隨著Google推出愈來愈多消費硬體產品，設立零售展示店面也就不奇怪。美國媒體芝加哥論壇報報導，Google可能將開設第一家零售店，地點就選在芝加哥。

報導引述消息人士指出，Google第一家零售店選址已經幾乎確定，位於芝加哥市區845和853W 路之間的Randolph街上一棟連棟二樓紅磚建築上。店面規劃為二樓，佔地至少400坪。這個店距離Google芝加哥總部僅2個街區之遙。

Google及擁有該區物產的Newcastle公司對此都拒絕評論。

如果消息為真，Google將是繼Amazon之後，最新一家擁有自己零售店的美國網路大廠。Google消費硬體迄今已經涵括智慧型手機、平板、智慧喇叭Google Home、Nest旗下如溫控器、煙霧感測器、Clips AI攝影機、無線耳機等產品等多項產品，還有仍在努力中的Google Glass。

在此之前，Google都是在大型零售商場設立展示用的店中店，或是在假期購物季時推出快閃店（pop-up store）的企劃來銷售自家產品。

不過這並不是Google第一次傳出自設零售店的計畫。2010年Google就買下一座船塢改裝成浮動式產品展示場稱為Google Barges，不過2014年就賣掉了。2015年Google也曾在紐約蘇活區租下約140坪的店面，還花了600萬美元裝修為旗艦店，但後來也喊卡，並將這個地店轉租他用。

近日已有超過1000名Google員工正連署抗議傳聞中Google正在打造的中國過濾版搜尋引擎，聲稱Google員工需要更透明化的程序，以了解自己正在建置的是什麼。

The Intercept在今年8月初引述消息來源報導，Google與中國高層在去年底共同啟動了「蜻蜓」（Dragonfly）專案，以於中國提供符合當局內容審查與監督原則的搜尋與新聞服務。

儘管Google不管對內或對外都未曾公布或證實此一專案，但許多Google員工擔心Dragonfly將威脅全球的政治異議與言論自由，並違反了Google自己列出的AI準則，同時期望Google對員工能夠更加開誠布公，因而發動連署。

Google員工在陳情書中表示，科技產業已進入一個道德責任的新時代，Google所做的每個決定都有著全球性的影響，然而，絕大多數的Google員工都是從媒體的報導才得知Dragonfly專案。

這當中潛藏著底層架構的問題，員工在執行各種任務、專案或就業考量時，缺乏道德決策的必要資訊，Google秘密制定了Dragonfly專案，透露出就算有AI準則仍是不足的，Google員工必須知道自己正在建置的是什麼，因而急迫需要更透明化、更有參與感，以及更開放的程序。

因此，員工們呼籲Google應該建立一個讓一般員工都能參與的道德審查結構，任命監察員，以及一個透明化規畫，讓Google員工對於所從事的任務能有道德上的選擇，另應出版道德測試案例，進行Dragonfly、Maven與Airgap GCP等專案的道德評估。

這並非Google員工第一次對高層決策的抗議，Google與美國國防部合作的Maven專案以AI協助軍方進行影像識別，員工認為該專案涉及戰爭目的，不符道德標準，有逾3000名Google員工連署要求Google退出該專案，也促使Google發表七大AI準則。

Sony 周四宣佈今年截至7月底為止，已經賣出300多萬台Play Station VR（PSVR）頭戴裝置及2190多萬套的VR遊戲。

Sony在去年12月初公佈，從2016年秋天開賣以來，PSVR已賣了200萬台。這意謂著，去年底迄今8個月就賣了100萬台。

相較其他競爭者，Sony較常公佈銷售成績。事實上，據市場分析機構Canalys去年第三季數據，全球獨立運作的VR裝置出貨量中，Sony PSVR佔了49%，遠超過HTC Vive及Oculus Rift。PSVR也提供更多高畫質遊戲選擇，Engadget報導現在共有340款遊戲。

另一家分析機構Statista估計2018年全球獨立式AR/VR裝置出貨量為465萬，其中Sony可望賣出200萬台。該機構並預估Oculus及HTC各將出貨90萬及60萬台。

根據澳洲媒體The Age的報導，一名16歲的澳洲青少年本周坦承曾多次入侵蘋果伺服器，竊取了多達90GB的蘋果機密檔案，還取得蘋果用戶的帳號金鑰，在蘋果向美國聯邦調查局（FBI）舉報之後，該名青少年最後在國際警方的聯手下，遭澳洲聯邦刑事警政署（Australian Federal Police，AFP）逮捕。

警方並未公布這名小駭客的姓名，只說他在國際駭客圈已很有名，且不管是青少年的律師或蘋果都不希望此事曝光。

這名青少年建立了電腦化的通道及避免被追蹤的網路系統來隱藏自己的身分，不過，警方在他的電腦上發現了命名為「hacky hack hack」的文件匣，存放了自蘋果伺服器所下載的資料，所查獲兩台蘋果筆電的序號及手機位址也都符合存取蘋果內部系統的裝置紀錄。

據說蘋果一直到一年多以後才發現內部伺服器遭到外人存取。

該名青少年的律師表示，他的客戶其實是蘋果的粉絲，曾夢想到蘋果工作。不過，青少年下個月就會被判刑，可能還沒進到蘋果就先進了監獄。

在傳出Firefox的外掛程式Web Security會紀錄並傳輸用戶所造訪的每一個網頁之後，Mozilla展開了清除行動，在周五（8/17）移除了包括Web Security在內的23個Firefox外掛程式。

Web Security宣稱是個可保護電腦與使用者隱私的Firefox外掛程式，藉由廣泛的資料庫與即時防護技術來協助使用者避開惡意網頁，安裝次數超過22萬次。不過研究人員發現，Web Security不但紀錄了Firefox用戶所造訪的每個網頁，還以未加密的方式將它們傳送到遠端伺服器。

Mozilla原本還在部落格中推薦Web Security，在遭到外界質疑後，先是自推薦名單中移除Web Security，今日再將Web Security下架。

Mozilla的外掛程式產品經理Jorge Villalobos表示，Web Security事件讓許多問題浮上了檯面，使得他們開始檢驗Firefox外掛程式是否也涉及不適當的行為，包括蒐集不必要的資料、以不安全的方式傳遞資料、未清楚揭露隱私作法、程式碼中隱晦含有遠端執行程式的潛力，以及那些採用同樣程式碼，卻標註不同功能與作者的外掛程式。

在針對上述問題進行檢驗之後，Mozilla直接自Mozilla Add-ons（AMO）網站移除了23個Firefox外掛程式，不過，Villalobos只列出這23個程式的ID，並未列出程式名稱。

Bleeping Computer追蹤這些ID之後，揭露除了Web Security之外，還有與Web Security同樣隸屬於Creative Software Solutions的Browser Security、Browser Privacy與Browser Safety，以及Popup Blocker、Quick AMZ、YTTools、FBTools、DirtyLittleHelpers與CSS IO等外掛程式都已被下架。

支援全球2億人病歷的開源電子健康紀錄系統OpenEMR，遭Project Insecurity揭露存在多個嚴重等級高的安全性漏洞，從身分驗證旁路、SQL資料隱碼、遠端程式碼執行以及任意檔案操作等漏洞都有，OpenEMR社群已積極處理漏洞問題，使用者務必進行OpenEMR版本更新。

研究團隊從GitHub上下載了OpenEMR 5.0.1.3程式碼進行安全性測試，發現了許多嚴重的漏洞。報告一開始提到的漏洞是病患入口頁面的身分驗證旁路漏洞，受影響的共有15個Php頁面，沒有經過身分驗證的攻擊者，可以簡單的瀏覽登入頁面並修改請求網址後，繞過登入頁面存取想訪問的頁面，這個漏洞造成的影響，會讓網頁程式隨機展示真實病患資料。

OpenEMR也有嚴重的SQL資料隱碼漏洞，總共有8個Php程式受到影響，未經授權的用戶可以插入SQL查詢指令，查看特定資料庫資料，甚至執行特定資料庫功能。像是對Search_code.php在發送POST請求時，可以在容易受攻擊的文字參數中，使用有效負載進行SQL資料隱碼，文字參數在沒有任何消毒處理下，直接被用於SQL查詢中，駭客可以利用此漏洞對OpenEMR介面進行身份驗證。

