"When Stick Figures Fought” – เมื่อเส้นสายเรียบง่ายกลายเป็นสนามรบสุดมันส์

ในช่วงต้นยุค 2000s โลกออนไลน์เต็มไปด้วยแอนิเมชันที่ใช้ตัวละครแบบ “Stick Figure” หรือคนไม้ขีด—เรียบง่ายแต่เต็มไปด้วยพลังการเคลื่อนไหวและการต่อสู้ที่ดุเดือด บทความนี้เล่าย้อนถึงยุคทองของแอนิเมชันประเภทนี้ โดยเฉพาะผลงานจากนักสร้างชื่อดังอย่าง Alan Becker ผู้สร้างซีรีส์ “Animator vs. Animation” ที่กลายเป็นไวรัลระดับโลก

แอนิเมชันเหล่านี้มักใช้โปรแกรม Flash และถูกเผยแพร่ผ่านเว็บไซต์อย่าง Newgrounds หรือ YouTube โดยมีจุดเด่นคือการเคลื่อนไหวที่ลื่นไหล การต่อสู้ที่สร้างสรรค์ และการใช้มุมกล้องแบบภาพยนตร์ แม้ตัวละครจะไม่มีรายละเอียด แต่กลับสามารถถ่ายทอดอารมณ์และความมันส์ได้อย่างน่าทึ่ง

บทความยังกล่าวถึงการเปลี่ยนผ่านของเทคโนโลยี จาก Flash สู่ HTML5 และการที่ศิลปินรุ่นใหม่ยังคงสืบทอดสไตล์นี้ผ่านแพลตฟอร์มใหม่ ๆ เช่น YouTube Shorts และ TikTok

ยุคทองของ Stick Figure Animation
เริ่มต้นในช่วงต้นยุค 2000s บนแพลตฟอร์ม Flash
เว็บไซต์อย่าง Newgrounds เป็นแหล่งรวมผลงานยอดนิยม

ผลงานเด่นที่สร้างปรากฏการณ์
“Animator vs. Animation” โดย Alan Becker
การต่อสู้ระหว่างตัวละครกับผู้สร้างในคอมพิวเตอร์

จุดเด่นของแอนิเมชันแบบ Stick Figure
เคลื่อนไหวลื่นไหลแม้จะใช้ตัวละครเรียบง่าย
ใช้มุมกล้องและจังหวะการต่อสู้แบบภาพยนตร์
สื่อสารอารมณ์ได้แม้ไม่มีใบหน้า

การเปลี่ยนผ่านของเทคโนโลยี
จาก Flash สู่ HTML5 และแพลตฟอร์มใหม่
YouTube Shorts และ TikTok เป็นพื้นที่ใหม่ของศิลปิน

วัฒนธรรมย่อยของโลกแอนิเมชัน
มีชุมชนผู้สร้างและผู้ชมที่เหนียวแน่น
กลายเป็นแรงบันดาลใจให้ศิลปินรุ่นใหม่

https://animationobsessive.substack.com/p/when-stick-figures-fought

สงครามไซเบอร์เงียบ: สปายระดับโลกใช้ช่องโหว่ Android และ ZipperDown โจมตีผ่านอีเมลเพียงคลิกเดียว

รายงานล่าสุดจากทีม RedDrip ของ QiAnXin เผยการโจมตีไซเบอร์ระดับสูงโดยกลุ่ม APT (Advanced Persistent Threat) จากภูมิภาคเอเชียตะวันออกเฉียงเหนือ ที่ใช้ช่องโหว่แบบ zero-day บน Android และแอปอีเมลเพื่อเข้าควบคุมบัญชีผู้ใช้และรันคำสั่งในเครื่องเป้าหมายได้ทันทีเพียงแค่ “คลิกเปิดอีเมล”

ช่องโหว่ ZipperDown ถูกใช้จริงครั้งแรก
ZipperDown เป็นช่องโหว่ที่ถูกค้นพบตั้งแต่ปี 2018 โดย Pangu Lab แต่ไม่เคยมีรายงานการใช้งานจริงมาก่อน จนกระทั่ง RedDrip พบว่ากลุ่ม APT ใช้ช่องโหว่นี้โจมตี Android โดยแนบไฟล์ DAT ที่มีมัลแวร์ในอีเมล เมื่อเหยื่อคลิกเปิดอีเมลบนมือถือ มัลแวร์จะถูกปล่อยทันที

พฤติกรรมมัลแวร์ที่เปลี่ยนแปลงตามเวลา
ปี 2022–2023: ใช้ช่องโหว่ในระบบประมวลผลภาพ IMG เพื่อฝัง backdoor ผ่านไฟล์ SO ที่ดูเหมือน libttmplayer_lite.so

ปี 2024–2025: เปลี่ยนเป็น libpanglearmor.so ที่โหลด APK Trojan จากเซิร์ฟเวอร์ และรันในหน่วยความจำ พร้อมส่งข้อมูล Wi-Fi และคำสั่งกลับไปยังเซิร์ฟเวอร์ควบคุม

ช่องโหว่ ZipperDown ถูกใช้โจมตีจริง
แนบไฟล์ DAT ในอีเมล Android
คลิกเปิดอีเมล = มัลแวร์ถูกปล่อยทันที

พฤติกรรมมัลแวร์เปลี่ยนตามปี
2022–2023: ใช้ libttmplayer_lite.so ฝัง backdoor
2024–2025: ใช้ libpanglearmor.so โหลด APK Trojan และส่งข้อมูลกลับ

เทคนิคขโมยบัญชีแบบไร้รหัสผ่าน
ฝัง JavaScript ผ่าน IMG tag ในอีเมล
ใช้ API ภายในอ่านไฟล์ token และ config
เข้าถึงอีเมลและไฟล์โดยไม่ต้องใช้รหัสผ่าน

ความเสี่ยงจากการเปิดอีเมลบนมือถือ
คลิกเปิดอีเมลอาจปล่อยมัลแวร์ทันที
มัลแวร์สามารถควบคุมแอปและขโมยข้อมูลได้

ช่องโหว่ในแอปอีเมล Android
API ภายในเปิดทางให้แฮกเกอร์อ่านไฟล์สำคัญ
การฝัง JavaScript ผ่าน IMG tag เป็นช่องทางใหม่ที่อันตราย

นี่คือการยกระดับของสงครามไซเบอร์ที่ไม่ต้องใช้การเจาะระบบแบบเดิมอีกต่อไป แค่ “คลิกเปิดอีเมล” ก็อาจเปิดประตูให้ผู้ไม่หวังดีเข้าถึงทุกอย่างในเครื่องของคุณ—โดยที่คุณไม่รู้ตัว.

https://securityonline.info/global-spies-use-zipperdown-and-android-zero-days-for-1-click-email-client-rce-and-account-takeover/

สองช่องโหว่ร้ายแรงถูกใช้โจมตีจริง—CISA เตือนให้เร่งอุดช่องโหว่ก่อนสายเกินไป

หน่วยงาน CISA ของสหรัฐฯ ได้ออกประกาศเตือนภัยไซเบอร์ด่วน โดยเพิ่มสองช่องโหว่ใหม่เข้าสู่รายการ Known Exploited Vulnerabilities (KEV) หลังพบการโจมตีจริงในระบบขององค์กรต่างๆ ทั่วโลก ช่องโหว่เหล่านี้เปิดทางให้ผู้ไม่หวังดีสามารถเข้าถึงระบบและรันคำสั่งได้โดยไม่ต้องยืนยันตัวตน

ช่องโหว่แรก: Gladinet CentreStack และ Triofox (CVE-2025-11371)
ช่องโหว่นี้เกิดจากการตั้งค่าดีฟอลต์ที่ไม่ปลอดภัยในซอฟต์แวร์แชร์ไฟล์สำหรับองค์กร ทำให้เกิดช่องโหว่แบบ Local File Inclusion (LFI) ซึ่งเปิดทางให้ผู้โจมตีอ่านไฟล์สำคัญในระบบ เช่น Web.config ที่เก็บ machineKey

เมื่อได้ machineKey แล้ว ผู้โจมตีสามารถสร้าง ViewState payload ที่ผ่านการตรวจสอบ และรันคำสั่งในระบบได้ทันที—เรียกว่า Remote Code Execution (RCE) แบบเต็มรูปแบบ

ช่องโหว่ที่สอง: Control Web Panel (CVE-2025-48703)
ช่องโหว่นี้เกิดจากการตรวจสอบสิทธิ์ที่ไม่รัดกุม และการไม่กรองข้อมูลในพารามิเตอร์ t_total ซึ่งใช้กำหนดสิทธิ์ไฟล์ ผู้โจมตีสามารถส่งคำสั่งผ่าน shell metacharacters โดยไม่ต้องยืนยันตัวตน เพียงแค่รู้ชื่อผู้ใช้ที่ไม่ใช่ root ก็สามารถเข้าถึงระบบได้

ช่องโหว่นี้ถูกเปิดเผยในเดือนพฤษภาคม และมีการอัปเดตแก้ไขในเวอร์ชัน 0.9.8.1205 เมื่อเดือนมิถุนายนที่ผ่านมา

CISA เพิ่มช่องโหว่ทั้งสองในรายการ KEV
เตือนหน่วยงานภาครัฐให้เร่งอัปเดตระบบภายในวันที่ 25 พฤศจิกายน 2025
ช่องโหว่เหล่านี้ “มีความเสี่ยงสูงต่อระบบของรัฐบาลกลาง”

ความเสี่ยงจากการไม่อัปเดตระบบ
องค์กรอาจถูกโจมตีแบบไม่ต้องยืนยันตัวตน
ข้อมูลสำคัญอาจถูกขโมยหรือระบบถูกควบคุมจากภายนอก

การตั้งค่าดีฟอลต์ที่ไม่ปลอดภัย
machineKey ที่เปิดเผยในไฟล์ config อาจถูกใช้โจมตี
การไม่กรอง input ทำให้ shell commands ถูกรันโดยตรง

