https://youtu.be/yXJX3-1EN-c?si=3BQpXJBFNuIZZ6ey #sunny #แบกเป้เกอร็ #ท่องเที่ยว #จีน #China #ว่างว่างห็แวะมา

ยกเครื่องเพื่อไทย หยุดเลือดไหลพรรคต่ำ100 : คนเคาะข่าว 8-10-68 • ร่วมสนทนา -ผศ.ดร.สุวิชา เป้าอารีย์ ผู้อำนวยการศูนย์สำรวจความคิดเห็น นิด้าโพล (NIDA Poll) -รศ.สมชัย ศรีสุทธิยากร อดีตกรรมการการเลือกตั้ง ดำเนินรายการโดย กรองทอง เศรษฐสุทธิ์ • https://m.youtube.com/watch?v=FcS9F2OInSU

https://youtu.be/BOdpGGhokqg?si=sgyv2fh3WtMs6hOC

ค่ารถไฟฟ้าบีทีเอสสูงสุด 65 บาท จากยุคอัศวินถึงชัชชาติ แนวคิดการปรับโครงสร้างค่าโดยสารรถไฟฟ้าบีทีเอส สูงสุด 65 บาท ของนายชัชชาติ สิทธิพันธุ์ ผู้ว่าราชการกรุงเทพมหานคร (กทม.) ถูกหยิบยกขึ้นมาอีกครั้ง หลัง กทม. ต้องชำระหนี้โครงการรถไฟฟ้าสายสีเขียวให้กับ บริษัท ระบบขนส่งมวลชนกรุงเทพ จำกัด (มหาชน) หรือ BTSC ประมาณ 32,000 ล้านบาท เป็นผลจากการที่ กทม. และบริษัท กรุงเทพธนาคม จำกัด หรือ KT วิสาหกิจของ กทม. ค้างค่าจ้างเดินรถและซ่อมบำรุงรถไฟฟ้าสายสีเขียวส่วนต่อขยาย 2 คดี แล้วศาลมีคำสั่งใช้หนี้ทั้งสองคดี หากยังเดินหน้าอุทธรณ์ต่ออาจต้องเจอภาระดอกเบี้ยที่สูงขึ้น นายชัชชาติอธิบายว่า ปัจจุบัน กทม. ต้องจ่ายค่าจ้างเดินรถปีละ 8,000 ล้านบาท แต่เก็บค่าโดยสารได้เพียง 2,000 ล้านบาท แม้ไม่เกี่ยวข้องกับการชำระหนี้โดยตรง แต่ต้องนำงบประมาณส่วนอื่นมาชดเชย อาจไม่เป็นธรรมกับประชาชนที่ไม่ได้ใช้บริการ เนื่องจากเงินที่นำมาใช้ล้วนเป็นเงินภาษี ขณะนี้ กทม. อยู่ระหว่างศึกษาเพื่อพิจารณาปรับโครงสร้างค่าโดยสารใหม่ให้สะท้อนต้นทุนที่แท้จริง โดยคาดว่าจะไม่เกิน 65 บาทตลอดสาย ซึ่งบางช่วงถูกลง เช่น เส้นทางระยะสั้นภายในเมือง ส่วนผู้โดยสารที่เดินทางระยะไกลอาจมีค่าใช้จ่ายเพิ่มขึ้นตามระยะทาง ส่วนการชำระหนี้ให้ BTSC อยู่ระหว่างนำเงินสะสมจ่ายขาดมาชำระ คาดว่าจะดำเนินการได้ภายในวันที่ 31 ต.ค. ยืนยันว่าไม่กระทบต่อโครงการต่างๆ ของ กทม. เนื่องจากใช้เงินสะสมจ่ายขาดที่ไม่มีภาระผูกพัน หลังชำระหนี้จะเหลือเงินสะสมประมาณ 5,000-6,000 ล้านบาท มองว่าหากไม่รีบชำระหนี้ จะต้องแบกรับดอกเบี้ยในอัตรา MLR +1 ซึ่งสูงกว่าดอกเบี้ยที่ได้รับจากเงินฝาก ทำให้ กทม. ต้องเร่งดำเนินการเพื่อไม่ให้เกิดภาระทางการเงินเพิ่มขึ้น ย้ำว่าเมื่อศาลมีคำสั่งแล้ว กทม. จำเป็นต้องปฏิบัติตามเพื่อยุติปัญหา การปรับโครงสร้างค่าโดยสารรถไฟฟ้าบีทีเอส สูงสุด 65 บาท ไม่ใช่เรื่องใหม่ เพราะสมัย พล.ต.อ.อัศวิน ขวัญเมือง เสนอเรียกเก็บค่าโดยสารสูงสุด 65 บาท เพื่อลดภาระหนี้สินของโครงการ เนื่องจากมีการเดินรถไฟฟ้าสายสีเขียว ส่วนต่อขยายที่ 2 ช่วงแบริ่ง-สมุทรปราการ เมื่อปี 2561 และช่วงหมอชิต-สะพานใหม่-คูคต เมื่อปี 2563 แต่กลับถูกคัดค้านจากหลายฝ่าย กระทรวงคมนาคม สมัยที่นายศักดิ์สยาม ชิดชอบ เป็น รมว.คมนาคม อ้างว่าค่าโดยสาร 65 บาท สูงเกินไป ทำให้รถไฟฟ้าสายสีเขียวช่วงดังกล่าวประชาชนนั่งฟรีมานาน กระทั่งวันที่ 2 ม.ค. 2567 นายชัชชาติเก็บค่าโดยสารช่วงดังกล่าว 15 บาท รวมแล้วค่าโดยสาร 3 ช่วง ได้แก่ ช่วงสัมปทาน ช่วงส่วนต่อขยายที่ 1 และช่วงส่วนต่อขยายที่ 2 ค่าโดยสารสูงสุด 62 บาท #Newskit

