美国军方担忧开源软件被敌对势力操控

美国军方担忧开源软件被敌对势力操控 可以毫不夸张地说，整个世界都是建立在Linux内核之上的尽管大多数人从未听说过它。... 内核也是开源的，意味着任何人都可以编写、阅读和使用其代码。这让美国军方的网络安全专家感到非常担心。它的开源性质意味着Linux内核连同其他许多关键的开源软件都暴露在敌对势力的操纵之下，而我们对这种操纵的方式还不甚了解。 现在，美国军方的研究部门DARPA希望了解使这些开源项目运作的代码和社区的碰撞，以便更好地了解它们面临的风险。其目标是能够有效地识别恶意行为者，并在为时过晚之前防止他们破坏或损坏至关重要的开源代码。DARPA的 "SocialCyber "计划是一个为期18个月、耗资数百万美元的项目，它将结合社会学和人工智能方面的最新技术进展，绘制、理解和保护这些大规模的开源社区和他们创造的代码。它与以前的大多数研究不同，因为它结合了对开源软件的代码和社会层面的自动分析。 以下是SocialCyber计划的运作方式。DARPA与多个所谓的 "执行者 "团队签订了合同，包括具有深厚技术实力的小型精品网络安全研究机构。总部设在纽约的Margin Research就是这样一个执行者，它为这项任务组建了一支备受尊敬的研究团队。Margin Research专注于Linux内核，部分原因是它是如此之大，如此之关键，在这里成功，在这种规模下，意味着你可以在其他地方成功。我们的计划是分析代码和社区，以便将整个生态系统可视化并最终理解它。 Margin的工作映射出谁在为开源项目的哪些具体部分工作。例如，华为目前是Linux内核的最大贡献者。另一个贡献者为Positive Technologies工作，这是一家俄罗斯网络安全公司，和华为一样，已经被美国政府制裁了，Aitel说。Margin还绘制了由NSA雇员编写的代码，其中许多人参与了不同的开源项目。"这个话题让我很难受，"德安托万谈到对更好地了解开源运动的追求时说，"因为，说实话，即使是最简单的事情，对这么多重要的人来说也显得如此新颖。政府只是刚刚意识到，我们的关键基础设施正在运行的代码，可能真的是由被制裁的实体编写的。就在此时。" 这种研究还旨在发现投资不足即完全由一两个志愿者运行的关键软件。这比你想象的要普遍 如此普遍，以至于目前软件项目衡量风险的一种常见方式是 "总线因素"。如果只有一个人被公车撞了，整个项目会不会崩溃？ SocialCyber也将处理其他开源项目，例如Python，它 "被用于大量的人工智能和机器学习项目"，报告指出。"希望更多的了解将使我们更容易防止未来的灾难，无论它是否是由恶意活动造成的"。

七家开源基金会联合制定欧盟《网络复原力法案》的共同标准

七家开源基金会联合制定欧盟《网络复原力法案》的共同标准 据估计，当今70% 至 90% 的软件都是由开源组件组成的，其中许多都是程序员利用自己的时间和资金免费开发的。近两年前，《网络复原力法案》首次以草案形式亮相，旨在为在欧盟范围内销售的硬件和软件产品编纂最佳网络安全实践。该法案旨在强制所有联网产品的制造商及时更新所有最新补丁和安全更新，并对不足之处进行处罚。这些违规处罚包括最高 1,00 万欧元的罚款，或全球营业额的 2.5%。该法案的最初版本引起了众多第三方机构的猛烈抨击，其中包括十多个开源行业机构，他们去年曾写过一封公开信，称该法案可能会对软件开发产生"寒蝉效应"。投诉的焦点集中在"上游"开源开发者可能要为下游产品的安全缺陷承担责任，从而使志愿项目维护者因担心法律报复而不敢开发关键组件（这与上个月通过的欧盟《人工智能法》引起的担忧类似）。CRA 法规中的措辞确实为开源领域提供了一些保护，因为从技术上讲，不关心其作品商业化的开发者可以免责。然而，对于"商业活动"的具体内容，这些措辞还有待解释例如，赞助、赠款和其他形式的财政援助算不算？最终对案文进行了一些修改，修订后的立法通过澄清开放源代码项目的不适用情况，实质性地解决了人们关注的问题。