Solidot

上个月《华尔街日报》报道称中国黑客入侵了美国的电信基础设施，本周《华盛顿邮报》和《纽约时报》公布了更多信息。黑客组织被称为 Salt Typhoon，他们能利用美国执法机构在电信基础设施中设置的后门去监听电话和阅读短信。黑客无法监听加密的内容，意味着支持端对端加密的应用如 Signal 和苹果的 iMessage 可能不受影响，但苹果设备和 Android 设备之间的短消息使用的端到端加密方式不同，可能容易被 Salt Typhoon 拦截。

普林斯顿大学和斯坦福大学团队开发出一种新压缩算法 CALDERA，能精简大模型（LLM）的海量数据，为 LLM“瘦身”。这项算法不仅有助保护数据隐私、节约能源、降低成本，还能推动 LLM 在手机和笔记本电脑上高效使用。 团队举例称，当人们使用 ChatGP T时，请求会被发送到 OpenAI 公司的后端服务器进行处理。这一过程不仅成本高昂、能耗巨大，通常还很慢。如果用户想要使用消费级图形处理单元运行 LLM，就需要对这些 LLM 进行压缩。 CALDERA 算法通过减少 LLM 冗余并降低信息层的精度来发挥作用。“瘦身”后的 LLM 更加精简，可在手机或笔记本电脑等设备上存储和访问，同时提供了与未压缩版本几乎一样准确而微妙的性能。虽然 CALDERA 并非首个压缩LLM的算法，但其独特之处在于兼具“低精度”和“低排序”两种特性。其中，“低精度”减少了比特数，加快了数据存储和处理速度。而“低排序”则降低了 LLM 数据中的冗余。

Microsoft Copilot 工具被发现能让客户访问敏感文档，如 HR 文档和 CEO 电邮。微软正致力于解决该问题，部署新工具和指南去解决隐私担忧。微软的 Copilot 工具是通过浏览和索引所有公司内部文件进行工作的，而很多企业的 IT 部门在内部文件的访问权限管理上十分宽松，这通常不会构成安全问题，因为普通员工缺乏工具能识别和检索公司的敏感文件。但 Copilot 的出现改变了这一切。普通员工通过登陆 Copilot 就能访问公司 CEO 的收件箱阅读其邮件，或者查看 HR 部门的文档。

Linus Torvalds 在 Linux 6.13 中合并了从内核删除 ReiserFS 文件系统的补丁，将移除 32.8k 行代码。删除 ReiserFS 早已预告了很长时间，这一变更并不出人意料。ReiserFS 在 2022 年标记为弃用，计划 2025 年删除，而 Linux 6.13 将是在 2025 年发布的第一个内核版本。ReiserFS 是在 23 年前合并到 Linux 2.4.1 中，现在它将随着 Linux 6.13 而消失。使用 ReiserFS 的用户可以继续用旧的内核版本。

安全公司 ESET 的研究人员发现了针对 Linux 的新后门 WolfsBane，与 APT 组织 Gelsemium aka “狼毒草”有关联。WolfsBane 被认为是 Gelsemium 使用的 Windows 后门 Gelsevirine 的 Linux 变种，Gelsemium 组织此前主要对东亚和中东的实体发动攻击。研究人员还发现了另一个 Linux 后门 FireWood，Gelsemium 此前使用过一个与之有关联的后门 Project Wood。

Pidgin 2.0 发布 17 年后，开发者宣布 Pidgin 3.0 正距离我们越来越近。Pidgin 3.0.0 Experimental 1 将于 2024 年 12 月 31 日发布，它是 pre-alpha 版本，除非测试，否则不要依赖该版本。Experimental 1 将只提供源代码和 Flatpak 版本，只支持 IRCv3，未来将支持其它协议；用户界面完全没有打磨，不兼容 Pidgin 2，可以安装在一起；由于 API 都变了，因此插件也不再兼容，需要重新移植；Finch 被暂时弃用，也可能永久弃用。Experimental 1 的版本号是 2.90.0，因为 API 尚未冻结。

马萨诸塞州地区法院裁决，学校因学生使用 AI 而进行处罚并未犯下任何错误。首字母缩写为 RNH 的学生因使用 AI 工具 Grammarly 完成历史论文而受罚，他的父母认为学生手册没有包含使用 AI 的限制，因而提起诉讼，被告包括了学区负责人、校长、一名教师、历史系主任和校委会，诉讼指控被告侵犯了学生的公民权利。而学校表示虽然学生手册没有提及 AI，但该校在 2023 年秋季向包括 RNH 在内的学生发布了一份包括有关学术不端和 AI 期望书面政策的文本，禁止学生在课堂考试和作业中使用 AI 工具。法官 Paul Levenson 认为学校在事实和法律上理由更充分，他没有发现被告犯下了任何错误。法官最后引用了 1988 年最高法院的一项裁决，认为青少年教育“主要是父母、教师以及州和地方学校官员的责任，而不是联邦法官的责任。”

