SN 1001: Artificial General Intelligence (AGI) - Gmail Temp Addresses, Russia's Internet Off Switch
Security Now (Video)
Deep Dive
- AGI is defined as AI that matches or surpasses human cognitive capabilities across a wide range of tasks.
- Current AI systems, like ChatGPT, are examples of narrow AI, which is limited to specific tasks.
- The timeline for achieving AGI is highly debated, with some experts predicting it could be achieved by 2025, while others believe it may take decades or longer.
Shownotes Transcript
是时候关注安全了。史蒂夫·吉布森来了。他说我们没有很多新闻要报道,有很多来自观众的问题、反馈等等。然后史蒂夫将根据他对人工智能的理解,解释人工智能、对通用人工智能的探索以及我们取得的进展。我认为你会喜欢这一集的,安全播客即将开始。
来自你信任的人的你喜爱的播客。
这是一期安静的播客。这是一期安全播客,史蒂夫在2024年11月19日星期二录制的第1001集。通用人工智能。
是时候关注安全了。我们的节目涵盖你的安全、隐私、防护以及计算机的工作原理。人工智能的智能之处在哪里?所有这些都与我最了解的人一起——这位老兄,史蒂夫先生。
鉴于我不是那个……利奥,你不是那个……不,我是,但如果我们称之为领域专家,是的,在几个地方有一些专家。但当涉及到……
说到萨多克·尤,你就像我们其他人一样。
当涉及到人工智能时,我声称自己没有专业知识。嗯,正如我上周所说,我想谈谈通用人工智能(AGI),每个人都在使用这个术语,我们听到人们谈论它。引起我注意的是,OpenAI的著名首席执行官山姆·阿尔特曼声称,哦,是的,我们明年就会拥有它,他每天都说,2025年,是的,就像……但他也是个……
也是个推销员。
是的,也许这只是一个提高股价的策略,但我想要花一些时间。我发现了一些有趣的文章,采访了很多业内人士和一些学者。我想,让我们……所以今天就像,没有人会发现关于AGI的重大启示,因为我没有,但你知道它显然是一件事,我只是认为我们应该做一个标记,说,好吧,这就是它的现状。
你以前做过这个。你用区块链做过这个,你经常能够做到这一点,这就是你的工作方式,消化所有这些东西。你有点像我们的检索增强生成器。
你会消化所有这些东西,然后把它还给我们。所以,理解。所以我非常期待……
这期节目。如果我花一些时间深入研究,那将会很有趣。但我们有很多事情要谈论,我们将看看所有这些,这是一个很棒的故事,微软如何让美国政府更加依赖其昂贵的网络安全解决方案。然后他们购买管理,期望……Gmail也将提供原生的一次性电子邮件别名,就像苹果和Mozilla一样。
俄罗斯,他们正在禁止更多的托管公司。他们将在下个月再次测试他们的互联网断网开关,还有一些其他事情我们可以谈论。他们,哦,他们使用了一个可怕的Windows漏洞来攻击乌克兰人。
它是由一个安全小组发现的。当我们的老手发现我们认为安全的东西可能并不安全时,这将引起一些关注。此外,我们将看看,哦,我有一位听众关于旧的安全播客的价值的笔记。
节目将涉及TrueCrypt的继任者,以及使用Cloudflare的Tunnel服务进行远程网络访问,这是另一位听众的城市。这就是我正在做的。所以我们将分享它。还将回答如何使本地服务器看起来像在远程公共IP上的问题,在这种情况下,它对于模拟远程命令和控制服务器以进行恶意软件测试非常有用。还有如何与他人共享一个“无法输入”的密码。
哦,另一位听众问了一个问题,我回答了,然后他确认了如何在安全播客中找到模糊的先前引用,所以……然后我们将深入探讨通用人工智能是什么,以及我们今天拥有的东西如何……如果没有,那么AGI必须具备哪些公认且广泛认同的特征,以及我们什么时候才能获得一些?所以我认为这是一个很棒的播客。
正如你所看到的,并没有很多新闻。我到处寻找好东西。嗯,但我把它们加起来。我认为我有4300多个,还有一些来自我的……
听众的电子邮件。
哦,所以自从开始以来,我一点也不缺乏听众的反馈。而且我认为这很有趣。事实上,我们已经将这个从Twitter改为电子邮件,这完全改变了反馈的领域,因为它不再需要符合280个字符的限制。
所以更多了。这是一个很棒的播客。哦,利奥,我们正在进入第二千集。这是第1001集播客。
我……
真的没想到第二千集……
就在眼前。
一切。好的。
好的。好吧,你和我将一起努力。这就是我们所能承诺的。只是我看起来……
与20年前不同。
但你看起来差不多。
你的头发仍然很漂亮吗?银色的。
更好。我很高兴地说,BigID赞助了这个节目。这是一家非常有趣公司。他们是一家领先的数据安全态势管理解决方案提供商。有时他们被称为DSPM,BigID。
第一个也是唯一一个DSPM解决方案,可以发现暗数据,以识别和管理风险,并以你想要的方式进行补救,通过无与伦比的数据源覆盖范围来扩展你的数据安全策略。BigID与你现有的技术堆栈无缝集成,允许你协调安全和补救工作流程。你可以根据数据采取行动,注释、删除、隔离等等,同时保持审计跟踪。
这对合规性非常重要,合作伙伴包括ServiceNow、Palo Alto Networks、微软、谷歌、AWS等等等等。借助BigID先进的AI模型,你可以降低风险,加快洞察时间。这是一个新的指标,我喜欢它——洞察时间(TTI),并获得对所有数据的可见性和控制。现在让我给你一个使用BigID的人的例子。
你认为谁会在很多地方拥有大量数据,以各种格式,包括一些遗留格式,谁需要知道在这种情况下所有数据在哪里?例如,我不知道,美国陆军,对吧?他们使用BigID来阐明所有暗数据,以加快云迁移,最大限度地减少冗余并自动化数据保留。
我有一个来自美国训练与学说司令部的引用,令人难以置信。这是引用,“与BigID的第一次‘哇’时刻来自于能够拥有那个单一界面”。
其他各种数据持有量的清单,包括来自电子邮件、zip文件、SharePoint数据库等的结构化和非结构化数据。我的意思是,括号中的列表说明你可以想象陆军在过去几十年中收集的各种格式。他接着说,看到那样的规模并能够跨这些……
进行关联,这完全是另一个层次。我从未见过能够像BigID那样将我们团结在一起的能力。这是一个非常好的认可。
CBC将BigID评为企业前25家创业公司之一,并将其命名为Inc. 5000和Deloitte Fast 500连续两年,是当今市场上领先的现代数据安全风险投资公司。你需要知道这个名字。BigID,网络防御杂志的出版商说,“BigID拥有三个主要特点”。
我们评委期待成为获奖者,了解明天的威胁,提供具有成本效益的解决方案,当然,以及以意想不到的方式进行创新,这可以帮助减轻网络风险,并在下一次攻击中领先一步。顺便说一句,这一切都始于了解你的数据在哪里,这对于人工智能来说也很重要,因为如果你考虑一下,你想训练,但你想用你知道的东西来训练。你知道军队可能有很多东西不想用来训练人工智能,因为它们是敏感的或秘密的。
所以了解你的数据是什么,它在哪里,在各种地方,这非常重要。这就是BigID可以做到的。开始保护你的敏感数据,无论你的数据存储在哪里,都在BigID。
访问bigid.com/securitynow,免费试用BigID,BigID可以帮助你的组织降低数据风险,加快生成式AI的采用,我们今天稍后会谈到这一点吗?BigID,BIG,BigID,BIGID,你不用问我,但ID,BigID,bigid.com/securitynow,他们确实在谈论AI。
他们在他们的网站上有很多很棒的报告,比如bigid.com/securitynow,但他们确实有一份全新的免费报告,它为你提供了一些关于AI采用关键趋势的非常有用的见解。挑战包括这些挑战,例如训练什么,不训练什么,以及生成式AI对整个组织的影响。他们知道,而且他们在这方面有很好的论文。
所以在bigid.com/securitynow阅读它。你需要BigID。非常感谢你支持史蒂夫在这里的工作,以及你支持的节目。当你访问他们的地址时,他们知道我们在安全播客上看到了它,bigid.com/securitynow,史蒂夫,我准备好本周的图片了,这是一个好图片。
这是一个好图片。我敢打赌我们的听众已经收到了一些反馈,他们真的很喜欢它。我又一次很及时,提醒我们的听众,我们现在有将近13000人订阅了安全播客邮件列表,12979人,我查看了……
俱乐部TWiT会员的数量。所以我认为可能存在某种关联。
我认为可能存在。邮件在昨天下午3点左右发出时,这就是计数。所以说,提前24小时,任何订阅了该列表的人都会收到这些内容,嗯,所以,嗯,好的。所以重点是很多人写信说,哇,这太棒了。所以我们有一个住宅楼梯,沿着一面墙向上延伸,你知道,带扶手,然后外面有一个栏杆,你知道,这样楼梯就不会敞开。现在这个家庭有一对双胞胎,嗯,看起来可能还有几个比弟弟大的姐姐……
比弟弟大。
他还在蹒跚学步,看起来他可能两岁半或三岁,我不知道,但在楼梯底部是一个屏幕,爸爸妈妈说,孩子们不能上楼。他们待在楼下。孩子……
我认为这是一个全新的,因为它……
上面还有销售标签。我还注意到……
后面有一些东西堆在那里。好吧,现在我给这张照片加上了标题,“楼梯底部可能被挡住了,但这些未来的黑客并没有被吓退,因为楼梯从……栏杆支撑物突出,两个孩子都沿着楼梯外侧走,好像在寻找他们是否可以进入,因为他们会找到一种方法。看起来,如果我写对了,最大的孩子……好像她试图挤进去,因为她……
跑不动了。
所以是的,所以……我们希望这个比喻不是说他们被关在笼子里,因为你知道,栏杆看起来也有一点像那样。但你知道,这些人,他们决心找到一种方法绕过爸爸妈妈挡住的楼梯。所以,伙计,你的访问,你的黑客。
好的。最近共和党的一些报道提出了一些有趣的问题,我对此感到很兴奋。我相信我们的听众也会这样。所以推进……我将在这里用我自己的评论打断几次,说在2021年夏天……当时总统乔·拜登将全国最大科技公司的首席执行官召集到白宫。一系列与俄罗斯、中国和伊朗有关的网络攻击使政府措手不及。
当然,其中一些是微软造成的,对吧?政府要求微软、亚马逊、苹果、谷歌和其他公司的负责人做出具体的承诺,以帮助美国加强其防御能力。拜登对在东厢房聚集的管理人员说,“我相信你们拥有权力、能力和责任来提高网络安全标准”。现在他们说,微软需要证明自己最多。
