10月初，刑事警察局發出知名訂房網Booking.com疑似個資外洩的警訊，指出從今年5月起，165反詐騙就陸續接獲民眾通報，接到假冒Booking.com的詐騙電話，至今，該平臺已經連續21週警示於高風險賣場名單，並且遠高於所有訂房類型網站，而根據統計，今年受騙上當者已有228人，財損金額達3,362萬元。

由於近年來，165反詐騙專線每週都會公布高風險網路賣場名單，因此，我們進一步詢問內政部刑事警察局，還有那些是近期值得注意的高風險賣場名單？該局預防科偵查員劉昭男表示，近半年來，自今年3月至9月底止，民眾通報「解除分期」詐騙案件最多的網路平臺，排行前五名是MKUP美珈（408件）、小三每日（310件）、讀冊生活（229件）、Booking.com（228件）與ANDEN HUD（89件），總共通報件數破千。

不過，若以上榜週數來看，Booking.com以21次最多，小三每日是15次、讀冊生活是13次，雖然Booking.com通報件數並非近半年最多，但用戶遭詐騙的情況持續發生，詐騙高峰期已長達5個月，比起過去一般詐騙高峰期是2～3個月要長，引發警方關注，因此提醒民眾要特別注意。

例如，最近一起受害民眾的案例，是北市1名32歲林姓醫師，他接到假冒「Booking.com」客服人員的詐騙電話，對方誆稱系統異常，導致醫師的訂單有重複下單與扣況的情況，將通報銀行協助處理。接下來，有另名歹徒假冒銀行客服來電，謊稱要民眾配合至ATM操作，就可以取消扣款。林姓醫生誤信後，聽從歹徒指示操作，被騙走164萬餘元。

因此，刑事局再次向大眾呼籲，注意這類「解除分期」的詐騙行為。基本上，民眾要認識這類詐騙的，首先，詐騙集團會透過駭客盜取民眾網路交易資料，再假冒網站及銀行客服人員來電行騙，更重要的是，詐騙集團可以把來電顯示，竄改為真正的銀行客服專線號碼。因此，民眾必須要有警覺性，不要因為對方說得出自己過往的交易細節，或來電顯示號碼是金融機構的號碼，就輕信對方身分，同時也提醒民眾需牢記，「在ATM或網路銀行上，並沒有任何解除扣款或取消訂單的功能。」

對於資料外洩的問題，我們也詢問Booking.com，因為他們並沒有發出資料外洩的資安公告，目前看起來也只有臺灣傳出這類詐騙問題，以及是否與其網站架構有關等。他們回應表示，目前正在與總部確認這次的情況。至截稿前，他們仍未回應。

還有值得留意的是，在近半年的高風險賣場前五名中，我們注意到，像是「讀冊生活」在2018年度就常出現在榜上，「ANDEN HUD」在2017年度也是。對此，劉昭男表示，若把時間拉長來看，這兩家平臺在資安改善的情形，實在不盡理想，造成每隔一陣子後就又出現詐騙案件。

因此，刑事警察局也提醒，對於屢次勸告均未改善資安的網路賣場，希望民眾應抵制避免使用，以保障自身財產安全。

另外他也表示，過去其實也有某家電商遇到這種情形，只是該業者表示每次改善後過，沒多久又被駭客攻破，最後就是一次把資安防護規格拉更高才解決。

AWS在其Kubernetes服務正式推出支援Windows容器功能，使用者現在可以在Windows伺服器上安裝應用程式，並且與其他Linux應用程式一同部署在Kubernetes上，這項功能同時提供系統日誌、效能監控以及程式碼部署工作管線。

Kubernetes在今年3月底發布1.14版本時，開始支援Windows容器，讓使用者可以將Windows節點加入工作節點（Worker Node）或是進行Windows容器調度，使得Windows龐大生態系的應用程式，都可以部署到Kubernetes平臺上。

Amazon EKS是AWS的Kubernetes服務，簡化了建構、保護以及維護Kubernetes叢集的工作，讓企業組織不需要花費太多心力操作Kubernetes。在三月Kubernetes釋出1.14版本之後，AWS也隨即發布在Amazon EKS上Windows容器支援預覽，而現在AWS搶先在其他雲端供應商之前，宣布開始在Kubernetes服務上正式支援Windows容器。

要在Kubernetes上執行Windows容器，需要使用Kubernetes 1.14或是更新的版本，AWS提到，目前在叢集中至少需要有一個Linux節點來支援Windows節點和Pod網路，AWS建議用戶可以使用兩個Linux節點來實現高可用性。另外，Windows容器通常比Linux容器大，因此下載和啟動的時間都會更久。

AWS現在於EC2的高記憶體系列加入了擁有18 TiB以及24 TiB記憶體的執行個體，用戶可以使用這些高記憶體執行個體來執行大規模SAP HANA安裝。這些高記憶體執行個體與其他EC2執行個體一樣，都能夠使用AMI（Amazon Machine Image）以及各種管理工具。

這些高記憶體的執行個體，是可以在VPC（Virtual Private Cloud）中運作的裸機執行個體，在預設情況下為EBS（Elastic Block Store）最佳化。最低的規格為u-6tb1.metal擁有6 TiB記憶體，專用EBS頻寬為14 Gbps。

而新的u-18tb1.metal與u-24tb1.metal執行個體，則分別具有18 TiB以及24 TiB記憶體，存在8個插槽，使用第二代Xeon可擴展處理器，專用的EBS頻寬都提升為28 Gbps，AWS提到，加大的專用頻寬可以加快資料載入記憶體的速度，9 TB的資料只要花費45分鐘，相當於每秒3.4 GB。

最新的u-18tb1.metal與u-24tb1.metal執行個體，目前只在美東的北維吉尼亞區域推出，之後會逐漸在各區域開放。

密碼管理工具開發商LastPass在本周發布的第三屆《全球密碼安全報告》（Global Password Security Report）中指出，已有57%的企業要求員工採用多因素認證（MultiFactor Authentication，MFA），比去年的45%增加了12個百分點。最熱門的MFA解決方案為軟體，成為95%的企業員工首選，只有4%員工採用硬體解決方案，1%採用生物辨識解決方案。

這項研究報告是LastPass針對4.7萬家客戶所做的調查。以國別來看，丹麥採用多重認證的用戶比例最高，達46%，其次是荷蘭（41%），瑞士以38%位居第三。

若從產業別來看，不意外的，科技/軟體產業採用MFA的比例最高，為37%，其它依序是教育界（33%）、金融業（32%）、通訊業（31%）及政府組織（27%）。

而規模愈大的企業採用MFA的比例也愈高，例如1萬名員工以上的企業採用MFA的比例便高達87%，1千到1萬名員工的企業也有78%，1千名以下員工的企業採用MFA的比例便降至44%，若是25名員工以下的企業，則僅有27%採用MFA。

