微軟在其AI.lab網站發表了Sketch2Code專案，並且於GitHub中開源，使用者只要在白板或筆記本中畫出網頁的介面設計，Sketch2Code就能透過影像辨識，將介面設計草稿轉成HTML線框圖，來幫助簡化網頁應用程式開發的流程。

微軟指出，使用者介面設計需要許多創意以及時間，而在設計師繪製設計後，還要花費許多時間把草稿轉為HTML線框圖，以便在網頁瀏覽器中開啟，而這個過程需要花費一定的心力，同時也延遲了開發流程。因此微軟想要用人工智慧技術，來加速這個過程，他們建構了一個系統，能夠理解設計師在白板上繪製的內容，並將這些理解轉化成HTML，使得設計可以馬上轉為HTML頁面呈現，以加速設計開發流程。

這個系統讓用戶可以上傳圖像，並從客製化的視覺模型中，推測出圖像中的HTML元素及其位置，並辨識手寫文字，推測元素內的文字，接著利用布局演算法，推測元素的邊界以生成格框結構等空間資訊，最後使用HTML生成引擎，綜合上述各階段的訊息來產生HTML線框語法檔案。

要滿足Sketch2Code系統的第一個階段功能，辨識設計師手繪草稿，需要建構一個客製化模型，並使用手繪元素的圖像進行訓練，像是下拉選單、按鈕或是文字輸入格等HTML元素，Sketch2Code使用了微軟客製視覺服務（Custom Vision Service）來製作客製化模型，並執行物件偵測。

在獲得HTML物件後，接著使用微軟電腦視覺服務（Computer Vision Service）中的文字識別功能，來辨識設計草稿上的手寫文字。透過前兩個階段所獲得的HTML元素及文字資訊，產生數個HTML片段，接著從已識別的元素位置，推斷出整個設計的布局，並生成最終的HTML程式碼。

在整個辨識與生成HTML程式碼的過程，系統會把圖像、推測結果和布局分組等資訊儲存在Azure Blob儲存中，並以Azure Function作為後端進入點，透過與所有雲端服務交互溝通來協調生成的過程，產生的結果放置在Azure WebSite，作為與使用者互動的前端，供查看產生的HTML頁面。

Sketch2Code如何加速網頁開發：

獨立安全研究人員Bob Diachenko於本周披露，專門開發光學辨識軟體的俄羅斯業者ABBYY於AWS上部署的MongoDB資料庫因配置錯誤，而讓客戶的20萬個文件曝光。

Diachenko說明，他先是發現AWS上有一個檔案大小達142GB的MongoDB資料庫沒有設定密碼而能公開存取，檢視資料庫內容之後判斷它屬於ABBYY。

他在資料庫中找到了ABBYY的客戶資料，內含企業用戶名稱與加密密碼，還發現逾20萬個看似由客戶存放的掃描文件，包括合約、保密協議、備忘錄、信件或其它內部文件，其中有部份可直接存取。

ABBYY在收到Diachenko的通知後就關閉了該資料庫的公開存取權限，並說這只是一次性的意外，也只影響一家客戶。ABBYY並未公布被波及的客戶名稱，不過ABBYY有許多知名客戶，諸如大眾汽車（Volkswagen）、PwC與麥當勞等。

MongoDB為全球最受歡迎的NoSQL資料庫，去年初曾有駭客鎖定網路上的公開MongoDB展開勒索攻擊，對MongoDB用戶而言無疑是一記警鐘，只是依然會出現配置錯誤的狀況。

在去年10月以24美元發行價登上那斯達克股市的MongoDB在周一（8/27）的收盤價為70.82美元，市值達35.86億美元。

臉書（Facebook）旗下Oculus來台推動教育計畫，將捐贈50台VR裝置予國內的圖書館、博物館，讓更多人有機會透過虛擬實境進行學習及體驗藝術文化。

臉書是在去年首次在美國將Oculus的VR裝置推向公共圖書館，透過Facebook Oculus Education，將VR應用在教育領域，嚐試帶動新的學習方式。Oculus Education首次在美國以外，在台推動Oculus教育計畫，捐贈VR裝置給國內的圖書館、博物館，以推動VR在教育學習上的應用。

臉書將捐贈的VR裝置包括售價449美元的Oculus Rift及價值209美元的Oculus Go，其中Oculus Rift需搭配電腦使用，而Oculus Go則是獨立式的VR裝置，兩款Oculus VR裝置均未在台灣販售，但可透過線上購買。

受贈的博物館及圖書館，包含美國創新中心、台北市立圖書館總館、高雄市立圖書館、國家圖書館、新北市立圖書館總館、台北當代藝術館、國立台灣美術館、國立自然科學博物館、國立台灣美術館、社會創新實驗中心及太魯閣國家公園。

臉書將協助訓練這些單位VR相關知識，由各圖書館、博物館自行決定如何運用VR裝置。

臉書表示，這是Oculus教育計畫首次走出美國以外的地區，期望透過VR裝置為台灣的教育、藝文領域帶來新的應用體驗。

容器安全廠商Aqua現在也開始拓展PaaS市場，該公司近日宣布，Aqua資安平臺已經開始支援VMware PKS，不過目前該服務現在處於預覽版階段。而這一次推出的產品整合服務，「可以協助VMware企業用戶，保障容器部署的安全性」，在Aqua資安儀表板當中，系統會列出PKS環境的各項資訊，包含PKS環境目前的健康狀態、Docker版本、主機名稱、主機作業系統名稱，以及企業使用的調度工具。

自從去年釋出支援Pivotal Cloud Foundry的資安掃描工具後，Aqua表示，許多用戶開始詢問：「Aqua何時要開始支援Pivotal容器服務？」該公司認為，這些跡象也指出，許多Pivotal Cloud Foundry的PaaS用戶，現在已經開始測試導入PKS，其中也有部分企業，開始將PKS部署於正式環境運作。

去年VMworld大會上，VMware開始正式押寶Kubernetes，聯手Google、Pivotal推出PKS，這款容器服務除了支援Kubernetes作為調度引擎，透過Bosh這個由Cloud Foundry社群維護的專案，Pivotal容器服務與底層Hypervisor溝通介面，可以通吃多家公有雲廠商。此外，PKS也能與VMware的產品生態系整合，包含vSphere、NSX、容器儲存庫Harbor等。

在Aqua儀表板當中，系統會列出PKS環境的各項資訊，包含PKS環境目前的健康狀態、Docker版本、主機名稱、主機作業系統名稱，以及企業使用的調度工具。圖片來源：Aqua

Google與Mozilla都決定在今年10月出爐的瀏覽器版本中移除對賽門鐵克（Symantec）憑證的信賴，其中，Mozilla於本月中旬釋出的Firefox 63 Nightly測試版已作出相關改變，並強烈建議網站業者儘快置換仍在使用中的賽門鐵克憑證。

Google在2015年發現賽門鐵克誤發了Google與其它組織的SSL憑證予錯誤的對象，且在清查之後發現賽門鐵克誤發的憑證數量超過3萬個，2017年3月Google即宣布要逐步淘汰賽門鐵克所發出的SSL憑證，賽門鐵克則是在同年8月宣布將數位憑證業務出售給DigiCert，拋出了手上的燙手山芋。

