國泰金控首度公開了一項大規模的新創評選計畫「國泰金融創新實驗室」進展，第一波從全球412家新創中，選出了9家合作對象，以國泰金控今年要發展的8大業務創新方向，進行為期5個月的POC驗證實驗，預計在今年6月揭露成果。

有別於以往國泰與新創合作的方式，國泰金控資深副總經理孫至德表示，這項計畫是從集團業務需求出發，有規模且系統地篩選新創企業，為集團挹注創新能量的模式。

國泰金控採取了一個新的模式，來引進新創的技術與文化。從以往一家家與新創談合作找落地應用場景，轉為瞄準集團旗下子公司業務部門的需求，以系統性模式招募全球FinTech新創公司，要加快擁抱新創技術的速度，更作為國泰金控未來的業務創新重點方向。

孫至德表示，過去，一家家談，只有約20家的合作規模，但新作法可以一口氣評選400多家新創，提升了20倍的廣度。他更透露，今年是第1個年，這項計畫至少會連續執行3年。

為何需要如此大的轉變？孫至德坦言，國泰金控原有在尋找新科技時，會參與一些加速器，藉此了解目前市場方向、科技新發展趨勢。不過，他進一步提到，參與加速器雖然能廣泛地接觸各種新創，但卻難以找到精準符合國泰集團業務單位需要的技術，以至於難以將技術落實在業務場景。

國泰金控指派旗下數位數據暨科技發展中心（數數發中心，DDT）在2019年中成立了科技創新小組，花了大約1個月的時間，在國泰金控旗下各個子公司不同的事業單位，進行深度的需求訪談，尋找業務單位可能會需要改善的業務痛點。

最後，彙整出30個以上的需求，再依照重要性、影響性、科技發展趨勢、內部資源排程，排序出前8大項領域，包括AI詐欺偵測、生物特徵分析、大數據分析、AI自動鑑價、輿情分析、金融支付、法遵／反洗錢、文意分析。孫至德強調，透過了解各業務單位的需求，能有更清楚的目標，來篩選合作的技術新創公司。

所以，這8大項領域為國泰首要的業務創新方向後，國泰向全球新創公司展開了雙臂，大舉招募符合國泰業務需求的新創公司，並訂下4大招募標準，欲參與計畫的技術新創公司，必須符合國泰金控的亞太區發展計畫，且必須是穩定發展的公司，還得有解決問題的能力，更要符合國泰金控想要的科技創新技術。

歷經3個月的時間，國泰共招募了412家新創公司，有一半是新創公司自行報名徵選，一半是科技創新小組所尋找的新創企業。經過了3階段的面試並與業務單位共同評估，國泰最後選出了9家新創，為的就是要讓技術真正有效地導入國泰集團。

孫至德提到，此次入選的9家新創企業，聚焦金融科技、保險科技、醫療科技、法遵科技、房地產科技、人工智慧等，將透過數數發中心作為溝通橋樑，與國泰集團旗下子公司合作技術驗證，同時進行多個概念性驗證（POC），來解決業務場景的痛點。而POC將為期5個月的時間，國泰金控表示，將於今年6月有進一步的成果展示。

而這9家新創之一是美國新創公司Amenity Analytics，透過AI技術進行金融市場訊息預警監測，藉由自然語意理解（NLU）分析股票新聞、財務報告、投資報告來偵測市場行情，國泰投資部門計畫用此來測試是否能建立預警機制與即時監控投資目標，提升投資研究效率。孫至德舉例，比如能用這套軟體，從4～5萬份的研究報告中，找出大家對有興趣投資某家公司，普遍看法是正面還負面，來輔助分析師進行判斷。

另一家是美國新創企業BehaviorSec，則是提供生物辨識安全防護的解決方案，可以分析使用者使用App和網站時的按鍵習慣、介面操作方式，及觸控習慣等，來偵測詐欺與帳號盜用行為，未來則可能應用在國泰各項數位App服務，比如KOKO數位帳戶、行動銀行等。

亦或像是新加坡新創LenddoEFL，提供AI的心理分析問卷SaaS平臺，可用在對貸款申請者以及現有客戶的信用評分，作為替代性的信用風險評等，了解客戶還款的意願，未來預計應用場景是銀行端。孫至德則透露，「銀行的應用將包括臺灣還有在東南亞。」

其他還包括英國新創HousePrice AI，擁有使用自動鑑價模型進行自用型房地產鑑價的技術，將在國泰人壽的不動產鑑價科的應用場景上驗證。印度新創ClearQuote，則是使用深度學習技術識別汽車損傷的照片或影片，來預估車險理賠維修的費用，則與國泰產險合作驗證。

英國新創ComplyAdvantage則是一家法遵科技公司，可為銀行、保險公司與支付公司提供即時合規監測軟體解決方案，這部分則會應用到國泰的法遵／反洗錢領域。南韓新創Lunit則是以AI醫學影像輔助診斷，協助放射科醫師提升診斷準確率並降低醫療成本，將測試的應用場景包括國泰醫院，以及國泰人壽的審查部的需求。此外，還包含了美國AI獨角獸公司DataRobot與以色列新創Paygilant這2家公司。

國泰金控正積極加速集團的數位轉型，除了2016年設立的數數發中心，至今已成長到500人的規模，聚焦數據和技術，協助國泰旗下銀行、人壽、產險、證券、投信和創投等子公司，進行全集團的轉型。國泰金融創新實驗室計畫的揭露，更是臺灣金控業者首次公開的大規模新創海選模式。孫至德強調，國泰金融創新實驗室成立的重要概念，是希望讓各子公司的業務單位，開始有與新創公司合作的經驗，在過程中開闢眼界、被刺激，才是最重要的。文⊙李靜宜

