「臺灣醫療水準世界第一，但醫生每個人都忙得要死，如何技術輸出？要靠AI，AI可以學習人的知識，能將臺灣的醫療，帶到全世界。」臺灣人工智慧實驗室創辦人杜奕瑾這麼說，今年他們出產的AI應用，剛帶著無人機空拍臺南之美，登上國家音樂廳舞臺演奏鋼琴，能夠自動謄稿的雅婷逐字稿App更是紅透企業秘書圈和學校研究圈，但他還有一個更大更遠的企圖，現在才剛起飛。

臺灣AI Labs創辦人杜奕瑾表示，如何透過AI協助醫生診斷來實現精準醫療，是AI Labs專注研究的問題之一。 攝影／洪政偉

2017年，一手催生出微軟AI語音助手技術Cortana的杜奕瑾，毅然決然離開工作多年的微軟，返臺創立了臺灣人工智慧實驗室（AI Labs），這是一個民間捐助的研究型法人機構，成立之初，就鎖定智慧醫療、智慧城市、人機互動這三大領域的AI研發。

他想要打造專注於軟體創新研發的團隊，之後將成果交給其他公司負責商品化，並讓這個團隊繼續專注下一項研發。 例如，杜奕瑾在2018年新成立了雅婷智慧公司，他們接手下載量破10萬次的雅婷逐字稿App，全權負責語音辨識引擎技術的銷售業務。

「如果臺灣要選一項AI研究，能在全世界跑得快，醫療就是自然而然的題目。」杜奕瑾解釋，第一，臺灣醫療水準世界第一，最優秀的學子都變成了醫生，醫療照護品質非常好，其次，1995年上路至今，全民健保資料庫累積了超過25年的資料，包括民眾就醫記錄、藥品資料、醫療影像、檢驗數據等電子化的資料。甚至，臺灣醫界很早就開始發展電子病歷，妥善保存了個人病歷以利後續查詢與檢閱，而有了這些措施，都讓臺灣擁有可觀的醫療大數據。

但光是資料量多還不夠，品質也是關鍵。杜奕瑾表示，因為臺灣有完善醫療體制，醫生也有良好職業習慣，以及高標準的道德要求，「臺灣醫院手上的電子病歷品質非常好。」

以上三個優勢，就是AI Labs選擇專注於智慧醫療領域，要透過AI協助醫生診斷，來達到精準醫療的關鍵。

開發醫療影像辨識技術，讓醫生診斷更快速

AI Labs在醫療AI領域聚焦兩個面向：一是透過醫療影像辨識，來協助醫生更快速診斷疾病；二則是運用基因定序分析來進行遺傳病的研究，例如，找出特定疾病與異常基因位點的關聯，來進行個人化用藥或標靶治療。整合這兩項研究來發展精準醫療，就能依照每個人的不同遺傳、生活習慣，來考慮各自需要的疾病預測、疾病診斷，甚至連治療、預後都可以個人化安排。

AI Labs也有一套自己的研發與商品化策略，杜奕瑾表示，研發初期，AI Labs要與每個領域最厲害的專家合作，先做出成果，等技術逐漸成熟後，再進一步轉變成標準化的服務，來提供給各醫院使用。

舉例來說，AI Lab在醫療影像AI上，與臺大醫院、北醫和北榮合作，從腦部MR影像、肺部CT影像、肝臟影像、心臟超音波、瘧疾血液抹片影像的疾病診斷，都有涉獵。有項知名成果，是全球第一套AI腫瘤臨床判讀系統DeepMets，目前用於臺北榮總的AI輔助門診，能在30秒內，自動標出數百張腦 部MR影像的轉移性腦瘤位置，並且預測腫瘤體積大小，比起傳統手動標註方法要30分鐘，AI標記大幅縮短了醫生在臨床判讀影像的時間，準確率更可達95%以上。

不只是重視AI判讀準確率，AI Lab很講究這些醫療系統的實用性。例如，研發團隊就花了不少時間，了解臨床醫生的習慣，才決定標要結合鍵盤操作、數字鍵標記，他們也搭配滑鼠瀏覽影像的作法，提供半自動標註功能，讓醫生可以手動調整為更正確的病灶位置。因此，這套系統不僅能自動比對醫生標註前後的差異，來推算辨識準確率，也支援多醫生共同標註，能針對同一張影像所有的標註結果，自動以多數決的機制來生成Ground Truth，給定最後的標註基準。

此外，AI Labs也在其他高度依賴手動的診療作業引進AI。比如傳統心臟超音波檢查，全靠醫生手持照射裝置從不同拍攝視角來拍攝，影像容易因晃動而模糊，導致醫生要耗費許多時間在診斷作業。因此，AI Labs找來中華民國心臟學會，合作開發心臟超音波的影像品質辨識系統，利用AI自動從9種拍攝視角的大量影像中，找出清楚的影像片段供醫生參考，來幫醫生過濾無效或不良的影像，加快過去費時費工的診療作業。

跨足基因定序分析領域，加速臨床上罕見疾病的診斷

發展精準醫療，除了AI和大數據，基因定序分析是另一個關鍵，來找出病根跟基因之間的關係。以癌症為例，要達到精準醫療，單是快速篩檢出腫瘤病灶點還不夠，現行已經可以透過癌症基因檢測，找出病患的腫瘤細胞帶有哪些癌症基因突變，進而針對這類病患擬定個人化的治療策略，AI Labs先前花了不少時間建置系統，直到最近，才開始揭露在基因定序分析的研究成果。

AI Labs開發了一套全基因定序軟體，能從30億個鹼基進行基因定序，從中尋找出近500萬個變異位點，並與超過50種不同資料庫比對後，找出特定遺傳疾病與基因變異位點的關聯，自動生成分析報告，可用於臨床診斷罕見疾病、免疫治療設計、癌症診斷分類與預後評估、多基因變異的交互作用，以及基因與用藥關係等。

事實上，基因診斷還有另一個痛點，那就是為了解讀病患的基因，醫生須翻找大量文獻資料，才能確定最終診斷結果及治療方針。而且，光是比對基因變異位點來找相似病例，就非常耗時，更別提後續還要研讀與分析。

AI Labs因此開發另一套基因文獻自動搜尋服務，稱為Variant2literature，醫生只需上傳病患的基因變異位點檔案，接著，系統會利用NLP技術，自動比對網路上公開的2百多萬篇醫學文獻，即可找出相似病例和文獻，而這也是全球首套快速查找基因變異位點論文的系統。目前，這套系統也已經在國內廣泛使用，今年3月上線後，已有3萬多筆查詢，正逐步推廣到國際。

將兩大智慧醫療平臺產品化，力推服務到全世界

隨著上述醫療AI的技術發展成熟，AI Labs最近也推出兩大醫療AI應用平臺，分別是整合了所有AI醫療影像辨識成果的TAIMedimg，以及基因定序分析平臺TAIGenomics，未來技術成熟後，將透過臺灣醫學影像公司、台智基因體公司、台智擎公司，進行產品化。比如說，等到Variant2literature服務發展得更成熟後，就會變成台智擎公司的解決方案之一。

除此之外，今年，AI Labs正與衛福部疾病管制署合作，將臺灣瘧疾自動診斷的技術，打包成一個公有雲上的雲端平臺，可以提供給其他國家使用。這項服務也同時提供一個資訊交流平臺，各國醫生不僅能上傳採集到的瘧疾血片，也能共同標記、驗證、交流，且共享診斷成果。這是AI Labs進軍國際的第一步。

同時，杜奕瑾也到泰國、馬來西亞分享這套技術和平臺，大受歡迎，最近，他到歐盟參訪時，不少國家都對AI Labs在臺的醫療AI研究相當有興趣，甚至有國外媒體，以亞太頂尖AI提供者來形容AI Labs。

杜奕瑾表示：「眼睛是靈魂之窗，但臺灣企業做數位轉型常常只想到硬體，而不投入軟體研發，就好像只做眼睛，而不管靈魂。」

但AI Labs的發展策略剛好相反，是要開源技術與資料庫來建立生態圈，等到出現了有價值的產品後，再將其變成服務。其中，雅婷逐字稿App的成功，只是吹響號角，AI Labs在醫療AI發展的兩大新平臺，更是後市可期，因為他們不但要將軟體技術帶到臺灣各地，還要推向全世界。文☉翁芊儒