從今年4月釋出的Chrome 66開始，Chrome就不再信任賽門鐵克於2016年12月1日以前，以及2017年12月1日之後所核發的憑證，但仍信任這期間由賽門鐵克核發的憑證。但從Chrome 70開始，就會停止信任所有賽門鐵克憑證。

Chrome 70的Canary版本是在7月20日出爐，Beta版為9月13日，正式版則是10月16日。

至於Firefox也跟上了Chrome的腳步，於本月剛釋出的Firefox 63 Nightly已不再信賴所有賽門鐵克憑證，Firefox 63的Beta版預計於9月5日釋出，正式版則會在10月23日發表。

根據Mozilla在今年7月的統計，在全球的前100萬個網站中，仍有3.5%使用賽門鐵克憑證，但Mozilla相信隨著Chrome 70與Firefox 63即將來臨，該比例將會快速減少。

目前只要是使用Chrome 70 Canary或Firefox 63 Nightly造訪基於賽門鐵克憑證的網站，都會跳出安全警告，而且倘若網站所使用的JavaScript或CSS樣式表等資源是由基於賽門鐵克憑證的主機提供，那麼網站可能無法正常運作。

Mozilla鼓勵所有的網站業者在10月前換掉已不被信賴的賽門鐵克憑證，Google則說，若需要更多的時間替換賽門鐵克憑證，可藉由使用者政策的設定來支援舊版的賽門鐵克憑證，但此一作法只在Chrome 73版之前有效，在Chrome 73之後，Chrome瀏覽器與Chrome作業系統上的所有賽門鐵克憑證一律都會被封鎖。

今年5月時，原先專攻OpenStack服務的Mirantis，自家雲端平臺Mirantis Cloud Platform（MCP）開始支援Kubernetes。而近日，該公司發布MCP更新，簡化了叢集建置模型。

Mirantis表示，這一次的發布相較過往的特別之處在於，過往發布新版都會強調新功能，讓MCP變得更符合企業需求。不過這一次，該公司則是強調易用性，讓企業用戶可以更快啟用該雲端平臺。當中加快企業用戶導入MCP的關鍵新功能，就是模型設計工具（Model Designer），Mirantis指出，模型設計工具可以讓企業用戶更快建置叢集模型。在建立新部署模型中，搭配使用模型設計工具，企業用戶分別可以設定基本參數、基礎架構參數，以及產品參數。

除了模型設計工具，此次MCP更新也有許多功能亮點。首先是負責平臺上各式更新、修補應用工作的DriveTrain。在新版本中，DriveTrain新加入了健康檢查服務，在更新前後系統會自動執行檢查，確保更新任務成功。再者，DriveTrain也開始支援離線VM鏡像備份。Mirantis認為，利用離線VM鏡像功能，讓企業部署過程中不用時時保持連線，特別適用於處理機敏性高的系統。

第二特點，為基礎架構元件更新，而MCP的雙核心引擎OpenStack、Kubernetes，這次Mirantis也都有加強。針對OpenStack基礎架構元件，部分新元件安裝於舊版系統產生的問題，MCP平臺這次修補了Ocata、Pike版本，同時，也導入TLS機制，保護libvirtd。

而與Kubernetes相關的功能更新則相當多元。包含整合Jenkins，讓Kubernetes叢集更為簡單。同時，Mirantis也整合自家的Kubernetes Runtime伺服器元件Virtlet，讓使用者可以套用Kubernetes管理Pod的模式，調度虛擬機資源。至於Kubernetes網路功能的強化，則是繼續加強既有Calico、OpenContrail的功能，讓這些軟體定義網路工具，也能支援虛擬機、Pod，以及裸機伺服器節點。

第三特點為監控元件Stacklight的更新，該系統服務可以支援監控、Log紀錄，以及建立警報系統。這一次新發布的MCP版本，將多餘監控功能移除，同時開始擴大監控守備範圍，包含OpenContrail 4，或者ssh、cron等系統任務。

Mirantis這一次也改善多項的MCP資安功能。首先是稽核系統整合，利用使用者預先設定的規則，稽核系統會建立新Log欄目，儲存系統呼叫紀錄，讓使用者可以觀察，系統當中哪些活動違反資安政策。同時，Mirantis擴大支援TLS加密機制，透過TLS保護雲端工作負載。

最後，則是網路功能面的強化。現在MCP已經開始支援OpenContrail 4.0版，利用容器格式，打包OpenContrail控制器及分析模組，簡化部署工作。再者，OpenStack Pike版本起，現在MCP整合了網路元件Neutron，可以支援L2 Gateway service、OpenDaylight driver，以及BGP VPN服務。

最初Mirantis是以OpenStack為核心，整合Ceph、OpenContrail，以及OpenStack專案的Nova、Cinder、Neutron元件，為Mirantis自家開發的OpenStack版本。Mirantis表示，Mirantis OpenStack適用企業部署在小規模叢集上運作，但是礙於該單套式架構（Monolithic）的設計，在複雜基礎環境下使用就有所限制。

但隨著Kubernetes熱潮而來，OpenStack的熱度下降許多。今年5月起，Mirantis的雲端產品MCP選擇使用Kubernetes、OpenStack作為雙引擎，並且結合自家監控元件StackLight，以及生命周期管理工具DriveTrain，滿足基礎架構平臺維運功能。

最初Mirantis是以OpenStack為核心，整合Ceph、OpenContrail，以及OpenStack專案的Nova、Cinder、Neutron元件，為Mirantis自家開發的OpenStack版本。該公司表示，Mirantis OpenStack適用企業部署在小規模叢集上運作，但是礙於該單套式架構（Monolithic）的設計，在複雜基礎環境下使用就有所限制。圖片來源：Mirantis

隨著Kubernetes熱潮而來，OpenStack的熱度下降許多。今年5月起，Mirantis的雲端產品MCP選擇使用Kubernetes、OpenStack作為雙引擎，並且結合自家監控元件StackLight，以及生命周期管理工具DriveTrain，滿足基礎架構平臺維運功能。

在公司資料的管理上，企業面臨員工的工作環境，變得更加多元，並且，現在政府對於資料規範的要求，也提高許多，然而，小型企業的對於公司資料的存放、保護，受限於企業的資源限制，採用USB外接硬碟、隨身碟，仍然相當常見，尤其這些企業中，POS機臺等設備，很可能也沒有連上網路，這時，上述的裝置便是搬移與存放檔案最為便利的管道。

不過，長期以來，這種資料存放方式，存在著許多問題，例如，連接介面在長期使用後，很可能接觸不良而無法讀取，而內部的儲存容量若是損壞，也可能導致資料一夕之間全數無法使用，由於電腦連接USB儲存裝置極為容易，針對而來的病毒威脅，也時有所聞。

最近，硬碟大廠Seagate對於英國的中小企業進行訪查，詢問了1,006名任職於這種型態公司的員工，結果發現，仍然有超過1/5企業，採用USB外接裝置，做為保存公司資料的主要方法，顯示即使是較為先進的歐美國家，還是有不少中小型企業，沒有採取較為妥善的資料保護措施。

