runC 严重漏洞，使用容器的快打补丁；辩论界人机大战，人类获胜

会员服务 ·

runC 严重漏洞，使用容器的快打补丁；辩论界人机大战，人类获胜

2019 年 2 月 13 日 技术最前线

(给技术最前线加星标，每天看技术热点)

转自：开源中国、solidot、cnBeta、腾讯科技、快科技等

【技术资讯】

0、runC 严重漏洞，使用容器的快打补丁

runC 是 Docker，Kubernetes 等依赖容器的应用程序的底层容器运行时，此次爆出的严重安全漏洞可使攻击者以 root 身份在主机上执行任何命令。

容器的安全性一直是容器技术的一个短板。关于容器最大的安全隐患是攻击者可以使用恶意程序感染容器，更严重时可以攻击主机系统。2月11日，安全研究员通过 oss-security 邮件列表披露了 runc 容器逃逸漏洞的详情，而这个漏洞可能让上述情况发生。

runC 由 Docker 公司开发，现在已作为 OCI 规范被广泛使用。如果你正在使用容器，那么有很大的可能是在 runC 上运行它们。此次爆出的漏洞允许恶意容器覆盖主机上的 RunC 二进制文件，以在主机上获取 root 级别的代码执行，让攻击者能够以 root 身份运行任何命令。

攻击方式是将容器中的目标二进制文件替换为返回的 runC 二进制文件，攻击者可以通过附加特权容器（将其连接到终端）或使用恶意镜像启动并使其自行执行。但是 Linux 内核通常不允许在 runC 执行过程中主机上的 runC 二进制文件被覆盖。

这时候攻击者可以使用 O_PATH 标志打开/ proc / self / exe的文件描述符，然后继续通过/ proc / self / fd / <nr>重新打开二进制文件O_WRONLY并在一个单独进程中的繁忙 loop 里尝试写入。Sarai 解释说，最终，当 runC 二进制文件退出时攻击就成功了。

红帽的容器技术产品经理 Scott McCarty 警告大家：

runC 和 Docker 中安全漏洞（CVE-2019-5736）的披露说明了许多 IT 管理员和 CxO 面临着糟糕的情况。容器代表向共享系统的转变，其中来自不同用户的应用程序都在同一 Linux 主机上运行。利用此漏洞意，恶意代码可能会肆意蔓延，不仅影响单个容器，还会影响整个容器主机，最终会破坏主机上运行的成百上千个容器。像这种影响各种互连生产系统的级联漏洞可能会成为企业 IT 的世界末日场景...... 而这正是这个漏洞可能产生的结果。

大多数云容器系统都容易受到这种潜在攻击。除了 runC，报告还说明了这个漏洞还可能会影响到 LXC 和 Apache Mesos。如果你正在运行任何类型的容器，需要尽快打补丁。该安全研究员已经 push 了一个 git 提交来修复这个漏洞。另外，Docker 刚刚发布的 18.09.2 版本也修复了该漏洞；Linux 发行版 Debian 和 Ubuntu 正在修复该漏洞。AWS 和 Google Cloud 已发布安全通知，建议客户更新各种受影响服务的容器。

McCarty 表示，这不是第一个主要的容器运行时安全漏洞，也不会是最后一个。

就像去年 Spectre/Meltdown 代表了安全研究从软件架构向处理器架构转变一样，我们应该期待 runC 这样的低级别容器运行时和 Docker 这样的容器引擎，现在也会受到研究人员和潜在恶意行为者的额外关注。

1、辩论界人机大战：IBM 人工智能和人类辩手几乎平手

据外媒报道，IBM 的人工智能辩论系统 Project Debater 今天挑战了2016年世界辩论赛和2012年欧洲辩论赛冠军哈利什·纳塔拉简（Harish Natarajan），辩题是学前教育补贴问题。

（图片来自：Khari Johnson / VentureBeat）

此次辩论，Project Debater 为正方，纳塔拉简为反方，都是在赛前15分钟才被告知辩论题目。此次辩论现场有超过50%的听众在辩论后的投票中认为 Project Debater 充实了他们在这个话题上的知识，而纳塔拉简的得票数只有20%。另外，双方在说服听众改变观点方面似乎打成平手——辩论赛结束后，17%反对学前教育补贴的听众改变了观点。同时，有17%支持学前教育补贴的听众也改变了观点。

Project Debater 认为，学前教育补贴可以惠及穷人，培养更好的学生，还能减少犯罪率。他还引述了美国国家早教研究所以及疾控中心的众多信息。做人类认为道德上正确的事情，是 Project Debater 在自由辩论阶段的核心观点。持相反立场的纳塔拉简则认为，学前教育补贴可以花在其它地方，用于帮助最弱势的群体，毕竟学前教育补贴往往是瞄准中产阶级的。

最后的 best debater，属于人类代表纳塔拉简。在此次辩论之前，纳塔拉简和 Project Debater 从未有过交谈。据了解，IBM 的研究人员使用报刊杂志、维基百科和其它来源的海量句子对 Project Debater 进行训练，沃森人工智能对话系统则负责在此过程中把语音转换成文字。

