SN 1001: Artificial General Intelligence (AGI) - Gmail Temp Addresses, Russia's Internet Off Switch
Security Now (Audio)
Deep Dive
- Sam Altman predicts AGI by 2025.
- AGI is defined as AI that matches or surpasses human cognitive capabilities.
- Experts debate the feasibility and timeline of achieving AGI.
Shownotes Transcript
是时候关注安全了。史蒂夫·吉布森来了。他说我们没有很多新闻要报道,很多问题来自听众,反馈等等。然后史蒂夫将根据他对人工智能的理解来解释目前正在发生的事情,对通用人工智能的探索以及我们取得的进展。我认为你会喜欢这个节目的。
安全播客是来自你信任的人的下一个播客。
这个。
是推文。
这是史蒂夫·吉布森主持的安全播客第一千零一期,录制于2024年9月17日星期二。通用人工智能。是时候关注安全了,这样我们就可以涵盖你的安全、隐私、防护以及计算机的工作原理。
人工智能到底有什么智能之处?所有这些与最聪明的人一起讨论的爵士乐。我认识这个人,史蒂夫先生。
鉴于我不是,你不是,不,我是一个……如果我们称之为领域专家,是的,在几个地方有一些专家。但是当IT……
涉及到萨多库,你就和其他人一样……
我们一样,当涉及到人工智能时,我声称没有专业知识。嗯,正如我上周所说,我想谈谈通用人工智能(AGI),因为每个人都在使用这个术语,我们听到人们在谈论它。引起我注意的是,OpenAI臭名昭著且著名的首席执行官山姆·阿尔特曼声称,哦,是的,我们明年就会有。他说2025年,就像,但是……
他也是个推销员。
是的,也许这只是一个提高股票价格的策略,但我想花一些时间。我发现了一些有趣的文章,采访了很多业内人士和一些学者。我想,让我们,你知道,让,让……所以今天就像,没有人会发现关于AGI的重大启示,因为我没有,但是,你知道,这显然是一件事。我只是认为我们应该做一个标记,说,好吧,这就是它的现状。
你以前做过这个。你用区块链做过这个,你经常能够做到这一点,这就是你的工作方式,消化所有这些东西。你有点像我们的检索增强生成器。你消化所有这些东西,然后把它还给我们,这样我们就能理解它。所以我非常期待……
这一期节目。好吧,如果我有时间,如果我花一些时间挖掘,那将会很有趣。但是我们有很多要谈论的,我们将看看这一切,这是一个很棒的故事,微软如何让美国……
政府对其自身准备的网络安全解决方案产生更深层次和更昂贵的依赖。然后他们购买管理。
还预计Gmail将提供原生的一次性电子邮件别名,就像苹果和Mozilla一样,稍后会谈到。哦,我的上帝。俄罗斯,他们正在禁止更多的托管公司。
他们将在下个月再次测试他们的互联网关闭开关。还有一些其他事情我们不会谈论。他们,哦,他们使用了一个可怕的Windows漏洞来攻击乌克兰人。它是由一个安全小组发现的。
而且,当我们的老用户发现我们认为安全的东西可能并不安全时,这也会让人担忧。我们还将看看,哦,我有一条关于老的安全播客节目的价值的笔记给我们的听众,我们将谈到TrueCrypt的继任者,以及使用Cloudflare的Tunnel服务进行远程网络访问。
我们的另一个听众城市正在做的事情。所以我们将分享它。还将回答有关如何使本地服务器看起来像在远程公共IP上的问题,在这种情况下,它对于模拟远程命令和控制服务器(在测试恶意软件时)非常方便。
还有如何与他人共享一个无法输入的密码,哦,另一个听众问了一个问题,我回答了,然后他确认了关于在安全播客中查找模糊的先前引用的问题,然后我们将深入探讨通用人工智能是什么以及我们今天拥有什么。如果失败了,AGI必须具备哪些公认且广泛认同的特征,以及我们什么时候才能得到一些?所以我认为这是一个很棒的播客。
正如你所看到的,并没有很多新闻。我到处寻找好东西,但是,伙计,我把它们加起来。我想我有4300多封来自听众的电子邮件。
哦,所以从开始到现在。所以我一点也不缺乏听众反馈。而且你知道,我认为这很有趣。
实际上,我们已经将这个从推特改成了电子邮件,这完全改变了反馈领域,因为它不再需要限制在280个字符以内。所以很多更有趣的东西,一个很棒的播客,哦,我和利奥正在开始我们的第二千期。这是第一千零一期播客。
和。
一,我真的认为……
第二千期。
没错,我……好的。好吧,我和你……
将一起努力。这就是我们所能承诺的。只是我看起来和……
20年前不一样了。但是你看起来差不多。我不认为你的头发,它仍然很漂亮,银色的……
博客回来,我很高兴地说BigID。这是一家非常非常有趣的公司。他们是领先的数据安全态势管理解决方案。有时他们被称为DSPM。
BigID是第一个也是唯一一个DSPM解决方案,它可以发现暗数据以识别和管理风险,并以你想要的方式进行补救,通过匹配数据源覆盖范围来扩展你的数据安全策略。BigID与你现有的技术无缝集成,允许你协调安全和补救工作流程。你可以根据数据对数据风险采取行动,注释、删除、隔离等等,同时保持审计跟踪。
对于合规性来说非常重要,合作伙伴包括ServiceNow、Palo Alto Networks、微软,当然还有谷歌、AWS等等等等。借助BigID先进的AI模型,你可以降低风险,加快洞察时间。这是一个新的指标,我喜欢它,洞察时间,TTI,并获得对所有数据的可见性和控制。
现在让我给你一个关于使用BigID的人的例子,你认为谁会在很多地方拥有大量数据,以各种格式,一些遗留格式,谁需要知道在这种情况下所有数据在哪里?比如,我不知道,美国陆军,对吧?他们使用BigID来阐明所有暗数据,以加快云迁移,最大限度地减少冗余并自动化数据保留。
我引用美国陆军训练和教官指挥部的话,这令人难以置信。这是引文,“与BigID的第一次‘哇’时刻来自于能够拥有单个界面”。
各种数据持有量的清单,包括电子邮件、zip文件、SharePoint数据库等等中的结构化和非结构化数据。我的意思是,你可以想象过去几十年来军队收集的各种格式。
他接着说,“看到这种规模并能够跨这些数据进行关联是完全新颖的。我从未见过像BigID这样能够将这些整合在一起的功能。”这是一个很好的认可。CNBC将BigID评为企业25家顶级初创公司之一,被评为Inc. 5000强,连续五年入选,是当今市场上领先的现代数据安全企业。你需要知道这个名字。
BigID,Cybertopians杂志的出版商说,“BigID体现了我们评委期待的获奖者的三个主要特征:了解当今的威胁,提供具有成本效益的解决方案,当然还有以意想不到的方式进行创新,这可以帮助减轻网络风险并领先一步。”顺便说一句,这一切都始于了解你的数据在哪里。如果你正在考虑AI,这一点也很重要,因为如果你考虑一下,你想训练,但你想用你知道的东西来训练。
你知道,军队可能有很多他们不想用来训练AI的东西,因为它们是敏感的或秘密的。所以了解你的数据是什么,它在哪里,在各种地方,这就是BigID可以做到的,开始保护你的敏感数据,无论你的数据在哪里。
BigID.com/securitynow获得免费试用。我看到BigID可以帮助你的组织降低数据风险,加快生成式AI的采用。
我们今天晚些时候会谈到这一点。BigID,BIG BigID,BIG ID,不要问我关于ID的问题,BigID.com/securitynow。他们确实在谈论AI。他们的网站上有许多关于AI的精彩报告,BigID.com/securitynow。
但他们确实有一份新的免费报告,它为你提供了一些关于AI采用挑战的关键见解,包括训练什么,不训练什么以及生成式AI对整个组织的影响。你知道,他们在这方面有一篇很棒的论文。
所以在BigID.com/securitynow阅读它。你需要BigID,非常感谢你支持史蒂夫在这里的工作。当你访问他们的地址时,你支持这个节目。我们在安全播客上看到了这一点,BigID.com/securitynow,史蒂夫,我已经准备好本周的图片了,这是一个好图片。
这是一个好图片。我敢打赌我们的听众已经有一些反馈了,他们真的很喜欢这个。我又一次抓住了重点,提醒我们的听众,我们有将近13000人订阅了安全播客邮件列表,12979人……我查看了……
以及我们拥有的Club TWiT会员。所以我认为两者之间可能存在关联。
我认为可能存在。邮件在昨天下午3点左右发出时,这就是计数。所以说,提前24小时,任何订阅了该列表的人都会收到这些内容,嗯,所以,嗯,好的。所以重点是很多人写信说,哇,这太棒了。
所以我们有一个住宅楼梯,你知道,沿着一面墙向上延伸,带有一个扶手,然后外面还有一个栏杆,你知道,这样楼梯就不会敞开。现在这个家庭有一对蹒跚学步的孩子,看起来可能是姐姐比弟弟大一点。他还在学步,看起来他可能两岁。
他可能两岁半或三岁,我不知道,但是楼梯底部有一个屏障,爸爸妈妈说,孩子们不能上楼。他们待在楼下。孩子,他们……
我认为这是一个全新的。它看起来像它,因为它……
仍然有销售标签,你说的对。我还注意到……
在它后面是……
几堆东西……好吧,现在我给这张照片加上了标题,这个楼梯底部可能被挡住了,但是这些未来的黑客并没有被吓退,因为楼梯从栏杆支撑物突出出来,两个孩子都沿着楼梯的外面走了上去。真的想知道他们是否能找到进去的方法,因为他们会找到方法的。看起来,如果我没错的话,最大的孩子好像试图挤进去,因为她……
在那里跑完了路。
不是,所以,所以,我们希望这个比喻不是说他们被关在后面,因为,你知道,栏杆看起来也有一点像那样。但是你知道,这些人,他们决心找到一种方法绕过爸爸妈妈在楼梯上设置的障碍。所以,一个男孩,未来的黑客?是的。
未来的黑客。好的。所以,最近《共和党人》的一篇报道提出了一些有趣的问题,我对此很感兴趣。我相信我们的听众也会感兴趣。所以《共和党人》,我会在这里几次打断我自己,评论说,在2021年夏天,他们恢复了……当时总统乔·拜登……夏天,将全国最大科技公司的首席执行官召集到白宫,一系列与俄罗斯、中国和伊朗有关的网络攻击使政府感到担忧。
当然,其中一些是微软造成的,对吧,政府要求微软、亚马逊、苹果、谷歌和其他公司做出具体的承诺,以帮助美国加强其防御能力。
拜登对在东厢房聚集的管理人员说,“我相信你们拥有权力、能力和责任来提高网络安全标准。”现在他们说,微软需要证明自己最多。它自身的安全漏洞导致了一些促使夏季会议发生的入侵事件,例如SolarWinds攻击,其中俄罗斯国家支持的黑客从联邦机构(包括国家核安全管理局)窃取了敏感数据。