然而，根據Verizon所發表的2019年資料外洩調查報告，有43%的網路攻擊是鎖定小型企業，而被駭客入侵的中小企業中，有60%在半年內就破產。這使得LastPass警告這些中小企業，不要以為自己不會成為駭客的目標。

另一個有趣的調查是詢問員工必須記住的密碼數量，令人驚訝的是，媒體或廣告業的員工平均每人要記住97個密碼，通訊產業的員工要記住81個密碼，科技/軟體業的員工要記78個密碼。可能是因為要記太多密碼了，所以員工的一個密碼平均會重覆使用13次。

由Mozilla資助的安全審核，發現了一個在MacOS終端模擬器iTerm2存在7年的漏洞CVE-2019-9535，這個漏洞可以讓攻擊者在使用者電腦上執行命令。iTerm2開發者現在已經發布最新的3.3.6版本，Mozilla提醒使用者應該要盡快更新。

這個MacOS終端模擬器iTerm2的重大安全漏洞，是由MOSS（Mozilla Open Source Support Program）資助的安全審核發現。MOSS在2015年成立，開始為開源技術人員提供資金支援，協助開源與自由軟體的發展，同時還支援開源技術的安全審核，由於Mozilla本身是一間開源公司，而MOSS計畫則是他們提供資金，確保開源生態系健康發展的方法之一。

iTerm2是熱門的終端模擬器，由於iTerm2受到開發者與系統管理員廣泛使用，而且處理不受信任的資料，因此MOSS這次選了iTerm2，並委託ROS（Radially Open Security）進行安全審核工作。

ROS發現iTerm2中的tmux整合功能有嚴重的漏洞，而且漏洞至少已經存在7年，其允許在許多情況下，攻擊者可對終端產生輸出，在使用者的電腦上執行命令。ROS提供了攻擊範例影片，而影片因為只是表達概念性驗證，因此當使用者連接到惡意的SSH伺服器後，攻擊者僅示範開啟了計算機程式，實際上還可以進行更多惡意指令。

Mozilla提到，這個漏洞需要一定程度的使用者互動，攻擊者才能進行後續的攻擊行動，但是由於使用普遍認為安全的指令就會受到攻擊，因此被認為有高度的潛在安全影響。現在Mozilla、ROS與iTerm2開發人員密切合作，推出了最新3.3.6版本，而3.3.5的安全修補程式也已經發布，Mozilla表示，雖然軟體會主動提示更新，但是希望開發者能主動進行更新，減少可能被攻擊機會。

現年29歲的新加坡居民Matthew Ho，因盜用AWS及Google Cloud的運算資源進行挖礦，涉及美國電信詐欺、裝置存取詐欺與身分竊盜等14項罪名，至少面臨34年的牢獄刑責。

Ho會遭到FBI的調查，是因為他盜用了美國加州與德州居民的身分及信用卡資料，並冒用他人的身分租賃AWS與Google Cloud的雲端運算資源以用來挖礦，再把所得的比特幣及以太幣等加密貨幣轉換成法定貨幣，Ho在今年的9月26日遭到新加坡警方的逮捕，當地也正在調查Ho是否違反了新加坡法令。

Ho的犯案時間是在2017年10月到2018年2月間，正值加密貨幣身價水漲船高的年代，但Ho先是盜用了加州一位知名遊戲開發者的身分及信用卡資訊，建立一個虛假的電子郵件帳號，再使用社交工程技術來哄騙雲端運算供應商，以讓供應商願意提高他的帳戶權限，增加處理能力與儲存空間，還能延後付款。

有另一名在印度成立科技公司的德州居民也成為受害者，Ho亦盜用他的身分在AWS與Google Cloud上建立帳號，以這些雲端運算資源來挖礦。

根據調查，Ho以他人身分所盜用的雲端運算資源價值超過了500萬美元，還曾一度是AWS在資料使用上的最大顧客。

在美國觸犯電信詐欺最高可被判刑20年，裝置存取詐騙則是10年，再加上其它刑責，Ho至少面臨34年的牢獄之災。

蘋果於台北時間周二釋出最新版macOS 10.15 Catalina。不過iTunes移除後，卻出現第三方音樂app無法使用iTunes資料庫，以及Catalina安裝耗時數小時的災情。

macOS Catalina最大變更之一，是iTunes將在20年後功成身退，由Apple Music、Apple Podcasts與Apple TV三個app取而代之。一般用戶可能沒受太大影響，但是卻在大量仰賴Mac電腦以及iTunes，來管理音樂檔案的DJ之間，引發重大災情。

一直以來iTunes是DJ們工作必備工具，一來iTunes對XML的支援，讓DJ得以編輯歌單和管理音樂資料庫，二來其他第三方應用程式利用「iTunes資料庫XML」功能，存取iTunes資料庫，許多DJ常用的app像是Rekordbox、Traktor等，也都靠這項功能使用iTunes資料庫中的音樂。

但接手iTunes音樂播放功能的Music app並未繼續支援XML。Mac Catalina移除iTunes的同時，也移除了XML支援，切斷第三方DJ app和iTunes資料庫的連結，使DJ利用這些app辛苦建立的歌單無法使用。蘋果呼籲大量使用XML的用戶繼續使用Mojave，不要升級到Catalina，以免過去的心血花為烏有。

排除DJ族群，也不是所有人升級Catalina都順心如意。部分用戶升級Catalina時發生安裝異常問題。有用戶在蘋果討論區抱怨，他的電腦安裝Catalina時顯示「正在估計剩餘安裝時間...」的訊息後即卡住數小時。另一些人則是卡在「設定您的Mac」的畫面。有人共花了3小時才安裝成功，另一名用戶的iMac升級Catalina裝了超過9小時還沒完成，MacBook Pro也用了1小時。

目前蘋果尚未說明原因。在官方解決問題前，MacRumors綜合網友的經驗提供簡單的解法。當出現「設定您的Mac」的畫面時，表示設定已經大抵完成，這時只要關閉Mac電腦再重開機，即會出現鎖定螢幕畫面，用戶即可輸入帳密重新登入。但如果使用者在「設定您的Mac」畫面未出現前就急著重開機，會導致前面的安裝過程又會再重來一次。

瑞典皇家科學院（Royal Swedish Academy of Sciences）本周宣布，領導發明鋰離子電池的三位科學家，約翰·古迪納夫（John Goodenough）、斯坦利·惠廷厄姆（Stanley Whittingham）和吉野彰（Akira Yoshino）因「創造了可重複充電的世界」，贏得2019年的諾貝爾化學獎。其中的Goodenough今年97歲，是至今為止年紀最大的諾貝爾獲獎者。

