美國公路安全保險協會（Insurance Institute for Highway Safety，IIHS）近日發表一研究報告，指出當外界以為自駕車有一天會讓車禍成為過去式時，事實並非如此簡單，根據他們的研究，在美國所發生的5,000起重大車禍中，自駕車大概只能減少1/3的車禍發生。

IIHS的研究人員Alexandra Mueller檢驗了在美國國家公路交通安全管理局中，登記在案的逾5,000起重大車禍，篩選對象為至少有一輛車被拖走或是呼叫了救護車，並將這些車禍的人為疏失分門別類，發現就算駕駛的是自駕車，也只能避免1/3的車禍。

人們通常認為自動駕駛系統可以去除人類開車的失誤，因此Mueller也只分析了因人為因素而造成的車禍，可能的原因包括感知錯誤，例如駕駛人分心、視線不良或反應太慢；或者是預測錯誤，像是駕駛人誤判行車距離、其它車輛的速度或行人的動向；有些是規畫與決定上的錯誤，諸如在控制車輛時出現不適當的閃避錯誤或過度補償；以及喝酒、吸毒或打瞌睡所造成的失能意外。另有一些難以避免的意外，是因為車輛故障所造成的。

在有了上述資料之後，研究人員想像未來所有道路上的車輛都是自動駕駛的，但也只能避免來自感知錯誤與失能的車禍意外，而它們分別只占車禍原因的24%與10%，代表仍有2/3的車禍難以避免。

研究人員以2018年3月Uber自動駕駛測試車在亞利桑那州撞死一名行人為例，指出該自動駕駛系統一開始即無法很準確的辨識待在路邊的行人，就算它能夠辨識，也無法預測行人會從車輛前方穿越馬路，因而未能採取適當的措施。

至於規畫及決定上的錯誤則包括超速及其它違規行為，占了所有車禍原因的4成。研究人員說，此類的決策錯誤代表駕駛人的開車習慣或喜好，凌駕了自動駕駛車的安全選項，未來的自駕車設計應該在兩者發生衝突時，以安全為優先，不僅應遵守交通規則，也應根據道路狀況調整駕駛策略，還必須能夠因應道路上其它使用者的不確定性。

臉書在去年10月的時候，公告將會標註出受國家控制的媒體，而這項政策現在開始實施，因此由俄羅斯政府所控制的RT、Sputnik和Redfish，以及中國政府控制的新華社和中國中央電視臺，都已經在透明度頁面中被添加註記，讓讀者能更清楚的知道，這些媒體背後的控制者是誰。

臉書提到，他們之所以要提供更完整的媒體透明度資訊，是因為這些媒體運用自身影響力，來支援國家策略，而讀者應該了解他們所閱讀的新聞，來自於被政府控制的媒體。從夏末開始，臉書在這些媒體的廣告上，也會加註同樣的提醒資訊，讓媒體的付費內容也具有同等的透明度，臉書提到，他們會先從部分媒體開始，隨著時間逐漸增加。。

這個新的註記，會出現在廣告檔案庫頁面（Ad Library Page）、一般頁面以及頁面透明度區塊上，而美國從下周開始，該註記還會出現在動態消息中的新聞貼文上。

臉書諮詢了全球65位媒體、治理、人權以及發展專家，了解政府對於媒體控制的方式，臉書不只將財務控制和所有權列入考量，同時也考慮了政府對編輯控制的影響，制定了臉書自己的標準，以這項標準來評斷媒體是否受政府控制。

臉書制定的標準，會評估制度的完整性，媒體必須建立程序、流程和保護措施，以確保編輯的獨立性，並且公開所有權結構，包括媒體擁有者、利益相關人、董事會成員、管理階層以及由政府指派的領導職位等資訊。

另外，編輯部也要公開主管和員工的資訊，說明其編輯方針，像是內容來源的透明度，以及資料來源的獨立性和多樣性，媒體必須要有完整的治理和問責機制，像是有懲戒政策、投訴程序、外部評估和監督委員會等。

當臉書能夠確定媒體具有編輯獨立性，便不會加註標籤，因此要證明其獨立性的媒體，可以提出上訴，並提供有力的證明，像是提供媒體所屬國家，具有保護該組織編輯獨立性的法令，還要經由獨立且可信的外部組織進行評估，確定媒體確實遵守法令，並且按照建立的程序執行，而臉書也會考慮特定國家因素，諮詢學者和專家，對新聞自由等領域進行開源研究。

雖然由國家控制的媒體很少在美國下廣告，但由於2020年11月即將舉辦美國大選的公開辯論，臉書提到，出於謹慎考量，他們在今年夏末，將不讓這些媒體在美國投放廣告，以防範其他國家對美國選舉的干預。

遭到臉書標記為受國家控制的俄國媒體RT，則大力抨擊臉書大小眼執行標準不一，像是對BBC新聞，僅標記其由英國廣播公司（British Broadcasting Corporation）所有，而英國廣播公司則是英國主要的公共媒體機構，是由英國政府成立的廣播機構。

加拿大官方的特許專業會計師協會（Chartered Professional Accountants of Canada，CPA）近日對外公告，該協會的網站遭到未經授權的第三方入侵，大約有32.9萬名的個人資料外洩，包括該站的會員以及其它相關人士。不過，CPA其實是在會員已經收到駭客的網釣郵件之後，才知道該站被駭了。

CPA是由加拿大的三個會計師組織合併而成，屬於國家組織，有超過21萬名的特許專業會計師會員。該協會在公告中表示，駭客所存取的資料庫主要存放了與寄送CPA雜誌有關的個人資訊，包括姓名、地址、電子郵件帳號，以及雇主名稱，還有部份加密的密碼與信用卡號碼。

儘管CPA是在今年6月才通知受害者，警告這些資訊可能被駭客用來執行網釣攻擊，請他們要留心任何可疑的電子郵件，包括那些自稱是CPA的郵件在內。然而，BleepingComputer卻踢爆，CPA是在會員已經收到網釣郵件之後，才察覺自己的系統被入侵。

