資者對於區塊鏈技術的債務工具表達高度的興趣，因此才決定與澳洲聯邦銀行合作，推出基於分散式帳本技術的債券交易服務。為此澳洲聯邦銀行也將成為全球第一個區塊鏈債券安排機構，以區塊鏈技術處理債券的生命周期的各階段，包括創建、分配、轉移和管理。

世界銀行還提到，區塊鏈有可能簡化眾多債務資本市場中介機構和代理商之間的流程，而這將有助於進一步簡化籌集資金、交易證券並提高營運效率，還能同時強化監管。世界銀行債券基礎設施將在華盛頓特區的微軟Azure雲端平臺上運作。

澳洲聯邦銀行國際執行總經理James Wall提到，他們採取合作的方式，與其他金融機構、政府組織與企業共同發展區塊鏈創新應用，與世界銀行共同以區塊鏈技術，提高融資解決方案的效率，將能更積極的消除極端貧困。

安全部落格Krebs on Security報導，美國聯邦調查局（FBI）周二對該國銀行發出警告，表示近日將有駭客將針對大小銀行發動名為ATM詐領（ATM cash-out）的攻擊。

所謂ATM詐領，是駭客以惡意程式駭入銀行網路及系統後，竊取存戶相關資訊，並修改存戶的帳戶餘額金額，同時取消ATM提款的金額上限，因此也被FBI稱為「無上限行動」（unlimited operation）。

另一方面，駭客再以竊取到的存戶資訊勾結同夥利用可回收的磁條卡如店家集點卡、貴賓卡等等偽造成提款卡，最後以假提款卡到各地ATM作案。通常歹徒會選擇周末時銀行關門，但ATM仍可使用時下手。

FBI警告，過去遭入侵的銀行多半是中小型銀行，可能是因為他們對網路安全控管未落實、安全預算少，或是第三方廠商問題。FBI也認為未來此類活動會有增無減。

Krebs on Security上個月也曾報導美國西維吉尼亞銀行在2016年5月到2017年1月間發生二起ATM盜領案，總共遭領走240萬美元。兩起案子中，歹徒都是以網釣信件誘使員工下載後，駭入銀行網路及關鍵系統得逞。

駭客攻擊銀行網路並讓ATM吐鈔並不是第一次聽聞。2016年國內的第一銀行遭駭客以「jackpotting」手法入侵銀行網路，讓41台ATM像吃角子老虎一樣吐出鈔票，遭盜領超過8000萬台幣。今年一月美國特勤局也警告此類手法，由歐、亞洲蔓延到美國。

近日，美國資訊技術產業協會（Information Technology Industry Council，ITI）與多家雲端大廠，一同在華盛頓舉辦的Blue Button會議中聯合宣布，要一同移除技術間互通的障礙，加強醫療資料在雲端環境的互通性（Interoperability），一同發布聲明的廠商，包含Amazon、Google、IBM、微軟、甲骨文，以及Salesforce。這些科技大頭承諾，未來要一起改善開放電子醫療標準HL7、FHIR，以及電子病歷交換標準開放推廣計畫Argonaut Project。

ITI主席兼執行長Dean Garfield也表示，由於雲端運算、人工智慧技術日新月異，廠商必須攜手合作，擁抱開放標準及互通性，「未來病患可用更低的成本，得到更好的醫療服務品質。」

在這份聯合聲明中，ITI表示，解決醫療資料在各環境交換問題，除了可以提供更好醫護品質、更高滿意度外，也能降低整體醫療體系的成本，同時，為了提高醫療資料互通性，必須了解患者、醫療服務提供者、醫療裝置廠商各方需求。而藉由推動開放標準、開放規格，是改善資料交換的關鍵。

IBM Watson健康部門產品暨AI開發總監Mark Dudman表示，該公司認為患者有權存取自己的醫療資料，並且能彈性選擇所需的醫療產品、服務。微軟健康部門副總裁Peter Lee則表示，當醫療產業也逐漸推上雲端，將有可能實現醫療資料安全、無障礙的互通。

有機器人權威之稱的哥倫比亞大學工程與資料科學教授Hod Lipson，也是該校創意機器人實驗室總監，一直致力於打造具自我意識、能自我複製的機器人。日前他應科技部邀請來臺擔任TTA奇點亞太創業競賽評審時，發表他眼中的AI六大發展浪潮，從AI一路走來的里程碑，以及未來的可能性，Hod Lipson認為，AI將賦予機器人感情和自我意識。

第一波與第二波浪潮：從規則式AI到預測行分析

Hod Lipson先用一張圖來說明大眾AI印象和真正AI技術發展的轉變。他認為，過去大眾對AI發展的印象，可用一條線性成長（Linear）曲線來代表其發展腳步(意指：持續穩定發展），而AI技術的發展，他則認為，應該是一條指數型成長曲線（Exponential，意指爆發式成長），一開始指數型曲線的發展低於線性曲線，但隨著指數型趨勢逐漸向上，最終與線性成長交會，並遠遠超過線性成長的趨勢。換句話說，在技術還未超越大眾期待之前，也就是線性成長曲線和指數型成長曲線交叉之前，圖中兩線相交前的灰色區域。他認為，因為當時的AI技術仰賴基規則式的基礎，這類規則式AI就是第一波浪潮。他說，由於規則式AI需要靠開發人員撰寫大量規則，因此耗費時間和人力，「也因而持續了50年的失望」。

而第二波浪潮，則是在1990年代時興起，基於機器學習（線性回歸數學）的預測性分析（Predictive Analytics），也是大眾所認為的第一代機器學習演算法，藉由送資料來得到預測性結果。Hod Lipson說，預測性分析至今依然受用，特別是在股市預測和銷售預測方面，「但這不是未來的AI」。