目前鋰離子電池因其輕量化、高能量密度、無記憶效應、可重複充電、續航力強大等特性，不僅被應用在行動電話、筆記型電腦等消費性電子及IT領域，在電動汽車、航空、軍事等領域也被廣泛使用，對於減少石化燃料的使用貢獻良多。

在1970年代，由於發生石油危機，Goodenough即開始進行鋰離子電池相關的研究。在如今包括風能和太陽能的各種綠能科技逐漸普及，鋰離子電池的重要性益發明顯。

對一般人來說，鋰離子電池容易與下面兩種電池混淆：鋰電池（Lithium battery）雖然常常用作為鋰離子電池的簡稱，但嚴格意義的鋰電池內含純態的鋰金屬，是一次性使用、不可充電。鋰離子聚合物電池（Lithium-ion polymer batteries，也常稱為「鋰聚合物電池」）：是鋰離子電池的改良，利用膠態或固態聚合物取代液態有機溶劑的可充電鋰離子電池，其安全性較好，不會爆炸，還可以塑造各種不同形狀的電芯，成為了現在的主流形式電池。

香港抗爭運動再度引發中國打壓言論自由爭議。蘋果App Store才在本周恢復HKmap 即時地圖程式，中國版App Store卻又在昨天移除報導香港抗爭新聞的媒體Quartz的app。

Quartz告訴The Verge，該公司兩天前接到蘋果通知，在中國政府要求下，Quartz iOS app已從中國版App Store下架，理由是該網站包含中國政府認為非法的內容。此外，Quartz網站也被中國的網路防火牆完全封鎖，無法再由中國境內存取。

Quartz執行長Zach Seward表示，原因是該公司近日一項報導提供一系列能繞過中國或印度國家防火牆過濾內容的方法，包括VPN服務，此外這家媒體網站也包含其他關於香港抗爭行動的新聞連結。

過去蘋果也曾以違反中國法律為由，從中國版App Store移除VPN app、Skype或Telegram等加密通訊程式，及紐約時報app。

這是最近一次因香港抗爭活動問題，迫使服務商緊急行動以平息中國不滿。上周NBA 休士頓火箭隊總經理Daryl Morey，因發出支持香港抗爭行動的推特貼文，引爆中國民眾及官媒揚言抵制，迫使Morey撤文及火箭隊和NBA官方出面道歉。上周末遊戲開發商暴雪娛樂（Blizzard Entertainment）舉行的一場賽事中，一名香港選手在訪談中頭戴護目鏡與防毒面罩高呼支持香港抗爭運動，遭大會除名及收回獎金。

NBA事件還有後續插曲。動畫影集南方公園（South Park）團隊事後在推特上發表諷刺NBA的「官方道歉」，表示「和NBA一樣，我們歡迎中國的言論審查，」該團隊說自己也很愛錢，勝過自由和民主，以及中國國家主席習近平長得完全不像小熊維尼。

歐盟會員國近日共同發表了5G網路風險評估報告，列出在未來5G網路時代可能面臨的安全挑戰，當中包括了對行動網路營運商之供應鏈的顧慮，指出可能因為過於依賴這些供應商，而讓駭客有更多的攻擊途徑。

5G網路是數位化經濟與社會的未來骨幹，來自能源、交通、銀行、健康醫療與包含敏感資訊與支援安全系統的工業控制系統等幾十億的聯網裝置與系統與其相關，因此，確保5G網路的安全與韌性至為重要。

不過，該份名為《歐盟5G網路安全統合風險評估》的報告是在歐盟支持下，由28個會員國代表所組成的網路安全組織所製作，被視為是歐盟在中國影響與美國壓力下，針對5G與其他關鍵基礎建設的更進一步評估審視。

根據該報告，由於5G網路日益重視軟體，因此更容易受到軟體漏洞的影響；且有鑑於5G網路將成為許多重大IT應用的骨幹，網路的完整性與可靠性將與國家安全息息相關。值得注意的是，該報告強調各國的行動網路營運商對供應商的依賴，可能會擴大攻擊表面，也讓個別供應商的風險指標變得特別重要，包括供應商可能受到非歐盟國家的干預。

此外，該報告還指出，來自非歐盟國家或由政府支持的駭客集團，被視為是會造成最嚴重後果的攻擊者，也最可能鎖定5G網路展開攻擊。

儘管歐盟的報告並未提及華為，但路透社引述華為發言人的說法指出，很高興歐盟堅持採取以證據為依歸的原則，並發展出一套普世作法以提供安全5G網路。

前一陣子，剛好有機會參加今年全國醫院資訊主管會議的晚宴，席中大家討論的熱門話題之一，就是多家醫療院所在8月底遭到勒索軟體攻擊。在另一場由儲存廠商與網路、系統設備廠商合開的記者會上，恰巧找來一家大型醫院的資訊主管來證言，他也提到所屬醫院的確受到此次勒索攻擊的影響，所幸他們備有全快閃儲存陣列，以及完善的資料保護措施，而能在這次事故之後，實現快速復原。

事實上，勒索軟體只是眾多資安威脅之一，無論企業的IT架構是朝向現代化發展，還是守著傳統舊系統，都必須要有對應的資安防護對策，甚至要持續提升事前預防與事後反應能力。

因為，企業若採用新技術、開放式架構，暴露在外的攻擊表面（Attack Surface）可能會跟著增加；然而，就算企業按兵不動，繼續以原有IT架構來支撐各種業務的維運，為了因應不斷增加的使用者需求，以及工作生產力與人員溝通效率的確保，IT也很難繼續採取完全閉鎖的態勢，勢必要開放某些部分來提供更多便利性，如此一來，在應用程式、網路、系統的層級，也有可能會出現「門戶洞開」的狀況。

為了盡可能杜絕威脅的進犯，我們得知有些資安預算較充足的單位，本身就有多種存取行為的檢測系統，像是次世代防火牆、網站應用程式防火牆、網頁安全閘道、郵件安全閘道、資料外洩防護系統；同時，他們還會積極建構多種隔離措施，像是桌面虛擬化、網路虛擬化，或是遠端瀏覽器隔離系統（RBI）、內容威脅解除與重組系統（CDR），避免使用者直接接觸到原始的應用系統或檔案，造成惡意軟體大規模感染。

但在當前這種無邊界的網路與內容存取應用之下，企業若要全面落實資安管控的工作，總是要花大錢、單靠產品來做好守衛嗎？建立與導入適合的流程，仍是必要的。例如，要實踐USB外接裝置的控管，有些單位會搭配使用者登記使用的工作流程，接著，IT人員會將套用加密保護、經過掃描、淨化的USB隨身碟，提供給使用者，之後，再把隨身碟繳回給公司。