另外一個SQL資料隱碼的例子，則是OpenEMR程式碼的品質不一，在Anything_simple.php的SQL查詢，有使用占位符來防止SQL資料隱碼攻擊，但是在Forms.inc中的getProviderIdOfEncounter函式，卻沒有使用相同的方法來防範攻擊，把來自使用者輸入的參數，透過getProviderIdOfEncounter函式傳遞直接放入SQL查詢中，使網頁應用程式容易受到SQL資料隱碼攻擊。 

Project Insecurity研究團隊對OpenEMR，做了多個遠端程式碼執行攻擊的概念性驗證，而且因為OpenEMR其他Php程式安全性不夠高，導致攻擊更加容易成功。研究團隊舉例，其中一個遠端程式碼執行漏洞落在Sl_eob_search.php中，不過要完成攻擊必須獲得Print_command全域變數，不過攻擊者可以從Edit_globals.php這個程式輕易的取得Print_command。

另外，數個病患入口頁面的POST變數，在Import_template.php中被定義，而這些變數在使用者輸入後，沒經過消毒處理的情況下，就直接被以函式傳遞，使攻擊者有機可乘，可以用病患權限從系統上傳、修改、存取或是刪除檔案。研究團隊以任意檔案寫入為例，攻擊者可以從入口頁面製造請求，上傳任何型態的檔案包括Php檔案，而這將幫助攻擊者達成程式碼執行以及特權提升。攻擊者不只可以寫入任意檔案，甚至可以讀取及刪除任意檔案。

Project Insecurity在2018年7月7日通報漏洞給OpenEMR，7月20日OpenEMR官方就推送了漏洞補丁更新，研究團隊提到，OpenEMR以非常積極的態度處理漏洞問題。

資安業者Imperva本周揭露一個存在於Chrome瀏覽器Blink引擎中的「跨域資訊外洩」（Cross Origin Information Leak）漏洞，將允許駭客汲取Chrome用戶存放在臉書、Google或其它平台上的個人資料，例如描繪出Chrome用戶的臉書個人檔案。

Imperva安全研究人員Ron Masas指出，當時他正在研究Chrome上每種HTML標籤的跨域資源共享（Cross-Origin Resource Sharing，CORS）機制，注意到其中的影片（Video）與聲音（Audio）標籤有些不同，它們能用來請求Chrome上其它網頁的資源，並透過這些網頁的回應來汲取Chrome用戶在這些網頁上所存放的個人資料。

Masas描述了針對Facebook的可能攻擊場景，駭客可先建立大量的臉書文章，並限制存取這些文章的資格，像是年紀、性別或地域等，接著再打造一個暗藏惡意影片或聲音標籤的網站，一旦Chrome用戶同時造訪了惡意網站與臉書，駭客就能傳遞一個測試用戶是否能造訪這些臉書文章的請求，以偷偷建立Chrome用戶的個人檔案。

例如若駭客建立了一篇只容許24歲民眾觀看的臉書文章，或者是發表一篇只允許加州民眾觀看的文章，即可利用此一技倆查看該名Chrome用戶是否能讀取該篇文章，不管該用戶在臉書上的隱私設定為何，駭客都能自臉書過濾機制的回應來確認使用者的資料。

這基本上屬於旁路攻擊的手法，而且駭客至少可提出20種問題來建立完整的個人資料，更令人擔心的是，若Chrome用戶還開啟了以電子郵件註冊的電子商務或雲端應用網站，駭客還能利用自社交網站汲取的個人資料展開進一步的分析或攻擊。

Imperva將此一漏洞提交給Google時，還獲得了500美元的漏洞獎勵，且Google已於今年7月釋出的Chrome 68修補了該漏洞。

Polycom宣佈和國內的是方電訊合作，結合Polycom RealPresence Clariti視訊會議虛擬化方案，以及是方電訊的是方應用雲平台提供雲端視訊會議服務。

Polycom台灣區總經理王中璽表示，傳統上企業自建視訊會議系統，必需採購視訊MCU設備，若會議室閒置等同浪費，相較之下，採用雲端視訊會議服務，按使用的帳號計費，能為企業節省成本。

RealPresence Clariti在台灣由鉅晶國際總代理，由經銷商面對企業客戶。提供訂閱型及永久授權兩種方式，企業可依照自己的需求，使用雲端服務，或是在內部自行部署。

企業使用這項雲端視訊會議服務，可以網際網路或VPN連線登入會議系統，使用既有的視訊設備登入系統，包括iOS及Android裝置參與雲端視訊會議，收費按照登入的帳號計算，不限雲端會議室的數量。

雲端視訊會議系統服務頁面，用戶可以瀏覽器登入，預約雲端會議室、管理及查詢統計數據報表：

王中璽表示，Polycom目前也運用大數據及AI技術，為企業視訊會議系統的功能，例如結合人臉辨識及企業AD，在企業會議室設置辨識裝置，開會時就能自動辨識每位會議成員的姓名、職稱。

GraphPipe是甲骨文用來部署機器學習模型的工具，現在對外開源。GraphPipe解決了部署模型面臨的3個問題，框架傳輸標準不一、複雜的模型部署工作以及解決方案效能低落。目前GraphPipe高效能伺服器支援TensorFlow、PyTorch、mxnet、CNTK和caffe2內建的模型。

雖然近年機器學習的發展有長足進步，現存不少框架，都可以幫助開發者快速的產生出機器學習模型，不過，甲骨文指出，要將機器學習模型部署到生產環境中，才是挑戰的開始。由於機器學習模型提供服務的API並沒有統一標準，可能是透過協定緩衝區（Protocol Buffers）或是自定義的JSON格式的方式，因此開發者經常會在框架操作上遇到困難。一般來說，應用程式需要一個特製的客戶端，負責與部署的模型溝通，而這個情況會因為程式架構使用多個框架，情況變得更加複雜，開發者勢必要撰寫自定義的程式碼，來整合多個框架。

此外，建構機器學習模型伺服器也並非一件簡單的事，訓練模型的方法通常比部署要來的受人矚目，部署模型的資源相對較少，甲骨文表示，開箱即用的機器學習解決方案很少，並舉例，像是開發者要使用TensorFlow的GPU版本提供服務，最好有戰鬥數天的心理準備。部署模型還有另一個問題，甲骨文認為，不少現有的解決方案並不關注效能表現，對於特定應用情境影響大。

而GraphPipe能夠解決上述的各種問題，GraphPipe為傳輸張量資料，提供了標準高效能協定，並且簡化客戶端與伺服器部署的工作，讓任何框架部署和機器學習查詢的工作變得簡單。甲骨文提到，GraphPipe的高效能協定，目的在簡化和標準化遠端與近端間的機器學習資料傳輸，目前在深度學習的架構中，傳輸張量資料並沒有主流標準，開發人員可能會使用效能低落的JSON協定，抑或是TensorFlow協定緩衝區，效能雖然較好卻又帶有TensorFlow的包袱。

GraphPipe以二進位記憶體映射格式，提升傳輸效率，並且維持簡單的相依性。GraphPipe內含一組Flatbuffer定義，以及根據Flatbuffer定義提供模型服務的指南，並且含有TensorFlow、ONNX和caffe2的使用範例，另外，也提供了透過GraphPipe查詢模型服務的客戶端函式庫。本質上，GraphPipe請求行為類似於TensorFlow預測請求，只不過使用Flatbuffers作為訊息格式，而Flatbuffers則是類似Google協定緩衝區，具備在反序列化步驟避免記憶體複製好處。

甲骨文展示了GraphPipe的高效能表現，首先比較了自定義ujson API、TensorFlow預測請求協定緩衝區以及GraphPipe遠端請求，在Python中浮點數張量資料的序列化和反序列化速度。請求包含了1,900萬個浮點數值，並且收到回應的320萬個浮點數值，GraphPipe無論在請求或是收到回應花的秒數都是最低的，即便較耗時的序列化請求也花費不到0.1秒，但是Json在請求上都花了超過1.4秒的時間，甲骨文解釋，之所以GraphPipe可以表現的這麼快速，是因為Flatbuffers不需要記憶體複製。

接著，甲骨文把Python-JSON TensorFlow、TensorFlow以及GraphPipe-go TensorFlow模型伺服器，比較其端對端資料吞吐量。三種的後端模型都是相同的，使用單一和5個執行緒不停的對伺服器發出大量請求，並計算模型每秒可以處理的資料行數。由圖中可以看出，Python-JSON和TensorFlow在單一和多執行緒的表現沒有太大的差異，約在每秒50行上下，但GraphPipe的表現卻可以是其他組的5倍以上。