在這次調查中，大約有35％受訪者所屬的公司，在公司內部架設檔案伺服器，進行資料的集中管理，而採用雲端儲存的公司則有29％，略少於內部部署的做法。但值得注意的是，竟然還有23％的中小企業，備份公司重要資料的做法，仰賴USB外接裝置。透過這種做法，將資料存放在不同的USB裝置上，其實相當危險，不只很容易找不到所需的檔案，也可能因為缺乏其他的備份機制下，一旦這種外接裝置出現損壞，資料便難以復原。

Seagate在這次的調查中，指出也有不少員工在公司以外的地點工作，但想要取得所需的資料，卻相當困難，他們引用了英國政府的統計，在2014年時，全英國就有420萬名員工在家裡上班。然而，根據這間硬碟廠商的查訪，卻發現受訪者中，在公司外部上班的員工，也有接近一半（49％）表示，他們上班時，難以取得工作所需的資料。

勤於備份，卻缺乏資料管理與資安應變措施

而在資料的備份上，這些受訪者的公司中，平均每個月執行15.4次備份作業，換言之，大約每2天就執行一次，算是相當頻繁，甚至接近三成（28％）企業，每天至少備份一次，這也突顯在中小型企業中，普遍害怕資料遺失，而導致無法使用的情況。

不過，Seagate也指出，相較於擁有良好的備份習慣，在企業中資料的管理更顯得相形重要，但是，面臨歐盟的GDPR，超過4成的受訪者，表示不清楚公司是否有相關的政策，或是公司根本沒有相關的規範。

此外，在資安風險的部分，也有15％受訪員工指出，他們隸屬的公司曾經遭遇資料外洩或是攻擊事件，然而也有23％受訪者表示，對於前述的資安威脅，公司沒有相關的因應機制。

Apache軟體基金會（Apache Software Foundation）甫於上周三（8/22）修補了編號為CVE-2018-11776的Struts 2安全漏洞，但Recorded Future的安全研究人員上周五（8/24）就在GitHub上發現了該漏洞的概念性驗證攻擊程式，同時也察覺中國與俄羅斯的數個地下論壇正在熱烈討論如何開採該漏洞。

CVE-2018-11776漏洞被歸類為重大（Critical）漏洞，它會在兩種情況下被觸發，一是當XML配置中未設定命名空間（Namespace），同時上層動作配置沒有或使用通配符號命名空間時，其次是所使用的URL標籤沒有設定行動與值，同時上層動作配置沒有或使用通配符號命名空間時，就可能允許駭客執行遠端程式攻擊，也有機會獲得目標系統的存取權限。

Recorded Future的資深安全架構師Allan Liska說明，這意味著駭客只要在一個HTTP請求中，把自己的命名空間加到URL中就能開採該漏洞，有別於Struts 2去年造成Equifax資料外洩的CVE-2017-5638漏洞，CVE-2018-11776相對容易開採，因為成功的開採完全不需要在Struts上安裝額外的外掛程式。

Liska指出，Struts是個非常受歡迎的Java框架，也許有數億個含有該漏洞的系統，但許多執行Struts的伺服器皆屬後端應用伺服器，並不是那麼容易辨識，就算是系統所有人也可能錯過。

然而，居心不良的駭客可能會誘騙伺服器傳回一個Java堆疊追蹤，或是尋找特定的檔案或目錄來辨識潛在的Struts伺服器。

除了部署Apache軟體基金會所釋出的更新程式外，Liska也提出了暫時性的補救措施，亦即確保在Struts 2中設定了命名空間。

率先揭露該漏洞的Man Yue Mo則說，他們尚未證實該概念性驗證攻擊程式是否可行，倘若答案是肯定的，將替駭客帶來攻擊捷徑。

行動裝置熱門遊戲要塞英雄（Fortnite）近日被Google安全團隊揭露，其安裝器存在嚴重漏洞，極易被駭客利用來入侵用戶手機。Google點名三星裝置因為其專有的API，讓駭客有機可乘利用設計不良的要塞英雄安裝器，進行磁碟人（Man-in-the-disk，MITD）攻擊，讓用戶在不知不覺中安裝惡意程式。8月15日遊戲公司Epic Games獲Google通知後，已經完成漏洞修補，但Epic Games執行長隨後也向媒體抱怨，認為Google太快揭露漏洞細節，可能影響未更新的用戶端。

Android玩家在Google Play上下載的要塞英雄應用程式並非遊戲本體，而是遊戲的下載器，想要遊玩要塞英雄的玩家，都必須先到Google Play下載遊戲安裝應用程式，接著透過瀏覽器到Epic Games下載遊戲本體並進行安裝。這樣的Android應用程式發布方式並非典型的作法，而且存在風險，玩家必須要自己確認是從Epic Games網站下載應用程式，而非一個可能是偽造的遊戲網站，才同意未知來源APK的安裝。

手機上的應用程式會依造請求從網路上下載內容，駭客只要攔截該請求，就能用來下載任意的惡意程式，而且原本發出請求的應用程式並不會知道下載的內容遭到置換，甚至會主動啟動惡意程式。Google的安全團隊發現，駭客要攔截要塞英雄安裝器發出的遊戲下載請求並不難，而且安裝器也不知道下載回來的檔案是否安全。

駭客能夠藉此發動磁碟人攻擊，這種攻擊方法就像是駭客躲藏在儲存空間中一樣，遊戲安裝器下載回來的APK檔案，可能會被第三方應用程式置換成惡意軟體。不過，這個漏洞目前僅發生在三星裝置上，根據Google的安全報告，在三星手機上，要塞英雄安裝器使用了三星專有的應用程式API，三星的API會將下載的檔案存在Android的外部貯存器（External Storage）中，而由於外部貯存器輔助空間是供眾多應用程式共享的硬體資源，因此只要WRITE_EXTERNAL_STORAGE屬性設為允許，則應用程式便能將資料放進外部貯存器中，但這也是問題所在。

三星的API僅檢查正在安裝的APK是否與套件名稱com.epicgames.fortnite相符，而在Android上套件名稱安全性並不高，輕易就可以創建一個通過這項檢查的應用程式，因此惡意的應用程式可以等待Fortnite安裝程式下載更新完成後，在安裝開始之前，換掉com.epicgames.fortnite這個APK，要塞英雄安裝器便會不疑有他的安裝惡意的應用程式，而且當APK的targetSdkVersion為22，也就是Android 5.1 Lollipop或更低版本，將被授權安裝過程需要的任何權限，甚至不需要用戶同意。

Google於8月15日私下知會了Epic Games該漏洞，Epic Games也在第二天釋出漏洞更新啟動器2.1.0版，而正如Google建議的，Epic Games修補該漏洞的方法，就是把原本預設儲存從公共外部儲存移動到內部儲存。

這個漏洞也曝露了兩間企業的微妙關係，Epic Games為了規避Google Play商店程式內購買30％的抽成，僅在商店中發布安裝器，遊戲本體則由自家發布，這無疑是影響了Google的營收，同時也讓Android用戶面臨安全威脅。Google在確定Epic Games完成漏洞修部後，隨即公開了漏洞細節，而這個動作引來Epic執行長Tim Sweeney的批評。