事實上，CPA曾在今年4月向會員提出警告，因為有會員收到偽裝成自家公司IT部門的郵件，聲稱CPA網站遭駭，要求會員變更CPA密碼，當時CPA還說，他們正持續監控其網路平臺的安全性，而且未發現有任何異常現象。

只是在一個月後，CPA就承認自己被駭了。CAP僅說已與網路安全專家合作以強化系統安全，並未揭露遭到駭客入侵的時間點。

AWS新推出使用第二代AMD EPYC處理器的執行個體C5a，C5a是C5執行個體的變體，AWS提到，C5a能比同等級執行個體以低10％成本，提供高效能處理。

AWS已經推出了一系列使用AMD處理器的執行個體，包括M5a、R5a/M5ad、R5ad以及T3a，這些執行個體都是以AWS Nitro系統為基礎建置，讓用戶能以比同等級M5、R5與T3執行個體還要低的價格，選擇符合自身性價比需求的執行個體。

C5a執行個體經過最佳化，使用時脈達3.3 GHz的AMD處理器，適合用於處理各種運算密集的工作負載，像是批次處理、分散式分析、資料轉換、日誌分析和網頁應用程式。

提供C5執行個體的AWS服務，現在也提供C5a執行個體支援，像是AWS Batch、Amazon EMR、ECS和EKS，AWS提到，C5a完全相容64位元x86，並且由同樣的Nitro平臺上託管，AMI可在兩者間通用。C5a現在已經在美東、美西、歐洲和亞太地區，提供8種尺寸的C5a執行個體。

官方還預告，帶有快速本地端NVMe儲存的C5ad執行個體，還有裸機C5an.metal和C5adn.metal等執行個體型號也即將推出。

近年來，人工智慧已成為熱門的IT技術應用議題，從IT廠商到各產業，都可看到不少導入的案例，然而，企業實際採用AI的狀況究竟如何，各界都很關注。

今年上半，我們看到已經有業者揭露相關的現況。例如，以出版電腦資訊書籍而聞名的O’Reilly公司，在三月發表發表了調查報告，裡面提到幾個可以參考的數據。

例如，正在評估或在生產環境使用的企業比例，已高達85%；有一半的人表示，他們對於AI的採用方式是成熟的，意味著將AI用於分析或正式環境。

而在機器學習的技術當中，監督式學習是AI採用成熟者最常用的作法，比例為73%，比去年下滑7%，深度學習的採用比例為66%；而仍在評估AI的人士，最常採用的方式是深度學習，比例為55%，監督式學習則是54%。值得注意的是，在AI採用成熟者當中，有接近25%的人表示，他們使用增強式學習（Reinforcement Learning），另外，也有23%的人使用遷移學習（Transfer Learning）。

至於企業採用AI的障礙，多數人表示，缺乏機器學習與人工智慧的技能是最大的困難，而在技能缺口的部份，有58%的人表示，他們缺乏機器學習建模人員與資料科學家。採用AI的第二、三大挑戰，則分別是理解與維持商業應用案例（49%），以及資料工程（40%）。同時，有22％的人認為，缺乏機構支持是最顯著的問題，他們也看到少數組織的作法，是運用正式的治理控制來支援AI的努力投入。

而在AI應用軟體上，TensorFlow是最普遍使用的工具，比例為55%，而就AI五大熱門軟體來看，就有四種與Python有關，有的是基於這個程式語言而成，有的則是相關的程式庫、設計模型、專案。

至於使用AI的風險，有53%的人表示，出乎意料之外的輸出與預測，是建構與部署機器學習的最大風險（採用AI成熟者這麼認為的比例接近三分之二，AI評估者為53%）。而就第二大風險而言，採用AI成熟者認為是機器學習模型的互通性與透明度，占55%；AI評估者則認為是公平性、偏見與倫理學的爭議，將近40%，而這也是採用AI成熟者認為的第三大風險，占48%。

除了透過使用調查來反映企業AI採用現狀，另一個需要注意的問題則是：企業已經準備好採用AI了嗎？我們也看到有多個研究機構，提出了AI成熟度模型評估方式，例如，在Forbes網站的一篇文章〈5 Steps To Get Digital Enterprises Ready For AI Adoption〉，作者Mark Minevich列舉了7種作法，並彙整為1套AI先行者成熟度模型，當中區分成9個等級，有意採用AI的企業，也可以看看這裡面的分法，並反思本身目前處於何種狀態。

整體而言，這幾年以來，企業對於AI的採用意願並不低，投入發展的機會相當高，而在今年武漢肺炎肆虐之下，各界如何善用AI來控制疫情，成為眾所關切之處，使得AI不僅是企業長期發展的策略，也能在短期、緊急的狀態下，提供、補充與強化應變能力。

對此，有些研究機構也提出建言，例如，Garter在5月發出新聞稿指出，對於政府與醫療照護的CIO而言，他們認為，AI可以改善5個領域的決策制定品質，分別是：早期偵測與流行病分析、封鎖隔離、分類與診斷、健康照護的維運、疫苗的研發。

同樣受到疫情衝擊的其他產業，其實，也可以思考如何運用人工智慧的技術，來提升既有的作業效率，並且積極發展自動化處理的作法，減少實體的人員接觸。

過去，若提出這樣的建議，很多人會覺得不切實際，這只是為了滿足技術狂熱者追逐新科技的興趣，但如今全球性大規模急性傳染病來襲，已是無可逃避的現實，發展已久的IT、數位化，因為可以跨越實體環境的限制，而且穩定提供服務，此時足已承擔業務持續運作的重責大任，然而，接下來，該如何能更準確、快速地作出判斷，我們需要更懂得善用資料庫、大數據、人工智慧等資料科技，來提供協助。

為了挑戰Zoom及再衝高Teams用戶數，微軟上周（6/2）開放免費版本用戶得以建立視訊通話。

在此之前，免費版Microsoft Teams用戶只能作為與會者（participants）身份加入付費版用戶建立的視訊。而因應武漢肺炎（COVID-19）疫情，和付費版一樣，微軟表示視訊會議的時間長度也不設限。