นี่คือสัญญาณเตือนให้ทุกองค์กรตรวจสอบระบบของตนอย่างเร่งด่วน โดยเฉพาะหากใช้ซอฟต์แวร์ที่เกี่ยวข้องกับช่องโหว่เหล่านี้ การอัปเดตและปรับแต่งระบบให้ปลอดภัยไม่ใช่แค่เรื่องเทคนิค แต่คือการป้องกันความเสียหายระดับองค์กร.

https://securityonline.info/cisa-kev-alert-two-critical-flaws-under-active-exploitation-including-gladinet-lfi-rce-and-cwp-admin-takeover/

Intel อาจเข้าซื้อ SambaNova ด้วยมูลค่า $5 พันล้าน หวังพลิกเกม AI ด้วยระบบ end-to-end ที่ไม่พึ่ง NVIDIA

Intel กำลังเจรจาเพื่อเข้าซื้อกิจการของ SambaNova Systems บริษัทสตาร์ทอัพด้าน AI ที่มีระบบฮาร์ดแวร์และซอฟต์แวร์ครบวงจร โดยคาดว่าดีลนี้จะมีมูลค่าราว $5 พันล้าน และอาจเป็นจุดเปลี่ยนสำคัญในการกลับเข้าสู่ตลาด AI อย่างจริงจังของ Intel

SambaNova เป็นบริษัทที่พัฒนา Reconfigurable Dataflow Unit (RDU) ซึ่งเป็นชิปที่ออกแบบมาเพื่อประมวลผลโมเดล AI โดยตรงในฮาร์ดแวร์ โดยไม่ต้องผ่านการจัดการหน่วยความจำแบบเดิม ทำให้มีประสิทธิภาพสูงโดยเฉพาะกับโมเดลประเภท transformer

นอกจากฮาร์ดแวร์แล้ว SambaNova ยังมีระบบซอฟต์แวร์ชื่อ SambaFlow และโซลูชันระดับ rack-scale ที่ชื่อ DataScale Systems ซึ่งทำให้บริษัทมี ecosystem แบบ end-to-end ที่พร้อมใช้งานทันที

Intel ภายใต้การนำของ CEO Lip-Bu Tan ซึ่งเคยลงทุนใน SambaNova ผ่านบริษัท Walden International กำลังมองหาการเข้าซื้อกิจการนี้เพื่อเสริมความแข็งแกร่งในตลาด inference และลดการพึ่งพา NVIDIA

รายละเอียดของดีล Intel–SambaNova
Intel อยู่ระหว่างเจรจาเข้าซื้อ SambaNova ด้วยมูลค่า $5 พันล้าน
SambaNova มีระบบ AI แบบ end-to-end ทั้งฮาร์ดแวร์และซอฟต์แวร์
ใช้ชิป RDU ที่ไม่พึ่งพา GPU แบบ NVIDIA
มีระบบ DataScale และ SambaFlow พร้อมใช้งาน

เหตุผลที่ Intel สนใจ
ต้องการเสริมความแข็งแกร่งในตลาด inference
ลดการพึ่งพา NVIDIA และสร้าง ecosystem ของตัวเอง
CEO Lip-Bu Tan เคยลงทุนใน SambaNova และมีความสัมพันธ์ใกล้ชิด
Intel ต้องการเร่งการกลับเข้าสู่ตลาด AI หลังจากตามหลังมานาน

จุดเด่นของเทคโนโลยี SambaNova
RDU สามารถแมปกราฟของ neural network ลงในฮาร์ดแวร์โดยตรง
ลด overhead จากการเคลื่อนย้ายข้อมูลในหน่วยความจำ
เหมาะกับงาน inference ขนาดใหญ่ เช่น LLM และ transformer
มีระบบซอฟต์แวร์และฮาร์ดแวร์ที่พร้อมใช้งานทันที

https://wccftech.com/intel-potential-acquisition-of-sambanova-could-catalyze-the-ai-comeback/

NPM ถูกถล่มด้วยแพ็กเกจอันตรายกว่า 126 รายการ ดาวน์โหลดไปแล้วกว่า 86,000 ครั้ง!

บริษัทความปลอดภัย Koi เปิดเผยแคมเปญโจมตีชื่อ “PhantomRaven” ที่ใช้ช่องโหว่ในระบบ Remote Dynamic Dependencies (RDD) ของ NPM เพื่อแฝงมัลแวร์ในแพ็กเกจ JavaScript โดยไม่สามารถตรวจจับได้ด้วยเครื่องมือวิเคราะห์ทั่วไป

NPM เป็นระบบจัดการแพ็กเกจสำหรับ JavaScript ที่นักพัฒนาทั่วโลกใช้กันอย่างแพร่หลาย โดยปกติแล้ว dependency จะถูกดึงจากแหล่งที่เชื่อถือได้ของ NPM แต่ฟีเจอร์ RDD เปิดให้แพ็กเกจสามารถดึง dependency จากเว็บไซต์ภายนอกได้ แม้จะเป็น HTTP ที่ไม่เข้ารหัส

แฮกเกอร์ใช้ช่องทางนี้อัปโหลดแพ็กเกจ 126 รายการที่มีโค้ดแอบโหลดมัลแวร์จากเซิร์ฟเวอร์ภายนอก โดยแพ็กเกจเหล่านี้แสดงว่า “ไม่มี dependency” ทำให้เครื่องมือวิเคราะห์ไม่สามารถตรวจจับได้

มัลแวร์ที่ถูกโหลดจะสแกนเครื่องของเหยื่อเพื่อขโมยข้อมูล เช่น:
ตัวแปร environment ที่ใช้ตั้งค่าระบบ
Credential ของ GitHub, Jenkins และ NPM
ข้อมูลจากระบบ CI/CD ที่ใช้ deploy โค้ด
ส่งข้อมูลออกผ่าน HTTP, JSON และ WebSocket แบบซ้ำซ้อน

ที่น่าตกใจคือบาง dependency ใช้ชื่อที่ “AI chatbot มัก hallucinate” หรือแนะนำผิด ๆ ทำให้แฮกเกอร์สามารถหลอกนักพัฒนาให้ติดตั้งแพ็กเกจปลอมได้ง่ายขึ้น

รายละเอียดแคมเปญ PhantomRaven
ใช้ Remote Dynamic Dependencies (RDD) เพื่อโหลดมัลแวร์จากเว็บภายนอก
อัปโหลดแพ็กเกจ 126 รายการลง NPM
ดาวน์โหลดไปแล้วกว่า 86,000 ครั้ง
แสดงว่าไม่มี dependency เพื่อหลบการตรวจจับ

วิธีการโจมตี
โหลดมัลแวร์ “สด” ทุกครั้งที่ติดตั้งแพ็กเกจ
ตรวจสอบ IP ของผู้ติดตั้งเพื่อเลือก payload ที่เหมาะสม
ส่งโค้ดสะอาดให้ security researcher แต่ส่งโค้ดอันตรายให้บริษัท

ข้อมูลที่ถูกขโมย
Environment variables และ config ภายใน
Credential ของแพลตฟอร์มพัฒนา
ข้อมูลจากระบบ CI/CD
ส่งออกผ่านหลายช่องทางเพื่อความแน่นอน

จุดอ่อนของระบบ NPM
RDD ไม่สามารถตรวจสอบด้วย static analysis
ไม่มีการ cache หรือ versioning ทำให้โหลดโค้ดใหม่ทุกครั้ง
แพ็กเกจปลอมใช้ชื่อที่ AI มักแนะนำผิด

ความเสี่ยงจากการใช้แพ็กเกจโดยไม่ตรวจสอบ
อาจติดตั้งมัลแวร์โดยไม่รู้ตัว
ข้อมูล credential และระบบ deploy อาจถูกขโมย
การใช้ชื่อแพ็กเกจจาก AI chatbot อาจนำไปสู่การติดตั้งแพ็กเกจปลอม

วิธีป้องกันเบื้องต้น
ตรวจสอบแพ็กเกจก่อนติดตั้ง โดยดู source และ dependency
หลีกเลี่ยงการใช้แพ็กเกจที่โหลด dependency จากเว็บภายนอก
ใช้ระบบ sandbox หรือ container เมื่อติดตั้งแพ็กเกจใหม่
ติดตามรายชื่อแพ็กเกจอันตรายจากรายงานของ Koi และชุมชน

นี่คืออีกหนึ่งตัวอย่างของ “supply chain attack” ที่แฝงตัวในเครื่องมือที่นักพัฒนาใช้ทุกวัน และเตือนว่าแม้ระบบจะยืดหยุ่นแค่ไหน ก็ต้องมีการตรวจสอบและป้องกันอย่างรัดกุมเสมอ.

https://arstechnica.com/security/2025/10/npm-flooded-with-malicious-packages-downloaded-more-than-86000-times/

Windows 7 ขนาด 69MB! นักพัฒนาโชว์เวอร์ชันมินิมอลที่บูตได้จริง แต่ยังใช้งานแทบไม่ได้

นักพัฒนาในชุมชน Windows Insider ชื่อ Xeno สร้าง Windows 7 เวอร์ชันพิเศษที่มีขนาดเพียง 69MB โดยตัดไฟล์ระบบออกเกือบทั้งหมดเพื่อโชว์ว่า “ระบบปฏิบัติการที่บูตได้” สามารถเล็กแค่ไหน แม้ยังไม่สามารถใช้งานจริงได้ แต่ถือเป็น proof-of-concept ที่น่าทึ่ง

Xeno แชร์ผลงานผ่าน Twitter พร้อมภาพหน้าจอของ Windows 7 ที่บูตขึ้นมาได้จริงจากไฟล์ ISO ขนาด 69MB ซึ่งถูกบีบอัดเหลือ 40.4MB ด้วย 7zip และภายในประกอบด้วย virtual disk ขนาดเล็กสำหรับ VMware และไฟล์ config

แม้ระบบจะบูตได้ แต่แทบไม่มีฟีเจอร์ใดใช้งานได้เลย เพราะไฟล์สำคัญอย่าง common controls และ dialog boxes ถูกลบออกหมด ทำให้ “แทบไม่มีโปรแกรมใดรันได้” และยังขึ้นข้อความว่า “This copy of Windows is not genuine” เพราะระบบตรวจสอบลิขสิทธิ์ยังทำงานอยู่