在发现该漏洞后,一些国会议员表示,该公司应该为其客户提供更好的网络安全,另一些人甚至走得更远,参议员Ron Wyden(俄勒冈州的新任主席)呼吁政府在授予其更多合同之前,“评估其对微软的依赖”。正如我们很快就会看到的,发生的事情并不完全是Wyden想要的。这不是Ron想要的重新评估,共和党人说。
针对总统的求助电话,微软首席执行官萨蒂亚·纳德拉承诺向政府提供1.5亿美元的技术服务,以帮助升级其数字安全。表面上看,这似乎是一件好事,对拜登政府来说是一场政治胜利,也是这家全球最大的软件公司例行公事的损害控制。但随后的内部调查结果表明,微软看似简单的承诺提供大量免费技术服务,背后隐藏着一个更复杂的、以利润为导向的议程。
时间已经证明,微软表面上的慷慨是一场精心策划的商业策略,旨在带来数十亿美元的持续收入,将竞争对手拒之于有利可图的政府合同之外,并进一步加强公司对联邦业务的控制。当我读到这篇文章时,我想,如果我不知道真相,我会认为盖茨还在,因为这被证明是一次非常经典的盖茨式操作。因此,他们起草了“白宫提案”(White House Offer),正如微软内部所称,该提案将派遣微软顾问到联邦政府各部门安装微软网络安全产品,其中一部分产品在有限时间内免费提供。
没错,真划算。这图里有什么不对劲?好的。他们说,一旦顾问安装了升级,联邦客户将被有效锁定,因为根据参与这项工作的、大多数要求匿名的前微软员工的说法,在免费试用期结束后转向竞争对手将变得非常困难和昂贵,他们担心职业报复。
那时,客户几乎别无选择,只能支付更高的订阅费用。事实上,两位参与这项工作的销售主管将其比作毒贩用免费样品引诱用户上瘾。引述:“如果我们给你毒品,你吸了毒品,你就会喜欢上毒品。”
一位说:“等到我们把毒品拿走的时候,你的最终用户会说,别把它从我这里拿走,你将被迫付费。”前销售人员表示,微软想要的不仅仅是这些订阅费用。“白宫提案”将促使客户购买在Azure上运行的其他微软产品。
当然,该公司拥有云平台。这会根据客户使用的存储空间和计算能力收取额外费用。这些前销售人员表示,预期是升级最终会“转动计量器”(spin the meter),引用他们的说法,为Azure转动计量器,帮助微软从其主要的云竞争对手亚马逊网络服务公司手中夺取市场份额。
在纳德拉向拜登做出承诺后的几年里,微软的目标变成了现实。国防部多年来一直抵制升级,因为成本太高,但在免费试用期结束后,他们开始为此付费,为其他许多民用机构未来的Azure消费奠定了基础。
承认这笔交易的前微软销售人员卡恩表示:“‘白宫提案’让政府沉迷于Azure,其成功程度超出了我们任何人的想象。”虽然微软的策略为公司带来了丰厚的回报,但法律专家告诉《共和党人》(The Republicans),这项交易本不应该发生,因为它规避甚至可能违反了规范政府采购的联邦法律。此类法律通常禁止承包商赠送礼物,并要求联邦业务进行公开竞争。
在联邦政府担任采购专家40年的律师伊夫·利恩表示,接受价值数亿美元的免费产品升级和咨询服务,这不像在好市多(Costco)免费试吃样品,“我可以拿个样品,说声谢谢,然后就走”。你改变了IT文化。而转向另一个系统将花费大量资金。”微软当然也为自己的行为进行了部分辩护。
史蒂夫:失败(Fail)。那是F-A-I-L。我:很好。是的,我认为我应该拼写成F-A-I-L-E-D,失败(Failed)。微软联邦业务的安全主管在一份声明中表示:“公司在此期间的唯一目标是响应政府的紧急请求,以增强持续受到复杂国家行为者攻击的联邦机构的安全态势。”
他表示,没有保证机构会购买这些许可证,他们可以自由地与其他供应商合作以满足其未来的安全需求。微软安全套件的定价是透明的,该公司与政府密切合作,以确保任何服务和支持协议都以符合道德的方式进行,并完全遵守联邦法律法规。声明中说,微软要求白宫审查反垄断问题细节,并确保一切都是合规的,他们也这么做了。
我喜欢“运行Azure”(Run on Azure)的广告语。我觉得“运行Azure”是一个不错的广告宣传活动。
只有一个问题。当然,正如我们所知,更换供应商确实非常困难。当然,对公众来说,情况更糟,白宫峰会开启了一种新的集中依赖形式,以及拜登政府承诺要消除的那种任何竞争行为。
前微软销售人员表示,在他们的“白宫提案”推广期间,他们建议联邦部门通过放弃从竞争对手那里购买的网络安全产品来节省资金。他们告诉他们,这些产品现在已经多余了。销售人员还通过向联邦客户解释,他们需要的大多数网络安全工具都包含在免费升级包中来抵御新的竞争对手。
包括所有军事部门和国防部在内的美国政府的大部分部门比以往任何时候都更加依赖单一公司来满足其IT需求。《共和党人》的调查得到了对八名前微软员工的采访的支持,这些员工参与了“白宫提案”,首次揭示了这种彻底的转变是如何发生的,批评人士称这种转变使华盛顿变得脆弱,这与拜登在夏季设定的目标恰恰相反,因为存在单一文化(monoculture),对吧?就像,哦,每个人都在使用微软。不幸的是,我们看到微软犯了一些严重的错误。好吧。
这难道不是对SolarWinds事件的回应吗?
是的。是的。这是三年前的事了,当时我心想,哦,我的天哪,我们该怎么办?所以微软说,嘿,你想免费得到一些东西吗?1.5亿美元的东西,免费的?
它只在第一年是免费的。我的意思是,它甚至不是免费的。
免费的是试用版。基本上是。我的意思是,好的,所以《共和党人》的文章,我在节目说明中有一个链接,它更详细地介绍了这件事,这只是其中四分之一的内容,所以我有一个链接,正如我所说,任何想要了解更多的人都可以查看。
但我相信我们所有的听众都明白了。在某个时刻,微软被要求无限期地免费向联邦政府提供增强的安全支持,他们断然拒绝了。但当然,它变成了关于……
那么服务将免费多久?你知道,更令人痛心的是,多年来,相同的联邦和军事机构一直坚定地拒绝使用微软的解决方案,因为成本太高,但他们无法拒绝免费的东西。
因此,这使得微软能够将他们的解决方案引入,从而取代任何以前价格合理且具有竞争力的解决方案。然后,一旦免费优惠到期,选择要么付费,要么没有。你知道,这至少有点令人作呕。
更重要的是,你知道,这并不是偶然落入微软手中的,对吧?前内部人士明确表示,这始终是他们的意图。从一开始,微软首席执行官纳德拉就确切地知道自己在做什么。基本上,这是一个特洛伊木马。
如果你已经将你的安全升级到微软的五级,那么回退有多难?比如,如果他们说,啊,我们不想为此付费。
我们将倒退。如果埃隆·马斯克要做什么。
这是我的方式。
这就是我所说的那种事情,需要屏住呼吸,捏住鼻子,我的意思是,这是一场剧变。所以,任何IT人员都明白这一点,但他们花的不是自己的钱,而是我们的钱。因此,支付另外三个月的增量成本总是更便宜。
然后,要说,好吧,我们走错了路。我们将走这条路,因为它……这意味着要出去,获得有竞争力的报价,并在所有这些更改期间实际上出现停机时间,因为,你知道,你必须删除所有这些垃圾,然后安装新的东西,就好像这样做的全部动机是……
哦,我的天哪,我们有一个很大的安全问题。你想要撕掉你刚刚安装的安全补丁,以便做其他事情。你会面临很大的压力,只能继续……
继续……好吧,对于那些收听播客的老听众来说,我们都记得盖茨。我的意思是,他是比尔。比尔是……他被一些人尊为技术天才。
我的意思是,他是一个天才,但他更像是一个商人。是的,他是。丹尼是一个程序员,他现在也这么说。
我的意思是,你知道,我们目睹了微软早期所做的一切,比如,哦,你不能删除我们的浏览器。我们把它放在Windows里。直到欧盟说,把它拿出来,把它……好吧,你只是……你没有给我们……
同样的老把戏。
同样的老把戏,但这让我觉得太像盖茨了,就像……是的,太伤人了。嗯,好的。所以苹果有“隐藏我的邮箱”(Hide My Email)。
Mozilla提供他们的Firefox Relay。你知道,这些电子邮件服务为用户的首要帐户创建一次性别名。最近的消息是,谷歌据报道正在开发一个名为“Shield”的东西,用于Gmail,他们的20亿Gmail用户。因此,与其他服务一样,用户将能够快速生成看起来随机的用户名,用于填写在线表格、订阅等等,从而隐藏他们的真实邮箱地址。
所以这些只是别名,然后你将有一些方法来管理这些别名,例如,如果你在一个别名上开始收到垃圾邮件,首先,我会想知道,你知道哪个邮箱地址在给你发垃圾邮件,然后你就可以删除它,你就可以摆脱它。我注意到,GRC邮件列表的大部分订阅者都是Gmail域用户。所以我认为这将是一个受欢迎的服务。
不幸的是,我已经使用Gmail作为我的垃圾桶了,因为我有GRC.com的邮箱地址。所以对我来说有点晚了。我不认为它对我来说有什么用,你知道,屏蔽我现有的临时帐户,但对于那些主要邮箱是Gmail的人来说,我认为这听起来是一件好事,你知道,迟做总比不做好。它确实花了一段时间。另一方面,你能想象谷歌必须拥有的基础设施,才能让20亿用户拥有像Gmail一样好用的邮箱吗?
他们使用自己的服务器。他们没有使用任何开源的东西。所以如果你担心,它可能只是一个简单的插件,但这是一个很大的举动。
是的,让我们不要忘记,Gmail绝不是一项全新的服务,对吧?它是最早的网络服务之一,对吧?
事实上,我还记得一个叫史蒂夫·巴斯的人,他……他经营着过去的IBM PC用户组,如果……无论如何,我认为他写了……
为《PC世界》(PC World)也写过……
我记得他,一个好人,他很早就获得了Gmail的访问权限,所以他给我发了一个邀请,让我能够获得一个,你知道,一个特殊的Gmail帐户,所以……但是……
因为否则它将完全没用。
相信我,现在几乎就是这样了,反正我……
报告在Gmail上,因为我也很早。
非常好。
每个人都决定,显然垃圾邮件决定我是法国人,我收到很多法国垃圾邮件,几乎全是法国的。我也因为人们改进,这种情况发生在你身上。我相信如果这种情况发生在我们的听众身上,他们可能并不理解你可以在Gmail地址中添加空格。
所以很多叫Frost Wa Report和Abigail Report的人,他们在那里输入空格,所有邮件都发到[email protected]。所以我收到各种各样的东西,比如你的票已准备好。我的意思是,无尽的……你今晚在巴黎的耐心。我的意思是,这是尝试,但不是。
我……好吧,你是对的。问题在于,像所有这些域名,所有这些名称都在单个域名中,如果它不像,你知道,BZQRT79或类似的东西,如果它是Leo或Fred。
它就像……
你知道,再见。
有一个关于[email protected]的故事。可怜的Jim从未真正使用过它。你想让我休息一下吗,克尔?
