Red Hat на этой неделе сообщила, что последние версии операционных систем Fedora содержат вредоносный код, обеспечивающий доступ к системе через бэкдор, а затем аналогичное предупреждение последовало от Debian и Ubuntu. Наткнулся на опасный эксплойт разработчик Microsoft Андрес Фройнд (Andres Freund) в результате череды совпадений и случайностей, заинтересовавшись нетипично высокой нагрузкой центрального процессора со стороны процесса sshd.

Источник изображения: Pixabay

29 марта Фройнд проводил тестирование своих систем, в ходе которого он заметил, что процесс sshd использует слишком много вычислительных ресурсов, а вход в систему через протокол удалённого доступа из командной строки занимает примерно на 0,5 секунды больше времени, чем обычно. Заинтересовавшись, он начал углублённое изучение проблемы и обнаружил, что большая часть вычислительных ресурсов была потрачена на некий процесс liblzma, являющийся частью пакета xz-utils. Это положило начало изучению сложного бэкдора в xz-utils, авторство которого приписывается неизвестному злоумышленнику c псевдокитайским именем Цзя Тан (Jia Tan).

Особый интерес вызывает запутанная история внедрения этого эксплойта, основанная на принципах социальной инженерии. По словам исследователя Эвана Боеса (Evan Boehs), Тан создал учётную запись на GitHub в 2021 году и начал вносить в различные проекты «несколько подозрительные коммиты». В 2022 году Тан отправил в проект xz-utils свой первый коммит. Хотя он не предлагал серьёзных изменений, но после его появления на владельца xz-utils Лассе Коллина (Lasse Collin) стало оказываться давление со стороны нескольких участников проекта с требованиями добавить в него ещё одного куратора по причине якобы некачественного сопровождения.

Поддавшись напору, Коллин добавил Тана в качестве ещё одного сопровождающего проекта xz-utils, что позволило Тану добавлять код. Со временем Тан стал довольно авторитетной фигурой в проекте, и увеличил контроль над ним. Это позволило Тану внедрить в код проекта окончательные компоненты бэкдора при помощи нескольких тестовых файлов. Через некоторое время новая версия xz-utils с вредоносным кодом вошла в такие операционные системы, как Fedora, Debian и Ubuntu. Неизвестно, сколько вреда мог бы принести этот бэкдор, если бы Фройнд оказался менее внимательным человеком.

Источник изображения: Andres Freund

Эксперты по безопасности полагают, что Цзя Тан не является реальным человеком, а скорее представляет собой виртуального персонажа с именем, созвучным китайскому. Некоторые исследователи считают, что за попыткой внедрения эксплойта стоит государство, и что это была попытка заложить основу для некоторых вредоносных и почти необнаружимых активностей. Теперь Коллину предстоит разобраться с этой проблемой и убедиться в отсутствии других вредоносных фрагментов кода в своём проекте. Возможно, другим кураторам проектов на GitHub также стоит внимательно изучить историю их изменений.

Во вторник группа киберпреступников, называющая себя ALPHV/BlackCat, нарушила работу сети казино MGM Resorts. Хакеры утверждают, что добыли чувствительную информацию и требуют выкуп, но компания пока платить отказывается. А сеть казино Caesars Entertainment якобы заплатила «десятки миллионов долларов» хакерам, угрожавшим обнародовать украденную информацию, в том числе данные клиентов. Взлом совершила группировка Scattered Spider, хотя ALPHV также настаивает на своей причастности.

Источник изображений: Pixabay

Во вторник MGM Resorts начала испытывать перебои в работе игровых автоматов. По состоянию на утро среды MGM Resorts по-прежнему демонстрировала признаки взлома, что, в частности, отражалось в перебоях в работе сайта компании. Сама MGM Resorts утверждает, что её «курорты, включая рестораны, развлечения и игры, в настоящее время работают».

ALPHV использовала методы социальной инженерии для кибератаки на международную сеть отелей и казино. Хакеры утверждают, что для взлома MGM Resorts им потребовался всего один 10-минутный телефонный звонок. Преступникам оказалось достаточно отыскать данные сотрудников казино на LinkedIn, а затем позвонить в службу поддержки.

Группа ALPHV имеет в сообществе кибербезопасности репутацию «выдающегося специалиста в области социальной инженерии для первоначального доступа». После взлома группа обычно использует программы-вымогатели, чтобы вынудить жертву заплатить. Хакеры в первую очередь атакуют крупные корпорации, в частности в июле ALPHV совместно с другими хакерами смогли организовать утечку данных с сайта гиганта индустрии красоты Estée Lauder.