虽然新法规已经获得橡皮图章，但要到 2027 年才会生效，这就给了各方时间来满足要求，并理清对他们的期望的一些更微小的细节。而这正是七家开放源代码基金会携手合作的目的所在。许多开放源代码项目的发展方式意味着它们通常只有零散的文档（如果有的话），这就很难为审核提供支持，也使下游制造商和开发人员很难开发自己的 CRA 流程。许多资源较好的开源计划已经有了像样的最佳实践标准，涉及协调漏洞披露和同行评审等方面，但每个实体可能使用不同的方法和术语。通过团结一致，这将在一定程度上有助于把开源软件开发视为受相同标准和流程约束的单一"事物"。再加上其他拟议的法规，包括美国的《开源软件安全法案》，各种基金会和"开源管理者"在软件供应链中的作用显然将受到更严格的审查。Eclipse 基金会在今天的一篇博文中写道："虽然开源社区和基金会普遍遵守并在历史上建立了有关安全的行业最佳实践，但它们的方法往往缺乏一致性和全面的文档。开源社区和更广泛的软件行业现在面临着一个共同的挑战：立法提出了对网络安全流程标准的迫切需求。"新的合作最初由七个基金会组成，将由 Eclipse 基金会在布鲁塞尔牵头，该基金会拥有数百个开放源代码项目，涵盖开发人员工具、框架、规范等。该基金会的成员包括华为、IBM、微软、红帽和甲骨文。 ... PC版： 手机版：

苹果CEO库克再访华：力挺中国市场与供应链

苹果CEO库克再访华：力挺中国市场与供应链 在苹果静安零售店将开门营业的前一天，苹果公司CEO蒂姆·库克也现身上海，出席了一系列的活动，其中与演员郑恺的“外滩偶遇”词条冲上了微博热搜。库克在微博中写道，“侬好上海！今早与 @郑恺一起外滩漫步，并品尝一顿传统上海早餐。回到这座非凡的城市总是令我特别欣喜。”随后，库克与多家中国本土公司互动，其中包括发布了游戏恋与制作人的叠纸游戏，导演吕末的制作工作室，超即溶咖啡品牌三顿半，还有比亚迪、长盈精密以及蓝思科技在内的多家苹果供应商。在接受财联社记者采访时，库克表示：“这些制造行业的合作伙伴们，背后都有一段非常好的环保故事，比如使用太阳能、风能、可再生能源等。还有企业是采用了水循环的系统来减少生产制造过程当中的使用量。”“包括三顿半咖啡，他们使用的MacBook Air，也是使用了100%可再生铝金属。这些都是由于我们和中国伙伴紧密合作才可以实现的。”在参观咖啡品牌三顿半时，库克也谈到了Vision Pro未来的可能性，他看着设计师的屏幕表示：“如果使用Vision Pro来设计门店，将会容易很多。”中国市场与供应链不可或缺大中华地区一直以来都是苹果销售额占比前三的区域，而库克的上海行不仅是一次商业访问，更是一场中国本地元素满满的本地化营销。财联社记者发现，行程安排中除了零售门店之外，还安排了一些使用苹果设备的中国企业和高校机构，体现着对中国市场的重视。比如，库克前往的导演吕末的制作工作室，就采用iPhone 15 Pro Max拍摄并利用 MacBook Pro编辑剪辑了女孩追逐舞狮梦想的短片《点睛》。库克还在上海交通大学与移动应用创新赛和 Swift Student Challenge 的获奖者们会面、与使用苹果MacBook和iPad完成设计和门店销售工作的三顿半CEO吴骏交流产品环保理念等。业内普遍认为，相隔半年库克再次访华，也跟最近苹果在中国的销售表现疲软有关。根据最新的财报数据显示，第一财季苹果在大中华区的营收同比下降近13%，远低于市场预期的235亿美元，为2020年初以来最差的第一季度表现。此前Apple Store官方直营店几乎不会有任何降价促销活动，今年2月份罕见地推出了折扣来刺激消费，短期看效果不明显：调研机构Counterpoint Research数据显示，今年前六周，苹果公司在中国的iPhone销量同比下降24%。不过，苹果CFO卢卡·梅斯特里也表示，公司对于中国市场收入的下滑感到不满意，但是中国市场仍蕴含长期重大机遇。有业内人士对财联社记者表示，苹果一手打造的中国本土化供应链也是库克本次访华的重点。行程中，除了极具上海本地特色和中国本土文化的活动之外，库克接洽了供应链企业比亚迪、长盈精密以及蓝思科技，并且也分享了他对于“新质生产力”的认识。