你想继续吗?我认为现在是好时机。我们已经进行了半个小时的讨论,然后我们将讨论来自俄罗斯的爱,绝对不是爱。所以俄罗斯……我们谈论……我们确实会谈论。
谢谢,史蒂夫。本节目由DeleteMe的优秀团队赞助。我对DeleteMe有一些直接的经验,因为我们已经为我们的首席执行官使用它一段时间了。
如果您曾经在网上搜索过自己的名字,我不建议您这样做。但如果您这样做过,您就会知道有多少个人信息就在那里公开可见。都是数据经纪商。他们多年来一直在收集这些东西。您使用的每个应用程序,不仅仅是TikTok,还有Facebook、Instagram。
您访问的每个网站,他们都会获取所有信息,对其进行整理,然后基本上会创建一个关于您和您的家人、您认识的每个人的档案。维护隐私不仅仅是个人问题,也是家庭事务。这就是为什么DeleteMe推出了家庭计划。这样您就可以为家里的每个人都使用DeleteMe。
我认为,而且我认为他们确实也有企业计划。我认为这就是我们所使用的,因为您真的应该为公司里的每个管理人员都使用DeleteMe。我前一天才说过。
如果您知道以前听过,请原谅我,但我们使用DeleteMe是因为Lisa,不知何故,坏人弄清楚了她的电话号码、她工作的公司以及她的直接下属是谁以及他们的电话号码是什么。我想知道他们是从哪里得到这些信息的,结果,他们能够进行网络钓鱼活动,假装是来自Lisa电话的短信,CEO的电话。
短信很快。“我需要一些亚马逊礼品卡。我在开会,拿到它们并发送到这个地址。”幸运的是,我们的员工比这聪明。但他立即告诉我,“你知道,我们必须做一些事情来减少网上关于我们管理层的信息量。”那时我们才开始使用DeleteMe。
DeleteMe有助于降低身份盗窃、此类网络安全威胁、骚扰以及所有隐私侵犯可能造成的风险。它不仅仅是删除信息,DeleteMe专家知道数据在哪里。
他们会找到并从数百个数据经纪商那里删除您的信息。顺便说一句,如果您获得家庭或企业计划,您可以为每个成员分配一个数据表。它是针对他们的,因此您可以说,“不要删除Instagram信息,但要删除Facebook信息”之类的。
易于使用的控件。因此,作为帐户管理员,您可以管理整个家庭的隐私设置。但这很重要。一旦您删除了这些数据,您就不能只走开,因为您可以自己先这样做,而您需要知道那里有数百个数据经纪商。
但是,您需要知道新的数据经纪商上线了,而且每天都有新的经纪商上线,这是一个非常有利可图的业务。您需要知道要回去,这就是DeleteMe所做的。他们会持续扫描并定期删除您的信息。
不仅仅是从现有的数据经纪商那里,还包括所有不断涌现的新经纪商。我说的是地址、照片、电子邮件、亲属、电话号码、社交媒体、房产价值,所有的一切。数据经纪商拥有所有这些在线数据。
在我们这个国家获得全面的隐私法来保护您之前,您必须保护自己、您的家人和您的企业。您可以访问joindeleteme.com/twit,优惠码TWIT可享受八折优惠,这是一个非常划算的交易。访问joindeleteme.com/twit,并使用优惠码TWIT享受八折优惠。
如果您想访问joindeleteme.com/twit,查看所有产品。他们有一套非常细致的产品,可以真正做到您需要做的事情来保护您在网上的安全。所以我非常推荐看看所有这些。
它真的是一家令人惊叹的公司。joindeleteme.com/twit,谢谢。顺便说一句,在全国公共数据经纪商数据泄露事件之后,史蒂夫,我们搜索了我的名字,我的社交安全号码,所有的一切,都在那里,没有遗漏。
我认为这说明了一切。我认为DeleteMe确实有效。joindeleteme.com/twit,谢谢。史蒂夫,DeleteMe。
所以俄罗斯官员。
对不起。
我最近,不,我们会说到那里的,我最近通过Telegram宣布,他们计划,我认为这很有趣。
在Telegram上,他们……
计划扩大俄罗斯对外国网络托管提供商的禁令,这些提供商托管的内容诋毁了光荣的俄罗斯军队。这是他们的话。因此,OCI和CDN77可能很快就会因为行为不端而被列入禁令名单。
总的来说,俄罗斯似乎认为互联网只是一种喜忧参半的东西。我不清楚在当今全球化经济中,如果没有互联网,如何才能运作。我认为他们疯了。但是俄罗斯。
我正在准备。我正在为未来做准备。
很好。俄罗斯似乎准备至少探索在没有互联网的情况下继续生存,为此,俄罗斯著名的互联网监管机构,罗斯科姆纳佐尔(我感到抱歉),宣布计划在下个月对俄罗斯的大型互联网断网开关进行另一次测试,一旦启动,它就会切断俄罗斯与全球互联网之间的所有联系。
他们以前做过一次。
是吗?是的,他们已经研究这项技术多年了。他们必须做两件事,例如弄清楚如何处理解析到不再可用的IP地址的DNS查询。我的意思是,他们只是不希望所有的一切都挂起并崩溃,就像坐在那里,你知道,沙漏在旋转一样。所以事实证明,断开与互联网的连接并非易事。当然,当我想到这一点时,我想到了星链,因为你知道,现在并非所有有用的互联网连接都需要固定电话线和光纤干线等等。
星链在俄罗斯被禁,这是我的猜测,或者它不提供服务。让我看看,它当然在乌克兰可用。
你是对的,俄罗斯受到制裁,对吧?
是的,是的。所以这正好符合他们的喜好,对吧?
更容易断开连接,更容易拉动开关。无论如何,他们将在12月进行另一次测试。再说一次,你知道,这里面有什么长期计划吗?这仅仅是因为他们担心会受到攻击吗?我不知道。
如果我们国家也在做同样的事情,我们会知道的,因为这会产生影响。我的意思是,切断全球连接将会产生影响。所以真的很有趣。
我们必须看看他们的计划是什么。但在谈到俄罗斯的恶作剧时,让我们来看看这个,其中一个零日漏洞是CVE-2024-43451。微软上周在补丁星期二修补了这个漏洞。
据安全公司Clear Sky称,上周,它被用于今年早些时候俄罗斯对乌克兰组织的一次黑客攻击中。这个零日漏洞是一个漏洞利用链的一部分,该漏洞利用链在受害者与在网络钓鱼电子邮件中收到的.URL文件交互时,暴露了NTLM凭据哈希。但真正引起我注意的是这一部分。
Clear Sky表示,右键单击、删除或移动文件都会与攻击者的服务器建立连接,从而暴露身份验证数据。报告表明,该活动还使用了社会工程学,说服受害者运行可执行文件,好吧,等等,右键单击文件以显示其上下文菜单并检查其属性,删除它或将其拖到另一个目录,所有这些都足以导致受害者的机器与恶意服务器建立远程连接。
什么?所以我去了Clear Sky查看发生了什么,我在节目说明中提供了一个链接,任何想要查看Clear Sky研究的人都可以查看。它在周三发布了文章,因为补丁是在前一天星期二发布的,你知道,关闭了这个漏洞。他们说一个新的零日漏洞,43451,Clear……
Sky安全,无效或响应。我不知道它是被阻止了还是我的浏览器提供了一个安全的连接。有时会发生这种情况……
有趣。也许你应该使用显式的HTTPS,因为我……
认为普遍性阻止某些事情。好的。
是的,所以我……
只是点击了链接。你,你,是的。
是的,是的。让我尝试在这里点击它。
是的,我确定没问题。只是我。是的,我也从Safer那里得到了同样的结果,它刚刚恢复了我的连接,是的,我注意到,Ed,有些地方我可以去,我认为是安全。我确实在Uba Basic上使用了安全。好的。
所以他们,所以他们写了一个新的零日漏洞,43451是在今年6月(2024年)由Clear Sky网络安全公司发现的。此漏洞影响Windows系统,并正在积极用于攻击乌克兰实体。此漏洞通过看似无害的操作激活包含恶意代码的URL文件,他们有三个要点。
首先,在所有Windows系统上,只需右键单击该文件即可执行此操作。在Windows 10或11中删除该文件将执行此操作,在Windows 10或11以及某些Windows 7、8和8.1中将该文件拖到另一个文件夹中。他们编写了恶意的URL。
文件,我应该注意的是,URL文件只是文本,所以它有点像推动它来调用恶意文件。但是好吧,它只是一个链接。它看起来像任何文件中的链接。
所以他们编写了恶意的URL文件,伪装成学术证书,最初被观察到是从一个受损的乌克兰官方政府网站分发的。实际发生的情况是,俄罗斯人入侵了乌克兰的一个电子邮件服务器,然后使用电子邮件服务凭据向乌克兰的其他人发送了,你知道,DKIM SPF,你知道,标记批准的电子邮件。所以收到的电子邮件看起来像是来自受损服务器的可验证的真实电子邮件。
但事实上,不幸的是,这是网络钓鱼电子邮件。所以他们说攻击始于来自受损乌克兰政府服务器的网络钓鱼邮件。电子邮件提示收件人更新其学术证书。
电子邮件包含一个恶意的URL文件。当用户通过右键单击、删除或移动URL文件与之交互时,就会触发此漏洞。所以我就这么说吧,这是我第一次看到,你知道,拖动文件并将其放到垃圾桶中或右键单击以了解更多信息。
这就是在Windows 10和11中所需要做的,为了……右键单击所有版本的Windows,为了让这件事发生。我还有更多细节。所以他们说,当用户与U……
RL文件交互时,右键单击、删除或移动它,就会触发此漏洞。此操作会与攻击者的服务器建立连接,并下载更多恶意文件,包括Spark RAT。Spark RAT是一个开源远程访问工具,允许攻击者控制受害者的系统。
攻击者还使用了保持受感染系统持久性的技术,即使在重新启动后也能确保其访问权限。好的,所以这里的罪魁祸首是一个.URL文件,这是一个Windows Internet URL快捷方式。它是一个文本文件,任何曾经查看过早期Windows的原始.INI和.CFG文件的人都会识别这里的格式。
它有一些用方括号括起来的部分,然后是简单的名称=值对,全部都是文本。关键是该文件包含一个URL=行,其中URL的方案是file://,后跟恶意远程服务器的IP地址,在Windows中。file://方案由SMB处理,当然,SMB是服务器消息块,它是Windows原始文件和打印机共享的基础,正如我们所知,它在安全性方面从未达到标准。
这就是NTLM凭据哈希出现的地方,因为Windows在分发方面一直非常慷慨。这就像它向用户发送他们的凭据哈希一样,远在人们意识到发送某人的哈希凭据不是一个好主意之前,因为如果你能得到它们,就会有各种各样的后果,包括简单地重放凭据哈希以冒充他们,这正是这个东西所做的。所以显然,即使是极其短暂的接触这些文件,Windows也会……
你知道,在较新的Windows 10和11中情况更糟,Windows资源管理器会在没有任何提示的情况下联系快捷方式中指示的文件服务器,即使其接收者没有执行快捷方式,研究人员写道,在检查URL文件时,Clear Sky团队发现了一个新的漏洞。右键单击该文件会与外部服务器建立连接。
此外,在沙箱中执行会发出有关尝试通过SMB协议传递NTLM哈希的警报。在收到NTLM哈希后,攻击者可以执行传递哈希攻击,以冒充与捕获的哈希关联的用户,而无需知道相应的密码。换句话说,研究人员写道,SMB协议发送的NTLM哈希用于识别其Windows用户,可以简单地被捕获,然后用于冒充用户,就像他们已登录一样。
进一步调查发现,在Windows 10和11操作系统中,将文件从一个文件夹拖到另一个文件夹或删除文件会导致文件与目标服务器通信,然后才在Windows 7、8和8.1下删除或移动。除非在拖动时目标文件夹处于打开状态,否则在拖动或删除时,文件不会启动通信。他们说,这在第一次尝试时不会发生,而是在两次到三次尝试后才观察到。
也就是说,他们得出结论,新发现的漏洞在Windows 10和11操作系统上更容易被利用。所以,我敢肯定,对于我们听众中那些老程序员来说,了解到我们任何人可能采取的处理意外接收到的东西的措施,本身就可能直接导致我们的机器被入侵,一定有点令人不安。这是新的情况。
据报道,微软在上周二修补并关闭了这个漏洞。是的,补丁更新。所以这很好。但这应该提醒我们,那些使用Windows的人正在使用一个极其复杂的系统,它仍在向前拖拽大量遗留代码。
这段代码,NTLMSMB文件和打印机共享代码,是在世界还没有意识到我们的未来系统需要多安全之前编写的,其协议也是在那个时候设计的。当我想到这一点时,我想到了一个经典的例子,那就是Windows元文件的原始设计。Windows通过一系列绘图基元在屏幕上绘图。
你调用一个圆形或矩形或线条函数及其参数等等,一个Windows元文件。你知道,WMF只是这些绘图基元的捕获。它本质上是一个脚本,稍后,当打开该元文件时,这些基元就会被重新播放到一个新的空白画布上,以重新创建原始绘图。
因此,元文件内容会被解释,但原始元文件的设计者认为,如果我们想做更多的事情,你知道,不仅仅是重播以前录制的内容呢?为什么文件不能包含一些要执行的代码呢?记住,这是Windows 3.0,所以在所有解释的标记中,他们指定了一个元转义码,这就是它的称呼,它会导致系统执行,基本上是从解释GDI(图形设备接口)标记中转义出来,并执行包含在Windows元文件中从特殊转义码后的字节开始的代码。
所以它在元文件规范中存在了数年,直到很久以后。哦,它从95年到98年,到……最后一个16位版本是什么?是Windows ME。然后它跳到了Windows NT。
等等。所以后来,数年之后,在NT和网络以及互联网AA连接的时代,它突然被重新发现,并被贴上可怕的可利用漏洞的标签。当时,我经常说它显然一直都在那里,是故意设计的,许多人误解了我。他们认为我说微软故意在Windows中植入了后门。它是……你知道,它最初是故意的,但它从来都不是恶意的。
它是方便的。
是的。是的。在我们可以信任我们的机器可能尝试渲染的每个图像的时候,这样做是合理的。
但让我们这么说吧,它并没有很好地适应时代,微软最初的局域网管理器和他们的SMB协议也没有。
你知道,他们确实没有很好地适应时代。不,它们也是在我们真正理解安全之前设计的。所以,你知道,这不是……微软故意为之,我们确实……真正有趣的是,几周前,我们才刚刚讨论过微软决定不再修补NTLM问题,而Zero Patch公司却在这样做。所以这是另一个值得关注Zero Patch的原因。
哦,我应该提到,我收到了听众的很多反馈,他们说:“史蒂夫,你应该提到还有一个免费层,所以没有必要订阅Zero Patch才能获得它的一些好处。”所以我只想提一下这一点,以及所有其他反馈。感谢所有写信说“有一个免费版本可用”的人,所以Zero Patch确实有一个免费层。
好的。所以……本周没有发生太多事情,我们根本没有发现任何事情。所以我将花一些时间来处理我们优秀的听众的一些反馈。
我相信他会把他的名字念作Echo Ayiko。如果我说错了,我很抱歉,但我们会说Echo Fred来自乌干达,他说:“嘿,史蒂夫和利奥,我是来自乌干达的Echo Fred。自从2021年以来,我一直都在听Security Now,从第800集左右开始。”
然后,你知道,他说他偶尔会在事情繁忙的时候错过几集,有时会持续一个月,但他非常喜欢这个节目。重点是,他说:“我没有计算机科学的正式背景,但我于2020年开始学习编程,并学习了一些耳语和埃莱亚。”他说:“这是我第一种也是唯一一种语言,我现在在工作中使用。”
他说:“这让我意识到,我对许多关键概念只有模糊的理解。我从未想过要回顾2005年的早期剧集,但几集前,一位听众建议回顾早期剧集。所以我决定尝试一下,哇!”