2019/12/21~2020/01/17精選AR‧VR新聞

 Sony    3D立體視覺  

Sony展示3D立體視覺顯示新技術，未來可用於建立更逼真的裸視AR內容

在今年CES大會，Sony在自己的攤位上，設置了一個迷你的小劇院場地，就放在一個黑色大箱子裡，箱上有個舞臺可以看到一組男女雙人舞者正在隨著音樂旋律翩翩起舞，而且還可以從不同角度觀看兩人舞步，並且細膩呈現環境中的光影變化，就像是真的劇院那樣。這其實是Sony展示一項3D立體視覺顯示新技術（Volumetric Visual Technology），所有舞臺中出現的人物都是虛擬角色，不是真人演出，主要是利用一個眼球感測光場顯示器，透過追蹤人臉位置，推斷視線方向，讓觀看者看見的畫面更立體，這樣一個顯示器還配備有高速的視覺感測器，與結合臉部辨識演算法，Sony表示，透過這樣的3D立體呈現方式，能夠實現比傳統裸視3D顯示器更逼真的立體視覺感受，未來也能應用於VR與AR內容，替娛樂和產品設計等不同領域創作者，來提供更逼真的3D立體內容呈現的環境。

AR眼鏡    三星  

三星展示首款AR眼鏡原型，還結合外骨骼套件推出在運動健身的AR應用

在今年CES大展上，三星展示了一款AR眼鏡原型，還結合三星的外骨骼套件GEMS，現場展示在個人復健、運動健身的AR應用。只要戴上這副AR眼鏡，使用者眼前就會出現一個虛擬教練，來指導你健身，除了可以在家中使用AR眼鏡跟你的私人教練一起鍛鍊，還能進到爬山或在水下行走的場景，來幫助使用者一步步完成各種難度的訓練。除了頭部戴上的AR眼鏡，使用者下半身還穿上一個外骨骼套件來輔助行走，同樣能整合AR體驗，用來協助改善行動不便，或提供個人復健的使用。但三星並未透露這款AR眼鏡具體上市時間和相關規格。

醫療AR   美國食藥署  

以色列醫療AR頭盔Xvision獲FDA許可，能用於外科手術

美國食藥署（FDA）近日批准第一款能夠用於外科手術開刀的專業醫療AR頭盔Xvision，它是由一家以色列醫療公司Augmedics打造的一套AR手術影像引導系統，可以將患者手術過程影像與AR結合，來確保醫療手術流程的精確性，醫生只要戴上AR頭盔後，就能利用這套系統，看到開刀後深層皮膚和組織的內部結構，他們還利用這套系統，在手術時來呈現患者的3D脊柱解剖結構視圖，並且立即展示在醫生的眼前，幫助他們在手術過程中準確執刀，從而縮短手術時間也降低手術風險，未來也能變成醫師在微創手術可用的輔助工具。在獲得 FDA 許可後，Augmedics也已經開放預訂。

VR   網路傳輸  

Wi-Fi聯盟發布Wi-Fi 6E支援6 GHz頻段，滿足高解析影片串流以及VR應用

Wi-Fi聯盟近日發布了新的無線網路規格Wi-Fi 6E，但它不是一個新標準，而是做為原本Wi-Fi 6標準進一步擴大延伸，新增加6 GHz的無線頻段，除了能向下相容a/b/g/n/ac的Wi-Fi 6，Wi-Fi 6E因為支援6 GHz頻段，範圍將可覆蓋5.925 GHz到7.125 GHz，能提供更快的網路速度以及更低的網路延遲，來解決現有Wi-Fi 頻段短缺的問題。

不像2.4GHz和5GHz只能選擇20MHz或40MHz頻寬，6 GHz頻段可以容納頻寬更多，包括14個80MHz頻寬以及7個160MHz 頻寬，這意謂著，可以提供更高的傳輸頻寬，能支援像是8K高解析度影片串流以及虛擬實境等高頻寬內容應用，即便是在用戶密集的環境，Wi-Fi 6E裝置也能因更大頻寬及容量，提供用戶高效能的網路服務。雖然目前6 GHz頻段相關法規還在進行中，但Wi-Fi產業皆持樂觀看法，現階段Wi-Fi聯盟正在進行Wi-Fi 6E的通用性測試。

微軟    企業VR協作  

微軟VR協作工具SharePoint Spaces最快今年Q1推出公開版本，Oculus Quest也支援

微軟在2018年中發表一款可用來建立沈浸式體驗的VR協作工具SharePoint Spaces，讓用戶透過瀏覽器、MR頭戴裝置就能與SharePoint內容互動，使用文件管理、網頁出版及儲存系統功能。但之前，僅提供封閉預覽版本，只能透過個別申請使用，並未提供公開版本。不過，近日微軟在接受國外媒體採訪時透露，預計將在2020年第一季正式推出Sharepoint Spaces公開版本，屆時，Sharepoint Spaces也將支援主流VR頭戴設備，包括Oculus Quest等。

AR刷卡    萬事達卡  

萬事達卡推出手機刷卡AR應用 讓持卡人能用AR介面查看刷卡優惠

前幾年就曾與科技廠商合推AR購物的萬事達卡（Mastercard），現在則進一步將AR放進自己的手機App。該公司近日發布一款手機AR應用，可以讓用戶以AR介面來查看、尋找刷卡優惠。

持卡人只要將手機對準卡片，就會開啟3個虛擬入口，分別對應不同類型的消費場景，例如飯店房間、水療中心或私人場所等，點進之後，就能看到相對應的AR內容，並可以自由查看，在眼前顯示出有提供刷卡優惠的物品。萬事達卡期望透過提供信用卡優惠總覽的AR體驗，進而提高用戶的消費體驗。但要用還沒那麼快，預計今年第2季才會在美國推出上線，未來也會推向其他地區，但僅限於World Elite Mastercard與World Mastercard卡種能用，而且只適用iOS平臺。

松下    VR眼鏡  

日本Panasonic展示首款支援HDR的VR眼鏡，能獲得更逼真的VR影像

在CES大會期間，日本松下（Panasonic）公開展示第一款支援HDR影像呈現的VR眼鏡，能夠替VR用戶帶來更豐富沉浸式的VR體驗效果。松下這款VR眼鏡外型相當輕巧，就像是眼鏡形狀的造型，連穿戴方式也跟一般眼鏡類似，只須將眼鏡架掛在左右兩耳上，不需要綁帶調整，因此較不容易導致佩戴者不適。VR眼鏡使用了Kopin和Panasonic共同開發的微型OLED螢幕，除了能顯示UHD超高解析度畫面，還支援HDR效果，能夠獲得更逼真的VR影像內容，來提高使用者的觀看體驗。同時，該裝置還配備一對耳機，可提供高品質的音質效果，未來也可能整合5G通訊技術，使其可用於各種應用。不過，松下尚未公布這款VR眼鏡的售價，以及推出上市的時間。責任編輯／余至浩

