代號為Felix的俄羅斯安全研究人員在本周揭露了Windows版的Steam客戶端程式，含有一零時差的權限擴張漏洞，將允許駭客取得管理員權限，於系統上執行任意程式，雖然他曾先行通報Steam，卻遭到Steam拒絕，使得Felix決定公布漏洞細節，波及超過1億的Steam註冊用戶。

根據Felix的說明，Steam的客戶端程式有一項基於系統權限執行的Steam Client Service功能，奇怪的是來自「使用者」（Users）群組的任何人，都有權啟用或關閉該功能，繼之他發現所有使用者都能存取該功能的登錄機碼，也讓駭客可利用它來擴張權限。

Felix指出，這意味著只要Windows電腦安裝了Steam，駭客就可取得系統管理員權限並執行任意程式。

Steam為美國業者Valve所開發的遊戲數位發行平台，它支援Windows、macOS、Linux、Android與iOS等平台。根據Steam Spy的估計，Steam的全球用戶數超過2.4億，而Steam今年7月的調查則顯示，約有71.5%的用戶使用Windows 10作業系統，代表至少有1.7億的用戶受到該漏洞的影響。

Felix表示，他是在今年6月透過Valve，於HackerOne上執行的抓漏獎勵專案回報了該漏洞，該漏洞已經通過了HackerOne的審核，卻被Valve打了回票，理由是：駭客必須有能力在使用者檔案系統上置放檔案，也必須實際接觸使用者裝置，因此不適用於該專案。但當他準備公布漏洞資訊時，Valve還曾制止他。

而在Felix公布了漏洞資訊之後，即有另一名研究人員於GitHub上釋出了針對該漏洞的概念性驗證攻擊程式。截至新聞發布前，Valve仍未公開回應此事。

路透社報導，在卡巴斯基（Kaspersky Labs）控告蘋果以不公平手段排擠競爭對手後，俄國反托拉斯主管機關FAS（Federal Antimonopoly Service）周四對蘋果啟動調查。

FAS正在調查卡巴斯基的家長控管app Safe Kids遭蘋果要求移除部份功能，可能涉及運用軟體平台優勢打壓競爭對手。

這次調查是出於安全廠商卡巴斯基今年三月在俄羅斯控告蘋果而啟動。卡巴斯基去年接到蘋果通知其iOS 版Kaspersky Safe Kids app的組態資料檔，因違反App Store的app管理政策，要求移除其中app控制及Safari瀏覽器內容封鎖兩項功能，以便通過蘋果的審查。卡巴斯基認為蘋果只是為自己的家長控管、或行動裝置管理（Mobile Device Management，MDM）軟體Screen Time來護航，而利用App Store不公平手段打壓對手。

FAS指出，蘋果iOS 12中的Screen Time和卡巴斯基有類似功能。

蘋果則回應它這麼做乃基於保護用戶隱私。蘋果今年4月也曾移除至少11款MDM app，理由是運用「高度侵入性技術」、「置用戶隱私與安全於風險中」，違反了App Store政策。

專門在YouTube上提供電子產品維修教學的Justin本周透過The Art of Repair頻道展示，蘋果於新一代的iPhone XS上實施了新政策，舉凡是iPhone XS、iPhone XS Max或iPhone XR的用戶，只要不是到蘋果門市或取得授權的蘋果經銷門市置換iPhone的電池，iPhone就會顯示電池需要維修的警告，也無法再查看電池的健康狀態。此一消息再度激起了消費者爭取維修權（Right to Repair）的討論。

蘋果對iPhone電池的限制不只是針對白牌電池，就算是使用官方的iPhone電池同樣會出現警告。Justin把從一台iPhone XS拆下的電池，裝到另一台iPhone XS上，依然可在iOS上的「電池健康度」（Battery Health）上看到需要維修的字樣。

根據Justin的說法，iPhone電池內建一個TI微控制器，以提供電池狀態予iOS，但新一代iPhone所使用的TI晶片額外含有認證功能，存放了可與iPhone主機板配對的資訊。因此，只要電池與主機板的認知不符，系統就會認為你的電池需要維修。

電子產品DIY教學網站iFixit指出，從技術上來說，使用者可以移除原始電池上的TI晶片，再將它焊到新電池上，應該就能解決此一問題，但這對維修來說是很不合理的。

事實上，在置換了新電池之後，就算出現維修的字樣，iPhone XS一樣能正常運作，只是無法再查看電池的健康度，例如目前的電池最大容量或高峰期效能容量，將讓消費者無從得知何時該換電池了。

iFixit表示，蘋果從iOS 10就開始限制第三方的電池健康程式存取電池細節，也曾在2016年阻止第三方維修Touch ID，而最近則是在消費者更換了新螢幕之後關閉了TrueToner功能，再再都顯示蘋果不希望任何非官方授權的業者，替消費者維修蘋果產品。

2013年設立的維修協會（The Repair Association）一直在推動消費者的維修權利，認為消費者應該擁有自己所購買的裝置所有權，也有權決定要如何維修或自己維修。美國也有至少5個州打算推出新法案來保障消費者對於電子裝置的維修權利。

來自公共利益研究小組（ U.S. Public Interest Research Group）的Nathan Proctor也在上個月向美國反壟斷委員會陳情，認為壟斷維修市場是違反競爭法令的，因為當消費者只有單一的維修選擇時，將允許製造商收取高額的維修費用、拒絕維修，甚至迫使消費者購買新裝置，並點名了蘋果，要求調查蘋果的違法行為。