第三波與第四波浪潮：從認知運算到有創造能力的機器

Hod Lipson指出，認知運算（Cognitive Computing）讓電腦有史以來能夠讀取非結構化資料並判斷其意義，比如了解文件中的關鍵字、相片中小貓或影片中的物體，甚至是表情判讀，「不只是人類表情，還包括動物表情」。他也舉Amazon Go無人商店為例，運用AI技術來執行各式各樣的辨識，比如商品辨識、行為辨識等，反映出認知運算對Amazon Go來說，至關重要。

不過，Hod Lipson話鋒一轉，他認為，聊天機器人（Chatbot）反而是認知運算還不夠發達的領域，因為目前的聊天機器人雖然能夠識字，卻無法真正了解人類對話的意義。

「第四波AI浪潮非常特別。」Hod Lipson說，在這波浪潮中，AI除了能解讀資料，也開始能運用接收的資料來創造新點子、新資料，像是藝術、設計和音樂，而他也稱這類型的AI為生成型AI（Generative AI）和有創造性的機器（Creative Machine）。Hod Lipson打趣說道，幾年前他和太太去學油畫，結果幾個月後油畫老師告訴他：「你還是把心思放在本業吧」，於是他就和自己一位學生打造出第一代繪畫機器人，結合機器手臂和增強式學習的AI軟體，一開始只會拿筆、隨意在畫布上塗抹，但經過幾年不斷精進，由Hod Lipson自己開發的第三代PIX 18繪畫機器人，已經能夠畫出專業水準的作品（如下圖），並贏得2017年和2018年機器人藝術競賽。

第五波與第六波浪潮：從AI有形的化身到有感情和自我意識的機器人

Hod Lipson說，第五波浪潮掀起的是讓AI擁有實體化身（Physical Embodiment），好比先前Boston Dynamics展示的機器狗，能幫同伴開關門、爬樓梯，還會認路，或是像他們研發的人形機器人，可以揹重物、後空翻和跳躍。不過，Hod Lipson語重心長說，目前這些機器身軀，還不夠強壯，反應也不夠靈敏，比如大型機器狗被人踢一腳、跌倒後，很難像真實動物一樣快速起身。他說，要打造出AI實體化身非常難，「因為這牽涉到太多學科的應用」，像是材料科學、化學和物理學等等，「但這也給了我們很多想像空間」。

而機器人實體化之後，Hod Lipson指出，第六波浪潮是，AI將賦予機器人感情（Sentient）和自我意識。其實早在2006年，他就與學生嘗試開發具自我意識的機器，也就是能自我建模（Self-modeling），並於2007年一場TED演講中，秀出這臺小型、長得像擁有四條腿的機器海星。

他表示，這臺機器海星只有兩個感測器，用來偵測機器的傾斜情況，但它並不知道自己長什麼樣子，所以一開始嘗試了許多隨機動作，後來摸索出幾套動作模型，經過嘗試和優化後，選擇最好的一套模型並用這個方式前進，而就算其中一隻腳被破壞了，還是會用新的方式前進。

他說，高等動物透過自身的內部模型（Internal Model）來規畫複雜的行為並預測其後果，而大多數機器人也採類似方式來運作，只是它們的內部模型是由工程師費力打造的。但他與學生開發的機器海星，證實了即便只有低感知能力，也能透過動作協同效應來自我建模，發展出新行為。

Hod Lipson表示，雖然這只是打造有自我意識機器人的一小步，但加上AI技術快速發展，未來將能開發具有情感和自我意識的機器人。

另外，Hod Lipson也談到了AI倫理。他說，「AI就像一面鏡子」，反映了我們的意圖和作為。他接著說明，就像被很多人抨擊的臉部辨識技術，雖然有侵犯隱私之嫌，但同樣技術卻是尋找失蹤孩童的一大助力，而可能發展為攻擊武器的無人機，用在農業上，卻是幫助農夫照顧作物的工具。所以，AI這面鏡子同時也「放大了」我們的心思和一舉一動，要往好的方向還是壞的方向發展，也有賴於開發者的意圖。文◎王若樸

Hod Lipson簡介

為哥倫比亞大學工程與資料科學系教授，同時領導哥大創意機器人實驗室，致力於開發具自我意識的機器人。去年Hod Lipson與實驗室學生開發出可供機器人使用的「人造肌肉」，透過3D列印製作的軟式致動器（actuator），能輕鬆做出推、拉、扭、轉和提重物等動作。另外，他也是奇點大學講座教授。

除了科學研究，他也出版過幾本著作，包括《Fabricated: The New World of 3D printing》和《Driverless: Intelligent cars and the road ahead》等。

奇點大學簡介

奇點大學於2008年成立，創辦人是Google的Ray Kurzweil，而NASA也免費提供研究園區給奇點大學使用。這所大學號稱是全世界最聰明的大學，提供教育課程和企業孵化器，推動科學進步和指數成長型科技。

近日IBM宣布，自家AI平臺Watson自然語言分類器（Natural Language Classifier）正式上線，現在該工具已經內建於IBM Watson Studio，透過該開發平臺可以串接起資料科學開發應用流程，加速深度學習、機器學習應用的開發。IBM表示，該分類器與Watson Studio整合後，仍保有既有API功能，開發者可以在開發平臺中訓練、測試此自然語言分類器。

結合Watson自然語言分類器與機器學習，使用者可以建立、訓練客製化的分類器。IBM進一步解釋，該分類器整合自家的深度學習服務（Deep Learning as a Service），一次最多可以匯入2萬行的資料，作為訓練素材。而現在該分類器所支援的語言，包含英文、阿拉伯文、法文、德文、義大利文、日文、韓文、葡萄牙文，以及西班牙文。