在库克看来，新质生产力是必不可少的趋势，也代表了制造的未来。特别是提到30年前他刚来中国的时候，工厂自动化水平还不高，很多人还没有关心绿色制造、可再生能源以及材料的回收利用等问题。反观现在的工厂现代化水平非常地高，工人的技能水平也得到了极大的提升。库克补充道：“但是如果放眼10年之后再回转头来看，可能就不觉得今天的现代化水平有多高了，因为我们会不断地去进步。”接受财联社记者采访，库克谈到制造行业的合作伙伴们时称，与每个合作伙伴背后都有一段非常好的环保故事，比如使用太阳能、风能、可再生能源等。还有企业是采用了水循环的系统来减少生产制造过程当中的使用量。“包括三顿半咖啡，他们使用的MacBook Air，也是使用了100%可再生铝金属。这些都是由于我们和中国伙伴紧密合作才可以实现的。”苹果此前提出，到2030年，苹果将实现所有产品全生命周期的碳中和，包括整个产品价值链（包括产品制造和产品使用）转用100%清洁电力。而记者获悉，库克提到的比亚迪、长盈精密以及蓝思科技这三家供应商目前都已经实现100%使用清洁能源为苹果生产。为Vision Pro加大在华投资2011年从苹果创始人乔布斯手里接过CEO之位后，库克每次访华，都会释放出商业信号和市场判断。库克去年内两次来华，在参观苹果零售店之后，还拜访了嘉兴的立讯精密工厂，并在北京与中国商务部部长王文涛和工信部部长进行会谈，讨论苹果公司在华发展和中美经贸关系。结合此前，苹果宣布扩大在中国的应用研究实验室，以支持产品的制造，以及库克接洽苹果供应链企业比亚迪、长盈精密以及蓝思科技。本次行程或许还与Vision Pro的硬件研发迭代以及内容制作密不可分。苹果曾在本月12日发布过一则新闻，称在深圳开设一个新的应用研究实验室，为整个区域的员工提供更有力的支持，并深化与本地供应商的合作。这一全新的实验室将增强对iPhone、iPad、Apple Vision Pro等产品的测试和研究能力。该应用研究实验室主要模拟在极端温度、剧烈运动等场景下的用户体验。财联社记者根据公开信息整理，比亚迪目前为iPhone、iPad、Apple Watch等多条产品线提供玻璃、结构件和组装业务 。其中，蓝思科技目前为iPhone等多条产品线生产玻璃、金属外壳等零配件，也是苹果Vision Pro的玻璃供应商之一。据了解，蓝思科技正在满负荷地生产这块玻璃。蓝思科技董事长周群飞此前在接受媒体采访时表示，苹果Vision Pro玻璃板是公司至今做的最难的玻璃，主要造型加工难。至于长盈精密，目前则为Mac、Apple Watch、Apple Vision Pro等多条产品线提供关键外观件等。长盈精密总经理陈小硕则表示，长盈精密是苹果在再生材料创新和应用方面的合作伙伴之一，已实现了使用百分百再生铝来生产Mac的外壳。此外，库克在接受媒体采访也再次强调中国供应链对苹果的重要性。他表示，苹果和中国供应链是非常融洽的双赢关系，对苹果供应链来说，没有比中国更重要的地方。硬件之外的软件生态方面，本次库克也接洽了一家游戏开发商叠纸游戏，该公司打造了暖暖系列和恋与系列游戏，包括大家熟知的《闪耀暖暖》《恋与制作人》。在今年1月份，叠纸游戏就发布了3D版乙女向游戏《恋与深空》。库克在微博上表示，未来叠纸游戏会推出更多Mac及Apple Vision Pro上的游戏。值得一提的是，库克去年同月也曾来到上海，并走访了游戏公司米哈游。今年2月6日，米哈游官方宣布，《崩坏：星穹铁道》将登陆vision Pro。财联社记者注意到，近期苹果官网上也发布了与Vision Pro相关招聘需求，其中包括销售和业务发展部门的简报体验专家（Briefing Experience Specialist, Apple Vision Pro）、硬件系统工程师、产品设计工程师等岗位。其中根据招聘信息，简报体验专家岗主要是将指导和管理面向企业观众的 Apple Vision Pro 产品和解决方案演示。为区域销售和渠道经销商团队提供内容、材料和计划。管理并为潜在客户和高管进行执行简报，重点关注业务具体成果。从招聘流程上来看，填补这些岗位大约需要一个月的时间。这条时间线以及这些职位列表的出现表明，苹果可能准备于4月底或5月初在更多国家/地区推出Vision Pro。 ... PC版： 手机版：