從Teams左邊工具列的Meetings（會議），使用者可以選擇Meet Now立即建立視訊。填入會議名稱、使用影像與否（或只要聲音）、挑選偏好的聲音源，最後按下「Join Now」加入，再邀請他人加入會議。另外，也可以選擇「Schedule」安排日後的會議，使用者可以從Outlook、Google Calendar，或是從通訊軟體向他人發送邀請。

這是微軟近日為Teams加入的眾多功能之一。其他新功能包括主持人在Teams會議進行間變更Teams設定、管理與會者簡報、更清楚的邀請與會者加入選項，最新的4.4.4.1.0版Microsoft Teams Rooms (Skype Teams Rooms)會議室App，以及三月宣布的Teams和Skype消費版(Skype for Consumer)互通。

微軟上周還向媒體證實正在開發7x7窗格顯示功能，使螢幕上一次可以顯示49個人，以取代現在的3x3（9個人）窗格。

微軟希望能藉此累積更多用戶以追趕Zoom。Zoom上周公布第一季營收達3.28億美元新高紀錄，比去年同期成長169%，每日與會者為3億人次（未公布用戶數），而根據微軟四月宣布的數字，Teams每月不重複的用戶數為7,500萬人。

蘋果上周五（6/5）宣布一項開源專案，讓密碼管理員開發商更快速建立和受歡迎網站相容的強密碼，同時迫使網站不要使用「太機車」的密碼規則。

原本蘋果的iCloud Keychain平臺已經在用戶建立Apple帳號或變更密碼時，用於產生強密碼。最新的「密碼管理員資源」（Password Manager Resources）專案，則是讓密碼管理員開發商把Keychain這方面的know-how整合到App中，以便App能產生更好用的強密碼。

蘋果指出，市面上有許多密碼管理員App，可為用戶產生獨特強密碼，以免用戶自己想出的密碼容易被猜出或重覆使用。但如果密碼管理員App產生的密碼和網站不相容，用戶不便使用發生挫折，也多了理由不想設密碼。如果把各網站的密碼規則要求蒐集起來，可以解決上述問題，另一方面，公開網站服務的過於刁鑽的密碼政策，也可以藉由點名施加標準化的壓力。

現在蘋果已將密碼管理員資源公布於GitHub上，這些資料主要是受歡迎網站的特殊習性、行為和相關程式碼，這包括三類：如產生特定網站相容密碼的規則、一群後臺使用相同憑證架構的網站（方便App產生登入網站的憑證）、以及引領用戶前往變更密碼的網站連結（以促使使用者採用強密碼）。

蘋果指出，密碼管理員App開發商使用這些資源的好處包括：取得這些資源他們可以花更少心力提升App品質，藉由公開網站特殊行為，密碼管理員App可促使網站使用現有或未來的標準技術提升兩者的相容性，而這類App品質提升後，也更能提升用戶信賴，對大家都好。

蘋果除了鼓勵App開發商整合這些資源，也希望開發商們將手上知道的網站特殊習性回饋給專案，以便其他App開發商也能雨露均霑並加以測試。

美國國土安全部上周（6/5）發布公告，要求用戶儘速修補一個已有修補程式的Windows 10安全漏洞，因為相關攻擊程式正在網路上流傳。

國土安全部下的網路安全暨基礎架構安全署（Cybersecurity and Infrastructure Security，CISA）得知網路上已經可供下載且有效的概念驗證（proof-of-concept, PoC）程式，正在開採未修補Windows 10 PC上的CVE-2020-0796漏洞。雖然微軟三月間即已揭露該漏洞，且釋出安全更新，但是最近有開源安全報告發現，一群攻擊者已經瞄準尚未修補該漏洞的系統發動攻擊。

CVE-2020-0796為一遠端程式碼執行（RCE）漏洞，存在於Microsoft Server Message Block 3.1.1（SMBv3）協定中，可讓遠端駭客傳送惡意封包到SMBv3伺服器觸發，於目標Windows 10機器上執行任意程式。本漏洞影響Windows 10 1903/1909，以及Windows Server 1903/1909等版本作業系統。

CVE-2020-0796為一「wormable」的漏洞，意謂使用者無需動作，駭客即可成功開採，本漏洞CVSS基準風險評分為最高級的10分（即滿分），意謂風險極為重大（critical），又被稱為SMBGhost漏洞。由於微軟未能在當月的Patch Tuesday修補，迫使微軟緊急發出例外安全更新。

CISA建議用戶及企業IT管理員儘速安裝更新版本杜絕這項漏洞，並使用防火牆關閉SMB傳輸埠的對外連線。

BlackBerry資安研究單位與KPMG合作，最近發現了一個稱為Tycoon的勒索軟體，這個軟體以木馬化JRE（Java Runtime Environment）形式部署，研究人員提到，雖然Tycoon已經存在一段時間，但他們沒有觀察到大規模感染狀況，代表其具有很高的針對性。

研究人員第一次在網際網路上觀察到Tycoon是在2019年12月，這是一個針對Windows和Linux的多平臺勒索軟體，其使用了特殊的Java映像檔格式來規避偵測，並經高針對性的感染途徑，滲透到中小型的教育組織和軟體公司，藉由加密檔案伺服器來要求被害企業支付贖金解密。

經分析，Tycoon透過暴露在網際網路的RDP跳轉伺服器入侵企業網路，攻擊者使用網路上的RDP伺服器連接到系統，並且搜尋目標，尋找管理員的憑證，接著安裝駭客攻擊服務並且禁用防毒軟體，在留下後門後便離開。之後攻擊者會再次連接到RDP跳轉伺服器，並且把該伺服器當作樞紐，橫向地在網路中移動，連接到企業各系統，經過分析後，執行駭客攻擊服務，並以批次檔安裝勒索軟體，逐一感染企業網路中的伺服器。

