Sora บุกตลาดเอเชีย! แอปสร้างวิดีโอจาก OpenAI พร้อมฟีเจอร์ Cameo สุดฮิตและกฎความปลอดภัยใหม่

OpenAI เปิดตัว Sora App ในเอเชียอย่างเป็นทางการ พร้อมฟีเจอร์ Cameo ที่ให้ผู้ใช้ใส่ตัวเองลงในวิดีโอ AI และระบบความปลอดภัยหลายชั้นเพื่อป้องกันเนื้อหาที่ไม่เหมาะสม

Sora App คือแอปสร้างวิดีโอด้วย AI จาก OpenAI ที่เปิดตัวครั้งแรกในสหรัฐฯ และแคนาดาเมื่อเดือนกันยายน และตอนนี้ได้ขยายสู่เอเชีย โดยเริ่มที่ไต้หวัน ไทย และเวียดนาม ซึ่งเป็นภูมิภาคที่มีชุมชนครีเอเตอร์ที่แข็งแกร่ง

ผู้ใช้สามารถดาวน์โหลดแอปได้ทันทีจาก Apple App Store โดยไม่ต้องใช้โค้ดเชิญ ฟีเจอร์เด่นของ Sora ได้แก่การสร้างวิดีโอจากข้อความ (text-to-video), การรีมิกซ์วิดีโอของผู้ใช้อื่น, ฟีดวิดีโอที่ปรับแต่งได้ และ Cameo — ฟีเจอร์ที่ให้ผู้ใช้บันทึกคลิปและเสียงของตัวเองเพื่อให้ AI สร้างวิดีโอที่มีใบหน้าและเสียงของผู้ใช้ในฉากต่างๆ

OpenAI เน้นย้ำเรื่องความปลอดภัย โดยใช้ระบบกรองหลายชั้น เช่น การตรวจสอบเฟรมวิดีโอ, คำสั่งข้อความ และเสียง เพื่อป้องกันเนื้อหาลามก, ส่งเสริมการทำร้ายตัวเอง หรือเนื้อหาก่อการร้าย นอกจากนี้ยังมีระบบ watermark แบบ C2PA ที่ฝังในวิดีโอเพื่อระบุว่าเป็นเนื้อหา AI

ฟีเจอร์ Cameo ยังให้ผู้ใช้ควบคุมสิทธิ์ของตัวเองได้เต็มที่ เช่น ถอนการอนุญาต หรือขอลบวิดีโอที่มีใบหน้าตนเอง แม้จะยังอยู่ในร่างต้นฉบับก็ตาม

สำหรับผู้ใช้วัยรุ่น Sora มีการจำกัดเวลาการใช้งานรายวัน และเพิ่มการตรวจสอบจากมนุษย์เพื่อป้องกันการกลั่นแกล้ง พร้อมระบบควบคุมโดยผู้ปกครองผ่าน ChatGPT

สรุปเนื้อหาสำคัญและคำเตือน

Sora App เปิดตัวในเอเชีย
เริ่มใช้งานในไต้หวัน ไทย และเวียดนาม
ดาวน์โหลดได้ทันทีจาก Apple App Store โดยไม่ต้องใช้โค้ดเชิญ

ฟีเจอร์เด่นของ Sora
สร้างวิดีโอจากข้อความ (text-to-video)
รีมิกซ์วิดีโอของผู้ใช้อื่น
ฟีดวิดีโอที่ปรับแต่งได้
Cameo: ใส่ใบหน้าและเสียงของผู้ใช้ลงในวิดีโอ AI

ระบบความปลอดภัยของ Sora
กรองเนื้อหาด้วยการตรวจสอบเฟรม, ข้อความ และเสียง
ป้องกันเนื้อหาลามก, ส่งเสริมการทำร้ายตัวเอง และก่อการร้าย
ใช้ watermark แบบ C2PA เพื่อระบุว่าเป็นวิดีโอจาก AI

การควบคุมสิทธิ์ของผู้ใช้
ผู้ใช้สามารถถอนการอนุญาต Cameo ได้ทุกเมื่อ
ขอให้ลบวิดีโอที่มีใบหน้าตนเองได้ แม้ยังไม่เผยแพร่

การป้องกันสำหรับผู้ใช้วัยรุ่น
จำกัดเวลาการใช้งานรายวัน
เพิ่มการตรวจสอบจากมนุษย์
ผู้ปกครองสามารถควบคุมผ่าน ChatGPT

เกร็ดน่ารู้เพิ่มเติม
เทคโนโลยี C2PA (Coalition for Content Provenance and Authenticity) เป็นมาตรฐานใหม่ที่ใช้ระบุแหล่งที่มาของเนื้อหาดิจิทัล
ฟีเจอร์ Cameo คล้ายกับเทคโนโลยี deepfake แต่มีการควบคุมสิทธิ์และความปลอดภัยมากกว่า
การเปิดตัวในเอเชียสะท้อนถึงการเติบโตของตลาดครีเอเตอร์ในภูมิภาคนี้อย่างชัดเจน

https://securityonline.info/openai-launches-sora-app-in-asia-featuring-viral-cameos-and-new-safety-rules/

PhantomRaven: มัลแวร์ npm สุดแสบที่ขโมยข้อมูลนักพัฒนาแบบแนบเนียน

แคมเปญมัลแวร์ PhantomRaven แอบแฝงใน npm ด้วยแพ็กเกจปลอมกว่า 126 รายการ ใช้เทคนิคลับ Remote Dynamic Dependency เพื่อขโมยโทเคนและข้อมูลลับของนักพัฒนาโดยไม่ถูกตรวจจับ

ตั้งแต่เดือนสิงหาคม 2025 แคมเปญมัลแวร์ชื่อ PhantomRaven ได้แอบปล่อยแพ็กเกจ npm ปลอมกว่า 126 รายการ ซึ่งถูกดาวน์โหลดไปแล้วกว่า 86,000 ครั้ง จุดประสงค์หลักคือขโมยข้อมูลลับของนักพัฒนา เช่น GitHub credentials, CI/CD tokens และ npm authentication tokens

สิ่งที่ทำให้ PhantomRaven อันตรายคือการใช้ฟีเจอร์ Remote Dynamic Dependency (RDD) ซึ่งอนุญาตให้แพ็กเกจ npm ดึง dependencies จาก URL ภายนอก แทนที่จะใช้ registry ปกติ ทำให้เครื่องมือสแกนความปลอดภัยมองว่าแพ็กเกจเหล่านี้ “ไม่มี dependencies” และปลอดภัย ทั้งที่จริงแล้วโค้ดอันตรายจะถูกดึงมาและรันทันทีเมื่อผู้ใช้ติดตั้ง

แพ็กเกจปลอมเหล่านี้มักมีชื่อคล้ายของจริง เช่น eslint-comments (จริงคือ eslint-plugin-eslint-comments) หรือ unused-imports (จริงคือ eslint-plugin-unused-imports) ซึ่งถูกออกแบบมาให้ AI แนะนำโดยผิดพลาดเมื่อผู้ใช้ถามหาแพ็กเกจในแชตบอตหรือ Copilot

เมื่อโค้ดรัน มัลแวร์จะเริ่มเก็บข้อมูลจากไฟล์ .gitconfig, .npmrc, package.json รวมถึงสแกนหาโทเคนจาก GitHub Actions, GitLab, Jenkins และ CircleCI จากนั้นจะส่งข้อมูลออกผ่าน HTTP GET, POST และ WebSocket เพื่อให้แน่ใจว่าข้อมูลจะหลุดออกไปแม้ในเครือข่ายที่มีไฟร์วอลล์

PhantomRaven คือแคมเปญมัลแวร์ใน npm
ปล่อยแพ็กเกจปลอมกว่า 126 รายการ
ถูกดาวน์โหลดไปแล้วกว่า 86,000 ครั้ง
เริ่มต้นในเดือนสิงหาคม 2025 และยังมีแพ็กเกจที่ยังไม่ถูกลบ

เทคนิค Remote Dynamic Dependency (RDD)
ดึงโค้ดจาก URL ภายนอกแทน registry
ทำให้เครื่องมือสแกนมองว่าไม่มี dependencies
โค้ดอันตรายจะรันทันทีเมื่อติดตั้งผ่าน preinstall script

ข้อมูลที่มัลแวร์พยายามขโมย
อีเมลและข้อมูลจากไฟล์ config
โทเคนจาก GitHub, GitLab, Jenkins, CircleCI
ข้อมูลระบบ เช่น IP, hostname, OS, username

ช่องทางการส่งข้อมูลออก
HTTP GET (ฝังข้อมูลใน URL)
HTTP POST (ส่ง JSON payload)
WebSocket (ใช้ในเครือข่ายที่มีข้อจำกัด)

ความเสี่ยงจากแพ็กเกจปลอม
ชื่อคล้ายของจริง ทำให้ AI แนะนำผิด
ผู้ใช้ติดตั้งโดยไม่รู้ว่าเป็นมัลแวร์
โค้ดดูเหมือน harmless เช่น console.log('Hello, world!') แต่แฝง payload จริงไว้ภายนอก

ความเสี่ยงต่อระบบ CI/CD และข้อมูลลับ
โทเคนและ credentials ถูกขโมยโดยไม่รู้ตัว
ส่งผลกระทบต่อระบบอัตโนมัติและการ deploy
อาจถูกใช้เพื่อเจาะระบบองค์กรหรือ cloud infrastructure

เกร็ดน่ารู้เพิ่มเติม
Remote Dynamic Dependency เป็นฟีเจอร์ที่แทบไม่มีใครใช้ เพราะเสี่ยงต่อความปลอดภัยสูง
Slopsquatting คือเทคนิคใหม่ที่ใช้ AI สร้างชื่อแพ็กเกจปลอมที่ “ดูเหมือนจริง” เพื่อหลอกให้ผู้ใช้ติดตั้ง
นักพัฒนาควรใช้เครื่องมือเช่น npm audit, Snyk, หรือ Socket.dev เพื่อตรวจสอบความปลอดภัยของแพ็กเกจ

https://securityonline.info/phantomraven-126-malicious-npm-packages-steal-developer-tokens-and-secrets-using-hidden-dependencies/

Airstalk: มัลแวร์สายลับระดับชาติ แฝงตัวผ่านระบบ MDM ของ VMware เพื่อขโมยข้อมูลแบบไร้ร่องรอย

นักวิจัยจาก Unit 42 แห่ง Palo Alto Networks พบมัลแวร์ใหม่ชื่อ Airstalk ที่ใช้ API ของ VMware AirWatch (Workspace ONE) เป็นช่องทางสื่อสารลับ (C2) เพื่อขโมยข้อมูลจากองค์กรผ่านการโจมตีแบบ supply chain

Airstalk ไม่ใช่มัลแวร์ธรรมดา แต่มันคือเครื่องมือจารกรรมที่ถูกออกแบบมาอย่างชาญฉลาด โดยมีทั้งเวอร์ชัน PowerShell และ .NET ซึ่งสามารถขโมยข้อมูลจากเบราว์เซอร์ เช่น cookies, bookmarks, ประวัติการใช้งาน และภาพหน้าจอ