GraphPipe的資料都可以在GitHub中找到，伺服器目前提供了Python和Go版本，而客戶端也有Python和Go版本，之後會再支援Java。

捷克資安業者Avast周四（8/16）指出，他們在網路上找到了逾4.9萬台因配置錯誤而曝露在公開網路上的MQTT伺服器，其中有超過3.2萬台甚至缺乏密碼保護，透露出主要應用在M2M（Machine-to-Machine）與IoT裝置之MQTT協定的安全部署受到嚴重的漠視。

MQTT的全名為Message Queuing Telemetry Transport（訊息序列遙測傳輸），可藉由智慧家庭連結中樞（Smart Home Hub）來連結與控制智慧家庭裝置，對消費者來說，MQTT伺服器通常是存在於個人電腦或基於Raspberry Pi的迷你電腦上。

Avast表示，MQTT協定本身其實是安全的，主要的風險來自於使用者在實現與配置上的錯誤，可能允許駭客藉由了解智慧家庭裝置的運作情況而得知主人在家與否，或者是操縱家中的娛樂系統及語音助理等智慧裝置。

這些缺乏密碼保護的MQTT伺服器將允許駭客攔截透過該協定所傳輸的所有訊息，例如得知智慧門窗或家中燈光的狀態，也能嵌入惡意指令以打開車庫門。

即使是在MQTT伺服器受到保護的狀況下，與MQTT伺服器具備同樣IP位址的控制儀表板也可能會遭到駭客利用，主要是因為許多熱門的智慧家庭軟體或連結中樞皆為開源碼解決方案，當中有些方案的預設值竟然不要求密碼，因此，駭客仍然能夠藉由控制儀表板入侵家中的智慧裝置。

假設MQTT伺服器與儀表板都受到了保護，但有些連結中樞軟體與家用助理軟體開啟了不安全的SMB分享功能，而讓駭客得以於公開網路上找到配置檔，以及檔案中以明文存放的密碼與金鑰，同樣可讓駭客取得家中裝置的控制權。

在某些情況下，駭客還能利用與MQTT連結的行動程式來追蹤使用者的位置。

根據Avast的統計，在網路上曝光的MQTT伺服器中，有1.2萬台位於中國，逾8,000台位於美國，至於完全不需密碼就能登入的MQTT伺服器則有8,446台位於中國，有4,733台位於美國，1,719台位於德國，1,614台位於香港，還有1,565台在台灣。

下圖左超過4.9萬台因配置錯誤而曝露公開網路的MQTT伺服器及國家分佈，右邊則是超過3.2萬台未設密碼保護的MQTT伺服器國家分佈，台灣位居第5名：（來源：Avast）

論及使用者上網，Chrome應該是最多人使用的瀏覽器了，然而，最近Imperva研究人員Ron Masas揭露，這款瀏覽器採用的Blink引擎，對於<video>和<audio>等HTML語法標籤的處理過程有瑕疵，導致有心人士能從中竊取使用者的隱私資料，他不只將這樣的情況回報給Google，也呼籲該瀏覽器的使用者要趕快更新，採用已經完成修補的68版。

Ron指出，他發現這個Chrome的漏洞，出現在對於解譯<video>和<audio>等HTML語法標籤時，瀏覽器向來源串流影音發出請求的濫用。一般來說，為了確保播放事件的正常執行，瀏覽器便會跟來源站臺要求影音資料的確切資料量。而根據Imperva團隊的研究結果，他們發現利用上述瀏覽器請求資訊機制，輔以藉由濫用社交網站常見的過濾功能，可利用一連串的是非問答探測，間接得知使用者的隱私。

該名研究人員舉例，攻擊者可先針對各個鎖定的目標年齡族群，製作含有大量內容的臉書貼文，並設定讀者身分限制，就能從臉書發出請求，然後透過瀏覽器回應的資料量大小，取得執行瀏覽器的使用者年齡。這樣的手法，也能套用在取得使用者的性別、按讚的項目，以及許多其他使用者的屬性。

根據Imperva的研究員Ron Masas發現，有了Chrome處理影音語法標籤的弱點，可使有心人士利用如圖中的臉書鎖定讀者機制，進而開採大量執行Chrome瀏覽器使用者的性別或是年齡，即使他們已經在臉書將這些資料設定為不公開，照樣會被開採。

其中，容量較大的瀏覽器回應資料，便能指出不符合攻擊者原先設下的讀者屬性限制，反之，則是貼文鎖定的目標使用者。這意味著，就算瀏覽器的使用者在臉書上，不公開他們的年齡或是性別，駭客只要在惡意網站中，埋藏利用含有上述方法的腳本，並分別採取了多種使用者屬性設定，便能迅速開採大量Chrome瀏覽器使用者的隱私。

開採瀏覽器使用者隱私的途徑涵蓋社群平臺、電子商務平臺，以及雲端服務

Ron更進一步表示，不光像是臉書這種社群平臺，這樣的攻擊手法，同樣也能運用在使用者需透過電子郵件註冊的網站，包含許多電子商務或是線上應用網站。

這名研究員會發現這樣的問題，主要還是在他針對多種HTML語法標籤，研究網頁內容的跨來源共用機制（Cross-Origin Resource Sharing，CORS），其實際的運作原理。在研究的過程中，他留意到<video>和<audio>的執行行為中，會將metadata的參數設定成preload，藉此改變onprogress事件的次數。而onprogress便是與前述瀏覽器請求資源大小的過程裡，會被呼叫的事件參數。

Ron研究各種HTML標籤網頁內容跨來源共用機制（Cross-Origin Resource Sharing，CORS）時，留意到Chrome瀏覽器對<video>與<audio>語法處理的情形，從他發現的現象中，為了驗證所提出可能會被濫用的推論是否成立，Ron寫了如圖中內容的腳本，實驗後也如預期證實，能以此暗中開採瀏覽器使用者的資料。

由於現今網頁上所載入的許多元素，像是CSS樣式表、圖片、指令碼，往往都來自網頁位址以外的網域，為了增加這些內容存取的安全性，網站必須使用CORS機制，瀏覽器才會正確讀取這些元素，然而Chrome對於這樣的存取機制解譯過程中，會造成使用者資料的洩露，因此Ron在今年3月時向Google回報，Google則於最近的Chrome 68版處理上述弱點，並發給這名研究員500元美元獎金。

以Chromium開發的瀏覽器軟體，使用者也要記得更新

不過，一般來說，Chrome會自己下載並維持最新版本的軟體，因此前述的弱點雖然已被登記為CVE-2018-6177，並加以列管，而且Google也已經修補，然而在CVE的資料庫中，卻沒有相關的描述，而頁面上提供的美國國家弱點資料庫連結，也沒有該弱點的資料。此外，Redhat的CVE資料庫中，則明確指出這個弱點帶來的影響性不高。

但值得注意的是，由於這項弱點涉及Blink瀏覽器引擎，若是使用者執行其他由Chromium開發的瀏覽器軟體，採用了較舊的Blink版本，便可能面臨這種隱私資料暴露的風險。

顧客至上，是許多服務業奉行的黃金守則，對於時常需要與民眾接觸的銀行業人員來說，更是如此。因為顧客的服務滿意度高低，不只影響銀行品牌的信心或信譽，嚴重更可能造成公司業績下滑，生意直落千丈。不過，對於台新銀行來說，卻一點也不擔心。

走進台新位於內湖區的分行，除了一般櫃臺人員，現在還多了一位神秘的客服人員，負責幫忙接待和回答洽公民眾各種金融問題，不論是信用卡、存款或貸款和財富管理都難不倒她。只要對著桌上的平板電腦說出你要辦理的業務，就會有人馬上回答你。