公司小檔案

臺灣人工智慧實驗室（AI Labs）

● 網址：ailabs.tw

● 成立時間：2016成立臺灣總公司，2018年成立深圳分公司

● 主要業務：以醫療保健、智慧城市和人機交互三大領域為核心，致力於AI解決方案的研發

● 員工數：130人

由於簡訊或電話號碼造成的資安事件日益氾濫，推特（Twitter）周四宣佈要簡化雙因素驗證（Two-Factor Authentication, 2FA）的設定，不再需要電話號碼即可啟用2FA。

2FA常被用來確保帳號安全，也是啟用推特帳號的必要條件。雖然用戶之後可以改以軟體如Google Authenticator，或以硬體金鑰方案Yubikey等來登入，但是最初申請啟用推持的2FA仍然必須註冊電話號碼。在周四的宣佈中，推特表示已升級推特的登入流程，支援WebAuthn標準使用2FA，未來只要單一點擊即可驗證啟用。

以簡訊傳送驗證密碼的方式近年被證實可能因為發生中間人（man-in-the-middle）攻擊，駭客劫持簡訊進而竄改用戶如電子信箱或網銀帳密。

此外，還有愈來愈多SIM卡交換（SIM Swapping）詐騙案件，SIM卡交換詐騙是一種歹徒利用網路上蒐集到的姓名、電子郵件等資料，再向電信業者謊稱手機遺失或換手機，騙取電信業者將電話號碼轉到新的SIM卡上，藉由劫持此一號碼登入受害者社交網站、電子郵件或網銀帳號。知名加密貨幣投資人Michael Terpin 2018年遭駭，駭客經由SIM卡交換詐騙盜用了Terpin的手機號碼，並將他錢包內價值2,400萬美元的加密貨幣提領一空，讓Terpin憤而控告交出電話號碼的AT&T。

不過推特這項宣佈的導火線可能是自家執行長受害。推特執行長Jack Dorsey 8月底帳號遭駭客入侵，後者利用Dorsey的帳號發表涉及種族主義的言論。推特即表示起因是Dorsey的SIM卡被劫持，該公司也於9月初關閉了透過簡訊貼文的功能。 

Google雲端現在推出裸機解決方案，為傳統應用程式提供一個可以搬遷到雲端的選項。Google提到，大多數舊版應用程式皆非為雲端架構設計，因此將這些應用程式搬上雲端，是一個充滿風險，且成本高昂的工作，而裸機就能良好地用來運作傳統應用程式。

Google雲端裸機解決方案提供特殊工作負載所需要的所有設施，除了提供低延遲高彈性的專用互連網路（Interconnect），同時也與所有Google雲端原生服務相連。裸機解決方案使用OEM硬體，經驗證可執行多重企業應用程式，Google表示，企業只要對應用程式進行些微調整甚至完全不需要變更的情況下，就可將應用程式搬遷到裸機基礎設施上。

Google還發布了自動化工具，可以讓使用者快速配置應用程式、關聯式資料庫以及作業系統，也能設置備份和監控服務，Google提到，這個工具提供IT人員熟悉的介面，企業只要利用現有的人力、工具和流程，就能搬遷應用程式到Google雲端的裸機上。

Google雲端裸機採用最新的x86伺服器與高效能儲存，目前提供雙插槽以及四插槽x86系統兩種主要配置，支援大多數主流企業作業系統。雙插槽x86系統提供三種規格，16核心384GB DRAM、24核心768GB DRAM以，以及56核1536GB DRAM，至於四插槽86系統則有56核1536GB DRAM和112核3072GB DRAM兩種。

裸機除了可以用來執行單獨的應用程式之外，也可以配置成應用程式和資料庫叢集，用戶可以選用混合或是全快閃磁碟，並以1 TB的容量作為增量單位。

裸機提供全託管的硬體基礎設施，用戶能對運算、儲存和網路，進行端到端基礎設施管理，並完全管理和監控環境，掌握電源、散熱和其他設施。裸機解決方案和其他Google雲端服務一樣，採用相同的計價方式，也提供雲端服務的支援，像是硬體正常運作時間與互連可用性的企業級SLA。

繼臉書與Twitter相繼公布它們對政治廣告的立場之後，Google也在本周闡明自家在搜尋、YouTube與陳列式政治廣告的作法，選擇了一個介於Twitter及臉書之間的立場，既不像Twitter般地全面封鎖政治廣告，也沒有臉書對政治廣告的寬容，宣布將會禁止並移除虛假的政治廣告。

政治廣告一向是重要的廣告營收來源，不過，Twitter認為使用者在政治上的決定權不應受到廣告的左右，也擔心傳遞假消息的政治廣告，於是決定全面封鎖政治廣告。相較於Twitter，臉書卻移除了對政治人物的發言門檻，指出不管是政治人物的言論、發文或廣告都不會受到臉書的審核，認為身為平台的臉書無從干涉政治人物使用平台的方式，也不應成為政治人物辯論的裁判。

而Google則採取了相對中庸的政策。Google表示，該公司從不提供超精準（microtargeting）的競選廣告，只允許競選廣告篩選一般的目標類別，包括年紀、性別與所在區域的，此外，政治廣告原本就能根據某些脈絡進行目標式投放，像是那些閱讀或觀賞經濟內容的用戶。Google認為政見應該要讓更多的人看見，以進行公開的討論。

此一規定將會在一周內先行於英國部署，年底前部署至歐盟，從明年1月6日開始推廣至全球市場。

另一方面，Google也重申他們並不容許有虛假訊息的廣告，包括政治廣告在內，例如投票日將延後，或是哪名候選人已經身亡的假消息，因為這些誤導性的訊息可能嚴重破壞對選舉或民主程序的參與及信任。

除了上述之外，廣告的透明度也是判斷廣告可信度的重要依據，這使得Google決定擴大廣告透明度的供應範圍，除了既有的印度、歐盟與美國的聯邦選擇之外，從今年12月3日起，在美國的政治廣告透明度報告將擴及各州、公務員，以及與政黨有關的廣告，Google亦打算在其它市場提供透明度報告。

此一報告將涵蓋廣告的原始內容、付費的廣告主、廣告支出、廣告曝光率，以及哪些人是目標受眾等資訊。

Google強化其雲端平臺的加密功能，除了允許用戶使用外部金鑰管理器之外，也賦予用戶更多的控制能力，決定解密資料的條件。另外，Google也發布了網頁應用程式防火牆Beta測試版，防禦來自網際網路的威脅。

Google雲端在預設的情況下，會加密靜態的資料，而現在Google提供更多的控制，讓用戶可以更全面的掌握加密操作。現在Google雲端用戶可將外部金鑰管理器搭配Cloud KMS一起使用，儲存在第三方金鑰管理系統中的金鑰，可用來加密BigQuery和Compute Engine中的資料，如此能在利用雲端功能進行運算和分析的同時，隔離靜態資料和加密金鑰。

另一個與外部金鑰管理器一同運作的功能，稱為金鑰存取依據（Key Access Justifications），這項功能會在應用程式請求金鑰來解密資料時，要求詳細的請求依據，這也為用戶提供一個控制機制，可以設定自動政策來同意或是拒絕金鑰的使用。結合外部金鑰管理器，用戶可以設定任何拒絕解密資料的條件，而這項功能將解密資料的最後決定權交給用戶。

Google也發布了Cloud Armor新的網頁應用程式防火牆，以幫助用戶保護網頁應用程式免受針對性的分散式網際網路攻擊，用戶可以依據地理位置設定存取控制，或是以預配置的規則來保護應用程式，也能利用自定義規則語言來建立客製化的網路第七層過濾政策。Cloud Armor現在已經和雲端安全中心（Cloud Security Command Center）整合，用戶可以直接在安全中心儀表板獲得可疑流量的警示。

Google現在還提供封包鏡像（Packet Mirroring）服務，讓用戶能收集並檢查Compute Engine和GKE的網路流量，這個服務接受第三方的工具，以更主動積極的方式檢測安全威脅，合作的廠商包括Check Point、Cisco和Palo Alto Networks等。

