Search

THINK BIG

On Every Little Thing | www.ruan-yang.com

Category

Opinion

Be Careful What You Wish For

(立Flag,晚点会写个中文版的。) I went back to China last month only to find myself acting like a redneck and completely overwhelmed by the use of smartphone in everyday life. The minute I crossed the border I noticed that everybody was clicking virtual... Continue Reading →

大家都在谈人工智能,你有没有想过那些行业大佬不会告诉你的隐忧?

我敢跟你打赌,在过去的几周内,你的微信公号推送、新闻头条、微博等等一定或多或少地出现过以下这些词: 人工智能(Artificial Intelligence, AI) 机器学习/深度学习(machine learning, deep learning) 智能xx (smart xx),如智能家居、智慧城市 AlphaGo/Libratus/机器人 似乎从2016年特别是下半年开始,这些词就占据了各大媒体、咨询报告、行业会议等版面。比如谷歌启用AI提供翻译服务;百度裁撤医疗事业部专心布局AI,挖来前微软智能机器人“小冰”负责人之一的陆奇,与同曾在小冰团队的景鲲双双掌管“度秘事业部”;华为成立了过百人的团队研发AI助手;腾讯砸钱搞了个人工智能实验室等等。近来诸如《纽约时报》发文预言“中国人工智能赶超美国不是梦话”,第31届AAAI人工智能大会为了不与中国春节冲突而改期等新闻更是顺势推高了一众专家、媒体人、网络写手、看客对AI的热情。 然而,那句老话怎么说的来着——步子迈大了小心扯着了蛋。AI总体上来是好事,是不可逆转或阻挡的发展趋势,但私以为在期待科技为我们(懒人)的生活带来便利、推动经济发展的同时也应该冷静下来弄明白AI会给带来哪些影响,这个行业应该怎么发展才能尽可能地避免扯蛋。 AI到底是个啥? “人工智能”一词最初是在1956年达特茅斯(Dartmouth)学会上提出的。人工智能(Artificial Intelligence)可以分为两部分,即“人工”和“智能”。“人工”比较好理解,争议性也不大。什么是“智能”就很难有个统一的定义了。看过《西部世界》(West World)的朋友估计都会对剧中的机器人与人类相似之高印象深刻,这其中就包含了“智能”一词的思考:是意识(consciousness)、是自我(self)、是思维(mind)(包括无意识的思维)还是其他?这个就不止是科技问题而是哲学思考了, 有时间咱们下回再辩。 AI是计算机科学的一个分支,但为什么计算机出现了整整70年后我们才开始讲它呢?简单来说,就是直至今天,计算机运算才足够快,我们对神经网络的认识和应用才足够深,以应用到这个分支中。AI能够成功的一个很大因素是机器学习(machine learning)和深度学习(deep learning)。目前AI领域的研究并且开始已投入商业应用的包括机器人、语言识别、图像识别、自然语言处理和专家系统等。 鸡汤大师及互联网行业大佬李开复老师举过这么一个例子:“如果我们有很多笑脸,然后我们把笑脸的像素输入到一个神经网络里面去,最后你那儿希望让机器能识别这是姚明,那是马云,但是因为你这个深度学习的网络很深,要一次性学会这么多也会比较困难,所以就需要用到一个比较快速收敛的技巧——自我学习。