這位名叫Rose的AI客服，其實是兩年前台新所推出的智能線上客服，原本只能用文字來溝通，今年2月也開始能夠開口說話了，可以聽得懂中文，能用中文與民眾對話。

而且還能夠自然與人聊天互動，甚至有人開玩笑問她歲數，她還會俏皮的回覆「噓！這是秘密！」，就像是你在跟朋友聊天一樣。

該服務推出至今，不只每月有將近6萬人使用，互動問答更超過11筆，可完整回應率高達98%，也因此提高了顧客滿意度。

在銀行推出AI智能語音客服，只是台新AI大戰略裡的其中一項。台新為了打造貼心銀行更提出了AI應用四大戰略方向，包括：客戶經營、流程精進、數據分析，以及風險合規。

台新希望通過由內而外，透過AI與銀行服務的結合，來提供民眾更好的服務。對於台新資訊部門來說，更是一大IT挑戰。

走進位於內湖區的台新銀行大樓，一道道厚重的鐵門讓人印象深刻。台新金控資訊長孫一仕笑說：「作為作業處理中心，這裡是台新資訊作業的重地，所以設備格外嚴密。」

而這棟大樓，也是孕育台新作業流程自動化的地方，孫一仕表示，有了深厚的自動化發展經驗，台新踏在這個基礎上，要來發展AI應用的四大方向。

利用AI語音客服實現顧客至上的黃金手則

首先，在客戶經營方面， 孫一仕表示，台新的目標是要透過AI技術，來提供新的語音互動操作方式，讓客戶能依自己的喜好，更自然地與我們即時互動，而智能客服就是其中一例。

台新以自然語言理解（Natural Language Understanding）技術為中心分別打造了Rose和Richart這兩個AI智能客服應用，用來協助台新發展語音人工智慧平臺和語音助理新服務。

他進一步說明，Rose客服主要搭配的是台新原有的傳統網銀服務，服務對象是較年長或保守的民眾；而另一位Richart智能客服，則是主打年輕一代的使用者。

孫一仕直言，剛開始導入智能客服時，過程並不順利，沒辦法很快回應客戶提出的問題，或是無法回答，因此，「給人不太聰明的印象」，而且只能以文字來溝通。

不過，就像剛剛出生的小孩學習新知，剛開始懂得知識有限，隨著學習時間越長就懂得更多。

後來，孫一仕和IT團隊開始將這些對答文字作為智能客服大腦學習的數據庫，讓AI客服不斷學習擴充知識庫，經過長時間學習教會它們各種銀行相關知識。

「現在，台新AI客服已能回答各種金融知識了。」他說，比如當客戶要問台新業務相關問題時，AI客服可以很快給出完整的答案。而且不只能用文字回答，現在，「不論是Rose或是Richart，都已經能正確地辨識語音，回答客戶問的問題了。」他說。

孫一仕接下來更計畫在今年第三季推出智能客服的帳務查詢功能，以後使用者只要以實名登入、就能查詢帳務。甚至，台新背後還有更大企圖，是要將AI客服服務觸角，延伸到銀行體系之外，要讓臉書用戶未來透過Messanger對話訊息，由Richart替民眾解決問題。

導入敏捷式開發，推出有感新服務

不過，要推出這些新服務，對於台新IT的挑戰也不小，不只要學習新的IT技術，即時服務上線後，也必須不斷改版推出新功能，才能滿足顧客的需求，光只靠傳統的開發流程已難以應付，而必須要有新的作法。
孫一仕舉開發Richart數位銀行為例，當時他就導入了新的工作模式，也就是敏捷式開發（Agile Development）。他稱讚，敏捷開發最大的益處，在於結合IT單位和業務單位，讓彼此了解對方，能更快反應使用者的需求。

雖然台新不斷有新服務或功能推出，但並不是所有的服務，民眾都會買單。「一個真正好的服務，要能夠依據服務對象而有不同的服務方式與內容。」他舉例，在Richart數位銀行App裡有提供一個快速轉帳的功能，只要靠QR碼或搖一搖，就能轉帳給對方，不需要在上網或到銀行轉帳。這個新功能推出時，頗受年輕人喜愛，但對年長者或較保守的民眾接受度則不高，這些人仍偏好傳統的輸入轉帳方式。

孫一仕說，從技術本質來看，台新自己的網路銀行和數位銀行App其實沒有不同，但面對不同的客戶族群時，呈現的方式卻是不一樣。
而這段經驗也讓他深刻體會到，未來在開發AI服務，不只是技術層面，也要考慮服務族群的差異。

流程精進是台新第二大AI戰略方向。孫一仕表示，不論是在生物特徵辨識、身分辨識、交易授權，以及流程自動化，都已開始使用AI技術，用來改造內部作業或簡化工作流程，從而提高人員效率。

在AI戰略大方向下，除了關注技術，也要在乎時機

不過，孫一仕並非一味地迎合新科技，而是有他自己的堅持。例如要引進AI來發展新的身分驗證機制時，他要求必須要符合兩個條件，第一是辨識度要夠高，第二是要合乎法律規定。因此，即便有金融業者開始導入聲紋辨識、指靜脈辨識等等，但就如同孫一仕奉行的「適時（Just-in-time）」準則，他認為技術要是太早引進，會因不成熟而失敗，但如果太晚引進，則會失去市場先機，何時引進會是最適當的時間，「我們還在密切觀察。」他說。

不同於對於新科技採用持謹慎態度，在開發新應用上，台新反倒是勇往直前，勇於接受新挑戰。像是在2016年時，台新就在自家的數位銀行App新增指紋辨識登入功能，讓顧客可以使用指紋辨識登入App完成付款，而從去年底到今，台新也不斷在開發臉部辨識功能，並於今年5月的未來商務展中，對外公開展示臉部辨識技術與實體ATM的新應用。

台新金控資訊長孫一仕表示，資料就是關鍵。銀行要創造AI新服務或新價值，需要找到新資料。

攝影／洪政偉

未來要靠RPA完成銀行跨系統執行整合

另以流程自動化為例，孫一仕表示，台新則是聚焦在機器人流程自動化（Robotic Process Automation，RPA）的應用。簡言之，RPA指的是一套軟體自動化機器人程式，可以用來模擬人類在電腦上辦公的作業流程和行為，以取代傳統需要大量人力的例行性或反覆性作業，以提升工作效率。

他說，至今台新許多業務的小環節，「不敢說到100%自動化，但能做到自動化大概都做到極致了」。他表示，這要歸功台新很早就打下自動化發展的基礎，因為台新是臺灣少數幾家在早期就建置作業中心的銀行，也同時致力於不同情境的自動化作業，像是以光學文字辨識（OCR）、電子表單化，來加速開戶流程。甚至在2015年時，就能讓車貸、房貸的專員填完客戶表格後，用手機拍照文件、透過理專App將照片傳到後臺，直接處理客戶檔案。
另外，針對流程自動化改造，台新自己組成商業流程管理（Business Process Management，BPM）團隊，並持續在近8年來，每年都舉辦BPM流程改造活動，來精進各項自動化作業。相較於RPA，BPM指的是基礎設施級的流程管理，而在BPM的基礎上，台新要透過RPA機器人流程自動化，來發揮它的特性，完成銀行跨系統執行整合，將原本各自自動化的小環節以RPA串聯起來，讓整個工作流程更順暢。

至於如何評鑑RPA效益，孫一仕說，除了比較省下的全時約當數（Full Time Equivalent，FTE），最主要還是會看節省下的時間，比如讓一個需要人為操作3小時的流程，縮短為立即就能處理好。

發掘資料新價值，提供有別於傳統的AI新服務

在數據分析方面，孫一仕則說，目前，台新已將這些年來在客服中心累積的大量語音資料，透過自然語意分析技術，從文字語義中找出以往沒發覺的含義，「這也是台新希望藉由AI技術，來發掘以往沒有注意或發現的資料價值。」他表示。

此外，孫一仕也曾構想過要以自然語言生成（NLG）技術來發展新AI服務，來減輕人員的工作負擔，並且提到國外已經有實際案例可循，例如能用AI來寫簡單的財務報告等。

而要做到這件事，首先，就是要先透過自然語言處理，分析所有財務報告內容，再以NLG技術寫出一篇報告。雖然，孫一仕對這樣的應用頗有興趣，但因牽涉到太多配套措施，包括是否有合適的執行工具，來寫出符合中文文法的句子等。因此，他說，台新對NLG的應用，目前還未有具體內容。

最後，在風險合規上，孫一仕指出，台新將著重於AI與信用評估的結合，要利用新資料建立一個信用評估AI模型，以輔助銀行人員來加快評估申請人的信用狀況。

他舉例說，傳統金融機構在評估一個人的信用時，不外乎以職業、年齡、房地產和個人信用歷史等為標準，但未來也許可以加入其他新資料作參考，比如求學經歷或臉書好友等。不過，他坦言目前有兩大挑戰，一是要找到非傳統資料不容易，再者，要解釋以這些資料而產生的模型，也十分困難。