分析與監控解決方案供應商Grafana Labs釋出Loki 1.0，Loki是一個開源的日誌記錄平臺，可為開發人員提供簡單且高效能的日誌聚合方法。

Loki開源專案是在2018年的西雅圖KubeCon大會上正式啟動，之前是作為Grafana Labs的內部專案運作，Grafana Labs將其用在監控所有的基礎設施，每天處理10億行共1.5 TB的日誌。官方提到，Loki的開發是受開源監控解決方案Prometheus啟發，Loki不會索引日誌的內容，而是為每個日誌串流加上一組標籤，以壓縮且非結構化的方式儲存日誌內容，僅索引元資料。

Grafana Labs提到，Loki處理日誌的方式帶來了高成本效益，Loki使用一種稱為LogQL，類似Prometheus的查詢語言，可讓開發者進一步將Loki整合到雲端原生應用中。官方提到，Loki進入1.0版本，將遵循語義版本控制規則，提升Loki操作體驗以及穩定性。官方不會再對HTTP API進行重大更改，同時也宣布，後續的次要版本和錯誤修正版本更新，不會維護Go API的穩定性，因此要導入Loki作為函式庫的開發者，需要有遭遇錯誤的預期。

Loki以Apache 2.0授權許可對外開源，針對Grafana、Kubernetes和Prometheus進行了最佳化。Loki在GitHub上現在是一個熱門的專案，在一年內聚集了138位貢獻者，並獲得將近8,000顆星。

11/09~11/22精選IoT新聞

 行政院    民生公共物聯網  

行政院公布民生公共物聯網應用成果，涵蓋水資源、空氣品質、地震、災防應用

行政院近日發布了臺灣民生公共物聯網的推行成果，包括在空氣品質、地震偵測，防救災資訊，以及水資源物聯網都獲得不錯的成果。

其中在縮短地震預警時間上，行政院科技會報辦公室執行秘書蔡志宏表示，目前，氣象局偵測到地震發生而進行訊息廣播時，民眾手機收到地震簡訊的速度，比先前快了3秒，明年更將再少7秒。對於相關產業，亦可提供更即時地震速報服務，如距震央30公里，警示能比震波快5秒等。

另外，在改善空氣品質方面，除了現有的空氣監測站，目前在全臺總共布設多達5,370個微型感測器，監測範圍能夠涵蓋44處工業區、3.8萬家工廠，並可以針對工業區內更小型的局部區域，來進行環境監測並從大量監測數據中，幫助稽查員找到污染源熱區，加強取締。

在水資源物聯網方面，目前全臺已布設近千個淹水感測器，用來迅速反應各地淹水災情，而且還引進LINE平臺即時災情通報機制，不論是水資源、空氣品質、地震或災防等數據，經過彙整以後，會再經由國網中心統一集中管理，迄今在全臺已建置1萬個感測點、累積22萬筆資料以及完成12萬次介接。

 IoT安全    澳洲  

澳洲公布物聯網安全的行為準則草案，要建立IoT產業安全標準

近日，澳洲政府公布一項物聯網安全的行為準則草案，並公開徵求意見至2020年3月1日為止。在這分名為《Code of Practice: Securing the Internet of Things for Consumers》草案中，對於IoT裝置有明確的定義，對象包含所有連網的智慧設備，例如智慧電視、穿戴手錶和智慧喇叭都屬於其規範的範圍，而且按影響重要程度條列出13條基本原則。

其中前3項原則，視為必須嚴格遵守，包括不能使用重覆預設密碼或弱密碼；裝置設備商、服務業者與應用開發者三方須建立明確漏洞的披露機制，並且對外公開，以及須保持包含韌體在內的軟體安全更新。其他提出的IoT安全原則，還包含了對儲存憑證與機敏資料，應提供更安全的保護機制，確保個人數據不被竊取，以及對於傳輸中的數據，或未使用數據，須落實安全加密、身分驗證的授權要求等。

該草案也指出，在安全防護上，IoT廠商應最大限度地，減少IoT裝置暴露在攻擊風險之中，並要能夠對軟體本身進行驗證，一旦發現遭到感染，可以立即阻擋，並且持續監控數據中的網路異常情況。

 東日本JR   自駕大巴  

東日本JR的BRT自動駕駛大巴將上路測試，時速可達60公里

JR東日本鐵路公司最近展開無人大型自駕巴士的道路實驗，用以測試及驗證自動駕駛相關技術，以實現商業化應用。這項測試，將為期2個多月，從11月25日到明年2月14日為止。該自駕巴士採用的是BRT公車改裝的無人自駕大巴，車上裝設攝影機、雷達等感測器之外，還安裝了地磁感測器，來讀取安裝在BRT專用道路上的磁性標記的資訊，以精確定位出車輛位置，以便於讓自駕巴士在行經無線電無法穿透的隧道內，仍然可正常行駛。

測試期間，自駕巴士將以最高60公里時速，在BRT專用車道上行駛，並將往返JR東區轄區的氣仙沼線柳口站和陸前橫山站之間，路長約4.8公里，測試項目，包含車線維持、障礙物偵測、速度控制、隧道穿越及車內監控等。

 無人機   DJI 

DJI展示非法無人機偵測新作法，可通過Wi-Fi感知定位無人機及操作駕駛

有鑒於近日無人機違法飛行事件頻傳，為了要協助執法機關，能夠快速偵測及追蹤非法無人機，中國無人機製造商DJI近日展示了一種新方法，可通過手機快速識別附近無人機，並確定操作者所在位置。

該技術主要利用Wi-Fi Aware感知功能，它是Wi-Fi 聯盟幾年前推出的鄰近感知功能，讓使用者在Wi-Fi連線前，可先利用Wi-Fi訊號來偵測周遭裝置，用來分享照片，或提供室內位置定位用途等。

而DJI則是將它運用在偵測空中飛行的無人機。主要是經由Wi-Fi訊號，將無人機相關訊息直接廣播到周圍鄰近的手機，只要在無人機無線電範圍內的任何人，都可以接收該訊號，並了解無人機的位置、高度、速度及方向，也能透過這個定位感知方法，協助執法單位找到操作無人機駕駛的所在區域。

DJI也表示，這將提供一種通過手機監控附近無人機的簡便方法，也將提高安全性，未來亦可通過軟體更新的方式，將該功能添加到市面上已有的DJI無人機上。

日本    東芝   

東芝宣布籌組日本IoT聯盟陣線，明春更要推出自家物聯網平臺

為了要加速日本IoT創新，日本電子大廠東芝（Toshiba）最近宣布明年3月將籌組由100家日系企業成立的新IoT聯盟，名為ifLink Open Community，目前已有9家業者有意加入，包含KDDI、Kyocera、SoftBank、Soracom、Tokyo Gas 、Alps Alpine、Cresco、Denso及Global Mobility Service等。

東芝同時也宣布將推出自家的物聯網平臺，最快明年春天問世。其實，三年前，該公司就曾推出了自己的物聯網基礎架構Spinex，並應用於網路基礎設施、能源和存儲業務等領域，這次更找來了軟銀、電信商KDDI和日本最大的燃氣供應商東京燃氣合作，來提供各種產業IoT解決方案。

儘管，目前還沒有公開更多關於此平臺的資訊，不過，東芝表示，未來透過這個物聯網平臺，企業不必從頭開始設計自己的服務，而是可以通過結合其他公司產品，在一兩天內就能開發出產品原型，從而減少商業化所需的時間。東芝還將為顧客推出一個網站，展示由該聯盟成員開發的產品，讓使用者即使不具備程式開發知識，也可以混合搭配所需商品。

樹莓派    工具機廠   

便宜好用的樹莓派變身數據蒐集器，臺灣老牌工具機大廠展示IoT應用成果

為了要協助工廠轉型廠，臺灣老字號沖床機大廠金豐機器工業，3年前就開始著手蒐集廠內數據，但是為了節省成本，先是在工廠內導入樹莓派（Raspberry Pi），搭配溫度、電流感測器，負責相關數據蒐集與設備連網，靠著在廠內配置了30個Raspberry Pi 2，兩年內總共就蒐集到了30億筆設備生產資料，並將這些數據加以分析後，以視覺化方式呈現產線生產情況、機臺稼動率等，讓公司高層不用親臨現場，從遠端就可以知道目前產線情況，隨時追蹤生產進度。後來，該公司更以樹莓派打造一套IoT監控系統，成本不到3萬元，用來提供高速沖床試車的異常偵測，能做到提前預警，成功替這家公司省下數百萬元的修繕費，並能如期交貨。除了導入IoT，金豐下一步更要引進AI技術，並先從解決工廠生產交期的痛點下手。責任編輯⊙余至浩