The Repair Association則鼓勵美國民眾去信要求各州議會，立法保障消費者的維修權。

GitHub更新工作流程自動化平臺Actions，現在進一步完整支援持續整合和持續交付功能，而GitHub Actions支援的作業系統也從Linux，擴展到了macOS和Windows，支援的語言和框架包括了Node.js、Python以及.NET等。正式版預計會在今年11月13日上線。

作為一個工作流程自動化平臺，GitHub Actions提供了一系列控制API，讓開發者可以在事件發生時，協調和編排工作流程，並且提供用戶豐富的回饋資訊，在流程中確保每一步驟的運作安全。開發者還可以將工作流程和步驟，編寫成程式碼儲存在儲存庫中，用管理程式碼的方式管理工作流程，並與團隊共享或是重用軟體開發實踐。

最新版本GitHub Actions擴展了對程式語言以及框架的支援，包括Node.js、Python、Java、PHP、Ruby、C/C++與.NET，而支援的行動作業系統則有Android和iOS，GitHub Actions在去年剛推出的時候，僅支援基於Linux的容器或是虛擬機器工作負載，但現在開發者也能將GitHub Actions用來處理macOS與Windows上的工作負載。

Actions新提供的矩陣建置（Matrix Builds）功能，讓軟體開發團隊可以同時測試專案中的多個版本，以實現工作平行化減少測試時間，而在測試任務的安排上，GitHub也可以自動從現成的CI/CD池中，挑選並建議相關的工作流程。

CI/CD軟體發布的一大部分工作，集中在將程式碼轉為功能程式的階段，GitHub Action現在能允許開發團隊，透過監控控制臺即時追蹤工作流程，以確保每個步驟都正確無誤。另外，GitHub Actions也加入即時日誌功能，讓用戶即時掌握建置程序回饋訊息，GitHub會串流日誌到Action控制臺中，顯示即時狀態，而且每個日誌中的任一行文字，都有一個專屬永久性連結，可以方便開發團隊互相討論建置失敗或是測試結果，GitHub特別提到，日誌的格式經過設計，開發者能夠輕鬆地閱讀。

GitHub也預告了未來Actions的更新，將會提供給使用者自託管的執行程式（Runner），當開發者在自己的資料中心執行虛擬機器，或是在雲端上運作的實例，開發者可以自己安裝Actions執行程式，同樣也能以簡單的方法自動化工作流程。

明年GitHub還將在企業伺服器中推出Actions服務，包括提供企業內部署的混合選項，讓企業能夠將程式碼和套件留在自己的資料中心，但同時又能獲得GitHub編排工作流程的能力。

AWS在去年re:Invent 2018大會上介紹的資料湖管理工具AWS Lake Formation，現在推出正式版，用戶可以使用AWS Lake Formation對資料進行擷取、清理、分類、轉換以及保護的工作，方便後續分析或是機器學習使用。

AWS提到，只要企業開始使用數位格式的資料，那就可能需要建立一個資料倉儲，從CRM或是ERP等營運系統收集資料，並給其他決策支援系統使用，這些資料包括未組織的原始資料、日誌、圖片、影片或是掃描的文件等，而這也是資料湖的概念，將所有資料以各種規模與形式，儲存在中央儲存庫中。

而AWS新推出的資料湖服務Lake Formation，能簡化資料湖的管理工作，用戶可以使用中央控制臺，處理建置和配置資料湖繁雜的工作，包括載入不同來源的資料、監控資料流、設定資料分區、加密和管理金鑰，以及格式轉換與監控營運等工作。

只要在Lake Formation中指定資料來源，系統就會自動從資料庫和物件儲存擷取資料，並將這些資料儲存到Amazon S3資料湖中，以適當的大小與方式整理，增加存取效能，並以機器學習演算法清理和分類資料，為敏感資料提供存取保護。

用戶還可以使用Glue ML Transforms刪除資料湖中重複的資料，提高後續分析資料的效率，避免因為重複的資料，造成分析工作的混淆。AWS提到，這項工作並非單純透過鍵值比對，就能找出重複的資料，很多情況需要進行模糊比對，像是當用戶需要在不同表格查詢類似的項目時，就需要使用模糊連接（Fuzzy Join），在不共用唯一鍵值的兩個資料庫表格查詢相似資料。

在保護資料存取方面，用戶可以在Lake Formation中，定義精細的存取政策，保護Glue Data Catalog中的元資料，以及儲存在Amazon S3的資料，AWS提到，在資料湖中管理存取權限是一件複雜的任務，因為資料的各種特性，包括結構化與否、敏感性或是可存取的資料範圍不一，而Lake Formation賦予用戶以IAM使用者、角色、群組和AD來管理資料存取，也能夠拒絕表格特定的欄位被存取。

蘋果在本周舉行的黑帽大會（BlackHat）上宣布，將把原本只適用於iOS的抓漏獎勵專案，擴大到涵蓋macOS、watchOS與Apple TV，並把發現特定漏洞的最高獎金，從原本的20萬美元增加到100萬美元。

蘋果是在2016年才開始實施抓漏獎勵專案，但當時該專案只適用於iOS，包括iCloud在內，而今蘋果擴大了該專案的適用範圍，涵蓋了蘋果所有的作業系統，也包括自iOS衍生的iPadOS在內。

今年初，有一名18歲的業餘資安研究人員Linus Henze發現macOS上的Keychain含有一安全漏洞，允許駭客存取Keychain的所有密碼，但因蘋果並未提供macOS的抓漏獎勵，於是他選擇對外公開漏洞細節，並打造了概念性驗證攻擊程式。