เมื่อไหร่คนที่ตะแบง จะยอมรับความจริง ที่มีหลักฐาน ผู้รู้ ไม่มีใครที่ไม่เคยทำผิด ร่วมมือกันสร้างประวัติศาสตร์ความถูกต้อง ให้ล้างบาปที่ฝรั่งเศสที่ ทำกับคนสองชาติ เปิดช่องหมารอด ให้คนขายชาติ ไม่ก็หาประโยชน์เข้าตระกูล https://youtu.be/qIGKE-BJJM0?si=IYrfAS-19IHDlS9Y

แสงตะเกียงเล็กๆ... Cr.Wiwan Boonya

EP 33 SET แตะ 1310 แล้วย่อตัวลงปิแดนลบ ส่วนหนึ่งมาจากการคงดอกเบี้ยของ กนง. NER side way ปิด 4.26 VGI ปิด 1.51 แต่ผันผวนมาก SISB ปิด 12.5 TFG ซื้อเมื่อวาน 4.92 ขายออก 5.25 ซื้อใหม่ BTS 3.04 ฺํBY. reporter

ทำไมราคาสินค้าโภคภัณฑ์ผันผวน ?

EP 34 Update NASDAQ new high 23043.01 บวก 255.01 ๊Update my port AMZN +3.44 225.64 my port + 2.50% NXPI +6.06 225.64 my port + 2.64% PG -1.85 150.69 my port - 0.87% new ordered CMCSA +0.17 30.77 my port +0.43% หุ้นในกลุ่ม Telecomm ของ สหรัฐ TMUS T ( AT&T) VZ CMCSA ( ผมซื้อไปแล้ว ) AMT CCI

ฮามาสส่งรายชื่อนักโทษปาเลสไตน์ที่ต้องการให้ปล่อยตัวเพื่อแลกเปลี่ยนกับตัวประกันอิสราเอล เผยการเจรจาที่อียิปต์เป็นไปด้วยดี โดยนายกรัฐมนตรีกาตาร์ ตลอดจนถึงผู้แทนอาวุโสของอเมริกาและตุรกีจะร่วมหารือด้วย ขณะที่ทรัมป์เชื่อมีความเป็นไปได้ที่จะเกิดสันติภาพในตะวันออกกลาง . อ่านเพิ่มเติม..https://sondhitalk.com/detail/9680000096487 #Sondhitalk #SondhiX #คุยทุกเรื่องกับสนธิ #สนธิเล่าเรื่อง #Thaitimes #กัมพูชายิงก่อน #ไทยนี้รักสงบแต่ถึงรบไม่ขลาด #CambodiaOpenedFire

EP 35 หุ้นใน SET ที่น่าสนใจ PTT PRM ฺํBY

รวยเพราะลุงตู่ซื้อทองเข้าคลัง? บทความโดย : สุรวิชช์ วีรวรรณ คลิก>> https://mgronline.com/daily/detail/9680000096481

ดาเนียล โนโบอา ประธานาธิบดีเอวาดอร์ รอดจากการได้รับบาดเจ็บ หลังขบวนรถของเขาถูกโจมตีโดยพวกผู้ประท้วงในเมืองชนบทแห่งหนึ่ง ในสิ่งที่ทางรัฐบาลประณามว่าเป็นความพยายามลอบสังหาร ตอกย้ำถึงความตึงเครียดทางการเมืองที่หนักหน่วงขึ้นในประเทศแห่งนี้ . อ่านเพิ่มเติม..https://sondhitalk.com/detail/9680000096491 #Sondhitalk #SondhiX #คุยทุกเรื่องกับสนธิ #สนธิเล่าเรื่อง #Thaitimes #กัมพูชายิงก่อน #ไทยนี้รักสงบแต่ถึงรบไม่ขลาด #CambodiaOpenedFire

กลุ่มภาคประชาสังคม 18 แห่งของกัมพูชา เตือนว่าแรงงานเขมรที่เดินทางกลับจากไทย อาจต้องเผชิญกับความทุกข์ยากอย่างแสนสาหัส ถ้ารัฐบาลไม่มอบการคุ้มครองทางสังคมและแรงสนับสนุน สำหรับบูรณการพวกเขาเข้าสู่ภาคแรงงานของประเทศ พร้อมระบุสถานการณ์นี้มีความเป็นไปได้ที่จะส่งผลกระทบหายนะต่อสภาพแวดล้อมทางเศรษฐกิจที่หนักหนาอยู่ก่อนแล้ว . อ่านเพิ่มเติม..https://sondhitalk.com/detail/9680000096492 #Sondhitalk #SondhiX #คุยทุกเรื่องกับสนธิ #สนธิเล่าเรื่อง #Thaitimes #กัมพูชายิงก่อน #ไทยนี้รักสงบแต่ถึงรบไม่ขลาด #CambodiaOpenedFire