石化巨头们在 2019 年成立了一个宣称要终结塑料污染的联盟 The Alliance to End Plastic Waste(AEPW)，承诺了五年内（截至 2023 年底）通过改善回收和创造循环经济从环境中移除 1500 万吨塑料垃圾。加入联盟的公司都是世界最大的塑料生产商，其中包括了埃克森美孚、陶氏、壳牌、道达尔能源和雪佛龙菲利普斯。但 2023 年初这一目标被移除了，理由是太过于雄心勃勃了。AEPW 的一大目标其实是改变话题，避免推行塑料禁令。绿色和平获得的数据显示，仅仅两类塑料这五大塑料生产商过去五年就生产了 1.32 亿吨，而同期它们只清理了 118,500 吨塑料垃圾，生产的重量千倍于清理的重量。

Android Authority 援引内部消息来源报道，Google 取消推出第二代 Pixel Tablet 平板电脑，理由是担心亏损。在平板市场上，Android 平板一直无法对苹果 iPad 的地位构成挑战。计划中的 Pixel Tablet 2 代号为 kiyomi，将搭载用于 Google Pixel 9 系列的 Tensor G4 SoC 芯片，有 Wi-Fi 和 5G 两个版本，Google 还为它开发了带触控板的官方键盘外设以帮助提高生产力。Google 可能会跳过二代直接开发第三代，其推出时间可能是 2027 年而不是二代计划的 2025 年。

巴基斯坦最近部署了国家防火墙，导致的一个结果网速大幅减慢。巴基斯坦科技游说组织 IT Industry Association(P@SHA)警告，此举将会重创 IT 行业。为了增加科技服务出口，巴基斯坦鼓励自由职业者在海外平台打零工，为了支持网络零工，它还提出免税期、补贴宽带和医保等种种设想。但网速变慢严重影响了 IT 自由职业者和需要网络服务的 IT 企业。P@SHA 警告，政府的政策可能会导致企业倒闭和财务损失，损害 IT 出口。

由于微软修改了 Windows 11 的硬件需求，现有的 Windows 10 用户基本上无法直接升级到 Windows 11，而 Windows 10 即将于 2025 年 10 月终止支持，用户除非更换电脑，那么只剩下继续使用不再支持的操作系统（另一选择是安装 Linux 发行版），这将会增加他们的安全风险。微软对此的做法是用全屏广告不断轰炸用户，督促他们购买新 PC。

Android 的恢复凭证（Restore Credentials）功能简化了切换 Android 设备时应用凭证的传输，让用户在新手机上保持应用的登陆状态。Google 使用“恢复密钥（restore key）”去实现跨设备的自动登录。恢复密钥是一种公钥，利用现有的密钥（passkey）基础设施移动登陆凭证。恢复密钥可以备份到云端，应用开发商可以选择不参加。Google 表示，如果删除应用重新安装，恢复密钥不会转移。

中国量子技术相关专利已超过美国位居世界第一。中国累计拥有 3217 项相关专利，超过了拥有 2740 项专利的美国。其中安徽本源量子计算科技 2021-2024 年新增了 363 项专利，超过了新增 212 项专利的美国 IBM，它在按团体统计的量子计算机公开专利排名中位居第一。在本源量子的公开专利中，数量最多的论文是控制量子计算机的软件“量子操作系统”。其次是与量子芯片相关的专利。本源的量子计算机要在超低温环境下运行，该公司表示已成功自主研发出实现这种运行环境所需要的主要设备——稀释制冷机。

研究人员调查了 Telegram 上提供社工库服务的中文数据供应商，其中 Carllnet、DogeSGK 和 X-Ray 的频道都有数万名成员，使用一种积分系统进行支付。积分通常可用 Tether 币购买，有时候也支持微信支付或支付宝。社工库提供了范围广泛的用户信息查询，包括电话号码、通话记录、银行账户、结婚记录、车辆登记、酒店预订等个人消息。如果支付更昂贵的费用，它们还会提供更敏感的信息如护照图像或地理位置记录。社工库的数据部分聚合自网上泄露的数据库，但部分数据可能是由内部人士供应的。供应商向内部人士提供了相当可观的报酬。研究人员称大规模数据收集是一把双刃剑。