Tim Sweeney向外國媒體Mashable抱怨，雖然他們很感謝Google在要塞英雄發布Android版本後，隨即進行安全審核，並且也向他們報告了漏洞細節，幫助他們更新修復應用程式，但是Google揭露漏洞的技術細節過程並不負責任，有許多裝置尚未更新到要塞英雄最新版本，仍然容易受到攻擊，Epic Games曾要求Google延遲90天公開漏洞，但受到Google的拒絕。Tim Sweeney認為，Google不能因為Epic Games在Google Play商店外發布遊戲，就把使用者的安全拿來作為反擊的武器。

資策會產業情報研究所（MIC）在今（28日）揭露全球資訊系統與半導體產業趨勢。MIC副所長暨產業顧問洪春暉指出，MIC對2017年到2022年的全球資訊系統市場規模預測，除了伺服器市場規模持續成長之外，包括筆記型電腦、平板、桌上型電腦等市場規模皆會下滑，全球資訊系統市場長期將呈現停滯狀態。他解釋，伺服器市場的增長，主要來自AI新興應用帶動的資料儲存與運算需求。

而目前全球桌上型電腦與筆記型電腦的市場，與2017年呈現持平狀態，主要是因為2018年市場有商用換機需求，但到了2019年，在商用換機需求趨緩、貿易保護政策的情況下，預測全球資訊系統市場微幅衰退。洪春暉也提到，臺灣業者因為掌握多數國際PC品牌廠商商用機種訂單，所以在2018年的桌上型電腦出貨規模呈現正成長，表現優於全球，但隨著全球市場缺乏成長動能，2019年的出貨成長規模呈現停滯狀況。

洪春暉也指出，2018年全球半導體產業概況，來自各應用終端記憶體需求增加，以及車用電子等新興應用的帶動下，預估市場規模將成長10.1％。臺灣半導體產業，則因高階製程與記憶體市場的帶動下呈現穩定成長，預估今年產值將達新臺幣2.46兆元。

此外，MIC也觀察到，隨著人工智慧與物聯網應用的崛起，也帶動了臺灣IC（積體電路）設計產業，在非3C應用的營收占比逐年成長，臺灣業者已開始降低對通訊產品的依賴，轉而結合AI相關技術投入新產品與新應用領域，物聯網、車用等應用領域比例有增多的走勢。MIC舉例，聯華電子集團旗下的聯詠科技，就在布局車用驅動IC，目前已切入Tesla、Mercedes-Benz的供應鏈、推出車用AI視覺方案。而隨著此趨勢，也促使IC設計業者投入提供ASIC（特殊應用積體電路）設計服務。

MIC提出5G服務全球五大趨勢

MIC也同時揭露了通訊產業的趨勢。MIC預估，2018年臺灣整體通訊產值將達新臺幣3.4兆元，2019年將達到新臺幣3.5兆元。成長動力主要來自智慧型手機、Wi-Fi路由器與模組，以及光纖相關產品，其中，光是智慧型手機就占了將近7成的產值。MIC網路前瞻研究組研究總監李建勳指出，臺灣主要代工客戶為Apple、華為與小米，他們的表現超越市場，也會帶動臺灣產業表現。

李建勳也進一步提到，5G服務將會是2019年全球通訊產業發展觀測的重點，他更指出，5G服務的五大趨勢。

趨勢一：全球主要營運商將陸續進行5G商轉規畫，其中，美國電信業者AT&T、Verizon將領先全球，在2018年底進行5G商用化，算是腳步最快的；而南韓三大電信業者也將於2019年3月推出5G行動商用服務，今年8月會選定分包商、採購，9月這三家電信業者，要開始進行5G基礎設施建設，今年12月將展開商用測試。日本、歐盟、中國，則都預計於2020年正式商轉。

趨勢二：5G的高可靠度和低延遲通訊（Ultra-reliable and Low Latency Communications，URLLC）將成為取代4G最重要的特性，未來或許能實現遠端駕駛、遠短醫療、沉浸式互動娛樂（VR/AR/MR）、遠端製造等應用。

趨勢三：行動邊緣運算（Mobile Edge Computing，MEC）將扮演5G應用的關鍵樞紐，將為電信、雲端業者帶來新商機。MEC指出，如果能在距離用戶較近的場域，建置運算與儲存設備，對於支援IP監控（及時辨識、分析、行動）、擴增實境（移動定位服務）、虛擬實境、車聯網將會有更好應用。

趨勢四：5G終端預計在2018年底推出行動路由器、家用路由器等產品，5G智慧型手機則將在2019年上半年問世，不過要等到2020年全球多數電信商將5G網路商轉之後，5G智慧型手機的出貨才會隨之成長。

趨勢五：AI在IC設計業者的投入下，支援AI應用的中低階手機迅速上市，預計到2019年，AI在智慧型手機的滲透率可達五成。李建勳也透露，晶片大廠也將投入DLA（Deep Learing Accelerator）專屬處理器，以提升手機AI性能。

0823~0829一定要看的資安新聞

 西班牙央行  DoS攻擊 

西班牙央行遭DoS攻擊，網站癱瘓近48小時

根據路透社及多家媒體報導，西班牙銀行（Banco de España）8月26日遭到阻斷服務（Denial of Service）攻擊。媒體引述西班牙銀行高層指出，攻擊造成網站服務斷線，但並未影響銀行金融服務、對內或對外的通訊，且強調沒有資料外洩。西班牙銀行官網直到8月29日才恢復正常運作。更多內容

 加州  個資保護 

加州通過輕量版GDPR，臉書、Google遊說川普政府建立聯邦隱私法抗衡

經常反對任何政府監管規定的美國科技業者近日突然轉性了，積極遊說美國川普政權的官員以建立聯邦隱私法，然而， 根據紐約時報的報導，這是因為加州在今年6月通過了該州的隱私法令，這份被稱為「輕量版GDPR」的加州法令讓科技業者坐立不安，於是決定推動聯邦隱私法，希望聯邦隱私法能對科技業者更寬容，同時取代嚴苛的加州隱私法。

根據報導，參與此一遊說行動的科技業者包括了臉書、Google、IBM、微軟與其它業者，它們透過遊說組織Information Technology Industry Council（ITI）推動新的聯邦隱私法，主要是擔心加州隱私法將成為美國各州效法的標準。

今年6月才出爐的加州隱私法允許人們有權檢視業者所蒐集的個人資料、蒐集這些資料的目的、分享的對象，也能要求刪除這些資料或拒絕分享，倘若業者處理不當，就可能面臨來自消費者的訴訟，因而被稱為輕量版的《歐盟通用資料保護規則》（GDPR），原本預計要在2020年1月實施，但因某些技術上的修正而將延後至2020年7月上線。更多內容

 Android 

Android手機高權限AT命令不設防，駭客以USB就能覆寫韌體或解鎖螢幕

美國佛羅里達大學、石溪大學與三星的研究員共同發表了網路安全研究論文，內容提到在1980年代設計用來控制數據機的AT命令，現在仍被大量的使用在Android智慧型手機上，來提供強大的控制功能，駭客可以使用這些未受保護的命令，繞過Android安全機制，執行覆寫韌體等高權限工作。