这也是继围棋和游戏等项目之后，人类与人工智能对战的最新领域。

2、TensorFlow Lite 支持移动 GPU

最近，开源机器学习框架 TensorFlow Lite 更新，新版更新支持了 GPU。

支持 GPU 原因

虽然移动设备的处理能力和功率都有限。虽然 TensorFlow Lite 提供了不少的加速途径，比如将机器学习模型转换成定点模型，但总是会在模型的性能或精度上做出让步。而将GPU作为加速原始浮点模型的一种选择，不会增加量化的额外复杂性和潜在的精度损失。

随着 TensorFlow Lite GPU 后端开发者预览版的发布，将能够利用移动 GPU 来选择模型训练 (如下所示)，对于不支持的部分，将自动使用 CPU 进行推理。

新的后端利用了：

OpenGL ES 3.1 在 Android 设备上计算着色器
iOS 设备上的金属计算着色器

目前 TensorFlow Lite 仍使用 CPU 浮点推断进行人脸轮廓检测 (非人脸识别)。未来会利用新的 GPU 后端，可以将 Pixel 3 和三星 S9 的推理速度提升 4~6 倍。

GPU 与 CPU 性能

在Pixel 3的人像模式（Portrait mode）中，与使用CPU相比，使用GPU的Tensorflow Lite，用于抠图/背景虚化的前景-背景分隔模型加速了4倍以上。新深度估计（depth estimation）模型加速了10倍以上。

在能够为视频增加文字、滤镜等特效的YouTube Stories和谷歌的相机AR功能Playground Stickers中，实时视频分割模型在各种手机上的速度提高了5-10倍。

对于不同的深度神经网络模型，使用新GPU后端，通常比浮点CPU快2-7倍。对4个公开模型和2个谷歌内部模型进行基准测试的效果如下：

在更加复杂的神经网络模型上 GPU 加速效果最显著，这些模型本身更有利于 GPU 的利用，例如密集的预测 / 分割或分类任务。在小型模型中，加速效果效果可能略差，但 CPU 的使用可以降低内存传输固有的延迟成本。

另外，关于如何加速的问题——为了获得最佳体验，建议优化输入 / 输出张量复制和 / 或网络架构。有关此类优化的详细信息，可以在 TensorFlow Lite GPU 文档中找到。

【业界资讯】

0、谷歌保住 Safari 默认搜索引擎的代价：95 亿美元

根据高盛分析师本周的投资者备忘录可知，为了能够保住其在苹果 Safari 浏览器中的默认搜索引擎地位，谷歌在 2018 年可能已向苹果支付了 95 亿美元。这 95 亿美元几乎相当于苹果 2018 年营收的五分之一。苹果一直没有具体分拆其服务营收情况，这些服务包括 Apple Music、iTunes、App Store、iCloud 等。

根据分析师的计算，谷歌的贡献再加上苹果 App Store 的分成收入，这两项占比 2018 年服务营收的比例可高达 51%，毛利润方面更是高达 70%。

当然，如果今年苹果的新闻订阅服务和原创内容服务如约上马，那么谷歌的贡献就不再显得那么抢眼了。据称苹果已经酝酿多年，将在 2019 年推出全新的新闻订阅服务和原创影视内容服务。关于新闻订阅，最新的报道称苹果与出版商的谈判进展得不是十分顺利，原因是苹果提出的分成比例过高，主流出版商正在抵制苹果的方案。

1、谷歌为 Chrome 推出 12 款官方新皮肤

在 Windows 10 主题的带动下，第三方开发商也在积极为自家软件推出新主题。在近日，谷歌更是一口气为 Chrome 发布了 12 款新主题。

为满足用户对夜间模式需求，谷歌已经为其 Chrome 浏览器测试了黑暗模式一段时间。这次主题的发布，除了备受欢迎的黑暗模式（Just Black）外，还有一系列主题可选择，包括 Slate、Oceanic、Ultra Violet、Classic Blue、Banana、Black＆White、Honeysuckle、Rose、Serenity、Sea Foam、Marsala、高对比色彩、以及 Pretty in Pink 等。

用户在添加任何主题后，若要返回默认主题，可以单击菜单>设置>外观，然后单击“ 重置为默认值 ”。

2、豆瓣回应《流浪地球》评分异常：不存在高赞好评被买改差评

据环球科技网，对于《流浪星球》评分的异常快速变化，网友爆料称，豆瓣网友写影评时，先用高分积"赞"，然后改成一星，以此牟利。根据豆瓣电影工程师的统计，目前《流浪地球》的前500个热评(高赞评论)，仅有4位用户有过跨分数(非相邻分数)修改评分的行为：2人由三星修改为一星;1人由一星修改为三星;1人由二星修改为五星。

针对电影《流浪地球》评分异常，出现“五星短评改一星”的传闻，豆瓣回应称，并不存在“高赞好评被收买改为差评”的情况。豆瓣表示，目前在优化产品功能，修改评分后，修改前的“有用”（点赞）数据将被清零。（新浪科技）

觉得这些资讯有帮助？请转发给更多人

关注 技术最前线加星标，看 IT 要闻