黑暗森林
处于幼年的人类文明曾经打开家门向外看了一眼,外面无边的暗夜吓住了他,他面对黑暗中的广袤和深邃打了个寒战,紧紧地关上了门
— 刘慈欣 《三体 时间之外的往事(节选)》
xz漏洞
就在昨天,开源世界爆出一件大事儿:有人在xz软件中植入了后门。这个后门目前似乎影响不大,但是细思恐极。xz软件是非常通用的、底层的gnu软件,几乎每个发行版都会集成。如果这个后门不暴露,后续可能扩散到非常多的各种在线服务器上,后门的作者就可以获取这些服务器的管理权限。
我们一直享受着开源世界带来的便利。互联网上大量服务(可以说80%以上?)是在开源世界的基础上构建的。例如linux内核,各种linux发行版,gnu软件等。出于隐私和自由度的考虑,我也基于开源世界产品构建自己的在线服务,在构建的同时,我也经常思考,谁来保证这些开源软件本身没有后门?Unix之父就曾出于游戏和炫技的目的,在编译器中植入后门,获得当时任意unix系统的管理权限。
当然,这个问题是开源世界的基石问题,开源世界早有回答:通过开源世界的志愿者对开源代码的审查来保证开源代码的安全性。相对于闭源代码,开源代码因为大家都可以看到和进行审查,因此更加安全。这种说法当然是正确的。
不过开源软件的作者,往往是匿名的。我们不知道开源作品背后的作者和维护者是处于什么目的贡献自己的精力来为社区服务的。我相信绝大部分开源作者是出于善意的目的。但是极少数的人或组织肯定会想方设法混进来从事不可告人目的的动作。
本次xz漏洞事件,其攻击者JiaT75(Jia Tan)在2021年注册了Github账号,积极参与xz项目的维护,获得项目原维护人员Lasse Colin的信任参与到项目中。利用Lasse internet breaks的习惯,在Lasse break期间提交代码,让Lasse没有review的时间。
给不了解整个开源机制的朋友简单介绍一下开源世界的运作方式,我的理解,不一定完全正确和精确,但大致是那么一个意思:
现代电脑都需要一个操作系统来管理硬件,给应用程序提供统一的运行环境,方便用户使用。我们个人办公电脑常用的是windows系统或mac系统。这两个系统都是商业公司提供的,通常商业公司(例如微软和苹果)在这里有巨大的商业利益,所以会保证这两个系统的安全性和没有后门【注1】,出现漏洞也会及时补救。而互联网企业在创业之初不像今天,都是穷屌丝,所以大量使用了免费的开源linux操作系统,及其附带的一系列开源gnu软件;同时也因为之前Unix系统授权比较贵,大量中小企业也转向使用linux系统,使得linux生态越来越完善,最后叠加规模效应,使得linux生态系统成为企业服务器首选的操作系统。
但是linux生态除了志愿者,获得的其他支持不多,很多关键项目其实就依赖分散的、匿名的个人志愿者形成的松散的组织,代码的质量控制严重依赖个人和社区。很多互联网企业利用这个生态系统挣了大钱,也没有太多的反哺社区,罗永浩当年给生态中最重要的安全基石openssl捐助了两百万,可能还是国内互联网企业第一个想起来给社区捐助的。后来openssl还发生了严重的heartbleed漏洞。此后各大互联网企业可能加大了对开源社区的捐助和代码贡献。像openssl这样的重要软件可能得到了比较多的重视,使用openssl的大企业应该也会聘请安全审计团队加强对其代码的审计。但是像xz这种压缩的软件,获得关注就很少,给了攻击者可乘之机。
所以,任何一个人,包括恶意攻击者,都可以匿名加入某一个重要或不重要的开源软件项目中,积极参与项目,提交正常代码,当参与的时间足够后,可能获得社区的信任,成为具备管理权限的代码贡献者,就有能力将恶意代码伪装混入正常代码中。当这样的代码没有被审查发现,正式发布以后,各大linux发行版就会将相关代码纳入到自己的软件库中,最终用户在进行安装和升级的过程中,就会将这些后门代码安装到自己的服务器上。xz是机缘巧合,被一个PostgreSql数据库开发者在测试过程中发现cpu占用过高,从而发现的。如果这个后门代码没有引起cpu占用过高的问题,那估计就很难被发现。那么,是否存在大量的后门软件没有被发现呢?
