一項研究顯示G Suite Marketplace上的應用程式，可能透過API存取過多企業資訊，包括Drive、行事曆及Gmail，可能重演臉書的劍橋分析事件。

G Suite用戶除了Google提供的企業應用程式外，還可從G Suite Marketplace下載第三方企業用App，有些安裝量高達數百萬，這些程式透過Google API整合G Suite。為了了解這些應用程式要求的API存取權限，安全廠商Two Six Labs研究人員Irwin Reyes and Michael，今年1月針對G Suite Marketplace上的987個網頁應用程式進行分析。

他們發現987個Marketplace App中，50%會在Google應用程式內，以通知或邊欄執行顯示Web內容；49%（481個）連到外部服務。此外，27%可以讀取或刪改Google Drive試算表；25%在用戶未上線時執行應用程式；20%還可以讀取、新增、刪改Google Drive檔案。

研究人員進一步分析連到外部服務的App，其中超過20%可完整存取Google Drive，17%可在以外掛形式執行時讀取Gmail資料，3%可完整存取聯絡人資訊。

相對於這些App輕易存取用戶資料，然而G Suite Marketplace卻未清楚告知用戶什麼外部服務App存取其資料，以及分享了哪些資料，用戶僅能依賴App的主動揭露。

Google政策規定，外部App存取Gmail和Drive資料被列為敏感存取，需要Google驗證，而未驗證的App最多只能有100名新用戶安裝，因此本研究檢視的另一個議題是，Google是否有確實執行這個政策的安裝數量。

經過分析，研究顯示277個「未驗證」G Suite Marketplace Apps中，有124個在16天後還可以安裝，而且有24個即使未驗證，還是有超過100名新用戶安裝，其中一個在16天增加近萬用戶，並有另一個App不但5個月下來未完成驗證，卻還可以擁有Gmail、Drive和聯絡人資料的完整存取權限，顯示Google未落實安全政策。這也會使臉書平台上第三方App存取用戶資訊的劍橋分析事件，可能在G Suite上重現。

研究人員指出，G Suite第三方API濫用原因之一在於使用安裝時存取許可（install-time permission），即安裝當下就取得了存取許可。他們建議Google可以改用，目前手機應用程式普遍採用的執行時存取許可（run-time permission），臉書也是在劍橋分析案後，藉此改善了API濫用問題。

因疫情而大放異彩的視訊會議平臺Zoom公布了截至今年4月30日的2021財年第一季財報，指出該季創下了3.28億美元的營收，比去年同期成長169%，而擁有10名以上員工的企業客戶則達到26.5萬家，更比去年同期增加354%。

儘管Zoom在大紅之後，因為受到各方矚目，使得研究人員陸續揭露該平臺的安全漏洞、隱私問題、加密問題、有陌生人亂入會議，甚或是採用由中國伺服器產生的金鑰，但依舊不損其受歡迎的程度。

在今年2月到4月底之間，Zoom創下了3.28億美元的營收，比去年同期成長169%，淨利則達到2,700萬美元，也遠高於去年的20萬美元。

Zoom的創辦人暨執行長袁征表示，在家工作及社交距離大幅地加速了各界對Zoom平臺的採用，他們在這一季不只看到企業客戶的增加，也見到許多不少第一次使用Zoom的一般消費者。

根據Zoom的統計，員工數超過10人的企業客戶數量比去年同期增加了364%，有一家新的金融客戶在該季更購買了17.5萬個新授權，全球前兩千大企業採用Zoom的數量也成長200%。此外，今年4月，每日參與Zoom會議的使用者數量首度突破3億，遠高於去年12月的1,000萬。

由於第一季的表現良好，Zoom也提高了年度財報預測，原本預期今年營收將介於9.05億到9.15億美元之間，現則大幅提高到17.8億到18億美元之間。在今年1月時，Zoom的股價尚未突破100美元，但2月開始向上攀爬，本周二（6/2）的收盤價為208.08美元。

臉書在本周發表了新的活動管理（Manage Activity）功能，以讓用戶在準備展開新工作或新生活時，能夠大量封存或刪除過去所張貼的內容。

當臉書用戶進入自己帳號的活動紀錄時，就能看到活動管理的標籤，可透過篩選工具來決定是要依照類別、日期或人來進行篩選，倘若選擇了類別，則可進一步選擇文字、照片/影片，或是來自其它應用程式的貼文。篩選後就會出現所有該類別的內容，以供使用者選取。

所選取的內容可直接刪除它們，丟到垃圾桶，或是將它們封存。其中，前者代表將永遠刪除其貼文，但會在垃圾桶存放30天以防使用者後悔；後者則只能讓使用者自行存取相關的貼文，而不再允許其他人檢視。

活動管理功能將率先出現在行動版與Facebook Lite上，之後才會支援桌面版，此外，臉書也承諾未來將持續改善該功能，賦予用戶管理他們在臉書上的數位足跡的能力。

法國用來打造官方通訊軟體的開源通訊標準Matrix，現在開始測試P2P（Peer To Peer）功能，該基礎架構可讓用戶都擁有絕對的自治權以及對話所有權，對話紀錄僅會儲存在用戶的裝置上，官方提到，這樣的運作邏輯是Matrix的終極目標之一，讓用戶能夠完全掌控通訊，而不被特定服務供應商綁住。

P2P Matrix的特色不只讓用戶可以儲存自己的對話，而且還可以不仰賴網際網路連接，在區域網路或是網狀網路中使用，而且因為這種通訊架構，不需要家用伺服器（Homeserver），因此也就沒有元資料累積的問題，用戶交談的對象以及時間都不會留下紀錄，官方提到，所有用戶的家庭伺服器，都會儲存對話的元資料，而P2P將能解決這個社群一直在抱怨的問題，另外，P2P也簡化了新用戶的註冊過程，且當用戶不需要選擇伺服器就能開始使用Matrix，則可以避免在公共伺服器中累積用戶資料。

簡單來說，Matrix的P2P架構概念，就是把家用伺服器合併用戶端上執行，官方提到，由於這樣的設計，當前所有Matrix用戶端要使用P2P Matrix開始通訊，實際上不需要進行任何修改，P2P Matrix可直接在Riot和其他現有的相關應用程式上運作。

現在Matrix釋出了P2P功能Alpha測試，目前可在桌面版Chrome以及Firefox執行，用戶以非私密瀏覽模式就能開始使用。在P2P Matrix中，用戶的對話會利用IndexedDB儲存在瀏覽器儲存中，只要參與特定對話的所有瀏覽器，都沒有清空本機端儲存，那P2P網路的對話房間就會持續存在。

用戶的房間目錄列表會列出所有網路上活動節點所發布的房間名稱，當用戶加入了網際網路上的公開對話房間，則系統會自動在本地端發布該房間，讓區域網路可以透過該用戶看到公共對話房間。

P2P Matrix的程式碼都以Apache授權許可開源，官方提到，目前的版本可能不是最終應用程式的樣子，他們還在持續修改中。官方也提到了P2P Matrix接下來發展的方向，像是讓內容儲存庫可以在瀏覽器中運作，並提供端到端加密，還會支援多裝置的分散式帳號。

由於P2P Matrix沒有儲存和轉傳功能，因此當所有參與特定對話的裝置都離線，則沒有節點能夠作為中繼，官方提到，其中一個方法是提供P2P功能的家用伺服器，但這又會讓伺服器端累積元資料，他們正在研究可以混淆用戶對話身份的方法，並且阻止流量分析。另外，官方希望未來可以統一P2P Matrix和現行的聯盟網路，除非用戶想要固定於特定的伺服器上，否則就會讓Matrix新用戶帳戶在P2P網路上浮動。

印度開發者OneTouch AppLabs在今年的5月20日透過Google Play釋出了Remove China Apps，主要功能是讓使用者偵測自己的手機是否安裝了來自中國的行動程式，由於它引來了反中的爭議，使得Google在6月2日直接將它下架。