สิ่งที่ทำให้ Airstalk น่ากลัวคือมันใช้ API ของ AirWatch ซึ่งเป็นระบบจัดการอุปกรณ์พกพา (MDM) ที่องค์กรจำนวนมากใช้ในการควบคุมมือถือและแท็บเล็ตของพนักงาน โดย Airstalk แอบใช้ฟีเจอร์ “custom device attributes” และ “file uploads” เพื่อส่งคำสั่งและรับข้อมูลกลับจากเครื่องเหยื่อ — เหมือนกับการใช้ “ตู้ฝากของลับ” แบบสายลับ

มัลแวร์นี้ยังใช้เทคนิคขั้นสูง เช่น การเซ็นชื่อดิจิทัลด้วยใบรับรองที่ถูกขโมย การเปลี่ยนแปลง timestamp ของไฟล์ และการลบตัวเองหลังจากทำงานเสร็จ เพื่อหลบเลี่ยงการตรวจจับ

Unit 42 เชื่อว่ามัลแวร์นี้ถูกใช้โดยกลุ่มที่ได้รับการสนับสนุนจากรัฐ (nation-state actor) และมีเป้าหมายคือการจารกรรมระยะยาว ไม่ใช่การโจมตีแบบทำลายล้าง โดยเฉพาะการเจาะผ่านบริษัท BPO (outsourcing) ที่ให้บริการกับหลายองค์กร ทำให้สามารถเข้าถึงเหยื่อจำนวนมากได้ในคราวเดียว

เกร็ดน่ารู้เพิ่มเติม
“Dead drop” เป็นเทคนิคที่สายลับใช้ในการแลกเปลี่ยนข้อมูลโดยไม่พบกันโดยตรง
AirWatch (Workspace ONE) เป็นระบบ MDM ที่ใช้กันอย่างแพร่หลายในองค์กรขนาดใหญ่
การโจมตีแบบ supply chain เคยเกิดขึ้นแล้วในกรณี SolarWinds และ 3CX ซึ่งสร้างความเสียหายมหาศาล

Airstalk คือมัลแวร์จารกรรมระดับสูง
มีทั้งเวอร์ชัน PowerShell และ .NET
ขโมยข้อมูลจากเบราว์เซอร์ เช่น cookies, bookmarks, screenshots
ใช้ API ของ VMware AirWatch เป็นช่องทางสื่อสารลับ

เทคนิคการโจมตี
ใช้ “custom device attributes” และ “file uploads” เพื่อส่งคำสั่ง
ใช้ endpoint /api/mdm/devices/ และ /api/mam/blobs/uploadblob
สื่อสารแบบ “dead drop” โดยไม่ต้องเชื่อมต่อโดยตรง

ความสามารถของเวอร์ชัน .NET
รองรับ multi-threaded communication
มีระบบ debug, beaconing ทุก 10 นาที
รองรับเบราว์เซอร์หลายตัว เช่น Chrome, Edge, Island

เทคนิคหลบเลี่ยงการตรวจจับ
ใช้ใบรับรองดิจิทัลที่ถูกขโมย
เปลี่ยน timestamp ของไฟล์
ลบตัวเองหลังจากทำงานเสร็จ

ความเสี่ยงจากการใช้ MDM เป็นช่องทางโจมตี
ทำให้มัลแวร์แฝงตัวในระบบที่องค์กรไว้วางใจ
ยากต่อการตรวจจับโดยระบบป้องกันทั่วไป
อาจเข้าถึงข้อมูลของหลายองค์กรผ่านผู้ให้บริการ BPO

ความเสี่ยงต่อความมั่นคงขององค์กร
ข้อมูลสำคัญอาจถูกขโมยโดยไม่รู้ตัว
การโจมตีแบบ supply chain ทำให้ยากต่อการควบคุม
อาจนำไปสู่การจารกรรมระดับชาติหรืออุตสาหกรรม

https://securityonline.info/nation-state-espionage-airstalk-malware-hijacks-vmware-airwatch-mdm-api-for-covert-c2-channel/

Examples Of Every Letter Being Silent, With The Exception Of…

You probably already know that English features many, many words with silent letters—letters that appear in the word but aren’t pronounced and often make us wonder what they are even doing there. For example, the letter B in the words debt and thumb. Or whatever the heck is going on in the words colonel, queue, and bourgeoisie.

Even though you’re probably already familiar with silent letters, you might not realize just how many words in English actually use them. To demonstrate just how common these silent letters actually are, we quietly gathered up a list of as many examples of silent letters as we could find.

It should be noted that silent letters often depend on pronunciation and regional accents, which we have noted at points in our list.

Silent A words

The letter A is silent in a bunch of words that include -ea, such as bread, dread, head, thread, and spread. The letter A also remains quiet in a bunch of adverbs that end in -ically, such as basically, stoically, logically, frantically, fanatically, magically, and tragically. A few words also have a silent A at the beginning that doesn’t seem to do much of anything, such as aisle and aesthetic.

Silent B words

The letter B likes to silently follow the letter M at the end of many words, such as in dumb, plumb, crumb, thumb, numb, succumb, lamb, limb, climb, tomb, comb, bomb, and womb. The letter B also seems to also slip in silently before the letter T in words like debt, doubt, and subtle.

Silent C words

When it comes to the letter C, it seems to remain silent when it follows the letter S. There are many examples of this, such as science, scissors, scent, ascent, crescent, descent, descend, disciple, scene, obscene, fluorescent, abscess, fascinate, and muscle.

The silent C also shows up in a few other weird words such as czar, acquire, indict, and yacht. Yacht is so fancy that it even slips a silent H in there too.

Silent D words

The letter D is silent in some words that pair it up with the letter G, as in bridge, ridge, edge, ledge, and hedge. It also doesn’t have much to say in some pronunciations of the words handsome and handkerchief. Lastly, the first D in the word Wednesday seems to have taken the day off.

Silent E words

The letter E quietly resides in the middle of the word vegetable. However, there are tons and tons more silent E‘s out there. The letter E often goes unpronounced at the end of many, many words that include but are certainly not limited to the words imagine, plaque, brute, debate, excite, make, due, true, crime, grace, goose, axe, die, dye, bike, eke, pie, use, toe, cage, dude, mute, candle, and adore.

Silent F words

This one will depend on how you pronounce the word fifth, which has two common pronunciations: one in which both F‘s are pronounced and one in which the second F is not (as if it were spelled “fith”). As far as we know, this silent F pronunciation of fifth is the only example in English of a word with a silent F.

Silent G words

For whatever reason, the letter G likes to stay quiet when it is paired up with the letter N. Examples include gnaw, gnarly, gnostic, gnat, gnash, gnome, champagne, cologne, align, assign, benign, sign, feign, foreign, and reign. The letter G also often keeps quiet when it sees the letter H, as in sigh, high, sight, light, bright, night, fight, though, and thorough.

Silent H words

We have already listed quite a few words with silent Hs but there are plenty more to find. The letter H is sometimes silent when placed at the beginning of words such as hour, heir, honor, herb, homage, and honest. The letter H is silent in many words where it follows the letter C, such as anchor, archive, chaos, character, Christmas, charisma, chemical, choreography, chorus, choir, and echo. The letter H is also silent in words where it follows the letter W, as in when, where, which, why, whine, whistle, and white. Finally, the letter H doesn’t seem to be doing much at all in the words ghost and rhyme.

Silent I words

Compared to the other vowels, the letter I seems to love to be heard. We could only find a few words that feature a silent I, such as business, suit, and fruit.

Silent J words

Based on our, ahem, totally professional research, the only English word to have a silent J is … marijuana. And interestingly, it’s tough to find a language with a silent J. J just loves to be heard.

Silent K words

The letter K is silent at the beginning of lots of words where it is followed by the letter N. Some examples of this include knife, knight, knob, knock, knit, knuckle, knee, kneel, knick-knack, knowledge, know, knot, and knoll.

Silent L words

The letter L is silent in the words including should, could, would, half, calf, chalk, talk, walk, folk, and yolk. The silent L in the word salmon is also pretty fishy.

Silent M words

After looking high and low, the only words we could find with a silent M are ones that begin with mn, such as mnemonic and similarly derived terms, but maybe we just need something to help us remember others.

Silent N words

The letter N seems to be shy around the letter M as it doesn’t speak up in words like autumn, column, condemn, solemn, and hymn.

Silent O words

The letter O is silent in some words that pair it with fellow vowels E and U, such as people, jeopardy, leopard, rough, tough, enough, trouble, and double.

Silent P words

The letter P is often silent in words that pair it with the letter S, as in psalm, psyche, psychology, pseudoscience, pseudonym, and corps. It is also silent in many technical words that include the prefixes pneumato-, pneumano-, and pneumo-, such as pneumonia and pneumatic. The letter P is also silent in a few other oddball words such as raspberry, receipt, and pterodactyl.

Silent Q words

The letter Q mostly makes its presence felt whenever it appears. The word lacquer seems to be the sole example of a word with a silent Q that we could manage to find.

Silent R words

Besides the common pronunciation of the word February that leaves out the first R, the existence (or nonexistence) of silent R’s largely depends on whether you have a rhotic or non-rhotic accent. For example, a person with a non-rhotic Boston accent will likely employ several silent R’s following vowels in the sentence My sister parked her car near Harvard Yard.

Silent S words

The Silent S appears in several different words, including island, isle, aisle, apropos, debris, bourgeois, and viscount.

Silent T words

One pattern we could find for the Silent T occurs when it is paired with the letter L in words like whistle, bristle, thistle, bustle, hustle, and castle. The letter T is also silent in a lot of French loanwords such as ballet, gourmet, rapport, ricochet, buffet, crochet, valet, debut, and beret. Besides that, the silent T appears in a random assortment of other words, such as asthma, mortgage, tsunami, soften, listen, fasten, glisten, and moisten.

Silent U words

U must get nervous around G‘s because it can’t seem to say anything when it comes after them in words like guard, guide, guilt, guitar, guess, disguise, guest, guilt, guise, baguette, dialogue, monologue, league, colleague, rogue, vague, and tongue. You can also find a silent U in words like build, biscuit, circuit, and laugh.

Silent V words

We looked as hard as we could for words with a silent V, but we sadly came up empty. Some sources claim that V is the only letter in English that is never silent, and we couldn’t find any examples to prove that claim wrong. Poetic contractions like e’er and ne’er do cut it right out, though.

Silent W words

The letter W gets tongue-tied around the letter R and is often silent when placed before it in words like wrack, wrench, wreath, wrestle, wrangle, wrist, wrong, wring, wrought, write, writ, wrinkle, wraith, wrap, wrath, wretch, wreck, writhe, wry, wrapper, and playwright. A handful of other words also feature a silent W, such as answer, sword, two, and who.

Silent X words

Unless we made an embarrassing mistake, we are pretty sure the letter X is silent in the words faux and faux pas. As it is in other French-derived words, such as roux and doux and some plurals, like choux and reseaux (the plurals of chou and reseau, respectively).

Silent Y words

The letter Y is another one that depends on pronunciation to be silent. For example, one pronunciation of the word beyond [ bee-ond ] could be considered to contain a silent Y.

Silent Z Words

A handful of French loanwords have that special je ne sais quoi of a silent Z, including rendezvous and laissez-faire.

สงวนลิขสิทธิ์ © 2025 AAKKHRA & Co.