資料仍是打造AI服務的關鍵

不過，當問及開發AI服務的挑戰是什麼？他認為，許多銀行目前已把現有的資料分析得差不多了，如果要開發新服務，特別是AI服務，就需要新的資料來創造新價值。孫一仕斬釘截鐵地說：「資料是關鍵」。

 CIO小檔案 

孫一仕

台新金控資訊長

學歷：東吳大學電子計算機科學士畢業

經歷：從事金融資訊服務相關工作逾29年，曾任臺灣花旗銀行亞太區電子銀行研發中心協理、臺灣SAP公司總經理、IBM大中華區金融服務事業群支付暨交易系統總經理等職，也參與數本金融科技書籍翻譯，如《Bank 3.0-銀行轉型未來式》等。

 公司檔案 

台新金控

● 地址：臺北市大安區仁愛路4段118號

● 成立時間：2002年2月18日

● 員工數：約8,000人

● 年營收：新臺幣378億元（2017年）

 資訊部門檔案 

● 資訊部門主管職稱：資訊長

● 資訊部門主管姓名：孫一仕

 IT大事記 

● 2015年：推出行動辦公室「理專App」、軟體專案改導入敏捷式開發

● 2016年：Rose和Richart智能客服上線，Richart數位銀行導入行動自然人憑證

● 2017年：智能客服導入語音人工智慧平臺

● 2018年：Rose智能音箱首度亮相，Richart數位銀行推出AI智能投資服務

周六早上國內ATM跨行交易出現異常，民眾無法在ATM上進行跨行提款、匯款，影響不少人的交易需求，所幸財金公司與IBM緊急處理下，9點左右已恢復正常，財金公司說明係IMS連線交易系統發生狀況，排除遭到駭客攻擊的可能性。

根據財金公司的說明，今早ATM跨行交易發生異常，主要因為IBM大型主機IMS的連線交易系統出現問題，經過緊急處理後，已在早上9點08分全數恢復正常，財金公司指出，這次事件未造成民眾財務損失，第一時間已由IBM召集國內外專家分析處理。

IMS系統全名為資訊管理系統（Information Management System），是運行於IBM大型主機上的多套系統之一，國內自民國76年ATM開放跨行交易服務即採用此系統架構，這次出包的主要是IMS上的連線交易系統，致使ATM的跨行交易受影響。

今早ATM跨行交易出現異常，導致部份ATM上無法進行跨行提款、匯款，由於正值週末假日，銀行營業時間之外，對民眾使用金融服務帶來一定的影響。民眾若使用自家銀行的ATM則不受影響。

以4月到6月為例，財金公司估計，平均早上跨行ATM交易約幾千筆，而周六早上因為處於交易的離峰期間，故而這次影響有限。財金公司也澄清，這次系統發生異常，斷斷續續仍有跨行交易完成，並非外傳全台大當機。而從早上7點左右出現異常，到9點08分已完全恢復正常。

這幾年國內發生過幾起重大的金融業駭客攻擊案例，2016年第一銀行ATM遭到惡意程式入侵，跨國駭客犯罪集團盜領逾8100萬元，去年遠東銀行也遭駭，駭客假造匯款電文，企圖盜轉18億元至海外。國外也不有金融機構遭到駭客攻擊，遭受鉅額損失的事件發生。鎖定金融業的攻擊頻傳。

此次財金公司的ATM跨行交易連線出現異常，外界關心是否受到駭客攻擊。財金資訊公司排除駭客攻擊的可能，至於造成系統異常的原因，正由IBM全球的專家調查研究中。

在稍早6月期間，財金公司也曾發現IMS系統出現徵兆，但當時並未影響到民眾交易，並沒有引發外界的關注，財金公司交由IBM研究處理，這次IMS連線系統發生狀況，兩者間是否有關係仍有待釐清。

臺灣HITCON戰隊獲DEF CON CTF第三名，韓國再度抱走冠軍

【美國拉斯維加斯現場直擊】經歷過激烈的競賽後，2018年由全新主辦單位O.O.O.（Order-of-the-Overflow）的駭客搶旗攻防賽（CTF）的名次終於揭曉，由韓國隊DEFKOROOT獲得冠軍，美國隊PPP獲得第二名，臺灣HITCON戰隊獲得第三名的好成績。以往DEF CON CTF比賽在當天只揭曉前三名的名次，其他隊伍的成績，通常要一週後才會知道。但這次主辦單位很快就揭曉整體成績，臺灣資安新血戰隊BFS此次參賽的成績表現不俗，初試啼聲就獲得第12名的好成績。（詳全文）

全球最著名二大駭客盛會性質大不同

圖片來源／adsecurity

黑帽（Black Hat）與Def Con是全球著名的二大駭客盛會，卻有截然不同的文化，前者是正式活動，後者則像是駭客舉行的派對。

黑帽大會可說是價格昂貴的新知吸收與訓練中心，光是聽取簡報的費用就超過2,000美元，最便宜的早鳥票為2,195美元（約6.8萬元新臺幣），若是臨場才買則要2,795美元（8.6萬元新臺幣）。而Def Con則是駭客們的派對，參加四天的活動費用只需280美元（約8,700元新臺幣），而且能自由地與講者及商家交流，或是參與各種競賽。（詳全文）

D-Link路由器漏洞將用戶導向巴西網釣網站

安全公司Radware發現，多款友訊（D-Link）路由器的漏洞遭駭客開採，將用戶導向假的巴西銀行網站，意圖騙取用戶的銀行帳密。駭客是開採D-Link產品上一個2015年便已存在的漏洞，藉由變更巴西地區D-Link路由器的DNS伺服器設定，將用戶流量導向駭客設立的惡意DNS伺服器。（詳全文）

防範假帳號，臉書大型粉絲專頁將實施授權認證

臉書（Facebook）宣布要求擁有大量支持者的美國粉絲專頁必須完成出版授權認證，以免讓他人利用假帳號或入侵管理員帳號，從外國發布不實內容來操縱美國人民。這個授權認證要求粉絲專頁管理員必須啟用雙因素驗證，並證明其主要所在國家。至於粉絲要多少才是「眾多」，臉書不願回答，只表示如果某個粉絲專頁需要這個認證，管理員會在「動態消息」上方看見臉書的通知。整個認證過程只要幾分鐘，管理員得先完成認證，才能持續出版內容。（詳全文）

Trustwave開源可人臉辨識社交檔案的情蒐工具

圖片來源／Trustwave

新加坡電信（Singtel）旗下的資安業者Trustwave釋出了基於人臉辨識技術的情報蒐集工具Social Mapper，可用來肉搜社交網站上的個人檔案，該工具支援了LinkedIn、Facebook、Twitter、Google+、Instagram及微博等8個社交網路平臺，只要輸入名字與照片，就能蒐集這些人在上述社交網站上的個人檔案。（詳全文）

未來Chromebook也許能同時跑Chrome OS及Win 10

根據XDA Developer報導，Google可能正在開發一個類似蘋果Boot Camp的功能，讓Chromebook筆電也能同時跑Chrome OS及Windows 10。

Boot Camp是蘋果開發的多重開機引導軟體，旨在讓用戶能在英特爾CPU的蘋果電腦安裝Windows。（詳全文）

靠機器學習就能準確辨識程式出自何人之手

美國卓克索大學（Drexel University）電腦科學系副教授Rachel Greenstadt，與喬治華盛頓大學（George Washington University）電腦科學系助理教授Aylin Caliskan在今年八月Def Con駭客大會上，公布了一項研究成果，展示如何透過機器學習技術，利用程式碼與二進位程式的風格，成功辨識出程式的原始作者。（詳全文）

惡意程式具備AI能力超狡猾，行蹤高度神隱幾乎抓不到

在八月美國黑帽駭客（Black Hat）大會上，IBM展示DeepLocker的新式概念驗證攻擊程式，利用人工智慧（AI）能力躲避偵測，讓安全軟體幾乎偵測不到。（詳全文）

美國影藝學院要與Linux聯手推動電影產業開源創新

奧斯卡金像獎主辦單位美國影藝學院宣布與Linux基金會合作，共同推出學院軟體基金會（ASWF），為電影與媒體產業提供一個中立的開源軟體交流平臺，能夠互相共享技術、視覺特效、動畫或是聲音等資源。（詳全文）

