被法國政府採用來開發官方即時通訊軟體的開源通訊標準Matrix,現在正式支援端到端加密功能,而目前最熱門的Matrix客戶端軟體Riot,也會於預設情況下在所有新的私人對話中,啟用端到端加密功能。
這個端到端加密功能正式版本,比官方剛開始釋出的版本多了不少功能,包括金鑰共享功能,讓使用者在裝置之間共享金鑰以提高可靠性,還有線上金鑰備份,讓用戶即便遺失裝置,也不會因此丟失所有的歷史紀錄,另外,還能使用表情符號添加互動性金鑰驗證,讓驗證過程更簡單。
由於官方想要所有私人對話,都能預設啟用端對端加密功能,特別加強連接體驗,減少未加密與端對端加密Matrix之間的摩擦,讓使用者可以自在地啟用加密功能,而不會對可用性產生任何的負面影響。
另外,官方特別提醒,啟用端到端加密功能的伺服器,因為要交換金鑰,且多了驗證流量和金鑰備份流量,因此比未啟用端到端加密功能的伺服器流量大得多,對於本身擁有許多用戶的Matrix.org伺服器執行個體來說,會有蠻大的衝擊,但官方也預告,Matrix參照伺服器實作Synapse將會有重大的效能突破,屆時將能解決這個問題。
印度最大銀行──印度國家銀行(State Bank of India,SBI)在今年舉辦的IBM Think大會中,分享自家踏上數位銀行之旅的關鍵作法。
這家歷史超過200年的銀行,在1806年成立時名為加爾各答銀行,後續在1809年改名為孟加拉銀行(Bank of Bengal),在1955年國有化之後,正式更名為印度國家銀行,總部則設於印度孟買,在印度共有22,000家分行。此外,印度國家銀行是名列全球前50大的銀行,資產規模為5,160億美元。
印度國家銀行總裁Rajnish Kumar揭露,該銀行在全球服務超過4.3億名客戶,大約有7.6億個帳戶,而在過去的9個月之中,處理了超過95億筆交易。他強調,客戶對銀行的期望很簡單,一是要非常方便,二是必須確保安全。而客戶對銀行的信任,除了建構在安全的系統,更要不斷創新,以及獲取最新的技術。
3年多前,印度國家銀行決定打造一個數位銀行平臺YONO,Rajnish Kumar解釋,這個名稱來自於You Only Need One(你只需要一個),意思是這個數位銀行不只是一個金融交易平臺,包括投資、保險、線上購物等,都涵蓋在這一站式的全通路平臺,不僅是消費者的行動銀行App,更可具備實體分行的功能,甚至是像桌面型電腦、平板電腦一般的存在,各式各樣的服務都能在同一平臺滿足。
印度國家銀行全球副技術長Amit Saxena則揭露了更多細節。他提到,2016年9月,是展開數位銀行旅程的起始點。當時,這家印度最大銀行選擇改變的理由,除了要保有與民營銀行競爭的能力之外,最大目的是,在未來該如何去吸引新的千禧世代。
為此,這家銀行聚集了銀行業務、法遵、風險、證券方面,以及IT團隊的相關人員,甚至還找來現有的生態圈合作夥伴,共同打造新一代數位銀行平臺。YONO數位平臺花了一年半的時間上線,上線短短兩年,就累積了1,800萬的用戶註冊。目前,則已經有2,200萬名註冊用戶。
Amit Saxena進一步提到,在建構數位平臺時,印度國家銀行有4大數位化的支柱,包括把數位銀行、線上市場(Online Marketplace)、金融超市(Financial Superstore),以及先進的分析(Advanced Analytics),整合在同一平臺,來達到全方位通路的客戶體驗。
在數位銀行部分,目的是讓客戶有百分之百的數位體驗,而無需造訪分行辦理金融業務。所以,就得用e-KYC與生物辨識的方式,讓客戶進行身份驗證來開戶,以及日常的登入與授權,更要提供客戶全部財富與金融資產的單一視圖。不止如此,還要能提供個人與企業線上貸款等服務。
Amit Saxena更以房貸舉例,如何讓客戶不只在銀行貸款,而能有更多面向的體驗?他說,當有房屋貸款需求的客戶,在數位銀行成功辦理房貸後,下一步就是搬進新屋,並開始準備佈置傢俱。這時,YONO平臺串接的各家電商平臺,就成為了一個線上市場,能滿足客戶各類生活消費需求,而這些電商包括了亞馬遜、印度零售連鎖大賣場Big Bazaar等。甚至客戶想買輛車,或是訂飯店和機票,都能在同一平臺一次完成。
YONO平臺更整合了印度國家銀行集團全部的產品,像是保險、信用卡、證券等,形成了一個金融超市,更透過大數據分析,將這些金融產品對準特定的客戶群進行個人化推薦。
他強調,這就是擁有一家數位銀行的目的,以整合線上市場與金融超市。而在這背後,YONO平臺更透過分析引擎,光是相關模組就有33個,來分析客戶的行為與消費,進而提供更為客製化的金融產品與服務,甚至是進行不同產品的交叉跨售。
Amit Saxena更揭露YONO數位平臺端到端的架構,他們是以市場目標定位(STP)進行流程再造,將整個流程重新設計,包括虛擬製造商(virtual maker)與檢查流程、新的數位產品等,也讓產品應用形式簡化,更重新設計了API,並簡化了操作的模型。
他指出,這場數位化銀行轉型,得符合5大基礎,包括速度(Speed)、可擴充性(Scalability)、穩定性(Stability)、安全(Security)與智能(Smart)。
在交付的速度上,採取的第一步是與IBM的Design Thinking(設計思維)團隊合作,透過設計思維的框架設計UI/UX。並採取敏捷式開發,以及DevOps,來讓建構、測試、發布軟體能夠更加地快速、頻繁和可靠。
而整個數位平臺更使用了微服務架構打造,讓系統具備擴充性。
為了達到穩定性,該銀行為YONO數位平臺建立了一個指令與控制中心,來持續監控系統,讓IT團隊可以做到提早預警,並儘速進行補救。
安全是銀行極為重視的,該銀行的作法除了在架構上需符合銀行安全標準,還做了資安評估與滲透測試,以及安全審核。此外,還做了Code review以及應用程式安全性(Application security encompasses measures,APPSEC),透過搜尋、修復與預防安全漏洞,來提高App安全性的措施,採用的像是AES 256加密、驗證框架、惡意文件處理,處理SQL Injection與跨網站腳本攻擊等。
在智能的部分,YONO數位平臺不僅提供了用戶無卡提款的服務,近期,更推出全天候的預先核准的個人貸款(Pre-approved Personal loan)服務。不過,這類貸款只提供給該銀行預先選擇的某一類客戶,並向符合貸款條件的用戶在YONO App發出可預先貸款的通知,讓用戶自行決定是否要貸款,而其中有貸款需求的用戶,輸入欲貸款的額度後,錢在兩分鐘內前就能入帳。
即便擁有4億多名用戶,這家印度最大的銀行並沒有因此停下創新的腳步,而選擇整合金融服務、電商購物,重新打造一個擁有多元服務的數位平臺,就是為了獲得千禧世代的青睞,繼續扎穩他們在市場的競爭力。文⊙李靜宜
台灣中油遭受勒索軟體攻擊,影響加油站運作及支付服務
從5月4日中午開始,傳出有不少臺灣中油的加油站停擺,加油站電腦當機,甚至出現只剩下一座加油島可用,民眾只能使用現金與信用卡加油。臺灣中油調查後發現遭網路攻擊,系統感染勒索軟體病毒,導致加油站部分付款機制受到影響,消費者無法使用儲值卡(捷利卡)和行動支付(中油Pay)。更多內容
中油搶修遭駭系統,捷利卡與車隊卡恢復使用
台灣中油5月5日發布公告,捷利卡與車隊卡恢復正常使用,已針對重要伺服器與電腦,重新建立系統。更多內容
中油遭勒索軟體攻擊隔天,台塑集團也出現電腦病毒攻擊
台塑集團5月5日發現有員工電腦出現電腦病毒,決定全面清查,確認其他電腦沒有問題才逐步開放使用,並表示旗下台亞加油站沒有受到波及。更多內容
中油資料庫和部分電腦主機遭勒索軟體感染,斷網防受駭範圍擴大,暫通報為三級資安事件
台灣中油資訊系統受駭,據了解,主要的油品生產和製造系統並沒有受到勒索軟體危害,因有部分資料庫和電腦主機受駭,中油立即透過斷網進行災害控管,受到勒索軟體影響的包括捷利卡、中油Pay系統,但加油站的油品銷售系統不受影響。更多內容