通过自我学习,机器会逐步从大量的样本中逐层抽象出相关的概念,然后做出理解,最终做出判断和决策。” 一言以蔽之,也就是AI下机器要像人一样可以自我学习,而无须程序员们一步一步地教,一行一行代码地码。 大数据让AI强大,但不得不说其背后的隐私隐忧 但创造出强大AI的毕竟是人。“性感”的AI背后是那些非专业人士看不懂的复杂的代码,是哪怕专业人士都无法接触到的算法,是各公司和机构不愿意轻易公开的运行规则。而这恰恰是问题所在。 我们多多少少都有过这样的经历:刚刚在网上搜索了“健身餐”,很快你浏览的各种网页和社交媒体就会出现“无烦恼减重”、“营养无害代餐粉,21天轻松瘦身”、“健身房促销”等等为你“量身订造”的广告;你收藏或点赞了某一类图片,不久就有相似的产品或网页推荐给你…… 这种推广方式有个很美的名字叫“精准营销”,而这在某种程度上得益于AI以及其背后基于对我们公开信息、网上痕迹乃至个人隐私等数据收集,问题在于很多时候,这些收据数据、记录上网痕迹的行为并没有得到用户同意。 大公司收集了什么用户的什么数据,怎么保存等,这是AI的第一问题。当你为了在蚂蚁花呗拿到高1000块的信贷,或仅仅为了给朋友晒晒你700多800多的“芝麻信用”而给支付宝提供你的教育、收入、财产、住址等信息时,你有没有想过支付宝将来会如何利用这些庞大的分分钟能变现的数据?拥有这些信息的公司会不会选择与有关部门或机构分享这些能追溯到亿万个人的数据,甚至在自家数据库建立一个“后门”,让有关机构随时能调取信息?或者退一万步说,它能不能安全地保护这些高度敏感的用户数据? 老司机们都知道“社工库”等行话吧?就是那么个意思。随手附上南都前不久出的报道:《记者700元就买到同事行踪,包括乘机、开房、上网吧等11项纪录》。 还有那些被关在“黑盒子”里的算法 第二个问题关乎AI原理的——算法及其透明度。大公司某一个AI应用背后的算法有什么规则,这些规则会带来什么样的可预期或不可预期的后果是我们需要注意的因素。 AI之所以发展如此迅速,很大一个原因是全世界几乎各个政府都对它表示全力支持。AI其中一个的应用正是安防、城市规划、情报等行业。这总体来说是个好事,比如杭州的“城市大脑”,想象如果它如果能够成功实时有效调配红绿灯以解决拥堵等问题,真是大好不过。或者将数据整合用于城市治安管理,也是有裨益。 但是如果我们仅仅依靠算法和所谓的大数据管理城市,很可能出现“选择性治安管理”等现象。由于算法甚少考虑情感、文化、社会等因素,如果完全信赖算法,很有可能那些所谓的“新疆多小偷”,“广西多出砍手党”,“远离河南人”等“地域黑”、“族群黑”玩笑就不再是玩笑,而是被当作数据之一来分析哪些人聚居的哪些地区执法部门应该“多加关注”。 事实上,目前国外许多城市政府(特别是美国)首先想到要应用AI不是城规,而是安防,针对国内民众特别是爱“上街”群众的那种。比如美国有个叫Taser的公司前段时间就推出了人工智能身体相机,专售政府部门,警察戴上这个相机,不仅可以实现随时随地对任何人事物拍照摄录,更能在诸如群众游行的时候,开启人脸识别等智能功能,说来就来,问你怕未。 再次利申,本人十分支持发展AI,也能期待它为我等懒人的生活带来便利。但在围观各大公司和行业大佬给我们展现一个看似百利而无一害的“黑科技”未来的同时,政府部门也应该及时修订法律法规,第三方监管机构、国际组织等也应该监督这些公司增加透明度,以防出现上述种种问题。