為了讓惡意程式在受害者系統可長時間留存，攻擊者使用了一種稱為映像檔劫持（Image File Execution Options，IFEO）注入的技術，IFEO設定會儲存在Windows註冊表中，原本是讓開發者可以在執行主要應用程式的時候，能同時執行附加監控程式，來對主要應用程式進行除錯，而駭客利用這個方式載入惡意程式，作為獨立的程序執行。

攻擊者還使用了駭客攻擊工具禁用了企業網路的安全解決方案，並更改Active Directory伺服器密碼，讓受害者無法存取系統，最後，攻擊者執行了Java勒索軟體模組，對所有檔案伺服器加密，包括連接到網路的備份系統。

Tycoon勒索軟體是以ZIP檔案的方式散布，其中包含了一個木馬化的JRE，該惡意軟體被編譯成為Java映像檔（JIMAGE），研究人員提到，JIMAGE是一種特殊的檔案格式，用來儲存自定義的JRE映像檔，這個JRE映像檔會在執行時給JVM使用，其包含了支援特定JRE建置程式的所有Java模組資源和類別檔案。JIMAGE是在Java 9開始提供，不像是常用的JAR格式，JIMAGE通常用於JDK內部，相關的文件資源也很少，一般開發者很少使用。

勒索軟體映像檔解開後，裡面包含命名為Tycoon的專案，研究人員提到，因為JRE包含了Windows和Linux版本，這代表Linux伺服器也在鎖定目標中。

勒索軟體使用AES-256演算法加密檔案系統中的檔案，並且以10 MB為單位加密成檔案塊，研究人員解釋，勒索軟體會跳過大檔案，以求加速加密過程，更快地讓整個系統無法使用。由於勒索軟體使用非對稱的RSA演算法，對AES金鑰進行加密，因此要解密檔案，便需要攻擊者的RSA私鑰。雖然理論上可以破解1024位元RSA金鑰，但需要用上非常大量的運算資源，目前也尚未有實現的例子。

不過，在網路論壇有一名受害者發布了一個RSA私鑰，研究人員推測該私鑰來自於支付贖金的受害者，所取得的解密金鑰，而經過他們試驗，該金鑰可以破解最早版本的Tycoon勒索軟體加密的部分檔案，但在最新版本的Tycoon便已經失效。

發現Tycoon勒索軟體的重要性在於，該惡意程式應用了非典型的駭客技術，研究人員提到，攻擊者一直在尋找可以規避偵測的方法，而事實證明，這些惡意軟體開始使用一些非傳統的混淆技術，採用了不常見的程式語言以及資料格式，用Java和Go程式語言所撰寫的勒索軟體大幅成長，而Tycoon是他們發現第一個使用JIMAGE格式的惡意JRE程式。

ID Ransomware的創辦人Michael Gillespie近日指出，有人在市場上釋出了勒索軟體STOP（又名Djvu）的解密工具，然而，千萬不要相信這些來路不明的解密工具，因為它其實是另一個勒索軟體Zorab假冒的。代表Zorab企圖利用受害者急於解密的心情，卻再次加密那些已經被加密過的檔案。

去年現身的Stop勒索軟體主要透過金鑰產生器及破解程式散布，當時市場上至少有160種變種，但資安業者Emsisoft與Gillespie則共同釋出了一個可解鎖當中148種變種的解密金鑰。

然而，Gillespie發現，市場上卻出現假的Stop解密金鑰，且執行後它竟然是另一個勒索軟體Zorab。

過去Zorab主要是透過垃圾電子郵件或電子郵件附加檔案散布，但也許是覬覦STOP的受歡迎程度，因而偽裝成STOP的解密工具。根據Emsisoft去年的統計，Stop在勒索軟體領域的市占率高達56%。

使用者即抱怨，為何會有人想以勒索軟體感染已被另一勒索軟體感染的裝置，而讓受害者雪上加霜。

Cointelegraph引用Emsisoft分析師的看法指出，這是在提醒使用者，務必要從可靠的來源下載解密工具，否則可能造成二度傷害。

最早開發出武漢肺炎（COVID-19）接觸追蹤程式TraceTogether的新加坡，由於在iPhone裝置上不好用，因此新加坡政府宣布將改推穿戴裝置達到同樣的目的，並將於近日推向所有國民，但也引發侵害隱私的疑慮。

主導開發TraceTogehter的新加坡智慧國家計畫（Smart Nation initiative）的外交部長Vivian Balakrishnan 解釋，從三月以來，TraceTogether的下載量為150萬人，但由於iOS不允許該App背景運作時掃瞄藍牙訊號，因此這款App在iPhone手機上運行不那麼順暢，無法同時使用其他App，因此目前民眾下載意願不高，新加坡政府也未強制安裝TraceTogether。

但同時他也宣布，基於無法透過和蘋果協調出解決手機App的問題，新加坡正在開發一款「可攜穿戴裝置」，並將於近日釋出。這款裝置作用和TraceTogether目的相同，但不需要用到智慧型手機，而若該裝置測試可行，將發放給570萬新加坡國民，希望能比手機App方案更能「涵括所有人」。

這個穿戴裝置可能是類似香港或巴林等地，使用追蹤武漢肺炎隔離者的電子腕帶，能在無法用手機的情境下使用。

雖然新加坡政府保證TraceTogether蒐集的資料，是加密儲存於用戶手機上，且僅會在有人確診感染才會在用戶授權下供衛生主管機關存取，也會在25天後自動刪除。但這項新宣布仍引發侵害隱私的反彈聲浪。一個公民團體Change.org發起連署，反對這款用於接觸追蹤的穿戴裝置強制實施。

這個活動發起人Wilson Low指出，這裝置允許追蹤者根據裝置和其他人手機、基地臺甚至裝置之間的距離，來詳細蒐集國民的一切行蹤，而不論國民是否手機帶在身上、手機是否開機、是否在基地臺訊號範圍內，或者是否開啟藍牙或Wi-Fi，都無法免於被追蹤。唯一方法是裝置本身電量耗盡、使用發射干擾訊號的裝置，或是完全離群索居不和人接觸，不使用智慧型手機。