蘋果不僅擴大抓漏獎勵專案的實施範圍，也提高了各項漏洞的獎金，此外，蘋果還新設「iOS安全研究裝置計畫」（iOS Security Research Device Program），準備提供含有先進除錯功能的iPhone予安全研究人員，此一特製版iPhone預計會在明年出爐。

資安業者Check Point在黑帽大會揭露Facebook旗下知名即時傳訊程式WhatsApp的安全漏洞，指稱相關漏洞將允許駭客竄改使用者所發送的訊息或發言者的身分。

根據Check Point安全研究人員的說法，他們在去年底就知會WhatsApp相關漏洞的存在，這些漏洞允許在一個群組內的駭客，利用「引用」（quote）功能來竄改發言人的身分，即使發言人並非群組成員；或是允許駭客竄改其他成員所回應的訊息，等於是藉由別人的嘴巴來散布謠言；另一個漏洞則是允許駭客傳送一個私有訊息予某個群組成員，但卻假冒為公開訊息，造成該群組成員會公開回應此事。

上述漏洞對於任何即時訊息程式而言都是重要的漏洞，但發生在WhatsApp上則更受矚目，因為WhatsApp已被視為傳遞假消息的溫床，且它在全球已有15億用戶，每名使用者每天平均檢查23次WhatsApp的訊息。

WhatsApp已經修補了第三個漏洞，但前兩個卻依然存在，Check Point則實際展示如何攻陷這兩個安全漏洞，成功竄改了發言人的身分及變更用戶所回應的訊息。

然而，The Next Web引用Facebook的回應指出，Check Point所發現的並非是WhatsApp的安全漏洞，他們所描述的場景比較像是只會在行動裝置上出現的，如同竄改電子郵件的回應內容，讓它看起來像是某人寫的，若要解決這些問題可能需要儲存原始訊息，而這便會危及WhatsApp用戶的隱私。

The Next Web指出，傳聞WhatsApp正在打造桌面版程式，有機會緩解上述問題。

安全廠商Eclypsium上周在駭客技術年會Black Hat USA上公布研究，20多家硬體廠商的40多款驅動程式有權限升級漏洞，可能導致攻擊者在Windows核心執行惡意程式。英特爾、Nvidia和多家臺灣硬體廠商上榜，不過他們也都完成並釋出修補程式。

作業系統核心為和硬體通訊，需要以核心模式的驅動程式作為中介，在Windows環境下，是使用核心模式驅動程式框架（Kernel Mode Driver Framework，KMDF）。這些驅動程式可以控制Windows電腦大大小小的動作，小至CPU風扇轉速、主機板LED燈的顏色、大至BIOS更新、刷機等。驅動程式也擁有較一般使用者更高權限，也能在更底層作業而不受作業系統管轄。

為了防止攻擊者濫用此類權限，微軟也設計了多種機制，像是WHQL（Windows Hardware Quality Lab）認證、程式簽章、延伸驗證（extended validation，EV）程式碼簽章等，來防止非法、惡意驅動程式載入Windows核心。

但研究人員發現，多款經簽章的驅動程式存在安全漏洞，可被當作代理伺服器以便讀寫重要的硬體資源，像是核心記憶體、內部CPU組態暫存器（registers）、PCI介面裝置等等，使這些合法驅動程式反而被攻擊者用來繞過甚至關閉Windows安全機制，進而執行任意程式碼。

Eclypsium 首席研究分析師Mickey Shkatov指出，這些漏洞其實是出在驅動程式編寫實務上未考量安全性所致。程式人員並未限制驅動程式可執行的任務類別，而是為了應用開發的方便而設計得很彈性，讓使用者空間（userspace）中的低權限app，得以在Windows 核心執行程式碼。所有近代的Windows作業系統都受到此漏洞影響。

研究人員發現，有20多家硬體廠商、超過40款驅動程式存在上述漏洞，經過安全廠商通報已完成修補者包括，華碩（ASUSTEK）、ATI、技嘉（Gigabyte）、華為、英特爾、微星（MSI）、nVidia、Phoenix、瑞昱（Realtek）、超微（SuperMicro）、東芝、AMI、華擎（ASRock）、映泰（Biostar）、艾微克（EVGA）、神基（Getac）、系微（Insyde）等，他們有的是直接發布給終端用戶，有的則是發佈給OEM客戶。但仍然有部份廠商需要更多時間才能完成修補。

研究人員計畫之後要把受影響的驅動程式完整名單，公布在GitHub上。

資安業者Check Point 上周揭露，各家數位相機所使用的圖片傳輸協定（Picture Transfer Protocol，PTP）含有眾多安全漏洞，將允許駭客藉由相機與電腦之間的USB連線或Wi-Fi連線發動攻擊，且成功展示了在Canon的EOS 80D相機上植入勒索軟體，加密相機SD卡上的所有檔案。

PTP為一由國際成像產業協會（International Imaging Industry Association，I3A）所打造的圖片傳輸協定，讓數位相機得以向電腦或其它的周邊設備傳輸圖片。

Check Point則指出，Canon所導入的PTP含有6個安全漏洞，其中有5個屬於緩衝區溢位漏洞，包括CVE-2019-5994 、CVE-2019-5998、CVE-2019-5999、CVE-2019-6000與CVE-2019-6001，另一個CVE-2019-5995漏洞為無聲的惡意韌體更新。

研究人員表示，選擇Canon EOS 80D作為攻擊目標有許多原因，一是Canon為全球最大的數位單眼相機製造商，擁有超過50%的市占率，再加上Canon EOS 80D同時支援USB與Wi-Fi傳輸，而且還有熱鬧的Magic Lantern（ML）改裝社群，該社群利用開源的ML替Canon EOS相機新增功能，提供了完善的Canon韌體文件。