它自身的安保漏洞导致了一些促使夏季会议发生的入侵事件,例如SolarWinds攻击,其中俄罗斯国家支持的黑客从联邦机构(包括国家核安全管理局)窃取了敏感数据。在发现该漏洞后,一些国会议员表示,该公司应该为其客户提供更好的网络安全。其他人则走得更远,呼吁……白宫新主席。
参议院财政委员会呼吁政府“在授予更多合同之前重新评估其对微软的依赖”。正如我们很快就会看到的,发生的事情并非罗恩所期望的。啊,这不是罗恩想要的重新评估,共和党人说。
为了回应总统的求助,微软首席执行官萨蒂亚·纳德拉承诺向政府提供1.5亿美元的技术服务,以帮助升级其数字安全。表面上看,这很好,他们写道,这似乎是拜登政府的政治胜利,也是全球最大软件公司例行公事的损害控制。但共和党随后进行的调查结果表明,微软看似简单的承诺提供大量免费技术服务掩盖了一个更复杂的、以利润为导向的议程。
正如时间所揭示的那样,微软的明显慷慨是一项经过计算的商业策略,旨在带来数十亿美元的持续收入,将竞争对手拒之于有利可图的政府合同之外,并进一步加强该公司对联邦业务的控制。当我读到这一点时,我想,如果我不了解情况,我会认为盖茨还在,因为这被证明是经典的比尔式举动。所以他们写道,白宫的提议(在微软内部被称为“白宫提议”)将派遣微软顾问到联邦政府各部门安装微软网络安全产品,作为该提议的一部分,这些产品在有限的时间内免费提供。
没错。真划算。这张图有什么问题?好的。所以他们说,那么,顾问安装升级后怎么样,联邦客户将被有效锁定,因为根据参与这项工作的微软前员工的说法,在免费试用后转向竞争对手将变得非常昂贵,他们中的大多数人出于担心职业影响而要求匿名。
那时,客户几乎别无选择,只能支付更高的订阅费用。事实上,两位参与这项工作的销售主管将 IT 比作毒贩用免费样品吸引用户,引用道,“如果我们给你毒品,你用了,你就会喜欢上它。” 其中一人说:“当我们收回毒品时,你的最终用户会说,别把它从我这里拿走,你将被迫付费。”
前销售人员表示,微软想要的不仅仅是这些订阅费用。白宫的提议将促使客户购买在 Azure 上运行的其他微软产品。当然,这些公司,这个云平台会根据客户使用的存储空间和计算能力收取额外费用。这些前销售人员表示,预期是升级最终会“转动计量器”(引用他们的说法),为 Azure 转动计量器,帮助微软在纳瓦罗向拜登承诺后的几年里,从其主要的云竞争对手亚马逊网络服务手中夺取市场份额。国防部多年来一直抵制这些升级,因为成本太高,但在免费试用期结束后,他们开始为此付费,为未来 Azure 的消费奠定了基础,许多其他民用机构也是如此。
承认这笔交易的微软前销售人员坎·桑迪说:“白宫的提议让政府沉迷于 Azure,其成功程度超出了我们任何人的想象。”虽然微软的策略为该公司带来了丰厚的回报,但法律专家告诉《共和党人报》,白宫的提议本不应该出现,因为它规避甚至可能违反了规范政府采购的联邦法律。此类法律通常禁止承包商赠送礼物,并要求联邦业务进行公开竞争。在联邦政府担任采购专家四十年的律师伊夫·杨说,接受价值数亿美元的免费产品升级和咨询服务,这不像在 Costco 免费试吃,“我可以拿个样品,说声谢谢,然后就走。”
你改变了 IT 文化,转向另一个系统将花费很多钱。”微软当然也为自己的行为进行了部分辩护。
史蒂夫,失败。那是 F-A-I-L-E-D。我明白了。是的,我认为我应该拼写出来。F-A-I-L-E-D 失败。微软联邦业务的安全主管在一份声明中表示:“在此期间,公司的唯一目标是响应政府的紧急请求,以增强不断受到复杂国家行为者攻击的联邦机构的安全态势。”
他表示,各机构没有保证会购买这些许可证,他们可以自由地与其他供应商合作以满足其未来的安全需求。价格对微软安全套件是透明的,该公司与政府密切合作,以确保任何服务和支持协议都是合乎道德且完全符合联邦法律法规的。Fail 在声明中表示,微软要求白宫“审查反垄断问题的细节,并确保一切都是适当的”,他们也这么做了。
我喜欢这个广告词,“Azure”。我觉得“Azure”,这是一个不错的广告。
当然,这只有一个小小的问题,正如我们所知,更换供应商确实非常困难。当然,对于那些发现白宫峰会带来了新的集中依赖形式以及政府承诺要消除的那种任何竞争行为的人来说,情况只会变得更糟。
微软前销售人员表示,在白宫的提议推动下,他们建议联邦部门通过放弃从竞争对手那里购买的网络安全产品来节省资金。他们告诉他们,这些产品现在是多余的了。销售人员还通过向联邦客户解释,他们所需的大多数网络安全工具都包含在免费升级包中,从而阻止了新的竞争对手。
由于这些交易,包括国防部所有军种在内的美国联邦政府的大部分部门比以往任何时候都更加依赖单一公司来满足其 IT 需求。一项公开调查,辅以对八名前微软员工的采访,他们参与了白宫的提议,首次揭示了这种彻底的转变是如何发生的——批评人士认为,这种转变使华盛顿变得脆弱,这与拜登在夏季提出的目标恰恰相反。因为这种模式文化,对吧?就像,哦,每个人都在使用微软。不幸的是,我们看到微软犯了一些严重的错误。好吧。
这难道不是对 SolarWinds 的回应吗?是的。
是的,这是三年前的事了,当时我就像,哦,我的上帝,我们要怎么办?所以微软说,嘿,你想免费得到一些东西吗?价值 1.5 亿美元的东西免费。它只是……
第一年免费。我的意思是,它甚至不是免费的。免费只是试用优惠。
是的。我的意思是,好的。所以《共和党人报》的文章,我在节目说明中放了一个链接。它详细介绍了比我刚才说的要多得多,我有一个链接,任何想要了解更多的人都可以查看。但我相信我们所有的听众都明白了。
在某个时刻,微软被要求无限期地免费向联邦政府提供增强的安全支持,他们断然拒绝了。但当然,它变成了关于……服务的免费时间有多长的谈判。
你知道,更令人痛心的是,多年来,同样的联邦和军事机构一直坚定地拒绝使用微软的解决方案,因为成本太高,但他们无法拒绝免费的东西。因此,这使得微软能够将他们的解决方案引入市场,从而取代任何以前价格合理的竞争解决方案。
然后,一旦免费优惠到期,选择要么付费,要么没有。你知道,这至少有点令人作呕。更重要的是,你知道,这并不是偶然落到微软手中的,对吧?
内部人士明确表示,这始终是他们的意图。从一开始,微软首席执行官萨提亚·纳德拉就完全知道自己在做什么。基本上,这是一个特洛伊木马。
如果你已经将你的安全升级到微软,那么切换有多难?G5 级别的难度。如果他们说,啊,我们不想为此付费,我们要……
倒退。如果埃隆·马斯克要做什么。
这是……
那种事情。我的意思是,这需要屏住呼吸,看着你的鼻子,我的意思是,这是一个批准。所以任何 IT 人员都明白这一点,但这并不是他们花钱。这是我们花钱。
所以,支付另外三个月的增量成本总是比说,好吧,我们走错了路要便宜得多。我们要……我们要坚持这条路,因为……这是否意味着要出去,获得有竞争力的报价,并在所有这些更改期间实际上出现停机时间,因为你知道,你必须删除所有这些垃圾,然后安装新的东西,就好像这样做的全部动机……
是,哦,我的上帝,我们有一个很大的安全问题。你可以拆除你刚刚安装的安全修复程序来解决这个问题,以便你可以做其他事情。你会面临很大的压力……
只是继续下去,继续下去。我打赌我们的听众都记得盖茨。我的意思是,比尔,比尔被认为是一个技术天才。我的意思是,他是一个天才,但他更像是一个商人。
是的,他是丹尼是一个程序员,你知道,他现在也这么说,你知道,我们看到了微软早期所做的一切,你知道,比如,哦,你不能删除我们的浏览器。我们把它内置到 Windows 中。不,它是操作的一部分,直到欧盟……
说,把它拿出来。把它……好吧,你没有给我们选择。
老一套。
但这让我觉得太盖茨了,我就像,是的,所以……好的。苹果有“隐藏我的电邮”。Mozilla 提供他们的 Firefox Relay,你知道,这些电子邮件服务为用户的首要帐户创建一次性别名。
最近的消息是,谷歌据报道正在努力添加他们称之为“Shield”的东西到 Gmail,他们的 20 亿 Gmail 用户。因此,与其他服务一样,用户将能够快速生成看起来随机的用户名,用于填写在线表格、订阅等等,从而隐藏他们的真实电子邮件地址。
所以这些只是别名。然后你将有一些方法来管理别名,例如,如果你在一个别名上开始收到垃圾邮件,这将很有趣。你知道哪个电子邮件地址在给你发垃圾邮件,然后你就可以删除它,你就可以摆脱它。
我注意到,GRC 邮件列表的大部分订阅者都是 Gmail 域用户。所以我认为这将是一个受欢迎的服务。不幸的是,我已经使用 Gmail 作为我的垃圾桶了,因为我有 GRC.com 电子邮件地址。
所以对我来说有点晚了。我认为它对我来说不会有什么用,屏蔽一个我已经丢弃的帐户,但对于那些主要电子邮件是 Gmail 的人来说,我认为这听起来是一件好事。你知道,迟做总比不做好。它确实花了一段时间。另一方面,你能想象谷歌必须拥有的基础设施,才能让 20 亿用户拥有像 Gmail 一样好用的电子邮件吗?
他们使用自己的服务器。他们没有使用任何开源的东西。所以如果你担心,它可能只是一个简单的插件,但要迁移它是一件大事,是的,而且它已经很老了。
别忘了 Gmail 并不是一项全新的服务。没错。它是最早的网络服务之一,对吧?
事实上,我还记得……你还记得一个叫史蒂夫·巴斯的人吗?他……他经营着……他经营着过去的 IBM PC 用户组……如果……无论如何,我想他写了……
为《PC 世界》也……
是的,一个好人……他很早就获得了 Gmail 的访问权限,所以他给我发了一个邀请,让我可以获得一个……你知道……一个特殊的……Gmail 帐户……所以……因为……
否则它将完全没用。
相信我,现在几乎就是这样了……无论如何,我只是知道……
我在 Gmail 上有一个端口,那是因为我也很早。
非常好。
每个人都决定……显然,垃圾邮件决定我是法国人,我收到了很多法国垃圾邮件,几乎全是法国的。我也……因为人们……这种情况发生在你身上,我相信这种情况也发生在我们听众身上。他们真的不明白你可以在 Gmail 地址中加空格。
所以很多名叫 Frost Wa Report 和 Abigail Report 的人,他们在那里加了一个空格,所有邮件都发到了 [email protected]。所以我收到各种各样的东西,比如你的票已准备好。我的意思是,无休止的……你今晚在巴黎的病人。我的意思是,这很诱人。
但是不,好吧,你说的问题是,像所有这些域名,所有这些名称都在单个域名中,如果它不像,你知道,BZQRT79 或者类似的东西,如果它是 Leo……
或 Fred,它就像……
你知道,再见。
有一个关于 [email protected] 的故事。可怜的 Jim 从未真正使用过它。你想让我休息一下吗?呃,你想继续吗?