小心,黑客就在你身边!内附四个增强网络安全的tips

上周五,Dyn公司的域名服务器系统(DNS)遭到黑客攻击,导致美国东岸地区的网络瘫痪长达11小时,受影响的公司包括Twitter、Spotify、Netflix、Amazon、Tumblr、Reddit、PayPal等知名互联网大佬,以及其它使用Dyn Inc.服务器的公司。 调查发现黑客利用Mirai恶意程序感染的IoT僵尸网络发起攻击,或者说Mirai僵尸网络至少是发起本次攻击的一部分。Mirai恶意程序主要就是以类似路由器、DVR、安全摄像头之类设备为目标的恶意程序。 很多人不知道,这个恶意程序的源码造就被公布在网上,咱们自己也可以查到Mirai僵尸网络的分布情况。貌似目前已有至少120万IP受到Mirai感染, 而这其中,有我大中国公司的产品,主要报道中国杭州雄迈科技公司(Xiongmai)销往美国的DVR和IP摄像头。这家公司周日发了一封公开信,承认他们生产的设备“无意间”参与了本次攻击。产品中的默认密码成为安全缺口,造成了雄迈科技的DVR和IP摄像头被Mirai感染。 也就是说,很多用户在首次使用设备的时候根本没有改默认密码,即便那些密码可能是“1234”、“0000”、“password1”等一下子就能破解的组合。 咱中国用户虽然没有亲身感受到周五那场网络瘫痪的可怕,但网络安全越来越成为而且也应该成为我们生活中重要部分。不管你是普通人,还是像当年shi tao被雅虎卖了的常年和“境外反动势力”打交道的journalists, activists, civil society groups等,都应该习得一技旁身,以免哪天一不留神就被你的互联网运营商(ISP),那些给你提供邮件服务的互联网大佬,乃至你家一个小小的智能设备给卖了。 所以,具体有哪些途径可以尽可能地保证我们在网络上的个人隐私和信息安全呢?Well,以下是我学到的几点的,大家按需拿走。 一、使用加密的聊天软件 个人感觉这一点对那些常年与每咸对象打交道的记者、律师比较重要。首先你要保证你和对方的通讯是私密、安全的。要做到这一点,你要确保(1)你的设备没有感染恶意软件(有关啥是恶意软件,可以随便看看我之前给老板翻译的网络安全入门手册),(2)正在和你通讯的那个人是你想要联系的人(别小看这一点),(3)你用的聊天软件有点对点加密(end-to-end encryption,感兴趣的自己百度一下)。 基本上,据我所知,除了iMessage以外的短信,基本的家庭或手机通话,都是没有点对点加密的,也就是说,只要有心,谁都可以偷看偷听你的短信和电话。 目前,市面上比较好的加密的聊天软件都有: - Signal(斯诺登本人强势推荐啊):免费的聊天软件,信息和语音都被加密,iOS和安卓都能用,有移动和桌面版。 - WhatsApp:由于种种原因,这个貌似不适用于敝国。Anyway,如果你人在国外,又懒得下载其他聊天软件,WhatsApp就蛮够的,也是安卓和苹果通用,有移动和桌面版。但个人也不喜欢WhatsApp,此物前几周修改了自己的服务协议,如果你不小心点了“同意”,那么恭喜你,WhatsApp将不遗余力地把你的数据与非死不可共享,美其名曰”让服务更个人化“。 - Zom:极其小众的软件,敝国能用,不聊太多背景了,大家知道有这选择就好。 二、安全使用你的邮箱 首先的首先,不要点那些钓鱼邮件!听起来很简单有没有?听起来傻子都知道不要点那些垃圾、钓鱼邮件是不是?Well,呵呵……Easy said than done. 要知道,连希拉里竞选经理John Podesta这样的大腕儿也栽在了钓鱼邮件上。插播一则小故事,话说Podesta某天收到了来自“Gmail”的“官方邮件”,告诉他他的邮箱账号存在风险,必须马上重置密码,然后Podesta二话不说就点了“重置密码”的链接,然后的然后,就是有了维基百科”十月惊奇“事件……什么”重置密码“,”确认身份“之类的邮件,三思而点啊各位! 第二,如果你想通过邮件讲很重要的内容,请一定要用加密邮件。怎么实现呢?先去申请一个PGP(全程是Pretty Good Privacy,简单来说就是密钥),并叫上你要发邮件的对象也申请一个,在且仅在两个人都有PGP并互相认证了对方的PGP的情况下,你的加密邮件才能被正常阅读。至于怎么设置PGP,网上应该有很多教程,如果嫌阅读太麻烦,随便搜个教学视频看就好。 提一句,像Gmail这些邮件提供商的官方页面都不支持发送加密邮件或者解密邮箱,我个人用的是Thunderbird软件,自带PGP管理系统,so far so good。 三、用“复杂到阿妈到不认得”的密码 上周五震惊互联网界的黑客事件其实就是黑客利用了许多用IoT设备的普通用户没有修改默认密码或者使用非常容易破解的密码,哪怕你前几步都懒得做,管好自己的密码总是需要滴吧。... Continue Reading →