Check Point表示，USB與Wi-Fi讓相機曝露在周遭環境中，使得接近Wi-Fi或已挾持USB的駭客得以以惡意程式感染相機；而他們也展示了如何利用假冒的Wi-Fi熱點來開採上述漏洞，並成功加密了存放在相機SD卡上的照片，還在相機螢幕上秀出勒索聲明。

Canon在今年3月底收到Check Point的漏洞報告之後，便與Check Point合作修補漏洞，也在上周更新了韌體，鼓勵用戶更新韌體，並強調迄今尚未發現任何相關的攻擊行動。

根據中國媒體的報導，中國央行──中國人民銀行支付結算副司長穆長春，上周在中國金融四十人伊春論壇上透露，自2014年開始研發的數位貨幣（DC/EP）從去年就進入緊鑼密鼓的階段，而今已呼之欲出。

DC/EP的簡稱來自Digital Currency與Electronic Payment。中國央行研究局局長王信曾於今年7月表示，數字貨幣的研發是由央行的貨幣基金局管理，且已得到國務院的正式批准，已在組織市場機構。

相較於比特幣等加密貨幣，人民銀行認為中國的數位貨幣才有法律保障的財富進行支撐，且將採取中心化的管理模式。

穆長春亦對外說明了中國數位貨幣的各種特性，包括它並非完全仰賴區塊鏈架構，也決定保持技術中立，不預設使用技術路線，此外，它將採取雙層營運體系，由人民銀行先把數位貨幣兌換給其它銀行或經營機構，再由這些機構兌換給大眾。

穆長春還強調此一中國數位貨幣將具備高擴展性與高發展性，以適用於小額零售，亦可根據不同等級的錢包設定交易或餘額的限制。

只是，穆長春僅說中國數位貨幣「呼之欲出」，並未公布具體的上線時程。

在7月底、8月初，最近有多家大型IT廠商在臺舉辦研討會，像是Red Hat、NTT Data、NetApp、HPE，在活動現場，我們也遇到幾位好久不見的業界專家，像是在微軟擔任合作夥伴暨商務事業群傳教士的李匡正，因為他經常在臉書的Azure Taiwan User Group社團裡面發言，所以向他請教臺灣企業採用雲端服務現況。李匡正特別用了Uber Moment（優步時刻），來形容企業是否迫切面臨數位轉型的競爭，這個比喻倒也相當貼切。

對於臺灣的計程車、旅館業者來說，感受最為深刻，因為當Uber和Airbnb這些善用科技的新創公司出現，並且受到大量顧客採用之後，也逼得業者必須比過去更積極運用數位化的技術、改善業務流程，才能因應新的變局，否則就會逐漸被市場所淘汰。

若要追溯Uber Moment這個稱呼的出現，應該是Business Insider在2015年11月刊出的一篇報導，曾任職於巴克萊銀行（Barclays，英國最大銀行之一）執行長的Barclays表示，一系列Uber風格的產業創新，將會導致傳統大型銀行縮減人力，比例高達50％，在某些領域收益崩毀的比例會超過60％。

到了2016年3月，花旗銀行全球觀點與方案解決部門也發布了一份報告，名為「數位化破壞──金融科技如何引領銀行業進入全新趨勢」，裡面有一段「Banking's Uber Moment」的論述，也引用Antony Jenkins的看法，認為銀行業正處於Uber Moment，需面對基於科技創新而來的競爭者壓力，迫使銀行將經營的業務予以自動化，以致分行與人員數量將會在未來幾年之中，精簡的比例將是50％。

當時正是熱烈關注金融科技（Fintech）的時刻，我們也在2015年11月製作「FinTech啟動臺灣金融新革命」封面故事。若以Fintech作為標籤來搜尋iThome的報導，最早刊出的文章則是2015年8月；到了2016年8月，我們開始發布Fintech雙週報，持續彙整金融科技的相關動態，直到現在。經過這幾年的發展，我們追蹤的議題相當廣泛，包括：區塊鏈、監理沙盒、智慧客服、金融AI、第三方支付、加密貨幣，最近則是關切純網路銀行的發展，目前有三家業者通過金管會審查，取得營業執照，可設立純網路銀行。而在這樣的發展態勢之下，將對臺灣金融業帶來全新的競爭局面。

另一個大家關注的產業趨勢，是關於臺灣金融業開放使用公有雲服務的狀況。今年6月底，金管會擬具了委外辦法修正草案，讓金融機構能適當運用雲端科技，同時能兼顧消費者權益保護，因此，銀行資料上雲端，可向金管會申請核准，且需遵守相關規定。

這次修正草案，主要針對的是「金融機構作業委託他人處理內部作業制度及程序辦法」，而與雲端服務有關的條文，是第十九條之一，增訂金融機構將作業委託他人處理涉及使用雲端服務之應遵循規定，以及第十九條之二，增訂金融機構將作業委託他人處理涉及使用雲端服務，依重大性區分為核准制、備查制及應檢附之書件，以及重大性之認定標準。

在這樣的態勢之下，金融業未來若要使用雲端服務來提升自身營運效率與可靠度，勢必將有相關的法規可供參考，然而，該如何妥善運用科技來拓展更多業務，仍然是重大的考驗。至於其他產業，Uber Moment這樣的挑戰遲早會降臨，與其坐視這樣的局面逼來，不如主動出擊，對於新興資訊科技的發展，應該具備足夠的了解，懂得充分運用來提升競爭優勢，才能經得起各種經營挑戰。