📱 “Refurbished vs Used — มือถือมือสองแบบไหนคุ้มกว่า ปลอดภัยกว่า และเหมาะกับคุณที่สุด?” ในยุคที่สมาร์ตโฟนใหม่มีราคาสูงขึ้นเรื่อย ๆ ผู้บริโภคจำนวนมากหันมาเลือกซื้อโทรศัพท์มือสองเพื่อประหยัดงบ ซึ่งมีสองทางเลือกหลักคือ “Refurbished” และ “Used” แม้ทั้งสองแบบจะเป็นเครื่องที่ผ่านการใช้งานมาแล้ว แต่ความแตกต่างระหว่างสองคำนี้มีผลต่อคุณภาพ ความปลอดภัย และความคุ้มค่าในระยะยาว มือถือแบบ Refurbished คือเครื่องที่ผ่านการตรวจสอบ ซ่อมแซม และปรับปรุงโดยช่างผู้เชี่ยวชาญหรือผู้ผลิตโดยตรง เช่น Apple หรือ Samsung โดยมีการเปลี่ยนชิ้นส่วนที่สึกหรอ อัปเดตซอฟต์แวร์ และทดสอบการทำงานทุกจุด บางแบรนด์มีการตรวจสอบถึง 64 จุดก่อนนำกลับมาขายใหม่ พร้อมรับประกัน 90 วันถึง 1 ปี ในทางกลับกัน มือถือแบบ Used คือเครื่องที่เจ้าของเดิมขายต่อโดยไม่มีการตรวจสอบหรือซ่อมแซมใด ๆ สภาพของเครื่องขึ้นอยู่กับการใช้งานของเจ้าของเดิม ซึ่งอาจมีปัญหาซ่อนอยู่ เช่น แบตเตอรี่เสื่อม หน้าจอมีรอย หรือระบบภายในไม่สมบูรณ์ และมักไม่มีการรับประกัน แม้มือถือ Used จะมีราคาถูกกว่ามาก บางครั้งลดจากราคาปกติถึง 40–60% แต่ความเสี่ยงก็สูงตามไปด้วย โดยเฉพาะหากซื้อจากแพลตฟอร์มที่ไม่มีระบบคุ้มครองผู้ซื้อ เช่น Facebook Marketplace หรือ Craigslist ในแง่ของสิ่งแวดล้อม ทั้งสองแบบช่วยลดขยะอิเล็กทรอนิกส์และลดการปล่อยคาร์บอนจากการผลิตเครื่องใหม่ โดยเฉพาะ Refurbished ที่ผ่านการฟื้นฟูอย่างมืออาชีพ ทำให้สามารถใช้งานได้อีกหลายปี ✅ ข้อมูลสำคัญจากข่าว ➡️ Refurbished คือมือถือที่ผ่านการตรวจสอบ ซ่อมแซม และปรับปรุงโดยผู้เชี่ยวชาญ ➡️ มีการเปลี่ยนชิ้นส่วน อัปเดตซอฟต์แวร์ และทดสอบการทำงานทุกจุด ➡️ มักมีการรับประกัน 90 วันถึง 1 ปีจากผู้ผลิตหรือร้านค้า ➡️ Used คือมือถือที่ขายต่อโดยเจ้าของเดิม โดยไม่มีการตรวจสอบหรือซ่อมแซม ➡️ ราคาของ Used ถูกกว่ามาก แต่มีความเสี่ยงสูง ➡️ Refurbished มีมาตรฐานแบตเตอรี่ เช่น ต้องมีความจุเกิน 85% หรือเปลี่ยนใหม่ ➡️ Refurbished ใช้ระบบ grading เพื่อบอกสภาพเครื่อง เช่น Fair, Good, Premium ➡️ Refurbished ลดการปล่อยคาร์บอนถึง 92% เมื่อเทียบกับการผลิตเครื่องใหม่ ➡️ ผู้บริโภคในแคนาดานิยมซื้อ Refurbished มากขึ้น โดยตลาดรวมแตะ $69 พันล้านในปี 2024 ✅ ข้อมูลเสริมจากภายนอก ➡️ Apple, Samsung, และ Google มีโปรแกรม Refurbished ที่รับประกันคุณภาพ ➡️ Amazon Renewed ใช้ระบบตรวจสอบโดยช่างเทคนิค พร้อมอุปกรณ์เสริมที่เทียบเท่าเครื่องใหม่ ➡️ Refurbished iPhone สามารถตรวจสอบแบตเตอรี่ได้ผ่านเมนู Battery Health ➡️ ร้านที่น่าเชื่อถือมักให้การรับประกันอย่างน้อย 90 วันสำหรับเครื่อง Refurbished ➡️ Refurbished บางรุ่นมีการเปลี่ยนฝาหลังหรือหน้าจอใหม่เพื่อให้ดูเหมือนเครื่องใหม่ https://securityonline.info/refurbished-vs-used-phones-whats-the-real-difference/