從Line Bank徵才說明會一窺其技術發展
圖片來源_ Line線上直播截圖
預計在2020年第三季開業的純網銀Line Bank,近期舉辦了一場工程團隊聯合線上招募會,一口氣派出App開發團隊、Web開發團隊、核心系統團隊(Core Banking)、營運支援系統團隊(Non-Core Banking)代表,介紹工作內容,並釋出多項職缺與技能要求,對外大力招募資訊技術人才。透過這場招募會,可一窺Line Bank內部技術採用重點,甚至未來發展藍圖。更多內容
臺北市政府邁向第2階段線上公務演練
近期臺灣武漢肺炎疫情有趨緩跡象,但對政府部門來說,仍不容絲毫鬆懈,像是很早就展開居家辦公(Work From Home)演練的臺北市政府(北市府),就為了下一階段居家辦公的防疫需求,持續備戰,不只已完成144個機關局處的視訊會議演練,5月初更開始加強員工居家線上公務的模擬演練,還要透過虛擬桌面架構(VDI)的部署方式,提供各機關人員居家辦公使用,來彌補現有公務筆電數量的不足。更多內容
Redis 6大改版,增加了全新的RESP3協定
Redis之父Salvatore Sanfilippo宣布Redis 6正式版釋出,Sanfilippo認為Redis 6中最重要的更新,便是新的Redis協定RESP3,RESP3帶來了更豐富的功能,使得介面函式庫可以更好地映射主機語言中各類型的Redis回應,此外,新協定還為客戶端函式庫瘦身鋪路,最終將可讓用戶更快速地採用指令和模組。更多內容
今年第一季雲端服務支出成長37%
市場研究機構 Synergy Research Group今年第一季的調查顯示,全球各大組織在首季的雲端基礎設施服務支出達290億美元,比去年同期成長37%。
Synergy Research首席分析師John Dinsdale表示,儘管武漢肺炎重創了全球社群與經濟,但對雲端基礎設施服務市場卻帶來正面的助益;不可避免的,雲端供應商也因疫情而出現一些問題,但在這個不確定的時刻,公有雲卻是企業維持正常運作的避風港。更多內容
IDC下修全球IT支出將衰退5.1%
疫情爆發至今,IDC不斷修正對全球IT市場規模的預測,1月預估全球IT支出將正成長5.1%,但近日已修正為將大幅減少5.1%。整體而言,裝置支出是所有IT支出中衰退最多的,手機支出將從原本5G帶動支出的正成長,下修為負成長11.3%,PC及平板電腦則會下滑14.2%。更多內容
私募基金因BEC詐騙損失4千萬,僅半數追回
近年全球遭受BEC詐騙的事件仍不斷傳出,最近資安業者更是發現新趨勢,有駭客組織將目標鎖定常有大量資金轉移的私募基金。近日Check Point揭露一起實際案例,是英國私募基金遭騙110萬英鎊(約3,900萬元)。由於這起BEC詐騙案之前,已有某家中國創投遭攻擊者詐騙轉帳100萬美元。因此,他們提醒,不只是一般企業會受害,私募基金與創業投資也成為BEC詐騙攻擊的鎖定目標。更多內容
商家免用刷卡機,Visa在臺推出手機感應收款方案
圖片來源/Visa
為擴大信用卡、感應式行動支付消費場域,Visa在臺推出手機感應收款方案,讓商家不需租用或購買刷卡機,就能以手機接受信用卡或行動支付感應付款。Visa強調該方案具備和刷卡機相同的交易安全,包括符合EMV晶片交易標準,買賣雙方的交易以多層資安防護,提供和傳統裝置相同的動態安全性。更多內容
開發者注意!Visual Studio Online改名了
圖片來源/微軟
為了要讓Visual Studio Online的名稱,更能體現不僅僅是在瀏覽器中執行的瀏覽器,而是能撰寫任意程式碼的雲端空間,微軟決定將Visual Studio Online改名為Visual Studio Codespaces,調降執行個體價格,新增更低階的執行個體。更多內容
Google開放Meet給所有帳號用戶免費使用
谷歌宣布從5月開始,將擴大開放Google Meet視訊會議平臺,任何人只要具備Google帳號,即可以工作或私人電子郵件信箱到meet.google.com註冊、或以專屬的Google Meet iOS或Android 版App,或從Gmail、Google 行事曆啟動Meet通訊。一般使用者還可享有企業和教育版本用戶相同的功能,像是簡單排程、螢幕共享、即時字幕及客製化版型,如加大的磚塊式介面。
免費版Meet一開始沒有使用時間限制,但從9月底開始就會限制最長60分鐘。更多內容
專家踢爆,小米用戶開啟無痕瀏覽依然會被追蹤
圖片來源/Andrew Tierney
安全研究人員Gabi Cirlig及Andrew Tierney調查指出,小米追蹤了手機用戶的各種行為,並把相關數據傳送到各地的伺服器上,甚至是用戶在無痕模式中的瀏覽行為也被追蹤。
Tierney測試了Google Play上的Mi Browser Pro與Mint Browser,這兩款源自小米的瀏覽器總計達到逾1,500萬次的下載,發現它們同樣也蒐集及傳輸了使用者的瀏覽資訊。即使沒有登入小米帳號,也啟用無痕瀏覽模式,手機所查詢的字串與造訪的網址資料,也會被紀錄追蹤。更多內容
Build 2020線上版開放報名,全程免費參加
因武漢肺炎疫情改為線上形式的Build開發者大會2020,將從太平洋時間5月19日早上,一連舉行到5月21日早上(臺灣時間為5月19日晚上,到5月21日晚上)。過往Build 的報名費用為2,395美元,但今年完全免費,報完名後即可參與所有場次。更多內容
培養下一代資安人才,英國虛擬網路學校上線
很早就推動青少年資安課程的英國政府,今年也因應疫情,打造虛擬網路學校,採用了資安人才培訓機構SANS Institute提供的CyberStart Game,這是一個互動式的遊戲教學平臺,提供超過200種基於遊戲情境的網路安全挑戰,於遊戲中教導使用者如何破解程式、找到安全漏洞,以及追蹤駭客的數位足跡,扮演英國資安情報人員的角色。更多內容
印度全面強制企業員工安裝COVID-19接觸追蹤程式
圖片來源/National Payments Corporation of India
Aarogya Setu是印度政府針對疫情控管所打造的行動程式,透過藍牙與GPS來判斷使用者是否曾與確診武漢肺炎的病患近距離接觸,也可用來偵測使用者是否身處高風險感染區,最初供民眾自願下載,現在成為強制命令。
然而媒體卻發現,Aarogya Setu會要求存取用戶通訊錄,隨時隨地都在追蹤使用者位置,允許使用者隨時確認周圍有沒有高風險對象,除了侵犯他人隱私,提高裝置耗電量之外,也替駭客開啟了大門,例如窺探、攻擊或傳送垃圾訊息等。更多內容
三星 WiFi 室內定位
誤差一公尺以下!三星AI開發室內精準Wi-Fi定位方法FiDo
三星AI研究院日前發表一套室內精準定位系統FiDo,利用室內Wi-Fi訊號和AI演算法,來精準定位使用者的即時動態,誤差可至一公尺以下。研究團隊表示,該技術可用於智慧居家照護,比如跌倒偵測或輔助現有智慧家庭裝置。
進一步來說,現有Wi-Fi定位系統可分為兩種,一是根據裝置訊號來定位,另一種是無裝置定位,也就是根據人體移動對Wi-Fi訊號造成的干擾,來描繪出移動路徑。雖然無裝置定位受到青睞,但卻容易發生定位不一致的問題,特別是在室內多人的情況下。
為此,團隊開發一套演算法來輔助FiDo,這套演算法可在非監督情況下學習新輸入值,為不同人產生可靠的定位資訊。在整個FiDo系統中,資料增強器會先根據收集到的Wi-Fi定位軌跡,來合成更多不同的軌跡,再由變異自動編碼器來找出統計特徵值。這個方法,可根據一、兩位使用者產生的軌跡,再創造出一群虛擬使用者軌跡,讓系統能更精準定位新進的使用者。此外,FiDo還有一個領域適應分類器,可以預測不同領域的位置,不論是經標註的使用者資料還是新進、未標註的資料,都可以預測。經測試,FiDo比現有的進階定位系統都還要精準,召回率和精準度分別達到84.6%、85%。(詳全文)