Caesars Entertainment заплатила «десятки миллионов долларов» хакерам, которые угрожали обнародовать данные компании. Атаку совершила группа под названием Scattered Spider (также известная как UNC 3944), использовавшая социальную инженерию для обхода безопасности корпоративной сети. Атака на Caesars началась ещё 27 августа с получения доступа к внешнему поставщику компании, после чего преступникам удалось проникнуть в сеть Caesars Entertainment.

Группа Scattered Spider активизировалась в мае 2022 года и занимается атаками на телекоммуникационные и бизнес-аутсорсинговые организации. Члены группы выдают себя за ИТ-персонал и используют социальную инженерию и другие инструменты, чтобы убедить должностных лиц компании предоставить удалённый доступ. Также они успешно эксплуатируют уязвимости и используют специализированные инструменты для взлома, чтобы обойти защитное программное обеспечение.

Швейцарские и нидерландские учёные проверили способность большой языковой модели ChatGPT-3 выступить в роли генератора инженерных идей. Работая бок о бок люди и «роботы» спроектировали, построили и испытали роботизированного сборщика томатов с кустов. Это первый в истории случай, когда ИИ выбрала приоритетную цель для разработки робота и по этапам вела коллектив к результату.

Источник изображения: EPFL

Для больших языковых моделей — базы знаний с интеллектуальной обработкой запросов — находится всё больше применений. Тем не менее, работа проектировщиком, казалось бы, не входит в сферу компетенций Large language models (LLMs). Исследователи из Делфтского технологического университета в Нидерландах и Швейцарского федерального технологического института (EPFL) решили опровергнуть сложившееся на этот счёт мнение и доказали, что LLM способны генерировать идеи и интересные решения.

«Несмотря на то, что ChatGPT — это языковая модель, и её код генерируется на основе текста, она предоставила значительные идеи и интуицию для физического проектирования и показала большой потенциал в качестве резонатора для стимулирования человеческого творчества», — сказала Джози Хьюз (Josie Hughes), соавтор опубликованного в Nature Machine Intelligence тематического исследования об этом опыте.

Исследователи последовательно задавали ChatGPT-3 вопросы и выбирали те варианты, которые продвигали бы проект в нужном направлении. Например, среди трёх вариантов ответов на вопрос о будущих проблемах человечества было выбрано направление продовольственной безопасности. Дальше чат-бот предложил выбрать разработку сборщика томатов и так далее, пока в итоге не получился робот-сборщик с манипулятором с мягким захватом. Технические детали и оптимизацию кода обеспечили люди, тогда как ChatGPT-3 предлагала материалы и варианты узлов робота. У исследователей в этих сферах не было опыта, и они выбирали из предложений чат-бота.

«Если раньше вычисления в основном использовались для помощи инженерам в технической реализации проектов, впервые система ИИ смогла создавать идеи новых систем, автоматизируя таким образом высокоуровневые когнитивные задачи, — сказал Франческо Стелла (Francesco Stella), ведущий автор тематического исследования. — Это может повлечь за собой смещение человеческих ролей в сторону более технических».

Данная работа подняла также ряд этических проблем от плагиата до роли человека во всей этой истории и о мере его ответственности. Пожалуй, это не менее важная часть в данном исследовании и заниматься ею должны специалисты гуманитарных направлений. Но это будет уже другая история.

Генеративный ИИ может изменить многие отрасли, но для взаимодействия с ним по-прежнему требуется реальный человек. Многие эксперты считают, что для реализации эффективной автоматизации и продуктивного мозгового штурма при помощи ИИ потребуются квалифицированные операторы. И в этой сфере уже появились свои источники вдохновения, свои гуру и специалисты, равно как и коммерческие платформы для поиска и приобретения запросов.

Источник изображения: Pixabay

«Написание действительно отличного запроса для чат-бота — это удивительно высокоэффективный навык и ранний пример программирования на естественном языке», — уверен Сэм Альтман (Sam Altman), генеральный директор OpenAI, создателя ChatGPT. Чат-бот с ним полностью согласен, утверждая, что «эффективное оперативное проектирование имеет решающее значение для создания высококачественных выходных данных», подразумевая под оперативным проектированием профессию инженера запросов.