今日,半个美国遭遇网络瘫痪

相信关心这一行的人都听说了,10月22日美国发生了一件大事——提供动态DNS服务的Dyn公司报告遭到DDoS攻击,其下美东地区的网络服务大规模瘫痪,攻击导致许多使用DynDNS服务的网站遭遇访问问题,其中包括鼎鼎大名的GitHub、Twitter、Airbnb、Reddit、Freshbooks、Heroku、SoundCloud、Paypal、Playstation Network、 CNN、Etsy、 Squarespace、、 Spotify 和 Shopify等。最新消息是攻击者疑似WikiLeaks维基解密支持者,说是因为不满奥马巴政府向厄瓜多尔施压,导致厄瓜多尔政府在最近这几天限制了维基解密创始人、目前在厄瓜多尔避难的阿桑奇的互联网活动,直接给断了网。 听到这事儿的时候我简直炸了……要知道这可不是一两个网站因受攻击而瘫痪,而是提供服务的基础设施,互联网的主心骨在一个早上连续——不是一次,是连续两次——黑客成功攻击。想想互联网在我们生活中的重要性,那种感觉就像小时候想看电视、要赶作业啥的结果来了一个全是大停电,心塞。 话说回来,到底什么是DDos攻击?像Dyn这样提供互联网基础设施的大公司为什么也躺枪了?DDoS跟咱们有啥关系? DDoS(发音类似D - Dog-s)全程是Denial of Service Attack,直译过来是“拒绝服务攻击”,形象一点地就叫“洪水攻击”,是网络攻击的其中一种手法。根据维基定义,“其目的在于使目标电脑的网络或系统资源耗尽,使服务暂时中断或停止,导致其对目标客户不可用。”用白话说,就是往目标服务器砸各种垃圾、无用数据,服务器短时间内无法承载如此大量的数据请求,进而运行缓慢、中断乃至停止,最终导致其他所有用户都无法使用正常使用某网站或该目标提供的服务。 在今天早上针对Dyn的攻击中,黑客主要利用DDoS攻击Dyn公司的DNS管理系统,即域名系统。互联网上每一个网站、网页都有自己对应的IP地址,由于历史和现实原因,IP地址长得非常抽象(诸如192.222.210.00,相信很多学校内网的地址看起来都这样),除非所有用户都像《最强大脑》那帮神人,不然基本没谁会记得成千山万亿网页的地址。 有了DNS就好办了,说白了DNS就好比是互联网版本的电话簿或联系人表,有了这个系统,咱们就不需要记着老王具体的8位或者13位数的电话话吗,而是随便一翻“老王”这个人,按个健,这电话就拨出去了。每次咱输入一个正常人能看懂、好记的网址,如www.zhihu.com 或者www.ruan-yang.com, 你的浏览器就会自动把这个地址通过DNS系统自动翻译成对应的IP地址,然后把你带到相应的网站。 正常情况下,这套“翻译系统”万试万灵,因为在同一时间内请求访问某网站或某服务器的用户总是在相应可控范围内,一般大公司都能应对。但如果像今天早上这一波攻击,黑客恶意利用DDoS以及一些受感染的所谓的“僵尸网络”(botnet)时,麻烦就来了。黑客可以将你或者我的,乃至成千上百万台个人电脑受感染,组成成一个个控制节点,利用你我手中的电脑向Dyn之类的目标发送垃圾数据包,最终导致网站瘫痪。 DDoS有多普遍?会对我们造成威胁吗? 首先,不论是哪种网络公司,不管我们是谁,任何人都面临着或大或小的网络风险。 史上第一个受到DDoS攻击的公司可能是美国纽约互联网服务提供商(ISP)Panix。1996年9月12日,Panix遭到实用伪造源IP地址的DDoS攻击,结果导致大部分邮件、新闻、网页服务等无法正常运营。时至今日,DDoS已经成为最普遍、最常用的攻击手法之一。有数据表明,在黑市上,用低至150美元就可以雇人进行长达一周的DDoS攻击,平均每天有两千次DDoS在世界范围内上演,三分之一的网络瘫痪事件都与DDoS有关。 最直观的DDoS攻击的后果就是经济损失。2001年前后,一系列DDoS攻击事件让雅虎、eBay、Amazon等网站长时间中断服务,涉及的经济损失达数百万元。类似的事件不胜枚举。 近年来,DDoS不仅越来越普遍,而且越演越烈,规模越来越大:从2010年DDoS攻击规模首次突破了100 Gbps,到2013年全球最大反垃圾邮件非营利组织Spamhaus受到的300Gbps DDoS攻击,到2015年最后一天,BBC网站承受的世界纪录级别602Gbps流量的DDoS攻击,每个“世界纪录”被打破的时间越缩越短。 值得关注的是,2010年以来,DDoS攻击似乎有逐渐从牟利为主转变为部分群体表达政治诉求、意识形态以及抗议的常用手段。 2010年,Visa,万事达MasterCard和贝宝Paypal都遭遇了DDoS,攻击者是现在大名鼎鼎的“匿名者”(Anonymous)团体,后者为报复这三家金融机构封锁WikiLeaks的账户并取消相关金融服务,对其发动DDoS攻击,并讽刺性地将那场攻击形成命名为“Operation Payback”。 2015年的那次针对BBC的攻击则由黑客组织“新世界黑客”(New World Hacking)发起。该组织成立于2012年,是一个仅仅有12人的团队,据说是8男4女,组织成员自称曾对抗ISIS。 再比如这次的Dyn事件就疑似是阿桑奇和维基解密的“死忠粉”所谓。(好玩的是维基解密自己在推特上跳出来呼吁攻击者“停止攻击,你已经成功表达了自己的观点”。) 我们作为一介网民可以怎么应对? 在所谓的“物联网”(Internet of Things)这个概念下,路由器、数码相机、电脑乃至智能家电能越来越普遍,虽然给我们带来了便利,其实也有着极其大的潜在风险。由于这些设备一般需要密码登陆,而普通网民一般不会使用密码管理工具(强势插入一句,我个人非常建议大家用密码管理工具,有空专门写篇短文讲讲),不是用厂商默认密码就使用自己脑海中记住的不停重复使用的几个密码。这些密码其实非常容易被黑客猜到,也非常容易遭到DDoS。 前段时间,黑客利用Mirai 僵尸网络,使用了 61... Continue Reading →

When Dealing with China, Canada’s A-game Lies At Home

 Chinese Foreign Minister’s recent angry rebuttal at a Canadian reporter over a question about the country’s human rights record have triggered nationwide debate in Canada. Hardliners are quick to take the chance and emphasize that Canada ought to “regain its... Continue Reading →

Blog at WordPress.com.

Up ↑