圖片來源／三星、Wi-Fi聯盟、Augmedics、松下、Mastercard、Sony

 更多AR‧VR動態 

1.Sony公布最新PlayStation VR銷售量，迄今已突破500萬套

2.VRgineers推出單眼解析度可達4K的VR頭盔XTAL，還支援眼球與手部追蹤功能

3.VR專用瀏覽器Firefox Reality也能支援Pico頭戴式裝置了

資料來源：iThome整理，2020年1月

來自美國普林斯頓大學的4名研究人員，在上周公布了一項報告，指出美國電信業者對於用戶切換SIM卡時，所要求的身分認證機制安全性不足，讓駭客輕易取得基於用戶身分的SIM卡，在所測試的50張預付卡中，成功交換了39張SIM卡。

有不少服務的雙因素認證機制支援以手機簡訊作為密碼之外的身分認證工具，業者傳送一次性認證碼到使用者的手機上，使用者只要在服務上輸入密碼與一次性認證碼就能通過身分認證，但有愈來愈多的駭客透過SIM卡交換（SIM Swap）攻擊，以用戶的身分詐騙電信業者，把駭客誤認為用戶並切換SIM卡，而讓駭客能以用戶的身分取得一次性認證碼，進而危害用戶的權益。

研究人員向美國電信營運商各購買了10張預付卡，包括AT&T、T-Mobile、Tracfone、US Mobile與Verizon Wireless，再打電話去這些業者的客服，宣稱SIM卡故障了，但手邊有一張新的SIM卡，可否將身分切換到新SIM卡上，藉以驗證這些電信業者的身分認證能力，結果發現業者所提供的機制缺乏安全性，在50張SIM卡中，成功切換了39張。

其實電信業者各有確認用戶身分的規定，它們可能要求使用者提供地址、電子郵件位址、啟用日期 、最後一次付款、裝置資訊、最近一次撥打的電話、PIN碼或密碼、安全問題、簡訊OTP或電子郵件OTP等，在上述的程序中，只有PIN碼或密碼、簡訊OTP與郵件OTP是被視為安全的認證方式，其它都有機會被繞過。

例如研究人員只要額外加值就能掌握最後一次付款時間，先撥打受害者電話使得他回撥，就能掌握最後一次撥打的電話號碼，個人資訊或帳號資訊只要利用資料蒐集器就能取得，裝置資訊可透過惡意的Android程式取得，安全問題則經常能被猜到。

更令人傻眼的是，Tracfone與US Mobile有些客服，完全沒有詢問客戶身分就切換了SIM卡。

在最終的結果中，研究人員成功掉換了向AT&T、T-Mobile與Verizon購買的各10張SIM卡，Tracfone與US Mobile則分別有6張及3張是成功的，以總數50張來看，成功機率高達78%。

接著研究人員還拿著這些已被成功交換的SIM卡，去測試逾140個線上服務，其中有17個網站只需要SIM卡就允許駭客取得受害者帳號。

此一研究主要測試的是預付卡，研究人員指出，這些電信營運商對於月租型SIM卡帳號的規定較為嚴格，也較不容易展開SIM卡交換攻擊。

微軟推出的永續計算器（Sustainability Calculator），是一個適用於Azure企業用戶的Power BI應用程式，其提供與Azure服務相關的碳排放量資料。

微軟提到，雖然把應用程式從傳統資料中心搬遷到雲端上，可以改進能源使用效率，但是企業要能訂定自家的永續運算政策，需要掌握更多雲端工作負載的碳影響資料。而現在微軟推出的永續計算器，能量化用戶Azure訂閱的碳排放量，計算一段時間在資料中心地區所產生的碳排影響。

永續計算器的碳排量，是根據客戶的Azure使用量來計算，而服務使用量與碳排量間的關係，是根據2018年雲端運算的碳效益白皮書裡的資料，這個資料計算了Azure服務的能源消耗，以及供應託管資料中心能源的混合電網，還有該資料中心所採購的可再生能源，同時也把網際網路傳輸資料所產生的碳排因素考慮進去。

永續計算器把微軟IT的營運效率、IT設備效率以及資料中心基礎設施效率，和企業就地部署做比較，給出在Azure上執行工作負載，所省下的碳排放量。為了讓這些資訊容易被取得，微軟以再生能源專案的工具，建置了一個精細的檢視圖。由於微軟每年購買可再生能源，以分擔年度雲端消耗，客戶可以使用世界地圖，查看自己所使用服務地區的能源使用狀況。

Azure企業用戶現在就可以從AppSource下載永續計算器，深入了解基礎設施所產生的碳排，用在組織內對話和推廣永續政策上。

多名來自共和黨及民主黨的美國參議員上周提出一項議案，希望美國國土安全部旗下的網路安全及基礎設施安全局（Cybersecurity and Infrastructure Security Agency，CISA）能夠在各州設立一個網路安全協調員，以促進各州、實體，以及美國聯邦政府之間的網路安全資訊分享。

此一提案名為《網路安全國家協調員法案》（Cybersecurity State Coordinator Act of 2020），指稱侵犯各州、地方政府、部落及實體等諸如勒索軟體的網路威脅以驚人的速度成長，這些威脅可能來自於先進持續性駭客、敵對國家、犯罪集團或其它惡意的網路駭客，迫切需要聯邦政府更多的參與及專業知識，來幫助這些實體建立防禦及抵禦能力。

各州的網路安全協調員（Cybersecurity Coordinator）是由聯邦贊助，負責協調聯邦、州、地方政府、學校、醫院或其它實體，來避免及回應網路安全威脅。

主導此一提案的Maggie Hassan表示，網路攻擊對於美國許多社區來說可能是毀滅性的，例如勒索軟體攻擊可能封鎖學校或醫療紀錄，而其它的網路攻擊則能關閉電網或金融服務，聯邦政府需要做更多的事來確保各州與地方政府有足夠的資源與訓練，來避免及回應網路攻擊。