我认为现在是好时机。我们已经进行了半个小时的讨论,我们将讨论……这绝对不是来自俄罗斯的爱。所以俄罗斯……我们将讨论……
谢谢,史蒂夫。本节目由那些很棒的 DeleteMe 人员赞助。我对 DeleteMe 有直接的经验,因为我们已经为我们的首席执行官使用它一段时间了。
如果你曾经在网上搜索过你的名字,我不建议你这样做。但如果你这样做过,你会知道有多少你的个人信息就在那里,公开可见。所有数据经纪人都……
他们多年来一直在收集这些东西。你使用的每个应用程序,不仅仅是 TikTok,还有 Facebook、Instagram。你访问的每个网站,他们都会收集所有信息。
他们基本上会制作一份关于你和你家人的档案,关于你认识的每个人。维护隐私不仅仅是个人问题,也是家庭事务。这就是为什么 DeleteMe 推出了家庭计划,这样你就可以为家里的每个人都使用 DeleteMe。我认为……我认为他们也有企业计划。
我认为这就是我们使用的,因为你真的应该为公司里的每个经理都使用 DeleteMe。我以前讲过这个故事。如果你听过,请原谅我,但我们开始使用 DeleteMe 是因为 Lisa,不知何故,坏人弄清楚了她的电话号码,她工作的公司以及她的直接下属是谁以及他们的电话号码是多少。
我想知道他们从哪里得到这些信息的,对吧?结果,他们能够进行网络钓鱼活动,声称是来自 Lisa 电话的短信,首席执行官的电话。
说,快点。我需要亚马逊礼品卡。我在开会,拿到它们并发送到这个地址。幸运的是,员工比这聪明,但他们立即告诉我,你知道,我们必须做一些事情来减少网上关于我们管理层的资料数量。那时我们才开始使用 DeleteMe。
DeleteMe 有助于降低身份盗窃、网络安全威胁、骚扰以及所有隐私侵犯可能造成的风险。这不是一件好事。DeleteMe 的专家知道数据在哪里。
他们将从数百个数据经纪人那里查找并删除你的信息。顺便说一句,如果你获得家庭计划或企业计划,你可以为每个成员分配一个数据表。它是为他们量身定制的,这样你就可以说,好吧,不要删除 Instagram 信息。
但要删除那种东西,易于使用的控件。因此,作为帐户管理员,你可以管理整个家庭的隐私设置。但这一点很重要。
一旦你删除了这些数据,你不能就此罢休,因为你首先可以自己做到这一点,但你需要知道那里有数百个数据经纪人。但随后你需要知道新的经纪人上线了,他们每天都在上线,这是一个非常有利可图的业务。你需要知道如何回去,这就是 DeleteMe 的作用。
他们是否会定期扫描并删除您的信息,几乎是从现有的数据经纪商那里,以及所有不断出现的情况。我说的是地址、照片、电子邮件、亲属、电话号码、社交媒体、房产价值,所有这些都在线数据经纪商都有。在我们这个国家获得一项保护您的隐私法之前,您必须保护自己、您的家人和您的企业。
我们通过访问joindeleteme.com/twit来维护您的隐私,优惠码“twit”可享受八折优惠,这是一个非常划算的交易。访问joindeleteme.com/twit,并使用优惠码“twit”享受八折优惠。如果您想访问joindeleteme.com/twit,看看所有的产品。他们有一套非常细致的产品,可以真正做到您需要做的事情来保护您在网上的安全。
所以我非常推荐看看所有这些,它真的是一家令人惊叹的公司。joindeleteme.com/twitter,谢谢。顺便说一下,史蒂夫,在全国公共数据经纪商数据泄露事件之后,我们在那里搜索我的名字,我的社交媒体信息,所有的一切,没有种族歧视,没有花边。
我认为这很有说服力。我认为这真的有效。joindeleteme.com/twit,谢谢。史蒂夫,删除我。
所以俄罗斯官员。
对不起,最近。
不,我们会说到这一点,正如我最近通过Telegram宣布的那样,我认为这很有趣,只有Telegram,他们计划扩大俄罗斯对外国网络托管提供商的禁令,这些提供商托管的内容损害了光荣的俄罗斯军队,他们的话,所以OCMI和CDN 77可能会很快被列入黑名单,因为他们很调皮。
总的来说,俄罗斯似乎认为互联网只是一种喜忧参半的东西。我不清楚如何在当今全球化经济中没有它而运作。我认为他们疯了。但是俄罗斯。
我准备好了。我为未来做好了准备。
很好。俄罗斯似乎至少准备探索在没有互联网的情况下继续发展,为此,俄罗斯著名的互联网监管机构,罗斯科姆纳佐尔,宣布计划在下个月对俄罗斯大型互联网断网开关进行另一次测试。当罗斯科姆纳佐尔这样做时,它切断了俄罗斯与全球互联网之间的所有联系。
他们以前做过一次,不是吗?
他们做到了,他们已经为此努力多年了。他们必须做两件事,比如弄清楚如何处理解析到不再可用的IP地址的DNS查询。我的意思是,他们只是不希望一切都会挂起并崩溃,就像,你知道,沙漏在旋转一样。
所以事实证明,断开与互联网的连接并非易事。当然,当我想到这一点时,我想到了星链。因为,你知道,现在不再是这种情况了,有用的互联网连接需要没有电话线和光纤干线等等。
在俄罗斯被禁,这是我的猜测,或者不提供它。让我看看它在乌克兰可用,当然。
你是对的,俄罗斯受到制裁。
对吧?所以我认为,是的,这正好符合他们的利益。
没错。更容易断开连接,更容易拉动开关。所以无论如何,他们将在12月进行另一次测试。再说一次,你知道,这里有什么长期计划吗?是因为他们担心会受到攻击吗?
我不知道,你知道,如果我们国家也在做同样的事情,我们会知道的,因为如果你这样做,就会产生影响,我的意思是,切断全球连接会产生影响。啊,非常有趣。不,我必须看看他们的计划是什么。
但在谈到俄罗斯的滑稽行为时,看看这个,其中一个零日漏洞是CVE-2024-43451。微软上周在补丁星期二修补了这个漏洞,据网络安全公司Clear Sky称,它被用于今年早些时候对乌克兰组织进行的俄罗斯黑客攻击。
这个零日漏洞是一个漏洞利用链的一部分,该漏洞利用链在受害者与通过网络钓鱼电子邮件收到的.URL文件交互时,暴露了Anti-Landman(也称为NTLM)凭据哈希。但真正引起我注意的是,Clear Sky表示,右键单击、删除或移动文件会与攻击者的服务器建立连接,从而暴露身份验证数据。
该报告表明,该活动还使用了社会工程学来诱骗受害者运行可执行文件,好吧,等等,右键单击文件以显示其上下文菜单并检查其属性,删除它或将其拖到另一个目录,所有这些都足以导致受害者的机器与恶意服务器建立远程连接。什么?所以我查看了Clear Sky以了解发生了什么,我在节目说明中提供了一个链接,任何想要查看Clear Sky研究团队上周三发布的文章的人都可以查看,文章写的是一个新的零日漏洞,顺便说一下,CVE,周三发布是因为补丁是在前一天星期二发布的,你知道,关闭了这个漏洞。他们说,一个新的零日漏洞,43451,Clear Sky安全……
天空安全和……
无效的响应。
我不知道它是被阻止了还是一个安全连接。所以这可能是我的浏览器。有时会发生这种情况。
有趣。也许是因为我明确使用了HTTPS。因为……
我认为普遍性阻止某些事情。好的。
是的。
所以我只是点击了你有的链接……是的……啊,是的。
让我尝试在这里点击它。
是的,我确定没问题。只是我。是的,我也从……
刚刚回来……
我,是的,所以我注意到有些地方我可以去,我认为这是我使用的安全措施,在UIC上,好的。
所以他们……所以他们写了一个新的零日漏洞,43451是由Clear Sky网络安全公司在2024年6月发现的。此漏洞影响Windows系统,并正在积极用于针对乌克兰实体的攻击。此漏洞通过看似无害的操作激活包含恶意代码的URL文件,他们有三个触发点。
首先,在所有Windows系统中,只需右键单击文件即可执行此操作;在Windows 10或11中删除文件即可执行此操作;在Windows 10或11以及某些Windows 7、8和8.1中将文件拖动到另一个文件夹即可执行此操作。他们写道,恶意URL文件是……我应该指出,URL文件只是文本,所以它有点像推动它来调用恶意……但是好的,它只是一个链接。它看起来像任何文件,所以他们写道,恶意URL文件伪装成学术证书,最初被观察到是从一个受损的乌克兰官方政府网站分发的。
实际发生的情况是,俄罗斯人入侵了乌克兰的一个电子邮件服务器,然后使用电子邮件服务凭据向乌克兰的其他人发送了,你知道,DKIM、SPF,你知道,dmark批准的电子邮件。所以收到的电子邮件看起来像是来自受损服务器的可验证的真实电子邮件。但事实上,不幸的是,它是网络钓鱼电子邮件。
所以他们说,攻击始于来自受损乌克兰政府服务器的网络钓鱼邮件。电子邮件提示收件人更新其学术证书。电子邮件包含一个恶意的URL文件。当用户通过右键单击、删除或移动它来与URL文件交互时,就会触发此漏洞。
所以我会这样说,这是我第一次看到,你知道,拖动文件并将其放入垃圾桶或右键单击以了解更多信息,这就是在Windows 10和11下所需要做的……为了……右键单击所有版本的Windows,为了让这件事发生。我还有更多细节。所以他们说,当用户与URL文件交互时,右键单击、删除或移动它会触发此漏洞,此操作会与攻击者的服务器建立连接并下载更多恶意文件,包括Spark RAT恶意软件。
Spark RAT是一个开源远程访问木马,允许攻击者控制受害者的系统。攻击者还使用了保持受感染系统持久性的技术,即使在远程之后也能确保他们的访问权限。好的,所以这里的罪魁祸首是一个.URL文件,这是一个Windows Internet URL快捷方式。
它是一个文本文件,任何曾经查看过早期Windows的原始.INI和.CFG文件的人都会识别这里的格式。它有几部分,用方括号括起来,然后是简单的名称=值对,全部都是文本。关键是该文件包含一个URL=行,其中URL的方案是file://,后跟Windows中恶意远程服务器的IP。
file://方案由SMB处理,当然,SMB是服务器消息块,它是Windows原始文件和打印机共享的基础,正如我们所知,它在安全性方面从未达到标准。这就是NTLM凭据哈希出现的原因,因为Windows一直非常慷慨地向其用户发送其凭据哈希,远在人们意识到这不是一个好主意之前,因为如果你能得到它们,有很多事情可以做,包括仅仅重放凭据哈希以冒充他们,这正是这个东西所做的。
所以显然,即使是极其轻微地接触这些文件,在Windows上也会……你知道,它在更新的Windows 10和11中也能工作。研究人员写道,在Windows资源管理器中,无需任何提示,就会联系快捷方式中指示的文件服务器,即使其接收者没有执行快捷方式。在检查URL文件时,Clear Sky团队发现了一个新的漏洞。右键单击该文件会与外部服务器建立连接。此外,在沙箱中执行会发出有关尝试通过SMB协议传递NTLM哈希的警报。研究人员写道,收到NTLM哈希后,攻击者可以执行传递哈希攻击,以冒充与捕获的哈希关联的用户,而无需知道相应的密码。换句话说,NTLM SMB协议发送的用于标识其Windows用户的凭据哈希可以简单地被捕获,然后用于冒充用户,就像他们已登录一样。
进一步调查发现,在Windows 10和11操作系统中,将文件从一个文件夹拖动到另一个文件夹或删除文件会导致文件与目标服务器通信,然后才被删除或移动。在Windows 7、8和8.1下,除非目标文件夹已打开,否则在拖动或删除时文件不会启动通信。他们说,在拖动时,这不会在第一次尝试时发生,而是在两到三次尝试后才观察到。也就是说,他们得出结论,新发现的漏洞在Windows 10和11操作系统上更容易被利用。