AWS雲端資料庫正式支援無伺服器MySQL應用

近期AWS正式推出新資料庫雲端服務Aurora Serverless，可以提供企業用戶隨需使用、自動擴充的資料庫服務。Aurora採用Serverless執行方式，不需布建虛擬機，根據實際使用量計費。AWS同時也宣布Aurora Serverless支援MySQL資料庫。（詳全文）

微軟擴大Azure CDN全球服務布局，新增8處網路連接點

今年五月，微軟推出自家內容交付網路（CDNs），讓自家雲端服務可以更快在他地擴充。八月時，微軟更宣布，Azure CDN新增了8個網路連接點（POP），遍布北美、歐洲、亞洲等地。（詳全文）

餐廳POS系統新創iCHEF推出Wi-Fi基地臺產品

為了讓餐廳業者更了解顧客，進而提供更好的行銷方案與提升營運績效，iCHEF發表名為「飛碟1號」的Wi-Fi基地臺，當顧客進到餐廳時，智慧型手機只要開啟搜尋Wi-Fi訊號，即便沒有連上餐廳內的Wi-Fi，也能被偵測到，餐廳業者即能做為辨識新客、熟客等營運數據分析的資料。而且此Wi-Fi基地臺還能自動偵測在店內停留5分鐘以上的人，確認是在餐廳內進行消費的顧客，而不是路過的民眾。（詳全文）

亞太區塊鏈產業自律聯盟9月成立

臺灣在虛擬貨幣的規範仍然不明確，主管機關也尚未定，為了在政府立法前，讓虛擬貨幣交易所業者有一套可以遵循的規範，立委余宛如、中華民國全國商業總會、亞太區塊鏈發展協會，偕同7家虛擬貨幣交易所，共同發布一項虛擬通貨交易所會員自律公約（SRG），並宣布今年9月即將成立亞太區塊鏈產業自律聯盟。（詳全文）

機器人權威Hod Lipson：AI將賦予機器人感情和自我意識

攝影／王若樸

有機器人權威之稱的哥倫比亞大學工程與資料科學教授Hod Lipson，也是該校創意機器人實驗室總監，一直致力於打造具自我意識、能自我複製的機器人。日前他應科技部邀請來臺擔任TTA奇點亞太創業競賽評審時，發表他眼中的AI六大發展浪潮，從AI一路走來的里程碑，以及未來的可能性，Hod Lipson認為，AI將賦予機器人感情和自我意識。（詳全文）

HP上百款印表機爆RCE漏洞

印表機的安全風險，隨著IoT的興起而更受矚目，全球印表機知名大廠HP，前陣子（7月31日）剛發布全球首個印表機弱點發現獎勵專案，8月初他們又對外公開2個高危險性的韌體瑕疵，同時提供修補程式，呼籲用戶應盡速進行韌體更新。經我們與臺灣HP確認，兩起事件其實並無關連。本次提供的韌體更新，主要修補兩個具高度危險性的漏洞，將可能引發遠端程式碼執行（RCE）攻擊。（詳全文）

安碁資訊拚轉型，成立數位鑑識實驗室與資安情資中心

投入國內資訊服務多年的老牌廠商安碁資訊（ACSI），經營資安監控維運中心SOC已達13年之久，近年則有了很大的轉變，不僅徹底轉變成純資安服務的公司，並在今年夏天正式登錄興櫃交易，成為臺灣首家以資安監控委外服務商（MSSP）興櫃的資安服務公司。

安碁資訊總經理吳乙南表示，未來將透過AI化、平臺化、國際化等3大策略擴張服務版圖。該公司技術副總黃瓊瑩做出進一步說明，他們在去年提出新世代Inteligent SOC架構，當中包含了三大主軸，分別是成立數位鑑識中心實驗室，成立資安情資中心，並整合威脅情報AI分析平臺（ATHENA），希望藉此讓SOC服務更進化。（詳全文）

工研院：AI影像辨識技術，就是門市無人化關鍵

工研院也想打造無人商店！日前工研院舉辦ICT TechDay科技日活動，在會場展示了可擺在辦公室的智慧貨架「易取」，只要刷識別證，就可以拿取想要的商品，同時攝影機會辨識物件，手機也會傳送消費訊息，消費金額直接從薪水中扣。易取，讓員工買東西更輕鬆，拿了就走。（詳全文）

資訊服務商精誠資訊在8月17日宣布，與美商圖策智能科技（Graphen）合作，將代理提供Graphen的AI反洗錢（Anti-Money Laundering，AML）解決方案，要協助金融、證券客戶加強偵測洗錢與詐欺行為、降低誤判機率、預測新的洗錢模式，為金融機構提升反洗錢系統效果之餘，也要降低違規罰款風險與人力成本的耗費。

隨著今年11月亞太洗錢防制組織（APG）即將來臺評鑑，從主管機關到各金融機構都嚴陣以待，深怕評鑑打低了，臺灣金融業在國際形象會被認定成洗錢天堂，對臺灣整體金融環境會帶來負面影響。

精誠資訊金融服務事業體總經理范植德表示，精誠在臺服務了將近三分之一的銀行，已經陸續協助多家大型銀行、證券商，完成反洗錢系統的建置。他也透露，有家臺灣大型銀行，有次偵測到的洗錢與詐欺行為，高達1萬筆，可見非法行為猖獗。

而此次精誠資訊選擇合作的美商Graphen，其實大有來頭，創辦人林清詠，原為IBM首席科學家，率領10名博士與40位研究員的團隊，主要來自IBM Watson Research Center、GE Research、Goldman Sachs原有AI研究人員。Graphen的AI解決方案，主攻金融業與醫療保健業，Graphen也提供反洗錢偵測的服務給美國前三大銀行，也為中國四大行之一的銀行提供不良貸款風險調查服務。

林清詠提到，Graphen自行開發的AI反洗錢系統，所採用的圖運算平臺，是以人腦的基礎為出發點，模擬接近人類方式的策略判斷、情緒、邏輯推理。未來，Graphen的除了在臺提供反洗錢方案，後續也可提供不良貸款預測、銀行安全分析、證券與保險分析等金融分析之用應用。

反洗錢需耗費大量人力，善用AI可偵測判斷異常訊號

林清詠解釋，國外反洗錢系統已經相當完善且成熟，但是在偵測效能還有很大的問題，像是會出現假異常訊號，或是漏掉可能涉及洗錢的異常訊號，銀行往往得額外派出大量人力處理反洗錢異常訊號。他解釋，偵測出來的每一個異常訊號，都還是得靠專業金融人員來判斷，就算一個異常訊號要用半小時處理，還是需要大批中高階專業人才來執行，尤其大型銀行的交易訊息都是上萬筆起跳，更是耗費人力。他舉例，德意志銀行（Deutsche Bank）內部光是負責反洗錢的人力就需要1400人，而即便是小型銀行，也要有幾百位的人力來執行才夠。

范植德表示，目前臺灣的銀行大多都已建置反洗錢系統，即便仍有不少缺點，因建置反洗錢系統的部分已有大幅改善，足以符合今年底亞太洗錢防制組織的評鑑要求。例如，反洗錢組織會有一套洗錢帳戶黑名單，通常銀行之間都是靠著這份黑名單去追蹤可疑帳戶，但可能也因此有了漏網之魚。但范植德指出，銀行要真正落實反洗錢，還是得靠AI反洗錢方案，精準挑出異常訊號，來提升反洗錢的效果。林清詠補充，傳統反洗錢系統光看客戶的交易行為還不夠，而是要以宏觀角度看整個資金流向圖，才能看出洗錢流向。

而美商Graphen也因需符合臺灣需求，林清詠表示，落地需要在地夥伴，看上精誠長期服務臺灣大型銀行，累積大量金融機構的資料，Graphen只要提供技術，應用在精誠原有的反洗錢系統上即可。

范植德也補充，反洗錢組織在全球規範的作業型態，其實分了許多種類的業態進行追蹤，也會依照本地的市場行為，採取不同業態的篩選。當各國需評鑑的業態確立後，將由主管機關定義業態的業務規定。他提到，臺灣是由金管會以反洗錢組織的業態為基本架構，並針對臺灣本地實際市場行為去定義，例如針對銀行，就過濾出53項需要執行的業務規定、證券業是36項、信託業務則是24項。金融機構就可把業務規定放到反洗錢系統，再由AI系統角度去過濾異常訊號。

