Red Hat决定支持新的云原生计算基金会(CNCF)项目。Red Hat在一篇官方博文中指出,他们投资的新项目名为Confidential Containers,属于CNCF支持的机密计算联盟中的一个新型项目。
Confidential Containers,简称“CoCo”,目前刚刚发布了首个0.1.0版本。从极低的版本号就能看出,目前的CoCo属于新生技术,还没有准备好迎接实际应用。此外,它的说明文档也还远称不上完善。
这种在可信执行环境(TEE)中运行容器的思路,多年来已经在大部分处理器架构中得到实现,例如OpenTEE。但也有研究人员发现了回避这种保护机制的方法。
在TEE之内运行全部容器的最大挑战,在于如何限制TEE与主机之间的通信,常规容器是无法轻松实现这种限制的。毕竟容器的本质就是直接在主机之上运行的普通进程内核。
相比之下,如今运行加密虚拟机还更容易些,也有多家厂商在提供硬件支持。包括Google Cloud所使用的AMD SEV,英特尔的同类方案SGX以及新近出现的TDX等。
因此,为了让工作负载能运行在TEE之内但由Kubernetes负责管理,CoCo项目使用了另一项技术Kata Containers。它是由英特尔的ClearContainers与Hyper runV合并而来,而且得到了OpenStack基金会的支持。
根据CoCo项目文档概述,该工具初步支持五种不同的TEE技术,首先是AMD和英特尔工具,外加两种IBM技术:用于POWER服务器的Protected Execution Facility(PEF)和面向z/架构大型机的Secure Execution。
如果这项计划真能成功,那么未来应该会快速支持更多架构——例如Arm的TrustZone,以及RISC-V自己的可信执行环境技术。
可能跟传统本地计算设施打过多年交道的朋友,一时之间理解不了为什么要对自己的虚拟机进行加密。咱们可以换个思路,如果这些虚拟机是运行在其他人的硬件之上并通过网络开放访问,那这种加密就瞬间有了意义。
虽然配套的硬件支持已经部署到位,但真正实现起来仍非易事。如果CoCo项目能尽快把这项功能简化进K8s配置页面或者YAML行中的复选框形式,肯定会受到很多人的欢迎。而且芯片供应商那边应该也会为此拍手叫好,毕竟再轻量化的虚拟机往往也要比容器更耗资源。
好文章,需要你的鼓励
OpenAI在最新博客中首次承认,其AI安全防护在长时间对话中可能失效。该公司指出,相比短对话,长对话中的安全训练机制可能会退化,用户更容易通过改变措辞或分散话题来绕过检测。这一问题不仅影响OpenAI,也是所有大语言模型面临的技术挑战。目前OpenAI正在研究加强长对话中的安全防护措施。
北航团队推出VoxHammer技术,实现3D模型的精确局部编辑,如同3D版Photoshop。该方法直接在3D空间操作,通过逆向追踪和特征替换确保编辑精度,在保持未修改区域完全一致的同时实现高质量局部修改。研究还创建了Edit3D-Bench评估数据集,为3D编辑领域建立新标准,展现出在游戏开发、影视制作等领域的巨大应用潜力。
谷歌宣布计划到2026年底在弗吉尼亚州投资90亿美元,重点发展云计算和AI基础设施。投资包括在里士满南部切斯特菲尔德县建设新数据中心,扩建现有设施,并为当地居民提供教育和职业发展项目。弗吉尼亚州长表示这项投资是对该州AI经济领导地位的有力认可。此次投资是谷歌北美扩张战略的一部分。
宾夕法尼亚大学研究团队开发出PIXIE系统,这是首个能够仅通过视觉就快速准确预测三维物体完整物理属性的AI系统。该技术将传统需要数小时的物理参数预测缩短至2秒,准确率提升高达4.39倍,并能零样本泛化到真实场景。研究团队还构建了包含1624个标注物体的PIXIEVERSE数据集,为相关技术发展奠定了重要基础,在游戏开发、机器人控制等领域具有广阔应用前景。