繼應用於SSD之後，QLC快閃記憶體也於近期開始為企業級儲存陣列使用。

Intel與美光同時在2018年上半年，發表世界上最早的一批QLC SSD產品，時隔近兩年後，不僅市場上的QLC SSD產品逐漸增加，Pure Storage與Nexsan等儲存系統廠商，也在2019年底到2020年初之間，陸續推出基於QLC快閃記憶體的企業級儲存陣列，因此，讓QLC快閃記憶體的應用擴展，邁出了關鍵一步。

比預期更好的QLC快閃產品

打從研發階段起，QLC快閃記憶體在壽命、可靠性與效能的疑慮，便是這種新型快閃記憶體最為人關注的議題。

QLC的每個單元可記錄4個位元的資料，比TLC高出33%，更比MLC高出一倍，可提供更高的儲存密度，但相對的，QLC需要控制16組電壓狀態，相較下，TLC與MLC只須控制8種與4種電壓狀態。因此QLC的寫入機制更為複雜與緩慢，在可靠性、壽命與效能方面，先天上就存在局限，但這只是就基本原理的比較，對於實際的產品來說，便未必如此。

快閃記憶體的儲存架構，只是影響SSD整體壽命的因素之一，QLC快閃記憶體的先天架構雖然不利於效能與壽命，但結合各式存取管理技術，構成完整的SSD產品後，QLC SSD的整體表現，其實不像原先預期那樣差。

事實上，QLC SSD的先天架構雖然存在局限，但拜問世較晚之賜，可以應用更新穎的製程、改進的晶片堆疊架構，以及SLC快取等技術，比起同一世代的TLC產品，雖然有所不如，但比起前幾個世代技術的MLC、TLC產品，實際上的表現已不遜色。

我們以Intel在2018年第3季推出的第1代資料中心級QLC SSD產品——基於3D QLC快閃記憶體的D5-P4320系列為例（7.68TB），這款產品的耐用性（PBW，生命週期總寫入容量），相比於同時期推出的資料中心級TLC SSD如DC P4610，耐用性大約只有同容量TLC SSD的1/3，而在效能方面，QLC SSD的讀取效能與TLC SSD相近，寫入效能則有較大落差。

不過這是以同一世代產品的對比而言，若與上一世代的TLC SSD相比，則較晚推出的QLC SSD，耐用性與效能表現其實已經相差不遠。

而且QLC SSD產品改進的速度十分迅速，以Intel的產品為例，在 2018年中推出的第1代入門級QLC SSD產品660p，之後不到一年時間、於2019年中發表的第2代產品665p，效能便有10%左右的提升，寫入壽命更有50%的躍進。因此我們可以預期，QLC SSD的效能與壽命都還有很大的改善空間。

【比較不同類型快閃記憶體的寫入壽命】NAND Flash記憶體的發展，朝著更高儲存密度、更低單位成本，但耐用性也更低的方向發展。例如，從SLC、MLC、TLC、QLC，以至剛推出的PLC，儲存密度持續成長，但寫入壽命也不斷降低，因此，QLC與PLC也更依賴控制器的管理與超額配置等機制，來彌補先天壽命的缺陷。圖片來源／WD

QLC更有利於超額容量配置

QLC快閃記憶體藉由高儲存密度與低單位成本優勢，也更有利於提供SSD的超額容量配置（Over-Provisioning），來進一步改善效能與壽命。

依照美光的實測數據，比起完全不使用超額容量，預設5%超額容量，可使SSD壽命延長一倍，並提高100%的IOPS效能。事實上，多數SSD都提供了7%的超額容量配置，一些強調寫入應用的SSD，則提供了20%以上的超額容量配置，有些儲存設備還允許使用者自行設定超額容量。所謂的超額容量配置，就是系統保留的未使用空間，在額定容量耗盡時，可藉由將資料寫入保留空間，從而讓SSD避免執行會耗損效能與壽命的重新抹寫作業。而利用這些額外空間，SSD不僅可以有效降低寫入放大率（Write Amplification），也能更有效率地執行GC垃圾回收機制（garbage collection）、損耗均衡（wear-leveling） 與壞區管理（bad block management）等作業，從而延長SSD使用壽命，並提高寫入效能。

然而，超額容量的使用，是以成本為代價，越高比例的超額容量配置，能帶來更大幅度的效能與壽命改善，不過，成本也越高，雖然長期來看有效益，但用戶必須付出較高的短期成本。

不過隨著QLC這種低單位成本的快閃記憶體實用化，將可望緩解這個問題，讓用戶可以使用更高的超額容量配置，但又不致增加太多成本負擔。

【QLC快閃記憶體提供更高儲存密度】QLC NAND快閃記憶體每個單元可記錄4個位元的資料，而MLC與TLC快閃記憶體的每個單元則只能記錄2個位元與3個位元的資料，因而QLC快閃記憶體的儲存密度較MLC與TLC分別高出一倍與33%，適合作為低成本的大容量儲存裝置，自2018年中起，開始被應用SSD上，接著又從2019年底擴散到儲存陣列產品中，扮演替代硬碟的低成本快閃儲存裝置角色。（圖片來源／Intel）

QLC不僅止於傳統硬碟的替代者

雖然QLC SSD的實際表現，可以接近低階TLC SSD的層次，但目前的QLC SSD供應商，以及採用QLC SSD的儲存陣列產品，都不是把QLC當作TLC的後繼者，而是讓其扮演傳統機械式硬碟替代者的角色。在作為大容量儲存應用時，QLC SSD可擁有與硬碟同等級的低廉成本，同時還有效能、空間與能耗的優勢。

儘管QLC SSD的效能比不上TLC SSD，但依然高於傳統的機械式硬碟，還擁有容量密度的優勢，只需較少的數量，就能滿足同樣的效能與空間需求。

如Pure Storage與Nexsan這兩家QLC快閃儲存陣列的先驅廠商，都把他們的產品定位於二線大容量儲存應用，而與基於TLC的第一線產品有所區隔。

然而，隨著QLC快閃記憶體技術的持續改進，當前這種區分TLC與MLC用途的作法，很可能會產生變化，甚至重演幾年前TLC取代MLC的歷史。

距今不過4、5年，當時TLC快閃記憶體產品剛投入市場，在MLC與TLC之間，也存在著類似的應用區分——MLC擁有較佳的效能與壽命，TLC則在儲存密度與成本方面居於優勢。

但隨著技術的演進，改進後的TLC，也具備足夠的效能與壽命，這也促使廠商與用戶們都趨向使用成本更低、儲存密度更高的TLC，而TLC最終也取代了MLC的角色。

日後QLC很可能重演這樣的發展，經過廠商進一步改進後，便能取代一部份TLC的角色，特別是在低階快閃儲存產品方面。

模組是系統的小單元，管理API的單位，我們可以獨立創建、重複使用、進行擴充，無論語言技術在模組化方面是否明確支援，模組化的設計考量，應該在設計系統的過程中，始終當成一級公民來看待。

模組化是或不是什麼？

對於不同語言來說，「模組」這個名詞可能代表不同技術。例如，Python/JavaScript將一個原始碼檔案視為模組，可控制原始碼檔案中的API是否公開；Go將其套件的概念擴充為模組，模組可以包含數個套件，可描述模組間的相依性與版本；而Java 9將模組視為套件的集合，可控制套件是否公開、模組間相依性與版本等更多特性。

然而，模組化的思考與設計，與各語言技術上的「模組」定義沒有直接關聯。

因為，分門別類地管理實體原始碼檔案，為API設計名稱空間，或者使用語言中直接稱呼為「模組」的技術，並不等於從事模組化設計，充其量只是模組化的過程可能採用的實作方式，而技術層面上剛好支援罷了。

Java 8以前的rt.jar就是絕佳的例子，但它模組化了嗎？沒有！因為JAR並不是模組的邊界，充其量只是一堆套件的組合，在類別路徑下被攤開為一片平坦的API清單，這些API彼此間互相取用，開發者難以釐清關係，從中只擷取想要的子模組，從而令過去的Java執行環境難以瘦身。