LinkedIn 面試問題 自動生成
LinkedIn發表面試問題產生器,要助HR快速找對人
LinkedIn發表一套AI工具Job2Questions,可根據職務內容來自動產生面試問題,以進行第一波篩選。LinkedIn在一項調查中發現,企業以電話初步篩選求職者時,通常有70%會漏掉申請人與職務的基本資格。而近日受武漢肺炎(COVID-19)影響,不少企業表達願意透過AI,來完成面試的初步篩選。
為此,LinkedIn開發這套工具,可根據職缺說明,產生高度相關的問題。進一步來說,Job2Questions會將職缺說明拆解為句子,然後轉換為問題樣板與可能的回答(也就是變數),比如「是否取得xx等級的學歷」和「學士」。再來,系統會將這些句子歸類至人資專家設計的樣板,並利用連結系統來偵測回答。之後,Job2Questions還有一套網路,來進行文字的語意分析,最後再由排名模型,從中挑出最佳問題。
為驗證模型,LinkedIn也進行兩周實驗,發現只有18.67%未正確回答AI生成問題的受試者,被HR專家評為合適人選。團隊指出,該工具的最大價值,在於能找出求職者履歷中未填的關鍵資訊。(詳全文)
三軍總醫院 視訊診療 語音轉文字
三總藉助視訊導診,還有AI語音轉文字自動紀錄病歷
在武漢肺炎(COVID-19)期間,為避免不必要的接觸,三軍總醫院打造視訊診療服務,讓患者不必到醫院,也能享有看診服務。該服務不需下載App,患者透過原本的掛號系統,就能接收醫院發送的視訊連結,與醫生互動。在該視訊診療平臺上,醫生也可查看患者的相關檢驗紀錄和居家監測數據。
此外,該系統結合AI語意分析,可同步將醫病的主訴紀錄,自動轉換為文字病歷,儲存至看診平臺。未來,三總也計畫串接影像線上說明,讓患者透過影像說明更了解自己的影像檢測結果。
IT異常事件 OpenShift IBM
IBM推出IT異常事件檢測工具,要助CIO掌控企業IT動態
IBM日前在年度大會上推出企業IT異常事件檢測工具Watson AIOps,鎖定基礎架構層,不僅能自動即時檢測IT異常事件,還可以診斷和回應,避免意外故障和業務中斷。IBM指出,Watson AIOps可在混合雲環境中執行,也支援新版紅帽OpenShift平臺,以及企業協同工作平臺Slack和Box等。
Slack執行長暨聯合創始人Stewart Butterfield就舉例,Slack結合Watson AIOps後,可促進IT維運人員協同合作,直接對異常事件提出解決辦法。另一方面,IBM這套工具也能與傳統IT監控解決方案商整合,比如Mattermost、ServiceNow。(詳全文)
R 導入字串 程式語言
R 4.0.0來了!導入字串將不再預設為類別變數
資料科學熱門語言R推出最新版本4.0.0,除了修復不少臭蟲,還有許多重大更新,甚至可能影響R計算結果,因此在執行舊版本撰寫的腳本時,還需先驗證,也要重新安裝套件。
新版最重要的更新,就是導入的字串資料,不再被預設轉換成類別變數(Factor)。舊版stringsAsFactors的選項會預設為True,因此導入的字串資料會被轉換成Factor物件,但在新版中,stringsAsFactors的預設則是FALSE。其他更新,還包括新增用來指定原始字符字串的新語法,比如類似C++的表示法r"(...)";此外,新版強化了參照計數系統,R能盡量收回記憶體,減少R整體記憶體使用量。(詳全文)
Cloud 臉書 聊天機器人 Blender
臉書開源94億個參數的強大聊天機器人Blender
臉書AI團隊日前開源一款聊天機器人Blender,號稱是全球最大的開放領域聊天機器人,不僅採用94億個參數,還能在14輪的自然對話中,發揮個性、知識與同情。團隊指出,這是全球第一個,可學習融入不同對話技巧的聊天機器人。
經人類評鑑,Blender在交流的能力上凌駕既有最大系統Meena,也更人性化。雖然如此,臉書也坦承現在的版本,仍與人類級的對話有所差距,比如出現矛盾、重複等問題,未來將透過調整架構、損失函數,來改善對話品質。此外,開發者也可透過臉書的對話研究平臺ParlAI取得Blender,來微調或執行各種評估。(詳全文)
Google 表格資料 自然語言
表格查詢更簡單!Google開源可以自然語言查詢表格的新方法TAPAS
Google利用自家自然語言處理技術BERT,開發出可處理表格資料結構、回答表格內容查詢的新方法TAPAS。TAPAS不只能處理單一表格類型,還能應用到廣泛領域的表格。
Google指出,許多資訊以表格的形式儲存,但要以自然語言查詢,須先把自然語言問題轉換成SQL查詢,這種方法有許多限制,如只能處理特定表格,難以擴展。因此,Google著手處理查詢問題的方法,利用BERT開發出可將問題和表格內容逐行編碼的模型。為進行預訓練,團隊從英文維基百科中,擷取了620萬個表格文字配對,讓模型學習恢復表格或是文字中,遭移除的單字。之後,團隊利用弱監督方法微調。經測試發現,TAPAS在SQA資料集中的表現,比高階模型(SOTA)高了12.1分。(詳全文)
TensorFlow 機器學習 Runtime
TensorFlow推出新Runtime,要來支援運算需求
Google推出TensorFlow RunTime(TFRT),能大幅提升推理速度、簡化TensorFlow堆疊。雖然TFRT還在初期階段,但已整合至TensorFlow專案中,開發者可選擇啟用,未來則會成為預設Runtime。
Google指出,TensorFlow五年前出現時,是要簡化在不同裝置上,建置和部署機器學習模型的過程。但目前,機器學習生態系已大有不同,計算需求大幅增加。這次推出的TFRT,具備可擴展性和模組化特性,其平均GPU預測時間比舊式Runtime快上28%,能改善機器學習應用的效能,或是讓硬體製造商以模組形式,將TensorFlow整合進邊緣裝置和資料中心。(詳全文)
圖片來源/Samsung AI、LinkedIn、三軍總醫院、IBM、Google、TensorFlow
AI趨勢近期新聞
1. OpenAI發布可自創歌曲的機器學習框架Jukebox
2. Google推出用於可方便探索武漢肺炎科學文獻的工具
資料來源:iThome整理,2020年5月
自從去年10月底,微軟以黑馬之姿擠下Amazon,取得美國國防部100億美元的《聯合企業防禦基礎設施》(Joint Enterprise Defense Infrastructure,JEDI)合約之後,Amazon的抗議聲浪便從未停過,而得標的微軟,也不遺餘力地捍衛自己的成功,上周末,雙方再度公開叫陣,導火線是Amazon上周再度就此案直接向國防部提出抗議。
Amazon先在去年11月向索賠法院抗議JEDI的標案不公,指稱是因為美國總統川普(Donald Trump)向國防部施壓,才使得Amazon敗陣;美國在今年2月祭出了臨時禁令,暫停國防部與微軟執行JEDI合約;但4月國防部內部的獨立督察辦公室的調查則顯示,該案完全符合正當的競標及審核程序,也未受到白宮的介入與干預。
不過,上周微軟收到通知,指出Amazon又就JEDI一案直接向國防部提出抗議,微軟企業副總裁Frank Shaw指出,微軟並不知道此一被列為機密的抗議內容為何,但若與Amazon在法院上的說法類似,那麼就是Amazon希望可以重新投標。
Shaw抨擊,Amazon既不滿意督察辦公室的報告或法院禁令,也拒絕讓國防部解決法院的疑慮,顯然的,Amazon唯一想要的就是整個重來,還不斷以政治干預為幌子,但Amazon明明是因出價太高才落敗,而且現在該公司已經知道微軟所提出的價格。
在微軟的文章曝光後,Amazon很快就反擊。指出國防部所評估的六個科技面向都有重大瑕疵,法官只看了第一個就暫停了JEDI,而國防部也只解決了這個問題,這才是該公司抗議之處,同時法院也允許Amazon繼續尋求公正的審查。