目前IBM Watson Studio開發平臺所支援的深度學習框架，包含Keras、TensorFlow、Pytorch以及Caffe。此外，該平臺也支援熱門的資料科學、深度學習工具，例如Jupyter Notebooks、Anaconda、RStudio。

GitHub對外開源了自家用於處理每秒數百萬次請求負載平衡器GLB（GitHub Load Balancer）中的指引主機（Director）專案。由於原本的負載平衡器難以水平擴展，GitHub重新設計了GLB，而且為了擁有最好的效能，GLB在GitHub裸機雲上運作，並經手了大部分GitHub的公開網頁和Git流量，同時也處理一些關鍵的內部系統，像是高可用度的MySQL叢集的流量。

在GitHub開發GLB之前，他們使用複雜的組件建構負載平衡層，在一小組非常大型的機器上運作HAProxy，且只能使用非常特定的硬體配置以允許10G連結故障轉移，並在需要的時候進行垂直擴展。這些少數大型機器都有專用的網路鏈結，把流量導向網路中樞，這種將網路設備、負載平衡主機和負載平衡器配置綁在一起的設計，使得水平擴展過於困難，因此GitHub開始動手設計符合需求的解決方案GLB。

GLB有許多特性，能在一般商用主機運作、方便水平擴展、支援高可用性，還能如同一般軟體迭代和部署，具備適應典型的DDoS攻擊等多種特性外，在典型的使用案例中，每個物理主機都分配一個公共IP，DNS可以為多重IP進行分流，進而跨多伺服器的切分流量。但是GLB能允許多伺服器提供單個IP位址的服務，也就是說，GLB的設計不再需要透過增加IP來增加容量，也不會因為伺服器故障而造成所屬IP失效。在GLB中使用等價多路徑（Equal-Cost Multi-Path, ECMP）路由法，跨多重路徑的將封包路由到相同物理目的地伺服器。

而指引主機便是要做到這件事主角，也是這次GitHub開源的專案。GLB指引主機是第4層負載均衡器，在一開始設計時，GitHub就想改進指引主機層成為通用模式，除了可在大量的物理機器上擴展單一IP位置外，同時在伺服器變更時，盡可能的降低連線中斷的情況發生，這對於生活在網路連線不穩國家的用戶尤其重要。GitHub特別強調，GLB指引主機不會替換像是HAProxy和Nginx這樣的服務，而是位在這些服務或任何TCP服務之前的一層，允許這些服務跨多物理機器擴展，而不需要每臺機器擁有各自的IP位置。

GLB使用了Rendezvous雜湊演算法的變體，能支援常量時間搜尋。系統會生成單一固定大小的轉送表格（Forwarding Table），並以Rendezvous雜湊演算法排序元件將一組代理伺服器填入表中，這個表以及代理狀態會發送到所有指引主機伺服器，在代理流入流出時保持同步。當TCP資料封包到達指引主機時，系統會對來源IP進行雜湊，產生轉送表中的索引。

GLB將負載平衡器的第4層與第7層兩層分離，這樣的設計並不少見，GLB中負責第4層工作的稱為指引主機，主要用來引導流量，而第7層稱為代理主機，負責代理連線到後端伺服器。GitHub提到，拆分第4層與第7層能夠透過耗盡現有的連接，來從旋轉（Rotation）中刪除代理層節點，即使節點已經從旋轉中移除，指引主機節點上的連結狀態，仍將維持既存連線映射到既存的代理伺服器。由於代理層會頻繁更改配置、升級或是擴展，因此存在這樣的特性有助於管理工作。

GitHub在2016年就是出了GLB的消息，並且陸續開源GLB的各個部分，而直到現在，GitHub才開源了GLB關鍵部分之一的指引主機專案。

Alphabet的人工智慧子公司DeepMind於本周宣布，旗下DeepMind Health計畫與英國摩爾菲爾茲眼科醫院（Moorfields Eye Hospital）已完成第一階段的研究，雙方所共同發展的AI系統可快速且準確地判讀有關眼疾的醫療影像，能夠辨識出逾50種可能損及視力的眼睛疾病，並將病患轉介到專門的眼科醫院，已達到全球一流醫生的水準。

現階段眼科專家是利用眼部光學同調斷層掃瞄（Optical Coherence Tomography, OCT）來協助診斷眼睛的狀況，這些3D影像可揭露眼睛後方的細節，但這些影像需要專家才能判讀，訓練此一專業再加上分析影像的時間也許會延誤治療時機，於是Moorfields與DeepMind著手打造得以解決此一難題的AI系統。

為了讓醫生或病患了解AI系統的判讀標準，DeepMind Health建立了兩個不同的神經網路，第一個神經網路為「劃分網路」（Segmentation Network），它會列出眼睛組織的各種狀態與所看到的症狀，如出血、病變或不規則液體等，讓醫生能夠參考或觀察AI系統的決策過程。

第二個則是根據前一個神經網路的所得結果進行診斷及轉介建議，並以百分比來表達信心指數，稱為「分類網路」（Classification Network）。

DeepMind強調，他們的研究並不只適用於Moorfields專用的裝置，也適用於其它的眼睛掃瞄裝置，可望造福全球的眼疾患者。

一旦該技術經臨床實驗證實可用於一般用途，Moorfields的醫生將能於英國的30家醫院與社區診所免費使用5年的時間，雙方的研究成果已發表於線上版的 Nature Medicine 上。