因此,当你从商业软件步入开源生态后,一开始你会觉得免费和自由,然后你发现自己进入了黑暗森林。(这里就不提使用破解软件的人了,那基本就是进入了屠宰场)【注2】
区块链金融
与此类似的,还有以大饼和二饼为代表的区块链金融。我认为普通人进入这个领域,就是来到了金融业的黑暗森林。有人觉得使用通胀的法币被收铸币税,很不甘心,但是如果把其当作为了财富安全支付的保管费,那可太便宜了。即使专业投资者和知名博主的猫笔刀也不小心损失了4.5w美金(参考[4])。这还是只是黑客盗取。区块链金融割起韭菜来,那也比大A锋利许多。如果要参与这个游戏,余玄团队的《区块链黑暗森林自救手册》建议一定提前先看一下。
虚拟现实和《真实世界的脉络》
硅谷101在3.23日发布了一起聊Vision pro的博客节目。节目嘉宾徐梧认为,空间计算(虚拟现实)是一个十倍于移动互联网的机会。(投资者是不是都喜欢用夸张的数字来获取关注呢?)我对游戏的兴趣不大,但是一直对办公设备(效率工具)情有独钟。根据徐的介绍,Vision pro很适合作为现代办公设备,取代大屏幕,减少对空间的要求,天生的多个扩展屏。当其生产成本进一步下降,用户体验(重量减少)进一步提升之后,确实有下一个移动互联网的潜力,具体是不是10倍,我就不是很确定了。我特意搜了一些关于使用vison pro来办公的视频,现阶段还有很多麻烦:例如一个up主演示了可以关掉macbook的屏幕,将其输出用vision pro来代替,但是只能有一个屏幕,并且只能使用vison pro 连接的键盘和鼠标,也就是说,如果要在vision pro和macbook原来的屏幕之间切换使用,需要两套键鼠。不过,尽管如此,还是可以看出潜力巨大。目前google和fb似乎也在结盟推出类似产品,我不太喜欢苹果的封闭生态,期待进一步进化和迭代之后,能像如今的手机一样,有多样的选择和低成本的价格。
最近一不小心入坑了一部奇书《真实世界的脉络》。不推荐入坑,太难爬出来了,我预感我可能会弃坑。这本1997年出版的书,探讨了很多宏大的主题(确切的说我没看懂),其中关于虚拟现实、人脑接口的阐述,似乎是当代一些产品和好莱坞电影背后的人类学术性的哲学思考。关于脑科学的研究揭示,人类的思维,和对外界的反应,都有对应的电流脉冲;人类的情感冲动,背后都有化学反应的影子,那么,如果虚拟现实设备接管了人类大脑一切外在接口,人类大脑还能区分什么是现实什么是虚拟吗?(《黑客帝国》)
微信版本删除 - 上周被删文的原因
上周被投诉删文应该是说了民航的事儿。昨天前央视调查记者又发了一个视频,聊到中国几起空难背后的故事。比如有次包头的空难,是因为市委书记请乘务团队吃饭喝酒唱K搞到3点多,所以第二天早上没有除冰就起飞导致空难。伊春空难是因为新开机场,国务院领导过去开会+度假,市领导来迎接,空管下去陪领导,一个啥也不懂的小姑娘指挥,原本气象条件不允许降落,但是因为都是领导,机长心理有压力,最后还是决定降落。以后能不坐飞机还是不坐飞机吧。
某券商被挂墙
证券行业自媒体大力如山(前某券商投行从业)正在diss浙商证券,自媒体券业行家也在声援。最近几年国内竞业都搞到普通员工身上了,真实目的大概率不是竞业,而是恐吓、捆绑员工。不少公司市场竞争力不足,无法提供优异的薪酬;亦或内部管理混乱,公司氛围差;或者兼而有之。此类公司有时被员工视作进入行业的跳板,也有部分员工不明真相误入,公司为了尽量减少员工流失,入职的时候就全员签订竞业协议,等员工离职时再视具体情况决定是否启动。这种视情况,有时候并不是该员工是否真的涉及到公司的核心机密,而是看领导对其的态度。例如有些领导肆意PUA下属员工,当员工忍无可忍离职时,祭出竞业协议给员工后续就业设置障碍,主要目的还是给在职的人看,以方便他继续PUA。不过看目前这舆论氛围,以后公司再想随便对普通员工祭起竞业的大旗,恐怕除了成本以外,也要顾虑一下影响吧。
Nvida的GTC大会
风水轮流转,今年到Nvida家。如今微信上到处都是Jensen Huang之前被采访的各种片段,像极了当年的乔布斯。有段子说,一个公司一旦大火,互联网上很快就会出现很多其老板早期的各类采访视频和段子。Jensen今年在GTC上一个人讲了两个多小时,后来还主持了跟transformer7名作者的访谈。Nvidia确实应该感谢这7个作者,没有transformer就没有openai的大火,没有openai的大火,Nvidia也没有如今这么红里透黑了。有个小插曲是,7个transformer的作者中如今仅有一名(lucas)还在当工程师,Jensen对他说你是我的hero。
李飞飞也参加了这次GTC的圆桌会谈,她主要是谈AI监管、AI如何帮助health care、以及呼吁给pubilc部门更多的资源。主持人还帮她宣传了她的新书:
李飞飞的学生Dr. Jim Fan(看起来应该是大陆留学美国的人)介绍了他在Nvidia实验室研究基础人工智能代理的进展。与chatGPT不同,chatGPT是一个大语言模型,而Jim的研究是一个通用的现实人工智能,可以用于现实世界的人工智能代理模型。(例如用于机器人)Jim他们一开始是用我的世界来进行学习和训练的。Jim羡慕openai有高质量的文本用于训练;而他们缺少现实世界的动作和动作反馈的数据用于训练,未来期待跟机器人项目合作,获取更多关于现实世界的数据。不知道sam会不会羡慕他不用操心gpu显卡呢?
备注
[1] 所谓的没有后门也是相对的,大公司即使有后门,也不会在普通个人用户的电脑上启用,得不偿失。大概率有给监管的合法后门。
[2] 商业软件的安全也是虚假的,但是至少有高个子的人挡在前面,并且可以追责
参考
[1] xz-utils backdoor situation
[2] Everything I know about the XZ backdoor
[3] slowmist/Blockchain-dark-forest-selfguard-handbook: Blockchain dark forest selfguard handbook. Master these, master the security of your cryptocurrency. 慢雾团队余弦写的《区块链黑暗森林自救手册》
[4] 你们就当个故事听