他说:“你们解释互联网络、密码学和VPN的方式真的让我豁然开朗。我被你们解释这些概念有多容易而震惊。现在我觉得我一直都在凭直觉编程。”
他说:“每一集都让我意犹未尽,我甚至反复收听了一些剧集三到四次,尤其是关于密码学和互联网基础知识的那些剧集。我现在正在收听第58集,我鼓励任何对这些主题理解不透彻的人去看看早期的剧集,他们不会后悔的。”所以我只想分享一下,以此提醒听众。
但他最后说:“有一集让我觉得这正是我需要的。”他说那是第41集,关于TrueCrypt的。
他说:“不幸的是,我了解到TrueCrypt的开发在2014年停止了。你们有没有推荐任何具有类似TrueCrypt功能且与Linux兼容的替代工具?我想要一个具有相同隐私和安全级别的工具。”
再次感谢你们所做的一切工作。我非常感谢,期待第1000集。此致敬礼。所以,我上周提到了这段反馈,我想在本周分享它,因为我知道这个播客在多年后被许多人发现,当时我们录制了那些早期的基础技术播客。
我们听说过其他人,在发现这个播客后,他们想到从头开始,追赶进度。而这些人总是发现这是值得的。坦白说,我的一部分很想停下来,重新创作早期的一些作品,以便它们能重新进入每个人的视野。
但这没有任何意义,因为它们已经存在了。我们录制过的每一个播客都对每个人都可用,而重新制作我们已经创作的内容会挤占我们新的内容,而我们通常对此时间都非常紧张。所以,我会不时地花点时间,就像我现在这样,提醒我们的听众,在早期,我们奠定了许多我们今天谈论的一切工作方式的基础,而且是以许多人发现非常容易理解的方式完成的。
此外,我们经常听到的另一件事是,虽然我们的听众喜欢今天的内容,但他们觉得有很多东西他们不明白。你知道,他们会说:“我……我可能只理解你们谈论内容的20%。”我一周或两周前才提到过这一点,这是真的,我故意建立在我们之前奠定的基础之上,利用之前的东西作为我们前进的唯一可能方式。
所以,对于那些觉得因为迟来而被扔进深水区的人,让我指出,所有那些缺失和假设的知识曾经在播客的早期被详细地讲解过。真的。我的意思是,我们所做的一切,我们谈论的一切,以及我们在谈论新事物时略过的内容,这些都在过去被详细讨论过。所有这些都在那里等待着,免费提供给任何想要的人。
在某个时候,我很想制作一个播放列表,列出人们应该收听的基础剧集。是的,但对于Echo Fred来说,确实有一个TrueCrypt的替代品。史蒂夫在第582集里谈到了它。你会到达那里的。Faircribe,他在许多其他剧集中谈到了它。
所以它是……我在节目说明中有一个链接。VeraCrypt,veracrypt.fr。
我去看了看。而且,我的意思是,它在一个月或两个月前更新过。所以它一直在保持更新,而且它是平台无关的。它可以在Linux上完美运行,并加密你的驱动器,就像TrueCrypt曾经做的那样。我们已经涵盖了所有内容。
我们已经涵盖了……
多年来我们已经涵盖了所有内容,真的,利奥,多少个小时?
至少几千个。
嗯,好的,Scott Freed写信分享了他访问家庭网络的强大解决方案。但是利奥,让我们休息一下,然后我们将找出Scott正在使用什么来获得漫游访问权限。这并不是我们曾经谈论过的事情……哦,多么新颖的东西啊!
像Hamachi,或者我们谈论过很多不同的方法,诸如此类的东西……是的,你……
知道LogMeIn仍然存在,真的……但是是的。
LogMeIn。是的,这是一个商业服务,但它仍然存在。
并且它是一个好主意,使用什么?5.0,对吧?是的,我迫不及待地想听到还有什么其他的东西。
但首先,来自我们优秀的赞助商的广告,一个你认识的名字,我知道你认识,1Password,你可能会想,“是的,我知道他们,他们做了一个非常好的密码管理器。”好吧,这是一个1Password的新产品,不仅仅是一个密码管理器。下一步,它被称为扩展访问管理。
让我问你一个问题,如果你在IT部门工作或经营一家企业,你的员工是否总是使用IT批准的应用程序在公司自己的设备上工作?当然,这是最好的,对吧?不,他们不是。他们会带他们的手机和笔记本电脑,在家观看他们的Plex服务器。
那么,你如何保护公司的数据安全?所有那些未经管理的应用程序和所有那些未经管理的设备上存放着什么密码?答案是扩展访问管理。1Password扩展访问管理可以帮助你保护每个设备上每个应用程序的每个登录,因为它解决了传统身份和访问管理无法触及的问题。
想象一下你的公司安全,就像大学校园的四合院。你知道,漂亮的砖砌围墙。穿过常春藤覆盖的建筑物之间的绿地。这些是公司拥有的应用程序,IT批准的应用程序,公司拥有的设备,受管理的员工。然后一切都很好,一切都很平静。
但是,就像在任何大学校园一样,人们实际上使用的是捷径,穿过美丽的绿草,实际上是从建筑物A到建筑物B的直线。你知道,你想绕道去物理一号或一号,你知道直线,对吧?这些是未经管理的设备。
影子IT,非雇员,例如承包商。如果你有员工,他们不可避免地会做他们自己的事情。问题是,大多数安全工具只适用于那些快乐的小砖砌围墙。
很多安全问题都发生在捷径上。这就是为什么你需要1Password扩展访问管理。它是第一个将所有这些未经管理的设备、应用程序和身份置于你控制之下的安全解决方案。
并确保每个用户凭据都是强大且受保护的,每个设备都是已知的且健康的,每个应用程序都是可见的。这是适用于我们今天真正工作方式的安全解决方案,现在通常可用于使用Okta或Microsoft Entra的公司。它也适用于Google Workspace客户。
所以好消息。你现在就可以查看它,网址是1password.com/securitynow。这确实是1Password的一个令人兴奋的产品,1 P A S S W O R D,对吧?1password.com/securitynow。
现在,我们感谢某人支持史蒂夫在这里的Security Now的重要工作。我们感谢你通过访问该网站来支持它,这样他们就知道你在这里看到了。1password.com/securitynow,好的。
我们继续。Scott在结尾处提到他描述的一切都是Cloudflare提供的免费服务,这真的……
很有趣。他们有很多免费服务。
是的。所以我想先提到这一点。这是免费的。
所以,当我分享Scott写的内容时,任何可能有类似需求的人都会认真对待它,并认为这很有趣。所以Scott说:“嗨,史蒂夫。祝贺你达到第1000集。我已经听了20年了,每一集都听了。谢谢。利奥,他说:“我听到你们听众提出了几个关于如何在旅行时访问他们的家庭网络的问题,VPN或整个网络。”
我也有同样的问题。我访问家庭网络的主要要求是我不想在我的路由器上打开任何端口。修改后的要求是我研究了几个月的解决方案,直到我偶然发现Cloudflare的一篇博客文章。
对我来说,解决方案是Cloudflare Tunnel,网址是www.cloudflare.com/products/tunnel。他说:“我在我的网络内部运行一个旧的Intel NUC,它创建一个到Cloudflare的出站隧道。Cloudflare仪表板允许我添加我自己的域名,有一个防火墙,提供身份验证,并允许我为我的四个内部家庭子网配置路由。”
他说:“太棒了。我在网络上运行两个独立的家庭照片共享应用程序。这些应用程序在Docker容器中运行,该网络具有Linux和CasaOS,但隧道可以在旅行时运行在NAS或树莓派上。”
我在笔记本电脑上使用 Cloudflare Warp APP 并连接到我的家庭网络。然后我可以 RDP 到我的 Windows 电脑。我可以访问我的 Ubiquiti 摄像机,也可以访问我的 TrueNAS。家庭网络上的任何内容都不会暴露在互联网上,所有操作都通过隧道进行。
家人可以通过指向我自定义域名的网络浏览器访问我的共享照片应用程序 Jellyfin 和 Piwigo。我会将授权的家庭成员电子邮件地址添加到 Cloudflare 仪表板。
当家庭成员尝试登录其中一个应用程序时,他们只需输入他们的电子邮件地址,就会收到一个用于访问的 PIN 码。所有这些都由 Cloudflare 处理。这有点像变戏法,但人们可以从一个隧道开始,访问家庭网络而无需共享应用程序和处理授权。
哦,他说,我忘了提到我在 Cloudflare 上使用的一切都是免费的(全部大写)。重点是我希望这能帮助任何寻找此类解决方案的人,Scott。所以谢谢你,Scott,分享了这些。这对我来说是个新闻,所以我过去看了看。
Cloudflare 隧道页面上写道:从部署的那一刻起,保护您的 Web 服务器免受直接攻击。开发人员和 IT 人员会花费时间来锁定它,配置 ACL(访问控制列表),轮换 IP 地址,并使用笨拙的解决方案,如反向隧道。有一种更简单、更安全的方法可以保护您的应用程序和 Web 服务器免受直接攻击。Cloudflare 隧道确保您的服务器安全,无论它运行在公共云、私有云、容器集群还是电视机下的 Mac mini 上。
所以从 Scott 的描述来看,这听起来像是一个极其强大且功能强大的解决方案,可以简单安全地远程连接到内部网络。这可能超过了我们许多听众的需求,但我还是想让大家知道,因为它确实听起来像是一个高级用户的工具。能够设置身份验证,注册电子邮件地址,让某人能够接收一个 PIN 码,提供该 PIN 码,然后通过该隧道自动访问网络。
我知道这里有很多内容,它做了很多事情,但是无论如何,它看起来像是一个潜在的非常强大的解决方案。与此同时,我收到了一封来自 Jeff Price 的邮件,他恰好也写道:“感谢您的邮件,它们非常有帮助。”他说。
我收到了关于每周 Security Now 节目预告的邮件,他说:“我在家有一个中等规模的网络,带有 Synology NAS,以及数十个物联网设备。我一直使用 Tailscale 进行所有远程连接。这意味着没有开放端口或端口转发。”
我还在我家内部设置了一个系统作为出口节点,这意味着即使我在旅行时,也可以将我的所有流量加密回我的家,然后从那里退出。换句话说,他在旅行时所做的一切都认为他仍然在家,这对于访问具有特定地理边界的流媒体服务等非常有用。他说 Tailscale 运行良好,并且比 OpenVPN 快得多。
所以这只是另一个提醒,覆盖网络解决方案几乎是即插即用的,易于使用,并且有 Tailscale、ZeroTier 和 WireGuard。还有 Nebula 和 Netmaker。所有这些都有各种操作系统的客户端,甚至还有各种群集的客户端。
所以我知道这可能……它远不如 Cloudflare 隧道灵活和强大。它也更像是一个自制的解决方案,而不是 Cloudflare 隧道。所以你的里程可能会有所不同。