也許是想要避免爭議，Remove China Apps的說明上寫著它是款基於教育目的的行動程式，可用來辨識應用程式的來源國家，並未推動或強迫使用者移除任何的應用程式。

然而，該應用程式的名稱「移除中國程式」卻直接曝露了開發者的用意，而且它除了能夠掃描手機上的中國程式之外，只要使用者於手機上安裝了任何來自中國的行動程式，就會跳出通知。

TechCrunch報導，Google是以該程式違反Google Play的欺騙行為政策為由將它下架，該政策禁止應用程式欺騙使用者或助長欺騙行為，例如功能不實或未提供正確的揭露事項。

媒體分析認為，此事應與中印邊界的糾紛有關，在長達2,000公里的中印邊界中，有超過12萬平方公里的面積存有領土爭議，而且最近雙方關係日益緊張，更於邊界上增兵對峙。

OneTouch AppLabs表示，Remove China Apps在上線10天內的下載數量就突破100萬次，而Google Play也紀錄它的下載次數已突破500萬次，Google Play的數字代表它可能介於100萬到500萬之間。至於根據行動程式分析平台Sensor Tower的追蹤，Remove China Apps已突破400萬次的下載。

OneTouch AppLabs似乎已經預見程式可能會被Google移除，在官網上宣布此事之際，還說「謝謝你們這兩周以來的支持，你們真是太棒了！」

NCC本周三通過中華電信取得行動寬頻業務（5G）3.5GHz及28GHz兩頻段的特許執照，中華電信搶先其他業者完成開臺前的法規程序，臺灣最快將在7月迎來5G服務。

為搶進5G市場，今年2月首波5G頻譜釋照競標結果，中華電信砸下近463億元，取得3.5GHz頻段90MHz頻寬，以及28GHz頻段400MHz頻寬，依規定向NCC提出事業計畫書變更、資通安全維護計畫、網路建設及審驗，最後在本周獲NCC通過，取得3.5GHz頻段及28GHz兩頻段特許執照。

NCC發言人蕭祈宏表示，中華電信取得特許執照之後，只要營運面準備好，隨時可以宣布開臺，至於開臺時間，則要視業者自己的規畫而定。

據了解，依規定業者開臺的基地臺數量門檻需要至少250臺，中華電信初期布建的5G基地臺分布以人口密集的六大都會區為主。至於5G資費，依規定不需要NCC審核，只要在開臺前知會NCC即可，目前中華電信尚未公布5G資費。

為了擴大國內5G服務及涵蓋範圍，NCC未來將會繼續監督業者擴建基地臺。

中華電信日前宣布和Gamestream合作，未來將運用5G的高速、低延遲特性，提供4K雲端服務；另外，中華也和網聯科技合作，未來結合中華電信的企業AR平臺，以及網聯科技的工業物聯網應用平臺（Tangram IoT Cloud），瞄準智慧工廠轉型需求。

除了中華電信早一步取得特許執照外，目前進度上居次的遠傳電信，已申請系統審驗，如果順利的話，這星期就能拿到審驗合格證明並提出特許執照申請，下週可能緊接在中華電信之後取得特許執照；至於台灣大哥大、台灣之星尚在網路建設中，尚未提出系統審驗，亞太電信仍在事業計畫書審核中。

未來5G服務開通後，外界可能關心5G裝置的普及性，目前國內已上市的5G手機還不夠多，多以旗艦級手機為主，例如三星的Galaxy S20系列、LG的LG Thin Q 5G Dual Screen，還有這週將發表的Sony Mobile Xperia 1 II。隨著國內即將正式開通5G服務，下半年可望看到更多的5G手機推出。

大專院校遭受網路攻擊，如果能在短短的幾個小時就做出相關的應變，算是反應相當得宜。例如，5月28日，美國密西根州立大學（Michigan State University）在網站上發布一則公告，表示在幾個小時之前，校園裡出現資料遭到非法存取的情事，為避免受害範圍擴大，被影響的系統與伺服器已經下線處理，他們也與當地警方合作，進行事件調查。而這起事件也引起ZDNet的報導，他們揭露這起攻擊事件與名為NetWalker（或稱Mailto）的勒索軟體有關，而且駭客要求校方限期付款，否則他們就會公開學校的機密資料。

駭客在發動攻擊並加密學校的資料後，主動告訴ZDNet是他們所為，並提供相關的證據來佐證。這些證據包含了5張電腦螢幕截圖，其中有2張呈現了密西根州立大學的檔案伺服器目錄結構，還有一名中國人的護照，以及銀行往來記錄影本和費用明細等。其中，從檔案目錄結構截圖旁邊，該組織加了一行註解，表示僅給予密西根州大學6天支付贖金的時間，不然時間到了他們就會公開這些資料。ZDNet也向密西根州立大學求證，駭客攻擊的管道與發生原因，但發言人並未證實。

#NetWalker#Ransomware is threatening to #leak data from #breach of Michigan State University (@michiganstateu) in 6 days. MSU has nearly 40k students. Included in the leak sample is student identification like passports and banking info. pic.twitter.com/SNXu5cbLwx

— Ransom Leaks (@ransomleaks) May 27, 2020

駭客提供給媒體的第一張截圖，就是該校檔案伺服器的資料夾內容，並顯示將會在6天23小時後公開這些秘密資料（箭頭處）。

濫用NetWalk的駭客是今年出現的新興組織，他們鎖定大型企業與組織下手，而且也像使用Maze等勒索軟體的駭客組織，會以不付贖金就公開機密資料要脅受害單位。其勒索軟體攻擊的特色，是利用許多常見的合法工具來搭配運作。例如，滲透受害電腦的管道，是透過常見的遠端存取工具，像是TeamViewer。再者，為了規避防毒軟體的攔截，他們的勒索軟體也納入了ESET和趨勢科技的防毒軟體反安裝工具，來移除受害電腦裡的防毒軟體。

「一位病人插卡查旅遊史，只要3秒！」馬偕紀念醫院（以下簡稱馬偕醫院）資訊室主任鄭聰貴驕傲地說。但起初，這樣一個簡單插健保卡查詢動作，卻得耗上一分鐘，才能完成，只要人一多，查詢就得等待，醫院門口因此常常大排長龍，造成民眾抱怨，但在馬偕資訊團隊不斷改良程式之後，後來進醫院，民眾只要插入卡片，就能馬上確認有無旅遊史，甚至無須等待。在臺灣疫情升溫期間，也讓馬偕多了一項成功守住防線的武器，來保存醫療能量。

而這僅是馬偕醫院資訊部門近期推出的眾多IT防疫措施之一，光是疫情期間，他們合力開發出大大小小的程式或App，就有多達20多支，都逐一放進原本的醫療服務之中，來提供更多服務或功能，協助醫院加強防疫。

由於中國武漢肺炎（COVID-19）年初爆發，造成全球疫情大流行，亞洲、歐美各國先後淪陷成為重災區。臺灣疫情雖然沒有國外嚴峻，但仍遭遇一波感染疫情，尤其是在2月、3月時，不少本土和境外移入確診個案不斷增加，甚至，做為防疫第一線的醫院，都出現首宗院內感染的案例，各家醫院如臨大敵，紛紛加強醫院進出管制，並升級防疫措施。

馬偕醫院也是其中一家，3月中便開始加強防疫措施，包括查檢旅遊史、增加戶外門診與暫停夜診等，以降低院內群聚感染的風險。而去年中接任資訊主管一職的鄭聰貴，剛上任不到一年，就得面對這個突如其來的IT大考驗，他更站在第一線率領資訊團隊運用IT協助醫院抗疫。

他回憶，疫情期間，醫院每周都會召開緊急應變會議，隨時根據疫情局勢發展，來滾動式調整政策，決定接下來要採取的防疫措施。由於防疫是跟時間賽跑，所以，只要醫院一有新的防疫政策或措施下達，需要IT協助，馬偕資訊部門馬上就會著手進行開發，而且開發完立即就要能派上用場，「甚至於，今天接到指示決定要做，隔周新作法就要馬上上線」他說。