Amazon除了依然堅持JEDI一案是受到政治干預及懲罰之外,也批評微軟看似正氣澟然,但其實是在裝腔作勢,因為任何客觀及知識淵博的人,都不會相信微軟能夠提供更好的服務。
根據BleepingComputer與ZDNet的報導,近來有一個名為Shiny Hunters的駭客集團,在暗網中狂賣11家遭駭企業的用戶資料,大約涉及了1.6億名使用者,其中,最大宗的是印尼最大的電子商務網站Tokopedia,9,100萬筆的用戶資料叫價5千美元。此外,駭客也宣稱他們取得了微軟的GitHub帳號,而微軟則正在調查中。
除了Tokopedia之外,遭殃的還有線上約會程式Zoosk(3,000萬用戶)、照片列印服務ChatBooks(1,500萬用戶)、食物快遞服務Homechef(800萬用戶)、南韓時尚平臺SocialShare(600萬用戶)、線上市集Minted(500萬用戶)、《高等教育紀事報》(The Chronicle of Higher Education)的300萬用戶、南韓家俱雜誌 GGuMim(200萬用戶)、健康雜誌Mindful(200萬用戶)、印尼線上商店Bhinneka(120萬用戶),以及美國報紙StarTribune(100萬用戶)。
駭客把不同平臺的用戶資料庫分開出售,售價從500美元到5千美元不等。
BleepingComputer與ZDNet驗證了駭客所公布的部份資料,發現它們是真實的,且其中的Chatbooks已對外坦承受到駭客入侵。Chatbooks表示,該公司系統是在3月26日被攻陷,駭客盜走了使用者的登入資訊,包括名字、電子郵件帳號,以及加鹽的雜湊密碼,雖然密碼並非以明文存放,但Chatbooks還是建議使用者變更登入密碼。
此外,Shiny Hunters還宣稱他們取得了微軟的GitHub帳號,並秀出了微軟私有的原始碼儲存庫,內含500GB的微軟產品原始碼,包括Azure、Office,以及一些Windows運行文件或APIs,而微軟正在調查中,尚未證實此事。
由於受到疫情的影響,今年的「黑帽」(Black Hat)大會與Def Con從親自參與變成遠端了,但時間不變,一樣是8月1日到6日屬於黑帽,8月7日至9月屬於Def Con。
黑帽表示,過去幾個月他們一直在研究該如何提供最好的服務予資安社群,由於無法親自聚會,因而決定把黑帽會議變成全虛擬的活動,而且全球的社群都能參加,目前該團隊正在致力於打造同樣品質的簡報、訓練與商業大會。
至於通常與黑帽如影隨形的Def Con,也宣布今年將改採「安全模式」(Safe Mode wiht Networking),不再有實體聚會,而是透過網路展開活動,屆時將會啟用https://discord.io/dc伺服器,以讓所有人都能加入,儘管像是音樂會或資安攻防賽等活動會被取消,但Def Con正在設計線上版的神秘挑戰,也會舉行遠端的電影之夜與醉酒派對。
武漢肺炎疫情雖然出現降溫跡象,但是由於美國各州仍未放鬆社交距離的管制。為此Google、臉書、微軟、Amazon等矽谷科技業者上周相繼宣布,允許員工在家上班期間延到2020年第4季。
路透社報導,臉書允許員工在家上班直到今年年底,而臉書各地辦公室也將關閉到7月6日。
此外, 彭博新聞也引述消息人士報導,Google及Alphabet執行長Sundar Pichai周四發布內部公開信,大部份員工將遠端工作直到10月,甚至到今年年底。而兩星期前Pichai也在內部信件指出,部份辦公室會在6月開門營運,不過能到公司上班的員工將緩慢增加到整體的10%到15%,之後則視各地分公司狀況來決定。但總體而言,大多數員工要到10月才能回到公司上班。報導指出,目前仍留在Google辦公室上班的員工僅5%。
Google也證實,大部份員工預計要到2021年才會回到公司上班。Google目前全球有超過10萬員工及數萬名的約聘員工。
電商大廠Amazon於3月即要求西雅圖及Bellavue兩分公司員工在家上班,現在這項措施會延到10月2日。
總部位於西雅圖的微軟,則因應華盛頓州政府延長封鎖令,原本允許員工遠距上班直到5月31日,上周證實已更新措施,允許全球員工若非必要,可在家上班到今年10月。
蘋果則尚未公布最新員工恢復到公司上班的時間表。蘋果表示,照顧員工健康是該公司第一要務。
Geekwire引述人力分析業者Global Workplace Analytics的說法,武漢肺炎已經永遠改變了美國科技公司的工作型態,估計有2500到3000萬名員工,未來2年將不時透過遠距協同平臺在家上班。
研究人員發現,三星手機含有重大遠端程式碼執行(RCE)漏洞,三星上周釋出安全更新,呼籲使用者儘速安裝。
這項漏洞是由Google抓蟲小組Project Zero 研究人員Mateusz Jurczyk 發現。他發現三星手機中由第三方廠商Quramsoft開發的Qmage格式的codec中,存在記憶體覆寫(memory overwrite)漏洞,可讓駭客由外部傳送包含圖片的訊息,造成記憶體毁損,並取得App執行權限,或遠端執行惡意程式碼。
而該漏洞之所以讓三星Android手機曝露在風險中,是因為Android將所有影像都悄悄傳到Skia函式庫處理,像是產生預覽圖示。研究人員相信這個特性,加上Qmage的漏洞,形成Android上無需互動(即零點擊)的遠端攻擊面。
根據Jurczyk 測試,Samsung Messages App可以在不用任何用戶點擊動作下,處理外面傳入的MMS訊息,這讓駭客有機會開採這項漏洞,成功讀取手機通話紀錄、聯絡人、儲存、簡訊等。理論上,受害者只要手機預覽通知訊息,就會攻擊。
從2014年(Android 4.4.4)的Galaxy 8、到今年推出的(Android 10.0)Galaxy Note 10+的三星智慧型手機,都受到這個漏洞影響。該漏洞被列為重大風險,所幸根據研究人員以MMS訊息進行測試,攻擊者必須傳送50到300則訊息,平均約花上100分鐘,才能完成攻擊。
在一月接獲Google通知後,三星已在日前發布更新程式,完成包含本漏洞及其他8個重大風險,及20多個重要風險漏洞的修補,也呼籲用戶更新軟體。
Google Project Zero也在本月初公布iOS存在類似的零點擊攻擊漏洞。在Google通知下,蘋果已提早完成修補。
為了防止「全部回覆風暴」(Reply-All Storm),微軟宣布為全球Office 365加入防止全部回覆郵件災難的功能。
所謂「全部回覆風暴」是源自於1997年,發生在微軟自家人的事件。當時微軟員工發現自己被加到一個名為「Bedlam DL3」的郵件群組中,這個群組有2.5萬人。有人收到信後不要再收到信,於是按下「全部回覆(reply all)」的功能,在主旨在寫道:「請將我從這個群組名單中刪除」,其他人收到信後也按下「全部回覆」響應,最後有1.3萬人加入了這場混戰。大約1小時左右,微軟Exchanger Server上總共傳送了1,560萬封信,耗用頻寬195 Gigabytes。微軟內部將此事件稱為Bedlam DL3事件。而即使到了最近, GitHub及微軟都還曾發生過規模較小的類似事件。
現今商業郵件附檔愈來愈大,將使全部回覆風暴造成更大災難。動輒數百、上千人的公司信件內,只要有一部份人按了全部回覆(reply-all),即可能塞爆公司網路或導致郵件伺服器當掉。
為解決這個問題,去年微軟在Office 365上首度加入「全部回覆風暴防護」(Reply-All Storm Protection)的功能,微軟若偵測到有該情形發生,即會暫停郵件散布,並向回覆信件者發送回彈訊息(bounce message)告知此事。