LinkedIn揭露自家處理猥褻與非法服務廣告等，不當個人檔案內容的方法。官方提到，他們一直在開發各種安全系統，阻止假帳號、防止濫用以及避免用戶受虛假個人資料欺騙，他們以自動系統偵測並打擊違反服務條款的行為，而不當個人檔案內容便是其中一部分。

LinkedIn起初使用黑名單方法，建立一組違反服務條款的單詞和短語，當系統發現帳戶的個人檔案，含有其中任何一個不適當的單詞和短語時，便將帳戶標記為詐欺帳號，並從LinkedIn中移除。

但這個方法有一些缺點，首先是不可擴展性，因為這個方法需要手動調整黑名單列表，評估阻擋詞句需要非常的小心，且許多單詞適當與不適當的用法，跟上下文有關，LinkedIn表示，像是外送茶（Escort）這個詞常用在賣淫上，但是也可用作醫療護送（Medical Escort）。

另外，黑名單方法的可維護性不好，要名單追蹤整體的效能很簡單，但是根據列表追蹤每個詞就不是一件容易的事，需要大量的時間確保系統的穩定性。LinkedIn需要非常確定帳戶的不合法性，才能刪除帳號，但由於以上原因，像是上下文影響字義的情況，管理員需要花費許多心力判斷，因而限制了LinkedIn可以處理的帳戶數量。

為了提高偵測效率，LinkedIn決定使用機器學習方法，模型使用卷積神經網路（CNN），LinkedIn提到，CNN可以簡單地處理像是Escort這種要依據上下文判斷字義的案例。訓練的資料集分為適當與不適當，不適當資料集大部分的資料來源，是以黑名單方法捕捉的，一小部分則是成員回報並經過人工審核。適當的資料集則直接從6.6億個會員中抽樣。

但由於資料集中不良的樣本太少，可能會使訓練產生偏見，LinkedIn提到，適當資料集中的合法資料，有一大部分是因為受黑名單的限制，當沒有仔細調整訓練資料集，則模型可能會模仿過去黑名單系統的行為。

以Escort作為例子，不適當使用Escort的個人檔案數量，只是6.6億個會員基礎中的一小部分，當Escort適當使用的案例被降採樣，而不適當使用Escort的案例採樣數量不變，則會使訓練資料集看起來，像是Escort不當使用的案例比適當使用的案例還要多，但是以實際全球會員個人檔案來看，情況恰巧相反。針對這個問題，LinkedIn表示，他們找出各種產生偽陽性的問題詞彙，並搜尋正常使用這些詞彙的會員檔案，經手動標示放進適當資料集中。

目前這個模型被用來偵測平臺上濫用帳戶，除了評估新帳戶之外，也會用來辨識不適當內容的舊帳戶，LinkedIn提到，他們會擴充訓練資料集，來擴增可辨識的內容範圍。

Citrix閘道系統軟體12月中發現重大漏洞並已陸續有攻擊程式出現。Citrix周一釋出部份產品的修補程式，但其他系統則預計本周稍晚才會釋出。

編號CVE-2019-19781的漏洞為一路徑跨越漏洞（path traversal vulnerability），成功的開採可讓攻擊者不需經過驗證而執行任意程式碼。本項漏洞CVSS 3.0風險分數為代表「重大」的9.8分。受影響產品包括Citrix Application Delivery Controller（原為Netscaler ADC），Citrix Gateway（原Netscaler Gateway）軟體10.5、11.1、12.0、12.1和13.0版本，以及Citrix SD-WAN WANOP 10.2.6與11.0.3版。

Citrix於12月中發出安全公告，但當時還沒有修補程式，僅能提供權宜方法，要求企業變更組態以免受駭。

這問題相當嚴重，因為根據最早揭露本漏洞的Positive Technologies指出，曝露於風險中的用戶包括158個國家至少8萬家企業，以數量而言又以美、英、德、荷及澳洲居首。

果不其然，安全研究人員發現今年初網路上針對Citirix掃瞄的活動急遽增加，另一家安全廠商TrustedSec發現GitHub上出現針對CVE-2019-19781的概念驗證攻擊程式。

而上周安全廠商FireEye發現一隻名為NOTROBIN的神祕後門程式，它會將Citrix Netscaler ADC裝置上頭現有惡意程式清除掉，它自己卻保留在受害裝置中，研究人員尚未找到其用意及撰寫的人或組織，但推測可能是想獨占存取權以便日後再利用。

Citirix已於本月19日釋出Citrix ADC和Citrix Gateway 11.1及12.0的更新版本。不過Citrix ADC、Citrix Gateway 10.5、12.1、13.0版，以及Citrix SD-WAN WANOP 10.2.6及11.0.3版的更新版，要到1月24日才會釋出。在此之前，Citrix提醒用戶仍應採行12月提供的暫時方案。

歐盟隱私法GDPR（General Data Protection Regulation）自去年5月25日上路以來，已經有超過16萬件違規舉報，而各國祭出的罰金總計達1.14億歐元，目前最大張罰單是開給了Google，但專家預期今年可能會看到更多巨額罰單。

這是歐華法律事務所（DLA Piper）針對28個歐盟會員國，加上挪威、冰島及列支敦士登3國做的調查結果。在提供資料的27國中，以法國、德國及奧地利政府祭出的罰單最多，分別以5,100萬、2,450萬及1,800萬歐元居前三位。其中法國因為GDPR上路後，以Google的服務條款文字不夠透明及完整，且違反了GDPR取得用戶「有效同意」的原則，處以5千萬歐元罰金。Google案也是GDPR上路後的首例開罰。

報告顯示，民眾投數頻率由GDPR上路頭8個月的每天平均257件、成長到今年的每天278件，成長12.6%。以各國主管機關接獲投訴件數而言，荷蘭、德國及英國最多，分別有4萬、3.7萬及2.2萬件。若計算各國人口，則以荷蘭舉報件數最多，去年每10萬人投訴89.9件，今年則更成長到147.2件。

歐華事務所法律專家Ross McKean指出，GDPR上路促使企業將消費大眾資料外洩的事曝於陽光下。雖然二年來總罰金達1.14億歐元，但比起最高罰金上限還相當低，顯示歐盟執法還在很初期。他們相信這個數字還會更高，因為今年在主管機關施加重手後，預計會有更多上看數百萬歐元的罰單。

