DoNews8月15日消息（記者費(fèi)倩文）據(jù)路透社消息稱，美國(guó)無(wú)線運(yùn)營(yíng)商Sprint周二表示，已與手機(jī)制造商LG電子簽訂合作協(xié)議，將于明年上半年推出一款5G智能手機(jī)，也是作為美國(guó)第四大無(wú)線運(yùn)營(yíng)商的Sprint公司推出的首款5G設(shè)備。

LG手機(jī)將根據(jù)Sprint計(jì)劃中的5G網(wǎng)絡(luò)進(jìn)行定制，而且將僅與T-Mobile公司現(xiàn)有的4G網(wǎng)絡(luò)兼容。這款手機(jī)的價(jià)格和確切發(fā)布日期將在稍后公布。

Sprint此前曾宣布，將于2019年在紐約和洛杉磯等9個(gè)城市率先推出5G網(wǎng)絡(luò)。就用戶數(shù)量而言，Sprint是僅次于VerizonCommunications、AT&T和T-Mobile，美國(guó)第四大手機(jī)服務(wù)提供商。Sprint正在努力說(shuō)服美國(guó)反壟斷監(jiān)管機(jī)構(gòu)，批準(zhǔn)其與規(guī)模更大的競(jìng)爭(zhēng)對(duì)手T-MobileUS公司的合并，該交易涉及金額約260億美元。這兩家公司表示，二者的合并將有助于它們更快地構(gòu)建下一代無(wú)線網(wǎng)絡(luò)。預(yù)計(jì)下一代無(wú)線網(wǎng)絡(luò)最終將為自動(dòng)駕駛汽車等新技術(shù)的部署鋪平道路。（完）

DoNews8月15日消息（記者費(fèi)倩文）8月14日，滴滴出行旗下一站式汽車服務(wù)平臺(tái)小桔車服宣布收購(gòu)嗨修養(yǎng)車，原小桔維保事業(yè)部與嗨修養(yǎng)車合并為“小桔養(yǎng)車”，原維保事業(yè)部易銀波和嗨修養(yǎng)車創(chuàng)始人錢程共同擔(dān)任小桔養(yǎng)車負(fù)責(zé)人。

合并后的小桔養(yǎng)車旗下?lián)碛?8家線下店，覆蓋華東、華南、中西等7個(gè)城市。即日起將陸續(xù)升級(jí)門店形象，原嗨修養(yǎng)車的用戶將和小桔養(yǎng)車的用戶一起享受統(tǒng)一標(biāo)準(zhǔn)的正品、優(yōu)價(jià)、便捷的養(yǎng)車服務(wù)。

8月8日，滴滴公司宣布旗下汽車服務(wù)平臺(tái)正式升級(jí)為“小桔車服”公司，并對(duì)小桔車服公司投資10億美元。小桔車服的成立是滴滴洪流戰(zhàn)略落地的重要舉措，也是滴滴在支持新業(yè)務(wù)發(fā)展過(guò)程中機(jī)制創(chuàng)新的一次嘗試。

嗨修養(yǎng)車創(chuàng)立于2015年，是上海知名的汽車后市場(chǎng)O2O服務(wù)公司。經(jīng)過(guò)在車后維保領(lǐng)域的三年深耕，嗨修積累了數(shù)據(jù)化選址、標(biāo)準(zhǔn)化建店、供應(yīng)鏈管理、智能門店管理等核心能力，搭建了完整的互聯(lián)網(wǎng)+車后服務(wù)的模式。

小桔車服總經(jīng)理陳熙表示：“小桔車服和嗨修對(duì)于構(gòu)建車主服務(wù)生態(tài)擁有一致的理解和判斷、懷抱相同的興趣和夢(mèng)想。錢程、何煦和他們的團(tuán)隊(duì)在汽車后市場(chǎng)服務(wù)領(lǐng)域積累了深厚的經(jīng)驗(yàn)，其卓越的科技創(chuàng)新能力和系統(tǒng)化運(yùn)營(yíng)經(jīng)驗(yàn)將為小桔車服注入新鮮血液。今天，兩個(gè)團(tuán)隊(duì)合并夢(mèng)想，一起出發(fā)，進(jìn)一步為車主創(chuàng)造價(jià)值，讓每一個(gè)人擁有輕松車生活?！保ㄍ辏?/p>