ศาลสหรัฐฯ บังคับ Google เปิด Google Play ให้ใช้ระบบจ่ายเงินภายนอกได้แล้ว — แต่เฉพาะในอเมริกาเท่านั้น!

Google ถูกศาลสหรัฐฯ สั่งให้เปิดทางให้แอปบน Google Play ใช้ระบบชำระเงินภายนอกได้ โดยนักพัฒนาสามารถหลีกเลี่ยงค่าคอมมิชชันของ Google และเสนอราคาที่ถูกลงให้ผู้ใช้ได้ — แต่การเปลี่ยนแปลงนี้ยังเป็นเพียงมาตรการชั่วคราว

ก่อนหน้านี้ทั้ง Apple และ Google ต่างก็ไม่อนุญาตให้นักพัฒนาแอปใช้ระบบจ่ายเงินภายนอก เพราะต้องการเก็บค่าคอมมิชชันจากทุกธุรกรรมในแอป แต่เมื่อ Epic Games ฟ้องร้องทั้งสองบริษัทในข้อหาผูกขาด ศาลสหรัฐฯ จึงมีคำตัดสินให้ทั้งสองบริษัทต้องเปิดระบบมากขึ้น

แม้ทั้ง Apple และ Google จะแพ้คดี แต่ผลกระทบที่เกิดขึ้นต่างกัน — Apple ได้รับผลกระทบน้อยกว่าเพราะระบบปิดของ iOS แต่ Google ซึ่งใช้ระบบ Android ที่เปิดกว้างกว่า กลับต้องปรับนโยบายมากกว่า

ผลลัพธ์คือ Google ต้องเปิดให้แอปใน Google Play สามารถใช้ระบบจ่ายเงินภายนอกได้ในสหรัฐฯ นักพัฒนาจึงไม่จำเป็นต้องจ่ายค่าคอมมิชชันให้ Google อีกต่อไป และสามารถเสนอราคาที่ถูกลงให้ผู้ใช้ได้

นอกจากนี้ Google ยังอนุญาตให้นักพัฒนาชี้ทางให้ผู้ใช้ดาวน์โหลดแอปจากแหล่งอื่นนอก Google Play ได้ด้วย แต่ทั้งหมดนี้มีผลเฉพาะในสหรัฐฯ เท่านั้น และจะมีผลถึงวันที่ 1 พฤศจิกายน 2027 เท่านั้น เพราะ Google ยังอยู่ระหว่างการอุทธรณ์คำตัดสิน

แม้จะเปิดให้ใช้ระบบจ่ายเงินภายนอกได้ แต่ Google ก็ยังมีแผนจะเรียกเก็บ “ค่าบริการเสริม” เช่น ค่าตรวจสอบตัวตนหรือค่าความปลอดภัย เพื่อชดเชยรายได้ที่หายไปจากค่าคอมมิชชัน

เกร็ดน่ารู้เพิ่มเติมจากภายนอก
ค่าคอมมิชชันของ Google Play อยู่ที่ประมาณ 15–30% ต่อธุรกรรม
Apple เคยถูกศาลสั่งให้อนุญาตลิงก์ไปยังระบบจ่ายเงินภายนอกเช่นกัน แต่ยังมีข้อจำกัดมาก
การเปิดให้ใช้ระบบจ่ายเงินภายนอกอาจส่งผลให้เกิดการแข่งขันด้านราคามากขึ้นในตลาดแอป

นี่อาจเป็นจุดเริ่มต้นของการเปลี่ยนแปลงครั้งใหญ่ในโลกของแอปมือถือ — แต่จะยั่งยืนหรือไม่ ยังต้องจับตาดูผลของการอุทธรณ์จาก Google ต่อไป

คำสั่งศาลสหรัฐฯ ต่อ Google
บังคับให้ Google เปิดให้ใช้ระบบจ่ายเงินภายนอกในแอป
มีผลเฉพาะในสหรัฐฯ เท่านั้น
มีผลจนถึงวันที่ 1 พฤศจิกายน 2027

ผลกระทบต่อนักพัฒนา
ไม่ต้องจ่ายค่าคอมมิชชันให้ Google
สามารถเสนอราคาที่ถูกลงให้ผู้ใช้
ชี้ทางให้ผู้ใช้ดาวน์โหลดแอปจากแหล่งอื่นได้

ท่าทีของ Google
ปรับนโยบายตามคำสั่งศาลแบบชั่วคราว
อยู่ระหว่างการอุทธรณ์เพื่อยกเลิกคำสั่ง
เตรียมเก็บค่าบริการเสริมแม้ใช้ระบบจ่ายเงินภายนอก

https://securityonline.info/court-mandate-google-play-opens-to-external-payments-in-the-us/

Samsung Internet บุก Windows! พร้อมวิสัยทัศน์ “Ambient AI” ที่จะเปลี่ยนประสบการณ์ท่องเว็บ

Samsung เปิดตัวเบราว์เซอร์ “Samsung Internet” สำหรับ Windows อย่างเป็นทางการ พร้อมฟีเจอร์ซิงก์ข้ามอุปกรณ์ และแนวคิดใหม่ “Ambient AI” ที่จะทำให้เบราว์เซอร์กลายเป็นผู้ช่วยอัจฉริยะในชีวิตประจำวัน

Samsung เคยทดลองปล่อยเบราว์เซอร์ของตัวเองบน Microsoft Store ในปี 2024 แต่ก็ถอดออกไปอย่างเงียบๆ จนกระทั่งล่าสุดในเดือนตุลาคม 2025 บริษัทกลับมาอีกครั้งด้วยการเปิดตัว “Samsung Internet” สำหรับ Windows 10 และ 11 อย่างเป็นทางการ

สิ่งที่น่าสนใจคือเบราว์เซอร์นี้ไม่ได้มาแค่เพื่อให้ใช้งานเว็บทั่วไป แต่เป็นส่วนหนึ่งของวิสัยทัศน์ใหญ่ที่ Samsung เรียกว่า “Ambient AI” — ระบบอัจฉริยะที่สามารถเข้าใจบริบทและคาดการณ์ความต้องการของผู้ใช้ได้ล่วงหน้า

เบราว์เซอร์นี้รองรับการซิงก์ข้อมูลข้ามอุปกรณ์ เช่น บุ๊กมาร์ก ประวัติการท่องเว็บ และข้อมูลการกรอกฟอร์มอัตโนมัติ ทำให้ผู้ใช้สามารถเริ่มต้นจากมือถือแล้วมาต่อบนคอมพิวเตอร์ได้อย่างไร้รอยต่อ

Samsung ยังเน้นเรื่องความเป็นส่วนตัวและความปลอดภัย โดยมีฟีเจอร์บล็อกตัวติดตาม (tracker blocking), แดชบอร์ดความเป็นส่วนตัว และเครื่องมือป้องกันอื่นๆ ติดตั้งมาให้ตั้งแต่แรก

การเปิดตัวครั้งนี้ยังเป็นการประกาศศักดาในสนามแข่งขันเบราว์เซอร์ AI ที่กำลังร้อนแรง โดยมีคู่แข่งอย่าง ChatGPT Atlas จาก OpenAI, Microsoft Edge ที่มี Copilot และ Comet จาก Perplexity

เกร็ดน่ารู้เพิ่มเติมจากภายนอก
Ambient AI คือแนวคิดที่อุปกรณ์และซอฟต์แวร์สามารถ “เข้าใจบริบท” และ “ตอบสนองอัตโนมัติ” โดยไม่ต้องสั่งงานโดยตรง
Samsung Internet มีฐานผู้ใช้บนมือถือ Android หลายร้อยล้านคน โดยเฉพาะในกลุ่มผู้ใช้ Galaxy
การขยายสู่ Windows อาจเป็นก้าวสำคัญในการสร้าง ecosystem ที่แข่งขันกับ Apple และ Google ได้ในระยะยาว

Samsung Internet เปิดตัวบน Windows
รองรับ Windows 10 (เวอร์ชัน 1809 ขึ้นไป) และ Windows 11
เปิดให้ทดลองใช้งานผ่านโปรแกรมเบต้า

ฟีเจอร์เด่นของเบราว์เซอร์
ซิงก์ข้อมูลข้ามอุปกรณ์ เช่น บุ๊กมาร์กและประวัติการใช้งาน
บล็อกตัวติดตามและมีแดชบอร์ดความเป็นส่วนตัว
รองรับการกรอกฟอร์มอัตโนมัติ

วิสัยทัศน์ Ambient AI
เปลี่ยนเบราว์เซอร์จากเครื่องมือรับคำสั่ง เป็นผู้ช่วยอัจฉริยะ
คาดการณ์ความต้องการของผู้ใช้และให้ข้อมูลเชิงบริบท
เป็นส่วนหนึ่งของกลยุทธ์ Galaxy AI ที่ขยายจากมือถือสู่เดสก์ท็อป

การแข่งขันในตลาดเบราว์เซอร์ AI
คู่แข่งหลัก ได้แก่ ChatGPT Atlas, Microsoft Edge Copilot, Perplexity Comet
Samsung ต้องการสร้างระบบนิเวศซอฟต์แวร์ของตัวเองให้แข็งแกร่ง

ข้อควรระวัง
ยังอยู่ในช่วงเบต้า อาจมีบั๊กหรือฟีเจอร์ไม่สมบูรณ์
ผู้ใช้ต้องสมัครเข้าร่วมโปรแกรมทดสอบก่อนใช้งาน
ความสามารถด้าน AI ยังอยู่ระหว่างการพัฒนา อาจยังไม่ตอบโจทย์ทุกสถานการณ์

https://securityonline.info/samsung-internet-arrives-on-windows-pushing-forward-ambient-ai-vision/

Netflix ปรับเกม! ทดลองวิดีโอแนวตั้งและพอดแคสต์ หวังครองใจผู้ใช้มือถือ

Netflix กำลังทดลองฟอร์แมตใหม่อย่างวิดีโอแนวตั้งและพอดแคสต์ เพื่อขยายประสบการณ์ความบันเทิงบนมือถือ หวังเจาะกลุ่มผู้ใช้ที่ชอบดูคอนเทนต์สั้นและฟังเสียงระหว่างเดินทาง

Netflix ไม่หยุดแค่ซีรีส์หรือหนังอีกต่อไป ล่าสุดบริษัทกำลังทดลอง “วิดีโอแนวตั้ง” และ “พอดแคสต์” บนแอปมือถือ เพื่อให้ตอบโจทย์พฤติกรรมผู้ใช้ยุคใหม่ที่นิยมคอนเทนต์สั้น ดูง่าย ฟังสะดวก และเข้าถึงได้ทุกที่ทุกเวลา

วิดีโอแนวตั้งที่ Netflix กำลังทดลองมีลักษณะคล้ายกับ TikTok หรือ Instagram Reels โดยเน้นคลิปสั้นที่ดูได้ในแนวตั้งเต็มจอ ไม่ต้องหมุนมือถือ จุดประสงค์คือเพื่อให้ผู้ใช้สามารถ “เสพความบันเทิงแบบเร็วๆ” ระหว่างพักเบรกหรือเดินทาง

ในขณะเดียวกัน Netflix ยังเริ่มทดลอง “พอดแคสต์” ซึ่งเป็นทั้งเสียงจากรายการที่มีอยู่แล้ว และเนื้อหาพิเศษที่ผลิตขึ้นใหม่โดยเฉพาะ เช่น เบื้องหลังซีรีส์, บทสัมภาษณ์นักแสดง หรือการเล่าเรื่องในรูปแบบเสียงล้วน

การทดลองนี้ยังอยู่ในวงจำกัด โดยเปิดให้ผู้ใช้บางกลุ่มในบางประเทศได้ลองใช้ก่อน หากผลตอบรับดี Netflix อาจเปิดให้ใช้งานทั่วโลกในอนาคต

เกร็ดน่ารู้เพิ่มเติมจากภายนอก
วิดีโอแนวตั้งกลายเป็นเทรนด์หลักของคอนเทนต์มือถือ โดย TikTok มีผู้ใช้งานกว่า 1 พันล้านคนต่อเดือน
พอดแคสต์เป็นตลาดที่เติบโตเร็ว โดย Spotify และ Apple Podcasts ครองส่วนแบ่งหลัก
การเพิ่มฟีเจอร์ใหม่ช่วยให้ Netflix สร้าง “ecosystem” ความบันเทิงที่ครอบคลุมทั้งภาพ เสียง และเกม

Netflix กำลังพิสูจน์ว่าแพลตฟอร์มสตรีมมิงไม่จำเป็นต้องจำกัดแค่ “การดู” อีกต่อไป — แต่สามารถเป็นเพื่อนร่วมทางของคุณได้ทุกที่ ทุกเวลา ทั้งภาพและเสียง!