选择最适合您的解决方案。Adam B 有一个有趣的问题,他说:“嗨 Steve,我是节目的长期听众。”
“我不确定有多久,但我肯定记得你过去会在主题、新闻和反馈之间交替播放剧集。”他指的是新闻和反馈。他说:“我是一个自豪的 SpinRite 用户。我知道。感谢你和 Leo 激起我对黑客的兴趣,几百美元……因为我发现了一些本地权限提升漏洞,这在周末四处探查时发现的,这非常酷。”
所以他有点像白帽黑客,帮助人们。他说:“我有一个问题,我一直无法在网上找到答案,我认为这可能会让你和我的其他听众感兴趣。我是一个业余恶意软件分析师,显然是从基础经验开始的,”他分享道,“作为其中的一部分,我经常在一个与互联网隔离的网络中运行样本,看看会发生什么。有时样本会尝试与命令和控制服务器通信。通常硬编码的 C&C 服务器是完全限定的域名,但有时是公共 IP 地址。”我可以关掉它。
他经常可以假装自己是命令和控制服务器,只是为了看看样本在 C&C 服务器是完全限定的域名时会发送什么。使用我自己的 DNS 服务器在隔离网络中回答 DNS 请求,并使用我选择的 A 记录 IP 地址就足够容易了,这意味着,对吧?所以恶意软件说:“啊,我需要 IP 地址,badguys.com 是什么?”因为他创建了一个隔离网络,所以他拥有自己的 DNS 服务器。
所以运行该恶意软件的机器会生成一个 DNS 查询到 badguys.com,而 DNS 响应是,你知道,192.168.0.20 左右,或者类似的东西,这是该网络上的一台机器。所以这就是恶意软件尝试连接到的位置,这是他自己的服务器,所以他可以看到发生了什么。他说。
然而,当 C&C 服务器是公共 IP 地址时,这就会变得更加麻烦。他写道:“我认为我有两种选择。”他说:“一、修补样本以将 IP 地址更改为本地地址。”
“或者二、以某种方式让我的 LAN 使用我选择的 MAC 地址来响应 ARP 请求。”他说:“第一个选择的问题是,这在规模上并不实用”,这意味着,你知道,修补恶意软件以将其指向本地地址。我同意。
他说:“正如你所知,有时我喜欢运行同一恶意软件家族的十个、二十个或五十个版本,我不希望必须手动修补五十个不同的样本。”这似乎也是不太令人满意的选择。第二个选择的问题是我根本无法弄清楚如何做到这一点。
我如何才能配置我的网络,以便如果样本请求公共 IP 地址(换句话说,在我的 LAN 的 /24 网络中),请求由我的 C&C 服务器处理?我在网上找到的最佳答案与 ARP 欺骗有关,但这似乎非常不可靠,并且可能会导致不稳定的网络。我觉得答案将与默认网关有关,但我无法弄清楚。
我希望这说得通。我真的很感谢您对此事的看法。非常感谢您、Leo 和整个团队,此致,Adam。
好的。Adam 想做的事情绝对可以用非常强大的方式完成。可以手动将静态路由添加到托管恶意软件的机器的路由表中。
这将导致绑定到该目标 IP 的流量覆盖正常的非本地默认路由,该路由会将流量发送到网络网关接口,而不是发送到另一个本地网络接口。但是这样做很棘手且很混乱。更直接的解决方案,而且它非常巧妙,将是获得一个具有额外硬件接口的路由器。
我在这里使用的 Netgate SG-1100 有一个额外的网络连接。你知道,它有一个 LAN 和一个 WAN 作为 WAN。它不是一个使用与实验室相同网络的简单交换机。
它是一个带有网络接口的步骤,可以赋予它自己的 LAN。例如,那些 PROTECTLI 保护的沃尔特设备。我在我的另一个位置使用其中一个,它们也很好,亚马逊有售,或者您可以直接从 PROTECTLI 获取。其想法是拥有一个额外的物理网络接口,您可以使用路由器软件(如 pfSense 或 OPNsense)来为该额外接口定义另一个小型 LAN 网络,而不是使用正常的私有网络,如 192.168.1.xxx 之类的东西,或者 10.xxx.xxx.xxx 之类的东西,您将创建一个包含命令和控制服务器的目标 IP 的网络。然后,您将一台机器连接到该接口,并手动为命令和控制服务器分配目标 IP 地址。
您将一台机器连接到该接口,并手动为命令和控制服务器分配目标 IP 地址,该服务器现在正在寻找。每当主机中的恶意软件将互联网流量发送到该远程公共 IP 时,您的本地路由器的路由表将看到该 IP 与该额外网络中的 IP 匹配,并将流量发送到该 IP,而不是发送到公共互联网。因此,您最终得到一个非常直接、强大且易于调整和维护的解决方案。是的,Dale Myers,好的,有一个问题。我忘了我们休息了多少次。
我认为有些事情正在发生。我们还有一个……
更多,所以你可以把它放在任何你想要的地方,只有一个回来。在我们讨论什么是 AGI 之前,是的,谢谢。Dalmar 有一个没有人应该面临的问题。他说:“嗨 Steve,”
“我从未想过,当我开始收听第 001 集时,会有第 1000 集(仍在继续)的 Security Now 播客,”他说,“我从一开始就收听,就在 Fred Langa 建议你的播客可能值得一听之后。当时他是对的。”
“我当时是一所教区学校 IT 部门的志愿者。多年来,我从 Security Now中学到的东西导致了我们系统的重要改进。在那些日子里,听众不多,你花时间回答了我提交在 Security Now 页面底部的反馈对话框中的两个问题。”
“现在我有一个新的问题,与使用密码管理器有关,”他说,“我最近乘飞机旅行了一段时间,上次我在旅行社办公室时,我决定使用一些累积的积分。”她说。
她说她无法在我的帐户中访问我的密码。她的屏幕上有一个地方可以输入密码,但我无法弄清楚如何从那里获取密码,或者从我的密码管理器获取密码。有什么想法吗?Dale Myers,好的。
所以我的第一个想法是,嗯?这是一个非常好的问题。你如何安全地做到这一点?然后我想,我想知道为什么我们以前没有听说过这个问题。然后问题就自己回答了。
由于没有人应该遇到这个问题,所以没有人应该被要求将他们的密码交给其他人(例如旅行社),以便他们可以访问他们的帐户。所以,这不是一个更大的问题,因为它永远不应该被任何人要求。整件事,你知道,看起来像是一个根本性的坏主意,但这对 Dale 没有帮助,他显然确实遇到了这个问题。
即使每个人都同意,他首先就不应该遇到这个问题。鉴于 Dale 从第一集就开始收听,我们知道他的旅行帐户目前受到一个荒谬的长、随机且无法手动输入甚至沟通的密码的保护。所以我的建议是不要尝试,简单地将你的密码更改为一个非常容易输入的东西,这符合旅行系统的密码策略,但在其他方面尽可能简单。
你知道,它只会持续几分钟,所以它的安全性并不重要。积分转移后,帐户密码可以恢复到之前的状态,或者设置为新的密码。现在,一个可行的替代方案是通过电子邮件或短信将帐户的原始密码发送给旅行社,让她登录,做她需要做的事情,然后在积分转移后将帐户密码更改为新的、超级安全的密码。
现在,话虽如此,我确实收到了一位听众关于一个非常酷的设备的反馈。我把它寄给了我,因为我想了解它并能够谈论它。这是一个小巧的加密狗,带有一个 USB 端口,它是一个蓝牙键盘加密狗。
这意味着,如果 Dale 有这个,或者如果我们的任何听众有这个问题,Dale 可以随身携带它,交给旅行社,并将其插入她的电脑,你知道,任何 USB 端口都可以。现在,非常类似于原始的 Ubikey,这个东西看起来像一个 USB 键盘。所以,如果存在,则存在 Android 和 iOS 以及其他此设备的应用程序。
所以 Dale 可以通过这个应用程序发送他的密码。它会将密码输入到旅行社电脑上的密码字段中,这无论如何都是一个很酷的黑客行为。呃,我会……我会在下周的播客中提供更多关于它的信息,任何想要提前了解的人都可以。它并不便宜,价格为 37 美元,据我记得是从波兰发货的。但尽管如此,我认为这是一个很酷的东西。
Chris C 之前问过,你说过一家大型公司因为没有按照联邦法律的要求保留团队或 Slack 聊天记录而被罚款。你还记得这是哪家公司以及哪部法律吗?所以我回复 Chris 说,我依稀记得有这么一回事,但我没有具体的记忆。
我说,每个页面右上角的现场搜索只能用于搜索播客文字记录,这些记录已完全编入索引,因此您也许能够通过这种方式找到参考内容。这就是我对 Chris 的回复。我想分享这一点,因为我自己也时不时地使用 GRC 搜索,当我寻找我们自己过去的内容时也是如此。
你们可能听到我漫不经心地提到过我们讨论过某些事情,现在不知道那是什么,是在哪一期播客中讨论的,我也不知道。所以,我不想让任何人认为我像这里的 Chris 一样记起了那期播客。我确实记得曾经提到过这件事,但记不起是什么或是什么时候。
由于我经常收到这类问题,就像 Chris 询问的那样,我想转告大家。节目说明和完整的文字记录都已完全编入索引,可以使用 grc 搜索框轻松搜索该索引。我稍后检查了一下,Chris 回复了。他回复说:“谢谢。我之前不知道有这个功能,”他说,“我在 SN 第 959 期找到了它。”
他说:“谷歌没有帮到我,但是你网站上的搜索引擎(由同一家公司提供支持)做到了。”所以,我们确实有一个基本上是播客专用的搜索功能,它可以让任何人都能找到他们认为我们之前讨论过但记不清具体是哪里或什么时候的内容。呃,你可以继续问我,但是你知道,所有这些你都可以自己做,那就是使用 grc 每个页面右上角的小搜索框。Leo,我们准备讨论人工通用智能了,不管那是什么。好吧,至少我们可能知道那是什么,即使我们不知道大约半小时后会发生什么。但是让我们先休息一下,然后我们再深入探讨。
我很兴奋。我真的很兴奋。我准备做笔记了,节目由 DeleteMe 这些很棒的人赞助。
我对 DeleteMe 有些直接的经验,因为我们一段时间以来一直在为我们的 CEO 使用它。如果你曾经在网上搜索过你的名字,我并不建议你这样做。但是如果你做过,你会知道有多少你的个人信息就在那里公开可见。
都是数据经纪商。他们多年来一直在收集这些东西。你使用的每个应用程序,不仅仅是 TikTok,还有 Facebook、Instagram。
你访问的每个网站,他们都会收集所有信息,并将这些信息整合起来,基本上会创建一个关于你和你家人、关于所有人的档案,你知道,维护隐私不仅仅是个人问题,也是家庭事务。这就是 DeleteMe 推出家庭套餐的原因,这样你就可以为家里的每个人都使用 DeleteMe 了。我认为,而且我认为他们确实也有企业套餐。
我认为这就是我们所使用的,因为你真的应该为公司里的每个经理都配备 DeleteMe。我以前说过。如果你们听过,请原谅我,但是我们使用 DeleteMe 是因为 Lisa,不知何故,坏人弄到了她的电话号码,她为哪些公司工作,她的直接下属是谁以及他们的电话号码是多少。