11月6日，百度安全牽頭成立OASES智能終端安全生態(tài)聯(lián)盟。這是國(guó)內(nèi)第一個(gè)開(kāi)放的致力于AI生態(tài)安全的聯(lián)盟組織，引發(fā)了媒體、行業(yè)對(duì)AI安全的聚焦。

毋庸置疑的是，人工智能時(shí)代已經(jīng)到來(lái)。有數(shù)據(jù)顯示，到2020年，會(huì)有500億臺(tái)物聯(lián)網(wǎng)設(shè)備在全球部署。埃森哲預(yù)測(cè)，人工智能可能將勞動(dòng)生產(chǎn)率提升40%，讓人們更有效地利用時(shí)間。到2035年，人工智能將讓年度經(jīng)濟(jì)增長(zhǎng)率提升一倍。

但是，所謂“螳螂捕蟬，黃雀在后”，AI既能被用來(lái)提升效率，也能被黑客用來(lái)提升攻擊技術(shù)，有更多途徑竊取用戶隱私。前段時(shí)間各種智能電視被破解，攝像頭變成客廳監(jiān)視器；某品牌智能掃地機(jī)器人被曝出存在高危漏洞，變成家庭“間諜”等安全事件頻發(fā)。

網(wǎng)絡(luò)安全成了這些智能設(shè)備的“阿喀琉斯之踵”。

危機(jī)四伏的AI生態(tài)

在筆者看來(lái)，移動(dòng)互聯(lián)時(shí)代，無(wú)論是終端、云端、傳輸通道，最終保護(hù)的都是這整個(gè)網(wǎng)絡(luò)生態(tài)中的數(shù)據(jù)，這些數(shù)據(jù)既有企業(yè)和用戶的隱私，也包含了賬戶和密碼等。在AI時(shí)代，大抵相同。所不同的是各種IOT設(shè)備的多樣化，身份認(rèn)證加入了生物識(shí)別，語(yǔ)音輸入需求更多地取代了手動(dòng)輸入。但他們的工作方式依然是智能終端與云端的各種通信。

根據(jù)百度安全的總結(jié)，AI的安全既包含傳統(tǒng)安全層面，比如AI系統(tǒng)的硬件、軟件、框架、協(xié)議等，也包含AI自身層面的安全，比如錯(cuò)誤地引導(dǎo)機(jī)器學(xué)習(xí)系統(tǒng)，以達(dá)到攻擊者的目的，或者破壞機(jī)器學(xué)習(xí)的樣本，讓機(jī)器學(xué)習(xí)得出錯(cuò)誤的結(jié)果。

 

在最近的GeekPwn極棒破解大會(huì)現(xiàn)場(chǎng)，百度安全實(shí)驗(yàn)室的研究員只用一張打印的A4紙晃了晃，就成功秒破了某安卓智能手機(jī)的人臉識(shí)別認(rèn)證系統(tǒng)，虹膜和指紋也相繼被破解。AI時(shí)代，人臉識(shí)別、指紋密碼、人眼虹膜認(rèn)證等生物認(rèn)證方法，取代了傳統(tǒng)的密碼。很多人認(rèn)為生物識(shí)別的唯一性保護(hù)了我們的隱私。但事實(shí)上，這種想法實(shí)在過(guò)于簡(jiǎn)單。要知道，當(dāng)你成功把自己變成一個(gè)活著的人體密碼的時(shí)候，也就成為了黑客的重要“資源”。

云管端一體化的AI安全方案

在這次OASES聯(lián)盟成立的發(fā)布會(huì)上，百度安全宣布向聯(lián)盟成員開(kāi)放了其在AI生態(tài)上的多項(xiàng)安全能力。官方的說(shuō)法是，希望在智能終端領(lǐng)域，通過(guò)專利共享、技術(shù)開(kāi)源、標(biāo)準(zhǔn)共建，與聯(lián)盟合作伙伴共同推動(dòng)安全技術(shù)與服務(wù)的應(yīng)用落地，共建安全的AI 時(shí)代。 ?