資安業者FireEye上周公布，來自中國的國家級駭客組織APT41不但替中國政府從事網路間諜行動，還私下鎖定遊戲業者發動攻擊，以中飽私囊。

根據FireEye的調查與分析，APT41從2014年開始就同時執行網路間諜與犯罪行動，該組織鎖定健康醫療、高科技與電信產業發動網路間諜攻擊，也針對高等教育、旅遊服務及新聞媒體的從業人員進行監控，例如APT41曾企圖駭進中國官員準備入住的飯店訂房系統，猜測是基於安全理由。

至於APT41基於獲利動機的攻擊行動則是鎖定遊戲產業，該組織竊取遊戲中的虛擬貨幣，亦企圖部署勒索軟體，駭客在目標的供應鏈網路中橫向掃蕩直至接觸生產環境，之後即可竊取程式碼及數位憑證，或於合法檔案中注入惡意程式碼，並散布到受害者的組織中。

FireEye發現APT41在間諜及犯罪行動中使用了同樣的電子郵件帳號，且該組織通常在白天執行網路間諜行動，並在半夜進行犯罪行動。此外，APT41還會把原本保留給間諜活動的機密惡意程式，拿來發動網路犯罪活動。

FireEye認為，APT41利用中國政府對他們的保護來從事中飽私囊的犯罪行動，可能是APT41閃避了中國官方的審查，也可能是中國政府選擇了睜一隻眼閉一隻眼。

Nvidia發展了名為GPUDirect儲存（GPUDirect Storage）的資料傳輸技術，加快位在各種儲存的資料，傳輸到GPU記憶體的速度，可以將頻寬增加至原本的2到8倍，而且還能降低端到端的延遲達3.8倍。

由於人工智慧以及高效能運算的資料集規模不斷的增加，應用程式載入資料花費的時間越來越長，進而影響了應用程式的效能，而且特別是端到端架構，會因為緩慢的I/O使得運算速度日益提升的GPU無用武之地。Nvidia提到，將資料從儲存器載入到GPU，過去都是由CPU負責，而這將會成為硬體效能的瓶頸。

資料從NVMe磁碟傳輸到GPU記憶體的標準路徑，是使用系統記憶體中的反彈緩衝區（Bounce Buffer），而GPUDirect儲存技術避免使用反彈緩衝區，以減少額外的資料副本，並使用直接記憶體存取引擎（Direct Memory Access，DMA）將資料直接放到GPU記憶體中，為遠端或是本地儲存，諸如NVMe或NVMe over Fabric，和GPU記憶體之間，建立一個直接傳輸資料的路徑，而這能有效減輕CPU I/O的瓶頸，提升I/O頻寬和傳輸資料的量。

Nvidia提到，GPUDirect儲存技術的主要功能，就是透過這個新的檔案系統，以直接記憶體存取的方式，將資料傳輸至GPU記憶體上。無論資源原本存放在什麼位置，都能使用GPUDirect儲存技術，這些儲存可能位在機箱內、機架上甚至通過網路連接都可以。

Nvidia在GPU資料科學平臺RAPIDS中的GPU資料影格（GPU DataFrame，GDF）函式庫cuDF上進行實驗，發現使用GPUDirect存儲技術，比起原始cuDF CSV讀取程式，將資料傳輸到GPU記憶體的吞吐速度快了8.8倍。cuDF是讓使用者在GPU上，用來載入、過濾、排序和探索資料集的函式庫。

Nvidia表示，應用這項新技術，遠端儲存、本機端儲存以及CPU記憶體到GPU記憶體的頻寬，可以在互相組合後加乘，以人工智慧超級電腦DGX-2為例，從CPU系統記憶體到GPU記憶體的頻寬限制為50 GB/s，但綜合從系統記憶體、本機端硬碟以及NIC（Network Interface Card）的資料，最高頻寬甚至可以達215 GB/s。

不只是Amazon S3（Amazon Simple Storage Service）含有配置不當造成資料外洩的問題，資安業者Bishop Fox上周警告，Amazon Elastic Block Store（Amazon EBS）在快照功能（Snapshots）上的配置不當，也會讓企業的機密資訊全都曝光。

Amazon EBS為一高效能區塊儲存服務，專門用來存放Amazon EC2執行個體的持久性資料，而快照則是用來備份Amazon EBS，多半是備份檔案系統或大型資料庫等重要任務。

不過，Bishop Fox的安全研究人員Ben Morris發現，有許多企業的雲端管理員在使用Amazon EBS的快照功能時，不小心在配置設定上，將快照設為公開且未加密。

於是Morris打造了一個工具，利用Amazon的內部搜尋功能查詢這些公開的EBS快照，然後把它們複製到自己的系統上。他光是在單一區域就找到了數十個公開快照，這些快照中存放了程式原始碼、加密金鑰、密碼、認證令牌、個人識別資訊、VPN配置，甚至是根憑證，快照的主人有些是政府的承包商，還有大型科技企業或IoT公司。

Morris向TechCrunch透露，他估計在Amazon的所有雲端區域中，應該有1,250個Amazon EBS快照曝光。

Morris說，此一瑕疵的獨特性在於那些虛擬硬碟被複製、或是憑證與原始碼被盜走的企業完全無從察覺，他複製這些硬碟長達好幾周的時間，卻一直沒有人發現。

TechCrunch則引述Amazon的回應指出，他們已通知那些將Amazon EBS快照設為公開的客戶，建議那些不小心配置錯誤的客戶儘快關閉快照。

愛立信最新全球行動趨勢報告預期，在全球電信商加速5G部署及消費端5G設備帶動下，2024年5G用戶數從原先預估的15億上修至19億。

愛立信去年11月在行動趨勢報告中預期2024年5G用戶數將達15億，而在今年6月出爐的最新報告指出，全球5G網路加速部署，2024年用戶數將上看19億，而到時全球行動寬頻用戶將達83億。