我想知道他们是从哪里得到这些信息的,对吧?结果,他们能够进行一次网络钓鱼活动,假装是来自 Lisa 的短信。CEO 的电话响了。
我需要一些亚马逊礼品卡。我在开会,拿到它们并发送到这个地址。幸运的是,员工们比这聪明,但他立即告诉我,我们必须采取一些措施来减少网上关于我们管理层的信息量。
那时我们才开始使用 DeleteMe。DeleteMe 有助于降低身份盗窃、此类网络安全威胁、骚扰以及所有隐私侵犯可能造成的风险。这不是一件好事。
DeleteMe 的专家知道数据在哪里。他们会从数百个数据经纪商那里找到并删除你的信息。顺便说一句,如果你获得家庭套餐或企业套餐,你可以为每个成员分配一个数据表。
你可以告诉他们,比如,“完全删除 Instagram 信息,但是不要删除那种照片”。易于使用的控件。因此,作为帐户管理员,你可以管理整个家庭的隐私设置。
但重要的是,一旦他们删除了这些数据,你就不能置之不理,因为你首先可以自己做到这一点,而你需要知道数百个数据经纪商。但是,你还需要知道新的经纪商上线了,而且每天都会有新的经纪商上线,这是一个非常有利可图的业务。你需要知道如何回去,这就是 DeleteMe 的作用。
他们会定期扫描并删除你的信息,从现有的数据经纪商那里删除,从所有不断涌现的新经纪商那里删除?我说的是地址、照片、电子邮件、亲属、电话号码、社交媒体、房产价值,所有的一切。所有这些都在线数据经纪商那里。
在我们这个国家获得全面的隐私法来保护你之前,你必须保护你自己、你的家人和你的企业。访问 joindeleteme.com/twit 来重新获得你的隐私。优惠码 TWIT 可享受八折优惠,这是一个非常划算的交易。
joindeleteme.com/twit,使用优惠码 TWIT 可享受八折优惠。如果你想访问 joindeleteme.com/twit,看看所有的产品。他们有一套非常细致的产品,可以真正做到你需要做的事情来保护你在线安全。
所以我非常推荐看看所有这些。这是一家非常棒的公司。joindeleteme.com/twit。谢谢。顺便说一句,Steve,在全国公共数据经纪商数据泄露事件之后,我们在那里搜索了我的名字,我的社交信息,所有这些信息都在那里。
我认为这是一个非常有说服力的例子,让我真正意识到 DeleteMe 的价值。谢谢。DeleteMe,对吧?我已经死了。听到这个。
Steve Gibson 谈论 AGI。好吧,Steve,在调查了许多人对 AGI 的看法后,我也想知道你的想法。
虽然我认为你可能会……
给我们一些想法,是的,我确实有一些想法,好的,嗯,我应该注意到,我已经拥有了所需的一切,这要感谢今天的 ChatGPT,它改变了我的生活,使它变得更好。我一直在越来越多地使用它。作为一种节省时间的工具,它以编程语言超级搜索引擎甚至语法检查器的形式出现。嗯,当我需要快速编写一些用 PHP 等我不熟悉的语言编写的代码时,我会使用它作为一种辅助工具。我只是,你知道,我想现在解决一个快速的问题,比如以某种方式传递文本文件到不同的格式,诸如此类的事情。
嗯,过去我会,你知道,如果我有一个比这更大的项目,我会花一个小时在谷歌上查询,点击程序员的角落、Stack Overflow 或其他类似网站的链接,我会从我在网上找到的其他类似代码片段中拼凑出我需要的语言结构,或者,如果我找不到任何有用的东西来解决这个问题,我会深入研究该语言的实际参考文本,找到我需要的用法和语法,然后从中构建,你知道,因为,你知道,在你编程过几种语言之后,它们在很大程度上都是一样的。我的意思是,Lisp 完全是不同的动物,APL 也是如此。
但是,但是过程语言只是,比如,好吧,我使用什么来表示不等式?我使用什么来表示?你知道,循环结构是如何构建的,诸如此类的事情?
嗯,我不再那样做了,因为我现在可以使用我认为是超级编程语言搜索引擎的东西。现在,我会向 ChatGPT 的实验性编码版本询问我需要的东西。我不会要求它提供完整的程序,因为那真的不是我想要的。
你知道,我喜欢用任何语言编程,因为我喜欢谜题,而谜题与语言无关。但我并不同样了解其他每种语言的细节。ChatGPT 无法告诉我关于汇编语言编程的任何我不知道几十年了的知识,但是如果我想编写一个快速的一次性实用程序,比如用 Visual Basic .NET(我很少使用的一种语言),
而且因为我喜欢用汇编语言编写,但是我需要,例如,快速实现一个关联数组,就像我上周做的那样,与其在互联网上搜索或扫描 Visual Basic 语法以查找我想要的东西,我现在只需向 ChatGPT 提问。我会非常具体和仔细地询问我想要什么,在大约两秒钟内,我就能得到我以前可能
花了三十分钟到六十分钟在网上搜索的东西。对于我传统上遇到的这类问题,它改变了我的工作方式。当我需要一些我不熟悉的细节时,它很有用,我认为我会这样说,而且我已经看到其他程序员对当今 AI 生成的代码提出了很多批评。
对我来说,这似乎是错位的。也就是说,他们的批评似乎是错位的。也许只是有点紧张,也许他们也问错了问题。我不会向 ChatGPT 索要最终产品,因为我知道我想要什么,而且我不确定我是否可以用语言来描述最终产品,或者那才是它真正擅长的事情。所以我只是向它询问具体的片段,我报告说结果非常棒。
我的意思是,它实际上是……我现在编写代码的方式,我认为这可能是最好的说法。它不是……这很有趣。互联网,而且,你知道,显然我们必须非常谨慎地使用这个词,它不知道这些东西,但是不管它是什么,我都能像问你问题一样,并且我实际上得到了对特定问题领域问题的非常好的答案。
好的。但是我想探索的是今天之后会发生什么,挑战是什么,以及人们对我们如何以及何时才能获得更多东西(不管更多是什么)做出了哪些预测。我们想要达到的目标通常被称为人工通用智能,缩写为 AGI。
好的,那么让我们首先看看维基百科是如何定义这个目标的。维基百科说,人工通用智能是一种人工智能,它在广泛的认知任务中与人类的认知能力相匹配或超过人类的认知能力。这与仅限于特定任务的狭义 AI 相反。
另一方面,人工超级智能(ASI)是指大大超过人类认知能力的 AGI。AGI 被认为是强人工智能的一种定义。
他们说,创造 AGI 是人工智能研究以及 OpenAI 和 Meta 等公司的一个主要目标。2020 年的一项调查确定了分布在 37 个国家的 72 个活跃的 AGI 研究和开发项目。截至 2023 年,实现 AGI 的时间表仍然是研究人员和专家之间持续争论的话题。
一些人认为这可能在几年或几十年内实现。另一些人认为这可能需要一个世纪甚至更长时间,少数人认为这可能永远无法实现。著名的人工智能研究员杰弗里·辛顿对快速发展 AGI 表示担忧,认为这可能比许多人预期的要快。
关于 AGI 的确切定义以及现代大型语言模型(LLM),如 GPT-4 是否是 AGI 的早期形式,存在争议。关于 AGI 是否构成生存风险也存在争议。许多人工智能专家表示,减轻 AGI 带来的物种灭绝风险应该成为全球优先事项。其他人认为 AGI 的发展过于遥远,不足以构成这种风险。
AGI 也被称为强人工智能、完全人工智能、人类水平人工智能或通用智能行为。然而,一些学术资料将“强人工智能”一词保留给体验感知或意识的计算机程序。相比之下,弱人工智能或狭义人工智能能够解决一个特定的问题,但缺乏一般的认知能力。
一些学术资料使用“弱人工智能”一词更广泛地指任何既不体验意识也不像人类一样拥有思维的程序。相关的概念包括人工超级智能和变革性人工智能。人工超级智能是一种假设的 AGI 类型,其普遍智能远超人类,而变革性人工智能的概念与人工智能对社会产生重大影响,从而改变社会有关。
例如,类似于农业或工业革命,2023 年提出了一个用于对 AGI 水平进行分类的框架,由谷歌 DeepMind 的研究人员提出,他们定义了五个 AGI 水平:新兴、称职、专家、大师和超人类。例如,他们将称职的 AGI 定义为在广泛的非体力任务中胜过 50% 熟练成人的 AGI。类似地,超人类 AGI(换句话说,人工超级智能)的定义也类似,但阈值为 100%。他们认为像 ChatGPT 或 LLaMA 2 这样的大型语言模型是第一级新兴 AGI 的实例。
好的,我们正在获得一些有用的语言和术语来讨论这些事情。上周在我们庆祝本播客的第 1000 期时,我看到的一篇文章发表在 Perplexity AI 上,标题为《Perplexity 预测到 2025 年将出现 AGI》。Perplexity 的文章内容不多,但我确实提供了一些有趣的思考、一些额外的术语和谈话要点。
因此,我想分享一下OpenAI首席执行官山姆·阿尔特曼引发的IT困惑。他预测通用人工智能(AGI)可能在2025年实现,这与许多专家预测AGI到来时间要晚得多形成鲜明对比。尽管存在怀疑论,阿尔特曼仍坚称OpenAI正在按计划实现这一雄心勃勃的目标,强调持续的成就和大量的资金,同时也暗示AGI最初对社会的影响可能微乎其微。在一次Y Combinator采访中,阿尔特曼表达了对未来一年AGI潜在发展的兴奋之情。
然而,他还出人意料地声称,AGI的出现对社会的影响将出奇地小,至少最初是这样。鉴于AGI的潜在变革性以及阿尔特曼乐观的预测时间表,这一说法引发了人工智能专家和爱好者之间的争论。阿尔特曼乐观的预测时间表与该领域的许多其他专家形成鲜明对比,他们通常预测AGI的开发要晚得多,大约在2050年左右。尽管存在怀疑论,阿尔特曼仍然坚持认为OpenAI正在积极追求这一雄心勃勃的目标,甚至暗示使用正确的硬件可能能够实现AGI。
这种信心,加上OpenAI最近66亿美元的融资轮和超过1570亿美元的市场估值,突显了该公司致力于突破人工智能技术界限的决心。实现通用人工智能面临着许多重大的技术挑战,这些挑战超出了当前人工智能的能力。因此,这里有四个要点概述了AGI需要什么,而目前还没有迹象表明这些需求能够得到满足。
首先,常识推理。AGI系统必须发展对世界的直觉理解,包括隐性知识和不成文的规则,以便应对复杂的社会环境并做出日常判断。第二,情境意识。AGI需要根据情境因素、环境和以往经验动态调整行为和解释。
第三,处理不确定性。AGI必须解释不完整或模糊的数据,从有限的信息中推断,并在面对未知时做出合理的决策。第四,持续学习。开发能够随着时间推移更新其知识和能力,而不会丢失先前获得的技能的AGI系统仍然是一项重大挑战。
在我阅读这四个要点——推理、情境意识、不确定性和学习——时,我想到的一件事是,我所互动过的所有AI系统从未要求我对我的提问进行任何澄清。这似乎并不是当前一代AI的内置功能。我确信,如果我能进一步提高相关公司的股价,我可以模拟出这种能力,但这实际上并不重要,对吧?因为这将是一个伪造的问题,就像上世纪70年代那个非常古老的Eliza程序一样。