Low還指出，新加坡政府可能接下來透過立法要求國民不得關閉裝置，使新加坡走向警察國家的道路。

這個連署計畫蒐集3.5萬人支持，目前已經有超過2.9萬人加入。

印度獨立安全研究人員Athul Jayaram近日揭露，他發現利用Google搜尋，就可以找到2.9萬筆到3萬筆的WhatsApp用戶電話號碼，而問題則出在於WhatsApp的點擊對話（click to chat）功能。

WhatsApp雖然是以電話號碼作為註冊依據，但新增好友時不一定要提供電話號碼，而是只要掃描QR code即可。然而，WhatsApp特別替網站或商家設計的點擊對話功能，則是透過[https:]//wa.me/產生一個含有電話號碼的連結，使用者只要點選該連結，就會開啟WhatsApp，並可傳訊給對方或是與對方通話。

Jayaram指出，一來該連結並未加密，因此使用者從連結中就能看到明文的電話號碼，若是大量分享連結，曝光的範圍就更大了；二來 https:// 檔案，因而讓搜尋引擎得以爬梳並索引這些電話號碼。

於是，當在Google上執行特定的搜尋字串時，就會出現大量的WhatsApp電話號碼，點選相關的連結，即可透過WhatsApp與對方傳訊或通話，當然也可直接傳送簡訊至該電話號碼，此外，若加上國碼，也可將搜尋範圍縮小至特定國家，也許是台灣使用WhatsApp的人數不多，當加入+886進行搜尋時，只出現3筆結果。

由於WhatsApp為臉書的子公司，因此Jayaram企圖透過抓漏獎勵專案聯繫臉書，但臉書則說該專案並未涵蓋WhatsApp。Jayaram在6月7日對外公開了此一臭蟲，而今日（6/8）依然可透過Google找到大量的WhatsApp用戶電話號碼。

Jayaram表示，使用者的電話號碼可能連結了加密錢包、銀行帳號或信用卡，並讓駭客有機可趁，而WhatsApp其實只要加密連結中的電話號碼，或建立robots.txt就能預防此事了。

在5月20日前後，有多家臺灣大型企業遭到勒索軟體攻擊，像是半導體封測廠力成的湖口廠區在5月初遭到攻擊，如今又傳出有高科技業者受害。6月7日下午2時，自動化設備廠盟立於臺灣證券交易所公開資訊觀測站上，發出公告表示，他們的資訊管理系統遭到勒索軟體攻擊，導致資料庫無法正常存取，目前啟動備援作業並逐漸復原，公司機密資料沒有遭受波及。

盟立也在這次的公告提到，這次的攻擊事件對他們沒有重大影響，並表示公司的財務管理系統、倉儲管理系統，以及人事系統均為正常，只是為了避免勒索軟體感染出現擴散的情況，他們的客戶和供應商資訊系統，還有軟體的更新工作，改用離線的方式來作業。

在盟立的公告裡，只有提及他們是遭到勒索病毒攻擊，還有如何進行相關的因應措施，但沒有提到此次攻擊事件發生的經過。對此，我們致電盟立進一步詢問，該公司財務長林芳毅表示，在接近6月6日中午，他們的資安維運中心監控系統發出警示通知，於是資訊人員進行清查後發現，有部分的資料因電腦遭到勒索病毒感染，導致無法正常存取，隔日早上，他們就收到要求支付贖金的電子郵件。發現異常之後，該公司就對於各項作業的伺服器，進行全面檢測，目前正逐步將受損的資料進行復原。不過，對於勒索病毒攻擊影響的範圍，以及有多少電腦受到感染，林芳毅並未透露相關的細節，僅表示他們不會向駭客支付贖金。

每月用戶數已超過1,500萬人的隱私瀏覽器Brave，在最近被踢爆，它在使用者要造訪特定網站時，私自以自動填入功能，加入了自己的推薦代碼，以賺取廣告收益。

揭露此事的是一名SEO專家Cryptonator1337，他說，當他在Brave瀏覽器鍵入binance.us時，Brave自動幫他填入並變成binance.us/en?ref=35089877，看起來像是Brave在他所輸入的網址上，自動填入了推薦代碼，此一代碼將允許加密貨幣交易平臺幣安（Binance）辨識其流量來源，並與其分享商業利潤。

在此事被踢爆後，其他開發人員檢視了Brave在GitHub上釋出的原始碼，發現Brave的合作對象不只是幣安，還包括Coinbase、Ledger與Trezor等其它加密貨幣交易平臺，是這些平臺的聯盟行銷夥伴，最早的合作日期為今年的3月25日。以Coinbase為例，若有行銷夥伴成功推薦了會員，那麼就能分享會員在前三個月於該平臺上交易手續費的5成。

開發人員批評，Brave自詡為隱私瀏覽器，既阻擋追蹤Cookie，也替使用者封鎖廣告，卻在未經使用者同意下於自動填入功能上動手腳，加入了自己的推薦代碼，破壞了使用者對該瀏覽器的信任，非常不可取。

Brave創辦人暨執行長Brendan Eich很快就出面承認錯誤，表示只推薦那些選擇參與廣告服務的使用者，也未透露任何使用者的資料予合作夥伴，但自動填入功能著實不應該被添加任何程式碼，對這個錯誤感到很抱歉。

Brave已經修改程式碼並移除自動填入功能上的推薦代碼，開發人員可自行部署新的程式碼，一般使用者則可在6月11日取得更新後的Brave。

不過，也有媒體替Brave緩頰，認為Brave並沒有擅自把使用者送到這些網站，只是在使用者原本輸入的網址上加入推薦代碼，畢竟Brave也需要營收來提供免費服務。

有214名科學家在近日刊登了一封公開信，目的是希望臉書創辦人暨執行長祖克柏（Mark Zuckerberg）能夠處置臉書平臺上的不實資訊，特別是美國總統川普（Donald Trump）煽動暴力的言論，受到矚目的是，這群科學家都是受到祖克柏與妻子Priscilla Chan所成立的組織贊助的，他們的研究計畫或者是來自Chan Zuckerberg Initiative（CZI）的贊助，有些則是透過Chan Zuckerberg Biohub取得贊助。