Netflix ทดลองวิดีโอแนวตั้ง
คลิปสั้นแบบเต็มจอในแนวตั้ง
คล้าย TikTok, Reels, Shorts
เหมาะกับการดูบนมือถือระหว่างเดินทาง

ทดลองฟีเจอร์พอดแคสต์
มีทั้งเสียงจากรายการเดิมและเนื้อหาใหม่
เช่น เบื้องหลังซีรีส์, สัมภาษณ์, เรื่องเล่า
ตอบโจทย์ผู้ใช้ที่ชอบฟังระหว่างทำกิจกรรม

กลยุทธ์ของ Netflix
ขยายรูปแบบความบันเทิงให้หลากหลาย
เจาะกลุ่มผู้ใช้มือถือที่ชอบคอนเทนต์สั้น
แข่งขันกับแพลตฟอร์มอย่าง TikTok, Spotify

ข้อควรระวังและข้อจำกัด
ฟีเจอร์ยังอยู่ในช่วงทดลอง ใช้ได้เฉพาะบางประเทศ
อาจยังไม่รองรับทุกอุปกรณ์หรือบัญชีผู้ใช้
ความหลากหลายของคอนเทนต์อาจยังจำกัดในช่วงแรก

https://securityonline.info/netflix-experiments-with-vertical-video-and-podcasts-redefining-mobile-entertainment/

MOVEit โดนอีกแล้ว! ช่องโหว่ CVE-2025-10932 ในโมดูล AS2 เสี่ยงทำระบบล่ม — Progress เร่งออกแพตช์อุดช่องโหว่

Progress Software ออกแพตช์ด่วนเพื่อแก้ไขช่องโหว่ระดับสูงใน MOVEit Transfer ที่อาจถูกใช้โจมตีแบบ DoS ผ่านโมดูล AS2 ซึ่งเป็นหัวใจของการแลกเปลี่ยนไฟล์แบบปลอดภัยในองค์กร

MOVEit Transfer คือระบบจัดการไฟล์ที่องค์กรทั่วโลกใช้กันอย่างแพร่หลาย โดยเฉพาะในงานที่ต้องการความปลอดภัยสูง เช่น การส่งข้อมูลระหว่างหน่วยงานหรือคู่ค้า ล่าสุดพบช่องโหว่ใหม่ CVE-2025-10932 ซึ่งเป็นช่องโหว่ “Uncontrolled Resource Consumption” หรือการใช้ทรัพยากรโดยไม่จำกัด

ช่องโหว่นี้อยู่ในโมดูล AS2 (Applicability Statement 2) ซึ่งใช้สำหรับการแลกเปลี่ยนไฟล์แบบเข้ารหัสและลงลายเซ็นดิจิทัล หากถูกโจมตีด้วยคำขอ AS2 ที่ถูกสร้างขึ้นอย่างเจาะจง อาจทำให้ระบบล่มหรือประสิทธิภาพลดลงอย่างรุนแรง

Progress ได้ออกแพตช์สำหรับ MOVEit Transfer ทุกเวอร์ชันที่ได้รับผลกระทบ และเพิ่มฟีเจอร์ whitelist IP เพื่อจำกัดการเข้าถึงโมดูล AS2 โดยเฉพาะ สำหรับผู้ที่ไม่ได้ใช้ AS2 แนะนำให้ลบไฟล์ endpoint ที่เกี่ยวข้องออกชั่วคราวเพื่อปิดช่องทางโจมตี

ช่องโหว่นี้ยังไม่มีรายงานการโจมตีจริงในขณะนี้ แต่เนื่องจาก MOVEit เคยถูกใช้เป็นช่องทางโจมตีในกรณี Clop ransomware มาก่อน จึงถือเป็นเป้าหมายสำคัญที่ควรเฝ้าระวัง

ช่องโหว่ CVE-2025-10932 ใน MOVEit Transfer
เป็นช่องโหว่ Uncontrolled Resource Consumption
อยู่ในโมดูล AS2 ที่ใช้แลกเปลี่ยนไฟล์แบบปลอดภัย
เสี่ยงต่อการโจมตีแบบ DoS หากถูกใช้โดยผู้ไม่หวังดี

เวอร์ชันที่ได้รับผลกระทบ
2025.0.0 ก่อน 2025.0.3
2024.1.0 ก่อน 2024.1.7
2023.1.0 ก่อน 2023.1.16

วิธีแก้ไขและป้องกัน
อัปเดตเป็นเวอร์ชันที่มีแพตช์ล่าสุด
เพิ่ม whitelist IP สำหรับโมดูล AS2
สำหรับผู้ไม่ใช้ AS2 ให้ลบไฟล์ AS2Rec2.ashx และ AS2Receiver.aspx ชั่วคราว

https://securityonline.info/progress-patches-high-severity-vulnerability-in-moveit-transfer-as2-module-cve-2025-10932/

Brash Attack: ช่องโหว่ร้ายแรงในเบราว์เซอร์ Chromium แค่เปลี่ยนชื่อแท็บก็ทำให้ระบบล่มได้!

นักวิจัยด้านความปลอดภัยเปิดเผยช่องโหว่ใหม่ใน Blink engine ของ Chromium ที่สามารถทำให้เบราว์เซอร์ล่มภายในไม่กี่วินาที ด้วยการเปลี่ยนค่า document.title อย่างต่อเนื่อง — ส่งผลกระทบต่อผู้ใช้กว่า 3 พันล้านคนทั่วโลก

Brash คือชื่อของช่องโหว่ใหม่ที่ถูกค้นพบใน Blink rendering engine ซึ่งเป็นหัวใจของเบราว์เซอร์ยอดนิยมอย่าง Google Chrome, Microsoft Edge, Brave, Opera, Vivaldi และแม้แต่ ChatGPT Atlas หรือ Perplexity Comet ก็ไม่รอด

ช่องโหว่นี้เกิดจากการที่ API document.title ไม่มีการจำกัดความถี่ในการอัปเดต ทำให้แฮกเกอร์สามารถ inject โค้ดที่เปลี่ยนชื่อแท็บได้หลายล้านครั้งต่อวินาที ส่งผลให้ thread หลักของเบราว์เซอร์ทำงานหนักจนล่มในเวลาเพียง 15–60 วินาที

นักวิจัย Jose Pino ผู้ค้นพบช่องโหว่นี้ ได้เผยแพร่ proof-of-concept (PoC) ที่ชื่อว่า “Brash” ซึ่งสามารถทำให้เบราว์เซอร์ล่มได้จริง โดยไม่ต้องใช้สิทธิ์พิเศษหรือมัลแวร์ เพียงแค่เปิดหน้าเว็บที่ฝังโค้ดไว้เท่านั้น

เกร็ดน่ารู้เพิ่มเติมจากภายนอก
ช่องโหว่นี้มีผลกับ Chromium เวอร์ชัน ≤ 143.0.7483.0
นักวิจัยแนะนำให้ผู้ใช้และองค์กรอัปเดตเบราว์เซอร์ทันทีเมื่อมีแพตช์
การใช้เบราว์เซอร์ใน sandbox หรือ virtual environment ช่วยลดความเสี่ยง

ช่องโหว่ Brash ใน Blink engine
ใช้ document.title อัปเดตชื่อแท็บหลายล้านครั้งต่อวินาที
ทำให้เบราว์เซอร์ล่มภายใน 15–60 วินาที
ไม่ต้องใช้สิทธิ์พิเศษหรือมัลแวร์

เบราว์เซอร์ที่ได้รับผลกระทบ
Chrome, Edge, Brave, Opera, Vivaldi, Arc, Dia, ChatGPT Atlas, Perplexity Comet
ทุกแพลตฟอร์ม: Windows, macOS, Linux, Android
Firefox และ Safari ไม่ได้รับผลกระทบ (ใช้ engine คนละตัว)

วิธีการโจมตี
แฮกเกอร์ preload สตริงยาว 512 ตัวอักษร 100 ชุด
ยิงคำสั่งเปลี่ยนชื่อแท็บแบบ burst (เช่น 8,000 ครั้งต่อ 1 มิลลิวินาที)
ทำให้ thread หลักของเบราว์เซอร์ล่ม

ความเสี่ยงต่อผู้ใช้ทั่วไป
แค่เปิดหน้าเว็บที่ฝังโค้ดก็ทำให้เบราว์เซอร์ล่ม
อาจสูญเสียงานที่ยังไม่ได้บันทึก
ส่งผลกระทบต่อระบบโดยรวม เช่น CPU พุ่งสูง, เครื่องค้าง

ความเสี่ยงต่อองค์กร
ระบบที่ใช้เบราว์เซอร์เป็นเครื่องมือหลักอาจหยุดชะงัก
การโจมตีสามารถใช้เป็น logic bomb หรือโจมตีแบบเจาะจงเวลา
ระบบป้องกันทั่วไปอาจไม่สามารถตรวจจับได้

https://securityonline.info/brash-attack-critical-chromium-flaw-allows-dos-via-simple-code-injection/

CISA เตือนภัย! ช่องโหว่ XWiki และ VMware ถูกโจมตีจริงแล้ว — องค์กรต้องเร่งอุดช่องโหว่ทันที

หน่วยงาน CISA ของสหรัฐฯ ออกประกาศเตือนว่าช่องโหว่ใน XWiki และ VMware กำลังถูกใช้โจมตีอย่างต่อเนื่องในโลกจริง พร้อมแนะนำให้องค์กรรีบอัปเดตแพตช์และตรวจสอบระบบโดยด่วน

CISA (Cybersecurity and Infrastructure Security Agency) ได้เพิ่มช่องโหว่สองรายการลงใน Known Exploited Vulnerabilities (KEV) ซึ่งหมายความว่า “มีการโจมตีจริงแล้ว” ไม่ใช่แค่ทฤษฎี