雖然Google是目前罰金繳最多的違規者，不過排名可能會改變，因為英國去年兩件重大違規案尚未定案。英國航空及萬豪飯店連鎖，分別因50萬名旅客信用卡及5億客戶個資外洩事件，在2018年7月遭英國主管機關擬計畫重罰1.83億英鎊和9,900萬英鎊。

Alphabet暨Google執行長Sundar Pichai本周在英國《金融時報》（Financial Times，FT）中撰文指出，大家必須以清醒的頭腦看待新興科技可能出錯的地方，例如AI可能造成許多負面結果，且沒有任何單一公司或產業能夠獨立解決，他認為AI需要被監管，唯一的問題是該如何著手。

Pichai說，人工智慧是目前最有前景的新技術之一，像是Google已建立了藉由X光片就能更準確辨識乳癌的AI模型，或是利用AI作出更準確、即時與超局部的降雨特報，德國漢莎航空也正與Google雲端部門合作，測試如何使用AI來減少航班誤點。

然而，歷史上也有許多無法保證技術道德的例子，例如網路讓人們能夠連結彼此並存取全球資訊，但網路同樣也讓不實資訊的散布更容易了。因此，Pichai認為人們必須要保持清醒的頭腦來避免出錯，而AI也有令人擔憂之處，從Deepfake到人臉辨識的惡意使用，儘管業者已經嘗試解決這些問題，但前方所面臨的更多挑戰，將沒有一個企業或產業能夠獨自解決。

Pichai指出，歐盟及美國都已開始提出與AI相關的立法提案，國際間的協調對於創造一個全球標準是非常重要的，且必須在核心價值上具備共識。企業不能只是打造新技術，而讓市場決定如何使用它們，企業也應肩負技術被善用的責任，且無疑的，AI需要被監管。

總之，Pichai認為，除了企業自行訂定AI準則之外，政府的規範也將扮演重要的角色，可以歐盟的GDPR為基礎，並考量安全、可解釋、公平及問責等，來確保政府是以正確的方式來打造對的工具，政府的監管可提供寬廣的原則，同時允許不同領域的客製化實施，也應該要能平衡潛在的危害，特別是在高風險地區。

Pichai表示，Alphabet與Google很願意貢獻自己的專業，成為監管機關的合作對象，在立法的權衡取捨時提供意見。

受到美國禁令影響無法使用Google Maps，華為手機將使用荷蘭導航與電子地圖業者TomTom的電子地圖資訊及相關服務。

路透社周一報導，透過雙方的合作，華為手機現在可使用TomTom的電子地圖、交通資訊及導航服務來開發自有App。報導引述TomTom發言人說法，雙方已經在「前些時日」簽約。兩方都未公佈這項合作，TomTom也並未提供進一步訊息。

這顯然是華為因應去年美國將其列入技術嚴禁輸出對象的「實體名單」的變通之道。華為祭出10億美元找美國以外的App開發商來打造自己的生態體系。去年華為分別招募上百家中國及印度開發商洽談將其App整合到其手機裏。

此外，中國媒體也曾報導，華為計畫使用俄國搜尋業者Yandex的圖資開發自有地圖，名為Map Kit以作為備份方案。與TomTom的合作可能意謂華為還在開發中或是已放棄這項計畫。

彭博社（Bloomberg）於近日引述消息來源報導，抖音與TikTok的母公司字節跳動在最近這幾個月積極購買遊戲工作室、取得獨家遊戲授權，並已創立超過1000名人力的遊戲團隊，準備進軍行動遊戲市場。

在2012年於中國成立的字節跳動因推出抖音及TikTok等熱門的短影片程式而聲名大噪，目前抖音與TikTok每月總計有15億的全球用戶，每日用戶數亦達7億。它在2018年就創下780億美元的身價，去年上半年的營收則是70億美元，已是全球最有價值的新創獨角獸之一。

根據彭博社的報導，字節跳動準備在今年春天首發兩款行動遊戲，且同時鎖定中國與全球市場。

目前中國主要的行動遊戲業者為騰訊及網易，根據Gamma Data的數據，去年第三季騰訊在中國行動遊戲營收的占有率高達55.8%，居次的網易則是17.3%。

日本三菱集團旗下的綜合電機製造商三菱電機（Mitsubishi Electric）在本週一（1/20）表示，該公司的網路遭到未經授權的第三方存取，造成企業機密資訊與個人資訊的外洩。

根據三菱電機的聲明，該公司是在去年的6月28日發現可疑的存取行為，發現駭客正在傳輸資料，並立即採取應對措施，包括限制外部存取。

經過內部調查後，顯示駭客是藉由內部所使用的防毒系統尚未更新的多個安全漏洞展開攻擊，但包括國防、電力、鐵道、高機密技術資訊，以及涉及企業合作夥伴的重要資訊都未外洩，且迄今並未接獲任何因此次意外而受到影響的報告。

不過，三菱電機也說，駭客在存取內部資訊之後，企圖刪除裝置上的存取紀錄以掩蓋蹤跡，因此並不確定所外洩的資料規模，預估最多有200MB的資料外洩。外洩的個人資料包括1,987名求職者的履歷，4,566名的現任員工資訊，以及1,569名的退休員工資訊。

此外，三菱電機的聲明還暗示有些客戶的商業機密可能已經外洩，已通知相關客戶，但並未揭露更多細節。

三星電子週一（1/20）宣布高層人事變動，任命盧泰文（Taemoon Roh）擔任該公司IT暨行動通訊（IM）部門的總裁，將分擔該部門執行長高東真（Dong Jin Koh）在無線部門與IM部門的業務，現年52歲的盧泰文也是三星電子IM部門史上最年輕的董事長。

三星電子主要分為三大部門，其中，裝置解決方案的副主席暨執行長為Ki Nam Kim，消費者電子產品的董事長暨執行長為Hyun Suk Kim，IM及無線部門的董事長暨執行長為高東真。

根據三星在本周發布的新聞稿，高東真的頭銜變更為三星執行長暨IM部門負責人，而原本負責IM部門開發及無線業務的盧泰文則被升任為IM及無線部門的董事長。

過去盧泰文曾擔任Galaxy部門的開發經理，負責Galaxy系列的產品研發，也是智慧型手機的專家，三星期望未來盧泰文將可在競爭激烈的智慧型手機市場注入新的策略以振興該部門。