在面對一組API的設計與組織時，開發者若開始思考著，在改變此API時，特別是改變API公開介面時，會影響系統中多少區塊？只有這個原始碼、套件（資料夾）？還是會擴及其他區域？在設計這個API時，應該將它放到哪個原始碼或套件之中？其他原始碼、套件中的API變更時，會對這塊API造成多大影響？事實上，面對這類問題時，就是在思考模組化了。

從另一個角度來看，在查看或試著理解系統時，思考著該從哪一塊開始看起；在思考著某個區塊的設計，可否獨立出來在其他系統中使用；在試著為API分門別類時，想著這是必要的基礎API，或是額外的效用（Utility）API等問題時，也是試著在進行模組化的思考了。

便於建立與設計、易於重用與擴充、便於理解的分類、妥善隱藏的實作細節，以及良好定義的公開性、清楚的相依關係與版本控制等，當我們思考著如何令手邊的一組API在上述考量下取得平衡，這才是模組化設計。

模組的邊界

乍看之下，這不是跟設計函式、類別等很像嗎？某些程度上是有點像，不過粒度要來得更大，因為，模組相依並非以函式或類別的等級在看待，模組化設計會是以整體關係來思考，就算A模組只取用了B模組中的一個函式，A模組就算是整個依賴在B模組了。

正因為粒度被放大了，慣於以函式、類別粒度來思考的開發者，很容易忽略模組邊界這件事，就算單看函式、類別間的關係在設計上還算良好，卻看不清楚模組的邊界在哪裡。

近年常見微服務的設計與探討，當中就可以發現許多例子。

在很大程度上，模組化設計與微服務設計之間有很大的同質性，因為單體應用程式是否易於拆解出微服務，關鍵就在於單體應用程式本身設計上，是否有良好的模組邊界，而單體應用程式往往難以拆解為微服務，這件事實也就說明了開發者經常忽略模組邊界。

可否獨立地重複使用，是思考模組邊界的一個方式，通常有兩個部份要思考：公開哪些API，以及如何相依在另一模組。直接依賴另一模組的公開API可能是不利的，若是如此，應該自定一個銜接介面，包裹相依的模組，以利日後抽換模組。

單純只思考獨立性，以及可否重複使用，也可能令模組之間，有著錯綜複雜的關係（想想Java 8以前的標準API），因此，另一種思考模組邊界的方式是：可否清楚地畫分並理解系統的組成。想想看，假以時日回頭或者是其他開發者查看系統時，可否清楚地辨識出各個模組，以及他們組成系統的順序或關係。

以特定功能或任務來組織模組是種方式，例如，我們可以將矩陣運算相關功能組織為模組，或者將團隊任務的邊界對齊模組邊界；在《Java 9模組化》第五章的〈決定模組邊界〉中，也談到類似作法可以參考。

模組化的策略

在〈決定模組邊界〉當中，也談到下列這些事情，那就是，模組化下的種種考量之間「有些張力（tension），這裡沒有一體適用的解決方案」，實際上，將來如果程式庫的規模擴大、版本更迭等情況下，面臨的考量也會不同。

如果能依需求而適時進行重構是最好的，然而，版本控制就相對地重要，因為這會有利於模組的客戶端能做出相對應的措施，各版本號之間要有明確的語意畫分，適當地透過棄用警訊，在幾個小版本之間暫時維持相容性，在大版本間完成模組的重構調整。

別以為使用了相依管理工具，我們此時就算完成了模組化設計，因為，相依管理工具其實只是解決模組的版本問題，並不見得解決了模組穿透之類的問題。

例如，開發者不該輕忽地呼叫模組A依賴的底層模組B，因為未來A模組可能不再依賴模組B，相依管理工具屆時也就不會下載模組B，這時開發者該怎麼辦呢？

因為，既存的（龐大）系統要進行模組化，就不是那麼容易了，這方面的經驗文件也太少，然而，我們可以借鏡將單體應用程式重構為微服務的經驗，這部份可參考先前專欄〈重構與微服務〉提供的一些文件鏈結。

借鏡Java 9模組化之路是個方式，就如《Java 9模組化》的序談到的，Java 9模組化在做的事，就像是把「快速拉開桌布，讓杯子停在原處」這件事反過來執行一樣地困難，需要一些策略，在先前專欄〈Java 9模組化概觀〉曾提過一種自底而上的遷移策略，有興趣可以參考。

Java 9 模組化是在技術層面上，嘗試管理與降低複雜性，可惜它導入的時間太晚，整個Java生態圈在過去並沒有將模組化設計，作為一級公民來考量。如果突然將整個模組化作為整個平臺的設計中心，過去既有的一切勢必構成強大的反對聲浪，另一方面，它帶來的強制性是否一體適用，也是個很大的爭議點。

把模組化當成一級公民

但是，模組化不單只是Java圈子的問題，畢竟在這套程式語言設計之初，誰能預期Java會被應用到現今的規模呢？只要沒將模組化當成是一級公民來思考，任何語言只要被應用到某個規模，都會有這個問題。

因此，真正重要的是，能被當成是一級公民來思考的，並非止於物件、函式等技術層面的元素，若面對的是整個系統，一開始就須將模組作為一級公民來思考與規畫，而不是等到整個API都攤成一個平面，彼此之間關係錯綜複雜、嘗到苦果之後，再來處理。

「當年以為32位元的IP位址就夠了，但現在知道需要128位元。」講到30多年前TCP/IP網路協定的設計，也是現在網際網路最重要的基礎通訊架構時，這位被譽為Internet之父的Vint Cerf，仍不免揶揄自己一番。

Vint Cerf是今年臺北Web Conference大會介紹3位重量級網路先驅之一，即使已高齡76歲，還因染上武漢肺炎而在家休養，他仍然力挺站臺，提出他對於未來Web發展趨勢的最新觀察與剖析。

多元Web應用能夠實現，WWW架構適應能力是關鍵

綜觀Web發展史，Vint Cerf特別提到兩件事，一件就是網路上應用越來越廣，他表示，這要歸功於WWW架構本身富有的適應能力，因而能支援許多不同類型應用，甚至因為網路速度大幅提升，讓這些對於網路低延遲和頻寬要求極高的應用，例如串流影音、高度互動性遊戲，或是多人視訊協作等，現在也能在網路上執行，且通過實體網路架構與全球各地互連。「這是多麼令人感到興奮的事」他說。

Vint Cerf提到另一件事，那就是HTML語言構造，完全善用Unicode編碼方式，使得在網路要表達不同語言變得更容易，對於這樣的發展，Vint Cerf也給予很大讚揚，但他認為，隨著全球網路人口增長，整合不同語言需要投入更多心力，人們才能夠使用自己的語言上網。

這是許多人努力要達成的事，但更大目標，還要讓全球還無法上網，大約近半數人口都能使用網際網路，Vint Cerf坦言，這需要仰賴大量網路基礎投資，但現在一些非網路公司正在嘗試新作法，例如打造一個全球網路衛星系統，讓無法上網的那群人，也能用衛星通訊上網，又以特斯拉為代表，要將大量網路衛星送到距離地面約數百公里高的軌道環繞地球，讓網路覆蓋地球各角落，包含北極和南極，「如果這個方法和商業模式可行，人們也負擔得起，那將是非常重要的成果，這意味著，以後想要不連網都難（be hard to avoid connectivity）」他說。

他補充說到，這還有另一個好處，就是將使得原本收不到網路訊號的大量可程式裝置跟著連上網，變成一個個物聯網裝置。接上網路以後，以後用Web應用程式就能管理這些IoT裝置，從中蒐集的感測器資料，也能作為網路應用程式所用。

長遠來看，當Web發展進入2040到2050年時，Vint Cerf深信，Internet將有機會走出地球，發展出一個全新星際網際網路（Interplanetary Internet），這個建立超遠距資訊網路的長期構想，儘管，有些科幻情節，但他提到，目前已有原型用於國際太空站與火星之間通訊，只是單是往反傳送訊息就要40分鐘，他認為，考慮到未來要能讓網路在這種高延遲環境中發揮作用，其適應力將是關鍵。