你知道,你会输入“我今天感觉有点暴躁”。它会回答:“你为什么认为你今天感觉有点暴躁?”它并没有真正提出一个问题。它只是被编程成看起来像这样。
它理解我们输入的内容吗?我希望说明的是,今天的AI存在着空洞感。我知道这是一种真正令人惊叹的搜索引擎技术,但它似乎不仅仅是这样。对我来说,它的答案背后没有任何存在感或理解力。
这篇文章继续说道,克服这些障碍需要在神经网络架构、强化学习和迁移学习等领域取得进展。此外,AGI的开发需要大量的计算资源和跨学科的合作,包括计算机科学、神经科学和认知系统方面的专家。虽然一些人工智能领导者,如山姆·阿尔特曼,预测AGI将在2025年实现,但许多专家对此类加速的时间表仍然持怀疑态度。2022年对352位人工智能专家的调查发现,媒体对AGI开发的估计大约在2060年左右。
安全播客第1001集提到,90%的352位受访专家预计在100年内会看到AGI,90%的专家预计不会超过100年,但媒体预测的是2060年,所以不是山姆所说的明年。
这种更为保守的观点源于几个关键挑战。首先,缺失成分问题。一些研究人员认为,当前的人工智能系统虽然令人印象深刻,但缺乏通用智能所必需的基本组成部分。
仅靠统计学习可能不足以实现AGI。再次,缺失成分问题,我认为这完全正确。还有训练限制,创建足够复杂的虚拟环境来训练AGI系统以应对现实世界,包括人类的欺骗,这带来了巨大的障碍。第三,扩展挑战。尽管大型语言模型取得了进展,但一些报告表明,几代人之间的改进速度正在递减。
这些因素导致许多人工智能研究人员对AGI开发持更为谨慎的看法,他们认为AGI的开发可能需要几十年而不是几年才能实现。OpenAI最近在技术进步和财务增长方面都取得了显著的里程碑。该公司成功地完成了一轮——他们再次提到——大规模的66亿美元融资,估值达1570亿美元。
但你知道吗?谁在乎呢?这只是,你知道,山姆是一个优秀的推销员。他们说,这轮融资吸引了微软、英伟达和软银等主要投资者的投资。科技行业对OpenAI的潜力充满信心,该公司的旗舰产品ChatGPT实现了指数级增长,目前拥有超过2.5亿周活跃用户,而我就是其中之一。
OpenAI还在企业领域取得了重大进展,据报道,92%的财富500强公司都在使用其技术。尽管取得了这些成功,OpenAI仍然面临着挑战,包括高昂的运营成本和对大量计算能力的需求。该公司预计今年将亏损约50亿美元,这主要是由于训练和运营其大型语言模型相关的支出造成的。所以,当我思考这个想法时,你知道,我们只是要投入所有这些资金,它就会解决这个问题,一切都会好起来,解决方案将会……
明年,让我想到的类比是治愈癌症,因为这有点像,你看,我们只需要突破,如果……你知道,治愈癌症就像,不,我们对人类生物学还不够了解,还不能说我们会做到这一点。我知道现任政府一直在进行所有这些癌症登月计划,就像,好吧,你真的和任何生物学家谈过这个吗?或者你只是认为你可以把钱投入进去,它就会完成这项工作。所以情况并非总是如此。
所以对我来说,这种缺失成分的概念是最重要的,就像我们今天可能拥有的东西已经变得非常擅长做它所做的事情。但这可能无法扩展。它可能永远不会成为我们AGI所需的东西。但我认为,到目前为止我所分享的内容提供了一些关于我们所处位置以及AGI目标的校准信息。
我在《信息周刊》上也找到了一篇文章,作者进行了一系列采访并引用了我只想分享的人的话,以结束这个话题。文章标题为“2025年的通用人工智能?祝你好运”,我看到了这样一句话:人工智能专家表示,AGI可能要到2050年才会进入市场,OpenAI首席执行官山姆·阿尔特曼表示是2025年,但这是一个非常难以解决的问题。几年前,人工智能专家预测通用人工智能将在2050年成为现实。OpenAI以及大型科技公司一直在推动可能的极限,但尽管山姆·阿尔特曼估计是2025年,但实现AGI不太可能很快。HP Newquist,《大脑制造者》的作者以及跟踪实用人工智能发展的咨询公司Relayr Group的执行董事说:“我们不能假设我们接近AGI,因为我们真的不了解当前的人工智能,这与梦想中的AGI相去甚远。”
我们不知道当前的人工智能是如何得出结论的,甚至无法向我们解释其背后的过程。这是一个巨大的差距,需要在开始创建能够做任何人类能够做的事情的AGI之前弥补。人类思维的一个标志,AGI将试图复制它,就是能够解释提出问题解决方案或答案的理由。
我们仍在努力阻止现有的大型语言模型胡说八道。我插一句,我认为这是关键点。我早些时候将ChatGPT描述为一个非常强大且令人惊叹的互联网搜索引擎。部分原因是因为我一直在使用它来复制我自己的需求。正如我所说,它已经奇迹般地取代了我原本需要自己完成的大量搜索工作。
我的观点是,这种当前的大型语言模型方法可能永远不会超过这个。这可能是一个死胡同,你知道,如果是这样的话,这是一个非常有用的死胡同。但这可能根本不是通往AGI的道路。
它可能永远不会成为一个超级快速的搜索引擎。这篇文章继续说道,OpenAI目前正在对先进的语音模式进行alpha测试,该模式旨在听起来像人类,例如偶尔暂停说话以吸气。
它还可以检测情绪和非语言线索。这一进步将有助于使AI听起来更像人类,这很重要,但还有更多工作要做,坦率地说,在我看来,这就是我们开始进入花招的范畴。就像,你知道,让它看起来比它实际更强大,但它仍然不是。ZeroGPT的十几岁的首席执行官Edward Tian也认为,实现AGI需要时间。
在与该文章作者进行的电子邮件采访中,Edward说:“通用人工智能背后的理念是创造尽可能像人类的AI,一种能够自学并基本上以自主方式运行的AI。因此,最明显的挑战之一是以一种允许开发人员最终能够放手的方式创建AI,因为目标是让它自由地自行运行。无论技术多么先进,都不能是人类。因此,挑战在于试图开发它,使其尽可能像人类。”
这也导致了伦理困境。关于监督,肯定有很多人都担心AI拥有过多的自主权和控制权,这些担忧是合理的。开发人员如何制作AGI,同时又能够在必要时限制其能力?由于所有这些问题都受到能力和规定的限制,目前我不认为2025年是现实的。当前的人工智能,即人工窄智能(ANI),能够很好地执行特定任务,但它无法将该知识推广到不同的用例。
去中心化AI数据提供商Orca的首席执行官兼哥伦比亚大学电气工程系兼职副教授Max Lee说:“鉴于构建当前AI模型所花费的时间之长,这些模型存在输出不一致、数据源有缺陷和无法解释的偏差等问题,因此完善现有模型可能更有意义,而不是开始研究更复杂的模型。对于AGI的许多组成部分,我们甚至不知道它为什么有效,也不知道它为什么无效。”
为了实现AGI,系统需要做的不仅仅是产生输出并参与对话,这意味着仅靠LLM是不够的。AI公司Data Miner的首席AI官Alex James在电子邮件采访中表示。它还应该能够持续学习、遗忘、做出考虑他人的判断,包括做出判断的环境。还有更多。
从这个角度来看,我们仍然相距甚远,很难想象AGI不包含社会智能。当前的AI系统没有任何社会能力,例如理解它们的行为如何影响他人、文化和社会规范。Sergey Kosenko,一家赌博软件公司的副CTO说:
为了实现AGI,我们需要能够自主泛化和学习的先进学习算法、结合各种AI学科的集成系统、强大的计算能力、多样化的数据和大量的跨学科合作。例如,当前用于自动驾驶汽车的AI模型需要庞大的数据集和计算能力才能处理特定条件下的驾驶,更不用说实现通用智能了。
LLM基于复杂的变化器模型。虽然它们非常强大,甚至具有一些涌现的智能,但变化器是重新训练的,不会实时学习。对于AGI,需要在AI模型上取得一些突破。
它们需要能够对情况进行概括,而无需针对特定场景进行训练。系统还需要实时做到这一点,就像人类在直觉地理解某些事物时一样。此外,AGI能力可能需要新的硬件架构,例如量子计算,因为GPU可能不足够。
请注意,山姆·阿尔特曼特别反驳了这一点,并表示当前的硬件就足够了。此外,硬件架构需要更高效节能,并且不需要大型数据中心。LLM正在开始进行因果推理,最终将能够进行推理,它们还将根据从多个来源获取数据的能力,拥有更好的问题解决和认知能力。好的,有趣的是,我们看到不同专家之间存在一致的程度。你知道,他们可能都在阅读相同的材料。
因此,在某种程度上存在趋同,他们在思考,但你知道,所有人都是异常值,嗯,在我看来,这些人知道他们在说什么,从他们说过的话来看,嗯,也许,你知道,也许萨姆已经在 OpenAI 的实验室里看到了一些外界其他人没有看到的东西,因为这正是萨姆不会犯夸大其词和过度宣传他公司近期未来的罪过所需要的。现在,我在你屏幕上放了一张图片,再看一遍,利奥。这不是标记,这不是模拟。
这是一张实际的脑组织小块图像,那些是神经元、轴突和树突。它们的颜色是后来添加的,但那些,那是这张照片中实际的人脑组织,在节目说明中,嗯,我。尤其让我着迷的是来自世界顶级学术人工智能研究人员的评论,他们承认,直到今天,没有人真正理解大型语言模型是如何产生它们所产生的结果的。
鉴于此,我怀疑仅仅是更多相同的东西会导致 AGI 所需的那种高质量的根本性进步,这当然不仅仅是更多相同的东西。当我在过去说过我认为没有理由为什么最终不能创造出真正的人工智能时,我当然不是指明年,我指的是总有一天。我的意思是,我相信生物大脑可能只是创造智能的一种方式。
在我对人脑生物学的研究中,我获得的一件事是对令人惊叹的复杂性(我的意思是,令人惊叹的)生物计算引擎(也就是我们)的深刻理解,即单个计算神经元的数量。人脑有 10 的 11 次方个。好吗?所以那是 1000 亿,1000 亿个单独的神经元。
10 亿个神经元,一百倍。所以考虑一下,10 亿个神经元,一百倍。而且这些单个神经元不仅相互连接得非常好,通常与两万个其他神经元相连,每个单个神经元本身在其行为和运作方面都非常复杂。
它们远非简单的、综合的二元触发器,就像我们在小学学到的那样,而我们脑袋里有一千亿个这样的家伙。所以也许萨姆明年会给世界带来惊喜。让我们拭目以待。
科洛持怀疑态度,但并不失望。正如我所说,我很高兴发现了 ChatGPT 这种奇妙的、易于访问的互联网摘要。你知道,这不仅仅是一个简单的副产品。
这是一件大事,我认为这是一种魔法。但我怀疑它就是它本身。对我来说,这就足够了。就目前而言,我敢打赌,在我们得到更多之前,我们还有很长的路要走。
你怎么知道某物是 AGI?这是困扰我的事情之一。图灵测试不是真实的。有一个中国房间测试可能更好一些。我认为真的没有办法判断 AGI。
不,不。我的意思是,它会。好吧,另一个完美的例子是国际象棋。曾经有一段时间,你可以很容易地说,好吧,人类,他们就像,你知道人类可以下国际象棋,没有机器可以下国际象棋,对吧?