要把开源管起来 还要“一举两得”限制中国 加州SB-1047法案被LeCun骂惨了

要把开源管起来 还要“一举两得”限制中国 加州SB-1047法案被LeCun骂惨了 这位Dan Hendrycks是美国AI政策领域的后起之星，2023年被《时代周刊》评选为全球百大AI人物之一。博士毕业于UC Berkeley计算机科学系，曾发明GELU激活函数和神经网络鲁棒性基准。目前担任旧金山非营利组织AI安全中心（CAIS）主任和xAI的安全顾问。图：The Boston Globe作为SB-1047的重要参与者和推动者之一，Hendrycks一直在多个平台大力宣传该法案，提醒公众警惕先进AI带来的社会风险。他在Yann LeCun转发的这则采访中指出：人工智能将“从执行日常任务到摧毁整个宇宙”，它虽不懂人类是什么，但会寻求权力并表现得”自私”，而美国加大AI监管也会“一举两得”地扼制中国人工智能发展。此番言论马上被一大批科技人士痛批“bullshit”，对这个SB-1047法案也是深恶痛绝。因为它表面看似为增强AI模型安全性、透明度、促进公平竞争做出的立法努力，实则会让开发者背负沉重负担，很可能扼杀创新，给AI初创公司和开源社区带来巨大的负面影响。a16z合伙人Martin Casado称SB-1047“是一场灾难，会攻击AI创新，伤害研究人员、学者和创业公司。”什么是加州SB-1047法案？SB-1047 法案，全称为“前沿人工智能安全创新法案（Safe and Secure Innovation for Frontier Artificial Intelligence Act）”，由加州参议员Scott Wiener在今年2月首次提出。目的是“为大规模人工智能系统的开发和部署设立严格安全标准，以确保其安全性并防止潜在重大危害。”该法案针对超过10^26次浮点运算能力（FLOPs）和1亿美元训练成本，以及任何基于以上AI模型微调的、运算能力不少于3 倍10^25 FLOPs的智能系统。几乎把现在市面所有主流大模型囊括在内。主要内容包括要求开发者进行部署前的安全评估，实施强有力的网络安全保护，具备紧急关停模型的能力，提交年度合规认证，72小时内上报安全事件等。另外还要求开发者对其模型的下游使用或修改承担法律责任。换言之，但凡有人用你的模型做了“坏事”，你就要“连坐受罚”，跟古代皇宫里“株连九族”差不多意思。在开始训练之前，开发者需要保证他们的模型不会被用来或提供"危险能力"，并实施一系列保障措施来防止未经授权的访问或滥用，还必须要立下“书面字据”。一个新成立的“前沿模型司（Frontier Model Division）”将负责监督新法规的执行。它将隶属于加州技术部，由向开发者收取的费用和罚款来资助。向该机构虚假陈述模型能力可能会因伪证罪而入狱。同时条款明文写着“鼓励告密”，呼吁AI公司内部员工报告雇主的不合规行为，且不会因此而遭到报复不知为什么，总觉得这机构满满的反派感。目前该法案的进度是，已于5月21日在加州参议院获得两党支持通过，正在众议院审议中。6月20日刚进行了最新阅读和修订，计划7月2日举行听证会，并最终在8月进行议会投票。一旦投票通过，只需州长盖文纽森一个签名，SB-1047就将正式确立为加州法律，成为悬在所有硅谷AI从业者头顶的一把大刀。极限高压严管， SB-1047将怎样影响AI开发者？只通篇略读，就已经觉得这个法案槽点太多，群起反抗迫在眉睫。加州是全球人工智能的创新热土：坐拥学术重镇斯坦福大学、加州理工、伯克利、南加大、UCLA，是Meta、Google、微软等科技巨头和OpenAI、Anthropic这些业内领军企业的总部所在地，更别提遍地涌现的AI独角兽、技术实验室和开源社区。颁布这样一条法案弊远大于利，当然引来Yann LeCun等许多权威人士的严辞抵制。