醫院門口插健保卡查旅遊史，從一分鐘縮減到3秒搞定！

馬偕紀念醫院資訊室主任鄭聰貴表示，醫院IT具備自主開發能力很重要，否則遇到像這次疫情危機時，如果單靠委外，就會來不及。 攝影／洪政偉

門禁疫調系統的開發就是其中一例。為了因應3月臺灣疫情升高，該醫院也依據中央流行疫情指揮中心的建議，提升院內防疫管制，加入旅遊史查驗程序，並自同月20日起實施，要求所有人進醫院前，都須先查驗旅遊史，確認這些看診民眾皆沒有相關旅遊史，方可進入院內看診。

為此，馬偕資訊團開發了一套門禁疫調系統，以多達12臺電腦搭配健保專屬讀卡機，分別設置於醫院入口處與停車場，來做為病人旅遊史的查檢。

這套疫調系統，雖然核心的資料庫是放在健保署，但是透過他們自行開發的操作介面與健保署雲端藥歷系統連線查詢，來取得該名健保病人近期旅遊史、或接觸史的相關資料，再將查詢結果顯示在電腦螢幕上，供現場醫護人員確認。短短一周就完成開發並推出上線。

但才一推出，就遇到了實際執行上的考驗，光是一個健保卡插入的動作，從插入卡片讀取到拔出，大約需要一分鐘，才能完成確認其有無旅遊史。由於醫院每日有大量看病、陪病的人流，一天就有高達一萬次的插卡查詢，只要人一多，等待時間就越長，導致隊伍大排長龍，看診民眾抱怨連連。

為了改善這個問題，他們也思考了很多方式，不斷改良程式，來簡化讀卡流程，期間就歷經3次重大改版，直到最後一個版本，才將插卡查詢時間，從原來的一分鐘，縮短為3秒就完成，大大加快了整個查驗的速度，幫助民眾能快速通關。而且，為了能夠消化這些人流，醫院後來也做出相應的調整，控制每日掛號的上限人數，藉此降低醫院外面的排隊人潮。

兩個月迅速開發出20多支程式，強化醫院防疫

除了門禁疫調系統之外，這段期間，馬偕醫院還有更多結合IT的防疫功能或措施推出。

像是疫情嚴峻時期，不少民眾因懷疑自己染疫而要求醫院篩檢，馬偕資訊部門也配合在院內會診系統內，新增一個COVID-19篩檢風險評估的功能，讓病人進到門診後，可先由主治醫生初步問診，取得包含旅遊史、職業別、接觸史、群聚等相關資訊並輸入到會診平臺後，再交由會診團隊透過其會診系統上的記載內容，做進一步疫調，以評估該名病人有無篩檢的必要。他表示，透過這樣的方式，就能只對評估後有高風險的對象進行篩檢，把寶貴篩檢資源花在刀口上。

又如醫院病房門禁的管制，同樣也使用他們開發的一套病房門禁疫調系統，在家屬或民眾還可以進到病房探病的時期，護理人員就會透過這套系統查詢其有無符合探病的資格要件，才允許其進入病房探病。另外，對於在醫院內負責清潔或工程的外包人員，他們後來也推出一個行蹤通報系統，能用來完整記錄每一位人員在院內活動軌跡，還能顯示出國記錄，以及體溫等健康資訊，藉此來降低院內人員染疫的風險。

不光如此，連曾有過特定旅遊史的病人，進到戶外門診區看診時，院內門診醫師也能遠端以看診系統結合視訊方式，來進行會診，人不用到現場看診。又或是針對居家隔離或居家檢疫者，則可通過防疫專線1922協助，使用該醫院提供的通訊診療掛號服務，讓病人可透過手機視訊遠端看診，醫師線上就能即時開立處方。

上述這些防疫措施或服務，每一個都是疫情期間，馬偕資訊團隊一手開發完成。光是這段期間，資訊團隊前後自行開發出來的程式與App，就有20多支，有的是直接掛載在現有的醫療服務平臺上，也有的是變成獨立服務，來強化防疫措施。

尤其，疫情當前，為了盡快投入防疫，馬偕採取了先上線，後改良的策略，先完成一個初版搶時效先推出，等到上線之後，他們再針對有問題的地方來逐一改善。

他強調，面對疫情，醫院的資訊團隊具備自主開發能力很重要，否則遇到像這次疫情危機時，如果單靠委外，就會來不及。

因為都是自行開發，他也坦言，這段期間，壓力很大，但完成後很有成就感，「因為大家都同坐在一艘船，也更進一步凝聚彼此革命情感與團隊精神，一起努力為臺灣防疫盡一份心力。」他直言。

不過，近來，臺灣疫情有逐漸獲得控制的跡象，原來因為防疫而開發的服務或功能，使用率也因此逐漸降低，甚至不再使用，例如該醫院自5月初已放寬門禁，免查旅遊史等。

鄭聰貴也很清楚，這些短期開發出來的功能或服務，生命周期都很短，往往在疫情緩和以後，就不需要提供了，「甚至有次連夜趕工出來，功能才剛上線，就因為疫情趨緩，而根本用不到」他笑著說。

就算如此，鄭聰貴一點也不覺得可惜，反倒是樂觀看待這件事。他說，每一支支程式，都是為了能夠服務使用者而存在，假使今天它的生命周期走到盡頭，那也代表它完成交付任務，可以功臣身退。從另一方面來說，正是因為有了這次寶貴經驗，資訊團隊能得到更多磨練機會，可以站在第一線實際了解使用者的問題，讓以後開發出來的介面或功能更到位，貼近使用者需求。

當然，在等到疫情緩和之後，還是有一部分作法，以後仍可繼續延用，甚至在未來擴大使用，馬偕疾時通服務就是一個例子。它是一個Line聊天機器人服務，類似於疾管署疾管家，主要提供給院內部員工使用，讓他們用手機就能隨時取得院內最新防疫政策、人事更新訊息、疫情訊息、感控措施，還有醫師採檢示範短片等等。

這項服務，也是資訊團隊在疫情期間所推出，從推出上線至今，已有一千名北淡院內員工都在用。他預計，下一版還要推出護理師、藥師專用版本。例如，以後藥師在盤點管制藥品的時候，人不一定要到現場清點，可直接由護理站人員以手機掃描藥盒上的QR條碼，就能取得庫存系統上的資料，同時對照手機拍下藥盒內的照片並上傳，再讓藥師核對數量就行，省去原本得逐一到各個護理站現場盤點藥品的時間。

「醫療業IT就是一群解決問題的人」鄭聰貴反覆強調。由於理工出身，造就他負責解決問題的強烈性格，而且他更要求，解決問題的方式，除了要夠快，還要能夠兼顧成本的效益。

當然，在面對疫情衝擊下，馬偕醫院能夠有效結合IT對策來防疫，其實也跟近幾年，這家百年教會醫院朝向智慧醫院來發展有關，持續不斷地運用IT提升醫療品質、簡化流程。

像在簡化流程方面，馬偕資訊團隊去年也導入一套醫材單一識別系統，統一改以刷UDI條碼方式讀取醫材資料，包括產品識別、生產識別等資訊，取代原本人工輸入的作法，甚至更用它快速掌握院內器材庫存狀況與延遲交貨異常回報，來提高管理效率。

又如急診行動資訊站平臺，也是這個時期推出的另一項新服務，可用來改善急診病人就診經驗。他們在急診室設置有數位資訊看板，能即時顯示目前治療狀況，包括等候人數、檢傷級數、等待病床等，讓就醫民眾及陪病家屬，等待急診掛號或看診時，能夠更容易掌握治療狀況，而不用反覆向醫護人員詢問。病患亦能使用健保卡插入看板，以取得目前就醫狀態及檢查報告進度等資訊。即使人在急診室外，還可透過手機App隨時掌握看診進度，或是可先預辦掛號，來縮短其到院後的就醫檢傷程序。