ช่องโหว่แรกคือ CVE-2023-41327 ใน XWiki ซึ่งเป็นระบบจัดการเอกสารแบบโอเพ่นซอร์สที่หลายองค์กรใช้สำหรับวิกิภายใน ช่องโหว่นี้เปิดช่องให้ผู้โจมตีสามารถรันโค้ดจากระยะไกลได้โดยไม่ต้องยืนยันตัวตน — แปลว่าแค่เปิดหน้าเว็บก็อาจโดนเจาะได้

ช่องโหว่ที่สองคือ CVE-2024-22267 ใน VMware Aria Automation ซึ่งเป็นระบบจัดการการทำงานอัตโนมัติในคลาวด์ ช่องโหว่นี้เปิดให้ผู้โจมตีสามารถเข้าถึงข้อมูลสำคัญหรือควบคุมระบบได้จากระยะไกลเช่นกัน

CISA ระบุว่าองค์กรที่ใช้ซอฟต์แวร์เหล่านี้ควรอัปเดตแพตช์ทันที และตรวจสอบระบบย้อนหลังเพื่อดูว่ามีการเข้าถึงที่ผิดปกติหรือไม่ โดยเฉพาะในระบบที่เปิดให้เข้าจากอินเทอร์เน็ต

การที่ช่องโหว่เหล่านี้ถูกเพิ่มลงใน KEV หมายความว่าเป็นภัยระดับสูง และอาจถูกใช้โดยกลุ่มแฮกเกอร์ที่ได้รับการสนับสนุนจากรัฐ หรือกลุ่ม ransomware ที่มุ่งเป้าโจมตีองค์กรขนาดใหญ่

เกร็ดน่ารู้เพิ่มเติม
Known Exploited Vulnerabilities (KEV) คือรายการช่องโหว่ที่ “มีการโจมตีจริงแล้ว” ไม่ใช่แค่เสี่ยง
VMware Aria Automation เคยเป็นส่วนหนึ่งของ vRealize Automation ซึ่งใช้ในระบบคลาวด์ระดับองค์กร
XWiki เป็นระบบที่นิยมในองค์กรด้านวิจัย การศึกษา และเทคโนโลยี เพราะมีความยืดหยุ่นสูง

ช่องโหว่ที่ถูกใช้งานจริง
CVE-2023-41327 ใน XWiki (Remote Code Execution)
CVE-2024-22267 ใน VMware Aria Automation (Remote Access)
ถูกเพิ่มลงในรายการ Known Exploited Vulnerabilities ของ CISA

ผลกระทบต่อองค์กร
เสี่ยงต่อการถูกเจาะระบบจากระยะไกล
อาจถูกขโมยข้อมูลหรือควบคุมระบบ
มีความเสี่ยงสูงหากเปิดระบบให้เข้าจากอินเทอร์เน็ต

คำแนะนำจาก CISA
อัปเดตแพตช์ล่าสุดทันที
ตรวจสอบระบบย้อนหลังเพื่อหาการเข้าถึงผิดปกติ
ปิดการเข้าถึงจากภายนอกหากไม่จำเป็น

https://securityonline.info/cisa-warns-of-active-exploitation-in-xwiki-and-vmware-vulnerabilities/

Bronze Butler โจมตีองค์กรผ่านช่องโหว่ Zero-Day ใน Lanscope — แฮกเกอร์จีนใช้ช่องทางควบคุมระบบแบบลับๆ

กลุ่ม APT จากจีนชื่อ Bronze Butler ถูกพบว่าใช้ช่องโหว่ Zero-Day ในซอฟต์แวร์ Lanscope เพื่อลอบควบคุมระบบขององค์กรในญี่ปุ่น โดยไม่ต้องใช้มัลแวร์หรือไฟล์ใดๆ — เป็นการโจมตีแบบ “fileless” ที่ยากต่อการตรวจจับ

Lanscope เป็นซอฟต์แวร์ที่ใช้ในองค์กรเพื่อควบคุมและตรวจสอบอุปกรณ์ภายในเครือข่าย เช่น การล็อกการใช้งาน USB หรือการตรวจสอบการเข้าเว็บไซต์ ล่าสุดพบว่ามีช่องโหว่ Zero-Day ที่เปิดให้ผู้โจมตีสามารถใช้ API ภายในเพื่อควบคุมระบบได้โดยไม่ต้องติดตั้งมัลแวร์ใดๆ

กลุ่ม Bronze Butler ซึ่งเป็นกลุ่มแฮกเกอร์ที่เชื่อว่ามีความเกี่ยวข้องกับรัฐบาลจีน ได้ใช้ช่องโหว่นี้ในการโจมตีองค์กรในญี่ปุ่น โดยใช้เทคนิค “living off the land” คือการใช้เครื่องมือที่มีอยู่ในระบบ เช่น PowerShell หรือ WMI เพื่อควบคุมเครื่องเป้าหมายโดยไม่ทิ้งร่องรอย

การโจมตีนี้ไม่ต้องใช้ไฟล์หรือ payload แบบเดิมๆ ทำให้ระบบป้องกันไวรัสหรือ EDR ตรวจจับได้ยากมาก และสามารถแฝงตัวในระบบได้นานโดยไม่ถูกพบ

นักวิจัยด้านความปลอดภัยแนะนำให้องค์กรที่ใช้ Lanscope ตรวจสอบการเรียกใช้งาน API ภายใน และอัปเดตแพตช์ทันทีเมื่อมีการเปิดเผยช่องโหว่ พร้อมทั้งเสริมระบบตรวจสอบพฤติกรรมที่ผิดปกติในเครือข่าย

เกร็ดน่ารู้เพิ่มเติม
“Living off the land” คือเทคนิคที่แฮกเกอร์ใช้เครื่องมือในระบบเพื่อหลบเลี่ยงการตรวจจับ
Fileless attack เป็นรูปแบบการโจมตีที่ไม่ใช้ไฟล์ ทำให้ระบบป้องกันแบบ signature-based ไม่สามารถตรวจจับได้
Bronze Butler เคยถูกจับตาในกรณีโจมตีหน่วยงานรัฐบาลและบริษัทเทคโนโลยีในญี่ปุ่นตั้งแต่ปี 2016

ช่องโหว่ Zero-Day ใน Lanscope
เปิดให้ควบคุมระบบผ่าน API ภายใน
ไม่ต้องใช้ไฟล์หรือมัลแวร์ในการโจมตี
เป็นการโจมตีแบบ fileless ที่ยากต่อการตรวจจับ

กลุ่มผู้โจมตี: Bronze Butler
เป็นกลุ่ม APT ที่เชื่อว่ามีความเกี่ยวข้องกับรัฐบาลจีน
มีประวัติการโจมตีองค์กรในญี่ปุ่นและเอเชียตะวันออก
ใช้เทคนิค “living off the land” เพื่อหลบเลี่ยงการตรวจจับ

วิธีการโจมตี
ใช้ PowerShell, WMI และ API ภายในของ Lanscope
ไม่ต้องติดตั้งโปรแกรมเพิ่ม
ควบคุมระบบจากระยะไกลโดยไม่ทิ้งร่องรอย

ความเสี่ยงต่อองค์กร
ระบบตรวจสอบทั่วไปอาจไม่สามารถตรวจจับได้
อาจถูกควบคุมโดยไม่รู้ตัวเป็นเวลานาน
ข้อมูลสำคัญอาจถูกขโมยหรือเปลี่ยนแปลง

ข้อควรระวังสำหรับผู้ใช้ Lanscope
ควรตรวจสอบการเรียกใช้งาน API ที่ผิดปกติ
อัปเดตแพตช์ทันทีเมื่อมีการเปิดเผยช่องโหว่
เสริมระบบตรวจสอบพฤติกรรมในเครือข่าย เช่น UEBA หรือ XDR

https://securityonline.info/chinese-apt-bronze-butler-exploits-lanscope-zero-day-for-system-control/

FFmpeg ได้รับเงินสนับสนุน $100,000 จากโครงการ FLOSS/fund ของอินเดีย — ก้าวสำคัญสู่อนาคตที่ยั่งยืนของโอเพ่นซอร์ส

โครงการ FLOSS/fund ที่ริเริ่มโดย Zerodha มอบเงินสนับสนุนให้ FFmpeg ซึ่งเป็นหนึ่งในเครื่องมือมัลติมีเดียโอเพ่นซอร์สที่สำคัญที่สุดในโลก โดยเงินทุนนี้ถือเป็นก้าวแรกในการแก้ปัญหาการขาดแคลนงบประมาณของโครงการโอเพ่นซอร์สทั่วโลก

ถ้าคุณเคยดูวิดีโอออนไลน์ ไม่ว่าจะเป็น YouTube, Netflix หรือแม้แต่ใช้แอปตัดต่อวิดีโอ มีโอกาสสูงมากที่เบื้องหลังจะมี FFmpeg ทำงานอยู่ — มันคือเฟรมเวิร์กโอเพ่นซอร์สที่ช่วยแปลงไฟล์ สตรีม และประมวลผลเสียงกับภาพแบบอัตโนมัติ

แม้จะมีบทบาทสำคัญในโครงสร้างพื้นฐานดิจิทัลของโลก แต่ FFmpeg กลับขาดแคลนงบประมาณมาโดยตลอด ล่าสุดโครงการ FLOSS/fund ที่ริเริ่มโดย Zerodha บริษัทโบรกเกอร์หุ้นจากอินเดีย ได้มอบเงินสนับสนุนจำนวน $100,000 ให้กับ FFmpeg ในรอบการจัดสรรครั้งที่สองของปี 2025

ทีมงาน FFmpeg ขอบคุณ Nithin Kamath ซีอีโอของ Zerodha ผ่านโพสต์บน X (Twitter) พร้อมระบุว่า “เงินทุนนี้ไม่ใช่คำตอบทั้งหมดของปัญหา แต่เป็นก้าวสำคัญสู่อนาคตที่ยั่งยืนของซอฟต์แวร์โอเพ่นซอร์ส”

เงินทุนนี้ยังอยู่ในสถานะ “รอดำเนินการ” เนื่องจากต้องจัดการเอกสารและการติดต่อกับผู้รับทั้งหมด โดย FLOSS/fund กำลังร่วมมือกับ GitHub Sponsors เพื่อทำให้การโอนเงินข้ามประเทศง่ายขึ้นในอนาคต

ในรอบนี้มีโครงการโอเพ่นซอร์สอีก 29 โครงการที่ได้รับเงินสนับสนุน รวมเป็นมูลค่าทั้งสิ้น $675,000 ซึ่งเมื่อรวมกับรอบก่อนหน้าในเดือนพฤษภาคม จะทำให้ยอดรวมของปีนี้แตะ $1 ล้านเต็ม

เกร็ดน่ารู้เพิ่มเติมจากภายนอก
FLOSS/fund ก่อตั้งขึ้นในปี 2024 โดยมีเป้าหมายสนับสนุนซอฟต์แวร์โอเพ่นซอร์สที่มีผู้ใช้งานจำนวนมากแต่ขาดงบประมาณ
FFmpeg ถูกใช้ในระบบ backend ของหลายแพลตฟอร์มโดยที่ผู้ใช้ทั่วไปไม่รู้ตัว
การสนับสนุนแบบนี้อาจเป็นต้นแบบให้บริษัทอื่นๆ ร่วมลงทุนในโครงการโอเพ่นซอร์สที่ตนเองพึ่งพาอยู่