AT（ATtention）命令在1981年被提出，作為控制數據機的指令。當數據機在數據模式接收了這些命令，將能進行選擇通訊協定、設置線路速度、撥號或是掛斷電話等功能。從20世紀1980年代以來，AT命令成為控制數據機的主流方法，由國際電話聯盟以及歐洲電信標準協會等機構頒布標準化的AT命令。

智慧型手機配備了具備數據機功能的蜂巢式基頻處理器（Cellular Baseband Processor），讓裝置可以和蜂巢式網路通訊，並且接收AT命令進行配置。研究人員發現，除了標準的數據機命令，有部分Android裝置製造商客製化了專有的AT命令，這些擴充的AT命令通常不會呼叫電話相關功能，而是用於存取裝置上的其他資源。

研究人員從11個供應商的2,000多個Android智慧手機韌體映像檔中，系統性的取出了3,500個AT命令，並使用USB連接埠測試其中4個供應商的8款Android裝置，發現這些AT命令提供強大的控制功能，包括覆寫硬體韌體、繞過Android安全機制、洩漏裝置敏感資訊、解鎖螢幕，甚至使用AT命令就能觸發螢幕點擊事件。AT命令介面提供大量無限制的功能，向駭客暴露Android設備上的廣泛攻擊面。更多內容

 臉書 

臉書遭爆其日誌收集伺服器存在遠端程式碼執行漏洞

資安工程師Daniel Le Gall發現臉書一臺伺服器存在遠端程式碼執行漏洞，在他回報臉書後，臉書已經修正漏洞並給作者5,000美元作為獎勵。

Daniel Le Gall經常性的對有參加Bug Bounty計畫的企業搜尋漏洞，而在他掃描臉書IP區段時，發現了託管在IP位置199.201.65.36，域名為sentryagreements.thefacebook.com的Sentry服務，Sentry是一個日誌收集網頁服務，以Python使用Django框架撰寫。Daniel Le Gall查看該服務發現，不明原因的有許多堆疊追蹤資訊會定期的出現在頁面上，這些資訊看似由於密碼重設功能使系統不穩定造成的，甚至有時候會崩潰，因為系統啟用Django除錯模式，因此環境參數都被顯示出來。

作者從列印出來的資訊，發現了利用Python物件序列化的二進位協定Pickle 駭入系統的方法，他提到，只要可以偽造包含任意Pickle內容的Session，就能夠在這個臉書的伺服器上執行任意程式碼，Daniel Le Gal從堆疊追蹤印出的資料SENTRY_OPTIONS，找到了用來Session簽入的密鑰，並成功利用這個漏洞建立了概念性驗證，置換既存Sentrysid Cookie的內容，並以任意物件填充讓系統休眠半分鐘。更多內容

 Belkin  智慧插頭 

McAfee：Belkin智慧插頭含有遠端程式攻擊漏洞

McAfee Labs指出，知名的電腦周邊製造商Belkin所生產的智慧插頭Wemo Insight Smart Plug含有一緩衝區溢位漏洞，將允許駭客執行遠端程式攻擊。

Belkin除了製造電腦及手機的周邊商品之外，也有少許的智慧家庭裝置，如智慧開關或智慧插頭，McAfee所測試的則是Wemo Insight Smart Plug智慧插頭，它是一個插座轉接器，先插在傳統插座上，再連結其它的家電，並以Wemo程式來控制Smart Plug的供電與否。

McAfee發現Wemo Insight Smart Plug的韌體含有編號為CVE-2018-6692的安全漏洞，這是一個存在於libUPnPHndlr.so函式庫的緩衝區溢位漏洞，允許駭客自遠端執行任意程式。McAfee表示，如果該漏洞只會影響Wemo Insight Smart Plug，那駭客頂多只能一直切換電源，但若該Smart Plug連結了家中的Wi-Fi網路，駭客就能掌控家中的其它連網裝置。更多內容

 Lazarus  木馬程式Fallchill 

惡名昭彰的駭客組織Lazarus鎖定Mac、Windows 加密貨幣持有者

安全公司卡巴斯基（Kaspersky Lab）發現，駭客組織Lazarus發動名為AppleJeus行動（Operation AppleJeus）的攻擊，藉由不明軟體植入用戶電腦，企圖竊取macOS及Windows PC用戶的加密貨幣及機密資訊。這也是Lazarus首次針對Mac電腦用戶發動攻擊。

卡巴斯基的全球研究與分析小組（GReAT），是在調查亞洲一家加密貨幣交易平臺時發現這項攻擊。這家平臺公司的員工，遭到一封電子郵件誘騙到看似合法網站而被下載了第三方加密貨幣交易軟體，進而感染木馬程式Fallchill。研究人員拆解木馬程式後循線追查到來源是Lazarus。

Lazarus是惡名昭彰駭客團體，被懷疑和北韓政府有關。該組織自2014年活動以來作亂不斷，被懷疑是入侵索尼影業、亞洲多國銀行及製造業者網路、甚至被指為是WannaCry 蠕蟲程式背後元兇。Lazarus之前也曾使用Fallchill來入侵金融機構。更多內容

 Cheddar's Scratch Kitchen  個資外洩 

逾55萬名Cheddar's Scratch Kitchen顧客的信用卡資料被偷了

美國連鎖餐廳 Cheddar's Scratch Kitchen對外公告，在去年11月3日到今年1月2日遭到駭客入侵，在這期間造訪美國23州特定Cheddar's Scratch Kitchen餐廳的顧客，可能都受到波及，估計有56.7萬張的支付卡資訊被盜。

Cheddar's Scratch Kitchen母公司Darden Restaurants表示，他們是在今年8月中旬收到警方的通知，才知道特定門市所使用的收銀系統（POS）遭到駭客入侵，但他們在今年4月全面更換了新系統，已終結了駭客的入侵管道。

Cheddar's Scratch Kitchen在美國23個州開設了163家連鎖餐廳，目前Darden Restaurants僅說只有特定餐廳被駭，且仍在釐清受害規模。此外，Darden Restaurants雖然坦承客戶的支付卡資訊外洩，也只說內含卡片號碼，並未提及更多的外洩資料細節。更多內容

 飛利浦  醫療系統 

飛利浦心血管儀器軟體爆任意程式碼執行漏洞

美國國土安全部旗下ICS-CERT警告，飛利浦IntelliSpace Cardiovascular心血管影像及資訊管理系統出現兩項漏洞，可能導致任意程式碼執行，進而讓外人竊取醫療影像及病患診斷資料。

編號CVE-2018-14787的漏洞影響IntelliSpace Cardiovascular系統2.x及之前版本，及伺服器軟體Xcelera 4.1以前的版本。飛利浦安全公告指出，在上述版本的伺服器上包含20項Windows服務，其可執行檔位於駭客具有寫入權限的資料夾。這些Windows服務可以本機管理員帳號執行，一旦有人將之置換成惡意程式，則該惡意程式也能以本機管理員帳號或系統權限執行。更糟的是，一個技術普通的攻擊者就能開採本項漏洞。

第二項漏洞CVE-2018-14789則是不帶引號搜尋路徑或element漏洞（unquoted search path or element vulnerability）。受本漏洞影響的產品為IntelliSpace Cardiovascular系統3.1及之前版本，及伺服器軟體Xcelera 4.1以前的版本。在這些伺服器上，有16項Windows服務路徑名稱不帶括號。由於這些服務是以本機管理員權限執行，並以機碼開頭，因此路徑能讓攻擊者植入有本機管理員權限的可執行檔。更多內容