Xeno ระบุว่า “คุณต้องใส่ไฟล์ระบบเอง หากต้องการให้โปรแกรมพื้นฐานทำงาน” และมีแผนจะพัฒนาเวอร์ชันที่ใช้งานได้จริงสำหรับผู้ที่สนใจเล่นเกมเก่า ๆ หรือใช้งานแบบ retro โดยอาจเพิ่มไฟล์ระบบบางส่วนกลับเข้าไป

รายละเอียดของ Windows 7 ขนาด 69MB
สร้างโดย Xeno นักพัฒนาในชุมชน Windows Insider
ขนาด ISO 69MB บีบอัดเหลือ 40.4MB ด้วย 7zip
ภายในมี virtual disk และ config สำหรับ VMware
ระบบสามารถบูตได้จริง แต่ใช้งานแทบไม่ได้

จุดเด่นและข้อจำกัด
ตัดไฟล์ระบบออกเกือบทั้งหมด เช่น common controls
ไม่มีโปรแกรมพื้นฐานทำงานได้
ระบบยังตรวจสอบลิขสิทธิ์และขึ้นข้อความ “not genuine”
ต้องใส่ไฟล์ระบบเองหากต้องการใช้งานจริง

แผนในอนาคตของผู้พัฒนา
อาจเพิ่มไฟล์ระบบบางส่วนเพื่อให้ใช้งานได้มากขึ้น
ตั้งเป้าให้รองรับเกมเก่าและแอป retro
มีความสนใจจากชุมชนที่อาจผลักดันให้เกิดเวอร์ชัน “Tiny7” แบบใช้งานได้จริง

https://www.tomshardware.com/software/windows/veteran-windows-insider-creates-windows-7-install-measuring-just-69mb-in-size-system-boots-but-has-been-pruned-so-severely-virtually-nothing-can-run-for-now

ต้มข้ามศตวรรษ – หัวโจก 5 – 6
นิทานเรื่องจริง เรื่อง “ต้มข้ามศตวรรษ”
บทที่ 3 “หัวโจก”

ตอน 5

คณะกรรมาธิการ 1919 the Senate Overman Committee ได้ลงความเห็นว่า Guaranty Trust มี บทบาทสูง และทำอย่างสม่ำเสมอ ในการสนับสนุนทางการเงินแก่เยอรมันในระหว่างสงครามโลกครั้งที่ 1 และเป็นการปฏิบัติตัวอย่างไม่เป็นกลาง ตามคำให้การของนาย Becker เจ้าหน้าที่ฝ่ายข่าวกรองของอเมริกา

ที่สำคัญ การสนับสนุนทางการเงิน แก่เยอรมัน ไม่ใช่เพียงแค่เป็นการผิดกฏหมายเท่านั้น เพราะในขณะเดียวกันนั้น Guaranty Trust ก็ให้การสนับสนุนทางการเงิน กับฝ่ายสัมพันธมิตรในเวลานั้นด้วย มันเป็นเรื่องของการขัดกันแห่งผลประโยชน์ ซึ่งแสดงให้เห็นถึงการขาดจรรยาบรรณ อย่างร้ายแรงของ Guaranty Trust อีกด้วย

แต่ฤทธิเดชความพลิกแพลงของนักการเงินวอลสตรีท ไม่ได้มีเพียงแค่นั้น ยังมีตัวละครสำคัญอีกหลายราย ที่ทำให้แผนการชั่วร้ายของกลุ่มการเงินวอลสตรีท ประสบความสำเร็จ

Count Jacques Minotto เป็นตัวละครอีกรายหนึ่ง ที่โยงการปฏิวัติ Bolsheviks ในรัสเซียกับกลุ่มธนาคารเยอรมัน และการจารกรรมในอเมริกา ช่วงสงครามโลกครั้งที่ 1 กับ Guaranty Trust Company ในนิวยอร์ค
Jacques Minotto เกิดเมื่อ 17 กุมภาพันธ์ 1891 ที่เบอร์ลิน พ่อเป็นชาวออสเตรียนที่มีเชื้อเจ้า ส่วนแม่เป็นเยอรมัน Minotto เรียนหนังสือที่เบอร์ลิน เมื่อเรียนจบก็เข้าทำงานที่ Deutsche Bank ในเบอร์ลินเมื่อปี 1912 ทำงานที่นั่นไม่นานเท่าไหร่ เขาก็ถูกส่งตัวมาเป็นผู้ช่วยของ Hugo Schmidt ซึ่งเป็นกรรมการของธนาคาร และเป็นตัวแทนของ Deutsche Bank ที่นิวยอร์ค เรียกว่าเป็นเด็กเส้น อยู่นิวยอร์คได้ 1 ปี นาย Minotto เด็กเส้นก็ถูกส่งไปอยู่ Deutsche Bank ที่ลอนดอน ทำให้เขาได้วนเวียนอยู่ในสังคมชั้นสูง ของนักการเมืองและนักการฑูต

เมื่อสงครามโลกครั้งที่ 1 เริ่มก่อตัว Minotto กลับมาอยู่ที่อเมริกา และได้มีโอกาสพบกับ Count Von Bernstorff ฑูตเยอรมันประจำอเมริกา หลังจากนั้น Minotto ก็เลยเปลี่ยนที่ทำงาน ย้ายมาทำงานหน้าที่ Guaranty Trust Company ในนิวยอร์คแทน และอยู่ใต้บังคับบัญชาของนาย Max May ซึ่งเป็นกรรมการด้านนโยบายฝ่ายต่างประเทศของ Guaranty Trust เป็น Max May ที่ Olof Aschberg นายธนาคารของพวก Bolsheviks เดินตามต้อยๆ

เดือนตุลาคม 1914 Guaranty Trust ส่ง Minotto ไปอเมริกาใต้ เพื่อไปทำการสำรวจ และวิเคราะห์สถานการณ์ทางการเมือง ธุรกิจการเงิน และการค้าในแถบนั้น และก็เหมือนชีวิตในลอนดอน และนิวยอร์ค Minotto พาตัวเองเข้าสู่สังคมชั้นสูง แท้จริงแล้ว ภาระกิจของ Minotto ในลาตินอเมริกาคือ หาทางให้ Guaranty Trust สามารถเป็นตัวกลาง ในการระดมเงินทุนให้เยอรมัน แทนตลาดลอนดอน ซึ่งขณะนั้นปฏิเสธที่จะทำ เนื่องจากอังกฤษกำลังทำสงครามอยู่กับเยอรมัน

เอะ คราวนี้อังกฤษเกิดมีจรรยาบรรณ อย่าเพิ่งเข้าใจเป็นอย่างนั้น อังกฤษไม่เคยมีนิสัยอย่างนั้น และเป็นไปไม่ได้ที่จะเป็นอย่างนั้น มันเป็นเรื่องเกี่ยวกับเยอรมันมากกว่า อะไรที่จะเกิดประโยชน์กับเยอรมัน ไม่ว่าเรื่องอะไร ทางใด อังกฤษจะไม่มีวันยอมให้เกิดขึ้น เป็นอย่างนี้มากว่าร้อยปี เดี๋ยวนี้ก็ยังเป็นอยู่ แต่เยอรมันจะรู้ตัวหรือไม่อีกเรื่องนึง

นิทานเรื่องจริง เรื่อง “ต้มข้ามศตวรรษ”
บทที่ 3 “หัวโจก”

ตอน 6

เมื่อ Minotto เดินทางกลับมานิวยอร์ค เขากลับมาคบค้ากับ Count Von Berntorff ต่อ และพยายาม สมัครเข้าไปอยู่ในหน่วยข่าวกรอง ของกองทัพเรืออเมริกัน แต่ไม่เป็นผล หลังจากนั้น เขาถูกจับ ข้อหาจัดกิจกรรมที่เป็นการส่งเสริมเยอรมัน ขณะถูกจับ Minotto ทำงานอยู่ที่โรงงานในชิคาโก ให้กับพ่อตาของเขา Louis Swift เจ้าของบริษัท Swift & Co ซึ่งทำอุตสาหกรรมส่งเนื้อสัตว์แช่แข็ง พ่อตาใช้พันธบัตร จำนวน 50,000 เหรียญ ประกัน Minotto ออกมา แต่ตอนหลังคุณพ่อตา ก็ถูกจับข้อหาโปรเยอรมันเช่นเดียวกัน

เป็นเรื่องบังเอิญหรือเปล่าไม่ แน่ใจ แต่คุณพ่อตานี้ เป็นพี่ชาย ของ Major Harold H. Swift ที่ร่วมเดินทางไป Petrograd กับ William Boyce Thompson ในคณะภารกิจกาชาด Red Cross Mission เพื่อรัสเซีย ในปี 1917 ที่จะเล่าต่อไปด้วย

นาย Josef Caillaux เป็นนักการเมืองชื่อดังของฝรั่งเศส เขารู้จักและเที่ยวเตร่กับ Minotto ที่ลาตินอเมริกา เมื่อตอนที่ Minotto ไปทำภาระกิจให้ Guaranty Trust

ปี 1911 Caillaux ได้เป็นรัฐมนตรีคลัง และในปีเดียวกัน เขาได้เป็นนายกรัฐมนตรีของฝรั่งเศส และมี John Louis Malvy เป็นรัฐมนตรีต่างประเทศในรัฐบาลของเขา หลังจากนั้นไม่กี่ปี คุณนาย Caillaux ก็ปฏิบัติการฆาตกรรม นาย Calmette บรรณาธิการหนังสือพิมพ์ชื่อดังของฝรั่งเศส Figaro อัยการตั้งข้อหาว่า คุณนาย Caillaux ฆ่า Calmette เพื่อปิดปากไม่ให้ Calmette ตีพิมพ์เอกสารสำคัญฉบับหนึ่ง

เหตุการณ์นี้ทำให้นาย Caillaux และคุณนายใจโหด หนีออกไปจากฝรั่งเศส และไปอยู่ที่แถบลาตินอเมริกา จน Minotto ได้ไปพบ และในที่สุด Minotto กับครอบครัว Caillaux ก็สนิทสนมกลมเกลียว ท่องเที่ยวด้วยกันไปทั่วอเมริกาใต้ เมื่อได้กลับมาฝรั่งเศสอีกครั้ง ครอบครัว Caillaux พักอยู่ที่ Biarrtiz ในฐานะแขกของ Paul Bolo-Pasha ซึ่งเป็นสายลับระดับหัวหน้าของเยอรมัน ที่ปฏิบัติภาระกิจอยู่ในฝรั่งเศส