所以,对于我们这里的听众中那些老程序员来说,了解到我们任何人可能采取的处理我们可能无意中收到的东西的任何行动本身都可能直接导致我们的机器受到破坏,这肯定有点令人不安。这是新的。所以微软据报道在上周二修补并关闭了这个漏洞。
是的,补丁更新。所以这很好。但这应该提醒我们,那些使用Windows的人正在使用一个极其复杂的系统,它仍然拖着大量的遗留代码。
编写了该代码,编写了NTLM SMB文件和打印机共享代码。它的协议是在我们真正了解未来系统需要多安全之前设计的。当我想到这一点时,我想到了什么。
这方面的经典例子是Windows元文件的原始设计。Windows通过一系列绘图基元在屏幕上绘图,调用带有参数的圆形、矩形或线条函数等等。Windows元文件(WMF)只是这些绘图基元的捕获。
它本质上是一个脚本。然后,稍后当打开该元文件时,这些基元将被重新播放到一个新的空白画布上以重新创建原始绘图。所以元文件内容会被解释。
但是,原始元文件的设计者,如果我们想做更多的事情,你知道,比仅仅重播以前记录的内容更多的事情呢?为什么文件不能包含一些要执行的代码呢?记住,这是Windows 3.0,所以在所有解释的标记中,他们指定了一个元转义代码,这就是它被称为的方式,这将导致系统执行,基本上是从解释GDI(图形设备接口)标记中转义出来,并执行包含在Windows元文件中从特殊转义代码后的字节开始的代码。
所以它在元文件规范中存在多年,直到很久以后。哦,它从95年到98年,到……最后一个16位版本是什么?它是Windows ME……然后它跳到了Windows NT等等。
所以后来,几年后,在NT和网络以及互联网连接的时代,它突然被重新发现并被标记为一个可怕的可利用漏洞。当我平静地指出它显然一直都在那里,是设计好的时,许多人误解了我。他们认为我说微软故意在Windows中植入了后门。它是……它是最初是故意的,但它从未有过恶意。
它是方便的。
是的。是的。是的。在我们可以信任我们的机器可能尝试渲染的每个图像的时候,这是一件合理的事情。
但让我们这么说吧,它没有很好地老去,微软最初的NT Land Manager和SMB协议也没有。你知道,它们也没有很好地老去,它们也是在我们真正了解安全之前设计的。所以这……你知道,这不是微软故意的,我们……
真正有趣的是,在一两周前,我们只是在谈论微软决定不再修补NTLM问题,而Zero Patch却在修补。所以这是另一个值得关注Zero Patch的原因。哦,我应该提到,我收到了听众的很多反馈,他们说,史蒂夫,你应该提到还有一个免费层。
所以,没有必要订阅Zero Patch才能获得它的一些好处。所以我只想提一下,以及所有其他内容,并感谢所有写信说……你知道,有一个免费版本可用,所以Zero Patch有一个免费层。好的。
Gmail 将提供类似 Apple 和 Mozilla 的原生一次性电子邮件别名。 俄罗斯将禁止几家额外的托管公司,并对其大型互联网断网开关进行另一次测试。 俄罗斯利用一个可怕的 Windows 漏洞攻击乌克兰人。 旧的安全新闻节目的价值。 TrueCrypt 的继任者。 使用 Cloudflare 的 Tunnel 服务进行远程网络访问。 如何使本地服务器看起来像在远程公共 IP 上。 如何与他人共享“无法键入”的密码。 如何在 Security Now 播客中查找以前模糊的参考资料。 预期和广泛期待的下一代人工通用智能 (AGI) 的参数是什么?业界和学术界人士的预期是什么?OpenAI 的 Sam Altman 预测它明年到来是不是完全疯了?这仅仅是一个股票策略吗? 节目备注 - https://www.grc.com/sn/SN-1001-Notes.pdf 主持人:史蒂夫·吉布森和利奥·拉波特 在 https://twit.tv/shows/security-now 下载或订阅 Security Now。 使用 Club TWiT 在 https://twit.tv/clubtwit 获取无广告剧集 您可以通过 GRC 反馈页面向 Security Now 提交问题。 对于 16kbps 版本、成绩单和注释(包括更正),请访问史蒂夫的网站:grc.com,这也是有史以来最好的磁盘维护和恢复实用程序 Spinrite 6 的所在地。 赞助商: bigid.com/securitynow joindeleteme.com/twit 促销代码 TWIT 1password.com/securitynow canary.tools/twit - 使用代码:TWIT
<raw_text>0 所以,呃,本周没有发生太多事情,我们根本没有发现任何事情。所以我将花一些时间来处理我们令人惊叹的听众的一些反馈。嗯,我相信他会把他的名字念成 Echo AYIKO。对不起,如果错了,但我还是要说 Echo Fred,呃,他在乌干达,他说:“嘿,史蒂芬和利奥,我是来自乌干达的 Echo Fred。自从 2021 年以来,我一直在收听 Security Now,从 800 集左右开始。
然后,你知道,剧集编号是,我有时会在事情繁忙时错过几集,有时长达一个月,但我非常喜欢这个节目的检查点,他说:“我没有,我没有计算机科学的正式背景,但我于 2020 年对编程产生了兴趣,并学习了一些其他语言和伊利亚,他说:“我的第一种也是唯一一种语言,我现在在工作中使用。他说:“这让我意识到我对许多关键概念只有模糊的理解。我从未想过要回顾 2005 年之前的剧集,但几集前,一位听众建议回顾之前的剧集。
所以我决定尝试一下,哇!感叹号。他说:“你解释主题的方式,例如互联网互连、Tom Phy 和 VPN,对我来说真的很有帮助,他说:“我被通过你的解释更容易理解这些概念所震惊。
现在我觉得我一直在凭直觉编程。他一直说,他说每一集都让我想要更多,我甚至反复收听了一些剧集三到四次,尤其是那些关于密码图和互联网基础知识的剧集。我现在正在收听第 58 集,我鼓励任何对这些主题理解不牢固的人去看看之前的剧集,他们不会后悔的。
所以我想分享一下,只是为了提醒听众这一点。但他最后说:“有一集让我觉得这正是我需要的。”他说那是第 41 集,TrueCrypt。
他说:“不幸的是,我了解到 TrueCrypt 的开发在 2014 年停止了。你有没有推荐任何具有类似 TrueCrypt 功能且与 Linux 兼容的替代工具?
我喜欢具有相同隐私和安全级别的工具。再次感谢你们所做的一切工作。我真的很感激你们,期待第 1000 集,此致敬礼。
所以,嗯,我上周提到了这部分反馈,我想在本周分享它,因为我知道这个播客已经被许多人在我们录制那些早期基础技术播客多年后发现了,我们已经从其他人那里听说过,他们在发现这个播客后,有了从头开始、追赶的想法,而那些人总是发现这是值得的。坦白说,我的一部分很想停下来,重新创作早期的一些作品,以便将它们重新放回每个人的视野中。但这没有任何意义,因为它们已经存在了。
我们录制过的每一个播客都对每个人都可用,而重新制作我们已经创作的内容会挤占我们的新内容,而我们通常对此时间都非常紧张。所以,我会不时地花点时间,就像我在这里做的那样,提醒我们的听众,在早期,我们奠定了许多我们今天谈论的所有内容的工作方式的基础。而且,这以许多人发现非常容易理解的方式完成。
此外,我们经常听到的另一件事是,虽然我们的听众喜欢今天的节目内容,但他们觉得有很多东西他们不明白。你知道,他们会说,嗯,我可能只理解了你谈论内容的 20%,在一两周前我刚提到过,这是真的,我故意建立在我们之前奠定的基础之上,利用之前的内容,这是我们前进的唯一可能方式。所以,对于那些觉得因为迟来而被扔进游泳池深水区的人,让我指出,所有那些缺失和假设的知识曾经都在这个播客的早期被详细介绍过。真的,我的意思是,我们所做的一切,我已经谈论过,并且在我们谈论一些新事物时,会快速略过。所有这些都在过去被详细讨论过,并且都在那里等待着,免费提供给任何想要的人。
在某个时候,我很想制作一个基础剧集的播放列表,人们应该收听这些剧集。是的。但只是为了 Echo Fred,TrueCrypt 有一个替代品。史蒂夫在某一集中谈到了它,你很快就会到达他谈论它的那一集,以及许多其他剧集。
所以就是这样,我在节目备注中有一个指向 VeraCrypt 的链接。呃,V、R、A、C、R、Y、P、T、点、F、R,VeraCrypt 点 FR。我去看了看。
而且,我的意思是,它在一个月或两个月前更新过。所以它一直在保持更新,而且它是平台无关的。它可以在 Linux 上完美运行,并像 TrueCrypt 一样加密你的驱动器。是的。看,我们已经涵盖了所有内容。
我们已经涵盖了所有内容。
多年来一直如此。真的,我们已经做到了。利奥,几千个小时?确实,至少有几个。嗯,好的,Scott Freed 写信来分享他访问家庭网络的强大解决方案。但是利奥,让我们休息一下,然后我们将找出 Scott 正在使用什么来获得漫游访问权限。这并不是我们曾经谈论过的事情,哦,多么新奇的东西,是的,就像……
Hamachi,或者我们已经谈论过很多不同的方法,我们已经做过类似的事情,是的,你……
知道它是否仍然存在,真的……
但是是的,LogMeIn,LogMeIn 还在。
是的,这是一个商业服务,但它仍然存在。
这是一个很棒的主意,使用什么?Five Dogs,对吧?是的。好吧,我迫不及待地想听到还有什么其他的东西。但首先,来自我们优秀的赞助商的奖项,一个你认识的名字,我知道你认识 1Password,你可能会想,是的,我知道他们,他们做了一个非常好的密码管理器,这是一个 1Password 的新产品,不仅仅是一个密码管理器。下一步,它被称为扩展访问管理。
让我问你一个问题,如果你在 IT 行业或经营一家企业,你的员工、你的最终用户是否总是在公司自己的设备上使用 IT 批准的应用程序工作?当然,它们是最好的,对吧?不,他们不是。
他们带他们的手机和笔记本电脑,在家观看他们的 Plex 服务器。那么,你如何保护公司的数据安全?所有这些未经管理的应用程序和所有这些未经管理的设备上都安装了什么?
1Password 对这个问题的答案是:扩展访问管理。1Password 扩展访问管理可以帮助你保护每个设备上每个应用程序的每个登录。因为它解决了传统密码管理和 MDM 无法触及的问题。
想象一下你的公司安全,就像大学校园的四合院,你知道,漂亮的砖墙和通往绿色草坪之间的建筑物。这些是公司拥有的应用程序、IT 批准的应用程序、公司拥有的设备、受管理的员工身份。一切都很好。一切都平静祥和。
但是,就像在任何大学校园一样,人们实际上使用捷径穿过美丽的绿草,这实际上是建筑物 A 到建筑物 B 的街道,你知道,你想绕道而行去物理系一号楼或其他地方,你知道,关于直线,对吧?这些是未经管理的设备,影子 IT。应用程序不是由员工使用的,就像承包商一样。
如果你有员工,他们不可避免地会做他们自己的事情。问题是,大多数安全工具只适用于那些快乐的小砖墙。许多安全问题都发生在捷径上。
这就是为什么你需要 1Password 扩展访问管理。它是第一个将所有这些未经管理的设备、应用程序和身份置于你控制之下,并确保每个用户凭据都强大且受保护的安全解决方案。每个设备都是已知的且健康的。
每个应用程序都是可见的。它是针对我们今天真正的工作方式的安全解决方案,现在已普遍可用。使用 Okta 或 Microsoft Entra 的公司,它也适用于 Google Workspace 客户。
所以好消息。你现在就可以在 1password.com/securitynow 查看它。这确实是 1Password 的一个令人兴奋的新产品,1P-A-S-S-W-O-R-D,对吧?