【溫哥華SIGGRAPH直擊】
全球最大的電腦圖學和互動技術大會SIGGRAPH2018年度大會今年三度在溫哥華舉行，GPU技術龍頭Nvidia執行長黃仁勳在SIGGRAPH第二天也舉辦了一場新產品和技術發表會，正式發表了Nvidia第8代新GPU架構Turing（圖靈），也推出了採用此架構的第一款具備光線追蹤運算力的GPU顯示卡Quadro RTX和伺服器Quadro RTX Server。RTX GPU預計第四季開始出貨，將先提供給RTX伺服器供應商。

黃仁勳以皮克斯動畫工作室的誕生開場，他指出，皮克斯開啟了電腦動畫時代，也反映出創意產業爆發式的成長，但CPU的進展如摩爾定律所描述，越來越緩慢，唯有GPU效能的進展，也同樣是爆發性的指數成長。

為了實現即時真實影像的能力，電腦從圖形模擬開始，在Nvidia推出GPU之後，開始可以計算材質、進行模擬，後來可以進一步進行角色模擬（Character Animation），甚至結合AI後可以進行臉部表情模擬（Facial Animation）。 但是，即時光線追蹤的計算一直是個難題，遲遲無法實現，黃仁勳指出，光線追蹤可說是電腦圖形計算的聖杯。

光線追蹤是源自1979年電腦科學家Turner Whitted一篇論文，他提出了光線追蹤的電腦圖形計算新演算法架構，改從追蹤光線在不同表面上的反應，來模擬真實世界的光影變化。透過追蹤光線碰到物體表面時產生的反射、折射和陰影效果，再加上光線繼續遇上其他物體於場景中所有光線互動的情況等。當年他已經可以做出每秒64個像素的光線追蹤幾何圖形影片。

但就算到了去年，要做到即時光線追蹤的計算，仍舊是一大難題，只能透過大量運算事前產生，尤其在VR虛擬世界，這是一直無法實現的技術門檻，無法即時創造出如真實世界般的立體影像體驗。

直到在今年3月，Nvidia先在GTC大會上發表了光線追蹤框架RTX，來加快即時光線追蹤的計算，現在更進一步推出了新款GPU產品Quadro RTX GPU，具備了即時光線追蹤的渲染計算能力。 黃仁勳表示，RTX GPU是世界第一款光線追蹤GPU（Ray Tracing GPU），採用了Nvidia最新第8代的GPU架構Turing架構（圖靈，以提出光線追蹤演算法作者的姓名來命名）。

Nvidia花了10年，上萬名工程師，累積一層層技術才打造出這款光線追蹤GPU。他甚至用了新的單位每秒追蹤光線數，來描述RTX GPU的新能力，黃仁勳說，RTX最大可追蹤到每秒10 Giga道光線（100億道），整體計算能力可以達到16 TFLOPS，每秒500兆次張量計算，GPU也採用了NVLink傳輸技術，每秒可傳輸100Gb資料。

RTX GPU所採用的第八代GPU架構Turing，除了SM多核心處理器外，也內建張量核心Tensor Core，另外還新增加了光線追蹤核心RT Core負責光線追蹤計算，最大可提供125 TFLOPS的半精度浮點數計算。RTX GPU可以提供8K即時影音編碼，傳輸介面上也支援USB Type-C以及Nvidia最新提出的VR介面標準VirtualLink。

黃仁勳指出，全新的Turing架構將推生出一個2500億美元的影像特效產業，遍及設計、數位內容、建築、模擬、電影和娛樂產業。

新一代光線追蹤GPU產品線將先推出3款Quadro RTX顯示卡，這也是第一款使用三星超高速GDDR6記憶體的顯示卡，包括了單卡內建16GB記憶體的RTX 5000（內建3,072個CUDA核心和384個Tensor核心，可提供每秒6 Giga Rays），售價2,300美元（台幣6.9萬元），24GBk的RTX 6000（內建4,608個CUDA核心和576個Tensor核心，可提供每秒10 Giga Rays），售價6,300美元（台幣18.9萬元），以及最高階內建48GB記憶體的RTX 8000（同樣內建4,608個CUDA核心和576個Tensor核心，可提供每秒10 Giga Rays），要價10,000美元（台幣30萬元）。Quadro RTX GPU可兩張透過NVLink串連，達到記憶體倍增，例如兩張RTX 8000最大可提供96GB的全域照明計算（Global Illumination） 。

Nvidia還同步發表了RTX伺服器，內建Quadro RTX 8000，一臺RTX伺服器可安裝8張RTX顯示卡，兩兩串連。在功耗上，4臺各內建8張GPU卡的RTX伺服器，約需要13kW。結合新的Quadro Infinity軟體，還可以支援遠端控制或多個虛擬機器共享同一個RTX GPU。目前包括Dell Precision工作站，HP Z工作站和HPE ProLiant伺服器和聯想的ThinkStation和ThinkSystem都支援Quadro RTX產品。

Nvidia資深副總裁Tony Tamasi指出，Nvidia早在10年前開始研究光線追蹤技術，5年前開始展開架構設計，但要拿捏光線追蹤計算和AI計算能力的搭配，也就是RT Core和Tensor Core的搭配，因為RTX GPU完全是為了VR而打造的GPU。而RTX伺服器鎖定的目標是內容產業和數位創意社群，甚至可以支援多人共用。不像DGX人工智慧伺服器，主要鎖定AI科學家訓練AI模型之用。他一席話，點出Nvidia兩大企業級GPU產品線和伺服器的定位。RTX將主攻VR應用，而DGX則以AI應用為主。