攝影／余至浩　圖片來源／NEC、DJI、行政院

 更多IoT動態 

1.美國物聯網服務CalAmp聯手Pallet Alliance，推出木製IoT托盤系統IntelliPallet，可供物流運輸使用

2.市調：2018年前十大IoT通訊模組全球市占揭曉，5家中國廠上

3.英國電信商Vodafone與美國AT&T合作，擴大IoT漫遊範圍

資料來源：iThome整理，2019年11月

在經過一年多的測試後，Google周四宣佈以Duplex為基礎的AI助理Google Assistant服務正式在美國上線，可協助Android用戶完成網路訂票及付款。

去年Google I/O大會上Google執行長Sundar Pichai首次展示說話聲音及流暢度幾近真人的Duplex，震驚業界。由於聲調太過於像真人，為了辨識AI和真人，再加入「我是機器人」的提醒用語，去年10月Google開始讓部份Pixel手機用戶測試打電話到餐廳訂位。最新服務則讓Google Assistant做完大部份用戶訂票的工作。

現在在Android手機上，用戶須透過Google app、瀏覽器搜尋電影票券或是呼叫Google Assistant搜尋特定時間及地區的票券。在出現的結果中選定想要的票券，在特定戲院或售票網站按下「購票」選項，Google Assistant即在Chrome下開啟引領用戶走完整個購票過程。利用 Duplex web版技術，Google Assistant會帶出用戶儲存在Chrome中的資訊，像是姓名、信用卡資訊等完成付款。

根據Google網頁，Google Assistant in Chrome底層是Web版Duplex用戶代理程式，讓Duplex可以爬取（crawling）、分析網頁，並且提供網站造訪者執行某些動作，像是訂票。它是預設啟用的。店家也可以透過Google Console設定為自己的網站申請加入，Google也會在核准通過後，訓練Google Assistant使用網站。

目前這項服務可在全美包括Fandango、MovieTickets.com、 AMC或MJR Theaters及 英國ODEON戲院等70多家戲院或購票網站啟用。Google表示將把這項服務再推廣到其他服務，如租車。

Google並未說明其他地區何時會啟動這項服務。

在美國商務部發出禁令禁止美國公司出口技術給華為6個月後，微軟周四表示，已獲得商務部出貨消費版軟體給華為的許可證。

路透社引述微軟官方表示，11月20日商務部已經允許微軟出貨大眾市場（mass market）軟體給華為的許可申請。該公司並對商務部表達感謝。

這是繼5月間美國商務部將華為列入禁止出售技術的「實體名單」後，第一家公開表示恢復對華為交易的美國公司。在商務部下達命令後，包括Google、英特爾、高通（Qualcomm）、智霖（Xilinx）與博通（Broadcom）都傳出已暫停和華為的交易，其中只有Google 證實此事。微軟則從未證實是否加入停售行列，只曾被發現疑似將華為筆電從官網商店下架。

在此禁令下，美國廠商必須向商務部申請許可，才得以出口給華為。但同時美商務部仍然以協助本國企業為由，提供臨時許可讓華為得以銷售電信設備給美國電信業，並獲得基本版的開源碼Android。川普政府本周也第三度展延臨時許可到明年2月17日。

商務部長Wilbur Ross本月初表示，很有信心美中兩國可望在本月達成第一階的貿易協議，而申請銷售技術元件給華為的美國公司，很快（very shortly）就能拿到執照，媒體推斷解除禁令的時程已經不遠。

Google本周宣布，將把率先應用在Gmail中的智慧撰寫（Smart Compose）功能延伸到Google Docs中，但目前該功能仍為測試版，且只有英文版，僅適用於G Suite用戶，並不適用於只使用Google帳號的個人。

智慧撰寫功能是利用人工智慧技術，來幫助使用者自動輸入文字或完成句子。

Google表示，該功能將能協助使用者更容易也更快地寫出高品質的句子，除了節省重覆輸入某些句子的時間之外，也能協助減少文件中的拼字或文法錯誤，還能建議相關的句型。

不過，現階段該功能僅開放G Suite用戶使用，涵蓋G Suite Basic、G Suite Business與G Suite Enterprise版本，並不適用於一般的Google用戶。當管理人員啟用Google Docs的智慧撰寫功能之後，使用者就會在輸入內容時看到系統所推薦的語句了。

根據CNBC的報導，近來因財務問題而頻頻在媒體上曝光的WeWork已計畫在全球裁撤2,400名員工，約佔該公司全球員工人數的19%，並已獲得WeWork的證實。

CNBC引述WeWork發言人的說法，指出該公司在幾周前便於全球展開裁員行動，本周才蔓延到美國，大約影響2,400名全球員工，他們都將收到遣散費及其它的協助。

專門提供行動辦公空間的WeWork在今年8月14日於美國提出上市申請，但因投資人對該公司的財務、管理與經營模式多有質疑，使得WeWork再於9月16日撤回IPO申請書，其主要投資者軟銀（Soft Bank）為了維持WeWork的運作，在10月宣布了高達95億美元的資金挹注，並取得WeWork的8成股權，同時軟銀也因受到WeWork的拖累，不僅出現14年以來的首度虧損，還創下史上最高虧損紀錄。

軟銀執行長孫正義除了坦承對WeWork的投資是個錯誤的決定之外，也認為應可藉由撙節支出及專注於核心業務的政策來扭轉WeWork的未來。

WeWork備受質疑的其中一點為財務表現，根據紐約時報的報導，該公司在今年第三季創造9.34億美元的營收，比去年同期成長94%，但虧損則達到12.5億美元，是去年同期的2.5倍。

螞蟻金服要進軍全球區塊鏈市場了。日前在阿里巴巴第10屆雲棲大會中，螞蟻金服除了展現最新區塊鏈應用，推出跨鏈新產品，還揭露了下一步區塊鏈生態戰略，要在11月初對開發者社群開放聯盟鏈，年底還要推出DApp發布平臺，來打造區塊鏈多元生態。

螞蟻金服副總裁蔣國飛指出，螞蟻區塊鏈從2016年推出至今，已成功落地了超過40個商業應用場景，包括跨境匯款、供應鏈金融、智慧住房租賃平臺、醫療保險理賠、電子票據、公益慈善、商品溯源等。

推出中國第一個區塊鏈醫療電子票據平臺

例如今年6月，中國浙江省財政廳、中國國家醫療保障局利用螞蟻區塊鏈，正式上線了中國第一個區塊鏈醫療電子票據平臺，目前該省已有60家醫院加入這個平臺，年底預計達到達到100家。正式上線前，光在浙江省台洲市立醫院進行了超過半年的試點計畫，就已經開出了1千4百多萬張醫療票據。

看診民眾可直接在手機App上，看到所有醫院開立的票據（類似臺灣就診作業用的領藥單、檢查單等）和收據，同時，也能直接在手機上，進行預約掛號、繳費、領藥、拿報告等，無須像過去得自己反覆在不同窗口排隊列印、排隊繳費等人工跑腿的票據流轉模式，平均減少了4次排隊，讓人均就診時間，從170分鐘降低為75分鐘，甚至，可以在平臺上看到所有支援醫院的所有醫療票據。

目前，已可用於部分商業保險的報銷作業，浙江省財政廳今年進一步將區塊鏈電子票據延伸到醫保零星報銷（小額給付），甚至是異地報銷等場景，保險理賠時間從過去需等半個月，降低為幾分鐘就能直接撥款入帳。

另一個頗具成效的區塊鏈應用，則是用於螞蟻金服既有的「310」小微企業貸款，這個名稱的由來是「3分鐘線上申請，1秒鐘審核放款，零人工干預」，已服務將近2,000萬微型企業老闆（中國稱為小微經營者），貸款金額累計達人民幣3.6兆元，其中不良貸款的比率只有1.5％。