而我這裡所提到的「顧後」，其實，也不光是針對資訊安全的層面，還包括如何讓既有IT系統持續維運、持續因應新的業務變化。因為在企業開始改良應用系統架構的過程當中，雖然會設立新的開發專案來建構企業所要的新一代服務，但若面對原有的系統環境之時，也並非只考量如何導入新技術來改良，也涉及如何將系統遷移到新的作業環境、重新改寫程式碼等因素。

所幸，經過前幾年各種IT技術的推陳出新之後，今年，我們開始看到企業級IT廠商，經過這段時間的摸索與調整，對於工作負載繁重卻重要的資料庫系統、以老舊語言撰寫而成的應用程式，都提出了一些「上雲」的解決之道（不只是將系統搬到公有雲執行，而是能夠進一步以容器化、微服務化架構的方式來執行）。

例如，Micro Focus今年4月在臺舉辦的Realize 2019大會上，就特別提到他們的Visual COBOL，能讓COBOL程式支援Docker容器的部署，這讓大型主機的應用也能夠有機會上雲；而IBM在9月推出的Cloud Paks，將旗下眾多的企業級軟體，依照目前企業用戶常見的需求包裝成多個服務套件，當中包含：應用程式的建構、大數據分析與AI、應用程式整合與API管理、應用程式／業務流程／內容數位化的自動化作業，以及多雲管理──底層由Red Hat OpenShift支撐，上層則是容器化的IBM商用軟體。

而這些原本專屬於企業級軟體所擅長的領域，其實，也是現代化IT架構目前仍難以深入其中的部份，隨著大型軟體廠商越來越懂得用雲、上雲，這些過去可能被視為包袱的老舊環境，未來也有可能逆勢翻轉成新的優勢，為IT廠商與企業帶來新的競爭優勢。

購票平臺個資外洩客戶遭騙判決出爐，在個資法賠償外，業者並需負起部分過失責任

今年9月，一起關於EZ訂（EZding）購票平臺個資外洩的民事判決結果出爐，經過2年訴訟與審理。案經一審判定，業者需依個資法賠償民眾2萬元，之後二審法院指出，EZ訂應對用戶遭詐欺的損害賠償，負起7成過失責任，因此判處該公司需給付受害者19萬4,524元，且不得上訴。更多內容

HTTPS內嵌不安全傳輸！Chrome將逐步封鎖

為了更嚴格執行網頁實行HTTPS加密的規定，Google宣布，從今年12月的Chrome79開始，Chrome將逐步封鎖HTTPS網頁中，以HTTP下載的內容，包括影音及圖片檔、iFrame等。

Google表示，現在Chrome用戶超過90%的上網時間是花在HTTPS連線上。但是混合內容（mixed content）則成了漏網之魚。雖然瀏覽器會預設封鎖腳本程式和iFrame，但是仍然允許圖片、聲音和影像內容下載，這些就成了用戶隱私和安全威脅，例如駭客可能竄改公司股價圖誤導投資人，或在這些內容注入追蹤行蹤的cookies。此外，混合內容也會引發使用經驗（UX）上的混淆，因為網站會顯示為介於「安全」和「不安全」之間。更多內容

Windows 7付費延伸支援開放中小企業購買

微軟宣布從12月1日起，Windows 7付費延伸支援服務對象，從原本只提供給購買大量授權方案的Windows 7 專業／企業版用戶，現在擴及中小企業用戶。

Windows 7的延伸支援即將在2020年1月14日終止，Office 2010的支援也即將於近期截止。為了讓企業用戶在大限之後，仍能獲得Windows 7的安全修補程式，微軟提供了Windows 7延伸安全更新，在2023年1月以前，可依電腦臺數付費購買安全修補更新。

Windows 7 延伸支援並不便宜，而且逐年調高價格。針對Windows 企業版及Microsoft 365用戶，第1年每臺裝置收費25美元、第2年50美元，第3年的費用再加價到100美元。

市調公司GlobalStats的數據顯示，截至今年8月，全球使用Windows 10的電腦比例來到6成，但還有3成的電腦跑Windows 7，位居第二位。更多內容

微軟再發布IE漏洞例外修補，所有版本都要安裝

半個月前微軟發布例外修補程式，以修補IE零時差攻擊漏洞，但可能引發了些問題，10月4日微軟二度發出例外修補程式，並提醒所有Windows版本用戶都應立即安裝，因為已經有攻擊發生。微軟並提醒用戶，這波更新後，還是要安裝10月的安全更新。

微軟指出，KB4524147版本修補程式是9月24日的例外更新的擴大發布，屬「必要安全更新」，主要修補編號CVE-2019-1367的IE零時差攻擊漏洞。雖然微軟已警告網路上已有這項漏洞的攻擊程式，但僅透過Windows Update Catalog發布，需要用戶手動下載。最新的例外修補程式則會經由Windows Update、以及企業用戶的Windows Server Update Services (WSUS)，自動更新到用戶電腦。更多內容

可在華為Mate 30手機安裝Google行動服務的操作，被臺灣研究人員揭露後下架，並研判華為知情且默許

華為最新款Mate 30系列智慧型手機，在美國銷售禁令影響下，雖然仍可使用Android開源碼專案，但無法獲得Google行動服務（GMS）的認證與授權，因此沒有預裝Google應用程式。

但Mate 30系列推出不久，網路上開始流傳能幫華為新機安裝Google行動服務的方法。一名臺灣的Android系統研究人員吳泓霖，便對此提出相關分析與調查，並揭露華為手機的後門手法。更多內容

法國將成為歐洲首個以人臉辨識驗證電子身分的國家

圖片來源_interieur

法國政府打造的電子身分證程式Alicem，準備在今年11月正式上線，將使法國成為歐洲首個透過人臉辨識技術，來確認民眾身分的國家。不過，Alicem在當地同時引發了有關隱私及安全上的疑慮。

當法國居民要建立個人身分帳號時，必須先利用智慧型手機自拍一段影像，以讓Alicem系統確認所輸入的身分的確是民眾本人。反對者宣稱，Alicem違反了歐盟所制定的用戶同意權規定，它要求企業或政府組織在處理個人資料時，使用者必須能夠擁有是否同意的自由選擇權，且當不同意時不會有任何不良後果，但Alicem卻硬性規定民眾只能透過人臉辨識來驗證自己的身分。更多內容

微軟發表Surface裝置，雙螢幕款手機與筆電入列

微軟發表了五款Surface裝置，除了更新既有產品線Surface Laptop與Surface Pro之外，令人驚豔的是兩款新Surface產品：雙螢幕的Surface Neo筆電與雙螢幕的Surface Duo手機。

Surface Neo筆記型電腦配備兩個9吋螢幕，以及能夠360度旋轉的螢幕轉軸，展開後便擁有13吋螢幕，採用微軟專替雙螢幕電腦客製化的Windows 10X作業系統。