🧨 “Chaos Ransomware กลับมาในเวอร์ชัน C++ — ลบไฟล์ขนาดใหญ่, ขโมย Bitcoin แบบเงียบ ๆ และทำลายระบบอย่างรุนแรง” FortiGuard Labs ตรวจพบการพัฒนาใหม่ของมัลแวร์ Chaos Ransomware ซึ่งเปลี่ยนจากภาษา .NET มาเป็น C++ เป็นครั้งแรกในปี 2025 โดยเวอร์ชันใหม่นี้มีชื่อว่า Chaos-C++ และมาพร้อมกับกลยุทธ์ที่รุนแรงและซับซ้อนมากขึ้น ไม่เพียงแค่เข้ารหัสไฟล์เพื่อเรียกค่าไถ่ แต่ยังลบไฟล์ขนาดใหญ่โดยตรง และขโมยข้อมูล Bitcoin จาก clipboard ของผู้ใช้แบบเงียบ ๆ การโจมตีเริ่มต้นด้วยโปรแกรมปลอมชื่อ “System Optimizer v2.1” ที่แสดงข้อความหลอกว่าเป็นการปรับแต่งระบบ แต่เบื้องหลังกลับติดตั้ง payload ของ Chaos โดยใช้เทคนิคซ่อนหน้าต่างและบันทึกกิจกรรมไว้ในไฟล์ sysopt.log เพื่อหลีกเลี่ยงการตรวจจับ เมื่อมัลแวร์ตรวจพบสิทธิ์ระดับ admin มันจะรันคำสั่งลบระบบสำรอง เช่น shadow copy, recovery catalog และการตั้งค่าการบูต เพื่อป้องกันไม่ให้เหยื่อกู้คืนข้อมูลได้ Chaos-C++ ใช้กลยุทธ์ 3 ระดับในการจัดการไฟล์: 1️⃣ ไฟล์ ≤ 50MB: เข้ารหัสเต็มรูปแบบ 2️⃣ ไฟล์ 50MB–1.3GB: ข้ามไปเพื่อเพิ่มความเร็ว 3️⃣ ไฟล์ > 1.3GB: ลบเนื้อหาโดยตรงแบบไม่สามารถกู้คืนได้ ในด้านการเข้ารหัส หากระบบมี Windows CryptoAPI จะใช้ AES-256-CFB พร้อมการสร้างคีย์ผ่าน SHA-256 แต่หากไม่มี จะ fallback ไปใช้ XOR ซึ่งอ่อนแอกว่าแต่ยังทำงานได้ ฟีเจอร์ใหม่ที่น่ากลัวคือ clipboard hijacking — Chaos จะตรวจสอบ clipboard หากพบที่อยู่ Bitcoin จะเปลี่ยนเป็น wallet ของผู้โจมตีทันที ทำให้เหยื่อที่พยายามจ่ายค่าไถ่หรือทำธุรกรรมอื่น ๆ อาจส่งเงินไปยังผู้โจมตีโดยไม่รู้ตัว ✅ ข้อมูลสำคัญจากข่าว ➡️ Chaos Ransomware เวอร์ชันใหม่เขียนด้วยภาษา C++ เป็นครั้งแรก ➡️ ใช้โปรแกรมปลอมชื่อ “System Optimizer v2.1” เพื่อหลอกให้ติดตั้ง ➡️ บันทึกกิจกรรมไว้ในไฟล์ sysopt.log เพื่อสร้าง forensic footprint ➡️ ตรวจสอบสิทธิ์ admin โดยสร้างไฟล์ทดสอบที่ C:\WINDOWS\test.tmp ➡️ รันคำสั่งลบระบบสำรอง เช่น shadow copy และ recovery catalog ➡️ กลยุทธ์จัดการไฟล์: เข้ารหัส, ข้าม, และลบเนื้อหาโดยตรง ➡️ ใช้ AES-256-CFB หากมี CryptoAPI หรือ fallback เป็น XOR ➡️ เปลี่ยนชื่อไฟล์เป็น .chaos หลังเข้ารหัส ➡️ Hijack clipboard เพื่อขโมย Bitcoin โดยเปลี่ยนที่อยู่เป็น wallet ของผู้โจมตี ➡️ เป้าหมายหลักคือผู้ใช้ Windows ที่มีไฟล์ขนาดใหญ่และใช้ cryptocurrency ✅ ข้อมูลเสริมจากภายนอก ➡️ Chaos เวอร์ชันก่อนหน้า เช่น BlackSnake และ Lucky_Gh0$t ใช้ .NET และมีพฤติกรรมคล้ายกัน ➡️ Clipboard hijacking เคยพบในมัลแวร์เช่น Agent Tesla และ RedLine Stealer ➡️ การลบไฟล์ขนาดใหญ่โดยตรงเป็นกลยุทธ์ที่พบได้น้อยใน ransomware ทั่วไป ➡️ การใช้ CreateProcessA() กับ CREATE_NO_WINDOW เป็นเทคนิคหลบการตรวจจับ ➡️ การใช้ mutex เพื่อป้องกันการรันหลาย instance เป็นเทคนิคที่พบในมัลแวร์ระดับสูง ‼️ คำเตือนและข้อจำกัด ⛔ Chaos-C++ สามารถลบไฟล์ขนาดใหญ่โดยไม่สามารถกู้คืนได้ ⛔ การ hijack clipboard ทำให้ผู้ใช้สูญเสีย Bitcoin โดยไม่รู้ตัว ⛔ การ fallback ไปใช้ XOR ทำให้การเข้ารหัสอ่อนแอแต่ยังทำงานได้ ⛔ การลบระบบสำรองทำให้ไม่สามารถใช้ recovery tools ได้ ⛔ การปลอมตัวเป็นโปรแกรมปรับแต่งระบบทำให้ผู้ใช้หลงเชื่อได้ง่าย https://securityonline.info/chaos-ransomware-evolves-to-c-uses-destructive-extortion-to-delete-large-files-and-hijack-bitcoin-clipboard/