螞蟻金服希望擴大310貸款適用的對象，進一步把區塊鏈技術，加入小微企業信用的應用，通過螞蟻區塊鏈「雙鏈通」平臺，小攤販只要提供交易憑證，不用抵押品，也能快速申請小額貸款。蔣國飛透露，這個降低貸款門檻的作法，目標是瞄準中國7,800萬名小微經營者的資金需求。

螞蟻金服資深總監、螞蟻區塊鏈BaaS（Blockchain as a Service）平臺負責人李杰力也補充，雙鏈通是一個區塊鏈打造的供應鏈協作網絡，以核心企業的應付帳款為主要基礎，追蹤記錄了供應鏈上中下游各參與業者間的真實交易和真實票據，作為核心企業的信用憑證的參考。所以，就算是在供應鏈非常末端的微型企業，也能透過自己在雙鏈通上的交易記錄進行貸款。他舉例，在中國崑山一家規模不到10人的小企業，一秒鐘就完成審核，取得2萬人民幣的貸款。

還有一項重要的區塊鏈落地應用，去年，螞蟻區塊鏈和杭州互聯網法院聯手推出了「司法區塊鏈」，把大量現實世界中的合約，商業往來的各種證據、票據、租賃、版權等資訊放到螞蟻區塊鏈上，李杰力表示，一旦發生民事糾紛時，可供司法機構快速取證，大大縮短法官判決的時間，來提高司法機構的效率。目前，中國已有21家法院引進這個司法區塊鏈，近期也與中國最高法院展開合作，「重點是，這些法院皆認可螞蟻司法鏈上提供的各種證據。」

加入Hyperledger計畫，開始進軍全球區塊鏈市場

螞蟻區塊鏈也不再只聚焦在中國市場，更要進軍全球，宣布透過與Linux基金會的Hyperledger（超級帳本）專案展開跨鏈合作，要推動區塊鏈生態的互聯互通。阿里巴巴將成為第一批全球Hyperledger認證的服務供應商（HCSP），可提供區塊鏈顧問服務（總共有5家業者拿到許可）。

不只如此，今年9月底，螞蟻區塊鏈開始布局海外的戰略合作夥伴，正式與德國拜耳作物科學（Bayer Crop Science）簽署合作意向書，要打造食物和農業供應鏈的區塊鏈應用。由拜耳作物科學提供數位化農作物植保與農藝方案，螞蟻區塊鏈貢獻區塊鏈技術、溯源技術、行銷、物流與金融資源。

雙方目標是共同建立一個「農業新雙鏈」，也就是區塊鏈與價值鏈的結合。不只要確保種子、農藥等農業資訊真實可追溯，還包括全產業鏈關鍵節點數據的獲取、校驗，並確保不可篡改，一旦上鏈，將實現農戶的生產過程數據化，以及資產化。

螞蟻區塊鏈可支持10億帳戶規模，單日10億次交易

螞蟻金服要進軍全球競爭，除了新戰略，另一個關鍵是技術力。蔣國飛指出，螞蟻區塊鏈是金融級的區塊鏈引擎，技術上能支持10億帳戶規模，每日能支持10億次交易，背後結合了可擴充的共識網路、雙層網路，以及高效能智能合約引擎。此外，在隱私保護部分，開發了比業界標準高6倍要求的平臺加密算法，也採用了新型態的區塊鏈儲存系統。「透過全新的數據結構與全新的傳輸系統，可以大幅降低50％的成本。」他說。

除此之外，為了因應未來更多的數位資產和相關數據在鏈上流動，以及大規模的上鏈量，螞蟻區塊鏈還開發了可彈性擴充的多類跨鏈服務， 每秒可達10萬筆以上的跨鏈資訊處理（PPS）。

蔣國飛強調，不久的將來，會慢慢出現能達到千萬次鏈上日活躍量的應用，這也意味著背後區塊鏈技術的挑戰，需要有大規模網路效能來支撐，並兼顧區塊鏈數據安全、隱私、成本以及跨鏈連接等核心技術問題。

蔣國飛認為：「跨產業的區塊鏈將帶來更多串連，最終將看到萬鏈互聯的價值互聯網時代」，上鏈量將成為衡量數位經濟水準的重要指標，而跨鏈技術，將是萬鏈互聯的關鍵基礎設施。

螞蟻金服推出跨鏈新產品ODATS，主打異構鏈互通

所以，在這次大會中，螞蟻金服區塊鏈平臺部技術總監張輝也發表了跨鏈新產品ODATS（Open Data Access Trusted Service，開放數據接入可信服務）。他解釋，ODATS採聯盟鏈設計，透過智能合約來提供跨鏈服務功能，目標是兼顧低成本、安全和跨平臺互通，建立外部多鏈之間的互聯。

在跨鏈技術上，張輝指出，將提供更靈活的區塊鏈網路設計能力，讓企業更容易與所屬產業的協作網路間串連。另外，也會支援通用的程式語言，以便開發更多樣化的跨鏈服務，也將提供不同種類區塊鏈平臺的異構鏈互通能力。

張輝更表示，ODATS產品目標是各種類的區塊鏈平臺，為了適應各類區塊鏈各自不同的數據底層，螞蟻金服也開發了整合模組，可以通吃螞蟻區塊鏈、Hyperledger Fabric、企業級以太坊Quorum。目前，螞蟻區塊鏈已經將這個技術應用到大規模的溯源場景，以及數位資產流通應用的場景來驗證。

從李杰力展示的螞蟻區塊鏈產品藍圖上，可以看到三大層產品架構，最底層是以阿里雲為基礎，包括運算、儲存、網路層。再往上一層是區塊鏈核心服務（BaaS Core），這就是螞蟻區塊鏈的核心服務，採用了Kubernetes容器叢集技術，來打造如核心網路加密、跨鏈技術等機制，同時也相容Hyperledger Fabric、企業級以太坊Quorum，與螞蟻金服自主研發的金融級區塊鏈平臺。

最上層是屬於區塊鏈加值服務層（BaaS Plus層），涵蓋常見的通用功能，如實名認證、企業認證、跨鏈服務、通用溯源、智能合約安全檢查等。

螞蟻區塊鏈產品藍圖分為三大層，最底層是阿里雲，再往上一層是BaaS Core，就是螞蟻區塊鏈的核心服務，主要採用Kubernetes容器叢集打造，同時可相容Hyperledger Fabric、企業以太坊Quorum與螞蟻金服自家金融級區塊鏈平臺。最上層是BaaS Plus層，涵蓋通用功能如實名認證、企業認證、跨鏈服務、通用溯源、智能合約安全檢查等。（攝影 /李靜宜）

將開放開發社群使用聯盟鏈，12月推DApp發布平臺

同時，李杰力更發布了螞蟻區塊鏈的新計畫「全民熱鏈」，採取多項開放策略來布局區塊鏈生態系。他們除了升級合作夥伴計畫、開放服務市場之外，另一大重點是，鎖定全球開發者社群，在11月7日推出螞蟻開放聯盟鏈，並預計在12月12日上線DApp發布平臺。

這個螞蟻開放聯盟鏈，將以螞蟻區塊鏈為軸心，向外提供分散式身分服務、分散式數位資產服務，方便開發者自行打造DApp應用。另外，也會結合螞蟻金服支付寶的生態資源，以及阿里巴巴體系的數位資產資源，包括區塊鏈生態市場的資源。

李杰力補充，螞蟻開放聯盟鏈還將引入KYC機制，類似支付寶所用的實名認證，這意味著，加入螞蟻開放聯盟鏈的開發者，要先經過螞蟻金服的認證。文⊙李靜宜

延伸閱讀：螞蟻金服崛起靠五大「技數」力，總裁親自透露

繼於今年3月推出支援AMP的網頁版Gmail互動郵件之後，Google在本周宣布，將把對動態郵件的支援延伸到Android與iOS版的Gmail。

此一互動郵件功能是奠基在Google於2015年創立的行動網頁加速（Accelerated Mobile Pages，AMP）開源專案，Google集結了電子郵件所使用的AMP元件，建立了AMP for email格式，迄今包括Yahoo Mail、Outlook.com或Mail.Ru也都宣布將支援AMP for email規格。

動態郵件將允許使用者直接在郵件中採取行動，例如回覆評論、回覆邀請函，或是管理各種訂閱偏好等，此外，動態郵件中的內容可維持在最新狀態，意味著使用者打開郵件時，可直接檢視最新的訂單狀態，或是最近的職缺消息。