鄭聰貴今年也計畫引進AI技術，來輔助醫生診斷，舉例來說，未來可以用它檢測乳癌，利用已建立好的AI模型先做初步篩選，將有疑似病灶標記影像的乳房X光片挑選出來，醫師再根據這個結果進一步判讀，讓患者能即早治療。他另外還提到一套併發症低血壓AI專家系統，目前已有裝在該醫院血液透析病房裡，可提前預測洗腎患者血壓異常，並通報醫護人員即時處置。

CIO小檔案

鄭聰貴

馬偕紀念醫院資訊室主任

學歷：海洋大學電機工程碩士

經歷：在馬偕醫院逾25年IT資歷，從基層資訊人員做起，後來升為課長並擔任多年，去年7月時，他正式接下資訊室主任一職，兼負起整家醫院IT發展重任，在今年初武漢肺炎疫情在臺延燒時，他更率領資訊團隊，運用IT技術協助醫院防疫，將院內感染風險減到最低

公司檔案

馬偕紀念醫院

● 成立時間：1880年

● 員工數：約6,900人

● 董事長：胡志彊

● 院長：劉建良

● 年營收：170億元（2018年）

資訊部門檔案

● 資訊部門人數：約70人（含臺北、淡水院區）

● 資訊部門分工：淡水資訊課（系統組、業務組）、系統規畫課（行政組、醫事組、醫技組、醫護組、DBA）、系統維護課（系統組、業務組）、新竹分院資訊課、臺東分院資訊課

IT大事記

● 2014年：完成將北淡院區醫療資訊系統轉移到Linux作業系統主機

● 2016年：推出馬偕醫生館App

● 2019年：完成建置急診行動資訊站App及資訊看板、完成導入醫療器材單一識別系統

● 2020年：建立院內防疫資訊平臺、Line@馬偕疾時通推出上線、完成醫院入口及停車場門禁疫調系統、病房門禁疫調系統上線、外包人員健康資訊行蹤通報系統推出、替院內會診系統新增COVID-19篩檢風險評估功能

早在2年前，國泰金控就開始發展區塊鏈技術，不過，在全球區塊鏈最火紅的這兩年間，國泰金遲遲沒有出手，直到最近，終於揭露了第一個區塊鏈應用，率先鎖定的就是電動車車聯網新型態應用。

國泰金控數位數據暨科技發展中心（簡稱數數發中心）近期對外發表第一個區塊鏈計畫「電動車車聯網區塊鏈金融平臺」，找來電動車充電站服務平臺宅電（ChargeSmith）與區塊鏈新創BSOS合作，採用超級帳本（Hyperledger Fabric）區塊鏈框架，要把電動車行車電腦資料上鏈後。國泰金控計畫先用於銀行與產險業務場景，將規畫提供電動車車主融資申貸、保險理賠、個人化商品推薦等金融服務。

數數發中心區塊鏈技術發展科資深工程師楊俊書表示，目前鎖定特斯拉電動車的行車電腦資料，臺灣現有約8,000臺，7～8成車主會使用宅電充電站查詢App。國泰這個車聯網平臺，會在車主授權後取得電動車行車數據，包括開車時間、時段、時速、里程數、煞車、充電電池的電量、車門有沒有關好等駕駛行為，再將這些數據加密存證並上到部署在宅電公司的區塊鏈節點，再與國泰旗下子公司的其他區塊鏈節點同步資料。

在作法上，楊俊書解釋，特斯拉原本就建置了一個Data Hub平臺，會定期搜集每一臺特斯拉汽車的行車電腦資料，也對外釋出了官方開放API。數數發區塊鏈團隊自行寫了DApp與智能合約，而BSOS協助宅電建立節點，並確保資料來自特斯拉原廠的原始資料，車主授權後直接串接官方API後，將指定電動車行車電腦資料直接放入DApp，DApp再依據智能合約，將資料上鏈到宅電節點。這個作法的好處是，「可以將特斯拉電動車車主第一手行車電腦資料，直接上到國泰的區塊鏈。」他強調。

目前，國泰先找來4位特斯拉車主，進行為期3個月的PoC驗證，來證明整套資料流運作模式的可行性之後，就會開始大量招募電動車車主。同時，也透過PoC讓集團子公司了解運作模式，以利後續發展其他應用。國泰金控預估，正式服務將在今年底陸續上線。

靠排除法找出合適區塊鏈應用場景，國泰每次先問這3個問題

數數發中心早在2018年9月就先成立了區塊鏈小組，後來進一步轉為正式編制，成立了區塊鏈技術發展科，隸屬於數數發數位架構發展部，目前共有9名團隊成員。

成立初期，這個團隊花了很長的時間，先研究不同區塊鏈技術的底層架構，多方評估後最後決定採用超級帳本技術框架，而且決定要自行建鏈。2019下半年，區塊鏈團隊開始與金控旗下子公司合作，正式展開區塊鏈產品研發。

楊俊書表示，國泰區塊鏈團隊的目的是，要將區塊鏈價值落實應用到子公司，甚至是子公司的顧客。為了找出合適的應用場景，國泰後來發展出了一套排除法策略，「與子公司合作時，透過3個問題，先排除不需用區塊鏈的業務。」楊俊書解釋，一是，這個業務能否想出可以和哪一家公司分享資料？如果找不到可成為節點的合作夥伴，這個業務可能就不適合區塊鏈。第二個問題，即便有了分享資料的合作夥伴，還需評估雙方應用區塊鏈是不是有必要性？比如，這個資料分享若不透過區塊鏈便永遠拿不到，就有必要性。

找出了非用區塊鏈不可的場景還不夠，楊俊書強調，國泰區塊鏈應用的原則是個資不上鏈，還會詢問子公司是否同意這個作法？若對方也同意，區塊鏈團隊才會開始建鏈。他解釋，國泰未來可能需要做國際生意，若是合作對象是歐洲公司，就得遵循歐盟GDPR個資保護規範，就算在臺灣，也逐漸開始注重個資，為了避免外界對個資洩露的疑慮，國泰才決定個資不上鏈，只讓一些公開資料或半公開資料上鏈。

國泰金控2年前成立區塊鏈團隊，後來更在正式編制中設計了數數發數位架構發展部區塊鏈技術發展科，目前共有9名團隊成員。（攝影／洪政偉）

主流區塊鏈技術比較，採用超級帳本自行建鏈關鍵

楊俊書更回顧了1年前，數數發區塊鏈團隊在國際幾個主流區塊鏈底層架構，選擇超級帳本開發框架，並決定自行建鏈的關鍵原因。「因為，金融業最在意的是資料隱密性。」

他進一步指出，以太坊（Ethereum）是一般區塊鏈團隊採用的首選，因為以太坊的資料最多，很容易就能建立以太坊私有鏈。國泰區塊鏈團隊在去年做了一個物流鏈POC，就是在私有鏈上採用權威證明（Proof-of-Authority，PoA）共識演算法。而PoA共識的運作是有授權的節點，才有產生區塊鏈網路中下一個區塊的權限。

楊俊書透露，在以太坊私有鏈採用PoA共識機制雖然好用，不過，在資料的隱密性上有些麻煩。他解釋，所有參與方都在同一條鏈上，若要對部分參與方屏蔽資料時，需要另外開發屏蔽資料的功能。

不過，像超級帳本就採取許可制區塊鏈架構，能夠指定特定節點參與及共同維護運作，並預設提供Channel功能可確保資料隱密性。他提到，該功能像是資料通道的概念，比如，A、B、C、D四家參與方在同一鏈上，普遍性資料開放給所有人瀏覽，若A與B有一天想單獨做生意，不想讓其他兩家知道，就能用Channel功能建立一個通道，A與B雙方合作的特定生意的資料，只會在這個通道進行。而且，當第三家公司有一天要加入這場私下交易時，依然能看到過去A與B雙方的歷史資料。