身為TCP/IP共同發明人、美國網際網路先驅，Vint Cerf曾一手創立網際網路協會，對於網路推廣不遺餘力，還是Google首席網際網路傳教士，多年前曾任職美國DARPA、CNRI研究機構及MCI電信。

 「我希望將網路視為常態，成為人們線上活動體驗核心，而不是被如臉書這些公司主導。」Jaron Lanier語重心長地說。這位矽骨鬼才作家，曾出過多本暢銷書，反思網路與電腦科技，而有著網路思想大師的稱號，更是最早預測網路科技將帶來商業和文化變革的網路先驅之一。

去年，WWW剛滿30周年，展望未來，Jaron Lanier期盼，網路能夠成為一種公共資源，反對為了少數人而設，壟斷網路資源。他並不樂見像Google、臉書這些公司，一直以來打著免費的旗職，但靠廣告營利模式，持續追蹤和監控使用者的行為，讓網路原有設計初衷逐漸變調，反倒成了這些少數網路公司，把網路當作蒐集人類行為主要來源恣意操控，從中獲取更龐大廣告利益。

因此，他認為，向使用者收費是一個解決方式。他期望未來能夠看到，越來越多人習慣為使用網路內容付費，例如為搜尋和社交網路使用付費，進而改變這些網路公司的商業模式，來提供更有用的網路內容和服務，他指出，這並不難做到，就像影片串流業者Netflix採用訂閱方式，讓人們依訂閱影片內容付款。這個商業模式已證實可行。

但相對地，他強調，這些網路服務業者在利用網路使用者的數據時，理當要一致地給予數據提供者相對應的報酬，「我衷心期盼，看到網路成為驅動人人追求經濟成長的引擎，而不是少數人獨占。」他說。

如同Jaron Lanier在兩年前一場TED演講上提到：「如果我們把科技視為一種獲取更多權利的手段，最終會摧毀我們自己。」他也藉由探討如何重塑網路來帶給人們省思。

Jaron Lanier除了是位暢銷作家，還是一名電腦科學家，過去曾是開發虛擬實境（VR）技術第一人，一手創辦首家VR眼鏡公司，而被視為VR先驅，他還是微軟研究院跨領域整合科學家，曾名列《TIME》雜誌百大影響力人物。除了網路專業領域，他本身也是一名視覺藝術家與古典音樂作曲家。

「網路現在已經是人們互動的方式，不論是使用電腦或手機，現代人都透過網路獲得資訊、進行溝通」，致力於保留網際網路遺產的網際網路檔案館（Internet Archive）創辦人Brewster Kahl說道。

Brewster Kahle表示，過去的網路從撥接到現在的寬頻網路，傳輸速度愈來愈快，還有網路向小型裝置優化體驗發展，這些都是網路普及的結果。

他樂於見到去中心化發展，不論是企業或個人，每個人都可以自行發出訊息，「這是好事也是壞事，當前的網路世界充斥由企業或政府贊助支持的訊息，哪些訊息能夠相信、不能相信，」他指出，特別是來自宣傳遊說活動的訊息相當危險，對採取開放系統設計的網路而言，將難以防範。

網路帶來大量錯誤消息的影響下，他憂心人們已放棄網路，將網路視為充斥著政府贊助的錯誤訊息、高度商業化運作的環境。如何解決這個問題？他反而推祟一些國家用足夠的控制、審查來消弭假訊息影響的作法，例如中國政府，扮演中間人角色過濾網路資訊。臉書也試圖扮演此中間人的角色，但Brewster Kahle並不看好，因為臉書上充斥著各種宣傳遊說活動，可能散布錯誤資訊。

而對於網路上的資訊集中化，他借用圖書館的概念，各地的圖書館分散保存出版作品，「對我而言，打造去中心化的網路就是未來」，他認為如果能夠透過網路社群建立某些事物，如同點對點（peer to peer）下載一樣，就能建立點對點的備份，這麼做能夠保護隱私，同時避免監控。

他憂心全球網路正處在一個危機，網路的基礎架構被少數的業者掌控，人們在網路上被追蹤，網路愈來愈中心化，但他相信人們可以靠著點對點、加密、WebRTC等等，實現去中心化的網路世界。

他所建立非營利的網際網路檔案館，蒐集了全球超過850億筆的網路資料。2012年進入網路名人堂。

25年來，WWW技術標準最重要的產地Web Conference，首度由臺灣主辦，儘管疫情嚴峻全面改線上。網路先驅、頂尖Web科技大師、全球上千專家齊聚，揭露了Web科技新趨勢和新進展

Google推動Web Vitals計畫，以提供網站開發者一套統一的用戶體驗和效能衡量標準。Google提到，網站要在長期發展上成功，就必須最佳化使用者體驗，雖然過去他們提供了許多指標和工具，讓使用者用來改善用戶體驗，但是過多的指標和工具，反而影響了網站最佳化、清晰度和一致性的程度，因此Google決定發起Web Vitals計畫，來統一這些評估指標和工具。

雖然用來評估使用者體驗品質的面向很多，甚至有一些跟網站或是上下文有關係，但Google表示，有一組常見的訊號適用各類型的網站，他們稱為Core Web Vitals，包括載入體驗、互動性和網頁內容的視覺穩定性，而這三項成為2020 Core Web Vitals的基礎。

Core Web Vitals中用來評估載入體驗的是LCP（Largest Contentful Paint）指標，用來衡量瀏覽窗口中，可見最大內容元素的渲染時間，Google提到，LCP是一項以用戶為中心，衡量用戶感受載入速度的重要指標，因為其標記了頁面主要內容，可能已載入的時間點，因此LCP時間越快越好，快速的LCP可讓用戶確信頁面正常運作。

第二項指標則為FID（First Input Delay），FID衡量用戶首次和頁面互動，到瀏覽器實際能夠對該動作回應之間的時間，用戶的操作包含點擊連結、按鈕或是自定義的JavaScript控制元件等。而FID是一個以用戶為中心，衡量載入回應性的重要標準，因為FID可以量化用戶嘗試與無回應的頁面互動時的體驗，越低的FID有助於使用者確定頁面正常運作。

第三項指標則是CLS（Cumulative Layout Shift），用來測量頁面在整個生命周期中，每次意外的布局移動中，所有個別布局移動的分數總和，Google提到，每當可見元素從上一個影格到下一個影格改變位置時，便會發生布局移動，而這些布局移動的分數累計，便是一個以使用者為中心，衡量視覺穩定性的重要指標，能夠量化用戶經歷的布局移動頻率，較低的CLS有助於帶來更佳的瀏覽體驗。

網站管理者可以使用Chrome UX Report工具，快速評估網站在Web Vitals指標的表現，BigQuery上的資料集，也提供了所有Core Web Vitals公開可存取的直方圖，Google現正在開發新的REST API，使存取URL以及原始層級資料更容易些。

Google同時也建議，所有網站管理者，都應該收集自家網站用戶的真實Core Web Vital分析資料。目前Chrome與不少瀏覽器都開始支援Core Web Vitals規範草案，而為了讓開發者能夠簡單地測量網站Core Web Vitals效能，Google也啟動了一個開源Web-vitals JavaScript函式庫專案，該函式庫可與其他支援自定義指標的分析供應商解決方案一併使用。

另外，Google還釋出了Core Web Vitals的Chrome擴充套件開發者預覽，該工具能以視覺化指示器顯示每個Core Web Vitals的狀態，Google預告，未來還會和Chrome UX Report工具整合，呈現匯總資料。

Google發布了半年度使用者訊息請求透明度報告，並首次公開政府向Google請求企業資料的統計報告，資料顯示，從2019年7月至2019年12月，Google收到來自政府針對企業資料的請求數量有282件，占總數的0.3％。