☀️ “Microsoft จับมือ Shizen Energy เดินหน้าพลังงานแสงอาทิตย์ 100MW ในญี่ปุ่น — ป้อนพลังงานสะอาดให้ศูนย์ข้อมูล AI” Microsoft เดินหน้าสู่เป้าหมายลดคาร์บอนในญี่ปุ่น ด้วยการลงนามข้อตกลงซื้อพลังงานระยะยาว (PPA) กับบริษัทพลังงานหมุนเวียน Shizen Energy รวม 3 โครงการใหม่ในภูมิภาคคิวชูและชูโกกุ ซึ่งจะผลิตไฟฟ้ารวม 100 เมกะวัตต์ (MW) เพื่อสนับสนุนการดำเนินงานของศูนย์ข้อมูลและบริการ AI ของ Microsoft ในประเทศ นี่เป็นการขยายความร่วมมือจากโครงการ Inuyama Solar Project ที่เริ่มต้นในปี 2023 และถือเป็นสัญญาระยะยาวฉบับที่ 4 ระหว่างสองบริษัท โดยหนึ่งในโรงไฟฟ้าในคิวชูเริ่มดำเนินการแล้ว ส่วนอีกสองแห่งในชูโกกุกำลังอยู่ระหว่างการก่อสร้าง และจะบริหารโดยบริษัทลูก Shizen Operations โครงการทั้งหมดได้รับการสนับสนุนทางการเงินจากกลุ่มสถาบันการเงินทั้งในและต่างประเทศ ซึ่งสะท้อนถึงความเชื่อมั่นของนักลงทุนต่อศักยภาพของตลาดพลังงานหมุนเวียนในญี่ปุ่น Microsoft ใช้รูปแบบสัญญา PPA และ VPPA เพื่อรับประกันการใช้พลังงานสะอาดในราคาคงที่ โดย VPPA จะดำเนินการผ่านการแลกเปลี่ยนใบรับรองพลังงานหมุนเวียน (REC) ซึ่งช่วยชดเชยการปล่อยคาร์บอนแม้ไม่มีการเชื่อมต่อทางกายภาพกับแหล่งผลิต การลงทุนครั้งนี้เป็นส่วนหนึ่งของเป้าหมายของ Microsoft ที่จะใช้พลังงานหมุนเวียน 100% ภายในปี 2025 และเป็นองค์กรที่ปล่อยคาร์บอนสุทธิเป็นลบภายในปี 2030 โดยเฉพาะในยุคที่การประมวลผล AI และคลาวด์ต้องใช้พลังงานมหาศาล ✅ ข้อมูลสำคัญจากข่าว ➡️ Microsoft ลงนาม PPA กับ Shizen Energy รวม 100MW สำหรับพลังงานแสงอาทิตย์ในญี่ปุ่น ➡️ ครอบคลุม 3 โครงการในคิวชูและชูโกกุ หนึ่งแห่งเริ่มดำเนินการแล้ว อีกสองแห่งกำลังก่อสร้าง ➡️ โครงการได้รับการสนับสนุนทางการเงินจากสถาบันทั้งในและต่างประเทศ ➡️ เป็นสัญญาระยะยาวฉบับที่ 4 ระหว่าง Microsoft กับ Shizen Energy ➡️ ใช้รูปแบบ PPA และ VPPA เพื่อรับประกันการใช้พลังงานสะอาด ➡️ VPPA ดำเนินการผ่านการแลกเปลี่ยนใบรับรองพลังงานหมุนเวียน (REC) ➡️ สนับสนุนเป้าหมายของ Microsoft ที่จะใช้พลังงานหมุนเวียน 100% ภายในปี 2025 ➡️ Microsoft ตั้งเป้าเป็นองค์กรที่ปล่อยคาร์บอนสุทธิเป็นลบภายในปี 2030 ➡️ โครงการนี้จะช่วยป้อนพลังงานให้ศูนย์ข้อมูล AI และคลาวด์ในญี่ปุ่น https://securityonline.info/microsoft-signs-100-mw-solar-ppa-with-shizen-energy-to-power-ai-in-japan/