在最近的宣布下,微軟將把這項功能推向全球Office 365用戶。Office 365如果偵測到60分鐘內有10筆使用「全部回覆」,收信者超過5千人的回覆信件,就會暫停發送信件達4小時。原始回信者會收到自動發送的回彈信件,告知因為太多人導致系統忙碌中,並建議使用者不要重送信件,或是改回覆給人數較少的群組。
微軟表示,「全部回覆風暴防護」第一版在微軟內部測試後,可有效減少全部回覆信件的問題,也會再透過蒐集Windows遙感訊息(telemetry)及用戶意見,以微調功能。
微軟更新VS Code釋出1.45版本,這個版本整合了GitHub Issues,讓開發者可以方便地從VS Code同時管理拉取請求以及問題,另外,也改善了VS Code的可存取性以及操作性,並提升程式語言上色標示的效能。
由於在VS Code團隊內部,大量地使用GitHub Issues追蹤各種開發工作,不論是詳細的迭代計畫或是單一個錯誤,都會在GitHub Issues中以問題進行追蹤,因此在這個版本,團隊把GitHub Issues整合進VS Code中,用來補充之前GitHub Pull Requests的功能,這個新功能以GitHub Pull Requests and Issues擴充套件發布,取代原本的GitHub Pull Requests。
微軟會直接將GitHub Pull Requests和Issues放在同一個擴充套件中,官方解釋是因為問題以及拉取請求,在大部分的情況都是並存的,因此兩者使用相同的GitHub API,是一個符合邏輯的設計。微軟強調,他們不想要把GitHub的功能直接放進VS Code編輯器核心中,是因為其中有許多原始碼控制選項,所以他們選擇當系統偵測到開發者的開發儲存庫使用GitHub,才會推薦使用該GitHub擴充套件,由於整合GitHub使用擴充API,因此其他儲存庫也能夠利用相似的方式,提供類似的實作。
GitHub Pull Requests and Issues擴充套件並不提供具體的工作流程,而是以靈活的方式,將問題納入到內部開發循環中,開發者不需要跳出編輯器,只要將游標懸停在問題上,就能取得參照的問題以及提及的用戶,而且該擴充套件還提供問題和使用者的內聯完成建議,並且讓開發者在Issues檢視列表使用自定義的查詢等。
VS Code現在也會對GitHub儲存庫自動進行身份驗證,開發者不需要在系統中設定憑證管理器,就可以在公共儲存庫和私有儲存庫中進行複製、提取、和推送,甚至呼叫Git命令也整合在終端裡,系統會自動依GitHub帳戶進行身份驗證。
除了與GitHub功能的整合,VS Code 1.45的可用性也獲得改善,增加了一些方便的操作,像是利用滑鼠滾輪快速切換不同檔案頁籤,而且當焦點切換到狀態列,則螢幕閱讀器便能朗讀出狀態內容。另外,現在程式語言程式碼上色標示,也比之前快了3倍,由於在VS Code中,文法重點顯示是由Text Mate文法執行,微軟提到,他們撰寫了一個專用的WebAssembly繫結來最佳化TextMate直譯器,能以3倍效能處理一般程式開發檔案中的文字上色。
駭客論壇Raidsforum在5月9日發布了一則67萬筆臺灣民眾個資兜售的公告,從畫面截圖可看出至少有姓名、帳號、密碼、生日、地址等欄位。一名資安專家向我們通報,表示這批外洩個資是臺灣知名連鎖餐飲業者饗食天堂(母公司饗賓餐飲)在2011年~2016年的會員資訊。我們也在5月11日上午10點半向饗食天堂母公司饗賓餐飲查證,饗賓餐飲當時才得知3年前疑遭盜的舊資料重新被上網兜售的消息,不過,這批舊帳密早在2017年隨網站改版,已全數移除而失效,但饗賓餐飲今天仍緊急發公告通知顧客,表示他們先自己換密碼,後續也計畫採取強制重設密碼等對策,來降低風險。
饗賓餐飲集團是連鎖餐飲集團,旗下包括:饗食天堂、開飯川食堂、果然匯、饗泰多、朵頤牛排及饗饗等。饗賓餐飲資訊部經理吳忠諺表示,該公司在2017年曾經發生網站詐騙事件,在該資安事件後,重新架設了現行的官網和訂位系統。吳忠諺指出,該公司每年都針對OWAPS Top 10進行網站滲透測試,因應當時發生的舊會員外洩個資在駭客論壇販售事件,而目前為了確保會員權益,會先在網站以文字提示,建議會員儘速更新密碼,也會和合作的委外業者商量,透過系統性的處理方式,要求會員強制重設密碼,並強化後續相關的資安措施。
不具名資安專家指出,外洩的67萬筆舊個資中,因為包含了帳號、密碼、手機、生日等完整資訊,他建議,應該立即強制會員更新密碼,提供雙因素認證等具較高安全性的登入方式,以確保使用者登入網站時的安全性。
饗食天堂外洩舊個資完整性高,70元就可以買到67萬筆舊資料
對於饗食天堂在2017年6月曾爆發訂位網站出現詐騙事件,吳忠諺表示,當年除跟警局和165防詐騙專線報案外,也重新打造新的網站和訂位系統,斥資200萬元,於2017年11月上線,所有會員則是全部重新註冊。
他說,當年警局並無法查到網站會員資料是如何外洩,這起案件迄今仍未結案,相關調查員警也都還定期和饗賓餐飲聯繫,希望能夠有其他的新事證可以破案。
而5月9日的個資兜售公告事件當中,不具名資安專家表示,這個Raidsforum駭客論壇是個資販售的最下游,在上面販售的個資往往已經是在暗網販售後,希望可以發揮剩餘價值的最後節點。從這一批販售的外洩饗食天堂舊會員個資中,有「最後登入時間」的欄位發現,這應該是2011年~2016年的舊個資。該名不具名資安專家表示,以目前網站販售價格為例,大概只要70元,就可以買到饗食天堂67萬筆舊會員個資。
為了以昭公信,販售個資的駭客也釋出部分測試資料,第一筆就是饗賓餐飲總監陳涵菁的資料,包括姓名、暱稱、姓名、生日、電子信箱、MD5密碼、手機號碼、地址,甚至包括最後登入日期和最後登入IP位址都有,資料完整性非常高。
外洩密碼採MD5加密方式,駭客已經破解出舊會員密碼
根據通報的資安專家對於這批外洩個資資料欄位的觀察,當年饗食天堂外洩舊個資中的密碼,雖然已經進行加密,但是採用加密等級較低的MD5雜湊函數,由於MD5早在1996年就被證實存在弱點,在2004年就也被證實MD5演算法無法防止碰撞(collision),所以,已經確定並不適用於各種安全性認證。
因為MD5演算法即便加密都如同明碼一般,該名資安專家指出,目前多會建議要使用各種加密服務的業者,可以採用加鹽(SALT)或者是SHA256等較嚴謹的加密演算法,以提供較高安全性各種安全性服務。
從此次駭客論壇外洩資料來看,MD5的密碼都已經被駭客集團完整比對出明碼密碼,付款取得該份個資的駭客可以透過資訊拼圖方式,使用現成的帳號、密碼、電子信箱,以及手機等相關資料,嘗試登入其他各大網站。
而且,舊個資外洩仍有殺傷力,因為許多網站使用者為了避免忘記密碼,會使用慣用密碼,該名資安專家指出,即便饗食天堂重新打造新的網站和訂位系統,並要求會員重新註冊,也很難阻止用戶繼續沿用舊密碼。
就使用效力而言,該名資安專家也針對這批外洩個資進行隨機登入實測,他發現,外洩資料上仍有帳號、密碼,以及電話號碼,能夠用來登入新網站。
確保網站會員個資安全性,將要求會員儘速更新密碼
為了提高網站的安全性,不具名資安專家建議,像是網站常見的「忘記密碼」的服務,應該是重新設置新密碼,而不是寄送舊密碼;其他也可以針對強化網站會員使用上的安全性,提供像是登入通知、簡訊密碼(雙因素認證)等,讓網站使用者更能留意自身登入網站時的安全性;至於其他資安防護上,資安專家也表示,像是新增類似WAF資安設備防護外,包括定期的滲透測試、紅隊演練等,也都是可以提高網站安全性的方式。
吳忠諺表示,確保饗食天堂網站會員個資安全性是當務之急,但因為該公司的網站和訂位系統是透過委外廠商協助建置,第一時間會在網站以文字跑馬燈方式,要求會員儘速變更密碼;但是否可以針對所有會員,由系統發送個別的密碼重設連結,並且禁用所有的舊密碼,他也承諾,將會在最短時間內要求委外廠商協助,進行網站會員密碼重設。