彭博社引述CIMB分析師的看法指出，盧泰文曾將三星的原始設計生產策略擴充到中低階的產品線，未來三星可能跟隨蘋果的腳步，專注於產品的設計及研發，同時嚴加控管產品的品質以保護三星的品牌。

外界揣測三星的換將應與Galaxy Note 7的爆炸風波，以及首款摺疊螢幕手機Galaxy Fold的瑕疵有關。

根據市場研究機構IDC在去年第三季的調查，三星仍為全球智慧型手機的龍頭，市占率為21.8%，但華為以18.6%緊追其後，蘋果則以13%位居第三。

0116-0122 一定要看的資安新聞

＃漏洞攻擊  ＃CryptoAPI

美國國安局提報Windows簽章驗證漏洞得到修補

微軟在本月的Patch Tuesday修補49個安全漏洞，最受矚目的是涉及簽章驗證的CryptoAPI漏洞CVE-2020-0601，是第一個由美國國家安全局（NSA）發現並主動提交微軟的安全漏洞。

過往NSA飽受爭議的原因，在於該單位發現SMB協定的漏洞CVE-2017-0145，不僅沒有通報，還製作永恆之藍（EternalBlue）攻擊程式，後來該程式外洩，並遭駭客大肆濫用。

CVE-2020-0601存在於CryptoAPI驗證橢圓曲線密碼學（Elliptic Curve Cryptography，ECC），駭客只要利用偽造的程式碼憑證簽署惡意程式，讓它看起來像是來自可靠的合法來源，使得使用者幾乎無從察覺攻擊行為。詳全文

圖片來源：美國國家安全局

＃物聯網裝置安全  ＃資料外洩

史上規模最大！逾51萬臺物聯網裝置Telnet帳密遭公布

根據ZDNet報導，超過51萬臺的伺服器、家用路由器，以及物聯網（IoT）裝置的Telnet登入資訊，即包括帳號與密碼，被公布於駭客論壇。

洩露這些資料的駭客指出，他是利用機器人程式，掃描開啟Telnet連接埠的物聯網裝置，並使用預設或是簡易的用戶名稱和密碼組合，來試圖存取而獲得。拿到這種資料之後，通常能讓駭客於裝置上植入惡意程式，進而成立殭屍網路大軍。這起事件洩露的帳號資料數量，遠比先前2018年出現的3.3萬臺還要多。但該名駭客公開上述資料的原因，只是因為工作轉換不再需要，資安專家也呼籲使用簡易密碼的用戶，要儘速更換。詳全文

＃資料外洩

專門銷售外洩資料的非法網站遭到查扣

美國司法部與FBI聯手，查扣專門銷售外洩資料的非法網站We Leak Info，切斷該網站的運作。這個網站宣稱握有逾1萬起事件的外洩資料庫，內有120億筆資料，包括人名、電子郵件位址、使用者名稱、電話號碼，以及網路帳號密碼等。訂閱相關服務的使用者，即可搜尋該網站資料庫。

該網站使用的網址WeLeakInfo.com，目前亦由美國政府接管。詳全文

圖片來源：美國聯邦調查局

＃漏洞管理  ＃Patch Tuesday

軟體廠商同時推出修補程式，考驗企業因應能力

漏洞情報及風險評估業者Risk Based Security警告，愈來愈多的軟體業者跟隨微軟的Patch Tuesday腳步，規畫在每個月的星期二展開漏洞修補行動，至少有6家業者的修補日撞期，將替企業帶來修補風暴，讓企業的IT人員疲於奔命。

例如，目前微軟、Adobe、SAP、Siemens，以及Schneider Electric，都明訂每個月的第二個星期二，為例行提供修補軟體的時間；甲骨文的重大修補更新則是每季一次，分別是1月、4月、7月，以及10月最接近17日的星期二，於是今年甲骨文的4次修補，就有3次與前述廠商是同一天。

Risk Based Security指出，Google、蘋果、Mozilla、英特爾、思科、F5，以及Juniper等業者，很可能也安排在Patch Tuesday提供更新軟體。為此，研究人員呼籲，企業要為日益集中的修補工作提前準備。詳全文

＃儲存系統配置不當

超過10億張醫療影像在網路上流竄

去年9月超過7億張醫療影像因醫療影像儲存系統（PACS）配置不當，而在網路上曝光之後，德國資安業者Greenbone Networks指出，經過了2個月之後，在網路上曝光的醫療影像不減反增，從7.3億增加到11.9億張，成長60%。

研究人員也依據各國外洩的影像數量變化，進行分類，其中有些國家的情勢越演越烈，包含美國、印度、南非、巴西，以及厄瓜多爾等。2019年11月時，他們在美國發現了195個可公開存取的PACS系統，比9月時發現的184個還多。

這些曝光的醫療影像或病患資料，可能會被駭客用來執行社交工程詐騙、魚叉式網釣攻擊，或是商業電子郵件詐騙等。詳全文

＃內部威脅  ＃資料外洩

海軍士官違法查詢國家機密人事資料遭起訴

利用職務之便，一名海軍吳姓士官自2016年起，取得國防部與空軍司令部多名人事主管的帳號和密碼，違法用來登入國軍人力資源管理系統，查詢高階將領及特種情報員資料，一年多內查詢數百筆。臺灣高等檢察署偵查終結並提起公訴。

最初能取得高階人士主管帳號資訊的管道，是2016年該名士官於艦隊擔任人事行政士，並利用軍艦出任務的時候，開始查詢國軍人事資料。隔年這名士官調任海軍技術學校教官，不僅持續存取人事系統，並且提升自己權限，藉此調查更為機密的資料，才被國防部發現異常，追查之下找出是該名士官所為，進行懲處並移送臺灣高等檢察署偵辦。

該名士官到案後坦承犯行，但否認將相關資料外洩及牟利。檢察官依照《國家機密保護法》「刺探國防秘密罪」，以及《國家情報工作法》「違法刺探情報人員身分罪」，提起公訴。詳全文