Nvidia預計第四季開始出貨RTX GPU，先提供給OEM供應商，包括Dell EMC、HPE、HPI和Lenovo或其他系統供應商。

Google釋出了Google I/O 2018大會所用的Android應用程式原始碼。今年的應用程式綜合使用了Firebase、Kotlin與Material Design等Google推出的新興技術，開源其專案原始碼能讓開發者作為技術範例參考。

有別於過去Google I/O大會的行動應用程式，使用ContentProvider和SyncAdapter架構，今年全面使用Architecture Components重新改寫，並且與Android團隊的建立現代應用程式建議同步。這個應用程式遵循應用程式架構指南（Guide to App Architecture）建置，使用模組化、可測試且可維護的規則撰寫程式碼。

Google將應用程式明確分為表現層（Presentation Layer）、領域層（Domain Layer）以及資料層（Data Layer）。應用程式邏輯被放到了ViewModels中，並與Activity和Fragment分開，使用LiveData觀測資料，並以資料綁定函式庫（Data Binding Library）綁定布局中的使用者介面元件到應用程式的資料來源。另外，Google還在資料層與表現層中間，實現了輕量級的域層，用於處理使用者介面執行緒之外離散的業務邏輯。

而這個應用程式的後端，使用了Google近期主打的行動應用程式開發平臺Firebase。所有使用者的資料都儲存在處於測試階段的Cloud Firestore資料庫中，也使用了事件驅動無伺服器運算平臺Cloud Functions，執行後端程式碼。此外，也應用了Firebase Cloud Messaging幫助大會傳遞通知到應用程式上，告訴使用者會議變動的最新動態，而在過去舊的應用程式上，除了會議資訊外，應用程式其他的資訊幾乎無法變更，這次使用了Remote Config，大會可以隨時更新WiFi資訊和接駁車時間表等應用程式常量資訊。

而重新撰寫應用程式使用Kotlin開發，並且使用了在Google I/O 2018大會所釋出的Material Design新功能Material Theming，幫助他們為使用者介面，加入更多大會的品牌元素。

澳洲資安業者UpGuard上周再度於Amazon S3上發現允許外界公開存取的儲存貯體，而且內容為GoDaddy於Amazon Web Services（AWS）運作的基礎架構及價格，只不過，該儲存貯體似乎並不屬於GoDaddy，而是AWS的一名業務用來供某個客戶參考的案例。

UpGuard說明，該公司網路風險團隊的分析師是在今年6月19日於Amazon S3上發現了一個名為「abbottgodaddy」且可供公開存取的儲存貯體，並存放了許多試算表，其中一個檔案含有GoDaddy所代管的2.4萬個系統，包括代管名稱、所使用的作業系統、任務、AWS區域、記憶體與CPU規格等，還有在AWS上執行這些系統的價格選項或折扣等。

有鑑於GoDaddy不只是全球最大的網域名稱註冊商、全球最大的SSL憑證供應商之一，還是全球首屈一指的網路代管業者，事關重大，UpGuard在隔天即通知了GoDaddy，相關儲存貯體則一直到6月26日才關閉。

不過，Engadget詢問了AWS之後發現，該儲存貯體其實是一名AWS的業務所建立，是為了向某個客戶展示AWS的價格策略。AWS表示，該儲存貯體並未存放GoDaddy的客戶資訊，雖然S3的預設值是上鎖的，只是該名業務沒有遵循AWS的最佳作業流程。

有別於其它Amazon S3的資料外洩事件都是客戶自己因配置不當而發生，這次卻是Amazon的業務疏忽，至於GoDaddy則說，那些外洩的文件只是該AWS員工的推測模型，而非GoDaddy與AWS實際的合作內容。

【溫哥華SIGGRAPH直擊】
Nvidia發表了新一代的GPU架構Turing，也推出了採用此架構的光線追蹤GPU產品Quadro RTX。Nvidia執行長黃仁勳還現場展示了今年3月同樣的一段《星際大戰》光線追蹤特效示範短片Reflections，來呈現即時光線追蹤的光影渲染效果？先來看看這個短片得光影渲染效果，利用即時光線追蹤計算產生的陰影和反射、折射效果格外真實。3月當時利用了配備4個人工智慧專用的Volta GPU以及價值7萬美元的人工智慧工作站DGX Station來計算，但現在只需用單張新推出的光線追蹤GPU卡Quadro RTX 8000就能做到。

若以同樣專攻影像特效處理的GPU產品線Quadro來看，Nvidia執行長黃仁勳指出，全新Turing架構的效能，是前一代Quadro Pascal架構的6倍之多。

新一代Turing架構是全新的設計，除了GPU原有的SM（Streaming Multiprocessor）模組外，還包括了AI計算用的Tensor Core，以及光線追蹤用的RT Core，等於集結了Nvidia過去兩大類GPU的特性，再增加一個新的特殊核心。

但是，Turning架構內建的SM模組也採取了新設計，除了浮點運算能力，還增加了可以平行執行的整數執行器，可以同時提供16 TFLOPS（Tera Floating-point Operations Per Second），再加上同樣效能的16 TIPS（Tera Integer Operations Per Second）運算效能。

除此之外，Turing架構增加了一個全新的處理核心：專門處理光線追蹤的RT Core，用於計算光線在三角形間交互作用和不同邊界間戶，最高每秒可處理10 Giga道光線。
另外Turing架構也內建了出現在另一個人工智慧系列產品線使用的Volta GPU架構上的AI計算專用核心Tensor Core，不過，核心數比Volta產品線內建的640 Tensor Core核心數略低，Turing架構目前最多只內建了576個（RTX 6000和RTX 8000兩款），最高可以提供到125 TFLOPS的半精度浮點運算，或是500 TOPS INT4計算（每秒可以處理500兆次整數計算）。