不只因應年底APG評鑑，更看上臺灣長期反洗錢市場

然而，距離年底的APG評鑑，已剩不到三個月的時間，精誠此時與Graphen合作推出的AI反洗錢解決方案，來得及讓銀行採用，落實反洗錢嗎？范植德表示，各金融機構在這波評鑑結束後，將有一些挑戰需要去克服，而精誠目前已開始向金融機構提出AI方案，可當作落實反洗錢系統的解決方案之一。

范植德也透露，臺灣金融業IT部門這兩年的步調，就是要把反洗錢系統建立起來，相關稽核與作業人員都戰戰兢兢，直到評鑑結束，大家才會喘口氣。他也預估明年、後年，金融機構會在落實反洗錢系統上更為積極，在反洗錢的AI解決方案會開始發展。范植德進一步指出，不只銀行，證券、期貨、投信、投顧，因為都有大量資金投資往來，所以都會是反洗錢的下一步檢查重點。

繼4月網頁版Gmail改版加入機密模式（Confidential Mode），上周Google宣佈這項功能擴大到Android、iOS版app。

機密模式能防止用戶敏感資訊遭未授權人士存取，適用於郵件中的文字和附件。在Gmail機密模式下，收信方無法轉寄、複製／貼上、下載或列印郵件及附件，寄信者也能設定郵件的到期日，例如一周、一個月或數年等，時間一到，對方將無法再檢視該郵件。但如果寄件者在到期前改變心意不想讓收信件開啟電子郵件，也能移除存取權。此外還可設定密碼，收信方則必須輸入簡訊收到的密碼才能開啟該郵件。

未來如果使用者想搜尋在機密模式下收發的Gmail，也無法在郵件上方的搜尋列直接搜尋，而必須輸入「I:^irm_outbound」及「I:^irm_inbound」的指令。

要在Android及iOS版Gmail app上開啟這項功能，可在「撰寫」->「更多」下開啟並編輯。

不過Google提醒，設定機密模式的郵件仍然可能會遭有惡意企圖或惡意程式的收件者複製郵件或附件。

08/04~08/17精選AR‧VR新聞

 臉書    AR  

臉書Messenger聊天室視訊增添AR遊戲功能，能多人同步連線互動

臉書最近替Messenger聊天室視訊新增擴增實境功能，讓使用者跟眾多朋友視訊聊天時，還可以進行AR遊戲體驗，增加彼此互動樂趣。而且一次最多可與6個人一起玩，像是能比賽誰板起臉不笑能撐最久，或是通過轉頭來閃避友人向你發動的隕石陷阱，以避免你鼻尖上的飛機被擊落等。臉書一共推出兩款AR遊戲「Don't Smile」，以及「Asteroids Attack」，只要打開手機臉書視訊通話的星星圖示，就能在AR特效中，找到這兩款遊戲。其他如Line與Snapchat也有類似的AR遊戲功能。（詳全文）

 蘋果   擴增實境  

用擋風玻璃也能開視訊，傳Apple正在開發可運用於汽車AR顯示技術

蘋果投入AR技術研究早已不是新鮮事，不過最近蘋果在提交一項歐洲專利申請時，被人意外發現他們正在開發一個可運用在汽車前擋風玻璃的AR顯示技術，能即時提供駕駛行車資訊，甚至還能允許不同車輛間進行視訊通話。根據該專利記載內容，這項技術以搭配HUD抬頭顯示器的方式，將影像畫面疊加在車前透明擋風玻璃上，以達到AR效果。並且可以被運用在自動駕駛車上，甚至還可以讓乘客使用FaceTime視訊通話，來與其他車輛乘客聊天傳訊。不過至今，蘋果並未作出任何回應。（詳全文）

 化妝品   AR  

法國化妝品巨擘歐萊雅與臉書聯手推出AR試妝服務

法國化妝品巨頭歐萊雅（L'Oréal ）正通過今年稍早收購的AR公司ModiFace與臉書合作，要為顧客帶來全新AR化妝的互動體驗。歐萊雅表示，以後臉書用戶只要打開手機相機並開啟AR功能，就能夠試用體驗旗下各知名化妝品牌的產品，包括 Maybelline、L'Oréal Paris、NYX Professional Makeup、Lancôme、Giorgio Armani、Yves Saint Laurent、Urban Decay，以及Shu Uemura等品牌，歐萊雅數位長Lubomira Rochet表示，透過與AR的結合，能夠替公司帶來前所未有的全新感官體驗，增加消費者試妝的樂趣。預計8月底他們將率先推出NYX Professional Makeup品牌的AR化妝應用。（詳全文）

混合實境   Wayfair  

美國網路家具巨頭Wayfair推出MR應用，讓顧客能先在家試用再決定購買

美國最大網路家具公司Wayfair日前宣布，與MR新創Magic Leap合作，推出在Helio瀏覽器上的最新混合實境（MR）體驗。Magic Leap不久前才正式銷售自己的MR裝置，而Helio是Magic Leap推出的第一款結合3D內容與空間體驗的網路瀏覽器應用。購物者戴上Magic Leap One頭戴裝置後，打開Helio瀏覽器並開啟next.wayfair.com網頁，接著，找到Wayfair MR應用，隨後就能進行體驗，像是可以利用它來瀏覽Wayfair家具和裝飾，還可以查看產品細節，並與其互動，例如移動或旋轉物品等，甚至還可以改變家具外觀，並觀看它在家中擺放的樣子，以此來決定要不要購買。（詳全文）

Acer平板   AR教育  

不只智慧型手機能執行谷歌Expeditions AR教育應用，透過宏碁新推出的平板今秋也能體驗

Google近日在自家部落格上，宣布近期與宏碁合作推出最新的一款平板電腦Chromebook Tab 10，今年秋季將做為其教育功能更新一部分，並且開始支援AR功能。這意味著，以後學生將能夠使用更大的平板電腦螢幕，而不是更小的手機螢幕來體驗Expeditions AR上的教育應用，將可提高學習互動的樂趣。Chromebook Tab 10也是第一款採用ChromeOS作業系統的平板，在規格部分，它的螢幕解析度達到2048×1536像素，並內建4GB記憶體，目前該平板（詳全文）

虛擬實境   市場調查  

虛擬實境也能用於市場研究，能依據顧客在VR商店的購物行為，找出影響購買的動機

近來，有一位來自紐西蘭梅西大學的博士生Alex Schnack，開始試圖將虛擬實境技術用於市場調查研究，讓受測民眾能在一個模擬的虛擬情境環境中，來回答研究者提出的問題，從而提高答題的準確度。Alex Schnack以消費性調查研究為例，使用者只要戴上VR頭戴裝置，就能進到一個虛擬商店，在這個商店的貨架上可以擺放不同商品，而且還可以自由拿取，甚至走動時還能聽到店內冰櫃運作的聲響，以及店外汽車往來與背景談話的聲音。他表示，研究者能以此評估商店的氛圍如何影響消費者的購買消費行為，從而能更準確地分析吸引購物者購買原因。Alex Schnack未來更計畫擴大測試場地，還要為測試環境加入氣味和溫度變化，以創造出更逼真的環境。（詳全文）

擴增實境    醫療  

加強醫學生培訓，美大學成立全國第一個醫學中心AR創新學院

美國內布拉斯加大學醫學中心（UNMC）最近宣布，與VR/AR軟體供應商EON Reality合作，將在校內成立VR創新學院。EON Reality過去已在全世界大學設有多家VR 創新中心，UNMC是第15個成立AR學院的大學，而且還是全美大學醫學中心的第一家。該校表示，未來這個VR創新學院，將建立一個虛擬醫療培訓環境，讓學生在課堂上時，能夠通過VR沉浸式體驗學習，來提高學生學習效果。每次開課課程將為期一年，且每堂課最多可容納20名學生，來提供醫學生VR培訓的學習環境。（詳全文）

微軟    手術AR  

手術AR有新例，英國兒童醫院試用AR技術來輔助醫生完成開刀手術

英國利物浦市一家兒童醫院Alder Hey，正在嘗試將微軟混合實境技術運用在醫院手術室環境，幫助外科醫生更清楚掌控整個手術的細節。只要戴上Microsoft HoloLens裝置後，執刀醫生便可以在手術期間，隨時掌握患者的生理狀況，也能察看CT電腦斷層掃描或MRI磁力共振等影像，以及病患其他病歷資訊，藉此幫助整個手術得以順利完成。（詳全文）責任編輯／余至浩