1password.com/securitynow。我们感谢某人支持史蒂夫在这里的重要工作,在 Security Now,我们感谢你通过访问该网站来支持它。所以他们知道你在这里看到了 1password.com/securitynow。好的。
我们继续讨论 Scott,最后,他描述的所有内容都是 Cloudflare 提供的免费服务,这真的……
很有趣。我用过,他们有很多免费的……
服务,是的,我想预先提到这一点。它是免费的,所以,当我分享 Scott 的方法时,任何可能有类似需求的人都会认真对待这一点,并认为所有这些都很有趣。所以 Scott 说:“嗨,史蒂夫。
恭喜你达到 1000 集。我已经收听了 20 年,每一集。谢谢。利奥,他说:“我听到你的听众提出了几个关于如何在旅行时访问他们的家庭网络的问题,VPN 覆盖整个网络。我也有同样的问题。
我访问家庭网络的主要要求是我不想在我的路由器上打开任何端口。我研究了几个月的解决方案,直到我偶然发现 Cloudflare 的一篇博客文章。对我来说,解决方案是 Cloudflare Tunnel,网址是 www.cloudflare.com/products/tunnel。
他说:“我在我的网络内部运行一个旧的 Intel NUC,它创建一个到 Cloudflare 的出站隧道。Cloudflare 仪表板允许我添加我自己的域作为防火墙,提供身份验证,并允许我配置我的四个内部家庭子网的路由。他说:“太棒了。
我在网络上运行两个独立的家庭照片共享应用程序。这些应用程序在 Docker 容器中运行,该网络具有 Linux 和 CasaOS,但该隧道可以在旅行时运行在 NAS 或 Raspberry Pi 上。我在我的笔记本电脑上使用 Cloudflare Warp 应用程序并连接到我的家庭网络。
我可以 RDP 到我的 Windows 网络。我可以访问我的 Ubiquiti 网络摄像头,我可以访问我的 TrueNAS。家庭网络上没有任何东西暴露在互联网上,所有这些都通过隧道进行。家人通过指向我的自定义域的 Web 浏览器访问我的共享照片应用程序 Jellyfin 和 Plex。
我将授权的家庭成员电子邮件地址添加到 Cloudflare 仪表板中,当家庭成员尝试登录到其中一个应用程序时,他们只需输入他们的电子邮件地址,他们就会收到一个用于访问的 PIN 码。所有这些都由 Cloudflare 处理。这有点像螺旋桨式的东西,但人们可以只从一个隧道开始访问家庭网络,而无需共享应用程序和处理授权。
哦,他说:“我忘了提到我在 Cloudflare 上使用的一切都是免费的。所有大写字母的感叹号。我希望这可以帮助任何寻找这种解决方案的人,此致,Scott。所以,谢谢 Scott 分享这个,这对我来说是新闻,所以我过去看了看。
嗯,Cloudflare 的 Tunnel 页面说:“从部署应用程序的那一刻起,保护你的 Web 服务器免受直接攻击。开发人员和 IT 人员花费时间来锁定它,配置 ACL(访问控制列表),轮换 IP 地址,并使用笨拙的解决方案,如 GRE 隧道。有一种更简单、更安全的方法可以保护你的应用程序和 Web 服务器免受直接攻击。
Cloudflare Tunnel 确保你的服务器安全,无论它在哪里运行:公共云、私有云、Kubernetes 集群,甚至是电视机下的 Mac mini。所以,根据 Scott 的描述,它听起来像是一个极其强大且功能强大的解决方案,用于简单、安全地远程连接到内部网络。它可能比我们许多听众需要的要多,但我希望让他们知道,因为它的确听起来像是一个高级用户的工具。你知道,能够设置授权,嗯,注册电子邮件地址,在那里某人能够收到一个 PIN 码,提供它,然后通过该隧道自动访问网络。
我知道有很多东西,它做了很多事情,嗯,无论如何,它看起来是一个潜在的非常强大的解决方案。与此同时,我收到了一封来自 Jeff Price 的便条,他碰巧也写信说:“感谢你的电子邮件。它们非常有帮助,”他说。
我每周都会对 Security Now 进行预览,他说:“我在家有一个中等规模的网络,带有 Synology NAS,以及数十个 IoT 设备。我一直使用 Tailscale 进行所有远程连接。这意味着没有打开端口或端口转发。
我还在我家内部设置了一个系统作为出口节点,这意味着即使我在旅行时,我也可以将我的所有流量加密回我的家,然后从那里退出。换句话说,他在旅行时所做的一切都认为他仍然在家,这对于访问具有特定地理边界的流媒体服务等非常有用,他说。Tailscale 工作得很好,而且它比 OpenVPN 快得多。
所以,只是另一个提醒,叠加网络解决方案几乎是即插即用的,易于使用,并且有 Tailscale 和 ZeroTier。呃,还有 Nebula 和 Netmaker。所有各种操作系统,呃,我们正在使用,甚至各种群集都有客户端。
所以现在可能有一个,嗯,它远不如 Cloudflare Tunnel 灵活和强大。它也更像是一个自制的解决方案,而不是 Cloudflare Tunnel。呃,所以,你知道,你的里程可能会有所不同。选择对你来说最合适的解决方案。ATM B 有一个有趣的问题,他说:“嗨,史蒂夫,我是节目的长期听众。
我不确定有多久,但我肯定记得你过去常常在主题和新闻之间交替播放剧集,他的意思是新闻和反馈,他说:“我是一个自豪的 SpinRite 用户,感谢你和利奥让我对黑客感兴趣,几百美元,我发现了一些本地权限提升漏洞,这在周末四处摸索时发现的,这非常酷。所以他有点像,你知道,白帽黑客,帮助人们。他说:“我有一个问题,我无法在网上找到答案,我认为这可能会让你和我的听众感兴趣。
我是一个业余恶意软件分析师,从他分享的经验来看很明显,是的,他说。作为其中的一部分,我经常在一个与互联网隔离的网络中运行样本,只是为了看看会发生什么。有时,样本会尝试与命令和控制服务器通信。通常,硬编码的 C&C 服务器是完全限定的域名,但有时它是公共 IP 地址。我可以关闭,他说。
微软如何诱使美国政府对其网络安全解决方案产生更深层次、更昂贵的依赖。 Gmail 将提供类似 Apple 和 Mozilla 的原生一次性电子邮件别名。 俄罗斯将禁止几家额外的托管公司,并对其大型互联网断网开关进行另一次测试。 俄罗斯利用一个可怕的 Windows 漏洞攻击乌克兰人。 旧的安全现在剧集的价值。 TrueCrypt 的继任者。 使用 Cloudflare 的 Tunnel 服务进行远程网络访问。 如何使本地服务器看起来像在远程公共 IP 上。 如何与他人共享“无法键入”的密码。 如何在 Security Now 播客中查找以前模糊的参考资料。 预期和广泛期待的下一代人工通用智能 (AGI) 的参数是什么?业界和学术界人士的预期是什么?OpenAI 的 Sam Altman 预测它明年到来是不是完全疯了?这仅仅是一个股票策略吗? 节目说明 - https://www.grc.com/sn/SN-1001-Notes.pdf 主持人:史蒂夫·吉布森和利奥·拉波特 在 https://twit.tv/shows/security-now 下载或订阅 Security Now。 使用 Club TWiT 在 https://twit.tv/clubtwit 获取无广告剧集 您可以在 GRC 反馈页面提交 Security Now 的问题。 对于 16kbps 版本、成绩单和注释(包括更正),请访问史蒂夫的网站:grc.com,也是有史以来最好的磁盘维护和恢复实用程序 Spinrite 6 的所在地。 赞助商: bigid.com/securitynow joindeleteme.com/twit 促销代码 TWIT 1password.com/securitynow canary.tools/twit - 使用代码:TWIT
<raw_text>0 他经常可以假装成组合和控制服务器,只是为了看看当 c 到服务器是完全限定的 doma 名称时样本会发送什么,使用我自己的 DNS 服务器在隔离网络中回答 D、N、S 请求很容易,使用我选择的 A 记录 IP 地址,这意味着,对吧?所以,melar 说,呃,我需要坏家伙的 IP 地址。你是,因为他在创建隔离网络,他拥有自己的 DNS 服务器。所以,运行 mallware 的机器会生成一个到坏家伙的 DNS 查询,dota,你是,并且 DNS 响应为,你知道,1、9、2、1、6、8、0,大约 20 或其他什么,这是一台机器在该网络上。
所以这就是 melt 尝试连接的地方,这是他自己的服务器,所以他可以看到发生了什么,他说。但是,当 c 到服务器是公共 IP 地址时,这就会变得更加麻烦。我认为我有两种选择,他写道,他说,一,修补样本以将 IP 地址更改为本地地址。
或者二,以某种方式让我的局域网使用我选择的 mack 地址来响应 ARP 请求。选择一的问题是这在规模上并不实用,这意味着,你知道,修补 melt 以使其指向本地地址。我同意,他说,如你所知,有时我喜欢运行同一 melar 系列的十个、二十个或五十个版本,因为我不想手动修补五十个不同的样本。
它似乎也是不太令人满意的选择。选择二的问题是我根本无法弄清楚如何去做。我该如何配置我的网络,以便如果样本对公共 IP 地址(换句话说,不在我的局域网的 /24 中)发出请求,则该请求由我的 c 到服务器处理?
我在网上找到的最佳答案与 ARP 欺骗有关,但这似乎非常不可靠,并且可能导致不稳定的网络。感觉答案将与默认网关有关,但我无法弄清楚。我希望这说得通。
我非常感谢您对此事的看法。非常感谢您、利奥和整个团队。此致,亚当,好的。ana 想做的事情绝对可以用非常强大的方式完成。可以手动将静态路由添加到托管 meltwater 的机器的路由表中。
这将导致绑定到该目标 IP 的流量覆盖正常的非本地默认路由,这会将流量发送到网络的网关接口,而不是发送到另一个本地网络接口。但是这样做很棘手且混乱。更直接的解决方案,而且它非常巧妙,将是获得一个具有额外硬件接口的路由器。
那个小 netgate sg1100,在这里很有趣,有一个千兆以太网连接。你知道,它有一个局域网和千兆以太网作为千兆以太网,它不是一个简单的交换机。使用与实验室相同的网络是一个单独的网络接口,可以赋予它自己的局域网。
例如,其中一个 PROTECTLI 保护电压设备,呃,我在我的另一个位置使用其中一个。呃,那些也很好。亚马逊有这些出售。或者您可以直接从保护公司获得它们。我们的想法是拥有一个额外的物理网络接口,您可以使用路由器软件(例如 PFsense 或 OPNsense)为该额外接口定义另一个小型局域网。
而不是使用一个普通的私有网络,比如 192.168.之类的,不是什么东西,或者 10.什么东西,什么东西,你会创建一个包含命令和控制服务器的目标 IP 的网络。然后,将一台机器(这个 c)连接到你的命令和控制欺骗服务器,将一台机器连接到该接口,并手动分配命令和控制服务器的目标 IP 地址。现在,每当主机中的恶意软件将互联网流量发送到该远程公共 IP 时,你的本地路由器的路由表将看到 IP 与该额外网络中的 IP 匹配,并将流量发送到它,而不是发送到公共互联网。所以你最终得到一个非常简单、强大且易于调整和维护的解决方案。并且。
是的。
戴尔·迈尔斯,好的,有一个问题。我忘了我们休息了多少次。
我认为有些事情正在发生。我们还有一个,所以你。
可以把它放在任何你想要的地方,只有一个。然后我们会回来。在我们讨论什么是 AGI 之前,是的,啊,谢谢你,戴尔·迈尔斯有一个没有人应该面临的问题,他说,嗨,史蒂夫。
我从一开始在 0001 开始列出时从未想过,会有 1000 多集安全播客,他说我从一开始就开始了,就在弗雷德·拉纳建议你的播客可能值得一听之后。当时他是对的。我当时是一所教区学校 IT 部门的志愿者。
多年来,我从 Security Now中学到的东西导致了我们系统的重要改进。在那些日子里,听众并不多,你花时间回答了我提交在 Security Now 页面底部的反馈对话框中的两个问题。现在我有一个新的问题,它与使用密码管理器有关。