將這次開(kāi)放的能力進(jìn)行梳理（如圖所示）可以看出，這是百度安全針對(duì)智能終端系統(tǒng)給出的全面的安全方案，包含了“云、管、端”的各個(gè)環(huán)節(jié)。這些方案里面，也結(jié)合了百度安全的大數(shù)據(jù)安全能力，以及機(jī)器學(xué)習(xí)實(shí)踐經(jīng)驗(yàn)。

終端層面的安全

在終端層面，首先要保證的是系統(tǒng)安全。因?yàn)橐坏┫到y(tǒng)被攻破，就等于給智能終端的安全來(lái)了個(gè)釜底抽薪，即便上層的應(yīng)用安全做得再好也是徒勞。但這恰恰是智能系統(tǒng)的“頑疾”。以往的安全修復(fù)，需要系統(tǒng)廠商先打補(bǔ)丁、升級(jí)系統(tǒng)，終端廠商再進(jìn)行修復(fù)、版本升級(jí)，最后終端用戶升級(jí)智能終端的系統(tǒng)。這個(gè)修復(fù)鏈條非常長(zhǎng)，收斂的速度甚至長(zhǎng)達(dá)幾年。加之智能系統(tǒng)碎片化嚴(yán)重，市面上有2萬(wàn)多種設(shè)備型號(hào)，安全根本無(wú)從保證。更要命的是，在這個(gè)過(guò)程中專業(yè)的安全企業(yè)是缺位的，即便是發(fā)現(xiàn)了高危漏洞也無(wú)從“插手”。

針對(duì)這個(gè)問(wèn)題，百度安全研發(fā)了KARMA自適應(yīng)內(nèi)核漏洞熱修復(fù)方案。它通過(guò)五大策略，最大限度地保證了系統(tǒng)安全，避免系統(tǒng)漏洞被黑客利用：從邏輯層阻斷攻擊，提升自適應(yīng)性；使用內(nèi)存安全語(yǔ)言編寫(xiě)安全補(bǔ)丁，防止補(bǔ)丁開(kāi)發(fā)者失誤導(dǎo)致系統(tǒng)崩潰；對(duì)待修補(bǔ)的內(nèi)核進(jìn)行語(yǔ)義聚類，并非只有二進(jìn)制一致才施加修復(fù)，進(jìn)一步提升自適應(yīng)性和安全性；方案設(shè)計(jì)了修復(fù)分級(jí)策略，進(jìn)一步提升方案的自適應(yīng)性；生態(tài)共建，以開(kāi)放、聯(lián)合、協(xié)作的模式去合力修復(fù)漏洞，打擊黑產(chǎn)。