在数字互动维持社交纽带的时代，印度研究人员提出了如何用最少的精力去维持数字友谊的方法：对朋友发送的各种梗回复“Haha So True!”。研究报告发表在《Journal of Astrological Big Data Ecology》期刊上。研究人员对 150 名参与者进行了三盲随机实验，测量了 Haha So True! 回复的效果，并对比了类似 OMG LMAO 或 LOL, I just snorted coffee 不同回复的效果差异。结果显示，Haha So True! 相比字数更多更努力的回复，在让朋友满意、减轻罪恶感和投射“我在乎……就够了”氛围上效果相差无几。

Ubuntu Linux 默认使用的 needrestart 工具发现了 5 个本地提权漏洞，该漏洞是在 2014 年 4 月释出的 needrestart v0.8 中引入的，刚刚释出的 v3.8 修复了漏洞。漏洞允许本地访问的攻击者将权限提升到 root。五个漏洞分别编号为 CVE-2024-48990、CVE-2024-48991、CVE-2024-48992、CVE-2024-10224 和 CVE-2024-11003。Needrestart 被用于识别包更新后需要重新启动的服务，确保服务运行最新版本的共享库。

PHP 项目释出了 PHP 8.4，然后立即释出了小更新 PHP 8.4.1。PHP 8.4 的主要新特性包括：属性钩子提供对计算属性的支持；不对称可见性，可以独立地控制写入属性的作用域和读取属性的作用域，减少了需要编写繁琐的 getter 方法来公开属性值而不允许从类外部修改属性的需求；新的 #[\Deprecated] 属性使 PHP 的现有弃用机制可用于用户定义的函数、方法和类常量；新的 DOM API；新增函数 array_find()、array_find_key()、array_any() 和 array_all()；性能改进、错误修复和常规清理等等。

发表在《Journal of University Teaching & Learning Practice》期刊上的一项研究分析了两个特殊的群体：r/Zlibrary 上的 Reddit 用户和逾百名中国研究生。两个群体在为什么使用盗版电子书库 Z-Library 上有着相似的观点。很多 Reddit 用户都是因为贫困而使用 Z-Library：一位生活在第三世界的用户称，一本书的价格相当于其日薪的 50%-80；他们多数认为 Z-Library 是必要之恶；期刊出版商获取了巨额利润，但作者和审稿人没什么补偿，盗版论文和图书只影响出版商。第二部分研究调查了 103 名中国研究生，他们参加了一个研讨会，讨论了 Z-Library 及对其的打压行动。不是所有研究生都使用 Z-Library，有 41% 的研究生认为 Z-Library 的短暂关闭影响到了他们的学习和寻找学术资源的能力。71% 的学生承认使用过 Z-Library 或类似网站。根据社会主义价值观，大多数学生同意知识的获取应对所有人免费开放。虽然学生们知道版权法，但他们认为获取知识的需要比版权所有者的担忧更重要。

ADOR 旗下女团 NewJeans 成员范玉欣（Hanni）指控工作场所骚扰，韩国雇佣劳动部周三驳回了指控，理由是 K-pop 明星不是工人，不享有相同的权利。雇佣劳动部称，根据 Hanni 所签署管理合同的内容和性质，以及《劳动标准法案（Labour Standards Act）》，她不被视为是工人。根据《劳动标准法案》，工人的定义包括了有固定工作时间，在雇主的直接监督和控制下提供劳动力。包括歌手在内的明星被归类为独立承包商。Hanni 的收入被认为是利润分享而不是薪水，她缴纳的是企业所得税而不是就业所得税。NewJeans 的粉丝使用“IdolsAreWorkers（偶像是工人）”的标签向女团表示支持。韩国娱乐业以高压环境闻名，明星的外表和行为有非常严格的标准。

2019 年 11 月 27 日，韩国 Upbit 交易所遭入侵，34.2 万以太坊被盗走。韩国警察厅国家调查本部周四发表消息称，这起事件系朝鲜侦察总局下属黑客组织“Lazarus”和“Andariel”所为。当时的涉案金额为 580 亿韩元，现价值约 1.47 万亿韩元。警方依据朝鲜 IP 地址分析结果、虚拟资产流向、朝鲜词汇使用痕迹和与美国 FBI 合作获取的证据得出了上述结论。黑客将其盗取的以太币中 57% 以低于市价 2.5% 的价格兑换成比特币，剩余资产通过 51 家海外交易所进行洗钱。韩国警方上个月追回 4.8 枚比特币，已归还给 Upbit。