曾在2018年全球三大電腦視覺會議CVPR的偽人臉辨識競賽中,帶領臺大團隊奪冠的臺大資工系教授徐宏民,今日與科技部共同發表全球首創可解釋性人臉辨識技術,稱為xCos(Explainable Cosine)模組,率先將可解釋性AI(Explainable AI,XAI)技術應用在人臉辨識領域中。而且,徐宏民團隊更將這個技術開源釋出,提供國內外產學研單位使用,除了在臉辨領域產品化,讓不同臉辨AI模型可以結合xCos來解釋決策原因,團隊也正試著與其他領域的AI模型結合,比如金融借貸信評、醫療影像辨識、能源節電預測模型等。
徐宏民表示,當初團隊會注意到臉辨XAI的議題,是在與幾家軟硬體公司合作開發臉辨產品時,在深度學習模型的設計過程,發現某些AI辨識結果與人為直覺判斷的結果不同,使團隊開始在意,AI的決策依據是什麼?為了解決這個問題,團隊費時一年多開發了xCos模組,來解釋兩張人臉比對後,AI判斷為同一人或是不同人的決策原因。
由於一般人在比對兩張圖是否為同一張時,會直覺的比較五官差異,以部位的相似度為判斷依據,因此,團隊開發的xCos模組也提供符合人類直覺的判讀方法,透過擷取兩張影像的特徵值來生成兩張圖,一張為格狀餘弦相似度圖(Patched Cosine Map),以顏色深淺來呈現圖像相似或不相似之處,另一張是注意力圖(Attention Map),同樣以顏色深淺來呈現哪些部位是影響決策的關鍵。接著,再將兩個結果進行矩陣運算,來得到最後的相似度分數(xCos)。
團隊開發的xCos模組可生成兩張圖,來輔助人解釋AI決策的依據。
舉例來說,以下圖這張網球運動員Roger Federer的照片為例,左邊的格狀餘弦相似度圖中,藍色越深代表兩張圖片越相近的位置,粉色越深則代表越不相近的位置,可以明顯發現,頭髮位置受裝扮影響為全圖最不相似之處。而在右邊的注意力圖中,則是透過綠色的深淺,代表影響AI判斷的重要程度,這張圖中,不難發現AI是以鼻梁及臉部下半部作為判斷依據。透過這種圖像化的解釋方式,就能進一步指出兩張人像的差異點與相似點,以及AI根據哪些特徵來做判斷。
左邊的格狀餘弦相似度圖中,藍色越深代表兩張圖片越相近,粉色越深則代表越不相近之處;而右邊的注意力圖中,則是透過綠色的深淺,代表影響AI判斷的重要程度。
而且,在AI模型中嵌入xCos模組,不只可以用來解釋AI決策原因,徐宏民更指出,透過xCos算出的相似度分數,甚至能比原先的AI預測結果更準確。同時,藉由xCos的可解釋性,還能讓其他人在開發AI臉辨模型過程中,能更直觀的驗證演算法的決策是否正確,換句話說,「xCos可以幫助人臉辨識技術的開發。」
xCos模組的另一個優勢,則是能自動辨識人臉不自然的表面,聚焦在其他可辨識的人臉部位上,來提高偽臉辨識的準確率。徐宏民解釋,這是因為一般的人臉辨識,是提取整個臉部的特徵值來進行比對,一旦遇到口罩、眼鏡等遮蔽臉部部位的情況,就很容易因比對結果差距太大而無法驗證通過。但xCos會自動學習並調整提取特徵值的部位,比如說,判斷出未被口罩遮蔽的部位來進行比對,達到偽裝人臉辨識的效果。
不管是戴假髮或眼鏡,xCos模組可以自動判斷並調整提取特徵值的部位,來提高偽臉辨識的準確率。
徐宏民也指出,相對於XAI較知名的LIME技術,xCos模組是為深度學習模型所設計的XAI技術。LIME是透過干擾一筆訓練資料中的局部特徵(features),來觀察是否會影響預測結果,藉此判斷訓練資料中的哪些特徵,對於模型決策有更關鍵的作用。不過,現在深度學習模型中的參數,動輒上千、上萬、甚至上億個,要調整大量參數才能找出影響結果的關鍵特徵,「在現實的深度學習是不可行的,因為你要調的東西太多了,LIME用來解釋小模型比較容易。」
且在LIME技術中,雖然可以找出圖片中的哪些特徵對於預測結果更重要,但為什麼相似度是75%,不是85%、95%?LIME無法解釋。不過,徐宏民說,透過xCos模組的矩陣運算過程,能呈現信心值如何被計算出來,更適合用於深度學習模型。
目前,xCos模組已在GitHub開源釋出,提供國內外產學研單位使用,已經在人臉辨識實作出可用的模組版本,能嵌入不同臉辨AI模型中,來解釋不同模型決策的原因。同時,徐宏民的團隊也正試著將這個可解釋AI模組應用到其他領域,包括金融領域的借貸信評模型、醫療領域的肝癌影像辨識模型、能源領域的節電預測模型等,但因資料類型不同、解釋方式也需要調整,團隊也還在嘗試xCos模組能否成功擴大應用。
實際Demo,透過左邊的攝影機拍照後,可以立即與資料庫比對出身份,並呈現相似之處與判斷依據。圖以科技部部長陳良基為例,在戴假髮與口罩的情況下,還能成功辨識。
自2012年深度學習大放異彩以來,AI席捲各產業,許多國家紛紛推動AI教育,身為臺灣AI School計畫的核心學校臺北科技大學,今(11日)宣布聯手西門子和中正高中,要融合自己的AI教學知識和西門子的產業經驗與軟、硬體技術,先為中正高中設計AI專班課程,作為高中AI學程的模範,之後再為加入北科大AI School計畫的高中,提供籌備經驗和AI教育諮詢服務。
北科大藉AI教育經驗,成為教育部AI School計畫北區核心學校
北科大校長王錫福指出,為推動國際化AI教育,北科大在去年就與美國辛辛那提大學(UC)合作,成立智慧感測與應用國際學程,除了有國外講師來臺教學,還利用暑假安排學生赴美,學習AI並至工廠動手實習。今年,北科大也攜手美國德州大學阿靈頓分校(UTA),推出AI大數據雙碩士學位,同樣由UTA教授來臺授課。
不只如此,「今年底,我們還要成立智慧感測技術研究院,透過設置AI中心,來整合國外大學資源如加州大學柏克萊分校、賓州大學、UTA和UC等,來發展AI創新研究,」比如智慧物聯網、雲霧整合、數據分析,甚至還包括智慧城市、農業、醫療和自駕車等領域。
但是,這些努力都只針對大學生。王錫福認為,AI教育應往下紮根,而北科大也憑藉AI教育推廣經驗,得到教育部AI School計畫支持,成為北部計畫的核心學校,結合北區12所大學來訓練師資、設計課程,共同推動AI教育。
北科大電資學院院長黃育賢指出,為打好基礎,北科大也購買了Nvidia硬體設備和微軟Azure平臺服務,要給學生好的設備來實作。在課程規畫上,北科大也揭露了一套作法。
北科大電機系教授蘇益生指出,為中正高中設計的AI教學課程,主要可分為5大部分:AI概論、Python程式設計入門、機器學習概論、推薦系統與深度學習,以及深度學習TensorFlow實作。
其中,在深度學習部分,除了涵蓋深度神經網路(如卷積網路)的基礎知識,還會以推薦系統為例子,講解推薦系統基礎架構、基於深度學習的推薦模型,以及推薦系統的架構設計等。
而最後的深度學習實作,則包括了電腦視覺、自然語言處理和醫療影像的辨識等領域。
以中正高中AI學程專班為範本,進一步推廣AI教育
另一方面,參與AI School計畫的中正高中,在去年就已開始推動AI學程專班。現場,該專班的學生也展示了一臺機器人(如下圖),內建基於Google BERT、自行開發的語音辨識系統,可辨識基本的天氣、地點和翻譯相關語句,未來將擴大訓練資料。
而中正高中今年AI專班的課程,將以北科大規畫的藍圖為主,還會結合北科大師資和西門子產業經驗,不僅有西門子的業師來上課,還會提供西門子軟、硬體資源,讓學生操作。
在實作部分,西門子臺灣總經理Tino Hildebrand舉例,西門子也將開放臺中智慧製造的工廠,讓學生實務操作。而西門子提供的資源,「學生不必付額外的費用。」對於師資培訓,西門子也將提供AI教師訓練輔導。
這樣的合作模式,也將共享給AI School計畫中的其他學校,作為參考。
最後,臺北市副市長蔡炳坤也指出,這次合作,也是臺北市推動AI教育的一環。臺北市將AI教育目標鎖定在校園智慧化和資訊教育,其中,校園智慧化包括了網路、平板、觸控螢幕和酷課雲的推動,而資訊教育則包括了程式教育、自造教育,以及3A(AI、AR和VR)。