ในเดือนกรกฏาคม 1915 Minotto เดินทางจากอิตาลีมาฝรั่งเศสและพบกับครอบครัว Caillaux ซึ่งเป็นช่วงเดียวกับที่ครอบครัว Caillauxเป็นแขกรับเชิญของ Bolo-Pasha และพักที่ Biarrtiz อย่างเคย

ภาระกิจของ Bolo-Pasha ที่ฝรั่งเศสคือ เพื่อทำการโฆษณาชวนเชื่อเกี่ยวกับเยอรมัน ผ่านหนังสือพิมพ์ชั้นนำของฝรั่งเศสคือ Le Temps และ Figaro หลังจากนั้น Bolo-Pasha ก็เดินทางไปนิวยอร์ค เพื่อพบกับ Von Pavenstedt สายลับระดับหัวหน้าของเยอรมัน ที่ปฏิบัติภาระกิจอยู่ในอเมริกา และเป็นผู้ที่มีสายสัมพันธุ์ระดับลึก กับ Amsinck & Co ของ Guaranty Trust ที่ กลุ่ม Morgan เป็นเจ้าของ

มันเป็นเครือข่ายใยแมงมุม ของพวกโคตรแสบและชั่วจริงๆ
Severance Johnson เขียนไว้ในหนังสือเรื่อง The Enemy Within เกี่ยวกับ Caillaux และ Malvy ซึ่งพยายามทำการปฏิวัติที่เรี ยกว่า French Bolsheviks ในฝรั่งเศสปี 1918 แต่ไม่สำเร็จว่า “ถ้าการปฏิวัติทำสำเร็จ Malvy ก็คงจะเป็น Trotsky แห่งฝรั่งเศส และ Caillaux ก็คงจะเป็น Lenin”

Caillaux และ Malvy ได้ ร่วมกันตั้งพรรคสังคมนิยมหัวรุนแรงขึ้นในฝรั่งเศส โดยใช้เงินทุนของเยอรมัน และถูกจับตัวขึ้นศาล ในข้อหาพยายามล้มล้างรัฐบาล จากการไต่สวนของศาล เกี่ยวกับการกระทำเป็นสายลับในฝรั่งเศสในปี 1919 และมีการสืบพยานเกี่ยวกับธนาคารในนิวยอร์ค และสัมพันธ์ของพวกธนาคารกับพวก สายลับชาวเยอรมัน ซึ่งระบุว่า มีการเชื่อมโยงระหว่าง Count Minotto กับ Caillaux และ Guaranty Trust กับDeutsche Bank และการร่วมมือระหว่าง Hugo Schimdt ของ Deutsche Bank กับ Max May ของ Guaranty Trust

ต่อมาในปลายปี 1922 Max May ได้เป็นกรรมการของธนาคาร Ruskombank และเป็นตัวแทนของกลุ่ม Guaranty Trust ซึ่งถือหุ้นอยู่ในธนาคารดังกล่าว

สรุปว่า นาย Max May ของ Guaranty Trust เกี่ยวโยงกับการระดมเงินทุน อย่างไม่ถูกกฏหมายให้แก่เยอรมัน เพื่อทำการจารกรรมในอเมริกา ระหว่างสงครามโลกครั้งที่ 1 และ Max May ก็เกี่ยวโยง โดยทางอ้อมกับพวกปฏิวัติ Bolsheviks และเกี่ยวโดยตรงกับการตั้งธนาคาร Ruskombank ธนาคารระหว่างประเทศแห่งแรกในสหภาพโซเวียต

อาจจะยังเร็วไป ที่จะสรุปว่า การกระทำ ที่ทั้งผิดกฏหมายและผิดจรรยาบรรณอย่างร้ายแรงเหล่านี้ มีคำอธิบายอย่างไร อาจมีผู้สรุปชั้นแรกตรงไปตรงมา ว่า น่าจะมาจากความต้องการทำกำไร ความงกในการทำธุรกิจ ของกลุ่มนักการเงิน แต่มันจะเป็นแค่นั้นแน่หรือ…

สวัสดีครับ
คนเล่านิทาน
29 เม.ย. 2558

Examples Of Every Letter Being Silent, With The Exception Of…

You probably already know that English features many, many words with silent letters—letters that appear in the word but aren’t pronounced and often make us wonder what they are even doing there. For example, the letter B in the words debt and thumb. Or whatever the heck is going on in the words colonel, queue, and bourgeoisie.

Even though you’re probably already familiar with silent letters, you might not realize just how many words in English actually use them. To demonstrate just how common these silent letters actually are, we quietly gathered up a list of as many examples of silent letters as we could find.

It should be noted that silent letters often depend on pronunciation and regional accents, which we have noted at points in our list.

Silent A words

The letter A is silent in a bunch of words that include -ea, such as bread, dread, head, thread, and spread. The letter A also remains quiet in a bunch of adverbs that end in -ically, such as basically, stoically, logically, frantically, fanatically, magically, and tragically. A few words also have a silent A at the beginning that doesn’t seem to do much of anything, such as aisle and aesthetic.

Silent B words

The letter B likes to silently follow the letter M at the end of many words, such as in dumb, plumb, crumb, thumb, numb, succumb, lamb, limb, climb, tomb, comb, bomb, and womb. The letter B also seems to also slip in silently before the letter T in words like debt, doubt, and subtle.

Silent C words

When it comes to the letter C, it seems to remain silent when it follows the letter S. There are many examples of this, such as science, scissors, scent, ascent, crescent, descent, descend, disciple, scene, obscene, fluorescent, abscess, fascinate, and muscle.

The silent C also shows up in a few other weird words such as czar, acquire, indict, and yacht. Yacht is so fancy that it even slips a silent H in there too.

Silent D words

The letter D is silent in some words that pair it up with the letter G, as in bridge, ridge, edge, ledge, and hedge. It also doesn’t have much to say in some pronunciations of the words handsome and handkerchief. Lastly, the first D in the word Wednesday seems to have taken the day off.

Silent E words

The letter E quietly resides in the middle of the word vegetable. However, there are tons and tons more silent E‘s out there. The letter E often goes unpronounced at the end of many, many words that include but are certainly not limited to the words imagine, plaque, brute, debate, excite, make, due, true, crime, grace, goose, axe, die, dye, bike, eke, pie, use, toe, cage, dude, mute, candle, and adore.

Silent F words

This one will depend on how you pronounce the word fifth, which has two common pronunciations: one in which both F‘s are pronounced and one in which the second F is not (as if it were spelled “fith”). As far as we know, this silent F pronunciation of fifth is the only example in English of a word with a silent F.

Silent G words

For whatever reason, the letter G likes to stay quiet when it is paired up with the letter N. Examples include gnaw, gnarly, gnostic, gnat, gnash, gnome, champagne, cologne, align, assign, benign, sign, feign, foreign, and reign. The letter G also often keeps quiet when it sees the letter H, as in sigh, high, sight, light, bright, night, fight, though, and thorough.

Silent H words

We have already listed quite a few words with silent Hs but there are plenty more to find. The letter H is sometimes silent when placed at the beginning of words such as hour, heir, honor, herb, homage, and honest. The letter H is silent in many words where it follows the letter C, such as anchor, archive, chaos, character, Christmas, charisma, chemical, choreography, chorus, choir, and echo. The letter H is also silent in words where it follows the letter W, as in when, where, which, why, whine, whistle, and white. Finally, the letter H doesn’t seem to be doing much at all in the words ghost and rhyme.

Silent I words

Compared to the other vowels, the letter I seems to love to be heard. We could only find a few words that feature a silent I, such as business, suit, and fruit.

Silent J words

Based on our, ahem, totally professional research, the only English word to have a silent J is … marijuana. And interestingly, it’s tough to find a language with a silent J. J just loves to be heard.

Silent K words

The letter K is silent at the beginning of lots of words where it is followed by the letter N. Some examples of this include knife, knight, knob, knock, knit, knuckle, knee, kneel, knick-knack, knowledge, know, knot, and knoll.

Silent L words

The letter L is silent in the words including should, could, would, half, calf, chalk, talk, walk, folk, and yolk. The silent L in the word salmon is also pretty fishy.

Silent M words

After looking high and low, the only words we could find with a silent M are ones that begin with mn, such as mnemonic and similarly derived terms, but maybe we just need something to help us remember others.

Silent N words

The letter N seems to be shy around the letter M as it doesn’t speak up in words like autumn, column, condemn, solemn, and hymn.

Silent O words

The letter O is silent in some words that pair it with fellow vowels E and U, such as people, jeopardy, leopard, rough, tough, enough, trouble, and double.

Silent P words

The letter P is often silent in words that pair it with the letter S, as in psalm, psyche, psychology, pseudoscience, pseudonym, and corps. It is also silent in many technical words that include the prefixes pneumato-, pneumano-, and pneumo-, such as pneumonia and pneumatic. The letter P is also silent in a few other oddball words such as raspberry, receipt, and pterodactyl.

Silent Q words

The letter Q mostly makes its presence felt whenever it appears. The word lacquer seems to be the sole example of a word with a silent Q that we could manage to find.

Silent R words

Besides the common pronunciation of the word February that leaves out the first R, the existence (or nonexistence) of silent R’s largely depends on whether you have a rhotic or non-rhotic accent. For example, a person with a non-rhotic Boston accent will likely employ several silent R’s following vowels in the sentence My sister parked her car near Harvard Yard.

Silent S words

The Silent S appears in several different words, including island, isle, aisle, apropos, debris, bourgeois, and viscount.

Silent T words

One pattern we could find for the Silent T occurs when it is paired with the letter L in words like whistle, bristle, thistle, bustle, hustle, and castle. The letter T is also silent in a lot of French loanwords such as ballet, gourmet, rapport, ricochet, buffet, crochet, valet, debut, and beret. Besides that, the silent T appears in a random assortment of other words, such as asthma, mortgage, tsunami, soften, listen, fasten, glisten, and moisten.