「這樣隨時可加入新業務的彈性作法，可讓鏈上多家參與方未來能做的生意更為多樣化。」楊俊書說。

其實，摩根大通使用以太坊開發的Quorum區塊鏈平臺，也有類似通道的概念來確保資料隱密性，當其中兩家公司進行私下交易時，雙方可以透過一個private data小池區，來存取僅有彼此才能看到的資料。缺點是，雖然第三家公司後續也可以再加入該通道，但卻看不到原本兩家先前的歷史資料。

楊俊書指出，這也是為何他們選擇超級帳本的原因，因為曾合作的歷史資料，對金融業展開另一場合作來說至關重要，這是可供後續合作對象評估的一項指標。

他進一步比較，主打金融專屬設計的R3區塊鏈平臺，重頭到尾都採一對一通道，其實也可以做到資料隱密性。但，國泰考量到數位轉型不只要做子公司內部擁有的生意，未來更可能進一步與外部夥伴做生意來擴大生態圈，這時，R3一對一的通道設計，會導致通道數呈現指數性成長，會大大降低效率，或有管理平臺維運難度較高的問題。

國泰金控數數發中心區塊鏈團隊，選擇了超級帳本作為開發框架，主因是超級帳本有預設的Channel功能，能夠確保資料隱密性，且通道能彈性加入新參與方，並能瀏覽先前的歷史資料。（圖片來源／國泰金控提供）

自行建鏈踩過的坑，未來計畫建立自家的共識演算法

用了一整年超級帳本的數數發區塊鏈團隊，其實在剛開始建鏈時，也踩了不少坑。楊俊書舉例，超級帳本使用Kafka訊息佇列來進行共識演算法，對所有交易資訊進行排序。然而，他坦言，Kafka是一門新技術，仍有一些小臭蟲，有時太多資料要上鏈，可能會發生交易順序錯誤的問題。

或是，有時，鏈上四個節點，其中一個節點當機要重開時，得利用其他三個資料完成的節點，來回復資料，但曾發生過，回復後的資料版本，跟其他三個節點不同。楊俊書提到，這也跟交易順序有關，後來找出一些解方，比如為每個節點做備援，或是把某項元件跟節點拆開來運作，一旦有節點故障重啟時，就能透過正常運作的某項元件將資料同步回來。

他更透露，未來，國泰區塊鏈團隊也不一定堅持使用超級帳本，而更希望能建立自己的共識演算法，比如用開源的實用拜占庭容錯演算法（Practical Byzantine Fault Tolerance，PBFT）來修改。主要原因是，國泰現在有些業務場景，需要高速度交易或高安全性等不同需求，「若未來建立自家的共識演算法，只要修改底層，用共識演算法調參數，就能符合集團不同業務需求。」

國泰自建的區塊鏈，在架構也有不少長期發展的設計考量，例如，區塊鏈團隊也從一開始打造區塊鏈時，就遵循數數發的企業基礎架構與技術。楊俊書表示，例如建置超級帳本時就直接採用微服務，未來，若需要將區塊鏈變成一個基礎架構模組時，較容易整合到數數發的整套基礎架構中。

另外，國泰區塊鏈也採雲端原生（Cloud-Native）設計，國泰日後若需要與外部公司合作，可以直接在雲端部署對方所需的節點。不過，金融業上雲還有許多法遵考量和設計要求，數數發數位架構發展部的雲端團隊，也會來支援這個區塊鏈平臺的雲端架構與維運。

區塊鏈技術發展科另一位資深工程師李肇筌提到，他們使用Docker容器技術，將程式碼與執行環境打包成一個映像檔，只需要1到2天時間，就能快速在子公司或是外部公司建置一個區塊鏈節點。他提到，目前盡量採取容器化的方式來部署，後續處理問題較為方便。

國泰不只把區塊鏈作為發展數位金融的新興技術，更考慮把區塊鏈變成未來金融各領域可共用的架構，之後就能快速發展其他應用，只是目前尚未揭露太多細節。

電動車車聯網區塊鏈金融平臺先聚焦銀行、產險應用

最新發布的電動車車聯網區塊鏈金融平臺，未來應用將分為兩階段。楊俊書表示，第一階段是跟國泰產險與國泰世華銀行合作；第二階段則計畫找到更多節點，比如修車廠，透過修車廠的ERP，或是維修記錄的資料庫成為一個節點，再與國泰的節點同步資料。

在產險的應用，國泰產險可針對車主的行車習慣或駕駛行為，評估規畫發送行車安全提醒簡訊，或是推薦合適的個人化保險商品。同時，也正在研究當車主發生交通事故時，運用區塊鏈資料不可竄改的特性，優化理賠審核流程。

銀行的部分，目前則規畫用在融資申貸。楊俊書提到，比較簡單的應用是，未來當車主要用車體履歷申請融資時，國泰世華銀行的評估人員可透過區塊鏈來獲取車主行車資訊如里程數，以及維修記錄等來評估車況，像是用維修記錄判斷車子有無撞過，藉此減少車主與銀行一來一往的時間，加快核貸速度。不過，融資申貸這塊目前尚未設計完成，像是在融資額度的部分，因涉及審查單位，所以還要進行規畫。

國泰金控也透露，除了電動車車聯網區塊鏈金融平臺，目前，國泰產險與數數發中心也正透過技術架構重整中後臺，不久後就會推出全新的科技金融應用。文⊙李靜宜

雖然現在各國推出接觸追蹤App希望能抑制武漢肺炎（COVID-19）病毒傳播，但仍然屬於亡羊補牢的作法。美國一項研究顯示，智慧戒指等穿戴裝置量測，可以在病患症狀出現前三天就預測到，準確度高達90%。

今年4月，西維吉尼亞大學、洛克斐勒神經科學研究所（Rockefeller Neuroscience Institute，RNI）、西維吉尼亞醫院和智慧戒指商Oura Health合作，打造結合COVID-19監控App、智慧戒指及人工智慧（AI）為基礎的預測模型，希望能發展出一套結合生理資訊及身心量測的系統，以在前線醫護人員有症狀前，便提早辨識出是否受感染，防止他們在無症狀情況下散播病毒。

這項研究是由RNI主導的研究計畫的第一階段，利用Oura智慧戒指偵測受試者體溫、心率及心率變異（HRV）、呼吸頻率及睡眠、行為樣態，還以RNI開發的App問卷，蒐集他們的心理、認知及行為資訊，包括壓力、焦慮、記憶力、韌性及復原功能等，來訓練RNI開發的AI模型對COVID-19症狀的預測能力，包括發燒、咳嗽、呼吸困難、疲憊等。第一階段共有600多名西維吉尼亞醫院的醫護人員參加研究。

研究顯示，這套模型可以在受試者出現症狀之前3天預測到，準確度超過90%。RNI表示，這套方法或許可用於協助減緩病毒散布，解封社區，輔助公衛及經濟政策。

RNI同時也和紐約市、費城、納許維爾等其他城市的醫院合作，針對10,000多名醫護人員，進行類似的COVID-19研究。

智慧穿戴裝置及AI技術，被大量用於這次的抗疫行動。智慧型手錶Fitbit四月間也宣布與史丹福醫學院合作，開發以偵測COVID-19等病毒感染早期症狀的演算法。加州大學舊金山分校三月也和Oura Health合作開發及早辨識出COVID-19感染的演算法。

重點新聞(0530～0604)

臉書    Transformer     電腦視覺  

臉書發表DETR模型，用Transformer架構來解電腦視覺任務

Transformer是一款新興深度學習模型架構，在序列性任務的表現特別好，常用於自然語言處理（NLP）、語音辨識、增強式學習等領域。而臉書最近發表的影像辨識模型DETR，特別把Transformer架構用來解決電腦視覺任務。

DETR可進行偵測物件和全景影像分割任務，但結構與先前的電腦視覺模型截然不同。DETR由一系列全局損失（Global loss）組成，可進行獨特的預測，比如給定小部分的已知物件查詢，DETR可推導出物件與整體影像的關係，可直接平行輸出最終的預測結果。