他解釋,程式教育著重於小學和中學的程式知識培養,目前也已正式納入課綱,「如今七、八成學校都已實行。」而自造教育著重於實作經驗,臺北市提供了10座自造教育中心,來讓學生利用積木、機具等教具來學習、實踐程式概念。
至於3A,臺北市近年也成立不少3A教學中心,目的是要普及AI教育。蔡炳坤指出,這次加入AI School計畫的學校,已逐步開設「微課程,」今年度開學後,還將進一步提供多元選修課程。除了選修,也有學校提供更專業的AI教育,比如中正高中開設AI學程專班。蔡炳坤認為,今日融合高中專班、大學師資和業界資源三方的教育合作,大幅推進了AI教育的進展。文◎王若樸
武漢肺炎(COVID-19)在全球大流行,各國為防堵疫情擴散,禁止或避免國際人士差旅,今年不少國際性大型會展也紛紛停辦或延期。每年在6月左右舉行的臺北國際電腦展(Computex)已延到9月底(9/28至9/30),不僅展覽天數由5天縮減為3天,展場縮減至臺北南港展覽館2館。近日傳出國際大廠將不會參展,Nvidia證實今年將會不參加實體Computex展覽,改以其他方式支持合作夥伴。
儘管臺灣在防疫方面,相對其他國家做得不錯,但因為疫情仍在國外延燒,而且這類大型國際展覽,相當仰賴國外廠商參展、國際買家來臺。不少大型國際展覽都停辦或延後,例如美國的E3電玩展,今年就決定取消展出。而每年為全球行動通訊重要展覽的MWC全球通訊大會,也因為多家廠商缺席,最終決定取消。預定9月舉行的東京電玩展,也宣布取消實體展覽。
近期傳出已延至9月底舉行的Computex將有變數,傳出英特爾、AMD、Nvidia等國際大廠,可能不會參加Computex實體展,部份的國內廠商也考慮不會參加,使得今年Computex可能因此失色不少。
對此,正密切關注疫情發展的Computex主辦單位之一外貿協會不願對外說明,三家大廠今年是否會缺席,但確實有些廠商參展意願不高,正和廠商溝通協商,改以其他方式合作,近期內確認後才會公布。
繪圖處理器大廠Nvidia則證實,今年因疫情影響,確實不會參加9月舉行Computex實體展,但會支持合作夥伴或以其他線上方式支援Computex。
Nvidia先前就考量到疫情影響,取消了今年3月下旬原訂於美國聖荷西舉行的GTC 2020,但是將原本實體的訓練課堂改為GTC Digital的線上課程、會議進行,開放免費註冊參加。而由創辦人兼執行長黃仁勳擔綱的GTC 2020開場演說,則預計在5月14日臺灣時間晚間9點以線上方式進行。
其他業者仍持觀望態度,英特爾(Intel)尚未對外公開表態是否參加,由於這次武漢肺炎在美國地區疫情最為嚴重,該公司基於健康第一、安全第一的管理原則,對今年是否參加Computex實體展沒有給予明確的答案。
對於武漢肺炎疫情,英特爾官方回應,公司的首要之務是保護員工的健康福祉,並繼續為全球客戶提供服務和支援。
AMD則指出未來將視疫情發展而定,目前尚距離9月還有一段時間,目前該公司對於參展與否還在觀望中。
而每年在Computex中都設有大型攤位展覽,聯合臺廠合作夥伴共同行銷,同時也參與大會主題演說的微軟,至截稿為止,尚未獲得回應。
儘管其他業者尚未明確表態,但Nvidia確實不參加今年Computex實體展覽,未來可能牽動其他國際大廠決定,為今年9月舉辦的Computex投下變數。
每年Computex可以說是國際性的大型科技會展,吸引國際大廠及國內業者參加展出,以去年為例,吸引超過4.2萬的國際買家來臺,促成臺灣產業的國際貿易,也是國內外廠商發表新產品、服務的全球科技舞臺之一。
CNBC報導,蘋果本周將恢復美國部分實體門市營運。
蘋果自3月關閉中國以外的所有Apple Store門市,當時只預計暫停營業2周,不過隨著疫情加劇而延長到5月初。上周蘋果官方指出,考量到部分地區疫情趨緩,本周預計重啟愛達荷、南卡羅萊納、阿拉馬巴和阿拉斯加4州的部分門市,蘋果會持續觀察各州當地疫情及政府指引,一旦認為安全就會重新開放。
不過開放的門市主要作為產品維修,而且為了保護員工和顧客,仍會實施安全措施,包括量測體溫、要求社交距離及強制戴口罩。蘋果指出,由於門市一段時間僅開放有限消費者進入,可能阻礙進門消費的速度,因此建議消費者儘量採線上下單到店取貨,或是全程網購。
蘋果美國有217家零售門市,海外則有510家。包含3月中已恢復營運的42家位於中國、台、港、澳地區門市。南韓、澳洲及德國門市,也在前幾周重新開張。
根據蘋果截至3月底的季度財報,iPhone營收衰退7%。在大部分零售門市關閉下,線上商店仍持續開放,蘋果執行長庫克(Tim Cook)宣稱線上商店營收亮眼(phenomenal),上個月推出的平價版iPhone SE2獲好評,可望在5G版本推出之前,維持消費者的買氣。
臉書對全球使用者部署了最新版本的網頁介面,並且公開最新的網頁設計堆疊,其使用聲明性JavaScript函式庫React,以及GraphQL用戶端Relay,來重新打造Facebook.com,達成可快速啟動以及提供更豐富使用者體驗的目的。
Facebook.com在2004年上線時,是一個伺服器渲染的PHP網站,但隨著時間的發展,加入許多新技術以及新功能,在疊床架屋的情況下,使得網站速度越來越慢,而且也難以加入新的功能,包括深色模式以及更多動態消息操作等使用者體驗。
臉書意識到現有技術堆疊已經無法支援他們想要的應用程式功能以及效能,因此才計畫以最新的瀏覽器技術,打造一個全新的網頁應用程式,臉書提到,整個打掉重練的例子很少,但是過去十年技術變化太大,他們必須整個重寫才能實現他們想要達成的效能目標,以及未來的功能發展。
新的臉書網頁其中一個重要的設計想法,便是只在需要的時刻,後端僅交付需要的資料,而這個想法也讓臉書可在初始渲染首頁時,減少80%的CSS,以及大幅減少初始JavaScript頁面渲染程式碼。
在舊的臉書網站,當載入首頁時,會需要載入超過400 KB的壓縮CSS,這些CSS在未壓縮時容量更高達2 MB,不過,這麼大的CSS檔案,在初始渲染時僅使用了10%,臉書提到,他們一開始也沒有這麼多CSS,是隨著時間發展一點一滴增加,而增加的原因部分是因為要增加新功能,就必須要添加新的CSS。
臉書解決這個問題的方法,是在建置時期產生原子CSS,原子CSS樣式只會以對數曲線成長,也就是說,相同的樣式宣告只會存在一份,因此總數量不會因開發團隊撰寫的功能數和重複樣式而增加,臉書將整個網站產生的原子CSS,組合成一個單一的小型共享樣式表,讓新首頁下載CSS的量不到舊網站的20%,而且網站也能支援深色模式和動態字體大小,並且提高了圖像渲染效能。
而且臉書還透過拆分JavaScript以提高網頁的效能,臉書提到,程式碼的大小是JavaScript單頁面應用程式效能最重要的考量點,因為JavaScript的大小會嚴重影響頁面載入的效能,所以臉書利用增量程式碼下載來解決這個問題,當使用者在等待頁面載入時,臉書會先呈現頁面的使用者介面骨架,立即讓使用者感受到回饋。
臉書提到,因為框架需要的資源最少,因此當把所有程式碼都打包在一起,便無法提早渲染框架,因此臉書根據頁面顯示順序,將程式碼拆分成多個程式包,但臉書表示,直接這麼做無法提升效能,反而會傷害效能,重點在於他們使用靜態可分析的API,將JavaScript初始載入分為三層。
第一層是首頁的基本布局,包括初始載入狀態的使用者介面骨架,第二層則為顯示所有首頁內容需要的JavaScript,在第二層之後,所有螢幕上顯示的內容,就不會產生任何視覺變化,而第三層則包含不用於顯示的所有資料,這些資料不會影響螢幕上的畫素,包括日誌程式碼和更新資料的訂閱等。
這個做法使原本500 KB的JavaScript頁面下載資料量,重新分配為第一層50 KB,在第二層則是150 KB,第三層為300 KB,由於第三層的資料不影響螢幕上的畫素,因此渲染時間僅發生在第一層和第二層,進而減少首次頁面繪製和視覺化的時間。