Silent U words

U must get nervous around G‘s because it can’t seem to say anything when it comes after them in words like guard, guide, guilt, guitar, guess, disguise, guest, guilt, guise, baguette, dialogue, monologue, league, colleague, rogue, vague, and tongue. You can also find a silent U in words like build, biscuit, circuit, and laugh.

Silent V words

We looked as hard as we could for words with a silent V, but we sadly came up empty. Some sources claim that V is the only letter in English that is never silent, and we couldn’t find any examples to prove that claim wrong. Poetic contractions like e’er and ne’er do cut it right out, though.

Silent W words

The letter W gets tongue-tied around the letter R and is often silent when placed before it in words like wrack, wrench, wreath, wrestle, wrangle, wrist, wrong, wring, wrought, write, writ, wrinkle, wraith, wrap, wrath, wretch, wreck, writhe, wry, wrapper, and playwright. A handful of other words also feature a silent W, such as answer, sword, two, and who.

Silent X words

Unless we made an embarrassing mistake, we are pretty sure the letter X is silent in the words faux and faux pas. As it is in other French-derived words, such as roux and doux and some plurals, like choux and reseaux (the plurals of chou and reseau, respectively).

Silent Y words

The letter Y is another one that depends on pronunciation to be silent. For example, one pronunciation of the word beyond [ bee-ond ] could be considered to contain a silent Y.

Silent Z Words

A handful of French loanwords have that special je ne sais quoi of a silent Z, including rendezvous and laissez-faire.

สงวนลิขสิทธิ์ © 2025 AAKKHRA & Co.

PhantomRaven: มัลแวร์ npm สุดแสบที่ขโมยข้อมูลนักพัฒนาแบบแนบเนียน

แคมเปญมัลแวร์ PhantomRaven แอบแฝงใน npm ด้วยแพ็กเกจปลอมกว่า 126 รายการ ใช้เทคนิคลับ Remote Dynamic Dependency เพื่อขโมยโทเคนและข้อมูลลับของนักพัฒนาโดยไม่ถูกตรวจจับ

ตั้งแต่เดือนสิงหาคม 2025 แคมเปญมัลแวร์ชื่อ PhantomRaven ได้แอบปล่อยแพ็กเกจ npm ปลอมกว่า 126 รายการ ซึ่งถูกดาวน์โหลดไปแล้วกว่า 86,000 ครั้ง จุดประสงค์หลักคือขโมยข้อมูลลับของนักพัฒนา เช่น GitHub credentials, CI/CD tokens และ npm authentication tokens

สิ่งที่ทำให้ PhantomRaven อันตรายคือการใช้ฟีเจอร์ Remote Dynamic Dependency (RDD) ซึ่งอนุญาตให้แพ็กเกจ npm ดึง dependencies จาก URL ภายนอก แทนที่จะใช้ registry ปกติ ทำให้เครื่องมือสแกนความปลอดภัยมองว่าแพ็กเกจเหล่านี้ “ไม่มี dependencies” และปลอดภัย ทั้งที่จริงแล้วโค้ดอันตรายจะถูกดึงมาและรันทันทีเมื่อผู้ใช้ติดตั้ง

แพ็กเกจปลอมเหล่านี้มักมีชื่อคล้ายของจริง เช่น eslint-comments (จริงคือ eslint-plugin-eslint-comments) หรือ unused-imports (จริงคือ eslint-plugin-unused-imports) ซึ่งถูกออกแบบมาให้ AI แนะนำโดยผิดพลาดเมื่อผู้ใช้ถามหาแพ็กเกจในแชตบอตหรือ Copilot

เมื่อโค้ดรัน มัลแวร์จะเริ่มเก็บข้อมูลจากไฟล์ .gitconfig, .npmrc, package.json รวมถึงสแกนหาโทเคนจาก GitHub Actions, GitLab, Jenkins และ CircleCI จากนั้นจะส่งข้อมูลออกผ่าน HTTP GET, POST และ WebSocket เพื่อให้แน่ใจว่าข้อมูลจะหลุดออกไปแม้ในเครือข่ายที่มีไฟร์วอลล์

PhantomRaven คือแคมเปญมัลแวร์ใน npm
ปล่อยแพ็กเกจปลอมกว่า 126 รายการ
ถูกดาวน์โหลดไปแล้วกว่า 86,000 ครั้ง
เริ่มต้นในเดือนสิงหาคม 2025 และยังมีแพ็กเกจที่ยังไม่ถูกลบ

เทคนิค Remote Dynamic Dependency (RDD)
ดึงโค้ดจาก URL ภายนอกแทน registry
ทำให้เครื่องมือสแกนมองว่าไม่มี dependencies
โค้ดอันตรายจะรันทันทีเมื่อติดตั้งผ่าน preinstall script

ข้อมูลที่มัลแวร์พยายามขโมย
อีเมลและข้อมูลจากไฟล์ config
โทเคนจาก GitHub, GitLab, Jenkins, CircleCI
ข้อมูลระบบ เช่น IP, hostname, OS, username

ช่องทางการส่งข้อมูลออก
HTTP GET (ฝังข้อมูลใน URL)
HTTP POST (ส่ง JSON payload)
WebSocket (ใช้ในเครือข่ายที่มีข้อจำกัด)

ความเสี่ยงจากแพ็กเกจปลอม
ชื่อคล้ายของจริง ทำให้ AI แนะนำผิด
ผู้ใช้ติดตั้งโดยไม่รู้ว่าเป็นมัลแวร์
โค้ดดูเหมือน harmless เช่น console.log('Hello, world!') แต่แฝง payload จริงไว้ภายนอก

ความเสี่ยงต่อระบบ CI/CD และข้อมูลลับ
โทเคนและ credentials ถูกขโมยโดยไม่รู้ตัว
ส่งผลกระทบต่อระบบอัตโนมัติและการ deploy
อาจถูกใช้เพื่อเจาะระบบองค์กรหรือ cloud infrastructure

เกร็ดน่ารู้เพิ่มเติม
Remote Dynamic Dependency เป็นฟีเจอร์ที่แทบไม่มีใครใช้ เพราะเสี่ยงต่อความปลอดภัยสูง
Slopsquatting คือเทคนิคใหม่ที่ใช้ AI สร้างชื่อแพ็กเกจปลอมที่ “ดูเหมือนจริง” เพื่อหลอกให้ผู้ใช้ติดตั้ง
นักพัฒนาควรใช้เครื่องมือเช่น npm audit, Snyk, หรือ Socket.dev เพื่อตรวจสอบความปลอดภัยของแพ็กเกจ

https://securityonline.info/phantomraven-126-malicious-npm-packages-steal-developer-tokens-and-secrets-using-hidden-dependencies/

“AI Superintelligence” กับเสียงเตือนจากคนดัง: เมื่อเทคโนโลยีอาจล้ำเส้นมนุษย์

เสียงเตือนจากนักวิทยาศาสตร์และคนดังทั่วโลกกำลังดังขึ้นเรื่อยๆ เมื่อ AI กำลังพัฒนาไปสู่ระดับ “Superintelligence” — ปัญญาประดิษฐ์ที่อาจฉลาดกว่ามนุษย์ในทุกด้าน และนั่นอาจไม่ใช่เรื่องดีเสมอไป

ในช่วงไม่กี่ปีที่ผ่านมา AI กลายเป็นส่วนหนึ่งของชีวิตประจำวัน ไม่ว่าจะเป็นภาพที่สร้างจาก AI หรือการพูดคุยกับแชตบอต แต่เบื้องหลังความสะดวกนั้นคือความกังวลที่เพิ่มขึ้นเรื่อยๆ โดยเฉพาะเมื่อบริษัทใหญ่อย่าง OpenAI และ xAI กำลังพัฒนา “Superintelligence” — AI ที่สามารถคิด วิเคราะห์ และเรียนรู้ได้เหนือกว่ามนุษย์

กลุ่มนักวิทยาศาสตร์และคนดัง เช่น Richard Branson, Steve Wozniak, Prince Harry, Meghan Markle, Joseph Gordon-Levitt และ will.i.am ได้ร่วมลงชื่อในแถลงการณ์ “Statement on Superintelligence” เพื่อเรียกร้องให้หยุดการพัฒนา AI ประเภทนี้ชั่วคราว จนกว่าจะมี “ฉันทามติทางวิทยาศาสตร์” ว่าจะสามารถควบคุมได้อย่างปลอดภัย และมี “การยอมรับจากสาธารณชน” อย่างชัดเจน

Superintelligent AI ไม่เหมือนกับ AI ที่เราใช้กันในปัจจุบัน เพราะมันไม่ต้องพึ่งพามนุษย์ในการสั่งงานอีกต่อไป มันสามารถเรียนรู้และพัฒนาตัวเองได้อย่างต่อเนื่อง และอาจมีเป้าหมายที่มันจะทำทุกวิถีทางเพื่อให้สำเร็จ — โดยไม่สนใจผลกระทบต่อมนุษย์

ความเสี่ยงที่อาจเกิดขึ้นมีตั้งแต่การแย่งงาน การควบคุมสังคมผ่านเทคโนโลยี ไปจนถึงการสูญพันธุ์ของมนุษย์ ฟังดูเหมือนนิยายไซไฟ แต่ผู้เชี่ยวชาญเตือนว่าเรากำลังเดินเข้าสู่ “พื้นที่ที่ไม่เคยมีใครสำรวจมาก่อน” และควรเตรียมรับมือกับผลลัพธ์ที่เลวร้ายที่สุด

AI Superintelligence คืออะไร
ปัญญาประดิษฐ์ที่สามารถคิด วิเคราะห์ และเรียนรู้ได้เหนือกว่ามนุษย์
ไม่ต้องพึ่งพาการสั่งงานจากมนุษย์อีกต่อไป
สามารถพัฒนาตัวเองอย่างต่อเนื่องโดยไม่มีข้อจำกัด

แถลงการณ์ Statement on Superintelligence
เรียกร้องให้หยุดการพัฒนา AI ประเภทนี้ชั่วคราว
ต้องมีฉันทามติทางวิทยาศาสตร์ว่าปลอดภัย
ต้องได้รับการยอมรับจากสาธารณชนก่อนเปิดใช้งาน