圖片來源／臉書、宏碁、梅西大學、Wayfair、UNMC、L'Oreal

 更多AR‧VR動態 

1.跨足VR裝置市場，荷蘭照明公司Lemnis在SIGGRAPH 2018大會展示全新VR軟硬整合平臺

2.Nvidia首款光線追蹤GPU產品亮相，瞄準VR趨勢要讓即時成像更真實

3.Magic Leap混合實境眼鏡正式開賣，每款售價2,295美元

4.紐約時報率先在Magic Leap One混合實境裝置推出內容應用

資料來源：iThome整理，2018年8月

微軟裝置團隊為Windows驅動程式開發人員釋出，開源驅動程式模組框架（Driver Module Framework，DMF），微軟透過驅動程式模組框架，開發簡單和結構化的Windows驅動程式框架（Windows Driver Framework，WDF）驅動程式，並且讓驅動程式之間可以重複使用程式碼，不只加快開發時程，改良後的架構也解決過去單元間複雜的交互作用。

微軟在三年前重新且全面性檢視Surface產品的驅動程式，並開始嘗試以最大程度共用程式碼的方法，重新撰寫驅動程式，目的是要提高團隊的工作效率，以及增加新產品程式碼的可維護性和可擴展性。為此微軟將驅動程式中的各個功能分解為可共享的程式碼基底，而這項工作也就催生了WDF擴充DMF的誕生，DMF屬於WDF物件函式庫的一部分。

在過去典型WDF驅動程式設計中，驅動程式在裝置上下文（Context）中維護狀態，並且程式碼被分成存取裝置上下文和在單元之間相互通訊兩種，而驅動程式開發人員的工作，要確保裝置上下文存取同步，以及遵守嚴格鎖定階層架構，以避免當單元互相通訊時發生崩潰或是死結的情況。

當WDF呼叫驅動程式的時候，開發人員要讓驅動程式將工作分派給每個單元，但這過程通常很難知道通訊流程，或是維持適當地同步存取裝置上下文。如果想在另一個驅動程式中，重複使用FIFO功能程式碼，在提取程式碼前，開發人員必須要很清楚地了解單元間複雜地交互作用，否則通常都會發生錯誤。

而經過改進的架構，在WDF和每個模組中間，有一個仲裁層也就是DMF，來綁定模組並且分配WDF事件給每個模組，因此現在模組能以明確定義方式互相或是與客戶端通訊，也就是說，新架構不再像是典型架構那樣，所有模組共享裝置上下文，而是模組使用各自的裝置上下文來維護狀態。

傳統WDF和基於DMF的WDF驅動程式之間的主要區別有4點，第一點、現在WDF與DMF通訊，而DMF與驅動程式通訊。第二點，裝置上下文獨立存在於每個模組和客戶端驅動程式特定程式碼中，而每個裝置上下文僅包含該模組所需要的元素，任何模組都無法存取另一個模組的裝置上下文。

第三點、WDF回呼現在獨立存在於模組和特定客戶端程式碼，WDF呼叫客戶端驅動程式，而DMF攔截呼叫並且分派給實例化模組樹中的模組，每個模組按其適合的方式處理回呼，再由DMF分派回呼到客戶端驅動程式的回呼。第四點、特定客戶端程式碼只能與特定模組通訊，像是ACPI模組不能和FIFO模組通訊，Button只能與GPIO和FIFO模組通訊，這樣的機制可以良好的控制資料流。總結來說，每個模組現在都是獨立的單元，擁有自己的程式碼、上下文以及回呼函式，這樣的設計能讓程式碼更易於重複使用，也解決了許多舊架構存在的問題。

現在所有由微軟裝置團隊的WDF驅動程式，都使用DMF撰寫而成的，這些DMF模組也都經過仔細的測試，並且可以被重複使用或是根據新的需求擴展。DMF除了提供良好的驅動程式撰寫架構外，也提供更友善的臭蟲修復功能，當驅動程式使用模組建置時，模組中的臭蟲修復功能會自動應用。

路透社引述三名消息人士報導，美國司法部為偵查國內黑幫的活動，要求臉書（Facebook）協助解密Facebook Messenger以便可以竊聽其中首腦的通話記錄。不過臉書迄今仍然拒絕配合。

報導指出，美國政府為了偵辦當地黑幫MS-13，要求臉書讓它竊聽某嫌犯於Messenger上持續的語音談話。

目前本案仍以機密案件進行中，沒有公開文件。消息人士指出，由於臉書拒絕配合，上周美司法部聲請判罰臉書藐視法庭，由法官聽取雙方答辯，並於之後做出命令。

臉書的立場是，本案只有兩個解法，一是臉書重新撰寫程式，允許用戶自行移除加密，或是臉書駭入政府指定要竊聽的人士帳號。但迄今臉書兩條路都不願選擇。

MS-13是活躍於美國及中美洲的黑幫，被川普政府視為美國移民政策廢弛致使非法移民湧入美國致使治安惡化的後果。今年5月間美國加州法官基於該州政法令拒絕配合聯邦移民局逮捕MS-13份子，隨後川普公開指稱這些黑幫份子為「禽獸」（animals）。

法界人士分析，之後如果法院做出有利於政府的命令，要求臉書改寫Messenger加密機制，未來可能即可擴及其他類似app，像是臉書自己的WhatsApp、Signal或Skype等。

臉書一案使科技公司再次面臨用戶隱私及政府壓力的兩難。2016年底蘋果因為不配合FBI解密iPhone以調查加州聖伯納迪諾郡（San Bernardino）一宗槍擊案件的要求，而和FBI對簿公堂。不過最後蘋果並未屈從政府要求，而是FBI委請外部廠商破解以解決這個僵局。

在較為重視法治的國家，經常上演政府以辨案及反恐為由，要求存取科技業者資料而引發的緊張局面。澳洲政府上周也公佈草案，要求可公開與暗中向業者取得資訊，國外企業也不得例外。而且澳洲政府還要求企業不能聲張此事。

中國科技業者紅芯在上周成為當地最熱門的話題，該公司甫於上周三（8/15）宣布完成2.5億元人民幣的C輪投資，號稱打造了屬於中國人自己的瀏覽器核心Redcore，卻在同一天被踢爆紅芯瀏覽器根本就是山寨版Chrome，隔天（8/16）紅芯即透過官網與微博發表了道歉信，坦承Redcore是基於Chromium而建置，只是在融資的宣傳上誇大了。

當時紅芯在融資新聞稿中指出，繼Chrome瀏覽器的Blink核心、Safari的Webkit，Firefox的Gecko，以及IE所使用的Trident核心之後，紅芯研發了具備中國自主智產權的瀏覽器核心—Redcore，這是全球第五個也是唯一一個屬於中國人的瀏覽器核心，將打破美國的壟斷。基於Redcore的紅芯瀏覽器相容於中國的國產晶片「飛騰」與國產作業系統「銀河麒麟」，也支援Windows、macOS、Android與iOS等平台。

不過，當有開發人員因好奇而下載了紅芯之後，卻發現它的介面與文件結構都非常類似Chrome瀏覽器，安裝文件目錄中甚至出現以Chrome為名的檔案及內含Chrome標誌的文件。

隨後紅芯即坦承，該瀏覽器是基於Chromium專案所打造的，與傳統瀏覽器不同的是，它是針對企業所設計的，強調的是安全功能。

紅芯的聯合創辦人高婧對外澄清，該公司並非抄襲，只是站在巨人的肩膀上進行創新。

事實上，市場上已有十多款瀏覽器產品是以Chromium專案為基礎，除了Chrome之外，還包括Amazon Silk、隱私瀏覽器Brave、360瀏覽器與Vivaldi等。

紅芯最令人詬病的應是讓外界誤以為這是一個從零到有都自行開發的瀏覽器，且從未提及Chromium。紅芯另一創辦人陳本峰在接受南華早報專訪時則表示，他們並不否認紅芯是源自於Chrome瀏覽器引擎，瀏覽器是個老技術，從零到有需要花上許多年，就像Google是以Linux為基礎打造了Android，但並沒有人質疑Android是Google的創新。

迄今紅芯的融資金額估計已超過4億元人民幣，股東包括科大訊飛、天創資本、虎童基金、晨興資本、IDG資本與達晨創投等，且紅芯瀏覽器已成為許多中資企業或中國政府機構的預設瀏覽器。