臉書解釋，DETR簡化了影像辨識的工作流程，省去不少須手動設定的作業，也不需要特殊的函式庫。經COCO影像資料集測試，DETR達到高階方法（如Faster R-CNN）的預測水準，不過對小型物件偵測仍不夠準確，這也是團隊未來的研究方向。（詳全文）

  DeepMind     BERT    偏差  

DeepMind：句法偏差讓BERT更上層樓

自Google前年發布大型自然語言預訓練模型BERT以來，就成為自然語言處理（NLP）的標竿，即使不了解階級句法結構，也能很好地判斷文法和句法。不過，DeepMind和加州大學柏克萊分校的研究員聯手研究，發現句法上的偏差，可提高BERT的準確度。

進一步來說，團隊採知識蒸餾（KD）方法，透過提取（Distill）語言模型的句法預測，來把句法偏差嵌入BERT預訓練。為了順利做到這一點，團隊先建立了新的預訓練設置，可直接提取KD中遞迴歸類神經網路文法（RNNG）的單字邊際分布，同時也保持BERT的擴展性。後來，團隊利用6個結構預測任務，來測試改良的BERT，表現都比原本的BERT要好，錯誤率可下降2至21％。（詳全文）

  OpenAI     自然語言模型    GPT-3  

OpenAI釋出1,750億個參數的超大型自然語言模型

30多位OpenAI研究員日前聯手發表最新研究，也就是一套超大自然語言模型GPT-3，擁有1,750億個參數，而且在一系列的基準測試任務中，比如翻譯、新聞生成、回答SAT問題等領域，都達到高階等級（SOTA）。

OpenAI曾在去年發表GPT-3的前身GPT-2，參數最多也才15億個。這次發布的GPT-3模型，利用近上兆個單字的CommonCrawl資料集和網路文件、維基百科等相關資料，採非監督式方法訓練而成。團隊指出，GPT-3處理任務時，完全不須任何微調或梯度更新，只需要少量與模型交互的文字示例（Demonstration）即可。在NLP測試中，團隊指出，GPT-3在單樣本學習和少樣本學習中表現優異，但對常識推理、句子比較等任務則稍弱。（詳全文）

  百度   量子機器學習       Paddle Quantum  

百度開源量子機器學習平臺Paddle Quantum

百度日前在自家深度學習開發者大會上，宣布釋出量子機器學習平臺Paddle Quantum，要來加速資料科學家利用量子運算來訓練和開發AI的時間。這款平臺建置於自家深度學習平臺PaddlePaddle上，支援三種量子應用：量子機器學習、量子化學模擬，還有量子組合優化；開發者可以利用這些工具從頭打造量子模型。

百度指出，Paddle Quantum具通用性和擴展性，因為它支援了量子電路模型的變量定義和矩陣乘法，還有一般的量子計算研究。此外，Paddle Quantum還提供一系列量子機器學習模型，為複雜的運算如Gibbs state preparation打下基礎。（詳全文）

  Google     聯合分析    個資隱私  

不拿走任何資料！Google發表聯合分析技術，兼顧隱私和服務品質

Google利用聯合學習（FL）基礎，發展一套聯合分析（Federated Analytics）技術，可用來改善Google自家鍵盤Gboard和音樂辨識應用的準確度。Google表示，這項技術最大的優點，就是讓使用者的資料留在裝置上，同時工程師也能獲取匯總的資料，來改善服務。

聯合分析原本用來支援聯合學習，讓模型品質評估也能在用戶手機上進行。舉例來說，Gboard工程師可用來評估單詞預測模型的品質，在本地端計算該模型的預測和實際輸入單詞間的差異，並上傳比對結果，透過多個使用者手機上傳的指標，工程師就能了解模型的效能。（詳全文）

Cloud 超級電腦    臺灣AI雲    科技部  

自動評估更準確，Google最新NLG自動化指標BLEURT上線

現有NLG自動評估指標只評估表面相似度，Google開發一套可自動衡量句子間語意相似性的指標BLEURT，能達到接近人類註釋的準確性，準確度還比常用的自動指標BLEU高48％。

BLEURT是一個以機器學習為基礎的自動指標，能捕捉句子間語意的相似性。在開發時，Google採遷移學習來解決訓練資料不足的問題，透過BERT的上下文單詞表示法來輔助，以及其他預訓練方法，來提高BLEURT強健性。後來，Google也對BLEURT進行基準測試，在機器翻譯和資料生成文字等任務都超越現有的方法，比應用WMT Metrics Shared Task的BLEU，人工評估分數還要高48％。（詳全文）

微軟    Azure Cosmos DB     吞吐量  

微軟Azure Cosmos DB可自動配置預設吞吐量，用戶不必再緊盯流量

微軟更新自家雲端NoSQL資料庫服務Azure Cosmos DB，除了強化和分析服務Azure Synapse的整合，還能自動縮放配置的吞吐量，用戶還可使用自己的金鑰對靜態資料加密。

首先，微軟釋出Azure Synapse Link功能預覽，鎖定混合交易和分析處理，可讓Azure Synapse存取Cosmos DB，以獲取接近即時的分析結果。另一方面，Cosmos DB也將之前預覽的自動模式更名為自動縮放預配置吞吐量，並正式釋出，藉由自動縮放功能，可以在維護SLA的同時，自動快速擴展以滿足突如其來的流量峰值，讓用戶不用監控流量。（詳全文）

大規模預訓練模型     電腦視覺      BiT  

Google開源大規模預訓練電腦視覺模型BiT

Google發布一款電腦視覺預訓練模型BiT，透過大規模預訓練，可快速運用其他資料集，來解決電腦視覺任務，而且實驗顯示，這款模型可獲得極佳的Top-5精確度。

首先，Google利用自然語言預訓練模型BERT的方法，來調整預訓練的BiT模型。為微調超參數，Google運用了啟發式超參數調校方法BiT-HyperRule，並利用圖像辨識率和標籤範例數量等高層級的資料特徵，調整參數配置。在實驗上，Google利用ILSVRC-2012訓練和微調的模型，Top-5精確度可達到80％，比之前最好的成果還要高25％。（詳全文）

圖片來源／臉書、OpenAI、微軟、Google

 AI趨勢近期新聞 

1. 明年Google搜尋將把網頁經驗納入排序依據

2. 運算效能提升20倍，Nvidia新款資料中心等級GPU上陣

3. OpenAI聯手Uber，打造最新搜尋方法Virtual Petri Dish，幫開發者挑選最佳模型

資料來源：iThome整理，2020年6月

為了不讓當紅的Zoom專美於前，微軟也正在為其Teams開發一次顯示最多49人上線的視訊功能。

華爾街日報報導，微軟內部一個50人的團隊，正在和紐約學區的學校IT和教師合作趕工，希望能為Teams增加讓競爭對手Zoom大受歡迎的功能，像是7x7窗格，最多可以一次看到49人上線的功能。

微軟對CRN證實，Teams發展藍圖的確包含將影像通訊時可見人數，擴大到最多49人。

在此之前Microsoft Teams的視訊窗格為4格（2x2），五月中微軟宣布新開發出9格（3x3）畫面，才正式100%部署到Windows和Mac用戶端。微軟工程師指出，3x3只是開始，還不夠好，因此公司正努力擴大視訊可見用戶人數，也計畫支援行動裝置。

不過微軟並未說明這項計畫的時程。

微軟希望至少藉由功能強化，拉近Microsoft Teams和Zoom的距離。在武漢肺炎疫情期間爆紅的Zoom，昨日（6/3）公布第一季財報，營收達3.28億美元，比去年同期成長169%，而每天的參與會議人次也突破3億。

之前一直努力強化安全功能的Zoom計畫提供端對端加密，但這項功能將僅限付費服務，免費版本並不會獲得保護，以免有人用來做壞事。

路透社於5月間報導，Zoom正在規畫的端對端加密將只提供付費版用戶。昨日（6/4）Zoom執行長袁征在分析師視訊會議上證實此點，表示端到端加密並不會提供給免費版用戶，因為Zoom也會和FBI及執法單位合作，因為有些人會利用Zoom從事不良意圖。