ผู้ร่วมลงชื่อในแถลงการณ์
Richard Branson, Steve Wozniak, Prince Harry, Meghan Markle
Joseph Gordon-Levitt, will.i.am, Yoshua Bengio, Stuart Russell

ความเสี่ยงจาก AI Superintelligence
อาจถูกควบคุมโดยผู้ไม่หวังดี
มีโอกาส “หลุดจากการควบคุม” ของมนุษย์
อาจใช้ทรัพยากรทางปัญญาเพื่อบรรลุเป้าหมายโดยไม่สนใจผลกระทบ

ผลกระทบต่อมนุษย์
การแย่งงานในหลายอุตสาหกรรม
การเฝ้าระวังและควบคุมสังคมผ่านเทคโนโลยี
ความเสี่ยงต่อการสูญพันธุ์ของมนุษย์

https://www.slashgear.com/2010667/superintelligence-ban-ai-experts-public-figures/

“จากคลาวด์สู่เหล็กจริง” – บทเรียน 2 ปีหลังย้ายจาก AWS สู่ Bare Metal

บริษัท OneUptime เผยเบื้องหลังการย้ายจาก AWS สู่ Bare Metal ที่ช่วยประหยัดกว่า 1.2 ล้านดอลลาร์ต่อปี พร้อมเปิดเผยกลยุทธ์และบทเรียนที่นักพัฒนาและองค์กรควรรู้ก่อนตัดสินใจเปลี่ยนโครงสร้างพื้นฐาน

สองปีหลังจาก OneUptime ตัดสินใจย้ายโครงสร้างพื้นฐานจาก AWS ไปยังเซิร์ฟเวอร์แบบ Bare Metal บริษัทได้เปิดเผยผลลัพธ์ที่น่าทึ่ง ทั้งด้านความคุ้มค่า ความเสถียร และความสามารถในการควบคุมระบบอย่างเต็มรูปแบบ

การย้ายครั้งนี้ไม่ใช่แค่เรื่องของการลดค่าใช้จ่าย แต่เป็นการปรับเปลี่ยนแนวคิดการบริหารโครงสร้างพื้นฐาน โดย OneUptime ได้ตอบคำถามจาก Hacker News และ Reddit อย่างตรงไปตรงมา พร้อมเปิดเผยตัวเลขจริงและกลยุทธ์ที่ใช้

ประเด็นสำคัญที่น่าสนใจ:
ประหยัดค่าใช้จ่ายจาก AWS ได้กว่า $1.2 ล้านต่อปี เทียบกับเดิมที่ประหยัด $230,000 ต่อปี
ลด latency ลง 19% ด้วย NVMe และไม่มี “noisy neighbors”
ใช้ MicroK8s + Ceph ใน production ด้วย uptime 99.993%
เพิ่ม rack ที่ Frankfurt เพื่อแก้ปัญหา single point of failure
ใช้ Talos, Tinkerbell, Flux และ Terraform เพื่อจัดการ automation
ยังคงใช้ AWS สำหรับงานที่ต้องการความยืดหยุ่น เช่น CloudFront และ Glacier

สรุปเนื้อหาสำคัญ
ผลลัพธ์หลังย้ายจาก AWS
ประหยัดค่าใช้จ่ายกว่า $1.2 ล้านต่อปี
ลด latency ลง 19% ด้วย NVMe
เพิ่มความเสถียรของระบบด้วย uptime 99.993%
ขยาย rack ไปยัง Frankfurt เพื่อ redundancy

กลยุทธ์ด้านเทคนิค
ใช้ MicroK8s + Ceph ใน production
เตรียมย้ายไปใช้ Talos เพื่อจัดการ Kubernetes
ใช้ Tinkerbell PXE boot, Flux และ Terraform สำหรับ automation
ไม่มีทีม onsite แต่ใช้บริการ remote hands จาก colo provider

การจัดการต้นทุนและ CapEx
เซิร์ฟเวอร์ขนาดใหญ่: 2× AMD EPYC 9654, 1TB RAM
วางแผน amortize 5 ปี แต่สามารถใช้งานได้ถึง 7–8 ปี
มี cold spares และ extended warranty จาก OEM
สามารถ refresh 40% ของ fleet ทุก 2 ปีโดยยังประหยัดกว่าบิล AWS

การจัดการความปลอดภัยและ compliance
ยังคงรักษา SOC 2 Type II และ ISO 27001
ใช้ Terraform และ Talos config เป็นหลักฐานการเปลี่ยนแปลง
ใช้รายงานจาก colo provider สำหรับ audit

การใช้คลาวด์อย่างมีเหตุผล
ใช้ AWS สำหรับ Glacier, CloudFront และ load testing
เลือกใช้คลาวด์เมื่อ elasticity สำคัญ
Bare metal เหมาะกับ workload ที่ steady และ predictable

คำเตือนสำหรับผู้ที่คิดจะย้าย
หาก workload มีลักษณะ burst หรือ seasonal ควรอยู่บนคลาวด์
หากพึ่งพา managed services อย่าง Aurora หรือ Step Functions ควรอยู่บนคลาวด์
หากไม่มีทีมที่เชี่ยวชาญ Kubernetes, Ceph และ observability อาจไม่เหมาะกับ bare metal
การย้ายต้องมีการวางแผนด้าน compliance และ audit อย่างรอบคอบ

https://oneuptime.com/blog/post/2025-10-29-aws-to-bare-metal-two-years-later/view

Jenkins Plugin Flaws: เมื่อระบบ CI/CD กลายเป็นเป้าหมายใหม่ของแฮกเกอร์

Jenkins เจอคลื่นช่องโหว่ปลั๊กอินครั้งใหญ่: SAML Auth Bypass เสี่ยงยึดระบบ CI/CD ทั้งองค์กร ช่องโหว่ CVE-2025-64131 ในปลั๊กอิน SAML ของ Jenkins เปิดทางให้แฮกเกอร์ขโมย session และสวมรอยผู้ใช้ได้ทันที พร้อมช่องโหว่อื่น ๆ อีกกว่า 10 รายการที่ยังไม่มีแพตช์

Jenkins ซึ่งเป็นเครื่องมือ CI/CD ยอดนิยมในองค์กรทั่วโลก กำลังเผชิญกับคลื่นช่องโหว่ปลั๊กอินครั้งใหญ่ โดยมีการเปิดเผยช่องโหว่รวม 14 รายการใน advisory ล่าสุด ซึ่งหลายรายการยังไม่มีแพตช์แก้ไข

จุดที่ร้ายแรงที่สุดคือ CVE-2025-64131 ในปลั๊กอิน SAML ที่ใช้สำหรับ Single Sign-On (SSO) โดยช่องโหว่นี้เกิดจากการไม่เก็บ replay cache ทำให้แฮกเกอร์สามารถ reuse token ที่เคยใช้แล้วเพื่อสวมรอยผู้ใช้ได้ทันที แม้จะเป็นผู้ดูแลระบบก็ตาม

ผลกระทบของช่องโหว่นี้:
แฮกเกอร์สามารถขโมย session และเข้าถึง Jenkins โดยไม่ต้องยืนยันตัวตน
หาก Jenkins มีสิทธิ์เชื่อมต่อกับ GitHub, Docker, หรือ cloud provider แฮกเกอร์สามารถเข้าถึงระบบ downstream ได้ทันที
เป็นภัยคุกคามต่อระบบ DevOps pipeline และความปลอดภัยของซอร์สโค้ด

นอกจากนี้ยังมีช่องโหว่อื่น ๆ ที่น่ากังวล เช่น:
CVE-2025-64132: Missing permission checks ใน MCP Server Plugin
CVE-2025-64133: CSRF ใน Extensible Choice Parameter Plugin
CVE-2025-64134: XXE ใน JDepend Plugin
CVE-2025-64140: Command Injection ใน Azure CLI Plugin
CVE-2025-64143–64147: Secrets ถูกเก็บในไฟล์ config แบบ plaintext
CVE-2025-64148–64150: Missing permission checks ใน Publish to Bitbucket Plugin

ผู้ดูแลระบบควรรีบตรวจสอบปลั๊กอินที่ใช้งานอยู่ และอัปเดตหรือปิดการใช้งานปลั๊กอินที่มีช่องโหว่ทันที

https://securityonline.info/jenkins-faces-wave-of-plugin-flaws-including-saml-authentication-bypass-cve-2025-64131/

ช่องโหว่ CVE-2025-62725 ใน Docker Compose เปิดทางให้เขียนทับไฟล์ใดก็ได้บนเครื่อง — แม้ใช้แค่คำสั่ง read-only

ช่องโหว่ระดับสูงใน Docker Compose (CVE-2025-62725, CVSS 8.9) เปิดช่องให้ผู้โจมตีสามารถใช้ไฟล์ compose จากแหล่ง OCI ปลอมเพื่อเขียนทับไฟล์ใดก็ได้บนเครื่อง host โดยไม่ต้องรัน container — แค่ใช้คำสั่ง read-only เช่น docker compose config ก็เพียงพอแล้ว.