此外，2024年底5G全球人口涵蓋率也從40%上修至45%，5G網路流量佔全球行動通訊流量也從原先預估的25%上看至35%，2024年底估計每月流量將達131EB。

儘管5G標準尚未完全拍板定案，但從去年開始已有電信營運商展開5G網路的預先布署，截至目前為止，全球四大洲已有部份國家展開5G服務，例如美國、南韓、澳洲、英國、瑞士等。以南韓為例，南韓三大電信商推出5G服務後，其國內5G用戶數已達160萬，南韓政府更喊出了今年底5G人口涵蓋率要達到93%的目標。

不過，目前已推出5G服務的地區，5G網路下載速度雖比現有4G LTE來得快，但不同的國家落差頗大。以OpenSignal的資料為例，首波5G服務的美國、韓國、瑞士，5G下載速度都高於1Gbps，美國甚至達到1.8Gbps，是現有4G LTE的2.7倍之多，但是澳洲、西班牙、英國等地區，因為個別國家的初期5G網路部署等因素限制，5G僅比4G稍快1.3至1.5倍。

另一個加速5G發展的關鍵因素為5G晶片及終端裝置的推出。根據3GPP的資料，2018年推出的首波5G裝置為口袋型路由器，而後隨著首波5G商用服務推出，2019年第二季市場已出現5G智慧型手機，未來將朝向更多元的裝置發展，例如CPE或筆電。

愛立信東北亞區台灣香港及澳門網路部主管馮家輝表示，目前市場上已出現高頻段的5G手機，例如供美國市場使用的28GHz或39GHz mmWave頻段，還有中頻段如3.5GHz、2.6GHz的5G手機，2019年底可望出現低於1GHz的低頻段5G手機。到了2024年，約每四個人會有一人使用5G手機。

展望全球5G正在快速起飛，臺灣也將在今年底到明年初釋出5G頻譜資源，明年步入5G時代，馮家輝透露，愛立信在臺灣的測試中心目前已和臺灣廠商進行IoDT測試，確保5G系統和終端設備間的互通性，包括5G的高中低頻裝置。

5G網路布建之初多採NSA非獨立組網架構，目前多數的5G裝置支援NSA，愛立信相信未來隨著部份電信商轉向5G SA獨立組網架構，今年底可望出現支援SA的5G裝置。

Google更新其人工智慧開發平臺Coral，不只發布新的編譯器版本支援訓練後量化（Post-Training Quantization），還加入了TensorFlow Lite委派（Delegate）API，Edge TPU也能夠用來加速使用TensorFlow Lite直譯器API的模型。

Coral是一個人工智慧測試平臺，包含了軟體以及硬體，開發人員可以在搭載Edge TPU的Coral開發板上建立、訓練和執行神經網路程式，有助於設計應用程式原型，以便後續正式產品開發。硬體除了有Coral開發板之外，周邊硬體還有一個可透過MIPI界面連結的500萬畫素相機，和可與其他Linux系統整合使用的外接Coral USB加速器，而軟體開發工具方面，主要由TensorFlow與TensorFlow Lite發展而來。

現在Coral研發團隊更新Coral的開發工具，編譯器更新至2.0版本，新增支援使用訓練後量化技術建立的模型。Tensorflow團隊提到，訓練後量化可以將使用浮點數訓練的模型，量化為Int 8的模型，優點除了可以縮小模型大小之外，也可以加快Coral裝置中搭載的Edge TPU執行模型運算的速度。

之前，開發者的模型要獲得Edge TPU良好的加速效能， 需要使用官方提供的Edge TPU Python API或是C++撰寫程式碼，不過現在官方發布了TensorFlow Lite委派，讓模型即便使用TensorFlow Lite直譯器API，也可以得到Edge TPU 的加速。Coral研發團隊提到，TensorFlow Lite委派API目前還是個實驗性功能，他允許TensorFlow Lite直譯器將部分或是全部圖執行（Graph Execution）委派給其他執行程式，也就是Edge TPU。

另外，開發工具中的Edge TPU Python函式庫也更新到了2.11.1版本，加入了遷移學習（Transfer Learning）的支援。新的裝置反向傳播API讓開發者，可以在圖像分類模型的最後一層執行遷移學習，而在裝置上是以CPU執行，並以接近即時的速度執行遷移學習，為模型加入遷移學習，開發者不需要重新編譯模型。

Coral研發團隊也與AutoML團隊合作，共同發布了一系列圖像分類模型EfficientNet-EdgeTPU，這些模型是基於EfficientNet架構，專為EdgeTPU最佳化，可用超小型的模型達到伺服器端模型才能做到的圖像分類程度。

思科（Cisco）宣布將買下語音協作平台Voicea，準備把Voicea整合到Cisco Webex線上會議，協助進行會議紀錄，以提升開會的品質與效率。

Voicea為一基於企業語音助理（Enterprise Voice Assistant，EVA）的語音協作平台，讓思科相中的EVA則是個結合人工智慧與自動化語音辨識的轉錄服務，它能夠接受命令、執行任務，還可捕捉會議中的重點，並分享這些重點或建立可執行的描述。

負責Cisco Webex的思科資深副總裁Sri Srinivasan表示，此一收購案將讓每個參與會議的人士都能夠專心討論，不必再分心作紀錄，因為Voicea與Cisco Webex很快就會讓作筆記成為歷史，同時設立開會在生產力與行動力上的新標準。