不管是網頁版或是行動版的Gmail動態郵件功能現在都只供G Suite用戶使用，且預設值是開啟等，已於本周開始部署至所有用戶。

螞蟻金服連續4年獲得KMPG評選為全球金融科技百強的第一名，如何不斷創新？螞蟻金服集團總裁胡曉明在今年雲棲大會開場時，揭露了螞蟻金服的戰略，以及背後所需的關鍵技術力。

胡曉明認為，網際網路時代帶來最大的變化是科技驅動金融，原來的離線金融，已經走向線上金融，帶來關鍵性的改變，龐大數據的產生，讓計算能力得到大量釋放。

其中，他指出，影響金融創新巨大變革有4大技術：一是圖學所強化的機器學習；二是雲端計算所釋放的技術能量；三是物聯網；四是量子計算，這些都受惠於計算力。

10年前，螞蟻金服推出了「快捷支付」，胡曉明指出，當時，這對全球來說是一大創新，也將中國的行動網際網路發展，加速推進了5年時間。

銀行過去在支付過程中，只能相信自己的密碼，但支付寶的快捷支付上路後，銀行反而相信支付寶的密碼，民眾透過支付寶平臺付款，但扣的是他存在銀行帳戶的資金，背後是整合風控與技術的力量。「科技正在改變金融方式。」胡曉明強調。

後來，螞蟻金服推出了「信用評級」機制，也就是「芝麻信用」，這是利用數據來衡量每個人的商業信用，也對企業信用進行分級，來提高貿易的效率，今年，中國企業透過芝麻信用所省下的押金，估計達人民幣1,000億元，「數據也在改變金融」，他強調。

還有「全球付」，也是一大突破，民眾只需帶著手機，到全球各地都可以快速完成支付。另外，螞蟻金服的「相互寶」服務已有9,000萬戶，這是網際網路最大規模的人類互助式金融服務。由於計算能力的釋放、密碼技術的提升，全球數位貨幣也正在發生新的創新，胡曉明觀察。

技術與數據，是螞蟻金服發展金融科技關鍵

胡曉明認為，金融科技是數位經濟時代的大機會，所有的金融都會變成線上金融，都是由數據與技術所驅動。而螞蟻金服的金融創新，就是靠五大「技數」（技術與數據）能力，包括數據智能（Data Intelligence）、安全風控、區塊鏈、生物識別、隱私保護。

第一項數據智能，是發展金融科技的關鍵引擎。螞蟻金服的機器學習平臺，可以處理到百億個點，或萬億條關聯的超大規模的圖學（Graph）計算能力和圖存儲能力，「支撐了數位金融業務，從單點建模走向網路智能升級，才能在整體金融科技中廣泛應用。」

不只如此，螞蟻金服還打造了共享式的智能平臺，來支撐百萬級的訓練數據，以利進行建模，還結合了開放AI的計算框架，以及EB級資料量的計算規模，才讓AI模型有能力達到秒級分析。

而安全風控技術，則是金融科技的基礎保障，包括對帳戶安全、流動性管理和信用風險管理。胡曉明揭露，螞蟻金服可以做到秒級切換風控策略，相較之下，一般業界能夠做到一天內，重新調整風控策略，已經算是領先者。

同時，螞蟻金服的風控模型已經可以做到自我學習，舊有的風控模型架構，得靠數學家花上一周時間來調整，但現在改透過機器自己學習，可以做到1小時自動更新風控模型，再搭配海量雲端計算與AI能力，就能大幅提升風險的預測與管理。

此外，區塊鏈技術則是金融科技的信任基礎設施，目前，螞蟻區塊鏈已經可以支撐10億個帳戶、10億筆日交易量的規模，而且，每秒可達到10萬筆以上的跨鏈處理能力。

第四項關鍵是生物識別技術，這是金融科技與物理世界的連接技術。胡曉明表示，支付寶交易上，80％交易都是透過生物識別技術來驗證身分，最主要的機制就是人臉識別驗證，已經取代了密碼、指紋驗證等方式。目前，他提到，人臉識別技術的能力已達到了99.99％。

螞蟻金服也離開FIDO聯盟，在2015年另發起了一個身分驗證聯盟IFFA，聯合了中國手機製造商一起發展，目前可支援到15億個裝置。

最後一項「技數」是螞蟻金服的隱私保護和資料安全。胡曉明提到，螞蟻金服建構了多方安全計算平臺，與可信的計算環境，以同態加密（Homomorphic encryption）、差分隱私（Differential privacy）、零知識證明（Zero-knowledge proof）等技術，來提供數據可用而不可見的能力，讓數據價值實現可信賴的流通。

「未來的金融中心，一定是科技中心。」胡曉明斬釘截鐵地說。他認為，雲、數據智能及大量科技，正在驅動著金融創新。尤其，科技的創新不只對金融效率有數倍提升，在金融風控、金融流動性管理、信用風險管理、數位貨幣當中，還能創造更大的價值。文⊙李靜宜

延伸閱讀：螞蟻金服區塊鏈生態戰略大公開

本月初傳出駭客已針對BlueKeep漏洞展開首波攻擊，隨後網路即流竄著駭客是藉由Microsoft Teams與BlueKeep漏洞來散布勒索軟體Dopplepaymer的傳聞，然而，微軟本周發文正式駁斥此一說法。

傳聞的起因始於有些西班牙企業在本月初感染了Dopplepaymer，隨後Twitter上即有人猜測駭客是透過Microsoft Teams來散布Dopplepaymer，為了避免謠言愈滾愈大，微軟特別出面澄清此事。

根據微軟的調查，Dopplepaymer其實是由遠端的使用者透過既有的網域管理員（ Domain Admin）權限，在企業網路中散布，並沒有絲毫證據顯示它是藉由Microsoft Teams散布。

此外，微軟也說明勒索軟體已成為駭客集團最熱門的收入管道，通常被應用在開採之後的攻擊；駭客喜歡鎖定企業環境，也許是透過社交工程，引誘員工點選連結以造訪惡意網站，或是透過電子郵件附加檔案來感染電腦。不過，微軟的免費防毒元件Windows Defender已可阻擋Dopplepaymer及其它惡意程式。

資安業者CheckPoint本周警告，就算Android用戶固定更新作業系統或行動程式，還是有不少行動程式因為採用了開源碼元件，而且未修補開源碼元件的漏洞，而存在古老的安全漏洞，包括Yahoo! MAP、Facebook、Messenger或WeChat等熱門程式都沒能倖免於難。

CheckPoint解釋，行動程式經常會採用數十種像是C這種低階語言所撰寫的、可重覆使用的元件，這些元件一般被稱為原生函式庫（native libraries），它們可能是由開源專案衍生而來，或是結合了開源專案的程式碼，但當一個開源專案的漏洞被發現並修補時，維護者通常是無權控制被該漏洞所波及的原生函式庫或程式，而使得採用相關開源專案的行動程式依舊存在著安全漏洞。

CheckPoint也坦承，宣稱這些程式含有安全漏洞可能是誇大了些，因為它的流程也許永遠不會觸及到受影響的函式庫程式碼，但肯定值得程式開發者深入調查。

為了驗證所持理念，CheckPoint掃描了Google Play上的程式所使用的開源碼，檢查它們是否含有已知的安全漏洞，研究人員只針對2014年所發現的CVE-2014-8962、2015年的CVE-2015-8271，以及2016年的CVE-2016-3062，這3個都是屬於可執行任意程式的重大漏洞，卻有許多熱門程式依舊使用了含有上述漏洞的函式庫，像是下載次數超過10億的Facebook與Messenger，或是下載次數超過5億的LiveXLive，以及下載次數超過1億的WeChat等。

CheckPoint指出，光是這3個漏洞，就影響Google Play上超過400款的程式，如果駭客以上百種已知漏洞掃描Google Play上的程式，可能會有更多的熱門程式遭到波及。

事實上，研究人員實際開採了VivaVideo的CVE-2016-3062漏洞，也成功讓該程式當掉。VivaVideo為一影片編輯工具，下載次數超過1億，且CheckPoint所測試的是它的最新版。