他说,我最近乘飞机旅行了一段时间,上次我在旅行社办公室时,我决定使用一些累积的积分。她说他无法在我的帐户中访问我的密码。她的屏幕上有一个地方可以输入它,但我无法弄清楚如何从那里或从我的密码管理器那里获得密码。
有什么想法吗?签署协议?迈尔斯,好的。所以我的第一个想法是,嗯?这是一个非常好的问题。
你会如何安全地做到这一点?然后我想,我想知道为什么我们以前没有听说过这个问题。然后问题就自己回答了。
由于没有人应该遇到这个问题,所以没有人应该被要求将他们的密码交给其他人(例如旅行社),以便他可以访问他们的帐户。所以,不,这不是一个更大的问题,因为它永远不应该被任何人要求。整个事情,你知道,看起来像是一个根本性的坏主意,但这对戴尔没有帮助,他显然确实有这个问题。
即使每个人都同意,他首先也不应该遇到这个问题。鉴于戴尔从第一集就开始收听,我们知道他的旅行帐户目前受到一个非常长、随机且无法手动输入甚至沟通的密码的保护,所以我的建议是不要尝试,简单地将你的密码更改为一个非常容易输入的东西,这符合旅行系统的密码策略,但在其他方面尽可能最小化。你知道,它只会持续几分钟,所以它的安全性并不重要。
积分转移后,帐户密码可以恢复到之前的状态,也可以设置为新的密码。现在,一个可行的替代方案是将帐户的初始几乎不可能的密码通过电子邮件或短信发送给旅行社,让她登录,做她需要做的任何事情,然后在积分转移后将帐户密码更改为新的超级安全的密码。现在,话虽如此,我确实收到了一位听众关于一个看起来非常酷的设备的反馈。
我正在路上拿到它,因为我想了解它并能够谈论它。它是一个小巧的加密狗,带有一个 USB 端口,它是一个蓝牙键盘加密狗。这意味着,如果戴尔有这个,或者如果我们的任何听众有这个问题,戴尔可以随身携带它,交给旅行社,并将其插入她的电脑,你知道,任何 USB 端口都可以。
现在,非常类似于最初的 ubique,这个东西看起来像一个 USB 键盘。所以,然后,有这个东西的 Android 和 iOS 以及其他应用程序。所以戴尔能够通过这个应用程序发送他的密码,它会输入旅行社电脑上的密码字段,这无论如何都是一种很酷的黑客行为,呃,我会了解更多关于它的信息。我会在下一周的播客中为任何想要提前了解的人提供所有细节。它并不便宜,要 37 美元,据我回忆,是从波兰发货的。
但仍然有点。
很酷的东西。嗯,克里斯·C 之前问过,你说过一家大型公司因未按照联邦法律要求保留团队或 Slack 聊天而被罚款。
你还记得这是谁以及法律是什么吗?所以我回复克里斯说,我依稀记得顺便提过,但我没有具体的回忆,我说,grc 网站上的每个页面的右上角都有一个站点搜索,可以用来仅搜索播客成绩单(已完全编入索引),因此你也许能够通过这种方式找到该参考。所以这就是我对 chis 的回复。
我想分享这一点,因为我自己也经常使用 grc 搜索,当我在寻找我们自己过去的东西时也是如此。你听到我随意提到我们谈论过某些事情,你知道,无论是什么,你知道,在播客第几集,我不知道。所以,我只是不想让任何人认为我像这里的克里斯一样回忆起那个播客。
我确实记得它曾经被提到过,但不知道是什么或什么时候。由于我经常收到这类问题,就像克里斯问的那样,我只是想转告给大家。节目说明和完整的成绩单都已完全编入索引,并且可以使用 grc 搜索框轻松搜索该索引。
我稍后检查了一下,克里斯回复了。他回答说,谢谢。例外情况,我不知道有这个。他说,谷歌没有帮助我,但是你网站上的搜索引擎(由同一家公司提供支持)做到了,所以再次。
我们确实有,你知道,基本上是播客特定的搜索,这将允许任何人找到他们认为我们以前谈论过但记不清具体在哪里说过的事情。呃,你可以随意继续问我,但你知道,所有这些都和你自己可以做的事情一样,那就是使用 GRC 每个页面右上角的小搜索框。利奥,我们准备讨论人工通用智能了,无论那是什么。
好吧,至少也许知道它是什么,即使我们不知道什么时候。现在大约还有半个小时。但是让我们先休息一下,然后我们再深入探讨。
我很兴奋。我真的很兴奋。我准备做笔记了。我确定它们是由那些很棒的 deleteMe 人们带来的。
我对 deleteMe 有些直接的经验,因为我们一段时间以来一直在为我们的首席执行官使用它。如果你曾经在网上搜索过你的名字,我实际上不建议你这样做。但是如果你这样做过,你知道有多少你的个人信息就在那里公开吗?都是数据经纪人。
他们多年来一直在收集这些东西。你使用的每个应用程序,不仅仅是 TikTok,还有 Facebook、Instagram。你访问的每个网站,他们都会收集所有信息,并将它们组合起来,基本上创建一个关于你和你家人的档案,关于你认识的每个人,维护隐私不仅仅是个人问题,也是家庭事务。
这就是 deleteMe 推出家庭计划的原因,这样你就可以为家里的每个人都使用 deleteMe。我认为他们也有企业计划。我认为这就是我们使用的,因为你真的应该为公司里的每个经理都使用 deleteMe,我以前讲过这个故事。
如果你听过,请原谅我,但是我们运行 deleteMe 是因为丽莎,不知何故坏人弄清楚了她的电话号码,她工作的公司以及她的直接下属是谁以及他们的电话号码是什么。我想知道他们从哪里得到这些信息的,对吧?结果,他们能够进行一次网络钓鱼活动,假装是来自丽莎的短信,给首席执行官打电话。
我需要一些亚马逊礼品卡。我在开会,拿到它们并把它们送到这个地址。幸运的是,员工比这聪明。但他立即告诉我,你知道,我们必须做一些事情来减少网上关于我们管理层的信息量。那时我们才开始使用 deleteMe。
DeleteMe 有助于降低身份盗窃、网络安全威胁(如上述)、骚扰以及所有隐私侵犯可能造成的风险。这不是一件好事。DeleteMe。
专家知道数据在哪里。他们会从数百个数据经纪人那里找到并删除你的信息。顺便说一句,如果你获得家庭计划或企业计划,你可以为每个成员分配一个数据表。
它会针对他们进行调整,这样你就可以说,好吧,不要删除 Instagram 信息,但是删除 Facebook 信息之类的。易于使用的控件。因此,作为帐户管理员,你可以管理整个家庭的隐私设置。
但这一点很重要。一旦你删除了那些数据,你知道,然后就走开,因为你可以自己先这样做,虽然你需要知道数百个数据经纪人。但是,你需要知道新的数据经纪人上线了,而且每天都有新的数据经纪人上线,这是一个非常有利可图的业务。
你需要知道要回去,这就是 deleteMe 做的事情。他们会定期扫描并删除你的信息,不仅来自现有的数据经纪人,还来自所有不断涌现的新数据经纪人,我指的是地址、照片、电子邮件、亲属、电话号码、社交媒体、房产价值,所有的一切。所有这些都在网上,数据经纪人拥有所有这些,直到我们在这个国家获得全面的隐私法来保护你。
你必须保护自己、你的家人和你的企业。我们通过访问 joindeleteme.com/twit 来保护你的隐私。优惠代码 twit 可享受 20% 的折扣,这是一个非常划算的交易。
joindeleteme.com/twit,使用优惠代码 twit 可享受 20% 的折扣,如果你想,你可以访问 joindeleteme.com/twit。查看所有产品。他们有一套非常细致的产品,可以真正做到你需要做的事情来保护你在线安全。
所以我非常推荐查看所有这些,它真的是一家令人惊叹的公司。joindeleteme.com/twitter。谢谢。DeleteMe。
顺便说一句,在全国公共数据经纪人数据泄露事件之后,史蒂夫,我们在那里搜索了我的名字,我的社交信息,所有的一切。埃利斯,不是蕾丝。我认为这是一个非常有说服力的例子,说明 deleteMe 确实有效,加入 deleteMe,可以访问 deleteMe。
谢谢。DeleteMe。好吧,我已经死了。
听到史蒂夫·吉布森谈论 AGI,好吧,PS。并服务于一群人对 AGI 的感受。我也想知道你的想法。
虽然我认为你可能会给我们一些。
想法是,是的,我确实有一些感觉,所以呃,好的,嗯,我应该注意到,我已经拥有了我需要的一切,这要感谢今天的ChatGPT。它已经改变了我的生活,变得更好。嗯,我一直在越来越多地使用它来节省时间,并将其作为一种编程语言超级搜索引擎,甚至是语法检查器。
嗯,当我需要快速编写一些一次性代码(例如PHP,我不擅长这种语言)时,我会把它用作一种辅助工具。但我想要快速完成一些事情。我只是想,你知道,解决一个快速的问题,呃,你知道,以某种方式传递文本文件到不同的格式,诸如此类的事情。
嗯,过去,如果我有一个比这更大的项目,我会花一个小时在谷歌上查询,然后链接到程序员的角落、Stack Overflow或其他类似的网站,我会把我需要的语言结构从我在网上找到的其他类似代码片段中拼凑起来,或者嗯,如果我找不到任何有用的东西,比如你知道,解决这个问题。然后我会通过语言的实际参考文本更深入地挖掘,找到我需要的用法和语法,然后从中构建,你知道,因为,你知道,在你编程了足够的语言之后,它们在很大程度上都是一样的。我的意思是,APL完全是不同的东西。
但是,但是过程语言只是像,好吧,我用什么来表示不等式?我用什么来表示,你知道,循环结构是如何构建的,诸如此类的事情?嗯,我不再那样做了,因为我现在可以使用我认为是超级编程语言搜索引擎的东西。
现在,我向ChatGPT的实验性编码版本询问我需要的东西。我不求它提供完整的程序,因为那真的不是我想要的。你知道,我喜欢用任何语言编程,因为我喜欢难题,而难题是与语言无关的,但我并不同样了解其他每种语言的细节。ChatGPT无法告诉我关于汇编语言编程的任何我不知道几十年了的知识。
但是,如果我想编写一个快速的一次性实用程序,比如在Visual Basic .NET中(一种我很少使用的语言,因为我喜欢用汇编语言编写),例如,我需要快速实现一个关联数组(就像我上周做的那样),与其在互联网上搜索或浏览Visual Basic语法定义我正在寻找的东西,我现在只需向ChatGPT提出问题。
我会非常具体和仔细地问它我想要什么。在大约两秒钟内,我就能得到我以前可能花了三十分钟到六十分钟在网上搜索的东西。对于我传统上遇到的这类问题,它改变了我的工作方式。
每当我需要一些我不熟悉的细节时,它都很有用。我认为我会这样说,我已经看到许多程序员对当今AI生成的代码提出了批评,对我来说,他们的批评似乎是错位的。也就是说,他们的批评似乎是错位的。也许只是有点紧张,也许他们也问错了问题。
我不向ChatGPT寻求最终产品,因为我确切地知道我想要什么,而且我不确定我是否可以用语言来指定最终产品,或者那是不是它真正擅长的事情。所以我只向它询问具体的片段。我报告说结果非常棒。
我的意思是,它,它实际上是,我现在编写我不熟悉的语言的方式,我认为这可能是最好的说法。它,它,它不,这很有趣。互联网,而且你知道,显然我们必须使用这个词,知道它们非常可取,它不知道它们,但无论它是什么,我都能像问你一个问题一样,并且我实际上得到了对严格问题领域问题的非常好的答案。好的。
但我今天想探讨的是我们今天所拥有的东西之外的东西,挑战是什么,以及人们对我们如何以及何时才能获得更多东西(无论“更多”是什么)所做的预测。你知道,我们想要达到的目标通常被称为人工通用智能,即AGI。好的,所以让我们首先看看维基百科是如何定义这个目标的。
维基百科说,人工通用智能是一种人工智能,它在广泛的认知任务中与人类的认知能力相匹配或超过人类的认知能力。这与仅限于特定任务的狭义AI形成对比。另一方面,人工超级智能(ASI)指的是大大超过人类认知能力的AGI。
AGI被认为是强人工智能的定义之一。他们说,创造AGI是AI研究和OpenAI和Meta等公司的主要目标。一项2020年的调查确定了分布在37个国家的72个活跃的AGI研究和开发项目。
实现AGI的时间表仍然是研究人员和专家之间持续争论的对象。截至2023年,一些人认为这在几年或几十年内可能是可能的。另一些人认为这可能需要一个世纪甚至更长的时间,少数人认为这可能永远无法实现。著名的AI研究员杰弗里·欣顿表达了对AGI快速发展的担忧,认为这可能比许多人预期的要早得多。关于AGI的确切定义以及现代大型语言模型(LLM),如GPT-4,是否是AGI的早期形式存在争议。关于AGI是否构成存在性风险也存在争议。许多AI专家表示,减轻AGI造成的物种灭绝风险应该成为全球优先事项。