＃數位身分證  ＃隱私疑慮

在野黨團凍結預算，民間團體要求立法院正視數位身分證隱私疑慮

立法院召開臨時會討論今年度總預算，進行朝野協商，其中內政部提列的晶片身分證（eID）4億2千萬元預算，國民黨、親民黨，以及時代力量等三個黨團，皆提出全數刪除或是凍結的提案。臺灣人權促進會等民間團體於立法院召開記者會，認為全民換發晶片身分證，仍缺乏相關法規配套，呼籲立法院不要貿然通過預算。

臺灣人權促進會副秘書長何明諠認為，所有在野黨團一致否決這項預算，要求內政部須完善相關法制，突顯晶片身分證資安風險仍未解決才是共識。雖然在2019年5月及9月，立法院有兩次專案質詢，在野黨與民進黨委員都針對臺灣的現行法律提出質疑，於保護個資與資訊安全不足，必須修法才能降低採用新式身分證的風險，然而行政院與內政部僅強調現有法律就足以因應，而不願多做解釋。何明諠認為行政機關意圖敷衍立法單位，在野黨團應堅守相關提案，同時執政黨也不應一意孤行。詳全文

圖片來源：臺灣人權促進會

＃個資外洩

高雄市教育局驚傳洩露學生個資

一名家長在網路查詢子女姓名時，發現其身分證字號被公開，追查之下，發現源頭是2019年1月高雄市教育局網站公告的「申請非學校型態實驗教育計畫」審議結果，該單位將含有學生個資的檔案上傳，共有隸屬7所機構、共280名學生的個資，包含他們的姓名、年級、身分證字號，以及設籍學校等內容。該名家長隨即委託相關團體向教育局反映，教育局獲報也立即移除相關公告資料，並通知其他受影響的團體與機構。

不過，人本教育基金會與高雄市議員林于凱調查後發現，許多家長並未接到通知，而認為教育局失職，呼籲市政府應追究相關責任並出面補救。詳全文

更多資安動態

●美國國土安全部釋出CVE-2019-19781檢測工具
●全美無人機77%來自中國業者大疆！當地民用無人機恐無限期停飛
●13家中國IT公司為海南省政府招募APT 40成員
●Cloudflare擬為美國小型政治活動提供免費資安服務
●甲骨文修補334個漏洞，近6成漏洞不需用戶憑證就能濫用！
●K8s漏洞懸賞計畫正式推出

紅帽的軟體開發工程師Vladimir Makarov在開發者部落格提到，他現在正開發一個輕量級JIT編譯器（MIR，Medium Internal Representation），編譯速度與啟動速度將比GCC或LLVM快100倍，作為現有MJIT編譯器的補充，或是在現有JIT編譯器無法作用時，成為替代方案。

Vladimir Makarov提到，過去社群花費了大量的時間，對GCC和LLVM進行最佳化，除了改善可靠度，同時也建立了許多工作基礎，因此其他人可以使用這些成果，快速地以GCC或LLVM介面來實作JIT，他們也以這些現有的編譯器，開發了CRuby JIT。

不過，這其中存在了許多缺點，其中一大缺點，便是以GCC或LLVM作為基礎的JIT程式通常很大，CRuby 2.6本身超過150萬行程式碼，而龐大的程式碼量對於雲端、物聯網和行動裝置上的應用，目前仍是很大的問題。

而且GCC和LLVM的編譯速度也很慢，雖然在英特爾的高階CPU只要花費20毫秒，但對於物聯網裝置使用的較低階CPU，可能需要花上半秒鐘，另外，現有GCC和LLVM JIT，難以使用不同程式語言開發的程式碼，實作組合最佳化，Vladimir Makarov提到，內聯函式是一個提高JIT效能最重要的最佳化，因為方法的呼叫成本很高，而且內聯也允許更大範圍的最佳化，但是現在要將用C編寫的方法，內聯到以Ruby撰寫的方法中仍是一個問題。

輕量級JIT可以解決這些問題，Vladimir Makarov認為，輕量級編譯器應該是MRuby JIT更好的解決方案，也有助於將Ruby的使用範圍，從伺服器市場擴展到行動裝置和物聯網市場。這個輕量級JIT稱為MIR，概念上是一種明確定義的中介語言。

MIR要成為比GCC或LLVM所提供的JIT介面，還要輕量的JIT編譯器，Vladimir Makarov的目標是，編譯速度和啟動速度要比經最佳化的GCC還要快100倍，程式碼也要小100倍，因此實作程式碼要少於1萬行C程式碼。MIR的初期目標是先滿足CRuby或MRuby的JIT需求。

MIR具有強類型的特性，使用者可以透過LLVM IR作為使用MIR的途徑，未來Vladimir Makarov希望除了LLVM IR，WebAssembly、Java位元組碼、CIL甚至是其他中介語言與中介碼，都可以作為MIR的輸入，最終是要讓MIR可以使用所有流行的機器碼，並也能回傳C、WebAssembly、Java位元組碼，Vladimir Makarov提到，MIR目標與LLVM IR目標相似，但是輸入與輸出有許多差異。

MIR是一個龐大的專案，Vladimir Makarov決定以開源的方式進行，有興趣的開發者已經可以在GitHub上追蹤專案進度，或是加入開發的行列，MIR仍在初期階段，但很快的就會先用在CRuby和MRuby的JIT實作上。

Uber於本周宣布，將把印度的Uber Eats業務出售給當地的食物外送平台Zomato，雙方是透過股票進行交易，之後Uber將取得9.99%的Zomato股票。

根據印度科技媒體ETtech的報導，印度市場最受歡迎的食物外送平台為Swiggy，在去年12月時，Swiggy每月的訂單數量為140萬筆，居次的Zomato為120萬筆，Uber Eats則是以40萬筆排名第三。

在Zomato完成與Uber Eats的合併之後，Uber Eats的用戶及合作業者都將轉移到Zomato平台，估計可讓Zomato取得50~55%的市占率，搖身一變成為印度最大的食物外送平台。

市場分析認為這是個雙贏的交易，一來可讓Zomato成為印度第一平台，二來Uber亦正在調整該公司的架構，最近已相繼退出俄羅斯、中國及東南亞市場。

2008年創立的Zomato雖然是從印度起步，但目前已在全球24個國家的逾1萬個城市提供服務，最近一次的估價為22億美元，因此，9.9%的股份代表Uber Eats約價值2.2億美元。