Docker Compose เชื่อข้อมูล path จาก artifact โดยไม่ตรวจสอบ
เมื่อใช้ไฟล์ compose จาก remote OCI registry ที่มี annotation เช่น com.docker.compose.extends หรือ com.docker.compose.envfile
Compose จะรวม path ที่ผู้โจมตีระบุไว้กับ cache directory แล้วเขียนไฟล์ลงไปโดยตรง

สามารถใช้ path traversal เช่น ../../../../../etc/passwd เพื่อเขียนทับไฟล์ระบบ
ช่องโหว่นี้เกิดจากการเชื่อมั่น annotation โดยไม่มีการ sanitize
ส่งผลให้ผู้โจมตีสามารถหลุดออกจาก cache directory และเข้าถึงไฟล์ใดก็ได้บนเครื่อง

คำสั่ง read-only ก็สามารถ trigger ช่องโหว่ได้
เช่น docker compose config, docker compose ps ซึ่งมักใช้ใน CI/CD pipeline หรือขั้นตอน linting
ไม่จำเป็นต้อง build หรือ run container ก็สามารถโจมตีได้

กระทบทุกแพลตฟอร์มที่ใช้ remote OCI compose artifacts
Docker Desktop, Linux binaries, CI runners, cloud dev environments
โดยเฉพาะระบบที่ดึงไฟล์ compose จาก registry ภายนอกหรือ third-party

Docker ได้ออกแพตช์ในเวอร์ชัน Compose v2.40.2
เพิ่มการตรวจสอบ path และการ sanitize annotation
แนะนำให้ผู้ใช้ทุกระบบอัปเดตทันที

การใช้ไฟล์ compose จากแหล่งที่ไม่เชื่อถือมีความเสี่ยงสูง
แม้จะใช้แค่คำสั่ง read-only ก็สามารถถูกโจมตีได้
CI/CD pipeline ที่ดึงไฟล์จาก registry อัตโนมัติอาจเป็นเป้าหมาย

ระบบที่ไม่ได้อัปเดต Compose v2.40.2 เสี่ยงต่อการถูกเขียนทับไฟล์สำคัญ
เช่น /etc/passwd, .bashrc, หรือไฟล์ config อื่น ๆ
อาจถูกใช้เป็นช่องทางฝัง backdoor หรือเปลี่ยนพฤติกรรมระบบ

ควรหลีกเลี่ยงการใช้ annotation ที่ไม่จำเป็นใน OCI compose artifacts
หรือใช้ระบบตรวจสอบก่อนนำเข้าไฟล์จาก registry

https://securityonline.info/docker-compose-path-traversal-cve-2025-62725-allows-arbitrary-file-overwrite-via-oci-artifacts/

ช่องโหว่ CVE-2025-61481 ใน MikroTik เปิดทางขโมยรหัสผ่านผู้ดูแลผ่าน WebFig ที่ไม่เข้ารหัส — คะแนนร้ายแรงระดับ 10 เต็ม

ช่องโหว่ใหม่ใน MikroTik RouterOS และ SwitchOS เปิดเผยว่าหน้า WebFig ซึ่งใช้จัดการอุปกรณ์จะทำงานผ่าน HTTP แบบไม่เข้ารหัสโดยค่าเริ่มต้น ทำให้ผู้โจมตีสามารถดักจับรหัสผ่านผู้ดูแลระบบได้ง่าย ๆ หากอยู่ในเครือข่ายเดียวกัน โดยไม่ต้องยืนยันตัวตนก่อน

ข้อมูลสำคัญจากช่องโหว่ CVE-2025-61481
กระทบ MikroTik RouterOS v7.14.2 และ SwitchOS v2.18
WebFig เปิดใช้งานผ่าน HTTP โดยไม่มีการ redirect ไป HTTPS
หลัง factory reset หน้า login และ JavaScript ทั้งหมดโหลดผ่าน HTTP

ข้อมูลรับรองถูกส่งแบบ cleartext ผ่าน port 80
JavaScript ฝั่ง client เก็บรหัสผ่านไว้ใน window.sessionStorage
Packet capture ยืนยันว่า traffic และ credentials ถูกส่งแบบไม่เข้ารหัส

ผู้โจมตีสามารถดักจับและแก้ไขข้อมูลได้ทันที
แค่เชื่อมต่ออยู่ใน LAN หรือ Wi-Fi เดียวกันก็สามารถทำ MitM ได้
เมื่อได้รหัสผ่านแล้ว สามารถเปลี่ยน routing, firewall หรือฝังสคริปต์ RCE ได้

อุปกรณ์ที่ได้รับผลกระทบรวมถึงรุ่นยอดนิยม เช่น CRS326-24G-2S+
มีแนวโน้มว่าอุปกรณ์อื่นที่ใช้ WebFig component เดียวกันก็ได้รับผลกระทบเช่นกัน
พบมากใน SMB และ ISP ที่ใช้ WebFig สำหรับตั้งค่าภายใน

คำแนะนำจากนักวิจัย
จำกัดการเข้าถึง WebFig เฉพาะ VLAN หรือเครือข่ายที่เชื่อถือได้
เปิดใช้งาน HTTPS ด้วยตนเองในหน้า config
ใช้ SSH หรือ VPN แทน WebFig หากเป็นไปได้
ปิดการเข้าถึง HTTP หากไม่จำเป็น

https://securityonline.info/critical-mikrotik-flaw-cve-2025-61481-cvss-10-0-exposes-router-admin-credentials-over-unencrypted-http-webfig/

AMD สร้างปรากฏการณ์ใหม่ – รันอัลกอริธึมควอนตัมบนชิปทั่วไป แซงหน้า NVIDIA ในสนามควอนตัม

ในโลกของควอนตัมคอมพิวติ้ง “qubit” คือหน่วยข้อมูลที่เปราะบางมาก แค่แรงสั่นสะเทือนเล็กน้อยก็ทำให้ข้อมูลผิดพลาดได้ ดังนั้นการมีอัลกอริธึมที่สามารถตรวจจับและแก้ไขข้อผิดพลาดโดยไม่ทำลายสถานะของ qubit จึงเป็นหัวใจสำคัญของการพัฒนาระบบควอนตัมที่ใช้งานได้จริง

IBM ได้พัฒนาอัลกอริธึม QEC และทดลองรันบนชิป FPGA ของ AMD ซึ่งเป็นฮาร์ดแวร์ทั่วไปที่สามารถปรับแต่งได้ตามงานเฉพาะ (reconfigurable hardware) ผลลัพธ์คือความเร็วในการประมวลผลสูงกว่าที่คาดไว้ถึง 10 เท่า และไม่ต้องใช้ชิปเฉพาะทางราคาแพง

นี่คือจุดที่ AMD ได้เปรียบ เพราะมี Xilinx อยู่ในเครือ ซึ่งเป็นผู้เชี่ยวชาญด้าน FPGA ขณะที่ NVIDIA ใช้แนวทางต่างออกไป โดยพัฒนาแพลตฟอร์ม DGX Quantum ที่รวมซอฟต์แวร์ CUDA-Q เข้ากับฮาร์ดแวร์ระดับสูง แต่ยังไม่สามารถรัน QEC บนชิปทั่วไปได้เหมือน AMD

แม้ NVIDIA จะมีเทคโนโลยีที่ทรงพลัง แต่ความสำเร็จของ AMD ในการใช้ฮาร์ดแวร์ “off-the-shelf” กับงานควอนตัม ถือเป็นก้าวสำคัญที่อาจเปลี่ยนแนวทางของอุตสาหกรรมในอนาคต

ความสำเร็จของ AMD กับอัลกอริธึม QEC
รันบนชิป FPGA ที่ปรับแต่งได้
ประสิทธิภาพสูงกว่าที่คาดไว้ถึง 10 เท่า
ไม่ต้องใช้ชิปเฉพาะทางราคาแพง

จุดเด่นของ FPGA ในงานควอนตัม
ปรับแต่งได้ตามงานเฉพาะ
รองรับ feedback loop ที่มี latency ต่ำ
เหมาะกับงานที่ต้องการความแม่นยำสูง

ความแตกต่างจากแนวทางของ NVIDIA
ใช้แพลตฟอร์ม DGX Quantum + CUDA-Q
ยังไม่สามารถใช้ฮาร์ดแวร์ทั่วไปกับ QEC ได้
ขาดทรัพยากรด้าน FPGA แบบที่ AMD มีจาก Xilinx

https://wccftech.com/amd-beats-nvidia-in-quantum-computing-milestone-for-now/

จีนเร่งผลิต “เรดาร์ควอนตัม” – เทคโนโลยีใหม่ที่อาจลบล้างยุคเครื่องบินล่องหน

เรดาร์แบบเดิมใช้คลื่นวิทยุสะท้อนจากวัตถุเพื่อวัดตำแหน่งและความเร็ว แต่เครื่องบินล่องหนอย่าง F-22 Raptor ถูกออกแบบมาเพื่อลดการสะท้อนคลื่น ทำให้เรดาร์ทั่วไปตรวจจับได้ยาก

จีนจึงหันมาใช้ “เรดาร์ควอนตัม” ที่อาศัยหลักการพัวพันควอนตัม (quantum entanglement) โดยสร้างคู่โฟตอนที่ฝังข้อมูลร่วมกันไว้ โฟตอนหนึ่งถูกส่งออกไป ส่วนอีกตัวเก็บไว้ในหน่วยความจำควอนตัม หากโฟตอนที่สะท้อนกลับมาตรงกับตัวที่เก็บไว้ แสดงว่ามีวัตถุอยู่ตรงนั้นแน่นอน

ปัญหาคือการสร้างโฟตอนพัวพันที่เดินทางไกลยังทำได้ยาก และการเก็บรักษาความพัวพันต้องใช้สภาพแวดล้อมที่เย็นจัดใกล้ศูนย์องศาสัมบูรณ์ ซึ่งยังไม่เหมาะกับการใช้งานภาคสนาม

อย่างไรก็ตาม จีนได้เริ่มผลิต “เครื่องจับโฟตอน” ที่สามารถตรวจจับโฟตอนเดียวในทะเลของสัญญาณรบกวนได้ ซึ่งถือเป็นก้าวสำคัญในการพัฒนาเรดาร์ควอนตัม โดยเทคโนโลยีนี้ถูกพัฒนาโดยศูนย์วิจัยในมณฑลอานฮุย และเริ่มผลิตในเดือนตุลาคม 2025

แม้ยังไม่มีระบบเรดาร์ควอนตัมที่ใช้งานได้จริง แต่ความก้าวหน้าของจีนทำให้ประเทศตะวันตกเริ่มวิตก เพราะหากเทคโนโลยีนี้สำเร็จ อาจทำให้เครื่องบินล่องหนของสหรัฐฯ และพันธมิตรหมดความได้เปรียบในสนามรบ

วิธีการทำงานของเรดาร์ควอนตัมโดยใช้ Quantum Entanglement
ยิงโฟตอนที่พัวพันกันออกไป
ระบบจะสร้างโฟตอนเป็นคู่:
  • ตัวหนึ่งเรียกว่า signal photon ถูกยิงออกไปในอากาศ
  • อีกตัวเรียกว่า idler photon ถูกเก็บไว้ในระบบเรดาร์