其他人认为AGI的发展过于遥远,不足以构成这种风险。AGI也称为强人工智能、完全人工智能、人类水平人工智能或通用智能行为。然而,一些学术资料将“强人工智能”一词保留给体验感知或意识的计算机程序。
相反,弱人工智能或狭义人工智能能够解决一个特定的问题,但缺乏一般的认知能力。一些学术资料使用“弱人工智能”一词更广泛地指任何既不体验意识也不像人类一样拥有思维的程序。相关概念包括人工超级智能和变革性AI。人工超级智能是一种假设的AGI类型,其普遍智能远超人类,而变革性AI的概念与AI对社会产生重大影响,从而改变社会有关。
例如,类似于农业或工业革命,一个用于对AGI级别进行分类的框架于2023年由谷歌DeepMind的研究人员提出,或者说是由谷歌DeepMind的研究人员购买的,他们定义了五个级别的AGI:新兴、称职、专家、虚拟超人以及超人。他们定义了,例如,称职的AGI被定义为在广泛的非物理任务中超过50%熟练成人的AGI。而超人AGI,换句话说,人工超级智能,定义类似,但阈值为100%。他们认为大型语言模型,如ChatGPT或LLaMA,是第一级新兴AGI的实例。好的,我们正在获得一些有用的语言和术语来讨论这些事情。
上周,在我们庆祝这个播客的第1000集时,我看到的一篇文章发表在Perplexity AI上,标题为“Altman预测AGI将在2025年实现”。Perplexity的文章内容不多,但我从中得到了一些有趣的思考、额外的术语和谈话要点。所以我仍然想分享它。Perplexity写道,OpenAI首席执行官山姆·阿尔特曼的预测——人工通用智能AGI可能在2025年实现——激起了科技界的热议,这个时间表与许多专家预测AGI到来要晚得多形成鲜明对比。尽管存在怀疑论,但文章强调OpenAI正在按计划实现这一雄心勃勃的目标,并强调了持续的成就和大量的资金,同时也暗示AGI最初对社会的影响可能很小。
在一次Y Combinator采访中,阿尔特曼表达了对未来一年AGI潜在发展的兴奋之情。然而,他还出人意料地声称,AGI的出现对社会的影响将出奇地小,至少最初是这样。鉴于AGI的潜在变革性性质,这一说法引发了AI专家和爱好者之间的争论。阿尔特曼乐观的预测时间表与该领域的许多其他专家形成了鲜明对比,这些专家通常预测AGI的发展要晚得多,大约在2050年左右。
尽管存在怀疑论,但阿尔特曼坚持认为OpenAI正在积极追求这一雄心勃勃的目标,甚至暗示有可能使用目前的硬件来实现AGI。这种信心,加上OpenAI最近66亿美元的融资轮和超过1570亿美元的市场估值,突显了该公司致力于突破AI技术界限的决心。实现人工通用智能面临着一些重大的技术挑战,这些挑战超出了当前AI的能力。
所以这里有四个要点概述了AGI需要什么,而这些东西在今天还没有出现迹象。首先,常识推理。AGI系统必须发展对世界的直觉理解,包括隐性知识和不成文的规则,以应对复杂的社会环境并做出日常判断。
第二,情境意识。AGI需要根据情境因素、环境和以往经验动态调整行为和解释。第三,处理不确定性。
AGI必须解释不完整或模糊的数据,从有限的信息中得出推论,并在面对未知时做出合理的决策。第四,持续学习。开发能够随着时间的推移更新其知识和能力而不会丢失先前获得的技能的AGI系统仍然是一个重大挑战。
所以,当我阅读这四个要点——推理、情境意识、不确定性和学习——时,我想到的一件事是,我曾经与之互动过的任何AI都没有要求澄清我正在问什么。这似乎不是当前一代AI的内置功能。我确信我可以模拟它,不,如果我进一步提高做这件事的公司股价的话。
但这并不重要,对吧?因为这将是一个伪造的问题,就像70年代那个非常古老的Eliza心理治疗程序一样。你知道,你会在里面输入。
我今天感觉有点暴躁。它会回答,你为什么认为你今天感觉有点暴躁?不,它并没有真正提出问题。它只是被编程成看起来像这样。
它理解我们输入的内容吗?我希望说明的是,当今的AI存在空洞之处,你知道,它确实是一种令人惊叹的搜索引擎技术,但对我来说,它似乎不仅仅是那样。它的答案背后没有任何存在感或理解。
Perplexity的文章继续说道,克服这些障碍需要在神经网络架构、强化学习和迁移学习等领域取得进展。此外,AGI的发展需要大量的计算资源和跨计算机科学、神经科学和认知心理学等领域的专家之间的跨学科合作。
虽然一些AI领导者,如山姆·阿尔特曼,预测AGI将在2025年实现,但许多专家对此加速的时间表仍然持怀疑态度。2022年对352名AI专家的调查发现,媒体对AGI发展的估计大约在2060年左右,也就是Security Now第860集的内容。嗯,90%的352名受访专家预计会在100年内看到AGI,90%的受访专家预计。
所以不是说要花超过100年的时间,而是媒体说的是2060年,所以不是像山姆所说的那样在明年,他们写道。这种更为保守的观点源于几个关键挑战。首先,缺失成分问题。
一些研究人员认为,当前的AI系统虽然令人印象深刻,但缺乏实现通用智能所必需的基本组成部分。仅靠统计学习可能不足以实现AGI。再次,缺失成分问题。
我认为这听起来完全正确。此外,训练限制,创建足够复杂的虚拟环境来训练AGI系统以应对现实世界,包括人类的欺骗,带来了巨大的障碍;第三,扩展挑战。尽管大型语言模型取得了进展,但一些报告表明,几代人之间的改进速度正在递减。
这些因素导致许多AI研究人员对AGI发展的看法更为谨慎,他们认为AGI的发展可能需要几十年而不是几年才能实现。OpenAI最近在技术进步和财务增长方面都取得了显著的里程碑。该公司成功地完成了,在这里他们再次提到,一轮规模巨大的66亿美元融资,估值达到1570亿美元。
但你知道吗?这只是,你知道,山姆。作为一个优秀的推销员,他们说这轮融资吸引了微软、英伟达和软银等主要投资者的投资,突显了科技行业对OpenAI潜力的信心。
该公司的旗舰产品ChatGPT已经实现了指数级增长,目前拥有超过2.5亿周活跃用户,而你我都在其中。OpenAI还在企业领域取得了重大进展,据报道,92%的财富500强公司都在使用其技术。尽管取得了这些成功,但OpenAI仍然面临着运营成本高昂以及需要大量计算能力等挑战。
该公司预计今年将亏损约50亿美元,这主要是由于训练和运营其大型语言模型相关的支出造成的。所以,当我想到这个想法时,你知道,我们只是要投入所有这些资金,它就会解决这个问题,而且,看,你知道,解决方案将会。明年,让我想到的类比是治愈癌症,因为这有点像,你知道,我们只需要突破,这很好,你知道,治愈癌症就像,不,我们对人类生物学还不够了解,还不能说我们会做到这一点。
我知道现任政府一直在进行所有这些癌症登月计划,并且认为,好吧,如果你真的与任何生物学家谈论此事,或者你只是认为你可以向它投入资金,它就会完成这项工作。所以情况并非总是如此。所以对我来说,这种缺失成分的概念是最重要的,就像我们今天可能拥有的东西已经变得非常擅长做它所做的事情一样。
但它可能无法扩展。它可能永远不会成为我们AGI所需的东西。但我认为,到目前为止我所分享的内容提供了一些关于我们身处何地以及AGI的目标是什么的校准。我还找到了一篇信息周刊的文章,作者在其中进行了一系列采访并引用了我只想分享的人,以结束这个话题。
它的标题是“2025年的人工通用智能,祝你好运”。我有一个预告片:AI专家表示,AGI可能要到2050年才会上市。OpenAI首席执行官山姆·阿尔特曼说2025年,但这是一个非常难以解决的问题,所以他们写道,几年前,AI专家预测人工通用智能将在2050年成为现实。
OpenAI 一直在与大型科技公司一起推动可能的艺术,但尽管 Sam Altman 估计在 2025 年,实现 AGI 的可能性在短期内不大。惠普新任务,《大脑制造者》一书的作者,以及跟踪实用人工智能发展的咨询公司 Relay Group 的执行董事说,我们不能假设我们接近 AGI,因为我们真的不了解当前的人工智能,这与梦想中的 AGI 相去甚远。我们不知道当前的人工智能是如何得出结论的,甚至无法向我们解释其发生过程。
这是一个巨大的差距,需要在开始创建能够做任何人类都能做的事情的 NAI 之前弥合。而人类思维的一个标志,AGI 将试图复制它,就是能够解释提出问题解决方案或答案的合理性。
我们仍在努力阻止现有的大型语言模型产生幻觉。我插一句,我认为这是关键点。我早些时候将 ChatGPT 描述为一个非常强大的互联网搜索引擎,部分原因是因为我一直在用它来复制我自己的需求。
正如我所说,它已经完美地替代了我原本需要自己进行的大量搜索。我的观点是,这种当前大型语言模型方法可能永远不会超过这个。这可能是一个死胡同,如果真是这样,那也是一个非常有用的死胡同。
但它可能根本不是通往 AGI 的道路。它可能永远不会成为一个超级强大的搜索引擎。InfoWeek 的文章继续说道:
OpenAI 目前正在 alpha 测试高级语音模式,该模式旨在听起来像人类一样,例如偶尔暂停说话以吸气。它还可以检测情绪和非语言线索。这一进步将使 AI 听起来更像人类,这很重要,但还有更多工作要做,坦率地说,在我看来,这就是我们开始进入“戏法”的范畴的地方。
例如,让它看起来比实际情况更强大,但它仍然不是。ZeroGPT 的十几岁的 CEO Edward,它可以检测文本中生成式 AI 的使用,也认为 AGI 的实现需要时间。在与文章作者的电子邮件采访中,Edward 说:“人工通用智能背后的理念是创造尽可能像人类一样的 AI,一种能够自学并基本上以自主方式运行的 AI。因此,最明显的挑战之一是以允许开发人员最终能够放手的方式创建 AI,因为目标是让技术自由运行,无论多么先进的技术都不能是人类的。”
所以挑战在于试图开发它,使其尽可能像人类一样。这也导致了伦理困境。关于监督,当然有很多人都担心 AI 拥有过多的自主权和控制权。
这些担忧是有效的,开发人员如何制作 AGI,同时又能够在必要时限制其能力。由于所有这些问题都受到能力和规定的限制,目前我不认为 2025 年是现实的。当前的人工智能,即人工窄智能(ANI),能够很好地执行特定任务,但它无法将该知识概括以适应不同的用例。
Max Lee,去中心化 AI 数据提供商的首席执行官,也是哥伦比亚大学电气工程系兼职副教授,说:“鉴于构建当前 AI 模型需要多长时间,而这些模型存在不一致的输出、有缺陷的数据源和无法解释的偏差,完善现有模型可能更有意义,而不是开始在学术界研究更复杂的模型。对于 AGI 的许多组成部分,我们甚至不知道它为什么有效,也不知道它为什么无效。”
为了实现 AGI,一个系统需要做的不仅仅是产生输出并参与对话,这意味着仅靠 LLM 是不够的,AI 公司 DataMiner 的首席 AI 官 Alex James 在电子邮件采访中说。它还应该能够持续学习、遗忘、做出考虑他人的判断,包括做出判断的环境。从这个角度来看,还有很多事情要做。
我们仍然非常遥远,很难想象不包含社会智能的 AGI。当前的 AI 系统没有任何社会能力,例如理解它们的行为如何影响他人、文化和社会规范。赌博软件公司 SoftSwiss 的副 CTO Sergey Krouse 说:“要实现 AGI,我们需要能够自主概括和学习的先进学习算法、结合各种 AI 学科的集成系统、巨大的计算能力、多样化的数据和大量的跨学科合作。例如,自动驾驶汽车中使用的当前 AI 模型需要庞大的数据集和计算能力才能处理特定条件下的驾驶,更不用说实现通用智能了。”
大型语言模型基于复杂的转换器模型。虽然它们非常强大,甚至具有一些涌现的智能,但转换器是重新训练的,不会实时学习。对于 AGI,需要在 AI 模型方面取得一些突破。
它们需要能够概括情况,而无需针对特定场景进行训练。一个系统还需要实时做到这一点,就像人类在直觉地理解某些事物时一样。此外,AGI 能力可能需要新的硬件架构,例如量子计算,因为 GPU 可能不足。
请注意,Sam Altman 特别反驳了这一点,并表示当前的硬件就足够了。此外,硬件架构需要更高效的能源,并且不需要大型数据中心。LLM 正在开始进行因果推理,并最终能够进行推理。
它们还将拥有更好的问题解决能力,以及基于能够从多个来源整合数据的能力的认知能力。所以,有趣的是,我们看到不同专家之间存在一定程度的一致性。他们可能都在阅读相同的材料,因此他们的想法在某种程度上是趋同的。
