AWS今天宣布Bottlerocket全面上市,这是一款专门为了运行软件容器而开发的开源Linux发行版。
主流的Linux发行版不仅设计可以运行容器(容器让应用可以运行在多个计算环境中),而且还可以运行一系列其他工作负载,因为支持大量用例,所以有大量难以管理的组件。
在开发Bottlerocket时,AWS去掉了很多标准Linux组件,只保留了运行容器工作负载所需的组件,从而打造了一个易于管理且更为安全的操作系统,之所以安全性更高,是因为Bottlerocket较小的代码库减少了黑客可以利用的潜在漏洞。
此外,AWS采取了许多其他防护措施来防止威胁,例如工程师利用Rust语言编写了Bottlerocket的大部分内容,这与主要用C语言编写的Linux内核相比降低了缓冲区溢出的可能性。
此外AWS还提高了Bottlerocket的安全性以应对所谓的持久性威胁。持久性威胁(也称为持久性恶意软件)是一种恶意程序,可以获取对操作系统关键组件的访问权,并利用这些组件隐藏其踪迹。
Bottlerocket通过称为dm-verity的Linux内核功能来降低此类攻击的风险,该功能会检测未经许可被篡改的操作系统,而这也是发现隐藏持久性恶意软件的一个可靠方法。
AWS产品经理Samartha Chandrashekar在博客文章中表示:“Bottlerocket还可以通过阻止与生产服务器的管理连接来强制实施一种操作模型,进一步提高安全性。”管理员帐户通常可以广泛访问云实例,这使其成为黑客的目标。“登录到单个Bottlerocket实例,对于高级调试和故障排除来说是一种不常见的操作行为。”
Bottlerocket简化容器运行的另一种方法,是简化操作系统更新。将操作系统变更部署到运行关键任务应用的容器环境,这种行为是存在风险的,因为部署问题可能会导致停机。考虑到这一点,AWS在Bottlerocket中开发了一项名为原子更新的功能,让管理员可以在导致错误的情况下安全地撤消操作系统变更。
“可以以原子方式应用和回滚Bottlerocket的更新,使其更容易实现自动化,减少管理开销,降低运营成本,”Chandrashekar说道。
好文章,需要你的鼓励
从浙江安吉的桌椅,到广东佛山的沙发床垫、河南洛阳的钢制家具,再到福建福州的竹藤制品,中国各大高度专业化的家具产业带,都在不约而同地探索各自的数字化出海路径。
哥伦比亚大学研究团队开发了MathBode动态诊断工具,通过让数学题参数按正弦波变化来测试AI的动态推理能力。研究发现传统静态测试掩盖了AI的重要缺陷:几乎所有模型都表现出低通滤波特征和相位滞后现象,即在处理快速变化时会出现失真和延迟。该方法覆盖五个数学家族的测试,为AI模型选择和部署提供了新的评估维度。
研究人员正探索AI能否预测昏迷患者的医疗意愿,帮助医生做出生死决策。华盛顿大学研究员Ahmad正推进首个AI代理人试点项目,通过分析患者医疗数据预测其偏好。虽然准确率可达三分之二,但专家担心AI无法捕捉患者价值观的复杂性和动态变化。医生强调AI只能作为辅助工具,不应替代人类代理人,因为生死决策依赖具体情境且充满伦理挑战。
这项研究首次发现AI推理模型存在"雪球效应"问题——推理过程中的小错误会逐步放大,导致AI要么给出危险回答,要么过度拒绝正常请求。研究团队提出AdvChain方法,通过训练AI学习"错误-纠正"过程来获得自我纠错能力。实验显示该方法显著提升了AI的安全性和实用性,用1000个样本达到了传统方法15000个样本的效果,为AI安全训练开辟了新方向。