相較於Quadro前一代採用的16奈米製程Pascal架構GPU，Turing架構GPU晶片則採用了更先進的12奈米製程，晶片面積從更大達到754平方公釐，內有186億個電晶體，前Pascal架構GPU只有118億個電晶體。在一般運算能力上，Turing架構GPU可提供到16 TFLOPS計算力，也遠高於Pascal架構GPU的13 TFLOPS計算能力。記憶體支援也有很大的差異，Pascal架構的Quadro產品，可支援到24GB的GDDR5記憶體（時脈10GHz），但Turing架構GPU可支援到更高速的GDDR6記憶體（時脈14Ghz），單卡容量更是高達48GB。透過NVLink串連雙GPU卡，記憶體還可以再倍增，例如串接兩張RTX 8000最大可提供96GB的全域照明計算（Global Illumination） 。

同樣用星際大戰短片的光影渲染來比較，同樣效果，黃仁勳指出，採用Pascal架構的GPU需要308毫秒，但Turing架構GPU搭配即將推出的Deep Learning Anti-Aliasing (DLAA)技術，只需要45毫秒，等於Turing架構的光影渲染速度可以達到Pascal架構的6倍。

為了支援RTX GPU，Nvidia在軟體層上提供了多項新工具和API，包括了光柵化（Rasterization）計算API、光線追蹤API、CUDA運算API、Tensor Core用的AI API等，另外OptiX、DXR、Vulkan也可以支援新的Turing架構光線追蹤加速功能，Nvidia還正式將材質定義語言MDL開源釋出，另外RTX也支援Pixar的開發語言USD（Universal Scene Description）。開發者只要呼叫API，就可以利用RTX GPU的光線追蹤核心來計算。

0808-0815一定要看的資安新聞

 行動收銀機  mPOS 

小心mPOS讀卡機內含安全漏洞，竄改消費金額讓你荷包大失血

企業安全解決方案供應商Positive Technologies在今年黑帽（Black Hat）駭客大會上指出，行動收銀機（mPOS）裝置含有眾多漏洞，將允許不良商家竄改螢幕上所顯示的金額，或是讓駭客取得消費者的支付卡資訊。

mPOS可藉由智慧型手機、平板電腦或無線裝置來執行支付卡的收銀功能，它藉由藍牙連至裝置上的行動程式，再將資料傳送至支付供應商的伺服器上。根據電子交易協會（ETA）的預測，到了2019年，全球的收銀終端將有接近半數採用mPOS。而Positive評估的是在美國與歐洲市場的熱門品牌，包括Square、SumUp、 iZettle與PayPal。

Positive表示，這4個品牌的mPOS裝置或多或少都存有安全漏洞，這些漏洞允許駭客執行中間人攻擊，透過藍牙或行動程式傳遞任意程式，或者是變更磁條交易的支付款項，也能遠端執行程式。更多內容

 Android手機 

25款Android手機的韌體或預載程式含有安全漏洞

行動資安業者Kryptowire在近期DEFCON駭客大會上揭露，有25款Android手機在出廠時的韌體或預設程式就含有安全漏洞，在這些裝置上總計找到大大小小的35個漏洞，有些輕微的漏洞只會造成裝置當掉，嚴重的漏洞則會讓駭客取得裝置的最高權限。

當初Kryptowire主要鎖定由6家美國電信營運商負責銷售的高、低階Android手機進行分析，以探索這些手機在出售給消費者時所預載的程式或韌體的安全性，但事實上該研究結果影響了全球的裝置，這些漏洞全都超出了Android平臺既有的許可，包括執行任意程式、取得數據機與程序（logcat）日誌、移除裝置上的使用者資料、讀取或變更裝置用戶簡訊、傳送任意簡訊，或是取得裝置通訊錄等。

Kryptowire表示，現身於韌體或預載程式上的漏洞，意謂著消費者在安裝其它程式或進行無線通訊之前就已曝露在安全風險中，更嚴重的是，針對韌體的攻擊程式得以繞過Android上的各種防禦機制，因為這些安全程式無法偵測應用程式層背後的漏洞。更多內容

 多功能印表機 

Check Point：駭客只要有電話線跟傳真號碼就能攻陷企業印表機

你的印表機是具備傳真能力的多功能印表機嗎？Check Point展示了導入傳真協定的多個安全漏洞，相關漏洞將允許駭客透過一條電話線與傳真號碼來攻陷遠端的傳真機或多功能印表機，取得裝置的控制權，進而攻擊同一網路上的其它電腦。

在Check Point的示範影片中，駭客在電腦上針對目標傳真機傳送了攻擊程式，並成功地在傳真機的螢幕上秀出被駭訊息，在掌控了傳真機之後，進而搜尋與傳真機位於同一網路中的電腦，再透過NSA所打造的攻擊工具EternalBlue發動攻擊。

EternalBlue開採的是微軟在2017年3月所修補的CVE-2017-0144漏洞，這是一個攸關共享檔案與印表機資源的SMB協定漏洞，也是惡名昭彰的WannaCry及Petya勒索蠕蟲所利用的漏洞。

自此，駭客就能在企業網路中的個人電腦安裝惡意程式，竊取個人電腦中的機密資訊，再傳真給駭客。更多內容

 智慧城市 

智慧城市牢不可破？IBM揭露智慧城市系統的17個安全漏洞

隨著全球各大城市皆已悄悄地展開智慧城市（Smart City）部署，IBM X-Force Red團隊與資安業者Threatca攜手檢視智慧城市所使用的主要系統，發現了17個安全漏洞，將允許駭客操縱警報系統、竄改感應器數據，造成民眾的恐慌或城市的混亂，並於今年黑帽（Black Hat）駭客大會上公布。