首先是“受管制模型” CEO、fastai库作者Jeremy Howard指出其定义方法过于宽泛，很可能把大量风险极小的开源模型包括在内，进而误将从事有益AI项目的善意开发者活动归为犯罪。a16z普通合伙人Anjney Midha认为，随着算法效率的提升和计算成本的下降， 10^26 FLOPs的阈值将很快覆盖比科技巨头开发的最大、最尖端模型多得多的模型，这将真正伤害到大批AI初创公司。而关于“1亿美元训练成本”的界定也十分模糊。它应该包括研究人员薪资吗？是包含历代模型还是只计算最终版本，模型对齐的人类反馈费用怎么算？若是从别人的模型微调而来，那基础模型的成本又是否涵盖在内？这些都是没有明确答案的开放性问题，给小型开发者带来巨大的应对负担。接下来是批判声浪最大也最荒谬，对模型开发者施加民事甚至刑事责任的22603条款。该细则要求开发人员在训练模型之前，必须采取一系列措施防止滥用，包括实施网络安全保护、关键时刻能不考虑用户紧急关停模型等。此外，存在潜在风险的模型不得用于商业或公共用途。开发人员每年要重新评估安全措施，提交合规证明。2028年开始必须获得第三方审计员的合规证书。还要评估模型是否可能导致“严重危害”，确保能够准确追踪其衍生行为及后果。由于上述疏忽而出现AI安全事故的话，第一开发者将负连带责任。也就是前面说过的，当素不相识的下游用户做出一些不法行为时，基础模型开发者将成为共同受罚的冤大头。好比让汽车制造商对每一起驾驶员造成的事故负责，简直离大谱。Jeremy Howard在评论中写道，“AI模型是计算机上运行的通用软件，就像计算器或网络浏览器。模型的创建者无法确保模型未来不会被用于有害用途，就像网络浏览器不能决定打开什么网页一样。”这也是SB-1047法案的根本缺陷 它不是专注于滥用和恶意用户，反而试图监管模型和基础设施，把如此繁重的负担放在了初创公司、创始人和工程师身上。DeepLearning.AI创始人吴恩达在X撰写长文，称“安全性是应用程序的属性，而不是技术或模型的属性….如果有机会，我希望您能加入发声，共同反对这一法案。”接着来到22604条款，对运营计算集群的人员来说，当客户使用其算力资源训练“前沿模型”时，要收集客户的身份信息、支付方式和联系方式，包括相关金融机构、信用卡号码、账户号码、交易标识符或虚拟货币钱包地址等。而且，还要保留客户的IP地址和访问记录长达七年，每年对用户行为和意图进行评估，也要在海关、边境总署备案。诸如这样不合理的责任条款还有很多，那它们带来的实际效果会是什么呢？a16z合伙人Anjney Midha认为，它将把先进AI开发推向地下或海外，“创始人将把公司业务转移到一个监管环境更明智的辖区，而加州甚至美国将失去这些机会，就这么简单。”并且由于合规成本的增加，企业或个人开发者在开源大模型权重上会非常谨慎。而开源一直是软件技术进步的关键推动力，提供了许多现代人工智能基本构建块。事实上，生成式 AI浪潮正是源自Google实验室的Transformer架构，然后由OpenAI 去开创和继续。Mistral和Meta们的开源模型对下由贡献不可估量，今天的一切都是开源合作的结果，而这项法案会大大减缓其发展。Yann LeCun解释说，“SB-1047 的级联责任制将使开源 AI 平台面临极大风险。没有开源 AI，就没有 AI 初创公司生态系统，也没有大模型的学术研究。Meta 会没事，但 AI 初创公司将会死亡。在我看来，这才是末日景象。”Y Combinator掌门人Gary Tan表示，“SB-1047将对加州的 AI 发展产生强烈的寒蝉效应。”Kentauros AI CEO 、前Red Hat高级架构师Daniel Jeffries认为这根本不是一项AI安全法案，而是一匹“特洛伊木马”。真正目的是让一小撮反AI极端分子拥有关闭先进AI的权力，同时给加州的科技产业制造麻烦。“不要让模型对别人的犯罪负责。没人因为安然公司有人用Excel诈骗投资者就惩罚微软，该惩罚的是安... PC版： 手机版：