นี่คือก้าวสำคัญของโลกโอเพ่นซอร์ส ที่แสดงให้เห็นว่าความยั่งยืนไม่ใช่แค่เรื่องเทคโนโลยี — แต่คือเรื่องของความรับผิดชอบร่วมกันจากทุกภาคส่วน

FFmpeg ได้รับเงินสนับสนุนจาก FLOSS/fund
จำนวน $100,000 จาก Zerodha ประเทศอินเดีย
เป็นส่วนหนึ่งของรอบจัดสรร Tranche 2 ประจำปี 2025
ยังอยู่ในขั้นตอนดำเนินการเอกสารและการติดต่อ

ความสำคัญของ FFmpeg
ใช้ในแพลตฟอร์มใหญ่ เช่น YouTube, Netflix, แอปตัดต่อวิดีโอ
เป็นเฟรมเวิร์กโอเพ่นซอร์สสำหรับแปลงและสตรีมไฟล์มัลติมีเดีย
มีบทบาทสำคัญในโครงสร้างพื้นฐานดิจิทัลทั่วโลก

เป้าหมายของ FLOSS/fund
สนับสนุนโครงการโอเพ่นซอร์สที่โลกพึ่งพา
เรียกร้องให้บริษัทที่ได้ประโยชน์จาก FOSS สนับสนุนมากกว่าแค่คำขอบคุณ
ร่วมมือกับ GitHub Sponsors เพื่อแก้ปัญหาโอนเงินข้ามประเทศ

ความท้าทายในการสนับสนุนโอเพ่นซอร์ส
เงินทุนยังไม่เพียงพอต่อความต้องการระยะยาว
การโอนเงินระหว่างประเทศยังมีอุปสรรคด้านกฎหมายและระบบธนาคาร
โครงการโอเพ่นซอร์สจำนวนมากยังไม่มีช่องทางรับเงินที่ปลอดภัย

https://news.itsfoss.com/ffmpeg-receives-100k-funding/

Proton เปิดตัว Data Breach Observatory — เครื่องมือตรวจจับข้อมูลรั่วไหลจาก Dark Web แบบเรียลไทม์

Proton เปิดตัวแพลตฟอร์มใหม่ชื่อว่า “Data Breach Observatory” ที่ช่วยติดตามการรั่วไหลของข้อมูลจากตลาดมืดบน Dark Web โดยสามารถตรวจสอบได้ว่าองค์กรใดถูกเจาะ ข้อมูลใดถูกขโมย และจำนวนที่รั่วไหล — ทั้งหมดนี้เพื่อสร้างความโปร่งใสในโลกไซเบอร์ที่มักถูกปิดบัง

Proton เป็นบริษัทที่ขึ้นชื่อเรื่องความปลอดภัยและความเป็นส่วนตัว เช่น ProtonMail, ProtonVPN และ Proton Drive ล่าสุดพวกเขาเปิดตัว “Data Breach Observatory” ซึ่งเป็นแพลตฟอร์มสาธารณะที่ช่วยติดตามการรั่วไหลของข้อมูลจาก Dark Web แบบเรียลไทม์

แพลตฟอร์มนี้จะดึงข้อมูลจากฟอรั่มและตลาดมืดที่แฮกเกอร์ใช้ซื้อขายข้อมูลที่ถูกขโมย แล้วนำมาวิเคราะห์และเผยแพร่ให้สาธารณชนเข้าถึงได้ฟรี ผู้ใช้สามารถตรวจสอบได้ว่าองค์กรใดถูกเจาะ ข้อมูลประเภทใดที่รั่วไหล และจำนวนเรคคอร์ดที่ถูกขโมย

Proton ร่วมมือกับ Constella Intelligence ในการตรวจสอบข้อมูลจาก Dark Web และในปี 2025 เพียงปีเดียว พบเหตุการณ์รั่วไหล 794 ครั้งที่เชื่อมโยงกับองค์กรโดยตรง และอีก 1,571 เหตุการณ์ที่เป็นชุดข้อมูลรวม ซึ่งรวมแล้วมีข้อมูลหลายร้อยพันล้านเรคคอร์ดที่ถูกเปิดเผย

ข้อมูลที่รั่วไหลส่วนใหญ่ประกอบด้วย:
อีเมล (100%)
ชื่อ (90%)
ข้อมูลติดต่อ (72%)
รหัสผ่าน (49%)

แพลตฟอร์มนี้ไม่เพียงแต่ช่วยให้องค์กรรู้ตัวก่อนจะถูกเปิดเผย แต่ยังช่วยให้บุคคลทั่วไปสามารถตรวจสอบได้ว่าข้อมูลของตนเองเคยปรากฏในตลาดมืดหรือไม่

เกร็ดน่ารู้เพิ่มเติม
Proton ใช้หลัก “your data, your rules” ในการออกแบบทุกบริการ
Constella Intelligence เป็นบริษัทด้านความปลอดภัยที่เชี่ยวชาญการตรวจสอบข้อมูลจาก Dark Web
การเปิดเผยข้อมูลรั่วไหลแบบเรียลไทม์ช่วยให้องค์กรสามารถตอบสนองได้เร็วขึ้น และลดผลกระทบจากการโจมตีทางไซเบอร์

Data Breach Observatory ไม่ใช่แค่เครื่องมือ — แต่มันคือ “ไฟฉาย” ที่ส่องให้เห็นสิ่งที่เคยถูกซ่อนไว้ในเงามืดของโลกไซเบอร์

https://news.itsfoss.com/proton-data-breach-observatory/

Qt Creator 18 เปิดตัว! IDE สุดล้ำพร้อมรองรับ Container และ GitHub Enterprise

วันนี้มีข่าวดีสำหรับนักพัฒนา! Qt Project ได้ปล่อย Qt Creator 18 ซึ่งเป็นเวอร์ชันล่าสุดของ IDE แบบโอเพ่นซอร์สที่รองรับหลายแพลตฟอร์ม ทั้ง Linux, macOS และ Windows โดยเวอร์ชันนี้มาพร้อมฟีเจอร์ใหม่ที่น่าตื่นเต้น โดยเฉพาะการรองรับ container สำหรับการพัฒนาแบบแยกส่วน และการเชื่อมต่อกับ GitHub Enterprise ผ่าน Copilot

ลองนึกภาพว่า...คุณเปิดโปรเจกต์ที่มีไฟล์ devcontainer.json อยู่ แล้ว Qt Creator ก็จัดการสร้าง Docker container ให้คุณอัตโนมัติ พร้อมปรับแต่ง environment ให้เหมาะกับการพัฒนาโดยไม่ต้องตั้งค่าเองให้ยุ่งยากเลย! นี่คือก้าวสำคัญของการพัฒนาแบบ container-native ที่กำลังมาแรงในยุค DevOps และ Cloud-native

นอกจากนี้ Qt Creator 18 ยังปรับปรุงหลายจุดเพื่อให้ใช้งานได้ลื่นไหลขึ้น เช่น:
เพิ่มแท็บ Overview ในหน้า Welcome
ปรับปรุงระบบแจ้งเตือนให้รวมอยู่ใน popup เดียว
รองรับการใช้ editor แบบ tabbed
ปรับปรุงระบบ Git ให้แสดงสถานะไฟล์ในมุมมอง File System
เพิ่มการรองรับ CMake Test Presets และการเชื่อมต่ออุปกรณ์ Linux แบบอัตโนมัติ

และที่สำคัญคือการอัปเดต Clangd/LLVM เป็นเวอร์ชัน 21.1 เพื่อรองรับฟีเจอร์ใหม่ของภาษา C++ ได้ดีขึ้น

สาระเพิ่มเติม
การใช้ container ในการพัฒนาเริ่มเป็นมาตรฐานในองค์กรขนาดใหญ่ เพราะช่วยให้การตั้งค่า environment เป็นเรื่องง่ายและลดปัญหา “มันทำงานบนเครื่องฉันนะ!”
GitHub Copilot Enterprise ช่วยให้ทีมสามารถใช้ AI เขียนโค้ดได้อย่างปลอดภัยในระบบภายในองค์กร โดยไม่ต้องเปิดเผยโค้ดสู่สาธารณะ

ฟีเจอร์ใหม่ที่โดดเด่น
รองรับการสร้าง development container ผ่านไฟล์ devcontainer.json
เพิ่มแท็บ Overview ในหน้า Welcome
รองรับ editor แบบ tabbed เพื่อการจัดการโค้ดที่ง่ายขึ้น
ปรับปรุงระบบแจ้งเตือนให้รวมอยู่ใน popup เดียว
รองรับ GitHub Enterprise ผ่าน Copilot

การปรับปรุงด้าน Git และการจัดการโปรเจกต์
เพิ่มการแสดงสถานะ version control ในมุมมอง File System
รองรับ CMake Test Presets
เพิ่มตัวเลือก auto-connect สำหรับอุปกรณ์ Linux
ปรับปรุงการจัดการไฟล์ .user ให้แยกเก็บในโฟลเดอร์ .qtcreator/

การอัปเดตด้านเทคโนโลยี
อัปเดต Clangd/LLVM เป็นเวอร์ชัน 21.1
ปรับปรุง code model ให้รองรับฟีเจอร์ใหม่ของ C++

https://9to5linux.com/qt-creator-18-open-source-ide-released-with-experimental-container-support

LibreOffice 25.2.7 ปิดฉากซีรีส์ พร้อมแนะนำอัปเกรดสู่เวอร์ชัน 25.8 ที่เร็วและล้ำกว่าเดิม!