CheckPoint表示，這透露出就算具備安全意識的使用者會適時更新作業系統與程式，但只要程式開發者疏於維護程式，這些預防措施可能也只是流於形式。

包括Kaspersky、Avira、Malwarebytes等多家資安業者，以及電子前線基金會（Electronic Frontier Foundation，EFF）等多個非營利組織在本周正式發表了「抵制跟蹤軟體聯盟」（Coalition Against Stalkerware），認為這類的軟體通常與全球的專制政權或犯罪行為有所關聯，且就算銷售跟蹤軟體是合法的，但使用它卻經常是非法的。

參與此一聯盟的組織包括Avira、Kaspersky、G Data、Malwarebytes及NortonLifeLock等資安業者，以及捍衛公民自由的EFF、力促消弭家庭暴力的NNEDV與WWP EN，以及受害者支持組織Weisser Ring與Operation: Safe Escape。

跟蹤軟體又被稱為合法的間諜程式，它可讓遠端的使用者監控另一名使用者的裝置，且通常是在對方不知情的狀況下，而可能衍生出騷擾、虐待、跟蹤或暴力的後果。該聯盟認為，跟蹤軟體通常與全球的專制政權有所關聯，政府藉由贊助這類的軟體來侵犯人權，或者是被犯罪人士所使用，根據統計，從去年以來，資安業者在手機上所偵測到的跟蹤軟體安裝數量增加了373%。

至於卡巴斯基（Kaspersky）則說，追蹤軟體不只攸關受害者，對資安業者來說也是個問題，因為這類的軟體除了會洩露受害者的資料之外，也會破壞裝置的保護，進而替惡意程式開啟大門。

由於目前的追蹤軟體處於灰色地帶，有些國家的法令認為它是合法的，因此防毒軟體並不能直接將它標註為病毒，而只能提醒用戶有關這類軟體的存在。

於是目前該聯盟的宗旨在於改善跟蹤軟體的偵測與減緩能力，教育消費者與其它組織有關跟蹤軟體的技術，以及喚起大眾的注意。

今年中Google即曾在Avast的通報下移除Play Store上的7款跟蹤程式，Avast認為這些軟體侵犯了使用者的隱私，但如同卡巴斯基所言，Google無權判斷這些程式的合法與否，猜測可能是因它們為了掩飾自己的存在，而隱藏了程式的圖示，違反Google Play Store的政策才被下架。

Openai推出了一套工具和環境Safety Gym，幫助他們進行受限增強學習演算法。Safety Gym可用來評估增強學習代理人，在訓練時尊重安全約束的進展。Openai提到，要將深度學習應用在現實世界中，無論是實際的機器人還是網路技術，人工智慧學習時都需要有安全演算法，讓他們不需要實際經歷事故，就可以學會避免危險發生。

增強學習是一個透過探索環境學習最佳行為的方法，需要透過代理人不停地試錯來運作，在代理人嘗試一些行為之後，判斷有效與無效的行為，增加良好行為的可行性，並減少無效行為的可能性，以達到最終設定的目標。但Openai提到，探索本身就是危險的事，代理人可能嘗試了無法接受的危險行為。

而這衍生出安全探索（Safe Exploration）的議題，Openai表示，安全探索的具體作法便是受限（Constrained）增強學習，受限增強學習與普通增強學習相似，只是代理人除了要最大化獎勵函式之外，環境還需要增加了成本函式來限制代理人，像是要自動駕駛汽車從A點開到B點，受限增強學習能夠約束自動駕駛行為以符合交通規則。

Openai表示，普通增強學習的一大問題是，代理人的最終行為，都由獎勵函式來描述，但是從根本來說，獎勵設計非常困難，因為需要權衡的任務效能以及安全性要求，是兩個互相競爭目標，但是在受限增強學習則不需要做出取捨，而是選擇結果，由演算法算出人類想要的結果。

為了要研究受限增強學習，Openai推出了一系列稱為Safety Gym的工具和環境，相較於現存的受限增強學習的環境，Safety Gym提供更豐富的學習環境，具有更大的難度以及複雜度範圍。在Safety Gym中，機器人必須要在混亂的環境中達成任務，預設有Point、Car和Doggo（下圖）三種機器人，以及達成目標、按鈕和推三種預設主要任務。

作為開放給社群的研究基礎，Openai在Safety Gym基準套件上測試了普通增強學習以及受限增強學習演算法，Openai提到，他們初步的結果顯示，Safety Gym可用來進行廣泛困難度的增強學習演算法測試。

（下圖）PPO和TRPO為普通的增強學習演算法，同時Openai也為這兩種演算法加入應用拉格朗日力（Lagrangian）的版本，作為安全性懲罰成本以限制其最佳化，而CPO（Constrained Policy Optimization，CPO）則為受限的增強學習。

Openai意外發現，在Safety Gym環境中，應用拉格朗日力（Lagrangian）方法的演算法，竟比CPO的表現還要好上許多，而這推翻了過去的研究結果。為了幫助研究人員可以快速上手實驗，Openai釋出了實驗所用的代理人實作。

接下來，Openai提到，他們會改進受限增強學習，並與其他問題設定和安全技術結合，Openai提到，他們希望Safety Gym除了能夠量化精確度和效能之外，未來還能量化安全性，如此政府便可能將這套評估方案，用來建立安全標準。

Google宣布釋出Explainable AI，來提高人工智慧的可解釋性，讓開發人員可以了解機器學習模型獲得預測結果的原因。Explainable AI提供了工具以及框架，供用戶部署可解釋以及包容性機器學習模型，目前這項功能已經在AutoML表格和Cloud AI平臺提供，用戶還可結合模型分析工具What-If工具更全面了解模型行為。

機器學習可用來辨識大量資料點之間的複雜關聯，儘管以這樣的方式，開發者可以讓人工智慧模型達到極高的精確度，但是當開發者檢視模型結構或是權重的時候，通常無法了解有關於模型行為的資訊，Google提到，也因爲如此，對於部分需要有高度確定性要求的產業，在學習模型無法被解釋之前，難以實際應用人工智慧機器技術。

因此Google現在宣布在雲端人工智慧服務，推出人工智慧可解釋性功能，該功能會量化每個資料因素對於機器學習模型輸出的貢獻，讓用戶能夠利用這些訊息，進一步改進模型，或是與模型的使用者共享有用的分析資訊。

Google在人工智慧平臺加入了特徵貢獻（Feature Attribution）功能，讓開發者能夠理解用於分類（Classification）以及回歸（Regression）任務的模型輸出，特徵貢獻會顯示每個特徵對每個實例預測的貢獻多寡，可用於表格資料以及圖像資料。

以表格資料為例，當要以天氣資料和過去騎乘腳踏車資料訓練深度神經網路，當用戶要求模型預測在特定天氣騎士騎車分鐘數，則模型輸出預估自行車騎乘的持續時間，當用戶要求解釋預測結果，用戶除了會得到預測的騎車時間，還會得到每個特徵的貢獻分數（下圖），貢獻分數顯示各因素對於預測值變化的影響程度。

在訓練圖像方面，當開發者要訓練一個能判斷圖像內動物是貓還是狗的模型，在用戶要求解釋時，用戶會取得一個疊加的圖層（下圖），上面會顯示哪些畫素對於預測結果貢獻最大。只要用戶要求人工智慧平臺做出解釋請求時，系統便會解釋資料中每個特徵貢獻影響結果的組成，開發者可以使用這個訊息，來驗證模型是否符合預期，並辨識出模型的偏差，獲得改進模型和訓練資料的想法。

不過，Google也提到，目前所有的解釋方法都有其限制，Explainable AI能夠反映出模型從資料找出模式的方法，但是卻無法揭露資料樣本、總體和應用程式之間的基礎關係，目前Google會以維持其限制性透明的前提，提供直覺有用的解釋方法。

面對層出不窮的資安攻擊，如何做好防護一直是企業關注焦點，身為臺灣公共財政的最高主管機關財政部，財政資訊中心主任陳泉錫在CyberSec 101資安實務研討會的防禦措施場次上，指出政府部門面臨過度委外的資安風險，強調資安自主的重要性，同時，也說明他們是如何建立內部同仁相關技術能量。