我的意思是,人们很久以前就说过这句话,对吧?现在,计算机已经远远超过了它,所以,嗯,对我来说,而且我知道你也在使用受约束的领域,大型语言模型。你会通过转储一堆 Lisp 教材并进行处理来训练它,然后能够提出问题吗?你知道,这是一项我们拥有的奇妙技术。
我认为这与我们治疗癌症的方案非常相似,即通过使用化疗来限制我们全身的生长,因为癌细胞之所以成为问题,是因为它们能够以如此高的速度繁殖。我的意思是,这就像我们甚至还没有开始真正治愈。嗯,我们只是有某种缓解措施,能够将人们推入缓解期。所以我的感觉是,我同意那些专家的说法,他们认为我们今天可能看到的东西,我们应该将其视为仅此而已,没有理由相信仅仅通过获得更多相同的东西就能获得某种转变。
是的,我也认为寻找 AGI 也许并不是机器能够像 AGI 一样有用或强大,而实际上并不是通用智能的明智最终目标。我不知道这是否是一个合理的衡量标准。好吧,它是。
当然,如果我们拥有某种东西,人们可以随意地准确地描述他们想要计算机程序如何运行,并且实际上得到了一个功能正常的……
错误的。
无错误的,是的,这将改变编码世界。而且我不会感到惊讶,是的,如果我们很快就能拥有这样的东西,我不会感到惊讶。
我问了我最喜欢的 AI 之一 Perplexity AI,这是一个互联网搜索引擎。你应该试试。这就是你似乎认为,似乎喜欢使用 AI 的方式。
所以我问,AGI 的测试是什么?想象一下图灵测试,其他一些测试,但随后想象一些随意的测试,例如咖啡测试。人工智能进入一个普通美国人的家中,并弄清楚如何冲泡咖啡。
你知道吗?如果,如果,如果一个机器人能做到这一点,它可能不是 AGI。但是,这令人印象深刻,或者可以去上大学,获得学位,通过与人类相同的课程。
我认为我们可能接近于此。IKA 测试中,人工智能控制机器人正确组装平板家具。在查看零件和说明后,许多人都能做到这一点。
所以这也是一个有趣的测试。我只是认为这些显然有点愚蠢,但这表明对 AGI 没有明确的定义。有很多不同的方法。
就像人类一样,有很多方法可以变得聪明。我认为机器有很多方法可以变得有用地聪明。如果机器可以进入我家,无需任何关于咖啡的预先知识,除了可能对咖啡是什么、如何制作咖啡有一个基本的了解,我就会印象深刻。我认为这将是有用的,可能不是 AGI,但会很酷。是的。
在我们成长的生活中,曾经有一款名为 DIM 的游戏……
和名称……
有一种方法可以使用火柴盒和火柴来设置计算机。你基本上,这个东西就像一台非常早期的组合式 AI 计算机,通过迭代它,你将训练它随着时间的推移做出正确的决定,关于在剩余一定数量的火柴时要拿走多少火柴。我的意思是,这是一种令人着迷的事情,当我还是个孩子的时候,我正在乐队演奏厅外爬楼梯。我是。
但那是组合数学。你可以很容易地看出如何编写程序。我有一本非常著名的书,这本书是彼得·诺维格写的,名为《人工智能编程范式》。
它谈论了一些早期的尝试,他称之为 GPS,通用问题解决机。它基本上是一个组合的东西。
我会尝试这个,然后尝试那个,然后尝试那个,这是一个工作,对吧?回溯并尝试这个和那个。你可以看到如何以这种方式自我检查,给定一台足够快的机器,甚至可以玩围棋,这比下国际象棋或蛋白质折叠要困难得多,很多事情都是这样做的。这些是有用的工具。也许不聪明,但我们甚至不知道什么是人类智能,所以我……
不知道如何……是的,我认为当你衡量蛋白质折叠时你是对的,并且有很多人期望像那样,我们现在拥有的东西,或者在一两年内可以拥有的东西,可以,你知道,彻底改变医疗保健。通过,例如,查看大量数据并从中提取我们看不到的关联和关系,对吧?因为它具有我们所不具备的范围。
这实际上是一个更重要的问题。这与容量更相关。你可以存储的数据量,这比人脑快得多,你可以处理它的速度,这再次比人脑快,这并不能使它变得聪明,这只会让你更快、更大、更好,在某些方面,我认为这是一个引人入胜的话题。
我可能和科幻小说迷的感觉一样。我认为我们俩都希望在我们有生之年看到 AGI。与我们创造的外星智能交谈将会很有趣。
当然,创造一场对话将是下一步,或者如果你真的感觉到那里有一些东西,我知道我没有感觉到除了……它显然以第一人称指代自己。你知道,它就像,让我知道我还能为你做些什么,所以它们就像,你知道,它们给了你一堆糖衣,旨在让我们认为,你知道,我们正在与一个实体交谈,而不是一个实体。甚至这个词……
插图实际上是对真正发生的事情的动机的不恰当描述。
是的,称之为错误。
错误。
错误。
这是一个错误。史蒂夫的节目总是引人入胜,信息量很大,有很多值得思考的东西。我们刚刚收到一位囚犯的电子邮件,他收听该节目,但他被允许在图书馆收听播客,但他无法阅读节目说明,因为他无法访问互联网,他说,你能打印出节目说明并寄给我吗?我认为我们会……我认为……我认为他们应该允许这样做,谈论康复。
当你开始收听这个节目时,当你到达第 1002 集时,你将对这种计算机风格非常了解。你出去后就会有工作了。谢谢。
好吧,你可能会。我很高兴你收听这个节目,我希望你能继续收听。特别感谢我们的俱乐部,感谢那些每月支付 7 美元的会员,使这一切成为可能。
这就是全部,这是任何播客网络中所有节目的最低价格,对于我们所做的所有内容,对于访问节目的无广告版本,我们举办的特别节目,例如我们的照片特别节目或咖啡特别节目编码。俱乐部里有很多事情正在发生。我认为对于 7 美元来说这是一笔不错的交易。
如果你还没有加入,这确实会对我们的底线产生影响,请访问 twit.tv/clubtwit,试用两周。你可以看看它是什么样的。如果你推荐某人,你将在注册时获得一个链接。
如果你使用该链接发布到你的社交媒体并推荐某人,你将获得一个月免费会员资格,这意味着如果你有足够的朋友,你可能根本不需要为 Club TWiT 付费,twit.tv/clubtwit,传播这个消息,对于我们现有的会员,我们非常感谢你们。我们每周二都会做这个节目,跟着我读,每周二,最终大约是下午 1:30 太平洋时间,让我们说下午 5:00,也就是 2200 UTC。
我提到我们什么时候做,因为我们再次直播它,感谢俱乐部会员,我们能够在八个不同的平台上直播。我必须竖起手指,因为我会忘记。八个不同的平台。
有 Club TWiT Discord。有 TikTok,有 X, com,Twitch,YouTube,LinkedIn,Kick。我漏掉了一些 Facebook。
我是否将 LinkedIn 列入其中?很多地方。你知道,如果你访问 twitch.tv/live,你将看到所有这些的列表。
如果你想的话,可以观看直播。但我强烈建议你获取节目的副本。现在,如果你想的话,你可以从史蒂夫那里得到它。我们当然鼓励你这样做。
grc.com,他在他的网站上有一些独特的版本,16kbps 音频版本,有点沙哑,但它很小。它很小,很小,但很沙哑。我知道人们喜欢这样。
他还提供 64kbps 音频,沙沙声较小。听起来好多了,但它大了五倍,大了四倍。他还提供成绩单,这很棒。
我们之前提到过这些,或者莱恩·福雷斯特作为这些。他做得很好,他们的坟墓用于搜索,或者我认为人们喜欢边读边听。事实上,有人给了一个提示。
我看到了。听着,以两倍的速度收听,然后边读边听。你将完全理解它,但你将在一半的时间内完成它,这是一个聪明的主意。
尝试一下,就像拥有字幕一样。是的,是的。是的,完全正确。除了节目的字幕。
而且是真正好的字幕,对吧?不是计算机生成的,grc.com,在那里看看 SpinRite,对吧?6.1 是世界上最好的海量存储、维护、性能增强和恢复实用程序的当前版本。如果你有海量存储,你需要 SpinRite,对吧?
现在就获取一份副本。
这是史蒂夫的生计,不是。但很快就会有其他东西出现。我将为此支付 DMA 的扭曲版本,一个基准营销,那就是我们可能……我迫不及待地想看到它。我一直保留这个,而且还有很多其他免费的东西,包括 Wheels Up。
grc.com 文档。
有人说,如果他发邮件给史蒂夫,只要公布他的邮箱,我就会把邮件发给他。不要给我发史蒂夫的邮件。发给史蒂夫。方法如下:访问grc.com/email。输入您的邮箱地址,可以选择性地注册新闻通讯,但这并非必须,他会验证您的邮箱地址。
发送邮件到[email protected]。
你只需发送它。这实际上很新颖,并且是解决电子邮件问题的真正可靠的方案。所以再次强调,grc.com/email,我们必须在我们的网站twit.tv/sn中展示。
在那里,你会看到一个指向YouTube频道的链接。分享小片段的好方法。请这样做。
人们不听Security Now节目。给他们发送一些有用的内容。所以你错过了很棒的节目。你应该收听。这将对我们有很大帮助。
所以GRC,对不起,twit.tv/sn,那里有一个YouTube链接,当然,最好的方法是在你最喜欢的播客播放器中订阅。你会自动获得它。有音频和视频,这样你就不用担心了。你的收件箱里会有Security Now,随时可以收听。本周已经过去三分之一了,彼得。
F·汉密尔顿的《酸性龙》有点长。我读到四分之三了,感觉就像,好吧。
我担心这一点,是的,到目前为止,我不得不说三分之一的……
……部分,它很吸引人,非常有创意,这绝对是。当你读到75%的时候,你会想到什么,我说的是,好吧,不,这需要很多工作。你真的会在你的科幻小说中得到这个。
你必须经历所谓的“苦差事”。是的,“苦差事”从来都不是一件有趣的事。我们用……
那个关于酒精“渣滓”的,然后是另一个。不管是什么,我不记得那个星球上的所有孩子都在四处奔跑,好吧,彼得。
写一本千页的小说并一直保持下去很难。
是的。好吧,我们仍然喜欢它。
我们确实喜欢。感谢史蒂夫,祝你有个美好的一周。下周见。
Security Now。但是为什么?怎么做?
所以你现在真的……
本期节目由Promiseo赞助。安全是企业中最大的不可协商因素,唯一比数据更重要的是确保你不会丢失它。因此,当涉及到谷歌云产品时,Promiseo是满足您所有需求的值得信赖的指南。
作为谷歌顶级合作伙伴,Promiseo百分之百专注于谷歌,可以帮助您的组织充分利用谷歌工作区、谷歌云平台、Vertex AI、谷歌Chrome硬件等解决方案,从而简化您的业务流程。Promiseo的综合管理平台gPanel通过实时报告和警报增强了谷歌工作区的安全性。因此,您无需再担心心怀不满的员工试图删除谷歌云端硬盘文件夹或在离职时锁定重要文件。无论您的组织规模大小,Promiseo都会伴随您完成每一步,提供无与伦比的专业知识和承诺。了解Promiseo如何帮助您充分利用所有谷歌的强大功能,请访问promiseo.com/securitynow。
今天的节目由Progressive保险赞助。您是否想过更换保险公司以节省一些现金?Progressive让您轻松查看捆绑房屋和汽车保单是否可以节省费用。请访问progressive.com尝试一下,Progressive Casualty Insurance Company及其关联公司。潜在的节省将有所不同,并非所有州都可用。
营销很难,但我告诉你一个小秘密,它不必如此。让我指出一些东西。你现在正在收听播客,这很棒。
你喜欢主持人。你会主动寻找并下载它。你在开车、锻炼、做饭甚至上厕所的时候都会收听。播客是一个非常亲密的伙伴,这是一个播客广告。
我吸引了你的注意吗?您可以通过Libsyn Ads与像您一样的优秀听众建立联系,从数百个顶级播客中进行选择,提供主持人推荐或像这样在数千个节目中播放的原生广告。要通过Libsyn Ads在听众喜爱的播客中触达目标受众,请访问libsyn.com/ads。这就是LIBSYN,今天就来吧。