本周要闻：微软官方确认部分 Windows 10 源码被泄露，容量大约 1.2GB；模块化系统终获通过，Java 9 预计 9 月发布；Gartner 公布 IaaS 云厂商报告，AWS 和微软依然是领军者，阿里巴巴、IBM 和 Oracle 紧随其后；苹果云备份服务宕机 36 个小时；勒索病毒卷土重来，安全事件频发为何故？

微软官方确认部分 Windows 10 源码被泄露 容量大约 1.2GB

微软 Windows 10 源代码的一部分本周被曝出泄露到了追踪 Windows 版本的爱好者网站 Beta Archive 上，微软在经过调查后向外媒 The Verge 确认，确实有来自共享源计划源代码的一部分被泄露，这些代码主要提供给 OEM 合作伙伴使用。此前有消息称大约 32TB 的数据被泄露，但实际上此次泄露的规模相对较小，大约 1.2GB。2004 年微软也曾遭遇 Windows 2000 的源代码泄露。

此次泄露的源码内容涉及 Windows 10 Mobile Adaption Kit、部分 Windows 10 Creators 以及 ARM Windows 10 版本的代码。目前 1.2GB 的源码包已经被删除，Beta Archive 所有者 Andrew Whyman 在提供给媒体的邮件中表示微软并没有要求网站删除代码，做出删除的操作是他们自己的决定。值得注意的是源码泄露事件发生在两名男子因为未经授权访问微软网络被捕的一天后，由于警方拒绝透露更多案件消息，因此两件事情是否有关联目前尚不得而知。

模块化系统终获通过，Java 9 预计 9 月发布

5 月份，Java 模块化系统在 JCP 执行委员会投票中未获通过。一个月之后，JCP 执行委员会再次投票，除了 Red Hat 弃权之外，其他均为赞同。

勒索病毒卷土重来，安全事件频发为何故？

在 WannaCry 勒索病毒事件发生之后的一个月，新一波勒索病毒卷土重来。据报道，这一波攻击影响到了包括乌克兰、西班牙、法国、俄罗斯和印度在内的多个国家。政府部门和企业的电脑被病毒锁定，只有在支付了比特币之后才能解锁他们的电脑。第一个报告受病毒攻击的消息来自乌克兰，包括国有银行、能源公司、交通部门和政府部门在内的计算机遭遇了病毒攻击。

一些安全专家表示，这波病毒比 5 月份的 Wannacry 攻势更加强烈。那个时候，数字安全专家就警告说，这些病毒有可能卷土重来，而且破坏力范围会更大。瑞士政府的报告和分析中心认为，这波攻击可能与 Petya 病毒有关，Petya 利用 SMB 漏洞进行攻击。在 2016 年，臭名昭著的 Petya 已经向人们展示过它的破坏力。德国信息安全局表示赞同这一观点。英国标准协会主席 Arne Schoenbohm 说，微软提供的补丁在一定程度上可以起到防护病毒的作用，但 Petya 利用了内部网络的管理工具进行攻击，即使哪些打过补丁的系统仍然会受到攻击。

Red Hat 收购 Codenvy 扩展 DevOps 工具的能力

Red Hat 宣布 收购 Codenvy，后者是一家云原生敏捷开发工具提供商。此次交易未披露财务条款。

通过对 Codenvy 的收购，Red Hat 增加了其开发工具的组合，为基于容器和基于云的应用提供了能力。Codenvy 将融入 Red Hat 的 OpenShfit.io 环境中，这是该公司在本月早些时候发布的托管开发环境的混合云服务。

Codenvy 是基于 Eclipse Che （开源云计算整合开发环境 IDE 和开发者工作区服务器）的产品。 Codenvy 将运行时、项目和 IDE 整合到一种云原生开发者工具中，使多个开发人员能够在同一工作区中进行协作。Codenvy 可以在通过 Web 浏览器访问的 Linux 容器中运行。

.NET Core 运行时和基础类库性能提升

微软宣布改进了.NET Core 运行时和基础类库的性能。虽然没有像改进 ASP.NET Core 的性能那样大肆宣传，但这些改进同样重要。

其中，以下 10 个方面的变化比较显著：集合、LINQ、压缩、加密、数学运算、序列化、文本处理、文件 I/O、网络和并发。至于任何一组性能变化如何影响具体的应用程序则取决于具体的使用模式。下面的讨论只列出了一些要点，让你对这些改进有一个大概的了解。其中有许多变化是基于开源 Pull Request 请求。这样，一些对于微软而言因为总体影响极小而不值得实现的重要修改就可以实现了。而这些修改对于很大一部分开发人员而言相当重要。