IBM X-Force Red研究總監Daniel Crowley表示，他們是在今年初開始測試智慧城市所使用的Libelium、Echelon與Battelle系統，當中的Libelium是個無線感應器網路的硬體製造商，Echelon則專門銷售工業物聯網裝置與嵌入式應用，也生產連網照明控制器，Battelle則為專門開發與商業化各種技術的非營利單位。

研究人員主要查訪的是有關智慧交通系統、災難管理，以及工業物聯網的裝置，這些裝置是透過Wi-Fi、4G、ZigBee或其它通訊協定連網。

在找到這些裝置或服務的漏洞之後，研究人員還在公開網路上發現數百個含有漏洞的裝置，有些歐洲國家利用這些裝置來偵測輻射，美國城市則使用它們來監控交通。

這17個安全漏洞涉及採用預設密碼、可繞過身分驗證機制，以及資料隱碼等，當中有8個被列為重大（Critical）漏洞，透露出就算是最為現代化的智慧城市，卻仍舊曝露在老派的安全威脅中。更多內容

 Win10 企業版  可拋棄式沙箱  InPrivate Desktop 

Windows 10 Enterprise可能正在測試可拋棄式沙箱InPrivate Desktop

根據Bleeping Computer報導，為了進一步防範不安全軟體在桌機上執行，微軟Windows企業版可能將加入名為InPrivate Desktop的安全功能。

這項功能是張貼於Windows 10開發人員測試計畫Insider Feedback Hub中，根據文字描述，InPrivate Desktop（Preview）旨在讓管理員啟動可拋棄式沙箱，作為不信任軟體一次性執行的安全環境。它基本上是一個快速啟動的VM，當App關閉時就被回收。微軟原本提供連結可由Microsoft Store下載InPrivate Desktop，不過後來被移除。

雖然使用者已經可以手動建立VM來跑可疑的軟體，不過InPrivate Desktop可以省去這些麻煩作業，就能確保惡意程式不會安裝到作業系統，也能更深度整合主機作業系統，以執行例如剪貼簿來傳輸資料。更多內容

 WhatsApp 

假新聞充斥惹議，WhatsApp再被爆含有可竄改通訊內容的安全漏洞

就在WhatsApp因假新聞事件被印度政府盯上的時候，以色列資安業者Check Point在近期又踢爆WhatsApp含有可竄改通訊內容的安全漏洞。

WhatsApp為一跨平臺且強調端對端加密的免費通訊程式，在2014年被臉書收購，目前在全球擁有超過15億的用戶。

Check Point研究人員以逆向工程探索WhatsApp的演算法，於本地端解密了WhatsApp的網路請求以判斷該程式的運作方式，發現WhatsApp傳遞訊息時所使用的參數，並藉由變更這些參數來試探可能的攻擊行為，顯示出他們得以在群組中使用「引用」（quote）功能時變更寄送者的身分，也能竄改別人所回覆的文字，或者傳送一個看起來像是公開訊息的私人訊息予群組用戶。不過，上述攻擊都必須要在駭客身處對話或群組中才能執行。更多內容

 WPA2 

研究人員發現速度更快的新WPA2密碼破解手法

繼去年底爆發WPA2協定漏洞及KRACK攻擊工具後，如今又有駭入WPA2的新手法。研究人員Jens Steube以atom為名在論壇網站Hashcat上發表其發現，只要駭客驗證登入Wi-Fi網路，從路由器上取得單一EAPOL 框架的RSN IE協定資訊，再以封包抓取工具取得PMKID，這部份可能只需10分鐘。這時駭客還未取得PSK密碼，但若用戶設定的密碼太過簡單，則他可以配合暴力破解工具取得密碼。現有大部分駭入Wi-Fi網路的行為需要等使用者連上Wi-Fi，啟動四向交握時取得這部份資訊以暴力破解出密碼，這也是去年KRACK攻擊的手法之一。而新型攻擊手法則不需要完整的EAPOL四路交握，速度也快得多。

研究人員指出，目前還不知道有多少路由器遭受影響，但相信新手法可用於啟動漫遊功能的所有802.11i/p/r網路，即大部分現代路由器產品。更多內容

 GDPR  歐盟 

GDPR效應：仍有至少千個新聞網站封鎖歐盟讀者

一名網站開發人員Joseph O'Connor指出，自從歐盟在今年5月實施GDPR迄今，仍有超過一千個新聞網站封鎖歐盟用戶存取，無獨有偶地，哈佛大學尼曼基金會（Nieman Foundation）旗下實驗室也發現，美國前一百大新聞網站中，有三分之一網站封鎖歐盟讀者，包括洛杉磯時報、聖地牙哥聯合論壇報、芝加哥論壇報及紐約每日新聞等。

GDPR為《歐盟通用資料保護規則》的簡稱，它闡明所有歐洲民眾都有權檢視企業所握有的個資，而且還能要求企業刪除這些個資，企業除了必須取得蒐集與使用個資的明確同意之外，也必須在發生資料外洩事件的72小時內通知使用者與主管機關，否則將面臨巨額罰款，也讓擔心自己不符GDPR要求的企業選擇規避。更多內容

更多資安新聞

臺灣HITCON戰隊獲DEF CON CTF第三名！韓國再度抱走冠軍

Let's Encrypt根憑證正式受到所有主要根程式的信賴

Amazon使用了壓縮機器學習的新技術，在維持Alexa功能不變的情況下，將記憶體使用率降低94％，而這將能讓Alexa在離線狀態下，仍可以提供部分核心功能，同時也能加速Amazon雲端載入第三方Alexa技能的效率。

