6月11日,OpenSSL发布了安全补丁,僵局被证明并非是正在酝酿中的灾难,但聪明的服务器管理员仍然希望尽快更新其OpenSSL的程序。这要归功于Linux基金会的核心基础设施倡议(CII)和NCC集团的帮助,终于其安全问题得到了解决。 OpenSSL也许是世界上最重要的与安全套接字层(SSL)和传输层安全(TLS)的支持Web安全库。
另一半打修复,最显著之一是为僵局。从AA问题的Diffie-Hellman密钥交换僵局窜出。的Diffie-Hellman是一种用于SSL和TLS商定一个共享密钥,并创建一个安全的连接流行的算法。从理论上讲,僵局攻击允许一个人在这方面的中间人(MITM)攻击者的网络降级到一个易受攻击的512位出口级暗号脆弱的TLS连接。在实践中,出现一直很少,如果有的话,成功僵局的攻击。
如果你今天更新的OpenSSL,你会不会担心明天的僵局。与此修复程序,OpenSSL的已通过拒绝握手与DH参数短于768位加保护TLS的客户。这个限制将提高到1,024位在将来的版本。在此期间,OpenSSL的1.0.2的用户应升级到1.0.2b和OpenSSL 1.0.1的用户应升级到1.0.1n。
所有这些问题都在Heartbleed或FREAK的水平。仍然,其中大部分可用于导致拒绝服务的攻击。此外,他们中的一个,它可以用来攻击老版本的OpenSSL,可能会导致内存损坏。
这种潜在的内存问题影响较旧版本的OpenSSL 1.0.1,1.0.0和0.9.8。此内存缓冲区命中问题的OpenSSL以下版本:
OpenSSL的0.9.8 DTLS用户应该升级到0.9.8za
OpenSSL的1.0.0 DTLS用户应该升级到1.0.0m
OpenSSL的1.0.1 DTLS用户应该升级到1.0.1h
其他的漏洞,虽然不严重,还是可以引起拒绝服务攻击,因而也应尽快修补。
展望未来,OpenSSL的问题提醒我们,对于OpenSSL的版本1.0.0和0.9.8支持将在2015年12月31日终止,这意味着这些版本将在该日期之后没有任何安全更新的支持。因此,这些过时版本的用户应尽快升级到一个新版的OpenSSL。
好文章,需要你的鼓励
谷歌发布数据共享模型上下文协议服务器,使开发者和AI智能体能够通过自然语言访问真实世界统计数据。该服务整合了政府调查、行政数据和联合国等全球机构的公共数据集。新服务旨在解决AI系统训练中常见的数据噪声和幻觉问题,为AI提供可验证的结构化信息。谷歌还与ONE Campaign合作推出数据智能体工具,该开源服务器兼容任何大语言模型。
这项由谷歌DeepMind研究团队完成的开创性研究首次系统阐述了AI智能体经济的概念框架。研究提出"沙盒经济"模型,从起源性质和边界渗透性两个维度分析AI智能体经济形态,预测未来将出现自然涌现且高度透水的AI经济网络。研究详细探讨了科学加速、机器人协调、个人助手等应用场景,提出基于拍卖机制的公平资源分配方案和使命经济概念,并深入分析了技术基础设施需求、社区货币应用以及相关风险防范措施。
微软宣布从周三开始将Anthropic的AI模型集成到其Copilot助手中,此前该助手主要依赖OpenAI技术。企业用户可在OpenAI的深度推理模型和Anthropic的Claude Opus 4.1、Claude Sonnet 4之间选择,用于复杂研究和构建定制AI工具等任务。此举标志着微软与OpenAI这对曾经独家合作伙伴关系的进一步松动。
中国人民大学研究团队提出LoFT方法,通过参数高效微调基础模型解决长尾半监督学习中的数据不平衡问题。该方法利用预训练模型的良好校准特性改进伪标签质量,并扩展出LoFT-OW版本处理开放世界场景。实验显示,仅使用传统方法1%的数据量就能取得更优性能,为AI公平性和实用性提供了新的解决方案。