Gartner 公布 IaaS 云厂商报告，AWS 和微软依然是领军者

Gartner 发布了最新的 IaaS 云厂商魔力象限报告，AWS 和微软仍然是领军者，处于“领导者（Leaders）”象限，而 Google 处于“愿景者（Visionaries）”象限，阿里巴巴、IBM 和 Oracle 紧随其后。

2017 年的 Linux 内核防护依然脆弱

"Linux 内核 “社区” 对待安全的优先级并不高，虽然经历了 2000 年代的多次大规模漏洞利用事件但并没有让 Linus Torvalds 本人改变 "A bug is bug" 的哲学，由于 Linux 内核的安全问题逐渐影响到了 Android 和 IoT 设备，一次 华盛顿邮报的曝光促使了 KSPP（Linux 内核自防护项目）的成立，KSPP 是由 Linux 基金会旗下的 CII（基础架构联盟）管理，其吸纳了来自诸多大厂商（Google, RedHat, Intel, ARM 等）的工程师进行联合工作。可惜的是两年的时间过去了，KSPP 大多时候只是在重复的抄袭 PaX/Grsecurity 的各种特性以获得各自雇主那里的 KPI 和 credit，各种混乱的代码合并到了 Linux 主线影响了 PaX/Grsecurity 的正常开发，这也是 PaX/Grsecurity 关闭公开访问 test patch 的主要原因之一。

最近由 Qualys 曝光的 Stack clash 是一个古老的漏洞利用平面的工程化，这威胁到了几乎所有类 UNIX 系统（包括 GNU/Linux）的安全，当 Linux 内核 x86 的 maintainer 之一 Andy Lutomirski 问及 PaX/Grsecurity 是如何修复时 Linus 直接回复了 Grsecurity 是垃圾，有趣的是当 PaX/Grsecurity 的作者之一 Spender 曝光了一些内核最近的 silent fix 以后 Linus 居然 “邀请”PaX team/Spender 直接贡献代码到 Linux 内核代码，这是不大可能发生的，因为今天所谓的内核 “社区” 主要是由一帮大厂商的雇员组成，没有人有义务免费的贡献代码去帮助那些需要从雇主那里获得 KPI 的工程师。更讽刺的是， stack clash 的部分修复居然来自 PaX/Grsecurity 于 2010 年的代码，Linus 说 PaX/Grsecurity 是垃圾也等同于打 KSPP 的脸，因为 KSPP 还在继续抄袭 PaX/Grsecurity，而针对 Linux 内核的漏洞利用是否大规模被恶代使用只是曝光与否的问题。

此外，虽然 Stack clash 的 * EMBARGOED" 从开始到现在已经 1 个月，但至今 CVE-2017-1000370(offset2lib bypass) 仍然未修复，RedHat 网站上所谓的 "Under Investigation" 只是继续等待 Linux 主线内核的修复，或许要让 Linux 内核安全有所改善我们需要更多的 stack clash 和 DirtyCow 持续曝光。

Instagram 推出自动评论过滤器：用 AI 过滤垃圾消息

北京时间 6 月 30 日早间消息，Instagram 认为，人工智能可以帮助该应用对抗垃圾消息和不良信息。本周四，Instagram 发布了两款新工具。该公司表示，这有助于减少垃圾消息的数量，同时屏蔽内容和视频中的攻击性评论。

用户可以选择启用自动评论过滤器。如果在评论过滤器开启的情况下仍然出现攻击性评论，那么用户可以像以往一样直接向 Instagram 报告。Instagram 表示，评论过滤器目前仅支持英语，不过未来将支持其他语言。另一方面，垃圾消息过滤器可以自动清除英语、西班牙语、葡萄牙语、阿拉伯语、法语、德语、俄语、日语和汉语的垃圾消息。根据《连线》杂志的报道，这两种过滤工具的技术基础来自 Facebook 的人工智能系统。Facebook 于 2012 年以 10 亿美元收购了 Instagram，并将其内部技术迁移至 Facebook 的数据中心，因此 Instagram 使用 Facebook 的过滤技术是合理的。

Google 将停止扫描用户邮件内容

彭博社报道，Google 将停止扫描 Gmail 用户的邮件。用机器人程序扫描 Gmail 用户邮件内容以展示定向广告的做法曾引发了隐私方面的担忧。Google 的这一决定不是来自广告团队，而是来自云计算部门，旨在吸引更多企业级用户。Google 云计算部门销售名为 G Suite 的办公软件套装，其中包括了邮件服务。Google 扫描免费 Gmail 账号的邮件，不扫描付费的商业用户账号，但商业用户对此并不清楚。为了避免继续混淆，Google 决定停止扫描所有 Gmail 用户的邮件。Google 会继续在免费账号上展示广告，但不再是基于邮件内容，而是根据用户的搜索历史和 YouTube 浏览记录等信息。