這群科學家認為，像臉書這樣的社交平臺，已一躍成為資訊交流的主要管道，儘管他們促進了全球的資訊流通，但同時也助長了不實資訊的散布，未經事實查核的訊息傳播將造成混亂，也會導致使用者對專家的不信任。

就算臉書設有內容政策，但令他們訝異的是，臉書並未依照該政策來處置川普的文章，放任川普利用臉書來散布不實資訊與煽動言論，例如川普所說的「一旦有人開始搶劫，就是開槍之時。」明顯就是在煽動暴力。

科學家們說，他們很榮幸獲得CZI的贊助，並協助實現CZI的理想：利用科技來解決最艱困的挑戰，從預防及根除疾病、改善兒童的學習、改革犯罪司法系統，一直到替所有人建立一個更包容、公正與健康的未來，然而，允許不實及分裂性語言的傳播有違此一目標，他們非常關心臉書所採取的立場。

因此，他們希望在美國面臨種族歧視風暴之際，祖克柏能夠對不實及煽動性言論採取更嚴格的政策。

對於是否移除或標註川普在臉書上的發言，已在臉書內部引起了紛爭，更被視為祖克柏掌權15年以來最大的挑戰。當時祖克柏表示，他知道許多人不滿臉書留下了川普的文章，但臉書的立場是儘可能地允許人們表達，臉書決定保留的原因是有關美國國民警衛隊的說法是一種行動上的警告，人們應該要知道政府是否正在計畫部署武力。

不過，為了撫平員工的不滿，祖克柏已於上周宣布將重新審查其內容政策，包括有關使用武力的討論與威脅，壓制選民的政策，以及如何處理違規內容等。

總部位於美國的航太服務供應商VT San Antonio Aerospace（VT SAA）在6月5日坦承，該公司受到Maze勒索軟體駭客集團的攻擊。另一方面，Maze則在官網上宣布，已經取得1.5TB的VT SAA資料。意謂著駭客可能以這些資料來要脅受害者支付贖金。

VT SAA為一航太服務供應商，主要提供飛機的維護與修改，以及組合零件的生產，迄今已重新遞送超過5,000架飛機。此外，VT SAA的來頭不小，它的母公司為ST Engineering North America（原名VT Systems），是新加坡科技工程有限公司（ST Engineering）在美國的總部，而ST Engineering則有逾94%的股權屬於新加坡國有的淡馬錫控股。

為了證明成功入侵了VT SAA，Maze集團公布了超過100份的文件，包括財報、網路保險契約及提案等。該集團還向Bleeping Computer透露，他們所取得的文件還有IT安全系統資訊，以及ST Engineering對拉丁美洲特定政治組織的金援。

VT SAA並未公布駭客的入侵途徑，但Bleeping Computer透過Maze集團外洩的攻擊備忘錄指出，駭客是先取得了一管理員帳號，透過遠端桌面連線存取VT SAA伺服器，再危害所預設的網域管理員帳號，襲擊了兩個網域的內部網路伺服器及檔案伺服器。

至於VT SAA則表示，在發現意外的當下，該公司即立即採取行動，包括切斷特定系統與網路的連結，聘請一流的第三方鑑證顧問以協助調查，也通知了執法機關。

目前VT SAA已遏止了駭客的攻擊行動，且相信該攻擊只侷限在有限的ST Engineering North America商業運作，現在的業務依然照常運作。

此外，VT SAA亦採取進一步的防護行動，包括部署先進的工具來補救並回復系統，同時強化了整體的網路安全架構。VT SAA並未公布駭客所要求贖金規模，也未提及是否會因擔心駭客公布機密資訊而支付贖金。

Maze集團向來以索取高額贖金聞名，去年該集團曾攻陷美國纜線製造商Southwire，並向Southwire索求價值約600萬美元的比特幣（850個）作為解密贖金，Southwire不從的結果是駭客公布了該公司的機密資訊，使得Southwire一狀告上法院。

電子書服務GitBook因為被利用來進行網路釣魚，因此域名被Google Domains停用，在GitBook解決了自定義域名的問題，並跟Google溝通後，域名已經重新恢復運作，官方提到，他們將來會改善惡意內容偵測和加快暫停帳戶的速度。不過，由於GitBook不滿意Google的處理方式，之後會把域名移動到CloudFlare Registrar。

在6月4日時，GitBook發現其大量服務無法使用，甚至無法使用@gitbook.com發送以及接受電子郵件，但由於服務本身正常，因此他們馬上發現是DNS供應商或是GitBook網域發生問題，而在之後他們也收到Google Domains團隊寄來的一封信，通知他們因為網域被用於網路釣魚，因此所有GitBook網域都已經被暫停使用。

GitBook在過去幾周確實發現平臺上網路釣魚內容增加，但是強調他們早已經封鎖了所有相關的內容以及帳戶，官方提到，Google也發現了這個問題，但做法卻是直接禁用所有GitBook網域，導致GitBook的服務失效，雖然他們已經盡可能把系統設計得能夠處理錯誤發生，但是網域名稱註冊商是一個單點服務，一旦遭到阻擋則服務將直接中斷。

在GitBook收到DNS遭禁用的信後，便立刻與Google Domains團隊聯繫，試圖找出問題所在以及可以採取的措施，Google的回應信中，提供明確遭到用於網路釣魚攻擊的網域，並要求GitBook進行第三方內容與漏洞掃描等行動，GitBook官方則表示，他們早已經在GitBook中封鎖該網域名稱，但整個網域還是被停用，而且Google要求解除網域停用的步驟，都非短期可以完成。