LibreOffice 25.2.7 ได้รับการปล่อยออกมาแล้วในฐานะเวอร์ชันสุดท้ายของซีรีส์ 25.2 ก่อนจะสิ้นสุดการสนับสนุนในวันที่ 30 พฤศจิกายน 2025 โดย The Document Foundation แนะนำให้ผู้ใช้ทุกคนอัปเกรดไปยัง LibreOffice 25.8 ซึ่งมีฟีเจอร์ใหม่มากมายที่ตอบโจทย์การใช้งานยุคใหม่

เล่าให้ฟังแบบเข้าใจง่าย ลองนึกภาพว่าคุณเปิดไฟล์ขนาดใหญ่ใน Writer หรือ Calc แล้วมันโหลดเร็วขึ้นถึง 30%! นั่นคือหนึ่งในความสามารถใหม่ของ LibreOffice 25.8 ที่เปิดตัวเมื่อเดือนสิงหาคม 2025 พร้อมกับการปรับปรุงการจัดการหน่วยความจำให้เหมาะกับการใช้งานบน virtual desktop และ thin client รวมถึงการเลื่อนหน้าที่ลื่นไหลขึ้น และระบบจัดการการเว้นวรรคกับการตัดคำที่แม่นยำกว่าเดิม

ในขณะที่ LibreOffice 25.2.7 แก้ไขบั๊กกว่า 43 จุดเพื่อปิดท้ายซีรีส์อย่างสมบูรณ์แบบ ผู้ใช้ที่ยังไม่อัปเกรดสามารถใช้งานได้ต่อถึงสิ้นเดือนพฤศจิกายนนี้ แต่หลังจากนั้นควรเปลี่ยนไปใช้เวอร์ชัน 25.8 ที่จะได้รับการดูแลต่อเนื่องถึงกลางปี 2026

ทั้งสองเวอร์ชันสามารถดาวน์โหลดได้ในรูปแบบ RPM, DEB, source tarball หรือ Flatpak ผ่าน Flathub และ repository ของแต่ละ distro

LibreOffice 25.2.7 คือเวอร์ชันสุดท้ายของซีรีส์ 25.2
แก้ไขบั๊กทั้งหมด 43 จุดจาก changelog RC1 และ RC2
จะสิ้นสุดการสนับสนุนในวันที่ 30 พฤศจิกายน 2025

LibreOffice 25.8 คือเวอร์ชันที่แนะนำให้ใช้งานต่อ
เปิดตัวเมื่อวันที่ 20 สิงหาคม 2025
รองรับการ export PDF 2.0
เปิดไฟล์ใน Writer และ Calc ได้เร็วขึ้นถึง 30%
ปรับปรุงการจัดการหน่วยความจำให้เหมาะกับ virtual desktop และ thin client
เลื่อนหน้าผ่านเอกสารขนาดใหญ่ได้ลื่นขึ้น
ระบบตัดคำและเว้นวรรคถูกปรับปรุงใหม่ทั้งหมด
จะได้รับการอัปเดตต่อเนื่องถึงวันที่ 12 มิถุนายน 2026

ช่องทางการดาวน์โหลด
มีให้เลือกทั้ง RPM, DEB, source tarball
รองรับ Flatpak ผ่าน Flathub และ repository ของ distro

https://9to5linux.com/libreoffice-25-2-7-is-out-as-the-last-update-in-the-series-upgrade-to-libreoffice-25-8

Crunchyroll ทำลายคุณภาพซับไตเติลอย่างไม่มีเหตุผล — เมื่อศิลปะการแปลถูกลดทอนเพื่อความสะดวกของแพลตฟอร์มใหญ่

Crunchyroll เคยเป็นผู้นำด้านคุณภาพซับไตเติลในวงการอนิเมะ ด้วยการใช้เทคนิค typesetting ที่ซับซ้อน เช่น การจัดตำแหน่งข้อความ การใช้ฟอนต์และสีที่หลากหลาย รวมถึงการแปลข้อความบนหน้าจออย่างครบถ้วน แต่ตั้งแต่ฤดูใบไม้ร่วงปี 2025 เป็นต้นมา คุณภาพซับไตเติลกลับตกต่ำลงอย่างเห็นได้ชัด แม้แต่ในผลงานที่ผลิตโดยทีมงานของ Crunchyroll เอง

เกิดอะไรขึ้น? Crunchyroll เริ่มลดการใช้ typesetting เพื่อให้ซับไตเติลสามารถใช้งานร่วมกับแพลตฟอร์มใหญ่อย่าง Netflix และ Amazon Prime Video ได้ง่ายขึ้น เนื่องจากแพลตฟอร์มเหล่านี้มีข้อจำกัดด้านการแสดงผลซับไตเติล เช่น ห้ามใช้ตำแหน่งซับหลายจุด หรือแสดงข้อความซ้อนกัน แม้ว่าเทคโนโลยี TTML ที่ใช้จะรองรับฟีเจอร์เหล่านี้ก็ตาม

เบื้องหลังการตัดสินใจ จากข้อมูลภายในที่ไม่เปิดเผยชื่อ พบว่า Crunchyroll เคยมีทีมงานแปลงซับไตเติลคุณภาพสูงให้เข้ากับมาตรฐานต่ำของแพลตฟอร์มอื่น แต่ในที่สุดผู้บริหารตัดสินใจผลิตซับไตเติลแบบต่ำคุณภาพเพียงอย่างเดียว เพื่อความสะดวกในการ sublicensing และลดต้นทุน แม้จะแลกกับประสบการณ์การรับชมที่ด้อยลง

ประวัติการพัฒนาซับไตเติลของ Crunchyroll
เริ่มจากการใช้ซับแฟนซับในยุคแรก
พัฒนา renderer สำหรับ ASS ซับใน Flash และต่อมาใน HTML5 ด้วย WebAssembly
เคยใช้ libass เพื่อรองรับการ typeset อย่างเต็มรูปแบบ
แต่ไม่เคยพัฒนาให้รองรับฟอนต์แบบกำหนดเองอย่างจริงจัง

ผลกระทบต่อผู้ชม
ข้อความบนหน้าจอไม่ได้รับการแปล
ซับไตเติลรวมกันที่ด้านบนหรือด้านล่าง ทำให้ดูยาก
เพลงเปิด/ปิดยังคงไม่แปล แม้จะมีสิทธิ์ในการผลิต

Crunchyroll เคยเป็นผู้นำด้านคุณภาพซับไตเติล
ใช้เทคนิค typesetting เช่น การจัดตำแหน่ง ฟอนต์ สี และการแปลข้อความบนหน้าจอ
พัฒนา renderer สำหรับ ASS ซับใน Flash และ HTML5 ด้วย libass

การเปลี่ยนแปลงในปี 2025
ลดการใช้ typesetting เพื่อให้ซับไตเติลใช้งานร่วมกับ Netflix และ Amazon ได้
ผลิตซับไตเติลแบบ TTML ที่มีคุณภาพต่ำเป็นหลัก
ทีมงานภายในต้องแปลงซับคุณภาพสูงให้เข้ากับมาตรฐานต่ำ

ผลกระทบต่อผู้ชม
ข้อความบนหน้าจอไม่ได้รับการแปลหรือแสดงผลอย่างเหมาะสม
ซับไตเติลรวมกันที่ด้านบนหรือด้านล่าง ทำให้ดูยาก
เพลงเปิด/ปิดยังคงไม่แปล แม้จะมีสิทธิ์ในการผลิต

คำเตือนต่ออนาคตของการแปลอนิเมะ
หากแพลตฟอร์มใหญ่ยังคงใช้มาตรฐานต่ำ อนิเมะอาจสูญเสียความละเอียดในการเล่าเรื่อง
การลดคุณภาพซับไตเติลอาจทำให้ผู้ชมรู้สึกห่างเหินจากเนื้อหาต้นฉบับ

นี่ไม่ใช่แค่เรื่องของ “ซับแปลผิด” แต่คือการลดทอนศิลปะการแปลที่เคยเป็นหัวใจของการรับชมอนิเมะอย่างแท้จริง

https://daiz.moe/crunchyroll-is-destroying-its-subtitles-for-no-good-reason/

Tailscale เปิดตัว Peer Relays — เชื่อมต่อเครือข่ายแบบเร็วทะลุนรก แม้เจอ NAT หรือไฟร์วอลล์สุดโหด

Tailscale ประกาศเปิดตัวฟีเจอร์ใหม่ “Peer Relays” ที่ให้ผู้ใช้งานสามารถตั้งค่า node ใดก็ได้ในเครือข่าย tailnet ให้กลายเป็นตัวกลางรับส่งข้อมูลแทน DERP server แบบเดิม โดยไม่ต้องพึ่งโครงสร้างพื้นฐานของ Tailscale อีกต่อไป

เล่าให้ฟังแบบเข้าใจง่าย ลองนึกภาพว่าคุณมีเซิร์ฟเวอร์อยู่หลัง NAT หรือไฟร์วอลล์ที่เข้มงวดมาก และไม่สามารถเชื่อมต่อโดยตรงได้ — Peer Relays จะช่วยให้ node อื่นในเครือข่ายสามารถรับส่งข้อมูลแทนได้ โดยใช้แค่พอร์ต UDP เดียวที่เปิดไว้ ทั้งหมดนี้ยังคงปลอดภัยด้วยการเข้ารหัสแบบ end-to-end ผ่าน WireGuard®

ฟีเจอร์นี้ถูกฝังอยู่ใน Tailscale client โดยตรง และสามารถเปิดใช้งานได้ง่ายผ่านคำสั่ง CLI เช่น tailscale set --relay-server-port โดยไม่ต้องตั้งค่า DERP server แยกต่างหากอีกต่อไป

ประสิทธิภาพที่เหนือกว่า จากการทดสอบกับลูกค้ากลุ่มแรก Peer Relays ให้ความเร็วใกล้เคียงกับการเชื่อมต่อโดยตรง และเร็วกว่าการใช้ DERP หลายเท่าตัว เหมาะสำหรับการเชื่อมต่อในระบบคลาวด์, เครือข่ายที่ถูกล็อกไว้, หรือโครงสร้างพื้นฐานที่ต้องการ throughput สูง

ฟีเจอร์ใหม่: Peer Relays
node ใดก็ได้ใน tailnet สามารถเป็นตัวกลางรับส่งข้อมูล
ใช้แค่พอร์ต UDP เดียวในการเชื่อมต่อ
เปิดใช้งานผ่าน CLI โดยไม่ต้องตั้งค่า DERP server แยก

ประสิทธิภาพและความปลอดภัย
throughput ใกล้เคียงกับการเชื่อมต่อโดยตรง
เร็วกว่าการใช้ DERP หลายเท่าตัว
เข้ารหัสแบบ end-to-end ด้วย WireGuard®

การใช้งานในสถานการณ์จริง
เชื่อมต่อผ่าน NAT ที่เข้มงวด เช่น AWS Managed NAT Gateway
ใช้งานในเครือข่ายที่มีไฟร์วอลล์จำกัด
ลดภาระการดูแล DERP server แบบ custom
เปิดช่องทางเชื่อมต่อที่ควบคุมได้ในเครือข่ายลูกค้า

https://tailscale.com/blog/peer-relays-beta

“Kafka เร็วก็จริง…แต่ Postgres ก็พอแล้ว” — เมื่อระบบ Pub/Sub และ Queue ไม่จำเป็นต้องซับซ้อนเสมอไป

บทความนี้ตั้งคำถามกับแนวโน้มในวงการเทคโนโลยีที่มักเลือกใช้เครื่องมือที่ “ล้ำ” เกินความจำเป็น เช่น Kafka สำหรับระบบ pub/sub หรือ queue ทั้งที่ในหลายกรณี PostgreSQL ก็สามารถตอบโจทย์ได้ดีพอ โดยเฉพาะในยุคที่ฮาร์ดแวร์มีประสิทธิภาพสูงขึ้นมาก

ผู้เขียนได้ทำการ benchmark เปรียบเทียบประสิทธิภาพของ PostgreSQL ในการทำงานเป็นระบบ pub/sub และ queue โดยใช้แนวทางที่ได้รับแรงบันดาลใจจาก Kafka เช่น การใช้ตาราง log partition, offset, และ consumer group เพื่อจำลองพฤติกรรมของ Kafka

ผลการทดสอบชี้ว่า PostgreSQL สามารถรองรับโหลดระดับหลายแสนข้อความต่อวินาทีได้ โดยเฉพาะในระบบ pub/sub ที่มีการอ่านแบบ fanout สูงถึง 5 เท่า และ latency ที่ยังอยู่ในระดับที่ยอมรับได้

