Red Hat决定支持新的云原生计算基金会(CNCF)项目。Red Hat在一篇官方博文中指出,他们投资的新项目名为Confidential Containers,属于CNCF支持的机密计算联盟中的一个新型项目。
Confidential Containers,简称“CoCo”,目前刚刚发布了首个0.1.0版本。从极低的版本号就能看出,目前的CoCo属于新生技术,还没有准备好迎接实际应用。此外,它的说明文档也还远称不上完善。
这种在可信执行环境(TEE)中运行容器的思路,多年来已经在大部分处理器架构中得到实现,例如OpenTEE。但也有研究人员发现了回避这种保护机制的方法。
在TEE之内运行全部容器的最大挑战,在于如何限制TEE与主机之间的通信,常规容器是无法轻松实现这种限制的。毕竟容器的本质就是直接在主机之上运行的普通进程内核。
相比之下,如今运行加密虚拟机还更容易些,也有多家厂商在提供硬件支持。包括Google Cloud所使用的AMD SEV,英特尔的同类方案SGX以及新近出现的TDX等。
因此,为了让工作负载能运行在TEE之内但由Kubernetes负责管理,CoCo项目使用了另一项技术Kata Containers。它是由英特尔的ClearContainers与Hyper runV合并而来,而且得到了OpenStack基金会的支持。
根据CoCo项目文档概述,该工具初步支持五种不同的TEE技术,首先是AMD和英特尔工具,外加两种IBM技术:用于POWER服务器的Protected Execution Facility(PEF)和面向z/架构大型机的Secure Execution。
如果这项计划真能成功,那么未来应该会快速支持更多架构——例如Arm的TrustZone,以及RISC-V自己的可信执行环境技术。
可能跟传统本地计算设施打过多年交道的朋友,一时之间理解不了为什么要对自己的虚拟机进行加密。咱们可以换个思路,如果这些虚拟机是运行在其他人的硬件之上并通过网络开放访问,那这种加密就瞬间有了意义。
虽然配套的硬件支持已经部署到位,但真正实现起来仍非易事。如果CoCo项目能尽快把这项功能简化进K8s配置页面或者YAML行中的复选框形式,肯定会受到很多人的欢迎。而且芯片供应商那边应该也会为此拍手叫好,毕竟再轻量化的虚拟机往往也要比容器更耗资源。
好文章,需要你的鼓励
市场研究公司Klue本月初遭黑客入侵,大量客户数据被窃。Klue表示正与黑客组织Icarus沟通,并相信对方正在删除所盗数据。受影响客户包括Gong、LastPass、HackerOne等多家知名企业。然而事态趋于复杂——另一黑客团伙声称从Icarus处获取了Klue客户数据,并向客户发出勒索威胁。Klue提醒客户勿向第二方支付赎金,并建议索取数据样本以核实其真实性。
KAIST等机构提出3D HAMSTER,通过为视觉语言模型加入深度编码器和几何重建损失,让机器人规划器直接输出三维轨迹,解决了分层机器人系统中规划与执行的维度不匹配问题,显著提升了操作鲁棒性。
苹果公司对OpenAI提起诉讼,指控其窃取商业机密。据披露,前苹果系统电气工程师刘畅(Chang Liu)在离职加入OpenAI后,利用一个此前未知的身份验证零日漏洞,持续数周从苹果内部网络存储中下载大量机密文件,内容涵盖未发布产品信息、工程演示文稿及技术规格等。苹果已修复该漏洞并终止相关访问权限。此案已提交加州北区联邦法院,并要求陪审团审判。
南京大学提出Light-Omni框架,通过全局状态与潜在状态双机制,让AI视频助理无需反复推理即可实现精准记忆检索,速度提升逾12倍,准确率同步提高。