目前，KARMA已經(jīng)在1100多個(gè)不同安卓系統(tǒng)版本進(jìn)行了系統(tǒng)化驗(yàn)證測(cè)試，并且在某些主流智能終端中應(yīng)用。據(jù)了解，它可以支持目前市場(chǎng)上絕大多數(shù)安卓設(shè)備，同時(shí)還適用于傳統(tǒng)桌面、服務(wù)器Linux的修復(fù)等。它可以支持100%的漏洞修復(fù)，其中93.4%可以自適應(yīng)修復(fù)，并且對(duì)性能幾乎沒(méi)有影響，不影響用戶體驗(yàn)。     終端層面的另一大問(wèn)題是應(yīng)用安全。但是現(xiàn)有智能終端應(yīng)用的生命周期缺乏聯(lián)動(dòng)，開(kāi)發(fā)者、應(yīng)用平臺(tái)、手機(jī)廠商、安全廠商相互隔離。這一隔離不但影響了安全信息的互通，也造成了諸多限制，引發(fā)了新的安全問(wèn)題，比如AndroidAppStore 不允許開(kāi)發(fā)者更換簽名證書(shū)，如果開(kāi)發(fā)者私鑰被偷竊，他只能繼續(xù)使用這一私鑰，眼睜睜看著偷得私鑰黑客發(fā)布冒名頂替的惡意App。應(yīng)用開(kāi)發(fā)者其實(shí)早就意識(shí)到了簽名束縛之痛，只是目前應(yīng)用較為廣泛的簽名證書(shū)更換手段（提示用戶安裝新證書(shū)簽名的新版本應(yīng)用，安卓5.0以上可以自動(dòng)升級(jí)等），要么用戶體驗(yàn)極差，要么存在降級(jí)攻擊等風(fēng)險(xiǎn)。

為解決這個(gè)問(wèn)題，百度安全開(kāi)源了OASP應(yīng)用簽名安全方案——一種更安全、靈活的密鑰證書(shū)管理方案。它首創(chuàng)了應(yīng)用狀態(tài)在線查詢機(jī)制，是一種生態(tài)聯(lián)防、去中心化的安全方案：開(kāi)發(fā)者能及時(shí)提供應(yīng)用狀態(tài)；安全廠商能大規(guī)模掃描監(jiān)控簽名信息生成信用信息，并在端上結(jié)合信用信息判斷App是否惡意；應(yīng)用商店可以收納開(kāi)發(fā)者提交的應(yīng)用信息，并定期下架有問(wèn)題的App；設(shè)備廠商則能通過(guò)OASP的簽名機(jī)制進(jìn)行額外的安全校驗(yàn)。

傳輸層面的安全

終端設(shè)備和云端服務(wù)通信的過(guò)程中，傳輸通道的安全性至關(guān)重要，一旦被黑客惡意劫持，設(shè)備和云端服務(wù)器的數(shù)據(jù)也就都處在風(fēng)險(xiǎn)中。而現(xiàn)在普遍應(yīng)用的TLS/SSL方案是基于非內(nèi)存安全語(yǔ)言編寫(xiě)，容易被黑客利用內(nèi)存安全漏洞攻擊，而且未來(lái)也面臨著被量子計(jì)算機(jī)破解的威脅。

而百度安全基于內(nèi)存安全技術(shù)的下一代可配置嵌入式安全通信協(xié)議棧MesaLink，在語(yǔ)言層面提供內(nèi)存安全保障，算法層面提供后量子密碼對(duì)抗能力。這就使得網(wǎng)絡(luò)傳輸可以避免OpenSSL“心臟流血”等高危漏洞隱患，并且能對(duì)抗量子密碼學(xué)攻擊，進(jìn)一步增強(qiáng)網(wǎng)絡(luò)傳輸層的安全。在MesaLink的保駕護(hù)航下，AI系統(tǒng)的通信有了內(nèi)存安全和抗量子破解的雙重保障，黑客很難再通過(guò)內(nèi)存安全漏洞和量子計(jì)算機(jī)技術(shù)通過(guò)網(wǎng)絡(luò)通信層攻擊進(jìn)入AI系統(tǒng)。

云端的安全

云安全都快成了老生常談的話題。不過(guò)現(xiàn)在的云端防護(hù)引擎存在著一定缺陷，比如它們大多依賴請(qǐng)求特征。一方面，要適應(yīng)千差萬(wàn)別的后端應(yīng)用，以及它們對(duì)協(xié)議的處理方式，本身就很困難。另一方面，面臨一些新型攻擊，防御引擎需要及時(shí)增添規(guī)則，較為被動(dòng)。最后，防護(hù)引擎只要看到符合特征的請(qǐng)求，就會(huì)產(chǎn)生報(bào)警，并不知道黑客是否真的攻擊成功了，所以誤報(bào)率比較高。