Google為了要展示該公司在透明度上的努力，在去年的時候，向外界承諾會在2020年，公布GCP和和G Suite企業雲客戶資料的政府請求數量，因此在本次的透明度報告，額外加入這項資訊，而且往後的透明度報告也都會包含這項訊息。

從2009年以來，使用者資訊揭露請求數量都逐年上升，而受影響的帳號數量，也呈現上升的趨勢，在2019年下半年，7月到12月的資料，兩個數字都達到新高峰，政府對用戶資訊的請求，共有81,785件，而針對企業的請求數量，則有282件占全部的0.3％。

而在282件中，與G Suite企業雲用戶相關的請求，Google有產生資料的共有152件，Google表示，他們對每一個案例，都會審查請求，確保符合政策、慣例以及適用法律。Google還強調，他們沒有依照任何的政府請求，提供GCP企業雲上的用戶資料。

另外，針對公部門的用戶，他們還沒有收到任何來自其他國家政府，對另一個國家政府資料的請求，Google表示，萬一將來發生類似的事件，他們會將請求轉給用戶，並在必要時拒絕該請求。

Google還提到，用戶應該對儲存在雲中的資料握有控制權，因此他們最近更新了部分加密功能，強化用戶對資料的控制能力，並提供存取資料的時間和方法的可見性。其GCP外部金鑰管理器現在已經正式推出，用戶可以使用Google外部的第三方金鑰管理系統，儲存和管理用來加密資料的金鑰；還有正在Alpha測試的金鑰存取正當性功能，可在每次要使用第三方金鑰解密資料時，給予用戶批准與拒絕的機會。

近年全球遭受BEC詐騙的事件仍不斷傳出，最近資安業者更是發現新趨勢，有駭客組織將目標鎖定常有大量資金轉移的私募基金。近日Check Point揭露一起實際案例，是英國私募基金遭騙110萬英鎊（約3,900萬元）。

在這起事件中，實際損失為53萬英鎊，該犯罪組織在去年底將資金分成4筆交易轉出，所幸，銀行攔阻了其他匯出金流，因此有一半資金被追回，其餘則有待執法機構跨國追查。

由於這起BEC詐騙案之前，Check Point曾公布另一起發生在2019年初的事件，是關於中國創業投資公司對以色列新創公司的投資資金，遭到攻擊者詐騙轉帳100萬美元。因此他們提醒，不只是一般企業會受害，私募基金與創業投資（Venture Capital）現也成為BEC詐騙攻擊的鎖定目標。

究其主要原因，這類公司每週都會有大量資金的轉移，包括新合作夥伴與第三方提供商的金流，使之成為攻擊者覬覦的對象。

這次事件的遇害對象，是英國與以色列的三家大型金融公司，他們的聯名帳戶，遭到詐騙轉帳，Check Point是在2019年12月16日，接受他們委託，並在近日公布其調查發現，特別的是，他們指出是The Florentine Banker所為，並具體剖析了網路詐騙集團的攻擊流程，讓外界對於這類精心設計的攻擊行為，以及騙局，能有更深入的瞭解。

從網釣郵件開始攻勢，透過五大步驟將資金騙入駭客帳戶

攻擊者是如何發動這場BEC詐騙？該公司IR小組分析師Matan Ben David親自揭露細節，首先，The Florentine Banker是透過網路釣魚開始發動攻勢。

他指出，第一批釣魚郵件僅針對兩名人員，但其中就有一人被騙走了登入帳密。他並舉例，由於受害公司使用的是Office 365的電子郵件，因此，在2019年10月9日的駭客的網釣郵件內容，是偽裝成Office 365錯誤訊息的通知。

同時，他也補充說明，這樣的網路釣魚攻擊將持續數週且交替進行，並會加入新的目標對象，直到獲得公司的整個財務狀況。

有三家大型金融公司的聯名帳戶遭BEC詐騙，根據Check Point調查，指出釣魚郵件是滲透企業網路的首要媒介，這起案例就是偽裝成目標公司使用的Office 365系統通知信。（圖片來源：Check Point）

那麼攻擊者是如何不被發現呢？在初步的網釣攻擊成功之後，Check Point將The Florentine Banker的攻擊拆解為五大階段，包括觀察、控制與隔離、相似的設定，以及要錢與轉帳。

根據Matan Ben David的說明，在觀察階段，攻擊者在竊取公司員工電子郵件帳密後，會先閱讀該公司的電子郵件，以掌握一些關鍵資訊，包括公司匯款的各個渠道，公司內部的重要角色，以及公司外部如客戶、律師、會計師與銀行等第三方關係。這樣的過程，他們可能會耐心用上數週或數月來觀察，以描繪出公司的業務計畫和流程。

接下來，攻擊者會為之後的攻擊做準備，包括對該公司人員的郵件進行控制與隔離，以及註冊與往來公司相似的網域名稱。

Matan Ben David指出，攻擊者會透過建立郵件規則的方式，讓受害者與其他人的信件隔離。例如，收到含有發票（invoice）、退回（returned）、失敗（fail）文字內容的信件時，自動轉移到其他郵件資料夾中，像是原是接收RSS Feeds的郵件資料夾。

此外，攻擊者會註冊相似的網域名稱並發送電子郵件，以偽裝成該公司或合作業者的來信。舉例來說，假設該公司網域是finance-firm.com，與對方公司banking-service.com有電子郵件聯繫的關係，攻擊者可以註冊finance-firms.com與banking-services.com，網域名稱當中多了一個s，由於網域僅有些微差距，收件者容易忽略，誤以為仍是對方來信或回信。

換言之，在上述兩個準備步驟之下，就是攻擊者可以冒充身分操弄的關鍵。因為這時，由於攻擊者已對目標公司接收信件有控制權，並可偽裝看似合法且受信任的電子郵件，可以發新的郵件，也可以繼續原有的信件對話。Matan Ben David認為，這在實質上已經構成了一種中間人攻擊，而且不用利用真正的公司電子郵件帳戶去發送。

攻擊者為了要無聲無息的介入雙方的溝通，Check Point指出，從發動網釣郵件讓用戶上鉤，到閱讀受害者電子郵件以描繪出公司的業務計畫和流程，更重要的關鍵就是，駭客竄改了受害者的電子郵件收信規則，做到郵件聯繫上的控制與隔離，同時，利用註冊相似的電子郵件信箱來冒充一方身分。（圖片來源：Check Point）

後續，攻擊者在要錢階段會透過兩種手法，包括攔截合法電匯交易，以及產生新的電匯交易。

在這次案例中，由於攻擊者已從郵件內容得知一樁匯款計畫，因此，攻擊者從偽裝的電子郵件發送訊息，假冒另一方並建議使用英國的銀行帳戶來加快交易過程，儘管接收者回信表示他們在英國沒有帳戶，此時，攻擊者就趁此機會，提供對方一個備用的英國銀行帳戶。

同時，由於攻擊者先前已瞭解該公司的轉帳程序與細節，掌握了最重要的公司關鍵負責人，以及實際交易的銀行，因此攻擊者檢視了雙方往來的電子郵件，並利用從中獲取的資訊，與轉帳銀行的聯絡人聯繫，通知有新的匯款交易。

到了最後的轉帳階段，攻擊者將會持續介入操弄這些郵件對話，直到第三方批准新的銀行資訊並確認交易。

由於BEC詐騙持續多年，就連美國FBI也不斷發出警告，企業對於這類詐騙的攻擊步驟也必須有所認識。包括釣魚郵件是滲透企業網路的第一大媒介，相關防護解決方案與員工教育訓練，以及處理電匯時的二次驗證，都將是重要注意事項。

在調查過程中，該公司IR小組發現攻擊者共使用了7個不同的相似網域名稱，他們並發現該集團鎖定全球不同國家，行業別也不盡相同。例如，他們從相關WHOIS資訊，找到近兩年該組織註冊的39個相似網域名稱，等於是其他被攻擊者鎖定的目標公司，而這些公司遍布不同國家，美國佔半數，其他還包含加拿大、義大利、丹麥、土耳其、南非、印度與德國。