🧠 “Gemini 2.5 Computer Use — AI ที่คลิก พิมพ์ และเลื่อนหน้าเว็บได้เหมือนมนุษย์ เปิดประตูสู่ยุคผู้ช่วยดิจิทัลที่ลงมือทำจริง” Google เปิดตัวโมเดล AI ใหม่ล่าสุดในตระกูล Gemini ที่ชื่อว่า “Gemini 2.5 Computer Use” ซึ่งไม่ใช่แค่เข้าใจภาษาและภาพเท่านั้น แต่สามารถ “ลงมือทำ” บนหน้าเว็บได้เหมือนผู้ใช้จริง ไม่ว่าจะเป็นการคลิก พิมพ์ ลากวัตถุ หรือกรอกแบบฟอร์ม โดยไม่ต้องพึ่ง API หรือการเชื่อมต่อเบื้องหลังแบบเดิม โมเดลนี้ถูกออกแบบมาเพื่อให้ AI สามารถโต้ตอบกับอินเทอร์เฟซกราฟิกของเว็บไซต์และแอปได้โดยตรง เช่น การจองนัดหมาย การกรอกข้อมูล การสั่งซื้อสินค้า หรือแม้แต่การทดสอบ UI โดยใช้เพียงคำสั่งจากผู้ใช้ร่วมกับภาพหน้าจอและประวัติการกระทำล่าสุด Gemini 2.5 Computer Use รองรับคำสั่งหลัก 13 รูปแบบ เช่น เปิดหน้าเว็บ พิมพ์ข้อความ คลิกปุ่ม เลื่อนหน้า และลากวัตถุ โดยทำงานในลูปต่อเนื่อง: รับคำสั่ง → วิเคราะห์ → ดำเนินการ → ถ่ายภาพหน้าจอใหม่ → ประเมินผล → ทำต่อหรือหยุด แม้ยังไม่สามารถควบคุมระบบปฏิบัติการเต็มรูปแบบได้ แต่ Google ยืนยันว่าโมเดลนี้มีประสิทธิภาพเหนือกว่าคู่แข่งในหลาย benchmark ทั้ง WebVoyager และ Online-Mind2Web โดยเฉพาะในงานที่ต้องควบคุม UI บนเว็บและมือถือ Gemini 2.5 Computer Use ถูกฝังอยู่ในบริการของ Google เช่น Project Mariner, AI Mode ใน Search และ Firebase Testing Agent และเปิดให้ทดลองใช้งานผ่าน Google AI Studio และ Vertex AI แล้ววันนี้ ✅ ข้อมูลสำคัญจากข่าว ➡️ Gemini 2.5 Computer Use เป็นโมเดล AI ที่ควบคุมอินเทอร์เฟซเว็บได้โดยตรง ➡️ รองรับคำสั่ง 13 รูปแบบ เช่น คลิก พิมพ์ ลากวัตถุ และเลื่อนหน้า ➡️ ทำงานแบบลูป: รับคำสั่ง → วิเคราะห์ → ดำเนินการ → ถ่ายภาพหน้าจอใหม่ ➡️ ไม่ต้องใช้ API — ทำงานผ่านภาพหน้าจอและประวัติการกระทำ ➡️ ใช้ในบริการของ Google เช่น Project Mariner และ AI Mode ➡️ เปิดให้ใช้งานผ่าน Google AI Studio และ Vertex AI ➡️ เหนือกว่าคู่แข่งใน benchmark เช่น WebVoyager และ Online-Mind2Web ➡️ เหมาะกับงาน UI testing, automation, และ personal assistant ✅ ข้อมูลเสริมจากภายนอก ➡️ Project Mariner เคยสาธิตการให้ AI เพิ่มสินค้าลงตะกร้าจากลิสต์วัตถุดิบ ➡️ Claude Sonnet 4.5 และ ChatGPT Agent ก็มีฟีเจอร์ควบคุมคอมพิวเตอร์ แต่ยังไม่เน้นเว็บ ➡️ Gemini 2.5 ใช้ Gemini Pro เป็นฐาน โดยเสริมความเข้าใจภาพและตรรกะ ➡️ ระบบมีการตรวจสอบความปลอดภัยแบบ per-step ก่อนดำเนินการ ➡️ นักพัฒนาสามารถตั้งค่าควบคุมความเสี่ยง เช่น ห้ามซื้อของโดยไม่ยืนยัน https://securityonline.info/google-unveils-gemini-2-5-computer-use-the-next-gen-ai-model-that-takes-action-on-web-interfaces/