Zoom五月初宣布收購具備端對端加密技術的新創公司Keybase，目的在打造端對端加密服務。目前這項計畫還在進行中尚未完成，但是Zoom已預告，這項加值服務只會提供給所有付費用戶。

Zoom發言人表示，新的端對端加密服務是為了保障弱勢族群的隱私，對象是他們可以驗證身份的使用者。但免費用戶僅以電子郵件登入，不足以提供身份辨識所需。

另一方面，為防有人利用加密服務為惡，Zoom說不會主動監控會議內容，但會使用自動化工具收集作亂人士的證據，此外，除了孌童罪犯之外，他們不會洩露用戶資訊給執法機關。

Zoom同時也強調，不會為了讓政府或執法單位合法監控而打造解密工具，或加入後門讓其他人，進入使用者會議進行祕密監控。

相較之下，免費版通訊軟體iMessages及臉書的WhatsApp，都採用端到端加密機制，Telegram及Line則可設定端到端加密功能。

美國一家律師事務所Boies Schiller Flexner本周代替Chrome用戶，向Google提出集體訴訟，指稱就算在Chrome中採用無痕模式（Incognito mode），Google還是持續追蹤使用者的瀏覽行為，違反美國的竊取與隱私法令，向Google求償50億美元，不過Google已決定力爭到底。

在Chrome上切換到無痕模式後，Chrome就不會儲存使用者的瀏覽紀錄或在表格中所輸入的資料，而且在瀏覽當時所使用的cookies與網站資料，也都會在退出無痕模式之後全數刪除。

然而，使用者指控，就算在該模式中，Google依然藉由Google Analytics、Google Ad Manager、其它應用程式或網站外掛來蒐集使用者資料，而讓Google得知使用者的交友或消費習慣，以及使用者所搜尋的字串，認為Google是秘密蒐集了這些未經授權的用戶資料。

Boies Schiller Flexner估計，該案可能聚集100萬名自2016年6月以來的Chrome用戶，每位用戶將請求5,000美元的賠償，估計Google至少要賠償50億美元。

然而，Google已決定要力爭到底，因為在使用者開啟無痕模式時，Chrome都會提醒，網站可能會蒐集使用者的瀏覽行為。事實上，根據Chrome的無痕模式說明，該模式只是讓Chrome不儲存瀏覽資料或所輸入的資訊，只有儲存書籤與所下載的檔案；但還是有一些服務可觀察使用者的活動，包括所造訪的網站、所登入的服務、雇主或學校、ISP業者，以及搜尋引擎等，而且它們也許能得知使用者的活動、IP位址或身分。

影像分享平臺Snap執行長Evan Spiegel在本周一（6/1）宣布，未來將不會藉由Snapchat上的Discover功能，推廣那些煽動種族暴力的帳號。Spiegel並未指名道姓，但除了外界一致認為Spiegel所指的，就是最近在Twitter及臉書造成發言風波的美國總統川普（Donald Trump）之外，川普競選團隊則主動對號入座，發表聲明，指責Snap的作法是在壓制川普。

Spiegel本周對內發表了一篇長文，表達他對於美國黑人及有色人種的待遇感到傷心與憤怒，也認為美國長期存在著種族暴力與不公正的現象，並提及將不再於Snapchat上推廣那些煽動種族暴力的美國帳號，不管這些帳號是不是在該平臺上倡導種族暴力。

Spiegel解釋，Snapchat上的Discover功能是一個經過策畫的平臺，由他們決定要推廣什麼，一直以來他們都致力於推動那些可對用戶造成正面影響的內容，未來可能會允許這些製造分裂的人繼續保有Snapchat帳號，只要他們所發表的內容符合該平臺的社群標準，但未來不再推廣這些帳號或內容。

Snap的決定應與非裔美國人George Floyd之死有關。今年的5月25日，明尼蘇達州的警察疑因執法過當而造成Floyd死亡，此事引燃了美國潛藏已久的種族歧視炸彈，迄今有數十州出現抗議、示威遊行，甚至是暴動行為。川普除了29日在Twitter上放話「一旦有人開始搶劫，就是開槍之時。」以外，30日更說出「那些穿越警方封鎖線的抗議民眾，將會迎來最兇猛的警犬及武器，那時人們就會真的受到嚴重的傷害，還有許多特勤局幹員嚴陣以待，他們把年輕人派到前線，這些年輕人喜歡這樣，而且是好的練習....」

也許是川普的暴力威脅促使Snap表態，同時也讓川普競選團隊經理Brad Parscale對此發表了聲明。Parscale批評Snapchat企圖操縱2020年的美國總統大選，非法利用其企業資源來替拜登（Joe Biden，另一美國總統候選人）造勢，並壓制川普。Parscale還說，Snapchat是因為不想看到該平臺有這麼多用戶觀看川普的內容，才會積極壓制選民。

Google更新iOS上Google帳戶的安全防護功能，開始原生支援W3C WebAuthn實作，這將可以讓使用者於相容的iOS裝置上，在Google帳戶和進階保護計畫（Advanced Protection Program），使用更多類型的安全金鑰。

WebAuthn是一個網頁標準，其提供了簡單且強健的瀏覽器驗證流程標準，網頁和應用程式可以透過API呼叫，啟動FIDO 2強驗證機制，用戶便不需要記憶和輸入密碼，可利用行動裝置、指紋辨識或是安全金鑰來登入帳戶，並免於遭受釣魚攻擊。進階保護計畫則是Google提供給高風險人士的安全防護機制，用戶需要同時輸入密碼，並使用實體安全金鑰，才能登入Google帳號。

Google的這項更新適用於執行iOS 13.3或是以上版本的裝置，由於USB-A和藍牙Titan安全金鑰均內建NFC功能，現在當用戶要在iPhone上登入Google帳戶時，用戶可以將這些金鑰輕觸iPhone背板，即可進行解鎖；而像是YubiKey 5Ci與其他USB安全金鑰等Lightning安全金鑰，可以使用Lightning對USB相機轉接器進行解鎖；USB-C安全金鑰，則可以直接用於iPad Pro等具USB-C插槽的裝置。

Google也建議用戶可以安裝Google Smart Lock應用程式，不只可以使用藍牙安全金鑰，還可以使用手機內建的安全金鑰，把iPhone當作一個Google帳戶額外的安全金鑰。要將Google帳戶新增到iOS裝置中，用戶需要先在iPhone設定中的密碼和帳戶中配置，或是安裝Google應用程式。Google提到，他們建議高安全風險的用戶使用安全金鑰，並加入進階保護計畫。

安全廠商Trustwave昨日（6/3）揭露Adaptive Server Enterprise (ASE)關聯式資料庫內，有7項中到高風險等級的漏洞，最嚴重者可造成任意程式碼執行及資料庫可被公開存取。

ASE關聯式資料庫是來自SAP收購的Sybase ASE產品。過去這項產品廣受金融業採用。SAP也宣稱全球25大銀行中，有24家以Sybase ASE來跑關鍵應用。但是自2010年SAP收購以來，ASE已甚少釋出修補程式。

SAP本周公告的7項安全漏洞中，有6項為Trustwave發現。其中最嚴重的是CVE-2020-6248，它是備份資料庫程式碼注入漏洞，出在備份作業覆寫重要組態檔時未做安全檢查，導致任何能執行DUMP指令者（如資料庫管理員），可以簡單指令取代原有的備份伺服器組態檔，再以DUMP指令驅動攻擊程式碼執行，如果SAP ASE跑在Windows平臺上，程式檔即可預設以本機權限執行。

CVE-2020-6252出在ASE中Cockpit元件使用的小型資料庫SQL Anywhere，它是以本機權限執行，但登入這個資料庫的密碼卻存在Windows一個可公開讀取的組態檔中，使任何Windows用戶可以取得密碼登入SQL Anywhere資料庫，再覆寫OS檔案，以執行惡意程式碼。CVE-2020-6248和CVE-2020-6252的CVSS 3.0風險評分，分別為9.1及9.0，屬於重大漏洞。