微軟將Surface Neo定位為個人電腦，強調它像PC一樣具備生產力與多工能力，除了具備可拆卸的鍵盤之外，也相容於Surface Pen及藍牙滑鼠。在雙螢幕筆電上，使用者可以在一個螢幕上瀏覽專案內容，在另一個螢幕上作筆記，或者是在一個螢幕上進行視訊會議，在另一個螢幕檢視報表文件。

Surface Neo可說是微軟替Windows 10X所開發的參考設計，包括華碩、Dell、HP與聯想，都準備推出基於Windows 10X的雙螢幕筆電。不過，都要到明年秋天才會出爐。更多內容

PayPal正式退出臉書加密貨幣Libra協會

PayPal向媒體證實，已正式退出由臉書（Facebook）所發起的加密貨幣組織Libra協會（Libra Association），成為Libra協會28名理事成員中，第一個退出的業者，外界正密切關注是否會引發骨牌效應。

臉書今年6月發表Libra加密貨幣，同時成立Libra協會，負責管理Libra幣、Libra區塊鏈與Libra儲備。Libra協會有28家創始會員，臉書原本預計招募100個理事成員，但在Libra幣招來外界大規模質疑之後，理事成員非但沒有增加，PayPal已宣布要退出，據傳還有其它業者亦正考慮退出Libra協會。更多內容

HP宣布組織重整，準備減少16%人力

圖片來源_Cinerama14 (CC BY-SA 4.0)

專門提供個人電腦／印表機銷售與3D列印服務的HP，在本月舉行的分析師會議上，宣布了對2020財年的展望與組織重整計畫，準備在2022財年以前，減少7,000到9,000名員工，約佔HP全球員工數的16%。更多內容

又一家主要軟體平台移除香港抗爭運動的相關內容。華爾街日報報導，Google周四將一個支持香港抗爭運動的遊戲app從Play Store移除，理由是「利用悲劇謀財」。

遭到移除的遊戲app名為「時代革命1」（The Revolution of Our Times 1），雖然正版已被從Play Store移除，但目前還可在快取網頁中看到其描述。這項遊戲類似市面上的冒險遊戲一樣，讓使用者選擇他在這場運動中的行動，作為故事發展的故事線。遊戲描述寫道，「香港原是個法治的繁榮社會，但林鄭月娥一手摧毁了這一切，她試圖違背超過2000萬香港民眾意志，強力通過一條爭議性高的引渡條款。」

Google對媒體表示，移除這款app的理由是它違反Play Store禁止「利用敏感事件，像是持續中的嚴重衝突或悲劇獲利」的條款。這項遊戲本身是免費的，但是提供程式內購買抗爭者需要的物資，售價從0.99到14.99美元不等。在遭到移除前，這項遊戲的下載次數只有1,000多次，但給予良好評價者似乎也是香港抗爭運動的支持者。

這是香港抗爭運動延燒網際網路產業的最新事件。蘋果數天前才恢復上線的港警路線即時地圖HKLive.com，昨天又在中國媒體抗議後再度從App Store移除，引來媒體及政治人物批評，迫使蘋果執行長對員工發出公開信為此事抗辯，理由是這些資訊被用來攻擊警察，並造成人民生命財產損失。遭移除的還有報導香港抗爭運動的新聞媒體Quartz的iOS版app。

重點新聞(1004～1010)

 華為   TinyBERT      NLP  

更小更快！華為發表TinyBERT準確度不輸Google BERT

華為日前發表自然語言處理（NLP）預訓練模型TinyBERT，不僅比Google BERT模型小上7.5倍，推論速度更快上了9.4倍，對硬體資源有限的使用者來說是新選擇。一般來說，預訓練模型的準確度遠高於從零開始、利用有限的資料集來訓練的NLP模型，但是，正因為預訓練模型採用巨量資料和參數訓練而成，因此難以轉移到硬體資源有限的裝置上運行，就連Google去年發表、公認最優秀的BERT模型也是。

為了保持準確度並壓縮BERT模型大小，華為開發了知識提煉（KD）和師生框架，也就是將從大型老師網路學習到的語言特徵，轉移到小型的學生網路，來模仿老師網路的行為。至於KD，雖然在許多領域已有研究，但鮮少用於NLP。華為研究員自創的KD有兩個重要概念：Transformer提煉與兩階段學習框架，透過Transformer提煉，可有效從老師BERT模型中提煉出語言模式，而兩階段學習框架的特殊之處，則在於在大型文本語料庫和下游微調過的TinyBERT之間，增加一個通用的TinyBERT，以便將知識轉移到以任務為導向的下游TinyBERT中。（詳全文）

DeepMind     GAN     TTS  

DeepMind用GAN-TTS來產生高逼真的語音

DeepMind日前發表一項研究成果，團隊利用對抗生成網路（GAN）來進行文字轉語音（TTS）任務，產生逼真度高的語音音檔。文字轉語音是一種將文字轉換為類似人類語音的輸出過程，最常見的生成網路就是WaveNet，但由於WaveNet一次只能靠一個音頻樣本來照順序生成語音，不適用於平行運算，也因此，團隊選擇平行性高的GAN來提高TTS效率。

DeepMind的GAN-TTS模型由一個生成器和一系列鑑別器組成，生成器負責產生原始音檔，鑑別器則負責分析這些音檔。DeepMind指出，生成器的輸入值為序列型人類語音音檔和音高（Pitch）訊息，然後要學習利用語音音檔的語言特徵和音高訊息來產生原始音檔，接著，DeepMind利用隨機窗口鑑別器（RWD）來分析音檔真實度，以及音檔與目標語言的對應程度。為了評估模型效果，DeepMind使用平均意見評分（MOS），將GAN-TTS與先前的研究比較，結果顯示，GAN-TTS可生成高保真語音，最佳模型的MOS得分為4.2，只比SOTA等級低0.2分。（詳全文）

  TensorFlow 2.0     Keras    深度學習 

TensorFlow 2.0正式版釋出，與Keras更緊密整合

開源深度學習函式庫TensorFlow團隊日前終於正式發表TensorFlow 2.0。這個版本強調易用性，加強與Python開源神經網路函式庫Keras的整合，並且簡化API，降低了功能重複（Duplication）。

在與Keras的整合部分，開發者可透過TensorFlow 2.0使用Keras的建模API，像是序列式（Sequential）、功能式（Functional）和子類別（Subclassing）等。而這些API可與Eager Execution功能一起使用，Eager Execution是TensorFlow的命令式程式開發環境，能立即執行程式碼評估操作，讓開發者快速對程式碼除錯並進行迭代。另外，Keras 模型建置API也可以結合tf.data，建置可延展的出入工作流程。（詳全文）