對於財政資訊中心的資安防護策略，陳泉錫指出，重新找回內部同仁技術自主能力，就是最關鍵的一件事，將能為組織帶來實質的幫助，同時，數位證據保全的執行，也很重要。其實，我們在之前其他的研討會上，已經聽到陳泉錫對於政府單位過度委外情形的憂心，因為組織本身沒有人能掌握資安，實質的經驗也不足，將帶來很大的風險。

而在這次活動中，他則是具體說了面對此一情形的防護對策，以及實際經驗，讓其他人在面對委外管理時，也能有所參考或借鏡。

用半年培養新人寫程式能力

建立技術自主能力，要從何做起？陳泉錫提供了具體做法，首先，他們從基本的系統規畫及程式撰寫能力下手，然而，這件事說來容易，做起來也不簡單。

因為，若要以現職人員進行培訓，反對聲浪一定不小，因此，他們從新進人員開始做起，並採專班集訓方式，設計了6個月的程式撰寫培訓課程，之後再將這些人員分配到業務單位。他表示，像是檢察官、調查官都有專門的訓練，才分配到工作單位，資訊人員同樣可以這麼做，雖然業務單位會抱怨人力不足，又因為這樣的培訓卡住人力支援，但他認為這樣的制度很有幫助，並能建立同期培訓人員的團隊情感。目前，他們已經完成兩期共26人的培訓，現正進行到第三期，而在結訓之後，他們也會有成效維持策略。

關於人員培訓，陳泉錫指出有3大重點。第一，監督承商系統及程式的品質與安全，其次，要能具備維持系統基本運轉的能力，因為過去他們曾遇到委外廠商因價格太低而不願承作的情形，這樣的狀況令他有相當深刻的感受，最後，則是對於委外經費與時間的估算，能有合理評估的能力。他並認為，最終目標是希望系統核心部分能自己做，其他部分才交給委外廠商。

打造自家的CSIRT團隊，以執行資安健檢與滲透測試

面對資安風險與挑戰，財政資訊中心採取的第二個發展策略，就是成立資安健檢與數位鑑識團隊（MOF-CSIRT）。陳泉錫表示，在2016年的一銀ATM盜領資安事件中，讓他深刻感受到，很多事情只能依賴調查局，事實上，組織本身也應培養相應的單位。

為了組成這樣的團隊，他們也從財政部所屬的不同單位召集，包括財政資訊中心本身業務組，以及綜合規劃組、資通營運組、關務署、國產屬與臺灣銀行，並設立1個隊長與2個小隊長，共18名成員，以兼任方式組成。

該團隊有那些任務？簡單來說，平日可協助財政部及所屬機關，執行資安健診，以及網站及核心系統滲透測試與弱點掃描，以挖掘資安防護的缺失，而且，每週固定進行兩次的半日訓練及實際操演；當資安事件發生時，則能負責儘速阻斷攻擊來源，做到數位證據保全，並在必要時，進行初步鑑識，以發掘潛伏的惡意程式。

值得注意的是，財政資訊中心對於這個團隊的建立與培訓方式，相當重視。例如，陳泉錫表示，他們找來了業界資安專家授課，包括白帽駭客實作訓練、以及自行研習漏洞資訊與實作，將心得報告交由老師指導。同時，也藉由資安培訓委外服務，讓成員參與資安健檢工具實作的課程，以及網路攻防搶旗賽訓練。而且，他們也規畫了完善的考核機制，包括從技術測試、貢獻度來掌握成員的學習狀況。

接下來，就是要驗證團隊成效。陳泉錫指出，該團隊確實帶來了幫助，在資安健檢稽核方面，他們針對台灣銀行、賦稅署、財政部印刷廠、國產署中區分署、北區國稅局、關務署等所屬機關，就找出不少問題。例如，部分電腦安裝了未經授權的軟體，病毒定義檔或Adobe Flash、Java版本未升級至最新，還有像是發現了超過6個月的閒置帳號卻未停用，以及防火牆規則設定不當、主機特權帳號未分權管理，惡意IP位址與網域未阻擋，以及共用資料夾含個資卻未設定權限管控等種種問題。

在滲透測試方面，該團隊也找出網站未設定X-Frame-Options，若不及早處理，恐怕會有被iframe網頁蓋臺的威脅。簡單來說，這將讓攻擊者可以將另一個網頁嵌入，透過iframe覆蓋在原本的網頁上，讓使用者誤以為是正常運作的網站，但其實是在iframe的頁面上操作，這讓駭客能夠發動點擊劫持攻擊，並可竊取帳號密碼。而他們在發現這個問題之後，隨即也要求改善。

面對資安風險與挑戰，財政資訊中心打造資安健檢與數位鑑識團隊，在資安事件發生時能夠即時因應與初步鑑識，平日也可執行資安健診、網站與系統的滲透測試等相關工作。（攝影／羅正漢）

自行開發證據保全之用的USB隨身碟與分析工具

關於數位證據保全的工作，陳泉錫從資安事件調查的流程談起。一旦遭遇駭客入侵或資料外洩，通報就是首要的動作，他同時強調不應立即拔網路線、重開機與重灌系統，這將導致證據被湮滅，造成舉證困難。

在事件調查過程中，陳泉錫認為有3大步驟需要注意，從有效方法保全證據開始，接著，是要阻斷攻擊來源，使被入侵的系統恢復正常運作，然後是追查入侵管道及問題根源，防止再次受駭。

其中，證據保全是相當重要的關鍵，雖然資安人員的責任是立即解決問題，但數位鑑識人員是站在分析事件原因的角度，釐清問題與責任歸屬。由於事件一旦發生，都是處於相當緊急的情況，如何做到有效證據保全就是一大挑戰，因此，他們團隊也嘗試運用技術來克服這個困難。

例如，他們打造出一個保全證據的USB隨身碟工具，他說，雖然這是很笨的方法，但只要將隨身碟插進電腦，就可以自動把證據檔案與映像檔錄下來，能迅速蒐集到50多項記錄，實用性是足夠的。

同時，他們也開發了對應的分析工具，能夠分析可疑程式檔名、惡意IP、Hash值與IOC的黑名單，以及可疑對外連線埠、蓄意隱藏程序等多種特徵，以及異常日誌行為等項目，並且能顯示風險等級燈號，協助快速判斷嚴重程度或建議作法。

即使沒有資安事件，平時也是可以利用這樣的工具來檢查與分析，陳泉錫認為，這種方式未來政府每個單位都可以用得上。另外，對於高權使用者管理的必要性，他表示財政資訊中心在這方面已有規畫，像是需區分高權者角色，與制定管理策略與作業查核等。

對應數位證據保全，財政資訊中心的資安團隊也開發出證據蒐集之用的USB隨身碟與分析工具。（攝影／羅正漢）

今年報稅系統上線前，財政資訊中心以人海實機壓測找問題

說明政府委外管理的防護策略之餘，陳泉錫還揭露了今年5月所得稅報稅的資安挑戰與應對。

今年由於稅法大幅修正，因此系統更動幅度大，還有網路申報軟體重寫與硬體平臺廠商換新的狀況，更大的問題在於，今年開放使用者以Windows環境進行線上報稅，因此系統要能承載巨大流量，成為他們關注的焦點。

為了避免兩年前線上報稅的壅塞事件重演，他們先進行了壓力測試，得知系統每小時可處理超過8萬件，已是去年峰量4倍，另外，也運用了人海實機壓測方式，找出實際上線可能遇到的問題。

陳泉錫表示，他們以財政資訊中心與各地區國稅局的人力，共進行8次測試情境模擬，最高1千多人同時登入，共發現3項異常連線問題，例如，因為報稅系統防火牆白名單未將IPv6地址加入，而導致斷線的情況，以及上層主機IPv6地址與報稅系統DNS伺服器不一致。甚至，在5月1日報稅日之前的兩天，仍因為報稅網站DNS設定為避免放大攻擊，而有大量斷線情況。最終，所幸透過修改設定回應方式解決。

另外，對於報稅網站系統的安全性，負責廠商關貿網路已在自行檢測中，發現2個中風險漏洞、4個低風險漏洞，並已修補。接著，財政資訊中心再運用自家的資安健檢團隊複測，又找到6個高風險漏洞，以及2個中風險漏洞，8個低風險漏洞，可以進一步減少檢測上的盲點，強化安全。