ASE另外存在CVE-2020-6241、CVE-2020-6243漏洞，前者為發生在ASE全域暫存表格（Global temporary tables）處理DDL宣稱不當，透過傳送SQL指令，造成資料庫合法用戶升級到管理員權限，後者則出在ASE中的XP Server元件使惡意程式碼以管理員權限執行。CVSS 3.0風險評分各為8.8及8.0。

另外，研究人員還發現ASE一個處理Web Services不當的漏洞（CVE-2020-6253），讓合法用戶透過SQL注入升級權限，以及ASE build log包含明碼密碼的漏洞（CVE-2020-6250），兩個漏洞風險評分各為7.2和6.8。

上述漏洞全部影響SAP Sybase ASE 16.0版本，但有些也擴及更早的ASE 15.7或15.8版。除了這些漏洞，SAP另外也修補了發生在Business Objects BI Platform、NetWeaver Application Server ABAP、Identity Server、Enterprise Threat Detection、Master Data Governance等元件的漏洞。

自從疫情期間使得在家工作成為常態，市面上的視訊會議產品變得熱門，用戶數均大增，不過，其中一家視訊會議Zoom卻引起了各種的安全爭議，例如，該公司被踢爆產品服務沒有全程加密技術（End-to-End encryption，E2EE），卻聲稱自己使用該技術，有誤導與欺騙的問題存在，還有加密作法不夠周延，以及其他地區的會議金鑰會由中國資料中心傳遞等問題，加上一連串的漏洞問題被爆出，雖然，後續Zoom也宣布啟動90天安全計畫將改善資安，但外界對該公司產品的安全與信任方面，仍然存疑。

最近，Zoom執行長袁征在第一季財報會議上，特別公布，未來他們會將E2EE加密功能提供給付費版用戶，但免費版用戶則不會享有這樣的功能。

在這次的財報會議中，JPMorgan分析師Sterling Auty就特別針對技術方面問題提問，希望能了解該公司何時將提供E2EE全程加密功能。

袁征先從產業現況來簡短說明，他說，多數視訊會議廠商都使用AES 256位元GCM或CBC加密模式，因此這就是產業標準。

當中他也提到如果啟用E2EE全程加密的問題，例如，將無法用傳統電話撥入，也無法支援硬體視訊會議設備H.323的連線，此外雲端視訊錄影也將受制而無法使用，所以現在多數視訊會議產業都不提供這樣的功能。

從上述回應來看，說明了原本的雲端視訊會議服務，由於擴展到硬體視訊會議的支援，因此在E2EE的問題方面，是比較複雜一些，換言之，對於只有行動視訊應用的產品型態而言，要實作E2EE可能較為容易。不過，對於先前為何他們要聲稱採用E2EE的技術，造成使用者可能被誤導，這次並沒有提及。

此外，袁征表示，他們認為，Zoom還是需要提供這樣的進階功能給使用，如果用戶覺得會議相當重要，可以在功能有限的情形下啟用加密功能，這樣也還可以讓傳統電話撥入。

根據袁征的說法，針對企業付費版的用戶，他們正在開發E2EE，成為付費版內建功能，但不會將這樣的功能提供給免費版用戶。同時他也提及這麼做的原因，是因為與FBI或政府執法合作方面，希望讓大眾可以更好去使用Zoom，避免不當用途。

對於袁征上述所提，前Facebook資深首席安全官、現任Zoom安全顧問Alex Stamos，也在Twitter上說明更多資訊。當中他提到，該公司不會主動監控會議內容，並強調未來也不會，此外，Zoom正在處理一些嚴重的安全問題，包含有外人突入打擾會議時，會議主持人可以舉報，並說明Zoom正與執法單位打擊這樣的行為。

先不論因應執法單位的說法，但至少，現在Zoom能明確說明付費版的E2EE功能正在開發，免費版則不會提供。

對於視訊會議產品在E2EE功能問題，我們也曾訊問國內廠商的動向。在今年4月9日，我們將這方面的問題詢問國內視訊會議廠商訊連科技，當時他們明確表示，以訊連的產品而言，U企業版可選購E2EE全程加密功能，免費版沒有提供，隔日他們也發出新聞稿，指出該選購方案可將U會議的視訊會議進行E2EE加密，也可針對U通訊所傳輸的文字、貼圖與圖片，進行E2EE加密。而這樣的功能，他們是在2018年提供。

至於E2EE方面的其他討論，一般外界最常比較的對象，通常則是通訊軟體的視訊功能，像是Line、Telegram，以及蘋果iMessages與臉書的WhatsApp，相對地，視訊會議平臺通常聚焦多人視訊與簡報分享。此外，就E2EE的實作範圍而言，也是一個切入面向，以國人熟知的Line而言，在E2EE上的功能，清楚說明了加密內容是文字訊息、位置資訊，以及一對一免費通話。而Telegram前陣子則宣布，未來將推出多人視訊功能，並將提供安全的加密技術。

微軟在上周更新了支援文件，表示已開始透過Windows 10內建的自動更新機制，主動將使用者的舊版Microsoft Edge，升級到基於Chromium的新Microsoft Edge。

微軟今年2月就開始將新版Microsoft Edge遞送給Windows 10預覽版用戶，現在則是正式發表至所有Windows 10穩定版上。

可接收新版Microsoft Edge的Windows 10版本，涵蓋Windows 10 1803、1809、1903、1909與2004。

根據該文件的說明，舉凡過去在Windows 10上可看到的Microsoft Edge蹤跡，都會自動置換成基於Chromium的新版Microsoft Edge，像是開始功能表、動態磚與捷徑等；新版Microsoft Edge也會直接釘選在工作列上，並在桌面上出現捷徑；若企圖要啟用舊版Microsoft Edge，也會被導向新版Microsoft Edge；但舊版所存放的密碼或我的最愛等資料，則會被轉移到新版。

轉換成Chromium版Microsoft Edge之後，使用者將可安裝所有的Chrome擴充程式，只是它預設的搜尋引擎為Bing，另也支援Azure Active Directory（AAD）、IE模式、4K串流、杜比音效，以及可在PDF檔中作筆記等功能。

又一個由多家科技公司組成的非營利組織成立了，新的聯盟稱為InterWork Alliance，目標是要建立令牌（Token）生態系的新標準。這個無關平臺的聯盟初創成員，包含了科技公司、金融組織以及區塊鏈新創，如Nasdaq、IBM、微軟以及Accenture等，由Azure區塊鏈首席架構師，同時也是微軟董事會成員的Marley Gray，擔任聯盟主席，而總裁則是來自以太坊聯盟（Enterprise Ethereum Alliance，EEA）的Ron Resnick。

InterWork Alliance提到，令牌讓用戶能夠定義、交換以及使用有價物品，無論是加密貨幣，或是其他形式的價值，諸如藝術品、資產以及忠誠度積分等，都可以透過令牌化價值進行交換以及使用。而InterWork Alliance便是要對令牌的定義方式，以及各種協定和條款取得共識。

InterWork Alliance會提供企業需要的框架，用非技術性的商業術語來創建標準化令牌定義和合約，並方便開發人員將這些定義和合約轉成程式碼。該聯盟會提供Token Taxonomy框架，其包含通用語言和工具集，讓各方可以就令牌定義、交換方式以及價值達成共識，也會提供InterWork框架，讓企業使用令牌標準相關的條款，組合成多方合約，之後企業無論採用何種技術，都可以定義通訊協定並連接到框架元件。

該組織還會提供分析框架，讓企業能夠從多方合約中的隱私保護分析以及共享資料模式，獲得額外的商業價值，產生加值人工智慧服務以及市場驅動的資料報告。InterWork Alliance表示，令牌化資產和可推動這個趨勢的分散式應用程式，可進行各種組合應用，透過標準化元件屬性、令牌行為以及合約，分散式應用程式在不同技術平臺的互通能力將獲明顯改善，同時也可讓個人、企業和監管單位，能夠更清楚地理解令牌系統的運作。