  Google     量子運算    深度RL  

Google用深度強化學習加速量子運算

Google日前發表一項優化量子運算的方法，利用深度強化學習（Deep RL）來優化量子位元誤差值的預測。Google指出，量子位元（qubit）是量子運算的基本單位，但量子位元有許多難以操控的特性，比如控制電子的缺陷會影響量子運算保真度，進而影響量子裝置的應用。

為進一步控制量子位元，研究員首先要建立實體的量子控制過程模型，以便精準預測誤差值。這很重要，因為在運算過程中丟失的量子訊息，不僅會造成錯誤，還會降低量子運算的表現。Google研究員因而開發了一套優化工具，來提高新量子控制成本函數。他們採用了信賴區間強化學習（也就是策略型深度強化學習方法），可在控制軌跡中使用非局域的特徵，而非像是大海撈針般去嘗試各種解法。Google表示，實驗結果顯示，深度強化學習方法在各項測試基準中表現良好，而且對樣本雜訊具有良好的韌性。（詳全文）

 工業局   AI Hub    AI產業化 

工業局推AI Hub一站式服務，要當AI產業化推手

經濟部工業局與資策會、北市電腦公會、中華民國資訊軟體協會、台灣區電機電子工業同業公會聯手，共同成立AI Hub，提供從需求評估、解決方案、應用實例到客製化隨需服務一站式服務，以加速AI產業化、產業AI化發展。

AI Hub目前結合百位AI專家、百家企業實證和130個新創團隊、16家公協會及法人，來提供企業AI需求評估、供需媒合、解決方案、應用實例，以打造AI的共享資源平臺，縮短產業導入AI的過程。AI Hub現已整合68個解決方案，包含製程智慧化、裝置智慧化、服務智慧化及軟體智慧化四個領域，未來將朝100項解決方案發展。此外，AI Hub也設立了智慧化產品市集，集結50多項AI產品，另也設置演算法平臺專區，已有30多個演算法上架。 （詳全文）

癱瘓   布朗大學    英特爾  

癱瘓者有望靠AI技術重新站起來！布朗大學與英特爾合作要以AI接通中斷的神經訊號

美國布朗大學研究團隊聯手英特爾、Micro-Leads Medical和羅德島醫院，展開智慧脊柱介面（Intelligent Spinal Interface）開發計畫，要幫助脊髓損傷的患者，恢復肢體運動與膀胱控制的能力。智慧脊柱介面的構想，是要記錄大腦往下傳遞到脊髓損傷部位的訊號，並利用智慧脊柱介面彌補脊柱損傷造成的神經迴路空白，以驅動下方脊髓，同時從受傷脊髓下方來的訊號，也能夠往上傳遞刺激或是驅動上方的部位。

這個專案的關鍵，就是要用AI來解讀脊神經訊號。布朗大學認知科學研究團隊將和英特爾AI團隊合作，要找出數學上的抽象，並整合現代機器學習基礎架構，理解脊髓的運作方式並設計模型，以開發出高效率且通用的系統。Micro-Leads Medical將提供高解析度的脊髓刺激技術HD64，來增加治療部位的範圍和精確度。（詳全文）

臉書   Hydra     程式開發  

臉書開源能簡化複雜應用程式開發的框架Hydra

臉書開源了能簡單配置複雜應用程式的開發框架Hydra，不只能減少開發者複製貼上樣板程式碼（Boilerplate Code），也能動態編寫（Compose）配置，而且Hydra採用了可插拔架構，因此可以與原本組織的基礎設施良好的整合。

Hydra是一個輕量級的框架，可透過編寫和覆蓋配置，來簡化Python應用程式的開發。開發者不必重新撰寫大量的樣板程式碼，像是定義命令列標籤、操作配置檔案以及配置日誌等，就能輕易加入新功能，以符合新的使用案例和需求。Hydra讓開發者可在本地或遠端啟動應用程式，並且使用同一個指令附加不同的參數，就能執行不同的工作，減少相關的腳本支援。Hydra提供了動態命令列頁籤完成功能，幫助開發者探索複雜配置選項，也減少輸入錯誤。（詳全文）

圖片來源／Google、華為、布朗大學

 AI趨勢近期新聞 

1. 自然語言處理函式庫spaCy 2.2釋出，加入資料增強系統、提升字詞配對速度

2. 法國將成為歐洲第一個以人臉辨識來驗證電子身分的國家

3. AWS機器學習服務Amazon SageMaker開放使用EC2最強GPU執行個體

資料來源：iThome整理，2019年10月

安全研究人員發現駭客利用Windows版iTunes及iCloud for Windows中的零時差攻擊漏洞，躲過防毒軟體偵測、對Windows PC用戶散佈勒索程式BitPaymer。

安全公司Morphisec Labs首先在8月發現BitPaymer感染一家汽車製造商。BitPaymer在7月間被偵測到在美國感染15家企業。但本波攻擊中，這隻勒索程式使用的路徑是一個「不帶引號的服務路徑（Unquoted service Path）」零時差漏洞，存在於Windows版iTunes及iCloud for Windows的Bonjour Updater軟體元件中。

研究人員指出，這類漏洞是物件導向程式開發中常見的錯誤，有時開發人員以為服務路徑派發變項時，只使用String型態的變數就夠了，但實際上路徑還需要加上引號（quote）標示，如"\\"。攻擊者可以用惡意檔案來置換原有可執行檔，這類漏洞過去在VPN軟體研究很知名，因為它出現在具管理員權限的服務或其他行程，可被用以發動權限升級攻擊，但並未被廣為使用。

MorphiSec發現駭客界利用蘋果Bonjour Updater來攻擊這項漏洞。Bonjour Updater是包含在蘋果app中用於下載更新的機制，包括iTunes。但它有自己獨特的安裝入口和執行作業排程。鮮為人知的是，移除iTunes並不會同時移除Bonjour，它必須分開移除。因此許多企業電腦即使多年前移除了iTunes，電腦上還有未更新，但仍持續背景運作的Bonjour。

Bonjour屬於合法行程，通常會被安全軟體如防毒程式掃瞄引擎忽略，使其下惡意子行程，也不會觸發警告，像是MorphiSec這次發現的BitPaymer。

mac版iTunes已隨著最新的macOS Catalina釋出退役，Windows版iTunes，以及Windows 版iCloud app用戶是這項漏洞及BitPaymer的高風險群。在MorphiSec向蘋果通報後，蘋果已經發佈修補漏洞的Windows版iTunes 12.10.1及 iCloud for Windows 10.7。