另外,資料擷取也是一個重點,臉書提到,雖然在舊的網站上,在某些功能已經使用GraphQL擷取資料,但大多數臨時獲取的資料,都還是由伺服器端PHP渲染處理,而在新網站中,他們完全改用GraphQL。
由於許多網頁應用程式,都需要等到JavaScript下載完之後,才能知道需要向伺服器請求哪些資料,因此會增加畫面繪製時間,但Relay可以靜態地知道頁面需要的資料,也就是說,一旦伺服器收到頁面請求,便可以立刻準備需要的資料,並且和需要的程式碼平行下載,而這樣能夠減少額外的往返,所以能更快速地呈現最終頁面內容。
紐約時報、華盛頓郵報等媒體周一報導,美國聯邦調查局(FBI)及國土安全部即將發出一份警告,表示中國駭客和間諜正透過網路攻擊方式,竊取美方在武漢肺炎(COVID-19)疫苗及療法上的研究成果。但是中國立即駁斥這項指控。
報導引述FBI官員指出,目前警告聲明還在撰寫中,但是大意是指控中國正「透過不正當方法,尋找和疫苗、療法及測試相關的寶貴智財和公共衛生資料」,主要方法包括網路駭客手法及「非傳統行動者」,後者指的是,動用學術機構或私人實驗室的研究人員和學生,來竊取資料。
這項指控也是美國政府近來和中國政府,針對COVID-19問題最新一次檯面上叫戰。繼美國總統川普直言,導致武漢肺炎的SARS-CoV-2病毒源自中國後,美國國務院總理龐貝奧(Mike Pompeo)本月也指,有「大量證據」顯示這隻病毒,是中國的武漢實驗室培育而成。
中國外交部發言人趙立堅指出,中國在COVID-19疫苗及其他療法的研發早就領先各國,沒有必要竊取其他國家的研究,對中國任何沒有證據的污衊都是不道德的行為。此外,他也說中國決心捍衛網路安全,將給予任何形式的網路攻擊迎頭痛擊。
目前中國已經有三家廠商研發不活化疫苗,以及一家廠商研發重組蛋白疫苗,四家都已進入臨床測試,三家已進入第二期臨床測試,並有一家於七月試產第一批候選疫苗。川普則說,美國今年底就會有COVID-19疫苗問世。
紐約時報指出,包括南韓及越南等地駭客都開始活動,從世衛(WHO)、美國、中國與日本,竊取武漢肺炎的研究資訊。
美國及英國也警告,有國家資助駭客瞄準全球藥廠、醫療研究及大學等單位策畫攻擊行動。
紐約時報也說,美國最新指控也是網路作戰策略行動的一環,美國網路作戰司令部(US Cyber Command)及國家安全局(National Security Agency)也參與了這項策略行動,旨在對敵人發動反制。美國網軍也在2019年分別駭入俄羅斯情治單位及電廠,以報復俄方干預美國選舉及攻擊電廠。去年美國網軍也駭入伊朗革命衛隊網路,摧毁其資料庫系統。
微軟及英特爾周一發表新的AI應用,標榜能以影像辨識技術找出惡意程式。
這項技術是由英特爾實驗室及微軟威脅防護情報小組共同研發而成,名為惡意軟體圖形靜態網路分析(STAtic Malware-as-Image Network Analysis,STAMINA),它是以英特爾既有以深度遷移學習(deep transfer learning)的靜態惡意程式分類法為基礎,再結合微軟提供的真實惡意程式樣本進行訓練,目的在強化惡意程式的辨識速度。
深度遷移學習源為一種電腦視覺技術,簡單而言,英特爾發展的惡意程式分類法,是將應用程式二進位檔轉換成灰階圖片後,加以掃瞄辨識。和傳統病毒的靜態特徵分析一樣,原理是同一家族惡意程式,在文字及結構上彼此有相似性。不同家族的惡意程式,以及無害及惡意程式之間則異大於同。
STAMINA包含4大流程:預處理(圖形轉換)、遷移學習、評估及詮釋。預處理主要是將二進位檔的1D像素流(pixel stream)轉成2D的相片,根據一定方法,依檔案大小來決定2D像素流相片的寬度及相應高度。接著將不同像素流相片組合成適合AI處理的大小,餵給一個預先預練過的深度神經網路(deep neural network, DNN),由其分類是良性或惡意程式。
研究人員總共對STAMINA系統模型,餵入220萬的惡意程式二進位檔雜湊,及20萬筆良性程式的二進位檔雜湊。測試結果,該系統模型的分類準確度達99.07%,而誤報(false positive)率為2.58%。
研究人員指出,STAMINA和傳統二進位檔特徵或指紋分析相較,不易被程式碼混淆(code obfuscation)手法影響,也比動態分析省時。雖然它仍然有限制,例如用在分析小型檔案比較有效,大型檔案則因無法將數十億像素轉換JPEG檔,而無法發揮效果,此時比較適合meta data的分析法。
荷蘭安荷芬理工大學(Eindhoven University of Technology)的研究人員近日揭露,由英特爾(Intel)與蘋果共同開發的Thunderbolt介面含有安全漏洞,只要給駭客實體接觸裝置5分鐘的時間,就能讀取及複製裝置上的所有資料,影響Thunderbolt 1、2、3,並波及自2011到2020年間、支援Thunderbolt連結埠的個人電腦。此外,研究人員指出,其實英特爾早就知道相關漏洞的存在,但遲遲未修補,推斷相關漏洞無法透過軟體修補,只能藉由變更晶片設計解決。
Thunderbolt為一硬體連結介面,可用來連結其它周邊設備或進行充電,目前已釋出3個版本,是許多個人電腦的連結規格之一。
研究人員在Thunderbolt上發現了7個安全漏洞,包括不夠充份的韌體驗證、脆弱的裝置認證、可使用未經驗證的裝置元資料、利用向後相容性執行降級攻擊、採用未經認證的控制器配置、SPI快閃接口缺陷,以及在Boot Camp上缺乏Thunderbolt安全機制,並將它們統稱為Thunderspy。
Thunderspy漏洞可用來執行9種攻擊場景,而研究人員的作法則是打造一個任意的Thunderbolt裝置身分,克隆經使用者認證的Thunderbolt裝置,最終取得PCIe連線並執行直接記憶體存取(Direct Memory Access,DMA)攻擊。
相關攻擊完全不需要使用者的互動,也不受以下情境的限制,包括:電腦是否處於休眠的鎖住狀態、裝置已設定Secure Boot、採用強大的作業系統或BIOS、啟用硬碟加密,只要讓駭客能夠實際存取Thunderbolt裝置,再加上一支螺絲起子與客製化的Thunderbolt硬體,5分鐘就能攻陷電腦。
所有自2011年到2020年間出貨的、支援Thunderbolt的個人電腦都受到Thunderspy漏洞的影響,包括Windows、Linux與macOS。2019年之後出貨的某些系統,因為具備Kernel DMA Protection功能,受到的衝擊相對輕微,但無法完全倖免於難,仍舊面臨類似邪惡USB(BadUSB)的攻擊風險。
研究人員警告,Thunderspy不僅無法藉由軟體修補,還可能影響尚未出爐的USB 4與Thunderbolt 4,得重新設計晶片才能解決。
英特爾也在同一天發表了官方聲明,表示他們是在今年2月接獲研究人員的通知,但相關漏洞並非是新的,而且作業系統業者已在去年修補。英特爾強調,研究人員使用客製化周邊設備所展示的攻擊行動,並未影響那些已修補的系統。
英特爾指的是,包括Windows、Linux與macOS都在去年導入了DMA保護,而研究人員以客製化設備所示範的攻擊行動,並不能攻陷這些系統。
然而,研究人員則說,就算作業系統嵌入了DMA保護,但該機制需要硬體與UEFI(BIOS)的支援,因此只有在2019年之後的系統才可能具備該功能,而其它系統則會永遠曝露在Thunderspy漏洞風險中。
此外,研究人員表示,除了DMA保護之外,英特爾並未提供任何可解決Thunderspy漏洞的緩解措施,也未分配相關的漏洞編號,或公布任何的安全公告,可推測這些漏洞其實是無法藉由軟體修補,而是需要變更晶片設計。
事實上,英特爾只建議所有個人電腦用戶,都應該遵循標準的安全作法,像是只使用可靠的周邊裝置,以及避免讓未經授權的人存取電腦。