🛡️ “พบช่องโหว่ร้ายแรงใน Deno บน Windows — เสี่ยงถูกสั่งรันคำสั่งอันตรายผ่านไฟล์ batch” Deno ซึ่งเป็น runtime สำหรับ JavaScript, TypeScript และ WebAssembly ได้ออกประกาศแจ้งเตือนช่องโหว่ความปลอดภัยระดับสูง (CVE-2025-61787) ที่ส่งผลกระทบต่อระบบ Windows โดยเฉพาะเมื่อมีการเรียกใช้ไฟล์ batch (.bat หรือ .cmd) ผ่าน API ของ Deno ซึ่งอาจเปิดช่องให้ผู้ไม่หวังดีสั่งรันคำสั่งอันตรายได้โดยไม่ตั้งใจ ปัญหานี้เกิดจากพฤติกรรมของ Windows ที่ใช้ API CreateProcess() ซึ่งจะเรียก cmd.exe โดยอัตโนมัติเมื่อมีการรันไฟล์ batch แม้ว่าจะไม่ได้ระบุไว้ในคำสั่งโดยตรง ส่งผลให้การส่งอาร์กิวเมนต์จากผู้ใช้ไปยังไฟล์ batch อาจถูกตีความเป็นคำสั่งใหม่ เช่น &calc.exe ซึ่งจะเปิดโปรแกรมเครื่องคิดเลขทันที ทีม Deno ได้แสดงตัวอย่างการโจมตีผ่านโค้ดทั้งใน Node.js และ Deno เอง โดยใช้คำสั่ง spawn() หรือ Command.spawn() เพื่อรันไฟล์ batch พร้อมอาร์กิวเมนต์ที่แฝงคำสั่งอันตราย ซึ่งสามารถเปิดโปรแกรมหรือรันคำสั่งใด ๆ ได้ทันที ช่องโหว่นี้ส่งผลกระทบต่อ Deno เวอร์ชันก่อน 2.5.2 และ 2.2.15 โดยทีมงานได้ออกแพตช์แก้ไขแล้วในเวอร์ชันดังกล่าว พร้อมแนะนำให้นักพัฒนาอัปเดตทันที โดยเฉพาะผู้ที่ใช้ Deno ในการจัดการสคริปต์หรือระบบอัตโนมัติบน Windows ✅ ข้อมูลสำคัญจากข่าว ➡️ ช่องโหว่ CVE-2025-61787 ส่งผลให้เกิด Command Injection บน Windows ➡️ เกิดจากการใช้ CreateProcess() ที่เรียก cmd.exe โดยอัตโนมัติเมื่อรันไฟล์ batch ➡️ ส่งผลให้คำสั่งที่แฝงในอาร์กิวเมนต์ เช่น &calc.exe ถูกตีความเป็นคำสั่งใหม่ ➡️ ตัวอย่างการโจมตีแสดงผ่าน Node.js และ Deno โดยใช้ spawn() และ Command.spawn() ➡️ ช่องโหว่นี้มีคะแนน CVSS 8.1 ถือว่าร้ายแรง ➡️ ส่งผลต่อ Deno เวอร์ชันก่อน 2.5.2 และ 2.2.15 ➡️ ทีมงานออกแพตช์แก้ไขแล้วในเวอร์ชัน 2.5.2 และ 2.2.15 ➡️ แนะนำให้นักพัฒนาอัปเดตทันทีเพื่อป้องกันการโจมตี ✅ ข้อมูลเสริมจากภายนอก ➡️ Deno เป็น runtime ที่เน้นความปลอดภัย โดยไม่อนุญาตให้เข้าถึงระบบโดยตรงเว้นแต่ระบุสิทธิ์ ➡️ Command Injection เป็นหนึ่งในช่องโหว่ที่พบได้บ่อยในระบบที่รับ input จากผู้ใช้ ➡️ Windows มีพฤติกรรมเฉพาะในการจัดการไฟล์ batch ซึ่งต่างจากระบบ Unix ➡️ การใช้ & ใน command line เป็นการเชื่อมคำสั่งหลายชุดใน Windows ➡️ ช่องโหว่นี้อาจถูกใช้ร่วมกับการโจมตีอื่น เช่น privilege escalation หรือ malware dropper https://securityonline.info/high-severity-deno-flaw-cve-2025-61787-allows-command-injection-on-windows/

🛡️ “CrowdStrike อุดช่องโหว่ Falcon Sensor บน Windows — ป้องกันการลบไฟล์โดยไม่ได้รับอนุญาตจาก Race Condition และ Logic Error” CrowdStrike ได้ออกแพตช์ความปลอดภัยเพื่อแก้ไขช่องโหว่ร้ายแรง 2 รายการใน Falcon Sensor สำหรับ Windows ได้แก่ CVE-2025-42701 และ CVE-2025-42706 ซึ่งอาจเปิดช่องให้ผู้โจมตีที่สามารถรันโค้ดในเครื่องได้ลบไฟล์ใด ๆ ก็ได้บนระบบ ส่งผลต่อเสถียรภาพและความสามารถในการตรวจสอบความปลอดภัยของระบบ ช่องโหว่แรก CVE-2025-42701 เกิดจาก Race Condition ในการจัดการไฟล์ ซึ่งอาจทำให้เกิดการลบไฟล์โดยไม่ได้ตั้งใจ หากมีการเปลี่ยนแปลงสถานะของไฟล์ระหว่างการตรวจสอบและการใช้งาน ส่วนช่องโหว่ที่สอง CVE-2025-42706 เกิดจาก Logic Error ในการจัดการคำสั่งไฟล์ของ Falcon Sensor ซึ่งเปิดโอกาสให้ผู้โจมตีลบไฟล์สำคัญได้เช่นกัน แม้ช่องโหว่ทั้งสองจะไม่สามารถถูกโจมตีจากระยะไกลได้โดยตรง แต่หากผู้โจมตีสามารถรันโค้ดในเครื่องได้ ก็สามารถใช้ช่องโหว่นี้เพื่อทำลายระบบหรือปิดการทำงานของซอฟต์แวร์รักษาความปลอดภัยอื่น ๆ ได้ CrowdStrike ยืนยันว่าไม่มีการโจมตีจริงในขณะนี้ และได้ออกแพตช์สำหรับเวอร์ชัน 7.24 ถึง 7.28 รวมถึงเวอร์ชัน 7.16 สำหรับ Windows 7 และ Windows Server 2008 R2 โดย Falcon Sensor บน macOS, Linux และ Windows รุ่นเก่าไม่ได้รับผลกระทบ ✅ ข้อมูลสำคัญจากข่าว ➡️ CrowdStrike แก้ไขช่องโหว่ CVE-2025-42701 และ CVE-2025-42706 ใน Falcon Sensor บน Windows ➡️ CVE-2025-42701 เกิดจาก Race Condition ในการจัดการไฟล์ ➡️ CVE-2025-42706 เกิดจาก Logic Error ในการจัดการคำสั่งไฟล์ ➡️ ช่องโหว่เปิดโอกาสให้ลบไฟล์ใด ๆ บนระบบ หากผู้โจมตีสามารถรันโค้ดได้ ➡️ ไม่มีการโจมตีจริงในขณะนี้ แต่ CrowdStrike เฝ้าระวังอย่างใกล้ชิด ➡️ Falcon Sensor บน macOS, Linux และ Windows รุ่นเก่าไม่ได้รับผลกระทบ ➡️ แพตช์ออกสำหรับเวอร์ชัน 7.24–7.28 และ 7.16 สำหรับ Windows 7 / 2008 R2 ➡️ ช่องโหว่ถูกค้นพบผ่านโปรแกรม Bug Bounty ของ CrowdStrike https://securityonline.info/crowdstrike-releases-fixes-for-two-falcon-sensor-for-windows-vulnerabilities-cve-2025-42701-cve-2025-42706/