由於已有攻擊發生中，安全公司也呼籲用戶儘速升級到最新版程式及防毒軟體。

才在10月4日允許香港即時抗爭地圖app HKMap.live上架App Store，蘋果卻在周四（10月10日）將之下架，理由是被不當用來攻擊香港警察及傷害人民安全與財產，使蘋果身陷風暴中心，迫使庫克對內發公開信重申其合理性。

周四下午「香港即時抗爭地圖」（HKMap.live）發推文，表示接到蘋果從App Store移除其app的通知。根據香港作家江松澗引述的說明，蘋果指出，在與香港網絡安全及科技罪案調查科（Cyber Security and Technology Crime Bureau，CSTCB）確認後，證實該app被用於伏擊警察、威脅公共安全，暴徒利用它在沒有警察的地方，攻擊當地居民安全及財產，違反了蘋果政策和香港法律，因而做出此項決定。HKMap.live維護小組透過推特駁斥這項說法，表示該app只蒐集使用者提供和Facebook、Telegram等社交平台上的公開資訊，未用來糾眾發動或鼓勵犯罪行為，也未提供沒有警力部署的區域資訊。

蘋果App Store月初曾經拒絕此app，雖然後來得以恢復上架，但周三中國人民日報批評蘋果是非不分，泯滅真相，讓這項app留在App Store上，無異是為香港暴力抗議者開了方便之門。

再次移除HKmap.live這項決定，讓蘋果再度遭萬夫所指，認為蘋果為了經濟利益屈服於中國政府壓力。而蘋果執行長庫克（Tim Cook）也發表員工公開信，為其行動辯護。

根據The Verge引述的庫克公開信內容，HKMap.live集結用戶回報警方檢查崗哨、抗議熱點等資訊，資訊本身是有益的，但是過去幾天以來從香港官方及香港使用者得知，這款app正被用於暴力攻擊警方、傷害民眾。他重申這類使用違反香港法令及蘋果App Store禁止人身傷害的法規。

庫克指出，App Store旨在打造確保所有用戶安全和信賴的地方，而在本例中，蘋果徹底檢視了事實，相信這次的決定最能保護蘋果用戶。

HKMap.live維護組織則痛批，原本以為蘋果拒絕其app只是官僚作風，但現在顯然是打壓香港言論自由及人權的政治決定，該組織也連帶批評NBA、暴雪娛樂、奢華品牌Tiffany等公司的媚中行為。

蘋果App Store也在昨天移除了報導香港抗爭行動的新聞Quartz的app。

中國國務院、外交部及香港政府都未對此做出評論。

臉書宣布開源深度學習框架PyTorch推出最新的1.3版本，添加了許多新的實驗性功能，開發者可以無縫地將模型部署到行動裝置上，同時也增加了模型量化（Quantization）功能，以提升模型預測效能，並且還新增像是命名張量（Name Tensor）功能改進前端，開發者可以編寫邏輯更清楚的程式碼，不需要依靠內聯註解說明。

PyTorch 1.3擴展對行動裝置的支援，提供了把Python部署到iOS和Android裝置的端到端工作流。臉書提到，應用程式要求越來越低的延遲，因此在邊緣裝置上執行機器學習的重要性也隨之提高，現在加入的這個部署工作流程還是一個早期實驗版本，對模型的大小進行了最佳化，系統會根據用戶應用程式需要的運算子，來決定模型最佳化的程度，以及選擇編譯的相依項目。

在效能改善上，也擴大行動裝置CPU和GPU的支援程度，同時也提供了高階API，擴充行動原生API，涵蓋開發行動裝置機器學習應用程式，所需要的一般預處理和整合任務，開發者能夠更容易地在行動裝置上發展電腦視覺以及NLP應用。

臉書提到，開發機器學習應用程式，應該要有效的利用伺服器或是裝置上的計算資源，特別是在資源受限的行動裝置上，因此PyTorch 1.3現在開始支援8位元模型量化。量化是用來降低計算和儲存精準度的技術，目前PyTorch支援的模型量化，包括動態量化以及量化感知訓練。

在深度學習中使用的傳統張量存在重大的設計缺陷，康乃爾大學助理教授Sasha Rush提到，傳統張量會暴露隱私維度，還會基於絕對位置進行廣播，或是將類型資訊儲存在文件中，因此經Sasha Rush的建議，PyTorch 1.3加入了實驗性命名張量功能，以克服這些隱私問題。

PyTorch 1.3也加入了隱私觀察工具CrypTen，臉書提到，雲端或是機器學習即服務平臺面臨了一系列安全和隱私的威脅，特別是平臺的用戶，可能不希望或是無法共享加密資料，而這使得機器學習工具的功能受限，為了解決這個問題，機器學習社群又發展了各種技術來解決問題，而為了理解這些技術，臉書發布了CrypTen研究平臺，以推動機器學習領域的隱私保護研究。

新加入的工具還包括了稱為Captum的模型解釋工具（下圖），PyTorch開發團隊提到，隨著模型越來越複雜，模型的可解釋性需求也變得重要，Captum可以幫助PyTorch的開發人員了解模型的特定輸出，該工具提供了先進的方法，幫助開發者了解特定神經元和層（Layer）的重要性，以及對模型預測產生的影響。

臉書人工智慧研究院也為PyTorch發布了物件偵測函式庫Detectron2，開發者可以使用Detectron2，以幫助電腦視覺的研究。在雲端方面，臉書與Google和Salesforce合作，為雲端TPU（Tensor Processing Units）提供支援，提升訓練大型深度神經網路的速度。除了雲端平臺AWS、Azure和GCP，阿里巴巴也加入PyTorch的支援。

PyTorch的社群相當活躍，其大量的貢獻者為PyTorch提供充足的動能發展新功能，在去年貢獻者成長超過50％，來自臉書、微軟、Uber和其他組織的貢獻者數量，目前已經接近1,200位，在論文預印本開放資料庫arXiv上，PyTorch引用在2019年上半年成長194％。

Salesforce的Einstein AI團隊與加州大學的貝尼奧夫海洋倡議機構合作，執行鯊眼計畫（Project SharkEye），以Einstein AI系統結合空拍機拍攝的大白鯊背影圖像，來辨識並紀錄加州海域數量逐漸恢復的大白鯊，透過掌握大白鯊的行蹤與數量來幫助復育工作。

貝尼奧夫海洋倡議機構主任Douglas McCauley提到，大白鯊是構成健康海洋生態系的頂級獵食者，而在過去4年，大白鯊在加州海岸出現的頻率上升，尤其是1.5公尺到3公尺長的大白鯊，對此，科學家有許多猜測，原因可能是氣候變遷，抑或是加州物種保護法令的成功，由於加州禁止流刺網的使用，保護了包括鯊魚在內的海洋生物，也有可能海豹和海獅等成年大白鯊的主要食物來源增加，進而使得大白鯊數量提升。