37% 的人不喜欢语音助手：其中 Siri 最糟糕

北京时间 6 月 30 日早间消息，Adobe 周四发布的最新研究显示，虽然语音助手近几年大红大紫，但用户的实际使用体验并不算好。与机器人之间的对话有时令人感觉崩溃，如果你曾经为了关灯而向 Alexa 大声下达三次指令，肯定对此深有体会。 总体而言，这项研究有 37% 的受访者认为，与语音助手的互动“不好”或“糟糕”。给予其积极评价的人也达到 37%，剩余受访者将其描述为“还好”。Adobe Digital Insights 分析师塔玛拉·加夫尼（Tamara Gaffney）表示，语音助手的表现之所以差强人意，主要是因为苹果 Siri，这款语音助手领域的后进生拖累了消费者对整个行业的预期。这项研究也支持了他的论调：Adobe 对数十亿条社交媒体的评论进行研究后发现，所有语音助手中，Siri 得到的积极评价最少。

特斯拉聘请新 AI 研究总监，将深入强化学习领域

Elon Musk 聘请 Andrej Karpathy 担任 AI 研究总监，这或许表明特斯拉在自动驾驶发展方向上有了新的考虑。Karpathy 是可视化、深度学习、强化学习领域的专家。Karpathy 在可视化方面的专业知识无疑将成为特斯拉的重要资产，但他在强化学习上的经验或许更具战略意味。强化学习的概念源自动物的学习过程——动物总是通过不断重复来学会某个行为。在之前围棋界的“人机大战”中，以强化学习为核心的 AlphaGo 成功击败韩国棋手李世乭。在难以用编程提升 AI 时，强化学习成为了训练 AI 的有力方式。譬如汽车制造商希望自动驾驶汽车能够在极其复杂的交通状况中做出正确的判断，这是难以借助编程实现的，但通过强化学习，自动驾驶汽车将学会在充满挑战的情境下该怎么做。Karpathy 在他的博客中指出，虽然强化学习还不能完全适用实验室情境，但采用新的方法和现实数据之后，情况将有所改善。

吴恩达走上创业之路，新项目或与谷歌同场竞技

6 月 23 日，人工智能领域发生了两件大事：谷歌宣布成立新的风险投资基金，专门用于投资人工智能和机器学习领域的公司；几个小时后，人工智能和机器学习领域的权威学者吴恩达宣布成立创业公司。

谷歌的风险投资基金已经确定了其首个投资项目：为西雅图创业公司 Algorithmia 提供 1050 万美元的资金，该公司希望建立一个算法的应用商店，类似于苹果的 App Store，让所有公司都能更容易的利用机器学习这一工具，优化公司各类业务流程。

关于吴恩达这家神秘的 Deeplearning.ai，虽然目前资料不多，但是据业内人士预测，这家公司未来的方向似乎是要普及 AI 基础设施：对研究人员来说，好的 AI 基础设施可以大大提高其科研效率，对用户来说，则可以极大降低使用 AI 技术的门槛。这也是谷歌新项目想要达到的目标。

国内首个人脸识别登机系统启用

我国登机流程正逐步简化，继部分机场试水身份证登机后，6 月 28 日，南航宣布在南阳机场启用国内首个人脸识别智能化登机系统，旅客在登机口刷脸即可验证登机。南航集团党组成员、副总经理韩文胜介绍，该公司在南阳机场启用人脸识别智能化登机系统，是为南航在北京新机场及其他机场的智能化实施推广奠定基础。未来，南航将进一步推广此技术的实际应用。

苹果云备份服务宕机 36 个小时

6 月 29 日，苹果云备份（iCloud Backup）服务宕机已近 36 个小时，导致一部分苹果设备用户无法使用此服务，该宕机让用户无法创建新备份，也无法使用此前的备份。

苹果公司的系统状态网页显示，该公司的云备份服务自从美国太平洋时间周二上午 8 时（编注：北京时间周二晚 11 时）开始宕机，到为北京时间周四上午 9 时 36 分仍未恢复正常。苹果方面表示，由于此次云备份服务宕机，约有近 1% 的用户受到了影响，但考虑到有数百万用户在使用苹果的云备份服务，因此，受影响用户的数量可以忽略不计。

不过，苹果公司目前为止仍未能明确这次云备份服务宕机的具体原因，可以想像的是，苹果工程师目前肯定在努力解决这一问题。另外，截至发稿时，苹果方面仍未就此次宕机时长发表评论意见，也未说明会在何时解决好这一问题。