另外，這個集團的背景，他們也有相關描述，例如，僅針對英語，執行時間在上班的周一到週五，詐欺銀行詐戶位於中國香港與英國。（圖片來源：Check Point）

2020/04/08~05/08精選AR‧VR新聞

 PDF檔案   Adobe  

Adobe展示雲端PDF文件AR新功能，要讓實體和數位檔案能共享同一虛擬內容

Adobe最近正在展開一項混合實境實驗專案計畫Dually Noted，試圖將AR功能帶進雲端PDF儲存服務Adobe Document Cloud裡，讓以後實體和數位文件可以共享同一虛擬內容。這個專案是來自Adobe一名暑期實習生Jing Qian所發起，儘管目前還只是預覽階段，但如果成為正式專案，放進Acrobat Reader功能裡，將使得全球已安裝該軟體的10億臺桌上電腦和行動裝置都能使用。

Adobe表示，這個AR文字註解功能，讓使用者能夠對PDF檔案加入虛擬文字註解，並對應到有相同內容的實體書本，Adobe以線上教學為例，當老師使用Adobe Document Cloud對PDF檔案加入AR文字註解的圖示，通過AR技術，學生只要用手機對準實體書本，就能在上面看到先前老師在PDF檔案上註記那頁的內容，學生也可以對書本有問題段落進行反饋，老師從線上PDF文件裡馬上就能看到學生提問並能直接給予回覆。

虛擬會議    HTC  

VR遠距協作工具VIVE Sync公開測試版，未來將支援第三方VR頭戴設備

HTC於4月底推出VR遠距協作工具VIVE Sync的公開測試版，可供企業和居家辦公者在舉行虛擬會議、線上討論使用。該工具去年就已發布，但直到現在才釋出，可以讓企業和一般使用者在共享虛擬空間中進行互動與溝通。HTC表示，目前最多可支援30名參與者，每位參加者亦可建立虛擬的個人角色，並透過這個3D虛擬化身來與虛擬同事或客戶互動交流。VIVE Sync本身還支援Tobii眼球追蹤技術，以便於讓使用者與其他用戶進行更自然互動，就像是在會議室開會那樣。

雖然，該VR工具一開始僅支援VIVE頭戴裝置產品系列，不過，該公司表示，其他主流VR設備，包括臉書Oculus Ri、Oculus Quest、微軟混合實境裝置和Valve Index頭戴設備等，之後將會支援，還會推出免VR頭戴裝置的版本，讓線上參加者能使用。

VR   虛擬鍵盤  

臉書展示VR虛擬打字系統PinchType，動動手指1分鐘能輸入12個單字

臉書虛擬實境實驗室（Facebook Reality Labs）研究人員最近展示一個VR虛擬打字系統PinchType，能夠讓使用者更容易在VR介面中進行文字輸入或打字，提高使用者體驗。他們在VR環境中打造出一個英文輸入的標準QWERT Y虛擬鍵盤，每當使用者要輸入文字時，就可以開啟該鍵盤來打字，並運用手勢追蹤技術，讓鍵盤上每一組按鍵的字母，對應到左右手指，以不同顏色標記，接著再透過追蹤手指與手指之間的動作（例如用食指捏住姆指），從中選出相應的字母輸入。

研究人員表示，透過這樣的方式，平均每分鐘可以輸入12個英文單字，雖然比起傳統VR介面輸入方式快，但對照手機上的輸入，約為35個英文字，該輸入方式仍有改善的空間。目前仍處於實驗階段。

VR觸覺    CMU大學  

實現VR觸感操控有新作法，CMU研究員展示可穿戴VR觸覺反饋系統Wireality

美國卡內基美隆大學（CMU）研究人員近日開發了一套可穿戴VR觸覺反饋系統Wireality，讓用戶在進行VR體驗時，也能感受到觸摸物體的逼真感受。他們利用多條可伸縮的弦線，連接手指關節和手腕，並透過在肩膀上安裝一個彈簧加壓控制器來對這些弦線進行拉扯或放鬆，藉此模擬手掌碰觸各掌感受到虛擬牆面、欄杆或不規則表面產生的不同阻力，來與這些虛擬物件進行更沉浸互動。CMU研究人員表示，透過這種方式來實現VR觸覺反饋，既可減輕裝置本身重量，也較為省電，而且更省成本。他們預估，單價將不到50美元。這項研究成果先前獲得今年CHI 2020會議最佳論文獎。

微軟   混合實境  

微軟延攬前蘋果硬體研發大將Rubén Caballero負責下一代HoloLens研發

微軟近日找來了前蘋果硬體研發大將Rubén Caballero，來擔任該公司混合實境與AI部門工程研發副總裁。Ruben Caballero曾是開發出蘋果iPhone硬體的最重要推手之一，後來更負責過包括iPad、Apple Watch、Macintosh和其他硬體產品的研發，過去他也曾一手打造前二代Apple TV與Airport裝置，還是蘋果無線設計和技術小組的主要負責人，負責主導下一代5G手機硬體技術。Ruben Caballero在蘋果任職15年，直到去年才離開，期間也曾在一家新創公司Humane擔任技術顧問，直到今年3月才正式加入微軟。之後RubenCaballero也將負責包括下一代HoloLens產品研發，及其相關的硬體專案。

虛擬實境   SteamVR  

德國VR應用開發商推出VR新工具Holoswitch，讓用戶體驗VR能不漏接手機訊息

德國VR應用開發商Triple A Code GmbH近日推出一個VR工具Holoswitch，能夠讓用戶無須拿下VR頭戴裝置的情況下，仍可查看真實世界的手機訊息，雖然還只是Early Access體驗版本，尚未推出正式版本，但該公司表示，通過使用該VR工具，可以將VR頭戴裝置與手機進行配對，讓使用者在全神貫注體驗VR遊戲的同時，依然可以接收到手機上來電、查看訊息、或應用通知等，透過將這些訊息轉成虛擬通知，即時呈現在VR頭戴裝置的螢幕畫面裡，提醒使用者注意，而較不容易錯過該訊息。甚至還可以將VR體驗中拍攝的照片儲存在手機裡。該工具可以支援HTC Vive、Valve Index、Oculus Ri/RiS、Oculus Quest和Windows Mixed Reality等VR或MR設備，不過，目前僅能在SteamVR虛擬實境平臺與Android行動裝置上來執行，iOS平臺之後才會支援。目前該VR工具已推出，售價5.99元。

AR眼鏡   Arm  

Arm調查顯示年輕人對於AR眼鏡最感興趣，最想結合手機App功能

Arm近日委託完成一份AR眼境的消費者調查顯示，有半數受訪者對於使用AR眼鏡抱持興趣，特別是運用在語言翻譯上，而有戴眼鏡者，比起沒帶眼鏡的人對於AR眼鏡表現更高興趣。進一步以年齡分布來看，16到24歲的年輕人對於使用AR眼鏡的態度最積極，反觀，55到64歲年長者使用意願最低。該報告還發現，年輕一代更傾向用AR眼鏡的同時，也能夠繼續使用手機App功能。至於多數年長者則傾向使用它來改善日常生活行為。責任編輯／余至浩

圖片來源／HTC、Adobe、卡內基美隆大學、Triple A Code GmbH

 更多AR‧VR動態 

1.Valve決定以後SteamVR軟體更新不再支援macOS，將專注Windows和Linux版本開發

2.臉書將停止提供三星手機用的VR頭戴裝置Gear VR的軟體更新

3.遭受疫情拖累，混合實境裝置製造商Magic Leap傳將大幅重整裁撤半數員工，人數多達千人

資料來源：iThome整理，2020年4月

隨著企業員工以視訊遠距協同的需求升高，Zoom、微軟Teams、思科WebEx等服務的用戶，成為駭客下手的最新目標。安全廠商周三警告，最近又有一波釣魚信件攻擊鎖定WebEx用戶，以憑證錯誤為由騙取用戶帳密。

