April 2024

來源 iThome新聞 內容 4/8~4/14金融科技精選新聞

來源 iThome新聞 內容 伊朗恐怖組織哈馬斯週末對以色列發空襲，300架自殺式無人機、巡弋飛彈、彈道飛彈從伊朗發射，襲擊耶路撒冷，以及以色列南部尼格夫沙漠、北部的戈蘭高地，但在此之前，伊朗駭客也增加對以色列企業組織的網路攻擊強度。

來源 iThome新聞 內容 上個月底研究人員發現資料壓縮程式庫XZ Utils專案遭遇供應鏈攻擊，影響採用的SSHD元件，但採用此程式庫套件及其中的LZMA資料壓縮程式庫liblzma專案甚多，難道只有SSHD中招嗎？ 事隔兩週，目前尚未有相關組織或是研究人員提出進一步說明，然而，在此不明朗的情況下，類似的供應鏈攻擊事故再度傳出。

來源 iThome新聞 內容 在上週舉行的Google Cloud年度用戶大會期間，該公司針對一般用途工作負載的運算服務產品線，發表兩款標榜為第四代虛擬機器的解決方案：N4、C4，其共通點為採用2023年12月推出的英特爾第五代Xeon Scalable處理器（代號為Emerald Rapids），以及從第三代虛擬機器開始導入的資安、網路、儲存卸載架構Titanium，也是目前四大公有雲業者當中，率先基於這套運算平臺推出運算服務的廠商。

來源 iThome新聞 內容 2022年末ChatGPT爆紅，掀起大型語言模型（LLM）應用浪潮，為能夠在地化運用，國科會去年初就開始推動可信任生成式AI發展先期計畫（Trustworthy AI Dialogue Engine，簡稱TAIDE），來打造本土化LLM。經過1年多努力，國科會主委吳政忠今日（4/15）宣布釋出TAIDE-LX-7B，是一款結合臺灣文化的70億參數大型語言模型，可供產學研快速導入生成式AI、提供更多元服務。 具臺灣特色的可信任LLM

來源 iThome新聞 內容 兩週前微軟研究人員Andres Freund意外發現涉及SSH伺服器的供應鏈攻擊，並指出問題是在SSHD（Secure Shell Daemon）採用的資料壓縮程式庫XZ Utils，攻擊者對其中的LMZA壓縮演算法元件liblzma出手，在其程式碼埋入後門，潛伏長達3年，Red Hat將其登記為CVE-2024-3094列管，CVSS風險評分達到10分，震驚整個開源社群及資安界。

來源 iThome新聞 內容 在這一星期的漏洞消息方面，包含微軟、SAP、Adobe、西門子、施耐德電機等每月例行安全更新修補釋出，Rust開發團隊修補CVSS滿分10分的重大漏洞，以及LG修補智慧電視多個漏洞，而且，傳出5個漏洞已遭利用的消息。

來源 iThome新聞 內容 上週研究人員Netsecfish針對D-Link網路儲存設備（NAS）揭露高風險漏洞CVE-2024-3273，並指出該漏洞涵蓋2項弱點，確認有4款設備受到影響，估計全球有超過9.2萬臺可從網際網路存取的NAS曝險。 由於上述設備已達生命週期結束（EOL）狀態，D-Link表明不予修補，僅呼籲用戶應儘速淘汰設備，如今開始出現越來越多嘗試利用漏洞的情況。 威脅情報業者GreyNoise、Shadowserver基金會在Netsecfish揭露漏洞後進行追蹤，結果發現，事隔數日漏洞攻擊有顯著升溫的現象。

來源 iThome新聞 內容 阿姆斯特丹自由大學VUSec研究團隊揭露新型態的Spectre V2推測執行漏洞攻擊手法，他們透過自行開發的工具檢查電腦是否存在相關漏洞，結果發現在Linux核心有其他可利用的小器具（Garget），而且還能繞過所有Intel採取的Spectre緩解措施。 研究人員指出，這是首度發現存在於最新世代Intel處理器的Linux電腦的原生Spectre v2漏洞，攻擊者有可能以每秒3.5kb的資料量洩露核心記憶體的任意資料。

來源 iThome新聞 內容 Go團隊公開了最新開發者調查的結果，該調查其中一項值得關注的重點，是Go開發者在使用大型語言模型的狀況，以及對Go語言支援人工智慧應用開發的回饋。結果顯示，雖然不少Go開發者，已經使用Go或是希望將人工智慧工作負載搬遷至Go，但是卻都面臨函式庫與文件生態系不足的挑戰。 Go團隊針對開發者在生成式人工智慧應用程式的開發經驗，進行更深入的探究，調查發現，有50％的受訪者來自正在建置或是探索人工智慧服務的組織，其中又有56％的人正參與開發人工智慧功能，也就是整體受訪者的四分之一，正在開發或使用生成式人工智慧服務。