根據思科的規畫，未來與會人士將可看到即時的轉錄內容，發表有效率的會議摘錄及重點，亦可得到自動化的行為項目，並藉由語音命令將工作流程自動推送到Salesforce、Trello、Teams、Jira及Asana等系統。

未來Voicea團隊將加入Cisco Webex，雙方計畫把EVA部署到思科的所有協作應用及裝置上。

Google為了讓網站無法偵測用戶是否以無痕進行瀏覽，在Chrome 76修正檔案系統（FileSystem）API的漏洞，但現在有研究人員發現，Chrome 76的檔案系統API的寫入速度，在無痕模式比一般模式還要快，因此網站還是能用寫入的速度差異，來偵測使用無痕模式的訪客，達成時序攻擊（Timing Attack）。

Chrome 75以前的版本，無痕模式會禁用檔案系統API，以避免在裝置留下任何活動痕跡，而檔案系統API的漏洞，會讓網站在檢查檔案系統API的可用性時，回傳錯誤訊息，因此網站便能得知用戶正在使用無痕模式，Google提到，由於不少媒體網站採用計次付費牆（Paywall）收費模式，當用戶瀏覽超過一定數目的文章，才會要求登入付費帳號，因此為避免用戶使用無痕模式規避計次付費牆機制，網站便會使用檔案系統API的漏洞，偵測用戶是否正使用無痕模式，決定給予相對應的用戶體驗。

而在7月的時候，Google宣布要落實無痕模式隱私原則，會在Chrome 76中，修正檔案系統API的漏洞，但現在研究人員Jesse Li發現，即便是最新的Chrome 76，仍然可以透過量測API寫入儲存中介的速度，來偵測瀏覽器的無痕模式，而Jesse Li也在GitHub中發表了概念性驗證實作。

Chrome 76為了避免網站根據檔案系統API的可用與否偵測無痕模式，因此即便在無痕模式，Chrome仍然會寫入API的資料，只是資料寫入的目標是記憶體而非磁碟，如此便不會在磁碟上留下操作痕跡，對網站來說，檔案系統API都一致可用，那就不存在之前以API可用與否，判斷瀏覽器無痕模式的問題，不過這卻產生另一個問題，由於記憶體寫入速度比磁碟更快，兩者仍存在差異。

利用這樣的差異，網站就能推測出用戶是否使用無痕模式。由於記憶體比磁碟快上許多，網站只要重複寫入大量的字串，量測檔案系統需要時間，建立出基準測試，就能用來判斷訪客是否使用無痕模式。

Jesse Li進行了一百次的迭代，共花費數分鐘做出基準測試。基準測試結果顯示，在一般模式下的檔案系統，寫入磁碟的尖峰時間約落在3,000到4,000毫秒之間，相較於無痕模式寫入記憶體，尖峰落在1,000毫秒，時間只有三分之一到四分之一而已，無痕模式平均耗費792毫秒，而一般模式平均則要2,281毫秒，是前者的2.8倍。

Jesse Li解釋這種偵測無痕模式與一般模式的時序攻擊有其限制，除了需要花上數分鐘或是數十秒的時間，才能獲得有用的資料之外。偵測的結果跟使用者裝置的配置有關，行動裝置與桌上型電腦的記憶體和磁碟速度都不一樣，也會跟裝置同時執行的工作有關，而對統計資料產生雜訊。

這種方法並非直接偵測無痕模式，而是偵測檔案系統的第二儲存中介，進而推斷使用者瀏覽器正在執行的模式，但當磁碟即是記憶體的時候，便會產生誤判。不過，Jesse Li提到，這種方法相對難以修補，因為其攻擊的手段是漏洞修補的技術基礎，因此用戶要完全避免被偵測出使用無痕模式，必須要在兩種裝置使用相同的儲存中介，寫入速度相同也就沒有被偵測的疑慮。

Google周一宣布將釋出一項新功能，讓Android手機用戶透過Chrome瀏覽器以指紋或其他方式，登入密碼管理器等部份Google服務，而不再需要輸入密碼。新功能未來幾天就會部署到Android 7.0以上版本的裝置。

在今年2月Android取得FIDO 2認證後，Google就積極推動無密碼驗證，使Android 7.0以上手機可以透過內建的指紋辨識器或USB實體金鑰，來登入支援FIDO2/WebAuthn協定的網站或app。

周一的宣佈即是無密碼驗證部署的最新一步。第一個部署的服務密碼管理器服務（Password Manager），當Android用戶以Chrome瀏覽器連上passwords.google.com後，會看到要求輸入密碼的驗證對話框，使用者也可以選擇以指紋、或是其他解鎖方法驗證。Google表示這項功能未來將擴及其他Google和Google Cloud的服務。當然在此之前，用戶手機需具備指紋驗證感測器，並且已將手機註冊到Google帳號中。

The Verge報導，今天僅特定Android手機可以開始使用，但接下來幾天就會推向所有Android 7.0以上的裝置。

根據Google網頁使用者驗證自己的方式除了密碼、指紋外，還有4位數PIN碼和圖形密碼鎖。此外，你還可以設定兩步驟驗證，以Android 7.0以上的手機作為驗證金鑰。

三年前，木刻思團隊一次製造業Tensorflow教育訓練中，只是隨手開發了一套類似於小畫家的陽春版影像標註工具，來輔助上課對象的影像標記之用，卻意外大受對方歡迎，甚至有意購買這套工具軟體，這讓木刻思執行長張家齊發現了一個臺灣資料標註平臺的市場機會。