安全廠商Abnormal Security指出，這批釣魚郵件利用仿製思科WebEx原廠信件的圖示和格式而成。內容宣稱用戶無法使用WebEx服務，因為其憑證有問題，導致用戶帳號被鎖住。若用戶要解開帳號必須登入信中所附的SendGrid連結，以輸入WebEx帳密驗證。

一旦用戶點入該連結，就會導向一個網址為[https://]app-login-webex.com、與WebEx網站難分真假的釣魚網頁。安全公司研究發現，該網頁的網域名稱最近才向捷克註冊商完成註冊，極可能已為駭客控制，旨在騙取用戶帳密。

研究人員表示，攻擊者將連結包在文字中，且透過第三方電子郵件服務SendGrid Link來傳送郵件，目的是在隱藏真正的來源URL，使用者要點入後才會發現真正目的地，但即使點入也難以判斷真偽。用戶若一時不察而輸入了WebEx帳密及個人資訊，帳號即會遭接管，並被用於在公司內及對外部合作夥伴發動攻擊。

研究人員判斷，已經有2千到5千名WebEx用戶接到這批釣魚郵件。

上個月Abnormal Security也偵測到，有駭客冒充微軟Teams部門發出的釣魚信件，以騙取Teams的用戶帳密，受害者將近5萬人。

利用武漢肺炎為名目的網釣攻擊手法太多，除了針對視訊和協同用戶，其他還有假冒社福團體發詐騙信件，或國家支持的駭客，有目的性發動精準網釣攻擊。

Uber周三（5/6）正式宣布，武漢肺炎（COVID-19）疫情帶來了經濟挑戰及不確定性，衝擊了該公司的業務，因此決定裁撤3,700名全職員工，約占該公司總人數的14%；而Layoffs.fyi統計了受到疫情波及而裁員的科技新創，顯示Uber現為全球裁員人數最高的科技新創，居次的則是Groupon的2,800人。

The Information曾在4月底引述消息來源報導，Uber準備裁撤20%員工，可能影響5,400人，但本周Uber則透過提交給美國證券交易委員會的文件及對內公告，公布確實的裁員人數為3,700名。

除了裁員之外，Uber執行長Dara Khosrowshahi也同意到今年底前都不支薪，生效日為今年的5月2日。

另一方面，Layoffs.fyi追蹤了所有因疫情而裁員的科技新創，指出從今年3月11日迄今，已有379家科技新創裁撤了4.4萬名員工，相關數據是根據媒體報導所做的統計，因此，實際的數字可能更高。

根據Layoffs.fyi的統計，Uber現為全球裁員人數最多的科技新創；居次的是在今年4月中旬宣布裁員的Groupon，Groupon在當時裁撤了2,800名員工，占總員工數的44%；排名第三的是Airbnb的1,900名，占整體員工的25%；而鎖定各式餐廳，提供雲端軟體服務的Toast，則是在今年4月上旬裁了一半的員工，為1,300名；提供購物及餐廳等評論服務的Yelp，於4月裁員17%，約有1,000名員工受到影響。

此外，混合實境（MR）裝置製造商Magic Leap裁了1,000名員工（50%），Lyft裁了982名員工（17%），TripAdvisor裁了900名員工（25%）。

疫情重創了全球大多數的產業，但從上述排行榜來看，共乘服務、旅遊與餐飲無疑是最大的受害者。

不讓蘋果專美於前，微軟於本周更新了13.5吋與15吋的Surface Book 3二合一筆電，它們採用了第十代的英特爾Core處理器，效能比Surface Book多出50%，電池續航力為17.5小時，最低階配置的版本為1,560美元，預計於5月21日上市。

微軟的Surface產品線明顯是為了挑戰蘋果而來，例如Surface對上iPad、Surface Pro對上iPad Pro、Surface Studio對上iMac、Surface Laptop對上Macbook Air，以及Surface Book對上Macbook Pro。

新一代的Surface Book 3採用13.5吋或15吋的PixelSense觸控螢幕，最高可搭載1660 Ti的NVIDIA GeForce繪圖晶片，以及配置32GB的記憶體，鎖定專業的開發人員、設計人員或遊戲玩家，標榜可在筆電上呈現桌機的效能。

雖然Surface Book 3系列根據配置的售價從1,600美元到3,400美元不等，高過蘋果Macbook Pro的1,299美元到2,799美元，但Forbes的科技專欄作家Ewan Spence認為，Macbook Pro迄今還有採用第八代英特爾處理器的版本，與入門款Macbook Air的規格差異不大，而Surface Book 3不只與Surface Laptop有明顯的區隔，且從各項規格來看，Surface Book 3其實才真正達到了，蘋果當初推出Macbook Pro所宣稱的「專業」定位。

今年首季因武漢肺炎疫情而衍生的居家防疫與在家上班/學習風潮，讓該季的個人電腦市場需求大增，無奈個人電腦供應鏈的大本營—中國受到疫情重創而供給不及，反倒使得今年第一季的全球PC出貨量下滑，各家研究機構所估算的下滑幅度從8%到12.3%不等。

NFC的規格促進組織NFC論壇周三宣布，理監事會已核准採用名為無線充電規格（Wireless Charging Specification，WLC）的技術，未來可用於NFC規格的小型消費裝置如無線耳機、智慧手錶的無線充電。

NFC規格使用13.56MHz的基本頻率，提供穩定的載波訊號將電力傳輸到NFC標籤上，以形成NFC連線；而WLC規格，則是將NFC技術的通訊功能擴大作為無線充電。NFC論壇去年就公布WLC為候選規格，現在宣布成為正式技術規格，提供IoT硬體廠商實作。

現有無線充電規格Qi 可提供5瓦、10瓦、甚至30瓦的充電功率，相較之下WLC規格只提供最高1瓦的充電功率。但The Verge指出，其實兩者屬於互補而非競爭標準。Qi是用於智慧型手機等高耗電設備，但WLC設計上，可使用NFC裝置內的一道天線同時執行通訊和充電，因而適合用於低功率的IoT裝置，像是無線耳機、智慧型手錶、健身智慧腕帶、數位筆等小型消費裝置。

此外，NFC論壇指出，低功率的WLC規格讓用戶甚至可用智慧型手機，為周邊裝置無線充電，無需額外的充電裝置，改善了全球20億智慧型手機或其他NFC裝置的消費和企業用戶的使用經驗。

NFC論壇並未說明NFC無線充電的硬體規格，但顯然需要能同時傳輸和接收電力的NFC晶片，因此，較早期的NFC裝置恐怕無法使用。

但是Android Central指出，由於新規格可省下額外元件的成本及占用的空間，也能降低硬體產品的導入障礙。

大群iOS用戶在推特上抱怨，多個iPhone與iPad上的應用程式發生故障無法使用，而在服務故障儀表板Downdetector上，不少知名應用程式也都出現上榜，顯示服務出現大規模故障，而造成此問題的源頭便是臉書iOS SDK，在臉書工程師發現問題並且即時修正之後，大部分應用程式的服務已經恢復正常，但終端使用者可能暫時仍會遇到應用程式當掉的情況。

大規模故障的情況，約是從臺灣時間早上6點半開始，而這個故障問題罪魁禍首指向臉書SDK，由於不少應用程式使用臉書SDK，提供使用者登入功能，因此包括Spotify、SoundCloud、TikTok、Tinder以及Pinterest等應用都受到影響，而且即便使用者沒有使用臉書登入應用程式，也都出現應用程式直接閃退的現象。

不少開發人員在GitHub上反應了這個臉書SDK的問題，開發者Clay Jones首先在GitHub上回報，FBSDKRestrictiveDataFilterManager.m第80行發生崩潰的情況，Clay Jones指出，他們的應用程式使用FBSDK 6.5.0版本，在應用程式上提供身份驗證的選項，但是FBSDK卻出現大量崩潰，他們不清楚這個問題在FBSDK 6.5.2上是不是解決了。在這個問題回報串下方，許多開發者也表示遇到相同的框。