官方一邊以推特和Intercom聯絡其用戶，並提供臨時解決辦法，另一邊則是聯絡Google Domains團隊，而該團隊則提到要回報給法遵團隊，需要24到48小時才能提供回覆。官方集思廣益，想找出不依賴Google的解決方案，而在8小時後，他們收到來自Google的回信，表示已經恢復他們遭到禁用的網域，而GitBook的服務也逐漸恢復正常。

對整個事件的檢討，GitBook提到，未來他們會更積極地偵測惡意內容，過去雖然他們能夠偵測垃圾郵件，但仍屬於被動處理，未來他們會將所有要發布到GitBook網站的內容，先導到內容過濾服務進行掃描，主動偵測並且阻擋惡意內容。

此外，經過這個事件，GitBook也決定更換網域名稱註冊商，從Google Domains換到CloudFlare Registrar，官方提到，Google從網域層級來處理網路釣魚問題，成了他們的一場災難，他們收到的第一封信就是暫停他們的網域，之前完全沒有調查報告或是通知讓他們能夠回應，而且原因還是他們在一個星期前，就已經發現且禁用的內容。

官方表示，因為GitBook讓用戶在平臺上創建內容，因此惡意內容對GitBook來說，一直是個問題，而他們需要一個能夠合作的隊友，而非站在對立面的服務，因此他們決定把網域移動到CloudFlare Registrar。GitBook也認為，Google Domains不適用於那些託管使用者內容的網站，因為一旦網站上有單個URL被偵測為惡意URL，則整個網域就會被停用。

7月初，臺灣5G馬上就要開臺，在今天一場5G智慧工廠合作案活動上，遠傳電信總經理井琪也預告，5G正式開臺的同時，不只將提供消費端5G方案，針對5G的B2B業務，也將一併推出5G企業專網方案，同時也揭露自家企業5G專網服務更多細節。

緊跟在中華電信之後，遠傳本周預計將取得5G特許執照，但為了趕在7月初能準時開臺，該公司自4月底取得基地臺架設許可後，便積極布建5G，遠傳總經理井琪表示，截至目前，全臺已完成建置數百個基地臺，分布在北中南各地。未來5G開臺後，可望先在全臺六都與熱門商圈推出，讓用戶能搶先體驗。而在5G服務方面，她也透露，除了會推出結合AR/VR體驗服務，未來還會提供包含多視角3D立體影像應用、雲端遊戲等在內相關5G整合服務。

在今天活動，遠傳更直接在會場架設一臺整合天線與射頻功能的5G基地臺，來展示5G相關應用。現場以遠傳提供的5G手機測得的5G最高下載速度有到942 Mbps，上傳則為91.8 Mbps。

但顯然，相較於消費端，遠傳更大的企圖，會是在5G企業應用端。井琪表示，今年將以消費端和企業端合起來營收能達到130億元為目標，其中B2B業務部分，她預期今年可望達到28%的成長。

（圖片來源：遠傳5G白皮書）

在7月初，遠傳5G服務開通同時，該公司也將同步推出5G企業專網服務，這項服務主要涵蓋4種部署架構，分別為網路切片、企業專用基地臺、企業專用基地臺及資料面核心網，以及獨立組網共4種，並對應到企業不同場域的需求、建置成本及後續維運的複雜度，來滿足不同客群用戶的使用需求。

各別來看，其中第一種方案的部署方式，是將5G網路基地臺架設於企業外面，基本上，全部通訊還是得經由遠傳5G公網，只是用網路切片方式在5G實體網路切出一塊專屬企業用專網。第二種方案，則是把5G基地臺直接架設在企業裡，而無須與他人共用頻寬資源，只有該企業能使用，但5G核心網路（EPC）部分仍須與他人共用，因此，企業應用系統透過5G專網存取資料時，資料也較容易流到公網上。

至於第三個方案，企業本身除了會有專用5G基地臺之外，還多加一臺5G MEC邊緣運算設備，一併放進企業內，其中5G MEC主要負責處理就是用戶封包層（User Plane），它是5G核網兩個主要組成之一，另一個則是控制層（Control Plane），但遠傳透過虛擬化技術，將兩者自5G核網分離，改將用戶封包層放到更靠近用戶端的5G MEC設備，讓企業可以就近在距離自己最近地方來處理資料封包，同時也能確保這些資料僅在企業內流通，不會進到公網，確保資料隱私與資安。

遠傳網路暨技術群企業網路規劃與維運協理汪以仁表示，相較前兩種方案，第三種方案布建的複雜度較高，但好處是企業本身的應用系統，可以直接與5G MEC運算設備對接，無需經過遠傳機房裡的5G EPC核網。因此，可以避免企業資料流到公網上。他認為，這會是未來企業較容易採行的方案之一。至於最後一個方案，則是讓企業同時具備有獨立5G基地臺、獨立5G核網與5G MEC設備，等同於是在企業內建置一個具備完整電信功能的小型5G網路環境，獨立於遠傳5G網路之外，但相對布建成本就比較高。

若是針對全臺設有多個廠區或辦公室據點的企業，他也提到，如果一家企業，同時在北部和南部設有工廠，未來可以分別於南北兩地建置5G企業專網後，兩地中間再透過VPN網路專線方式來連接，就能做到跨廠商的專網部署。。

儘管，這項服務還沒正式推出，但目前遠傳已有和9家企業展開PoC驗證，這9家包含有來自高科技製造業、傳統製造業、零售業、醫療產業都有，甚至目前已有一家企業完成簽約，待5G開臺後，就會開始啟用其5G專網。除此之外，遠傳還有與政府合作在公開5G場域的測試，提供給想發展5G應用的新創，能在該場域來進行技術驗證。

由於臺灣即將開通的5G服務，會先以3.5GHz頻段使用為主，不過，汪以仁表示，考慮到部分企業應用處理需要更高速傳輸，單靠現有已取得3.5GHz頻段80MHz的頻寬，來做為5G專網的頻寬恐不敷使用，因此，他說，之後5G開臺以後，也不排除考慮採用速度更快的28GHz的5G毫米波頻段，能夠提供更大頻寬，以提供企業使用。