自從Gartner提出自適應(yīng)安全架構(gòu)之后，得到了業(yè)界的一致認(rèn)可。百度安全最近發(fā)布了OpenRASP開(kāi)源自適應(yīng)安全解決方案，保護(hù)引擎集成在了應(yīng)用內(nèi)部，在應(yīng)用完成協(xié)議解析后，才開(kāi)始檢測(cè)攻擊。

這與傳統(tǒng)的安全防護(hù)解決方案有什么差別呢？首先，傳統(tǒng)防護(hù)產(chǎn)品主要依賴請(qǐng)求特征，OpenRASP是通過(guò)監(jiān)控應(yīng)用的執(zhí)行邏輯和行為來(lái)實(shí)現(xiàn)防護(hù)；其次，OpenRASP可以實(shí)現(xiàn)應(yīng)用的熱補(bǔ)丁，比如可以永久免疫Struts系列漏洞；最后，OpenRASP實(shí)現(xiàn)了編碼規(guī)范檢查、服務(wù)器安全基線檢查，這也是傳統(tǒng)防護(hù)產(chǎn)品無(wú)法實(shí)現(xiàn)的。OpenRASP和KARMA分別在云端和終端兩側(cè)為智能終端產(chǎn)品和服務(wù)提供自適應(yīng)安全保障能力。

未來(lái)的AI攻防：需要真正的生態(tài)開(kāi)放

AI是一把雙刃劍，用在安全專家手里，能夠更快、更高效地做好防御。將AI用于安全領(lǐng)域，在感知層可以提升用戶體驗(yàn)，認(rèn)知鑒權(quán)由“知”（密碼）、“有”（U盾）到“是”的轉(zhuǎn)變；在執(zhí)行層，AI可以提升安全攻防對(duì)抗的能力，無(wú)論是網(wǎng)絡(luò)空間安全還是業(yè)務(wù)安全；在戰(zhàn)略層，安全專家角色實(shí)現(xiàn)由人到機(jī)器的轉(zhuǎn)變，AI自主進(jìn)行攻防對(duì)抗。而將AI用在黑客手里，就可能造成“永恒之藍(lán)”那樣席卷全球的災(zāi)難。

然而，AI是一個(gè)大的生態(tài)系統(tǒng)，它的安全也是復(fù)雜的多層面的。任何一個(gè)企業(yè)都無(wú)力涵蓋所有。這也正是OASES聯(lián)盟的價(jià)值所在。它希望針對(duì)AI安全能夠發(fā)動(dòng)整個(gè)產(chǎn)業(yè)鏈的力量，聯(lián)合終端廠商、安全廠商和研究機(jī)構(gòu)，通過(guò)生態(tài)開(kāi)放、聯(lián)合的力量，保護(hù)各種智能設(shè)備的安全，最大化避免AI生態(tài)出現(xiàn)安全和隱私的災(zāi)難。據(jù)悉，百度安全已經(jīng)將上述的云管端安全方案對(duì)聯(lián)盟內(nèi)開(kāi)放。

作為一個(gè)技術(shù)型的生態(tài)聯(lián)盟，它跟以往聯(lián)盟最大的不同之處就在于實(shí)現(xiàn)了真正的開(kāi)放，不僅是提供單方向的服務(wù)，而且是核心基礎(chǔ)技術(shù)開(kāi)源，專利共享。這就打消了產(chǎn)業(yè)鏈上的顧慮，有效地推動(dòng)了核心技術(shù)落地，推動(dòng)聯(lián)盟之間的合作。

AI時(shí)代，百度安全寄希望于行業(yè)聯(lián)合和技術(shù)創(chuàng)新，讓安全的天秤向防御的一方傾斜一點(diǎn)，再傾斜一點(diǎn)。