不過無論原因為何，大白鯊數量上升，受到了當地衝浪社群的關注，因此Salesforce與加州大學合作，在加州沿海水域中，要以人工智慧來辨識大白鯊。而以往都被用來辨識品牌或是產品的Einstein視覺演算法便派上用場，研究團隊不需要物理上接觸或是標記大白鯊，就能夠計算大白鯊族群的數量。

鯊眼計畫第一步，是要利用無人機在沿海地區，大量的收集影片資料，而這些資料會被用作辨識大白鯊人工智慧模型的基礎，研究團隊在沙灘上操縱無人機，拍攝長達16公里的海岸線的俯視圖。當收集了足夠的圖像資料，接下來就要訓練人工智慧辨識鯊魚的種類，以區分對人類無害的豹鯊，以及可能對泳客造成為威脅的大白鯊，而辨識的過程也充滿挑戰，因為影片中的物體可能只是一大片像大白鯊的海帶，而且因為鯊魚會任意游動，因此人工智慧也要避免數到重複的大白鯊。

而鯊眼計畫除了技術問題需要處理之外，另一個重要的部分則是與當地的社群合作，包括衝浪商店、學校、當地企業和政府，Salesforce對這些社群提供經過修改的Field Service Lightning行動應用程式，過去這個應用程式只用來進行工作管理、即時協作以及排程等任務，而現在當地社群成員，可以透過這個應用程式存取研究團隊收集到的資訊，包括在特定的時間地點所偵測到的鯊魚數量，讓人們可以避開這些鯊魚，同時保護人與鯊魚的安全。

Douglas McCauley表示，大白鯊是被人誤解的物種，人們還不夠了解大白鯊的行為模式以及成長過程，即便現在他們數量上升，但仍然是一種脆弱的物種，只差不到瀕臨絕種的地步，而透過Salesforce人工智慧技術，可以為大白鯊撐出生存空間，預測可能與人類接觸的可能性，進而避免衝突發生。

人工智慧應用的領域逐漸擴大，從手術、颱風預報系統或是銷售等應用，擴展到了環保議題上，Douglas McCauley提到，未來甚至可以利用無人機來幫助救生員搜救，發現水域污染或是危險的海浪波型形成，或是擴大鯊眼計畫的範圍，調查目擊大白鯊的環境狀態。

AWS現在為EC2的A1執行個體系列增加裸機選項a1.metal，其提供16個邏輯處理器，32 GiB記憶體，而EBS頻寬則為2.5 Gbps。AWS提到，A1執行個體是新的EC2系列，使用Arm的AWS Graviton處理器。

A1執行個體的特性，非常適合處理橫向擴展的工作負載，像是網頁前端、容器化微服務或是快取隊列。另外，A1系列的另一個好處，是可以讓Arm開發者在雲端，在Arm基礎架構上進行建置和測試工作，而不需要模擬器或是交叉編譯。

目前AWS上有許多裸機EC2執行個體，包括M5、M5d、R5、R5d以及z1d等，裸機可以讓使用者直接利用實體資源以及低階的硬體功能，像是效能計數器等，這些通常不會在虛擬環境提供的功能。另外，也能讓應用程式在特殊原因或是授權限制下，在非虛擬化的環境中執行。

使用Arm處理器的A1執行個體，支援各種軟體，包括使用Ubuntu、RHEL、SUSE Linux Enterprise Server、Debian以及Amazon Linux2等流行Linux發行版的Amazon機器映像檔，應用程式還可以使用Apache HTTP伺服器和NGINX Plus，而開發語言則是PHP、Python、Perl、Golang、Ruby、NodeJS和多種Java語言都沒問題。

Amazon ECS和Amazon EKS也都支援A1執行個體，Docker也在其企業版支援Arm架構，且大多數的Docker官方映像檔也都支援Arm。其他AWS服務，例如Amazon EBS、Amazon CloudWatch和Amazon Inspector等，都與A1執行個體良好整合。目前A1執行個體包括裸機，只在4個區域提供，歐洲法蘭克福，與亞洲東京、孟買以及雪梨。

對有視力障礙的人士來說，要瀏覽以圖像為主的網頁內容相當困難，現在Google Chrome瀏覽器將加入一項AI功能，為這群用戶以語音「讀」出網頁圖片內容。

為服務有視障問題的人士，網頁設計師可在使用「Alt屬性」或「Alt文字」。這類屬性可在圖片無法顯示時出現一段文字來彌補。若使用者有螢幕讀取裝置或點字裝置，這些文字就可以被念出來，因而可作為視力障礙者的輔助工具。若網頁設計師沒有定義這些屬性，有視障問題的使用者就無法享受網頁圖片。

事實上，由於需要網頁設計師花時間定義替代圖片的文字，因此實際上效果並不好。現況是網頁上數億張圖片都沒有定義，因此當以螢幕讀取器或點字顯示器讀取網頁時，經常聽到的是「圖片」、「未標籤的圖片」，或是超級長但實際上完全無意義的圖檔名稱。

現在Google將引用AI功能來解決這個問題。這項功能運用Google Lens底層的機器學習光學字元辨識（OCR）技術辨識圖片，本功能8月時還加入到Google Photo，可支援以關鍵字搜尋圖片。

Google解釋，在使用者以Chrome瀏覽器造訪網站時，圖片會被送到Google產出圖片描述。如果Chrome開啟螢幕讀取器，就會聽到圖片描述，即使圖片沒有標籤或替代文字。為了讓使用者清楚知道是AI產出的描述，不保證100%準確，描述文字會加上「看起來是」（appears to be），例如碰到Gogoro的圖片，它會說「看起來是電動摩托車」，或是以「看起來是一隻睡在沙發上的貓」來描述蜷伏在客廳沙發上的貓咪。

如果Google無法描述圖片，螢幕讀取器就會說「沒有可用的描述。」

這項功能位於Chrome輔助功能（Accessibility）之下。要使用這項功能，Chrome用戶可到「設定」、「進階」、「輔助功能」下，啟動「取得Google的圖片描述」。用戶還必須具備螢幕讀取器或點字顯示器，因為這些描述只會有語音，不會有字幕。此外，目前本功能也只有英文版。

啟用本功能時，使用者還可以選擇只對單一網頁使用一次，或是所有網頁都套用本功能，後者會要求使用者同意接收Google的圖片描述。用戶若登入Chrome同步化，則所有同步的Chrome也都會啟動圖片描述。

Google並不是第一個以AI輔助視障用戶的廠商。去年底臉書的Instagram（IG）就推出自動替代文字功能，除了以物件辨識技術自動產生圖片描述，供螢幕讀取器念出來，IG也允許用戶替上傳的圖片自定義取代文字，讓螢幕讀取器念出用戶想要的描述。