Zomato的創辦人暨執行長Deepinder Goyal表示，食物外送服務的競爭將會愈趨激烈，但相對於整個印度的食物服務市場，這是個在未來數十年仍會有巨大成長空間的領域，他們準備與餐廳攜手提供更好的食物給更多的消費者。

AWS的大阪地區將在明年年初完工，屆時將會是亞太地區第9個地區。AWS表示，因為用戶對於大阪額外服務的需求提升，因此大阪本地地區（Local Region）將會在2021年，擴增成具有3個可用區域（Availability Zone）的AWS地區（Regions）。

跟其他地區一樣，大阪地區的每個可用區域都具有獨立的電源、冷卻系統和物理隔離，官方提到，區域間的距離經過精心設計，距離夠遠能降低單一事件對服務可用性的威脅，但也足夠近可以提供高可用性應用程式低延遲的服務。

2011年AWS在日本啟動的東京地區，具有兩個可用區域，後來分別在2012年和2018年又各啟動了一個可用區域，2018年2月，AWS在大阪增加了一個本地地區，以單個獨立的資料中心補充AWS地區的不足，大阪本地地區距離東京400公里，可以讓用戶為應用程式，在國家內的不同地區進行災難恢復備份。

AWS表示，未來大阪地區啟用之後，將會與其他地區相同提供廣泛的服務，用戶除了可以在日本境內部署多地區系統之外，日本西部的用戶也將可以獲得更低延遲的服務。

雲端資安業者Zscaler於上周警告，自2013年就現身的勒索軟體FTCode在最新的版本中添增了憑證竊取功能，會在加密受害者檔案之前，先自各大瀏覽器及電子郵件客戶端程式竊取網路服務的登入憑證。

根據Zscaler威脅情報團隊ThreatLabZ的說明，他們曾經分析從1001.7到1117.1的FTCode版本，而在最新的FTCode 1117.1中，駭客變更了入侵受害者系統的方式，另外也添增了憑證竊取功能。

FTCode初期是透過夾帶惡意巨集文件的電子郵件入侵使用者電腦，而最近的FTCode版本則是在郵件中提供一個VBScript連結，一旦使用者執行了該VBScript，就會啟動PowerShell腳本程式，表面上是下載了一個圖檔，但其實是在背後下載並執行勒索軟體。

該惡意程式還會在系統的啟動文件夾中建立一個捷徑，以於每次重啟電腦時自動執行，它會搜尋所有可用空間大於50KB的磁碟，然後加密這些磁碟中的檔案。

最新的FTCode 1117.1還有憑證竊取功能，可用來竊取存放在IE、Firefox或Chrome中的網路服務憑證，也會竊取Thunderbird及Outlook等電子郵件客戶端的憑證。

研究人員表示，與傳統透過編譯的惡意程式相較，以腳本語言撰寫的FTCode具備許多優勢，它讓作者可更容易地增加或移除功能，也使得相關的攻擊行動更具彈性。

AWS在去年併購了災難恢復服務CloudEndure，現在價格降低幅度達80％，每臺伺服器每月的費用約20美元。CloudEndure可降低用戶應用程式故障時間和資料損失的風險，該服務會將本地、虛擬以及雲端系統的內容，持續地複製到指定的AWS地區。

CloudEndure可將資料從企業的就地部署，移動到AWS雲端上，而不會造成系統暫停或是影響應用效能，而當用戶的應用程式本來就在AWS雲端上，CloudEndure也可以用來設定，跨地區或是跨可用區域的災難恢復，以滿足RPO（Recovery Point Objective）和RTO（Recovery Time Objective）的要求。另外，即便用戶的服務架設在其他雲上，也同樣可以利用CloudEndure，將資料複製到AWS上，作為災難恢復站點。

AWS提到，CloudEndure模塊等級的複製，涵蓋系統的各部分，包括作業系統、設定檔案、資料庫、應用程式和資料檔案。CloudEndure可以複製Linux或Windows上，所執行的任何資料庫和應用程式，也可以複製像是SAP等企業應用程式，而AWS到AWS的複製，也會同時複製AWS環境和特定VPC，包括VPC本身、子網路、安全群組、路由和網際網路閘道等項目。

CloudEndure從過去合約計價方式，轉為以使用量多寡計費，AWS表示，這樣的改變讓用戶依需求按使用小時付費，而不用簽訂長期合約或是承諾固定的伺服器數量，如此使CloudEndure與AWS原本的消費模型更加一致，現在CloudEndure價格每小時0.028美元，預估每臺伺服器每月費用約為20美元，價格降低幅度約達80％。

PyTorch團隊釋出了最新的PyTorch 1.4，這個版本讓開發者可自定義行動裝置函式庫，僅加入需要的運算子（Operator），也加入新的實驗性功能，包括模型平行訓練以及支援Java語言綁定。

PyTorch Mobile在PyTorch 1.3版本開源之後，現在於PyTorch 1.4加入了更多對行動裝置的支援，可以精細地自定義建置腳本，這將讓開發者有能力最佳化函式庫的大小，只放進模型需要的運算子，明顯地降低占用裝置的容量，官方提到，自定義MobileNetV2的大小，約只有預建置PyTorch行動函式庫的40％到50％。

這個版本加入了兩個實驗性的功能，第一個是分散式模型平行訓練，官方提到，由於模型的規模不斷增加，甚至高達數十億個參數，因此模型的平行訓練對於研究人員來說越來越重要，PyTorch 1.4提供分散式RPC框架，以支援分散式模型平行訓練，除了能遠端執行函式，還可在不實際複製資料的情況下，參照遠端物件。

另外，PyTorch支援Python和C++兩種程式語言，這個版本額外增加Java支援，官方表示，新的Java綁定可讓開發者從任何Java程式呼叫TorchScript模型，不過，目前這個版本還僅支援Linux，也只能用來進行模型預測。

各領域函式庫也有許多升級，torchvision函式庫中所有模型都支援ONNX格式，同時所有模型也都支援torchscriptable，使其更易在非Python環境使用。而torchaudio函式庫則加入許多過濾器和互動式語音辨識功能，torchtext函式庫現在可存取enwik9非監督式學習資料集。