 Apache基金會  Struts 2漏洞 

Apache軟體基金會修補Struts 2的遠端程式攻擊漏洞

Apache軟體基金會（Apache Software Foundation）於8月22日修補了Apache Struts 2中，一個可能會引發遠端程式攻擊的安全漏洞，有鑑於Apache Struts 2過去出現類似的重大漏洞時，相關攻擊程式在24小時之內就現身，因而呼籲用戶儘速更新。

此一編號為CVE-2018-11776的安全漏洞被歸類為重大（Critical）漏洞，它會在兩種情況下被觸發，一是當XML配置中未設定命名空間（Namespace），同時上層動作配置沒有或使用通配符號命名空間時，其次是所使用的URL標籤沒有設定行動與值，同時上層動作配置沒有或使用通配符號命名空間時，就可能允許駭客執行遠端程式攻擊。

發現該漏洞的安全研究人員Man Yue Mo表示，若執行特定配置的Struts伺服器造訪了駭客特別打造的網頁時，就能觸發該漏洞。

Apache Struts為一開源的網路應用程式框架，主要用來開發基於Java EE的網路應用，根據去年的統計，Fortune 100大企業中，至少有65%仰賴Apache Struts框架。更多內容

圖片來源：CC 2.0 by stanjourdan、wiki media、belkin、飛利浦

 更多資安動態 

澳洲政府禁用來自華為與中興的5G技術

因違反蘋果App Store用戶隱私政策，臉書下架VPN App

Adobe緊急修補Photoshop CC的兩個遠端程式攻擊漏洞

資料來源：iThome整理，2018年8月

JavaScript編譯器Babel，在上一個版本Babel 6發布3年後，終於釋出了新的版本Babel 7。這次的更新除了加入了PeerDependency等新功能外，移除了年度套件集（Yearly Preset）以及階段套件集（Stage Preset），並且不再支援舊版本Node，以更新本身相依工具。

Babel是一個工具鏈，主要用於將ECMAScript 2015+程式碼轉成支援新舊瀏覽器的向後相容JavaScript。不像伺服器語言，由於瀏覽器版本太多種，客戶端通常沒有辦法保證使用者的JavaScript執行結果都是相同的，這樣的情況在舊版本的Internet Explorer特別嚴重。當開發者想要使用新語法像是class A {}，則會在舊的瀏覽器上因為語法錯誤而獲得空白的畫面。

Babel則提供開發人員能夠使用新語法，但同時做到對舊瀏覽器向後相容的方法，就class A {}這個例子來說，Babel能夠將語法轉為var A = function A（）{}。由於Babel能夠轉換JavaScript程式碼，又可以實現新功能，因此Babel也成為JavaScript制訂委員會TC39和社群，在語言以及功能發展上的溝通橋梁。

Babel在GitHub上，目前存在130萬個相依程式碼儲存庫，每月在npm有1,700萬次下載，主要框架React、Vue、Ember、Polymer，或是Wordpress等工具都看的到Babel身影，而Facebook、Netflix和Airbnb等企業也都有採用，許多JavaScript開發者可能都在不知情的狀況下使用Babel，Babel已經可以說是JavaScript開發的基礎。

而這次Babel 7更新部分非常多，不少還是變革性的改變，官方列出了主要6項重大更新。首先，由於這次Babel版本更新有大幅的變化，因此官方決定放棄支援較舊的Node版本，包括不再維護的Node.js 0.10、0.12、4與5，來對Babel本身程式碼庫進行改進，並且升級相依專案和工具，諸如ESLint、Yarn、Jest和Lerna等。

再來，透過切換使用範圍（Scoped）套件，將官方的移至@babel命名空間。而這能幫忙使用者區分官方的套件，因此過去babel-core用法，現在則使用@babel/core，babel-cli改成@babel/cli，而babel-preset-env也應改用@babel/preset-env。過去範圍套件並沒有被廣泛使用，許多開發者甚至不知道範圍套件的存在，而現在搜尋範圍套件的問題已經解決，下載計數器運作正常，只剩下部分第三方註冊管理服務不支援，官方認為，沒有理由等待這些服務。

第三項重大改變，Babel 7移除了並停止發布任何年度套件集，像是帶有年分的preset-es2015套件集，因為@babel/preset-env就能取代這些需求，其包含了所有年度增加的內容，以及針對特定瀏覽器集的支援能力。babel-preset-env是一個存在已久的預設值，但可以用來取代開發者需要的es2015、es2016、es2017或es20xx這類套件集。另外，第四、這版也拋棄了Stage套件集，像是@babel/preset-stage-0。

第五、重新命名部分的套件，現在任何TC39提議的插件都使用-proposal關鍵字而非-transform，因此過去@babel/plugin-transform-class-properties現在要改成@babel/plugin-proposal-class-properties。

最後一項重要更新，現在Babel 7對@babel/core中的所有插件、套件集和頂級套件，引入同儕相依功能PeerDependency。PeerDependency是程式碼預期使用的相依性，而非作為實作細節的相依專案。由於babel-loader原本就具有babel-core上的PeerDependency，所以這項改變只是將命名空間改為@babel/core，讓使用者不會在錯誤的Babel版本安裝這些套件。而對於那些已經在babel-core上存在PeerDependency，但還不想要有重大變更的工具，官方也已經發布了一個新版本的babel-core，來幫忙開發者過渡更新。

官方提到，Babel這次的更新都來自於社群的貢獻，即便Babel被廣泛的利用，卻沒有充足的資源好好發展，雖然大家使用開源資源似乎理所當然，但也應該考慮背後維護開源專案的人，沒有資源的開源專案不會健康，因此呼籲社群可以貢獻時間或是金錢，維持Babel發展。

微軟周三宣佈將利用人工智慧（AI）及機器學習技術強化Microsoft 365生產力，包括為儲存在OneDrive for Business和SharePoint上的影音檔案提供自動轉錄服務。

這項技術用的是和微軟企業影片分享服務Microsoft Stream相同AI技術，支援超過320種檔案型態。預計今年稍晚開始，OneDrive for Business就會自動為影音檔案產生轉錄文字，當用戶觀看影片或聽取錄音檔時，轉錄文字即顯示於側邊欄，供用戶檢閱。

當用戶檢閱完成後就可上傳到Microsoft Stream並發佈給部門所有人。而之後客戶仍然能持續使用轉錄服務及其他AI服務，包括影片中的人臉辨識及自動字幕。這些影音檔之後也都會留存在Microsoft Cloud上。

微軟去年九月已先針對OneDrive和SharePoint加入AI為基礎的圖片物件辨識及文字辨識功能。微軟表示，配合影音檔轉錄功能，將使得企業內非結構化資料更容易搜尋及管理。

今年內微軟還將推出一項以Microsoft Graph知識圖譜AI技術為基礎的服務（下圖，來源：微軟）。OneDrive 及Office.com首頁會增加一個檔案顯示窗格，可根據使用者的工作內容、活動、協同對象等推薦相關檔案。