但 Sam Altman 是一个例外,在我看来,这些人从他们所说的话来看,似乎知道自己在说什么。也许 Sam 已经在 OpenAI 的实验室里看到了外界其他人没有看到的东西,因为这正是 Sam 不至于犯夸大其词和过度宣传公司近期未来的错误所需要的。我在节目说明中放了一张你屏幕上的图片。
再来一次,Leo。这不是一个图表,也不是一个模拟。这是实际大脑组织的一小块的图像。那些是神经元、轴突和树突。颜色是后来添加的,但那是实际的人脑组织。
我特别感兴趣的是来自世界顶级学术 AI 研究人员的评论,他们承认,直到今天,实际上没有人真正理解大型语言模型是如何产生它们的输出的。鉴于此,我怀疑仅仅是更多相同的东西会导致 AGI 所需的那种高质量的根本性进步,这当然不仅仅是更多相同的东西。当我在过去说过我认为没有理由为什么最终不能创造出真正的人工智能时,我当然不是指明年,我指的是将来某一天,我的意思是,我相信生物大脑可能只是创造智能的一种方式。在我对人脑生物学的研究中,我获得的一件事是对作为我们自身的惊人复杂性的生物计算引擎的深刻理解。单个计算神经元的数量。
人脑有 10 的 11 次方个。也就是 1000 亿个,1000 亿个单个神经元,10 亿个神经元,一百倍。
而这些单个神经元不仅相互连接非常丰富,通常与两万个其他神经元相连,每个单个神经元本身在其行为和运作方面都非常复杂。它们远非像我们在小学学到的那样简单的、整合的二元触发器,而我们的大脑中有 1000 亿个这样的家伙。所以也许 Sam 会在明年让世界大吃一惊。
我持怀疑态度,但并不失望。正如我所说,我很高兴发现了 ChatGPT 这种奇妙的、易于访问的互联网摘要。这不仅仅是一个简单的补丁。
这是一件大事,我认为这是一种神奇的东西。但我怀疑它就是它本身。对我来说,这就足够了。就目前而言,我敢打赌,在我们获得更多之前,我们还有很长的路要走。
你怎么知道某物是 AGI?这是困扰我的一件事。图灵测试不是真实的。还有一个中国房间测试。
也许更好一点。我认为真的没有办法判断它。
不,不。我的意思是,它会。另一个完美的例子是国际象棋。曾经有一段时间,你可以很容易地说,好吧,人类,他们就像,你知道人类可以下国际象棋。
没有机器可以下国际象棋,对吧?对吧?我的意思是,人们很久以前就是这样说的,对吧?现在,我们知道计算机已经远远超过了人类。所以,对我来说,而且我知道你也使用过受限领域的大型语言模型。
你会通过将一堆 Lisp 教材输入到其中,然后能够提出问题来训练它吗?你知道这是一个了不起的技术,对吧?但我认为它非常类似于我们治疗癌症的方案,即使用化疗来限制我们全身的生长,因为癌细胞之所以成为问题,是因为它们能够以如此高的速度繁殖。
我的意思是,这就像我们甚至还没有开始真正治愈。我们只是有某种缓解措施,能够将人们推入缓解状态。所以我的感觉是,我同意那些专家的说法,他们认为我们今天可能看到的东西,我们应该将其视为仅此而已。没有理由相信仅仅是获得更多相同的东西就会发生某种转变。
是的。我也认为寻找 AGI 可能并不是机器真正有意义的最终目标,机器可能像 AGI 一样有用或强大,而实际上并不是通用智能。我不知道这是否是一个合理的衡量标准。好吧。
当然,如果我们拥有某种东西,人们可以随意地描述他们希望计算机程序如何运行,并且实际上,就像,我得到了一个功能正常的、无错误的、是的,这样的东西将改变编码世界,对吧?而且我不会感到惊讶,是的,如果我们很快就能拥有这样的东西,我不会感到惊讶。
我问了我最喜欢的 AI 之一 Perplexity AI(这是一个互联网搜索引擎),你应该尝试一下,看看你似乎是如何思考或似乎喜欢使用 AI 的。所以我问,AGI 有测试吗?想象一下图灵测试,其他一些测试,然后想象一些随意的测试,比如咖啡测试。
一个 AI 进入一个普通的美国人家中,并弄清楚如何冲咖啡。你知道吗?如果,如果,如果一个机器人能做到这一点,它可能不是 AGI,但那真是令人印象深刻,或者可以上大学。
在大学里担任角色,获得学位,通过与人类相同的课程。我认为我们可能接近于此。IKA 测试中,AI 控制一个机器人,在查看零件和说明后正确组装平板家具。许多人类都做不到这一点。
所以那将。
也是一个有趣的测试。我只是认为这些显然有点愚蠢,但这表明没有对 AGI 是什么的公认定义。就像人类一样,有很多方法可以变得聪明。
我认为机器有很多方法可以变得有用地聪明。如果机器可以进入我家,无需任何关于此的预先知识,除了可能对咖啡是什么以及如何制作咖啡有一个基本的了解,我就会印象深刻。我认为这将是有用的,可能不是 AGI,但无论如何都会很酷。是的,我们小时候有一个快乐的。
现场直播。有一个游戏叫做 Nim。
是的。
其中之一,有一种方法可以使用火柴盒和火柴来设置一台计算机,你基本上会这样做,这就像一个非常早期的组合计算机,通过迭代它,你会训练它随着时间的推移做出正确的决定,关于在剩余一定数量的火柴时要拿走多少火柴。我的意思是,这就像我小时候,我正在攀爬乐队成员的外部楼梯。我是。
但是看,那是组合数学。你可以很容易地看出如何编写一个简单的程序。我有一本非常有名的书,一本 Lisp 书,事实证明,作者是 Peter Norvig,名为《人工智能编程范式》。
它谈到了他称之为 GPS(通用问题解决机)的一些早期尝试。它基本上是一个组合问题。
你会尝试这个,然后尝试那个,如果那个有效,就回溯并尝试这个和那个。你可以看到如何用足够快的机器来解决国际象棋,甚至围棋,围棋比国际象棋难得多,或者蛋白质折叠。很多事情都是有用的工具。也许不聪明,但我们甚至不知道人类的智能是什么,所以我不知道。
是的,我认为你说的对,当你衡量蛋白质折叠时,许多人期望像那样,我们现在拥有的或一两年内可能拥有的东西可以通过查看大量数据并从中提取我们看不到的关联和关系来彻底改变医疗保健,对吧?因为它具有我们所不具备的范围。
这更像是一个 AI 问题。这与容量更相关,你可以存储的数据量,这比人脑快得多,你可以处理它的速度,同样也比人脑快。但这并不能使其变得智能,这使其变得更快更大。
而且在某些方面,我认为这是一个引人入胜的话题。我想,就像你可能也有同感一样,作为科幻迷,我认为我们俩都希望在我们有生之年看到AGI。仅仅是与我们创造的具有外星智慧的智能体交谈就很有趣。
当然,如果真的感觉到,你知道,那里存在某种东西,那么进行对话将是下一步,我只是,我知道我没有感觉到除了你之外的任何东西,很明显是你,你知道,它以第一人称指代自己。你知道,它就像,“让我知道我是否还能为您做些什么”,所以它们就像,你知道,它们给了你一堆含糖的涂层,旨在让我们认为,不,就像我们正在与一个并非实体的实体交谈一样。
甚至“拟人化”这个词本身对于正在发生的事情来说也是一个不恰当的描述,是的。
称之为错误。
一个错误。
一个错误。
这是一个错误。史蒂夫的节目总是引人入胜,信息量很大,有很多值得思考的东西。我们刚刚收到一封来自一名听节目的囚犯的电子邮件,但他不允许在图书馆收听播客,但他无法阅读节目笔记,因为他无法访问互联网,他说,你能否打印出节目笔记并寄给我吗?我认为我们会……我认为……我认为他们应该允许这样做,谈谈改造。
从第一集开始收听这个节目,当你听到第1002集时,你就会对这种计算机风格非常了解。你出狱后就会有工作了。谢谢。
好吧,你可能会。嗯,我很高兴你收听这个节目,我希望你能继续收听。特别感谢我们的Club TWiT会员,他们每月支付7美元使这一切成为可能。仅此而已。
这是任何播客网络中最低的价格,涵盖我们制作的所有节目,我们制作的所有内容,以及无广告版本节目的访问权限,我们举办的特别节目,例如我们的摄影特别节目或咖啡特别节目,编码。俱乐部里有很多事情正在发生,比如手工制作。我认为7美元的交易相当不错。
如果你还没有加入,这确实会对我们的底线产生影响。请访问twit.tv/clubtwit,两周免费试用。你可以看看它是什么样的。如果你推荐别人,你将在注册时获得一个链接。
如果你使用该链接,把它放在你的社交媒体上并推荐别人,你将获得三个月的免费会员资格,这意味着如果你有足够的朋友,你可能根本不需要为Club TWiT付费,twit.tv/clubtwit,传播这个消息,对于我们现有的会员,我们非常感谢你们。我们每周二在《MacBreak Weekly》之后制作这个节目,最终大约是下午1点30分太平洋时间,也就是下午5点20分到2200 UTC。我提到我们什么时候做,因为我们直播它,多亏了俱乐部会员,我们能够在八个……我必须竖起手指……
因为我可以。
我记不清了。八个不同的平台。有Club TWiT Discord。
有TikTok,有twit.tv,Twitch,YouTube,LinkedIn,Kick。我还漏掉了一些,Facebook。我是不是把LinkedIn算进去了?很多地方。
你知道,如果你访问twit.tv/live,你会看到所有这些平台的列表。如果你想的话,可以观看直播。但我强烈建议你获取节目的副本。
现在,如果你想的话,你可以从史蒂夫那里获取它。我们当然鼓励你这样做。grc.com,他的网站上有一些独特的版本。
16kbps……
位的音频版本,它也很嘈杂。但它很小。它很小,很小,但很嘈杂。我知道有些人喜欢这样。
他还提供64kbps的音频,不太嘈杂,听起来好得多。但是,是的,它大了五倍,四倍。他还提供文字记录,这很棒。
我们之前提到过,或者莱恩·福雷斯特,他做得非常出色,他们的坟墓用于搜索,或者我认为人们喜欢边读边听。事实上,有人给了一个建议,我看到了。
以两倍速度收听,然后边读边听。你会完全理解它,但你会更快地完成它。用一半的时间完成它不是一个聪明的想法。
就像给节目加字幕一样。没错,这是节目的字幕。
而且非常好的字幕,对吧?不是电脑生成的,grc.com。看看SpinRite 6吧?
1是世界上最好的海量存储、维护、性能增强和恢复实用程序的当前版本。如果你有海量存储,你需要SpinRite 6。
现在就获取一份。
现在。这是史蒂夫的生计,不是吗?但很快就会有其他东西出现了。
我会为DM Bench营销的这种歪曲买单。那将是……我迫不及待地想看到它。我一直关注它,一直关注它。那里有很多免费的东西,包括Wheels Up。
grc.com。
有人说,如果他的电子邮件说史蒂夫会发布他的电子邮件,我会把它们寄给他。不要把电子邮件寄给我,寄给史蒂夫。
方法如下:访问grc.com/email,输入你的电子邮件地址,可选地注册新闻通讯,但这可选的。你不必……但他会使你的电子邮件地址失效,然后……
我们会发送一封电子邮件,[email protected]。
你只需要发送它。这太棒了,实际上是新的,对于史蒂夫的电子邮件问题来说,这是一个非常好的、可靠的解决方案。所以再次,grc.com/email,我们在我们的网站上,twit.tv/sn。
当你到达那里时,你会看到一个指向YouTube频道的链接。分享一些小片段的好方法。请这样做。
人们不听《Security Now》真是太可惜了。给他们发送一些有用的东西,所以你错过了很棒的节目。嗯,你应该收听。
这对我们帮助很大。所以,GRC……对不起,twit.tv/sn。那里有一个YouTube链接,当然还有最好的收听方式。
在您最喜欢的播客播放器中订阅。你会自动获得它。有音频和视频,然后你就不用再担心了。
你的收件箱里会有《Security Now》,随时可以收听。祝你本周过得愉快,我们已经完成了彼得·F·汉密尔顿的《酸性之夜》的三分之一。
如果龙……一点点……我……我读了四分之三,感觉就像,好吧。
我担心这一点,是的,到目前为止,我不得不说三分之一……
的路程,它进展得很好,它非常有创意,它绝对是……所以当你读到75%的时候,你会想,好吧,这工作量很大。你真的在你的科幻小说中得到了这一点。
你必须经历他们所说的“苦差事”。是的,“苦差事”从来都不是一件有趣的事。我们在……
那个有酒精的,然后是另一个……无论是什么……我不记得那个星球上的所有孩子,他们到处跑,知道发生了什么……好吧,彼得……
写一本一千页的小说并让它一直保持下去很难。
是的。好吧,我们仍然喜欢它。
我们确实喜欢。谢谢,吉布森先生。祝你本周过得愉快。我们下周见?
不,但是……《Security Now》。