Как известно, во время золотой лихорадки выгоднее всего торговать горняцким инструментом. Именно такая ситуация складывается в отношении использования генеративного ИИ. Многие компании, начав с увлечения созданием изображений с помощью Dall-E 2, Stable Diffusion и Midjourney, пришли к созданию платформ для быстрого поиска, покупки и продажи запросов для ИИ, например, PromptHero, Promptist, Krea, PromptBase.

Как грибы после дождя появляются тренеры и преподаватели, предлагающие обучить работников использованию новых технологий, а сайты тренингов, такие как Udemy, уже предлагают множество курсов по ним. Открылось множество новых вакансий «инженер запросов», а многие соискатели уже добавляют эти два волшебных слова в свои резюме. Торговые площадки для фрилансеров, такие как Fiverr и Upwork, уже заполнены людьми, предлагающими свои навыки работы с искусственным интеллектом. Не обошлось и без книг из серии «Для чайников», например, «Запрос: практическое руководство по развитию бренда с помощью ChatGPT».

Сторонники новой технологии уверены, что оперативное проектирование станет ценным навыком для всех пользователей Интернета, точно так же, как в 2000-х годах было умение что-то найти при помощи поисковых систем. Их оппоненты считают, что ИИ развивается настолько быстро, что спрос на профессию инженера запросов не продержится долго.

В прошлом месяце один из видных разработчиков чипов с мировым именем — Раджа Кодури (Raja Koduri), который теперь работает в Intel — на симпозиуме VLSI поднял тему дефицита в США кадров инженеров-электронщиков. Этот дефицит стал настолько угрожающим, что отрасли срочно что-то надо делать. В противном случае строящиеся сейчас в США полупроводниковые заводы некем будет заполнить. Но это только вершина айсберга — дефицит инженеров намного шире.

Источник изображения: Gerd Altmann / pixabay.com

Выступление Кодури на симпозиуме породило активную дискуссию. Впрочем, о нехватке инженеров-электронщиков в США говорят уже два десятка лет. К чести Кодури и компании Intel, последняя не только проговаривает проблему, но также постоянно вкладывает немало средств в образование инженеров и в формирование инженерных рабочих мест на своих заводах. Например, Intel планирует потратить $100 млн на повышение уровня образования и исследований в области полупроводников в США, половина из которых пойдёт на подбор персонала на заводе компании в Огайо.

В то же время одной только Intel вскоре понадобится 6000 инженеров в США и 3000 инженеров в Германии на три строящихся завода: в Аризоне, Огайо и Германии. Найти в одночасье 9000 инженеров-электронщиков будет очень и очень непросто. И Intel такая не одна, новые полупроводниковые заводы в США (и не только) строят другие компании, такие как Samsung, TSMC, GlobalFoundries и этот список можно продолжить. Той же TSMC для строящегося в США завода понадобится 1600 квалифицированных инженеров. Ещё 2000 специалистов нужны будут компании Samsung для завода в Техасе.

Отсутствие у молодых людей в США массового желания учиться на инженера-электронщика специалисты объясняют многими факторами. Среди главных — это отсутствие популярности и акцент на программирование. «Зачем возиться с написанием Verilog, если можно заработать в разы больше на Python, Java или Go?», — вопрошает источник. Более высокие зарплаты в программировании также служат более весомым аргументом, чем обучение азам проектировки чипов. О работе в компаниях Apple, Microsoft или Google мечтает намного больше студентов, чем в Intel или GlobalFoundries.

Динамика поступлений в США на учёбу по специальностям информатика и инженер-электронщик. Источник изображения: SemiWiki

А ведь кроме производства есть ещё множество других мест приложения сил и умений инженеров-электронщиков — это работа в бесфабричных компаниях типа NVIDIA или AMD, работа на заводах по проверке и упаковке чипов, разработка инструментов и средств проектирования и многое другое, куда тоже требуются сильные специалисты. Множество специалистов! Очевидно, отрасль ждёт жесточайшая борьба за кадры, раз уж система образования подкачала, а заводы строить надо. В противном случае смерть закона Мура может больше не пугать производителей чипов. Без кадров отрасль умрёт сама по себе, считают знакомые с ситуацией специалисты.

В остальном мире ситуация с инженерными кадрами не лучше. Японии, по разным оценкам, в ближайшие годы потребуется до 35 тыс. инженеров электронных специальностей. Тайвань также потребует не один десяток тысяч специалистов, а у Китая это число может достичь сотен тысяч вакансий. В России с инженерными кадрами тоже есть трудности. И пусть с опозданием, но что-то положительное начинает происходить, хотя всё это надо было делать вчера, и это относится ко всем.