其他預計今年內加入OneDrive的AI功能還有檔案卡片，可顯示有誰看過你的檔案及其工作內容；利用Azure Cognitive Services提供情感分析、關鍵字汲取及客製化圖片辨識，以及自訂workflow等。

智慧分享功能會提醒使用者在剛結束會議簡報後分享會議相關的檔案或相片給其他與會者。（來源：微軟）

美國總統川普又抱怨媒體不公了，周二透過兩則推文砲轟Google是假的新媒體，其搜尋服務散佈假新聞、打壓保守陣營言論。Google則否認其搜尋有任何政治操弄。

目前川普的推文已經刪除。 Ars Technica引述川普的推文，當中他指出，在Google 輸入Trump News搜尋僅會顯示「假的新媒體」的觀點和報導。他批評Google的搜尋「經過作弊」，因此幾乎都顯示劣質新聞和言論，一些造假的新聞媒體如CNN出現在很顯著的地方，而共和黨及保守、正派媒體則被打壓。

川普聲稱，在Google上搜尋Trump News，96%的搜尋結果都是來是自左翼媒體，「非常危險」。他最後指出Google操控大眾視聽的情況相當嚴重，「必須要解決」。

美國總統的說法可能是根據保守言論網站PJ Media一篇文章列出的數據。該文指出社群媒體已經造成有史以來最危險的言論壟斷。

Google隨後透過各大媒體發出聲明否認其搜尋服務背後有任何政治操弄。Google表示，當使用者在Google搜尋列查詢時，該公司的目的是確保可以在幾秒內顯示最相關的答案。Google的搜尋不是用於設定操作議題，其搜尋結果也絕未偏向任何政治意識型態，該公司對其演算法做了數百次修正，就是為了確保能針對用戶查詢提供高品質內容。最後Google重申，持續改善搜尋服務，絕對未曾改變搜尋結果順序來操弄政治情感。

全球第二大晶圓代工廠格羅方德（GlobalFoundries）周一（8/27）宣布正重新調整鰭式場效電晶體（Fin Field Effect Transistor，FinFET）的發展藍圖，將聚焦於12與14奈米製程的FinFET平台，同時無限期擱置7奈米FinFET製程，同一天AMD則宣布要將7奈米的各式產品集中於晶圓代工龍頭—台積電（TSMC）的7奈米製程。

格羅方德是在2009年從AMD製造部門拆分的晶圓代工廠，儘管Advanced Technology Investment Company（ATIC）2011年收購了AMD所持有的格羅方德股份，但格羅方德一直是AMD重要的晶片供應商。

在7奈米製程上，台積電保持著領先的地位，在今年率先邁入量產，格羅方德原本也預計於今年下半年量產，企圖趕上台積電的腳步，以共同成為AMD在7奈米產品上的晶圓代工廠。至於三星與英特爾的7奈米製程時程表則分別在2019年與2020年。

不過，格羅方德於周一表示，該公司將把研發資源轉移到14與12奈米的FinFET平台，並無限期擱置7奈米的FinFET專案，準備重組其研發團隊，包括裁員，以及將技術人才重新分配到14/12奈米的產品上。

在格羅方德宣布退出7奈米製程之後，AMD也在同一天指出，7奈米產品為該公司下一個重要里程碑，AMD已委由台積電生產許多7奈米產品，包括預計於今年推出的首款7奈米GPU，以及即將於明年上市的首款7奈米伺服器CPU，現在則進一步決定將廣泛的7奈米產品組合集中在台積電的7奈米製程上。

AMD還強調與格羅方德的合作關係不變，仍然會仰賴格羅方德的14/12奈米製程技術。至於格羅方德則準備設立專注於打造特殊應用積體電路（ASIC）的子公司，未來亦將替客戶提供7奈米及以下的晶圓代工替代選項。

此一消息激勵了這兩天的台積電股價，截稿時台積電上漲了3.21%，股價爬升到257.5元新台幣。

英特爾（Intel）在周二（8/28）發表了第八代Core處理器家族的兩名新成員，分別是代號為Whiskey Lake的U系列，以及代號為Amber Lake的Y系列，這兩個系列的處理器皆針對了輕薄筆電與二合一裝置進行了最佳化，其中的U系列可帶來16小時的電池續航力。

本周問世的U系列處理器涵蓋了i7-8565U、i5-8265U與i3-8145U，它們在15瓦特的範圍內裝載了4個核心與8個執行緒，且整合了Gigabit Wi-Fi，提供12倍的傳輸速度，跟一台5歲的PC相較，它們帶來最多2倍的效能，與上一代相較，在每日瀏覽與內容建立等生產力也提升了兩位數。（來源：Intel）

此外，基於U系列處理器的筆電或二合一裝置一次充電就能使用16個小時，若輔以功率最佳化系統，則能達到19個小時的電池續航力。

至於本周曝光的Y系列處理器則是i7-8500、i5-8200Y及m3-8100Y，主要可應用在無風扇的超輕薄裝置上，並提供快速的Wi-Fi與LTE連結能力，強調可攜帶性與效能上的平衡。它藉由Wireless-AC支援Gb等級的無線傳輸速度，也支援Modern Standby、eSIMs與Gigabit LTE數據機，比起前一代在效能上也有兩位數的改善。

美國媒體推測，蘋果預計於今年更新的MacBook與MacBook Air即有可能採用英特爾在本周發表的處理器。

曾多次傳出用戶帳號遭盜事件的Instagram周二（8/28）宣布即將開始支援第三方的身分認證程式。

身為全球第五大社交平台的Instagram是在2017年3月啟用雙因素認證功能，當用戶啟用該功能之後，只要企圖自不明裝置登入，除了需要輸入自己的帳號名稱與密碼之外，還需要輸入自手機簡訊接收的安全驗證碼。

即便如此，之後仍舊傳出駭客藉由挾持Instagram用戶的SIM卡以入侵其帳號，促使Instagram開發除了簡訊之外的其它認證方式。

本周Instagram即宣布將在雙因素身分認證功能中新增對第三方認證程式的支援，意謂著Instagram用戶除了選擇透過簡訊接收安全驗證碼之外，也能藉由所安裝的第三方認證程式所產生的驗證碼來充當第二認證因素。

Instagram預計未來幾周即會於全球市場部署此一功能，之後用戶就能在Instagram程式的雙因素認證功能中看到文字簡訊與認證程式兩個選項，亦可選擇自己所偏好的第三方認證程式。

網路上充滿各式內容的影片，對使用者來說，最好可以快速知道影片有不有趣，而對於微軟Bing影片搜尋功能來說，問題則是如何提供影片概覽，幫助使用者決定是否要花時間點擊並觀看影片。微軟提到，提供影片摘要是非常困難的工作，不像人類可以直覺的指出影片的主場景，電腦難以内化這類內隱知識或遵照一個概括的規則辨識。

影片摘要分為動態摘要與靜態摘要，動態摘要是將影片切割成數個小區間，選取或是組合一段固定時間長的重要片段，供使用者預覽，微軟表示，他們有資料指出，80％使用者注視縮圖的時間少於10秒，也就是說，使用者並沒有太多的耐心觀看預覽，最後微軟採用了靜態摘要方法。