早些時候臉書發出聲明表示，臉書釋出的新版本中包含了一項變更，因此讓使用臉書iOS SDK的程式發生崩潰，他們已經找出問題並且修正。臉書這次遠端讓眾多iOS應用程式故障，不少開發者在推特上討論，認為應該降低對臉書SDK的相依程度，否則第三方SDK的問題，卻直接影響自家應用程式的品質，也有人嘲諷，之前視訊會議服務Zoom iOS遭爆和臉書共享用戶資料，因此拿掉臉書SDK，剛好在這次逃過一劫。

1990年，英國電腦科學家Tim Berners-Lee發明了影響全人類的WWW，揭開數位革命序幕，各地網站自此爆炸式成長，去年甚至衝破了數十億個。

同是英國著名電腦科學家、與Tim Berners-Lee共同創辦英國開放資料研究院（Open Data Institute）的Nigel Shadbolt，在本屆Web Conference大會主題演講中提倡開放資料，更強調AI時代需要發展資料基礎建設。不過，伴隨而來也出現資料隱私問題。放眼未來，「Web應朝去中心化發展，」他說。

20年前，Nigel Shadbolt剛到英國南安普敦大學任教，與提出語意網（Semantic Web）的Tim Berners-Lee成為同事。那時，正值語意網研究熱潮，要在全球資訊網上的文件中，加入電腦可理解的語意（即Metadata），讓網際網路成為通用的資訊交換媒介。

Nigel Shadbolt與同事展開了為期7年的高階知識技術（AKT）專案，利用語意網技術，來收集、整合各種資訊。成果之一是一套電腦科學資訊搜索應用程式CS AKTive Space。

這套程式整合了英國境內與電腦科學社群相關的資料，由上千萬個資源描述框架RDF triples組成內容，也設計了容易上手的UI，讓使用者能以地圖或不同欄位，來查詢英國境內的電腦科學資訊。

這個專案引起了英國政府的注意。「他們好奇，這個方法是否能整合地方政府和中央政府的資料。」Nigel Shadbolt接著說，2009年時，各國開始重視開放資料，當時的英國也不落人後，首相更欽點他和Tim Berners-Lee，來推動政府開放資料。

期間，兩人不斷遇到資料難以取得、資料形式非機器可讀等挑戰，即使如此，他們還是排除萬難，建立了英國政府開放資料網站data.gov.uk，彙整各式資料如犯罪率、回收率、環境資料、醫院和學校概況，甚至是公車動態等。這些公共資料，也儲存於中央政府和地方政府的網站上。

開放資料加重API戲份，資料基礎建設是AI基本功

「在開放資料的過程中，會看見API的重要性。」Nigel Shadbolt以臺灣口罩地圖為例，政府開放了口罩存量資料，民間才得以透過API來打造各種應用。或像英國開放資料研究院疫情開放資料專案，以API提供疫調、確診數、死亡病例、病床數和醫療資源等相關資料。

話鋒一轉，他指出，AI熱浪來襲的今日，開放資料不但重要，「資料基礎建設（Data Infrastructure）更是一大關鍵。」因為，唯有確保資料可用性，才能快速開發AI應用。

他所說的資料基礎建設，包括資料設計，使資料具備高質量、可再現、可互相操作、可保存等特性，此外，還要擬定一套資料治理方法。為推廣這個觀念，他也與Tim Berners-Lee在英國開放資料研究院上，宣導「開放資料即資產」（Open data as an asset）理念。

算力造就網路爆炸式成長，但資料去哪了？

「數位革命帶來許多新資源，這些資源因算力而存在。」Nigel Shadbolt舉例，2000年英特爾處理器的電晶體才2,100萬個，而前年問世的蘋果A12仿生處理器，就擁有近70億個。

硬體革新大力加速了數位化程度，不只全球網路人口連年增長，手機滲透率也日益遽增。但是，手機使用網路所產生的資料，到底去哪了？

為找出答案，2年前，Nigel Shadbolt在任教的牛津大學帶領團隊，進行手機第三方追蹤研究，來找出資料流向。他們從美國和英國的Google Play商店中，下載了100多萬個App，從中分析使用者的資料流。

團隊發現，多數App會將使用者資料，如地理位置、個人資訊、手機特徵、手機ID等，分流給不同對象，像是App功能端、App業者、行銷端和第三方追蹤器等。

舉例來說，使用Airbnb時，使用者部分個資會分流至Google、蘋果、微軟和臉書廣告等App功能端和行銷端。

為進一步了解整體資料流，團隊也設計了一個模擬器X-Ray Refine，可同時模擬多款App，透過調整參數，從視覺化圖表了解每個App的資料流向，以及流向的地理位置等。這個模擬技術，也為資料隱私追蹤打下基礎。

網路技術下一步：去中心化網路

為制衡網路資料使用亂象，近年許多政府透過法規，要求網路科技業者遵守資料使用規範。就連非政府組織也加入行列，要幫助大眾了解個人資料的使用。

還有一種做法，可根本地改善資料隱私問題，Nigel Shadbolt指出，現行的集中式網路架構，資料散落於不同服務提供商，「假設網路本身去中心化，即便使用過程中會接觸到不同服務提供商，使用者資料依然能留在自己的裝置上」，來保護個人資料。

網路去中心化，正是Tim Berners-Lee與美國麻省理工學院正在鑽研的題目。他們展開了Solid專案，要打造一個去中心化的網路平臺，來執行鏈結資料（Linked Data）應用程式，讓使用者完全掌握自己的資料。目標是在保護隱私的前提下共享資料。

架構上，Solid可提供不同的個人線上資料儲存器（POD），讓使用者來存放自己的資料。使用者可授權應用程式，來存取特定POD中的資訊，而且能完全控制每個POD的資料、儲存位置，或是檢查那些應用程式獲授權。

如此一來，使用者不僅能掌握自己的資料，也能在不同裝置和應用程式間，保有相同的資料。Nigel Shadbolt認為，網路去中心化，就是網路技術的新方向。文⊙王若樸

Zoom的資安疑慮從3月底持續延燒到4月，毫無疑問地，本月有相當多的資安議題與事件與之有關，事實上，月初幾乎每天都有新的事件傳出。其中，有不同研究人員揪出Windows版與macOS版的Zoom程式漏洞，廣受大眾注目，儘管Zoom對於漏洞修補積極，但更關鍵的是，後續事件，揭露了該公司對於線上會議的加密方式的問題，例如，被爆料加密作法不夠周延，宣稱的安全特性與實際運作方式不符，並有誤導之嫌，甚至還發生北美地區的視訊會議，其會議金鑰誤經中國伺服器產生與傳送安全問題，再加上過去種種不良前例，儘管期間Zoom執行長也表示將在90天內全力改善其資安與隱私問題，然而，這些狀況已讓大眾對於Zoom產品信任的問題浮上檯面。而接連的事件傳出後，也導致全球陸續開始有企業與政府開始規範要求禁用，而我國行政院資安處也對公務機關及特定非公務機關有同樣要求。

在4月的重大資安新聞中，還有一些重大漏洞修補與網軍攻擊活動值得注意。例如，前幾個月被揭露Tomcat Server的GhostCat漏洞，臺灣資安業者發現國內不少企業組織都有該漏洞未修補的情形，而這樣的漏洞也使得國內有學術網路圖書館網站系統可能因此遇害，還有各國網軍如何利用武漢肺炎的關鍵字，發動相關的網路攻擊，都引發高度關注。

同時，4月國際上也有一些重要資安事件，其中，區塊鏈金融平臺dForce遭盜領一空數日後才追回，引發市場側目；而本月又發生大規模BGP劫持事件，雖然只有5分鐘，但包括Google、Amazon、Cloudflare、GoDaddy、臉書與Line等，都被導向俄羅斯一家ISP網站；還有舊金山國際機場遭駭客入侵，在網站植入惡意程式並要竊取用戶Windows登入帳密。此外，RDP漏洞的風險，以及勒索軟體的威脅的新聞，也都持續是本月受到大眾關注的熱點新聞。