Amazon剛釋出了用於開發車內訊息娛樂系統的Alexa SDK（Alexa Auto Software Development Kit），而這個初版的SDK預設汽車系統可以存取雲端系統，以取得機器學習相關功能，但是在未來，Amazon希望支援Alexa的車輛，即便在離線狀態，仍可以使用Alexa的部分核心功能。

另外，第三方開發人員為Alexa開發了超過4萬5千個技能，而只有當用戶明確呼叫該功能時，第三方技能才會被載入到雲端記憶體中，這個過程增加了系統回應延遲。因此Amazon將使用壓縮機器學習模型的方法，縮減模型使用的硬體資源，以解決離線機器學習的需求，同時加速雲端載入第三方技能的速度至毫秒回應時間。

Alexa的自然語言理解系統，在解釋自由形式的話語採用了不同的機器學習模型，不過，這些模型都有其共通點，像是會從輸入的話語中抓取特徵，或是具特定推測價值的字串，Alexa的機器學習模型都常擁有數百萬個特徵。另一個共通點便是，每個特徵都有其權重，用以決定特徵在不同類型計算扮演角色的重要程度，而為數百萬個特徵儲存多重權重，這使得機器學習模型占據大量記憶體。

Amazon透過量化權重的方法，縮減儲存權重的容量，再加上權重相關特徵的特殊映射方法，綜合兩個壓縮演算法，可以讓機器學習模型記憶體使用率降低94％，最重要的是還能保持其性能不變。

針對英特爾本日發布的L1終端故障（L1 Terminal Fault，L1TF）漏洞， Google也在部落格宣布，在Compute Engine中採用主機隔離功能，能夠確保不同虛擬機器不會共享同一個核心，避開漏洞攻擊的可能性，還部署了監控服務偵測特定類型攻擊的發生。Google提醒，自行運作多租戶服務的用戶，最重要的是趕快更新系統映像檔。

這個L1終端故障攻擊手法，同屬於Google Project Zero團隊當初發現的推測執行旁路攻擊（Speculative Execution Side-Channel），相關的漏洞有三個，其中CVE-2018-3615與英特爾軟體保護擴充有關，CVE-2018-3620影響作業系統與系統管理模式，而第三個CVE-2018-3646則和虛擬化技術有關。Google提到，和過去的攻擊不同之處在於，新的L1TF變體透過攻擊處理器等級的資料結構來進行推測執行攻擊，而不是之前從程式控制流下手。

L1TF中的L1代表的意思是Level-1資料快取，這是用於加速記憶體存取的小型核心資源。核心的概念則包含了共享L1快取的處理單元，處理單元又稱為邏輯CPU或是超執行緒手足。

在Not-present狀態下發生的頁缺失（Page Fault），快取中的內容就可能被推測檢查出來，而且在缺失故障的推測檢查階段，駭客可以繞過確保快取只能由特定位置空間讀取的一般性保護機制，這些特定位置空間指的便是程序或是虛擬機器，所以L1TF攻擊代表著，在L1快取中載入的私密資料碎片，可能存在被共享該快取但不同程式或是虛擬機器讀取的風險。

Google提到，在虛擬化環境防禦這種攻擊並不容易，因為虛擬機器曝露了構成攻擊的所有狀態，也就是說駭客可以刻意直接配置自己的頁面表格到這些缺失中，並探測他們當前正在執行核心的快取。駭客要使用這些漏洞，需要以作業系統控制硬體資源中的實體或是虛擬處理器，因此沒有修補的作業系統可能遭到間接利用，而攻擊可行與否和這些作業系統操作記憶體映射的方法有關。

為了防範L1TF攻擊，Google Compute Engine採用了主機隔離功能，確保單一核心不被其他的虛擬機器共享，而這個隔離措施也同時完全刷新L1資料快取，以確保不同虛擬機器有序的排程造成的攻擊可能性。另外，Google也開發部署了新的基礎架構，讓他們監控主機是否存在特定類型的攻擊。

Google強調，這些緩解措施已經可以解決大多數Google雲端客戶的L1TF漏洞風險，他們也鼓勵用戶可以更新映像檔，以減少環境受到間接攻擊的可能性，特別是自己運作多租戶服務的客戶尤為重要。

一名安全研究人員Ahamed Nafeez上周同時於黑帽（Black Hat ）與Def Con會議上展示了VOracle攻擊，攻陷基於OpenVPN協定的VPN服務，快速取得VPN服務的Session ID。

虛擬私有網路（Virtual Private Networks，VPN）理應是用來保障用戶隱私的安全服務，而Nafeez則利用神諭攻擊（Oracle Attack）的概念發展出VOracle。

VOracle鎖定的是基於OpenVPN的VPN服務，破解了OpenVPN的壓縮演算法，由於OpenVPN的預設值是先將資料壓縮再加密，駭客可在執行這兩項任務前不斷輸入個別的文字，藉由觀察加密之後的檔案大小的變化來找出重要的文字，例如當加密後的檔案變小時，即可得知該文字原本就存在其中。

Nafeezs在台上以OpenVPN進行展示時，不到一分鐘就找出了該服務的7位數Session ID，意謂著他能接管使用者的帳號，也有機會變更使用者帳號的密碼。

儘管所有基於OpenVPN且未變更先壓縮之預設值的VPN服務都會受到牽連，但VOracle攻擊其實有不少限制，包括它只能在使用者造訪HTTP網站時展開攻擊，以及它並不適用於目前市佔率最高的Chrome瀏覽器，Nafeezs展示時所使用的瀏覽器為Firefox。

Nafeezs已於GitHub釋出VOracle原始碼。