微軟Bing中提供的影片靜態摘要，除了一個主要縮圖代表影片外，在影片下方還會呈現4張縮圖，讓使用者一眼就可以看出影片大致內容。首先第一步，要為影片產生主縮圖，而為了訓練機器學習模型分辨好或壞的縮圖，微軟從影片中隨機挑出30幀畫面，並交給人類評委，以主觀喜好評估這些畫面，考量代表性、圖像品質以及吸引力等屬性，為畫面打分數，分為3個等級可以為0、0.5或是1分。

除了使用人工製造的訓練資料，微軟也使用了大量來自這些圖像的特徵，來訓練增強樹回歸模型（Boosted Trees Regression Model），這個模型使用這些資料推測影片上的其他畫面，並且輸出0到1之間的分數，來幫助後續選出最佳的影片縮圖。微軟提到，採用圖像的特徵非常廣泛，包括對比度、模糊度、雜訊等級等核心圖像品質特徵外，還有使用臉部偵測，以偵測圖像臉部數量、臉部大小以及位置等特徵。另外，也使用了動作偵測以及畫面差異特徵，視覺相似與位置相同的畫面，會被集結成序列稱為場景，場景和相對應畫面也被當作訓練的特徵。

有了這些特徵，微軟使用深度神經網路，在圖像品質標籤上訓練高維度圖像向量，這些向量被用來捕捉畫面布局的品質，而得分最高的推測畫面，將被用來作為代表影片的主要縮圖。

第二步則要產生4幀一組的縮圖，微軟提到，這4張縮圖的重點在於全面性與代表性，而這反而相對於前一步來說，更具技術挑戰，微軟除了無法單純使用最高分的4個畫面來當縮圖，因為這些畫面可能都來自於相同場景，再來，他們也無法要求人工產生訓練資料，因為很難要使用者從一千幀的影片中，選出最具代表性的4幀。

為了處理縮圖的綜合性，微軟在目標函數引入相似因子，嘗試最大化縮圖集的圖像品質總分，並且加入參數來調整相似度。微軟提到，他們將問題轉為貪婪最佳化的問題，以解決運算複雜性，由於他們無法列舉所有4幀畫面組合的可能性，也由於在計算主縮圖，花費了許多心力，因此微軟也決定將主縮圖納入4幀縮圖組之一，有了第一張縮圖作為起點，接下來選擇3張縮圖來最大化總分，而大幅簡化了這項工作的複雜度。

微軟提供兩組縮圖供人類評委判斷最佳的組合，一組是從影片隨機截取畫面，另一組則由最佳化方法產生，人類需要選擇較好的一組，而這個訓練資料將被用來訓練新的目標函數，以導出縮圖集模型。

微軟於Bing影片搜尋部署了這項更新，以4幀計算出來的縮圖，減少使用者搜索圖片的時間，並花更多的時間在觀看影片上。

加密貨幣交易平台Coinbase在全面分析全球前50名大學之後發現，當中有21所學校（42%）提供了至少一門的加密貨幣或區塊鏈課程，並有11所學校提供一門以上的相關課程，如果擴大到加密相關課程，比例更高達7成。

紐約大學史登商學院的財金系主任David Yermack表示，由於他自己對比特幣及快速成長的加密貨幣有興趣，於是在2014年時設立第一門區塊鏈暨財金服務的課程，當時只有35名學生選修，比學校選修課程的平均選課人數還少了8名，但到了今年春天，選課人數即增加到230名，有鑑於企業對了解加密貨幣議題的人才需求漸增，該課程還能協助學生培養就業技能。

根據Coinbase的調查，加密貨幣課程出現在許多不同的系所，從電腦科學、財金到人類學，不管何種專業的學生都對加密貨幣有興趣，例如主修各式社會科學的學生中，接近一半想上加密貨幣的課。

加州大學柏克來分校電腦科學教授Dawn Song認為，區塊鏈結合了理論與實踐，可於許多領域取得根本性的突破，並帶來深遠及廣泛的影響。

在21所大學列出的172個與區塊鏈或加密貨幣相關的課程中，除了有81%是由數學及科學等系所開設之外，15%是由商管系、經濟系、財金系與法律系所開設，另有4%是由人類學系、歷史系或政治系等社會科學系所開設。

此外，美國的大學對區塊鏈及加密貨幣的課程最感興趣，史丹佛大學就有10門相關課程，康乃爾大學則有9門，賓州大學有6門，新加坡國立大學有5門，加州大學的柏克萊分校與洛杉磯分校則各有4門與3門，總之，在開設最多相關課程的前11所學校中，美國大學就佔了9席。

Coinbase另也調查了美國大學生對加密貨幣的參與程度，顯示有18%持有加密貨幣。Coinbase在報告中並未區分加密貨幣與區塊鏈課程，而是將它們混合計算。

Google宣布開源基於機器學習函式庫TensorFlow的增強學習框架Dopamine，這個函式庫專門用於街機遊戲訓練環境，解決現存增強學習框架不夠靈活的問題，另外，Google還發布了一個網站，允許開發人員視覺化執行多個人工智慧代理人訓練。

增強學習透過獎勵或是懲罰，驅動代理人朝著特定目標前進，近幾年有了長足的進展，包括用於圍棋對弈的AlphaGo和AlphaGo Zero，以及DeepMind開發來遊玩Atari遊戲的DQN（Deep Q-Network），還有最近才剛和頂尖Dota 2人類玩家對戰過的Open AI Five。Google提到，這類技術的進展很重要，因為這些演算法不只能用在遊玩遊戲，還可使用於發展機器人技術。

這些開發工作需要快速迭代設計，因為通常系統發展並沒有明確的開發方向，而且需要破壞既定方法的結構，Google提到，現存大多數的增強學習框架不夠靈活也不夠穩定，使研究人員無法快速的迭代增強學習的方法，限制了探索更多研究方向的可能，而且這些框架還有相同的問題，那就是重現結果需要花費大量時間，這影響科學驗證的重現性。

為了解決這些問題，Google開發了基於Tensorflow的框架Dopamine，目的是為增強學習人員提供靈活、穩定和可重複的開發工具。這個函式庫是為街機學習環境設計，並且提供4個基於值的代理人，包括 DQN、C51、Rainbow簡化版以及隱分位數網路（Implicit Quantile Network，IQN）。IQN代理人是Google在7月，才於國際機器學習大會（ICML）中發表，而現在開發人員已經可以在Dopamine中使用。

為支援科學應用，Dopamine強調了過程與結果的可重複性，因此Google為Dopamine提供完整程式碼測試覆蓋，而這些測試能以另外的文件形式提供。而且對於新的研究人員來說，能夠根據既定的方法，快速對新想法進行基準測試是一件重要的事，為此，在Dopamine街機學習環境中的60個遊戲，Google為4個代理人提供完整的訓練資料，格式除了Python的Pickle檔案可用於Dopamine系統外，同時也有JSON的資料檔案可用在其他框架。

另外，Google也提供可以視覺化查看代理人執行遊戲訓練資料的網站，以及內含這些代理人已經訓練好的深度網路、原始統計日誌，以及可以在Tensorboard繪製的Tensorflow事件檔案。Google提到，Dopamine的易用性，可以支援漸進式和激進式的研究方法。詳細的資料以及程式碼可以在GitHub中取得。