除了已取得3.5GHz與28GHz頻段，另一方面，對於政府推行5G專頻專網的部分，他也表示，目前已針對明年可能釋出的4.8GHz頻譜展開研究，並也採取相應的規畫與準備，以便未來企業取得專有頻譜後，依然可以提供他們相關5G網路基礎設施的建置，以供5G專網使用。

除此之外，在今天一場5G智慧工廠合作案上，遠傳也找來台達、微軟三方合作，未來將在台達桃園研發中心展示間打造5G智慧示範場域，並將先應用在AGV無人搬運車、生產線AOI瑕疵檢測、5G MR遠距廠房管理上。汪以仁透露，這項合作案，未來將可能採用方案3，也就是以5G專屬基地臺，搭配5G MEC邊緣運算設備的布建方式，來建立企業專用5G網路環境。

在今天一場5G智慧工廠合作案活動上，遠傳更直接在會場架設一臺5G基地臺，來展示5G相關應用。這樣的5G基地臺，目前遠傳在全臺已布建數百臺，並搭建在現有的4GLET基地臺的基礎之上。

現場以遠傳提供的5G手機測得的5G最高下載速度有到942 Mbps，上傳則為91.8 Mbps。

Amazon在電腦視覺和圖形辨識重要年度會議CVPR中，發表了三篇改善用戶線上購買衣物體驗的論文，除了改善文字搜尋商品的能力之外，也要讓系統能夠主動推薦能補充用戶已選擇商品的建議，並且還要讓系統能夠合成衣服到模特兒身上。

Amazon的第一篇論文描述了一種，能夠讓使用者透過文字描述，修正產品查詢的方法，像是用戶能以「我想要淺色的花朵圖案」，來改善產品查詢結果。研究人員訓練了一個擁有三個輸入的神經網路模型，三個輸入分別為來源圖像、文字修正描述以及與文字描述相符的目標圖像，這個主模型由位在工作管線中不同位置的三個子模型組成。

研究人員設計了一種可將文字描述表示，和圖像特徵表示融合在一起的方法，在工作管線中，來源圖像和文字描述表示，會先融合在一起，接著才與目標圖像相互關聯。

由於較低階的模型傾向表示像是材質與顏色等較低階的特徵，而較高階的模型表達袖子長短和鬆緊等較高階的特徵，因此這個新系統使用的分層配對（Hierarchical Matching）技術，有助於訓練模型，確保能在不同層次適當處理文字修正。

每種語言描述和視覺表現的融合，都由兩個獨立的元件模型執行，其中一個關注來源圖像和目標圖像需要維持相同的視覺特徵，另一個則關注要改變的特徵。經過測試，這個系統有助於提高搜尋到與文字修正相符結果的機率，較之前最佳系統提高58％。

而Amazon的第二篇論文，則是建議用戶購買能夠補充選購衣物的商品，研究人員提到，這項新系統能夠預測服裝和飾品的相容性，並在用戶選擇襯衫和夾克之後，推薦可搭配的鞋子。圖像會經過模型產生一個表示向量，向量會以遮罩處理，這個經訓練的遮罩，能夠對向量特徵進行調整，縮小部分特徵的影響以及放大部分特徵的影響。

當目錄中的每個物品都以向量表示，則要找出特定服裝的最佳搭配，就變成了向量配對的問題，研究人員提到，這個系統能以56.19％精確度推薦商品，較之前的系統表現都還好。

第三篇論文則是描述一個能將衣服合成到目標模特兒身上的系統Outfit-VITON，相當於虛擬試穿系統，將參考照片中人物的穿著，合成到另一張照片的模特兒身上，研究人員提到，Outfit-VITON使用對抗網路，由生成網路和判別網路的競爭產生最佳結果。

Outfit-VITON由三部分組成，形狀生成模型、外觀生成模型以及外觀修正模型，形狀生成模型會圈出要試穿的衣服形狀，並計算要試穿模特兒的身材以及動作，其輸出的形狀表示到外觀生成模型，外觀生成模型的工作和形狀生成模型相似，其會結合形狀生成模型所生成的結果，合成出模特兒穿著指定服飾的照片，接著由第三個模型進行微調，保留商標以及特殊圖案，研究人員表示，這個系統比以前的系統產生更自然的結果，能夠產生正確的分割圖，透果改變所選服裝的形狀，以符合目標人物。

IBM發布了完全同態加密（Fully Homomorphic Encryption，FHE）免費工具包，讓開發人員可以利用同態加密技術，在處理資料的同時，又能保護個人資料安全。目前這個工具包支援MacOS和iOS，在不久之後還會釋出支援Linux和Android的版本。

同態加密是一種加密類型，當使用者對加密資料進行特定形式的運算，會得到經加密的結果，將其解密所得到結果，會與未加密資料進行相同運算所得到的結果相同。

同態加密的發展可追溯至1970年代，由密碼學家Craig Gentry提出，並證明了這項理論的可行性，但這項技術一直都無法被真正的應用，因為其計算非常複雜，需要龐大的計算資源，對於日常使用來說過於緩慢。

IBM經過多年研究，改進了同態加密效能，因此現在IBM釋出的FHE工具包，已經可以滿足部分應用的需求，且隨著硬體不斷地發展，同態加密可應用的案例將越來越多，特別是那些受嚴格監管的產業，也將能外包資料儲存和運算。

IBM提到，雖現在檔案在傳輸以及儲存時都會加密，不過在運算時解密就提供了一個破口，讓駭客或是組織內部的有心人士，能夠洩漏這些未加密的資料，而同態加密則堵住了這個破口，因為同態加密讓資料在運算時，仍可維持加密狀態，最大程度降低資料暴露的風險，而且同態加密還能夠限制解密功能，讓特定對象僅看到有權存取的部分。

FHE工具包以HELib加密函式庫為基礎，其中包含了範例程式，讓開發人員能夠更快速地上手，使用同態加密撰寫程式。