风云变幻的2021年即将过去,供应链危机也成为这一年中最令人深刻印象的现实问题之一。数百艘集装箱船在港口滞留,商品迟迟无法送达,甚至某些重要的民生物资也出现了短缺。总之,市场需求已经全面超过了供给。
虽然供应紧张为华尔街带来了梦寐以求的高销售与高利润,但一个不为人知的威胁仍在阴影中若隐若现,甚至开始在整个云系统环境中显现。没错,云系统也拥有自己的供应链;在构建虚拟化的过程中、在虚拟化层上创建云容器时,必然需要一整套代码与软件供应链作为企业日常基础设施的组成部分。
最近,Unit 42发布的一份报告显示:
● 96%的第三方容器应用中包含已知安全漏洞
● 云基础设施之内,63%的第三方代码中包含不安全配置
目前,这些风险状况尚且处于早期阶段。但近期报告显示,风险无处不在且几乎不受控制。这些风险身处信任体系的核心,如同威力巨大的火药桶般随时可能转化为呈指数级扩散的实际影响。作为供应链的上游,容器环境更多地面向应用程序核心,一旦某次功能更新中出现了哪怕是极小的漏洞,问题范围也会快速扩展,给各种数据类型乃至软件本身的完整性造成现实威胁。
无论是令美国东海岸瘫痪多日的科洛尼管道公司黑客事件、还是威胁居民餐桌的JBS肉类包装厂遇袭,都应成为我们认真关注的供应链风险向量。必须接受新的现实是:在容器技术的影响下,我们正毫不自知地将遗留软件及隐患纳入新结构、新部署中。但这种风险难以检测,而且会威胁到整个DevOps部署环境与业务管道。而应对这类风险状况的一大前提,就是加强技术供应链漏洞的关注与分析能力。
信息技术必须重新回归对软件基础的分析、监控与保护。只有对整个部署流程中的每一个入口与出口进行认真评估、彻底审查、持续验证和监控,才有望克服这个潜在难题。
具体而言,IT部门需要在风险环境中做到:
● 如同拆解乐高积木般剖析应用程序与基础设施集合,逐一进行溯源、记录并根据需要采取行动。
● 着手推出自定义镜像与容器。
● 警惕第三方代码,包括市面上交付的各类虚拟机与云端镜像。
如今,DevOps已经成为新的运营常态,而各类企业也需要在这样的新常态下、对整个组织内的软件安全供应链做出深刻判断。就在一年之前,SolarWinds违规事件中出现了身份不明的攻击者,对方显然是打算借SolarWinds产品能够管理并直接访问客户基础设施的机会发动攻势。在信任的保护伞下,这类攻击有可能渗透进数以千计的第三方基础设施之内。
毫无疑问,利用SolarWinds这类第三方软件入侵企业用户群体的尝试让攻击者们发现了新可乘之机,这群网络犯罪分子们意识到授信软件源将成为他们通往受害者的捷径。而一旦更多授信第三方或企业软件源遭到劫持,也必然产生更多灾难性的影响。
这个问题现实、严峻而且即将出现,这需要各方付出巨大努力有望克服。
好文章,需要你的鼓励
在我们的日常生活中,睡眠的重要性不言而喻。一个晚上没睡好,第二天的工作效率就会大打折扣,而充足的睡眠不仅能让我们恢复精力,还能帮助大脑整理和巩固当天学到的知识。有趣的是,AI模型竟然也表现出了类似的“睡眠需求”。
DeepSeek-AI团队通过创新的软硬件协同设计,仅用2048张GPU训练出性能卓越的DeepSeek-V3大语言模型,挑战了AI训练需要海量资源的传统观念。该研究采用多头潜在注意力、专家混合架构、FP8低精度训练等技术,大幅提升内存效率和计算性能,为AI技术的民主化和可持续发展提供了新思路。
尽管模型上下文协议(MCP)自11月推出以来用户数量快速增长,但金融机构等监管行业仍保持谨慎态度。银行等金融服务公司虽然在机器学习和算法方面是先驱,但对于MCP和Agent2Agent(A2A)系统的采用较为保守。监管企业通常只使用内部代理,因为其API集成需要经过多年审查以确保合规性和安全性。专家指出,MCP缺乏基本构建块,特别是在互操作性、通信标准、身份验证和审计跟踪方面。金融机构需要确保代理能够进行"了解您的客户"验证,并具备可验证的身份识别能力。
加拿大女王大学研究团队首次系统评估了大型视频语言模型的因果推理能力,发现即使最先进的AI在理解视频中事件因果关系方面表现极差,大多数模型准确率甚至低于随机猜测。研究创建了全球首个视频因果推理基准VCRBench,并提出了识别-推理分解法(RRD),通过任务分解显著提升了AI性能,最高改善幅度达25.2%。