แนวคิดหลัก
ไม่จำเป็นต้องใช้ Kafka เสมอไป โดยเฉพาะในระบบที่ไม่ได้มีโหลดระดับ “web-scale”
PostgreSQL เพียงตัวเดียวสามารถรองรับ use case ได้ถึง 80% ด้วย effort แค่ 20%

ผลการทดสอบ Pub/Sub
บนเครื่อง 96 vCPU: เขียนได้ 243,000 msg/s, อ่านได้ 1.2 ล้าน msg/s
latency p99 อยู่ที่ 853ms, p95 ที่ 242ms
ใช้ CPU เพียง ~10% แสดงถึงศักยภาพที่ยังเหลืออีกมาก

ผลการทดสอบ Queue
บนเครื่อง 96 vCPU: throughput 20,144 msg/s
latency p99 อยู่ที่ 930ms
bottleneck อยู่ที่ single-table design ไม่ใช่ที่ฮาร์ดแวร์

ข้อดีของการใช้ PostgreSQL
ใช้ SQL ธรรมดาในการ debug, แก้ไข, ลบ หรือ join ข้อมูล
ลดความซับซ้อนของระบบและค่าใช้จ่ายในการดูแล
เหมาะกับองค์กรที่ยังไม่ถึงระดับ scale ใหญ่

บทความนี้ไม่ได้บอกว่า PostgreSQL ดีกว่า Kafka เสมอไป — แต่ชี้ให้เห็นว่า “ความเรียบง่าย” อาจเป็นคำตอบที่ดีกว่าในหลายกรณี โดยเฉพาะเมื่อคุณยังไม่ได้มีปัญหาระดับ “Google-scale”

https://topicpartition.io/blog/postgres-pubsub-queue-benchmarks

สร้างกราฟ compiler เองดีกว่าใช้ Graphviz — เมื่อ SpiderMonkey ปรับโฉมการวิเคราะห์โค้ดด้วย iongraph แบบ interactive

SpiderMonkey ทีมพัฒนา JavaScript/WebAssembly engine ของ Firefox ได้เปิดตัวระบบ visualization ใหม่สำหรับ compiler ที่ชื่อว่า iongraph ซึ่งช่วยให้สามารถดูกราฟการ optimize โค้ดได้แบบ interactive โดยไม่ต้องพึ่ง Graphviz หรือ Mermaid อีกต่อไป

เล่าให้ฟังแบบเข้าใจง่าย เมื่อคุณเขียนโค้ด JavaScript แล้วมันถูกส่งเข้าไปใน compiler ขั้นสูงของ SpiderMonkey ที่ชื่อว่า Ion — ระบบจะสร้างกราฟ SSA (Static Single Assignment) เพื่อวิเคราะห์และ optimize โค้ดให้เร็วขึ้น แต่การดูกราฟเหล่านี้ผ่าน Graphviz กลับยุ่งยากและไม่ตรงกับโครงสร้างโค้ดจริง

ทีมงานจึงสร้างระบบ layout algorithm ใหม่ที่เรียบง่ายแต่ทรงพลัง โดยใช้ความรู้เฉพาะของ control flow ใน JavaScript และ WebAssembly เช่น:
Loop มี entry เดียว
ไม่มีการ jump เข้าไปกลาง loop
โครงสร้าง reducible control flow

ผลลัพธ์คือกราฟที่อ่านง่าย เสถียร และสามารถแสดงผลแบบ interactive ได้บนเว็บ — คุณสามารถลาก ซูม และดูการเปลี่ยนแปลงของกราฟในแต่ละ pass ได้ทันที

ปัญหาของ Graphviz
layout ไม่ตรงกับโครงสร้างโค้ด
node กระโดดไปมาเมื่อ input เปลี่ยนเล็กน้อย
PDF แบบ static ทำให้ debug ยาก

จุดเด่นของ iongraph
interactive บนเว็บ: ลาก ซูม เลือก instruction ได้
layout เสถียรแม้กราฟเปลี่ยน
ใช้ algorithm ที่เข้าใจโครงสร้าง loop และ control flow

ขั้นตอนของ layout algorithm
Layering: จัด block เป็นชั้นตามลำดับ control flow
Dummy nodes: สร้าง node สำหรับ edge ที่ข้ามชั้น
Straighten edges: ปรับตำแหน่งให้กราฟดูเรียบร้อย
Track horizontal edges: จัด edge ให้ไม่ทับกัน
Verticalize: กำหนดตำแหน่ง Y ให้ node
Render: ใช้เส้นตรงแบบ railroad diagram แทน Bézier curve

ประสิทธิภาพ
เร็วกว่าการใช้ Graphviz หลายพันเท่า
Layout กราฟขนาดใหญ่ได้ในเวลาไม่กี่มิลลิวินาที

https://spidermonkey.dev/blog/2025/10/28/iongraph-web.html

จีนเพิ่มพื้นที่ป่าเท่ารัฐเท็กซัส! ความหวังใหม่ท่ามกลางวิกฤตการสูญเสียป่าทั่วโลก

ในขณะที่โลกยังคงสูญเสียพื้นที่ป่าราว 20 ล้านเอเคอร์ต่อปี โดยเฉพาะในเขตร้อนอย่างบราซิล อินโดนีเซีย และคองโก จีนกลับกลายเป็นหนึ่งในประเทศที่สวนกระแส ด้วยการเพิ่มพื้นที่ป่ากว่า 173 ล้านเอเคอร์ ตั้งแต่ปี 1990 — เทียบเท่าขนาดของรัฐเท็กซัสเลยทีเดียว!

เล่าให้ฟังแบบเข้าใจง่าย จีนใช้กลยุทธ์ปลูกป่าอย่างเข้มข้นเพื่อรับมือกับการขยายตัวของทะเลทราย เช่น ทะเลทรายทาคลามากันและโกบี โดยโครงการปลูกต้นไม้รอบทะเลทรายเหล่านี้เริ่มตั้งแต่ปี 1978 และยังคงดำเนินต่อเนื่องจนถึงปัจจุบัน

แม้จะมีไฟป่าและภัยแล้งที่ทำลายป่าในบางพื้นที่ แต่โดยรวมแล้ว จีน อินเดีย รัสเซีย และประเทศร่ำรวยอื่น ๆ กลับมีแนวโน้มเพิ่มพื้นที่ป่า เนื่องจากการทำเกษตรมีประสิทธิภาพมากขึ้น ทำให้ไม่ต้องขยายพื้นที่เพาะปลูกเหมือนในอดีต

จีนเพิ่มพื้นที่ป่ามากที่สุดในโลกตั้งแต่ปี 1990
เพิ่มขึ้นกว่า 173 ล้านเอเคอร์
ปลูกต้นไม้กว่า 120 ล้านเอเคอร์เพื่อสกัดการขยายตัวของทะเลทราย
โครงการปลูกป่ารอบทะเลทรายทาคลามากันเสร็จสิ้นในปี 2024
โครงการรอบทะเลทรายโกบียังดำเนินอยู่

ประเทศอื่นที่มีแนวโน้มเพิ่มพื้นที่ป่า
รัสเซียเพิ่มขึ้น 52 ล้านเอเคอร์
อินเดียเพิ่มขึ้น 22 ล้านเอเคอร์
แคนาดาเพิ่มขึ้น 20 ล้านเอเคอร์
สหรัฐฯ และยุโรปมีการฟื้นตัวของป่าเช่นกัน

สาเหตุหลักของการสูญเสียป่าในโลก
การแผ้วถางเพื่อเกษตรและปศุสัตว์
ไฟป่าและภัยแล้งที่รุนแรงขึ้นจากภาวะโลกร้อน

https://e360.yale.edu/digest/china-new-forest-report

เพื่อไทยตกต่ำดำดิ่ง นายใหญ่ไปคลองเปรม ลูกสาวชิ่งหนี ลูกพรรคย้ายค่าย ล่าสุดไม่มีคลังแสงซะอีก
#คิงส์โพธิ์แดง
#คลังแสง

“987654321 / 123456789 ≈ 8” — เมื่อเลขเรียงกลายเป็นเวทมนตร์ทางคณิตศาสตร์

John D. Cook ได้หยิบยกตัวเลขที่ดูธรรมดาอย่าง 987654321 และ 123456789 มาหารกัน แล้วพบว่าได้ผลลัพธ์ใกล้เคียงกับเลข 8 อย่างน่าทึ่ง — คือ 8.0000000729 ซึ่งนำไปสู่การตั้งคำถามว่า “มีอะไรพิเศษในเลขฐาน 10 หรือไม่?”

ลองจินตนาการว่าคุณเอาตัวเลขที่เรียงจากมากไปน้อย (9 ถึง 1) มาหารด้วยตัวเลขที่เรียงจากน้อยไปมาก (1 ถึง 9) แล้วได้ผลลัพธ์ใกล้เคียงกับจำนวนเต็ม — นี่ไม่ใช่เรื่องบังเอิญ แต่เป็นผลจากโครงสร้างของเลขในแต่ละฐาน

Cook ทดลองกับเลขในฐานอื่น เช่น:
ฐาน 6: 54321₆ / 12345₆ ≈ 4.00268
ฐาน 16: 0xFEDCBA987654321 / 0x123456789ABCDEF ≈ 14

จากนั้นเขาสร้างสูตรทั่วไปโดยนิยาม:
num(b): ตัวเลขที่เรียงจากมากไปน้อยในฐาน b
denom(b): ตัวเลขที่เรียงจากน้อยไปมากในฐาน b

ผลลัพธ์คือ:
num(b) / denom(b) ≈ b − 2 + (b − 1)³ / bᵇ

ซึ่งหมายความว่าในทุกฐาน b > 2 การหารตัวเลขเรียงกลับกับเรียงตรงจะให้ผลลัพธ์ใกล้เคียงกับ b − 2 เสมอ และเศษส่วนที่เหลือจะเล็กมาก — เล็กจน floating point ในคอมพิวเตอร์อาจมองไม่เห็น!

การทดลองตัวเลขเรียงในฐาน 10
987654321 / 123456789 ≈ 8.0000000729
ใกล้เคียงกับ 8 + 9³ / 10¹⁰

การทดลองในฐานอื่น
ฐาน 6: ผลลัพธ์ ≈ 4.00268
ฐาน 16: ผลลัพธ์ ≈ 14

นิยามทั่วไปของตัวเลขเรียง
num(b): ตัวเลขเรียงจากมากไปน้อยในฐาน b
denom(b): ตัวเลขเรียงจากน้อยไปมากในฐาน b

สูตรประมาณค่า
num(b) / denom(b) ≈ b − 2 + (b − 1)³ / bᵇ
เศษส่วนที่เหลือ ≈ 1 / bᵇ⁻²

การพิสูจน์ด้วย Python
ใช้การคำนวณเชิงโปรแกรมแทนการพิสูจน์ทางคณิตศาสตร์
ตรวจสอบความถูกต้องของสูตรในฐานตั้งแต่ 3 ถึง 1000

คำเตือนสำหรับการใช้ floating point
floating point มีความแม่นยำจำกัด (53 bits)
อาจมองไม่เห็นเศษส่วนเล็กมากในผลลัพธ์

https://www.johndcook.com/blog/2025/10/26/987654321/

ความจริงมีหนึ่งเดียว คืนนั้นไม่มี