🔐 “GitLab อุดช่องโหว่ร้ายแรงใน GraphQL API — เสี่ยงเขียนข้อมูลโดยไม่ได้รับอนุญาต และโจมตีระบบให้ล่มจากระยะไกล” GitLab ได้ออกแพตช์อัปเดตความปลอดภัยเพื่อแก้ไขช่องโหว่ร้ายแรง 2 รายการใน GraphQL API ที่ส่งผลกระทบต่อทั้ง Community Edition (CE) และ Enterprise Edition (EE) โดยช่องโหว่เหล่านี้อาจเปิดโอกาสให้ผู้โจมตีสามารถเขียนข้อมูลโดยไม่ได้รับอนุญาต หรือทำให้ระบบ GitLab ไม่ตอบสนองผ่านการโจมตีแบบ denial-of-service (DoS) ช่องโหว่แรกคือ CVE-2025-11340 ซึ่งมีคะแนนความรุนแรง CVSS 7.7 โดยเปิดช่องให้ผู้ใช้ที่มี API token แบบ read-only สามารถเขียนข้อมูลลงใน vulnerability records ได้โดยไม่ควรเกิดขึ้น ซึ่งเป็นการละเมิดขอบเขตสิทธิ์อย่างชัดเจน ช่องโหว่ที่สองคือ CVE-2025-10004 มีคะแนน CVSS 7.5 และสามารถถูกโจมตีจากระยะไกลโดยไม่ต้องมีการยืนยันตัวตน ผู้โจมตีสามารถส่ง GraphQL query ที่ร้องขอ blob ขนาดใหญ่มากจาก repository ซึ่งจะทำให้ระบบ GitLab ทำงานช้าลงหรือไม่ตอบสนองเลย GitLab ได้ออกแพตช์สำหรับเวอร์ชัน 18.4.2, 18.3.4 และ 18.2.8 พร้อมแนะนำให้ผู้ดูแลระบบที่ใช้ GitLab แบบ self-managed รีบอัปเดตทันที เพื่อป้องกันการโจมตีที่อาจเกิดขึ้น โดยเฉพาะในระบบที่เปิดให้เข้าถึงจากสาธารณะ นอกจากนี้ยังมีการแก้ไขช่องโหว่ระดับกลางและต่ำ เช่น CVE-2025-9825 (เกี่ยวกับ CI/CD variables) และ CVE-2025-2934 (DoS ผ่าน webhook) แต่ GitLab ให้ความสำคัญกับช่องโหว่ใน GraphQL เป็นอันดับแรก ✅ ข้อมูลสำคัญจากข่าว ➡️ GitLab ออกแพตช์แก้ไขช่องโหว่ CVE-2025-11340 และ CVE-2025-10004 ➡️ CVE-2025-11340 เปิดช่องให้ผู้ใช้ read-only API token เขียนข้อมูล vulnerability records ได้ ➡️ CVE-2025-10004 เปิดช่องให้โจมตีจากระยะไกลผ่าน GraphQL query ที่ร้องขอ blob ขนาดใหญ่ ➡️ ช่องโหว่ส่งผลกระทบต่อทั้ง GitLab CE และ EE ➡️ แพตช์ออกสำหรับเวอร์ชัน 18.4.2, 18.3.4 และ 18.2.8 ➡️ GitLab แนะนำให้ผู้ดูแลระบบ self-managed รีบอัปเดตทันที ➡️ ช่องโหว่ CVE-2025-10004 ไม่ต้องใช้การยืนยันตัวตน เพิ่มความเสี่ยงในการโจมตี ➡️ มีการแก้ไขช่องโหว่ระดับกลางและต่ำเพิ่มเติม เช่น CVE-2025-9825 และ CVE-2025-2934 ✅ ข้อมูลเสริมจากภายนอก ➡️ GraphQL API เป็นช่องทางหลักในการสื่อสารข้อมูลระหว่าง client และ server ใน GitLab ➡️ การโจมตีแบบ blob overload เคยถูกใช้ในระบบอื่นเพื่อทำให้เซิร์ฟเวอร์ล่ม ➡️ GitLab Duo มีฟีเจอร์ช่วยอธิบายช่องโหว่และเสนอวิธีแก้ไขโดยใช้ AI ➡️ GitLab Dedicated ได้รับแพตช์แล้วโดยอัตโนมัติ ➡️ การอัปเดตเวอร์ชันใหม่ไม่ต้อง migration ฐานข้อมูล และสามารถทำแบบ zero downtime ได้ https://securityonline.info/gitlab-patches-two-high-severity-flaws-in-graphql-api-affecting-both-ce-and-ee-editions/