花了一年多研發，木刻思在2018年推出一套資料預標註平臺LabelHub，可提供標註資料與影像辨識模型訓練，連台積電都採用來訓練廠區工安機器人。張家齊表示，下一步正在開發一套可以分辨標記師品質的評分機制，可以用來改善影像資料標記的方法，希望能鎖定製造業廠區安全、產線瑕疵辨識或醫療影像疾病檢測等。

比如說，臺積電在去年臺灣最大半導體展中，展出這項廠區工安機器人的成效，可用來偵測廠區異常，加強廠區工安。木刻思採取半監督式學習（Semi-supervised learning）的訓練方式，透過兩張相同場景、但其中的物件擺放位置不同的資料，比如正常照片與異常照片對比，異常照片中可能有梯子、三角錐倒下、不明物件掉落等，直接給定哪一張照片正常、哪一張異常，讓模型透過比對，來學習異常情境可能的樣態，並由客戶進一步標記出異常照片中的物件，來定義其異常原因。

此外，木刻思團隊也以國外開源的胸腔X光片資料，運用LableHub平臺研發了一個可以辨識八種肺部病徵的影像辨識模型，辨識率達82-83%。張家齊表示，若客戶有需求，會將模型內建到平臺中供客戶使用，只要以臺灣在地化影像訓練後，就能使用於臨床上協助醫生診斷。木刻思目前也與五個醫院專案在洽談合作。

LabelHub平臺利用國外影像資料庫訓練出來的肺部病徵標記模型，可同時辨識8種肺部病徵，準確率約8成。

木刻思研發評分機制，要找出標記品質不佳的影像與標記者

一般訓練AI模型時，需要使用大量標記過的影像來訓練，但是因為，標記影像量動輒數十萬或百萬張，多半會由多位標誌師依據一套判斷規則分工標記，全部標記完後，再由一個人複查（通常專案經理PM），找出符合標準的那一批影像（稱為Ground Truth版資料），再用這批資料來訓練AI模型。

為此，木刻思也正在開發一套評分機制，要來輔助客戶訓練模型時，標記影像辨識效果複查的過程。張家齊舉例，製造業常會有高達100萬張的影像，可以用來優化瑕疵檢測模型，若有3個標註師來標記成果，可以得到人工標記的300萬張影像。此時，需要PM根據1組3張影像中，選出最符合要求或標準的正確答案（ground truth），也就是說，PM須要檢視300萬張圖片才能選出每一組圖片的Ground Truth版本，再以此來訓練模型。

LabelHub平臺評分機制則採取抽樣的方式，從前述100萬組人工標註影像中，抽樣取出1000組、共3000張影像，由專案經理找出每組三張中，最符合標準的那一張。LabelHub平臺評分機制會用其餘兩張影像與符合標準的那一張，比較標記位置的差距，來建立一個衡量標記品質的AI評分模型，差距越大分數越低，差距越小分數就越高。最後，再用這個AI評分模型，來對其他99.9萬組已標記影像進行評分，找出其中最符合標準的那一套Ground Truth影像作為訓練用的資料。

「AI標註的準確率越來越高，直到比所有標記人員強的時候，反而是人可能會標錯，所以我們有第二套評分機制，讓人與AI互評。」張家齊表示，初期模型標記功能還不強，需要透過人工複查與評分機制不斷優化，但當模型辨識精準度與效率都超越人類時，就需要轉換為另一套評分機制，讓AI也能對不同標記人員的表現評分，也就是雙向互評功能，目前已完成功能開發，正在進行最後測試階段，張家齊表示，年底前會優先釋出對影像標記成果的評分機制。

不過，張家齊表示，這套評分機制主要用途是找出資料標記有誤，或是標記表現不佳的標記者，來協助專案管理者更有效率的挑出標記正確的資料，因此適用於標記者較多的場景，比如醫院的標記成本高，通常只由1-2位醫生負責標記，就不太適用。

LabelHub五大管理功能，讓用戶快速標註影像與訓練模型

LabelHub也推出5大管理功能，包括人員權限、原始資料、標記成果、模型版本與運算資源的管理，來提高模型訓練過程的專案管理。基本的權限管理可分成資料標記人員、IT維運人員、AI工程師、系統管理者等，各有不同的操作介面和權限。資料來源則可支援存放在公有雲、私有雲、混合雲，或Hadoop平臺的儲存空間；此外也內建Kubernetes工具，直接可以監測運算資源的溫度、記憶體用量等，執行模型訓練任務時，可支援GPU和支援Google的TPU晶片。

在影像標記機制上，提供方框和塗色兩種標註工具，內建了上述的評分機制，可分類按作業流程來檢視；使用者也能自行設定模型版本控管的儲存機制，比如迭代100個Epoch儲存一版，但只限於使用LabelHub平臺訓練的模型。

LabelHub平臺使用者介面，可以看到左側能管理使用者權限、專案管理、工作管理、儲存空間管理等功能，而運算資源管理則在另一個平臺介面中。

目前，木刻思主要顧客是醫院專案，國內有5個專案在進行，LabelHub內建了胸腔X光影像辨識模型，還有牙齒X光、視網膜光學斷層掃描儀（OCT）的初步影像辨識模型，這三者都需要再優化來提高精準度，才能用於臨床診斷。未來，3D醫療影像系統的應用愈趨普及，木刻思則正在開發3D醫療影像的標記機制，預計在今年底，可支援CT與MRI影像的標記。

而木刻思目前正在募資，準備將LabelHub平臺從公司拆分出去獨立成一家公司。張家齊坦言，市場變化快，影像標記平臺的競爭已經越來越激烈了，就算是比較早推出的LabelHub也得抓緊時間，持續改版才行。