還有一些與國內有關的資安相關動態，也是本月焦點之一。例如，關於打擊殭屍網路、破獲國內IP位址成為跳板的消息，由於法務部調查局查出問題出在管理LED燈控制系統的業者，因為VPN錯誤設定疏失，導致臺灣政府公務機關IP位址淪為攻擊跳板，因此引發高度關注，而臺灣支付安全方面的新動向，也受到相關領域的重視。

但其實4月還有不少與臺灣相關的事件，雖然不在本月十大新聞之列，但也都成為議論的話題。包括：電子製造業群創光電遭到電腦病毒感染、PTT用戶帳號遭自動化工具猜密碼的狀況、調查局假訊息防制中心升格資安工作站，還有臺灣數位身分證的推動，由於本月發起的反對連署，政府近期也宣布因疫情將延後換發，而相關資安疑慮持續被熱議。而疾管署公務信箱帳號密碼外流的事件，雖然調查後影響其實不大，不過也突顯外界對於政府單位資安問題的關心。

01. Zoom接連爆發隱私與安全問題

02. Tomcat Server存在Ghostcat漏洞，有中國駭客在臺灣校園網站上傳BiFrost後門程式

03. 中國網軍年後拼復工，以武漢肺炎議題為餌，鎖定臺灣政府和醫療智庫學者發動攻擊

04. 區塊鏈金融平臺dForce的加密貨幣資產幾乎被盜領一空

05. 全球200大CDN發生BGP劫持，Google、Cloudflare、Line皆被導向俄羅斯

06. 微軟遠端桌面用戶端漏洞可讓駭客執行遠端程式碼，但微軟不願修補

07. 勒索軟體Shade/Troldesh收山，釋出75萬把解密金鑰

08. 舊金山國際機場遭駭客入侵，用戶憑證被竊

09. 圖書館LED燈控制器的IP位址成攻擊跳板，法務部調查局與資安業者合力破獲

10. 【2020支付安全未來三年新變革】商家儲存的信用卡號應代碼化，全新3-DS驗證在臺有3大類別商家必須啟用

趕在微軟本周關閉收購來的待辦事項程式Wunderlist之前，Wunderlist創辦人Christian Reber透過Twitter發表了全新的Superlist，重返待辦事項程式市場。

這是因為在微軟買下Wunderlist之後，認為把Wunderlist的架構從AWS移回Azure太大費周章，於是將它砍掉重練，在2017年推出了基於Azure的To Do程式，並在去年宣布將於今年5月6日關閉Wunderlist，僅允許既有的Wunderlist用戶在6月底前，將資料匯出至To Do。

Reber聽聞微軟要關閉Wunderlist時，曾公開向微軟喊話要買回Wunderlist，最後不了了之，卻在本周發表了Superlist。

目前Superlist只存在著簡單的官網頁面，寫著要替未來的團隊創造高超的生產力，並未描述任何功能，也未公布上線日期。不過，Reber透過Twitter說明，Superlist不會只是個待辦事項程式，但也不會如同專案管理程式那般的臃腫，它將是個流暢、快速且具備高度協作能力，可協助個人或任何規模的團隊有效率地完成任務。

儘管新的Superlist是由Reber所宣布，但他說他會專注在即將發表的Pitch上，在Superlist上只擔任指導、支援或除錯的角色。

由Pitch創立並擔任執行長的Pitch是個協作簡報程式，與Superlist同樣強調協作能力，目前處於小規模的測試階段。

Alphabet旗下子公司Loon周三宣布，將和AT&T合作為災區部署高空連網汽球，也可藉此擴大全球部署的能力。

Loon利用飛行於地面上空20公里平流層的汽球，作為地面行動通訊的基地臺，主要服務交通不便的偏遠地區或欠缺基礎架構的發展中國家。除了2018年和肯亞電信公司簽下第一宗商業合作案，Loon也用於災區支援，包括2017年瑪莉亞颶風重創波多黎各，Loon曾和AT&T及T-Mobile合作，提供當地連網服務，2019年則為遭遇震災的祕魯提供服務。

Loon執行長Alastair Westgarth解釋，雖然Loon用來支援災區十分適合，但是實際部署卻需要多種條件的配合。首先，要讓汽球飛到某國上空，需要獲得當地政府和法規許可。其次，高空汽球仍然需要連接地面設備以連接網際網路，以及Loon合作電信業者的核心網路，這些設備的輸入、安裝和測試都需要解決。此外，他們也需要與當地行動電信業者（MNO）合作，才能提供終端用戶上網服務。

這些條件齊備需要時間，將使Loon的部署在災難發生時無法及時到位，現在Loon和AT&T的合作，可以縮短部署的前置作業時間。Loon已將其連網系統整合到AT&T的網路，並可延伸到AT&T於全球各地的合作夥伴。這表示，Loon可以很快為第三方行動電信業者提供服務，只要它和AT&T之間簽定國際漫遊合作。藉由AT&T和全球多家電信商的合作關係，Loon可不再需要花時間逐一整合各地的電信網路商，在災難期間也能同時服務一個地區的多家行動電信公司。

至於和當地政府的合作方面，Loon表示，過去幾個月他們已經取得肯亞、烏干達、納米比亞、剛果、馬拉威和賴索托等政府許可，總計Loon的高空汽球已經飛越50多國領空。

繼日本、韓國、泰國、印尼之後，Line宣布將在臺灣推出Line社群，類似網路聊天室功能，和現有Line群組最多只能500人加入不同，Line社群最多允許5,000人參加，5月13日起開始試營運。

Line社群的使用介面和Line群組相似，但功能定位上並不相同，Line社群可以視為公開的網路聊天室，讓用戶基於共同的興趣進行交流，且社群設有管理員，負責管理社群，以避免Line群組的惡意翻群、踢人等問題。

Line社群試營運將分為兩階段，第一階段在5月13日開始，由Line指定的管理員，邀請少數用戶加入社群，6月下旬的第二階段，所有Line用戶只要更新到指定的版本，就可以加入已建立的社群，也可以向Line申請建立新的社群，自己當管理員。最後是Line社群正式上線，但目前僅確定會在今年上線，具體時程還需等待Line公布。

根據Line揭露的訊息來看，5月13日的第一階段試營運，可能有遊戲、美食、科技、流行/美妝、寵物、運動/健身等社群，但由各個社群管理者邀請少數用戶加入。6月下旬的第二階段才開放所有用戶加入。

如同前面所說，Line社群和群組有很大的不同，主要在於社群設有管理員，可設定社群成員權限，包括設定共同管理員及一般成員的權限，最多可設定10位共同管理員，只有管理員能直接強制退出某些成員，避免Line群組成員隨意踢出其他成員，或是解散群組的缺點。

管理員可設定3種成員加入的方式，除了設定社群為公開，允許任何用戶加入之外，還有輸入密碼、管理員核准兩種加入方式，管理員能設定社群聊天室人數限制，最低為5人，最多可到5千人。

至於用戶想要加入Line社群，可以在「主頁」的群組，進入「社群首頁」，瀏覽各種社群，選擇感興趣的社群加入，或是在「聊天」頁面的右上角選單，進入「社群首頁」。

Line群組和社群的不同（底下為部份截圖，詳細內容可參考官方部落格說明）：

用戶加入不同的社群，能夠設定不一樣的暱稱及大頭貼，並隨時更換；不同於群組，加入新社群之後，成員最多可瀏覽半年前的聊天內容。

為避免紛爭，Line社群設有社群守則，要求社群成員注意維持溝通禮貌、避免揭露個資、可疑營利行為、違反Line及社群使用條款等等。Line也會利用AI過濾違規的內容，管理員也能夠設定過濾某些關鍵用語，用戶也能檢舉不當的聊天內容。

Line表示，儘管Line社群已在國外推出，但在臺灣正式上線之前，仍需要經由試營運，測試瞭解用戶的反映，未來會逐步開放用戶加入人數、更多的功能，並根據臺灣用戶的需要，作為正式上線前的調整參考。