ถ้า signal photon สะท้อนกลับจากวัตถุ (เช่น เครื่องบินล่องหน)
ระบบจะตรวจสอบว่าโฟตอนที่กลับมามี “ลายเซ็นควอนตัม” ตรงกับ idler photon หรือไม่
ถ้าตรงกัน แสดงว่าโฟตอนนั้นสะท้อนจากวัตถุจริง ไม่ใช่สัญญาณรบกวน

ผลลัพธ์คือสามารถระบุตำแหน่งของเครื่องบินล่องหนได้
แม้เครื่องบินจะสะท้อนคลื่นน้อยมาก แต่โฟตอนที่พัวพันกันจะยังคงมีความสัมพันธ์เฉพาะ
ทำให้เรดาร์สามารถ “รู้” ได้ว่าโฟตอนที่กลับมาเป็นของตัวเอง ไม่ใช่สัญญาณสุ่ม

สรุปเนื้อหาจากข่าวและสาระเพิ่มเติม
ความก้าวหน้าของจีน
เริ่มผลิตเครื่องจับโฟตอนในเดือนตุลาคม 2025
พัฒนาโดยศูนย์วิจัยในมณฑลอานฮุย
เครื่องจับโฟตอนสามารถแยกโฟตอนเดียวจากสัญญาณรบกวนได้

ความท้าทายทางเทคนิค
โฟตอนพัวพันที่เดินทางไกลยังสร้างได้ยาก
ต้องเก็บรักษาในอุณหภูมิใกล้ศูนย์องศาสัมบูรณ์
ยังไม่มีระบบที่ใช้งานได้จริงในสนามรบ

https://www.slashgear.com/2003308/china-building-world-first-quantum-radar-track-stealth-fighter-jets/

Anthropic จับมือ Google Cloud ขยายกำลังประมวลผล TPU – ตั้งเป้าเกิน 1GW ภายในปี 2026

Anthropic ผู้พัฒนา AI เบื้องหลัง Claude ได้ลงนามข้อตกลงใหม่กับ Google Cloud เพื่อขยายการใช้ชิป TPU สำหรับฝึกโมเดล AI โดยตั้งเป้าจะมีพลังประมวลผลรวมมากกว่า 1 กิกะวัตต์ภายในปี 2026 ซึ่งถือเป็นการลงทุนครั้งใหญ่เพื่อรองรับความต้องการที่เพิ่มขึ้นอย่างรวดเร็วจากลูกค้าทั่วโลก

บริษัทเริ่มใช้บริการของ Google Cloud ตั้งแต่ปี 2023 และได้ใช้แพลตฟอร์มต่าง ๆ เช่น Vertex AI และ Google Cloud Marketplace เพื่อให้บริการ Claude แก่ลูกค้า เช่น Figma, Palo Alto Networks และ Cursor

ข้อตกลงใหม่นี้จะช่วยให้ Anthropic เข้าถึง TPU ได้มากถึง 1 ล้านตัว พร้อมบริการคลาวด์อื่น ๆ จาก Google ซึ่งจะช่วยให้ Claude สามารถรองรับงานจากลูกค้าได้มากขึ้น และพัฒนาโมเดลให้ล้ำหน้ากว่าเดิม

แม้คู่แข่งอย่าง OpenAI และ xAI จะลงทุนสร้างศูนย์ข้อมูลของตัวเอง แต่ Anthropic เลือกใช้แนวทาง “เช่า” เพื่อหลีกเลี่ยงความเสี่ยงจากการลงทุนฮาร์ดแวร์ระยะยาว และมุ่งเน้นไปที่การพัฒนาโมเดล AI เป็นหลัก

ข้อตกลงระหว่าง Anthropic และ Google Cloud
ขยายการใช้ TPU สำหรับฝึกโมเดล Claude
ตั้งเป้ามีกำลังประมวลผลรวมเกิน 1GW ภายในปี 2026
เข้าถึง TPU ได้มากถึง 1 ล้านตัว
ใช้บริการคลาวด์อื่น ๆ เช่น Vertex AI และ Marketplace

ผลกระทบต่อธุรกิจของ Anthropic
รองรับความต้องการจากลูกค้าได้มากขึ้น
พัฒนา Claude ให้ล้ำหน้ากว่าเดิม
ลูกค้ารายใหญ่ ได้แก่ Figma, Palo Alto Networks, Cursor

กลยุทธ์เทียบกับคู่แข่ง
OpenAI และ xAI ลงทุนสร้างศูนย์ข้อมูลของตัวเอง
Anthropic เลือกเช่าเพื่อลดความเสี่ยงด้านฮาร์ดแวร์
มุ่งเน้นการพัฒนาโมเดล AI มากกว่าการลงทุนโครงสร้างพื้นฐาน

https://www.tomshardware.com/tech-industry/artificial-intelligence/anthropic-signs-deal-with-google-cloud-to-expand-tpu-chip-capacity-ai-company-expects-to-have-over-1gw-of-processing-power-in-2026

“9 เครื่องมือจัดการ Attack Surface ที่องค์กรควรรู้ – ป้องกันภัยไซเบอร์ก่อนถูกเจาะ!”

ในยุคที่ระบบ IT เชื่อมต่อกับโลกภายนอกตลอดเวลา การรู้ว่า “อะไรเปิดเผยอยู่บ้าง” คือกุญแจสำคัญในการป้องกันการโจมตี เครื่องมือประเภท CAASM (Cyber Asset Attack Surface Management) และ EASM (External Attack Surface Management) จึงกลายเป็นหัวใจของการรักษาความปลอดภัยระดับองค์กร

บทความจาก CSO Online ได้รวบรวม 9 เครื่องมือเด่นที่ช่วยค้นหาและจัดการช่องโหว่ในระบบขององค์กร โดยแต่ละตัวมีจุดเด่นต่างกัน เช่น การมองจากมุมของแฮกเกอร์, การเชื่อมต่อกับระบบภายใน, หรือการวิเคราะห์ความเสี่ยงเชิงธุรกิจ

เป้าหมายของเครื่องมือเหล่านี้คือการลด “ข้อมูลที่แฮกเกอร์มองเห็น” ให้เหลือน้อยที่สุด โดยยังคงให้บริการธุรกิจได้ตามปกติ และสามารถตรวจจับการเปลี่ยนแปลงแบบเรียลไทม์ เช่น การเพิ่ม asset ใหม่ หรือการเปลี่ยน config ที่อาจเกิดจาก human error หรือการโจมตี

ความเข้าใจพื้นฐานของ Attack Surface
หมายถึงทรัพยากรทั้งหมดที่เข้าถึงได้จากอินเทอร์เน็ต เช่น IP, domain, application
รวมถึง open ports, SSL, server platform และ protocol ที่ใช้งาน
ช่องโหว่เกิดจาก config ผิดพลาดหรือ software ที่ยังไม่ได้ patch
แม้ asset จะอยู่ใน data center ก็ยังเสี่ยง หากไม่มีการ monitor ที่ดี

ความสามารถของเครื่องมือ CAASM/EASM
ตรวจจับ asset ใหม่และ config drift แบบเรียลไทม์
วิเคราะห์ความเสี่ยงจากทั้งมุมเทคนิคและมุมธุรกิจ
เชื่อมต่อกับระบบภายใน เช่น Jira, ServiceNow, Slack
บางตัวสามารถทำ remediation อัตโนมัติหรือผ่าน playbook

เครื่องมือเด่นที่แนะนำ
Axonius – เน้น asset inventory และ policy compliance เช่น PCI/HIPAA
CrowdStrike Falcon Surface – มองจากมุมแฮกเกอร์ พร้อม remediation ผ่าน integration
CyCognito – วิเคราะห์ความสัมพันธ์ระหว่าง asset และจัดลำดับความเสี่ยง
Informer – ค้นหา asset บน web/API พร้อม pen testing เสริม
JupiterOne – แสดง asset แบบ visual map พร้อม query ขั้นสูง
Microsoft Defender EASM – ค้นหา shadow IT และ probe ทุก layer ของ tech stack
Rapid7 InsightVM – มีสิทธิ์ออก CVE ใหม่ พร้อม dashboard วิเคราะห์แบบเจาะลึก
SOCRadar AttackMapper – ตรวจ SSL, DNS, defacement และ correlate กับวิธีโจมตี
Tenable.asm – วิเคราะห์ asset ด้วย metadata กว่า 200 field พร้อม context เชิงธุรกิจ

ข้อควรระวังและคำเตือน
การ scan แบบ periodic ไม่เพียงพอ ต้องใช้ monitoring แบบต่อเนื่อง
การไม่จัดการ config drift อาจเปิดช่องให้โจมตีโดยไม่รู้ตัว
หากไม่เชื่อมโยง asset กับ context ธุรกิจ อาจจัดลำดับความเสี่ยงผิด
การใช้หลายเครื่องมือโดยไม่มีการบูรณาการ อาจทำให้ข้อมูลกระจัดกระจาย
การไม่ฝึกซ้อม incident response ทำให้ 57% ของเหตุการณ์จริงไม่เคยถูกจำลองมาก่อน

https://www.csoonline.com/article/574797/9-attack-surface-discovery-and-management-tools.html

“ช่องโหว่ CVE-2025-22167 ใน Jira – เขียนไฟล์ลงเซิร์ฟเวอร์ได้ตามใจ! เสี่ยง RCE หากใช้ร่วมกับช่องโหว่อื่น”

Atlassian ออกแพตช์ด่วนหลังพบช่องโหว่ร้ายแรงใน Jira Software และ Jira Service Management ทั้งเวอร์ชัน Data Center และ Server โดยช่องโหว่นี้มีรหัสว่า CVE-2025-22167 และได้คะแนน CVSS สูงถึง 8.7

ช่องโหว่นี้เป็นแบบ Path Traversal + Arbitrary File Write ซึ่งเปิดให้ผู้โจมตีที่เข้าถึง web interface ของ Jira สามารถเขียนไฟล์ใด ๆ ลงใน path ที่ JVM process มีสิทธิ์เขียนได้ โดยไม่ต้องมีสิทธิ์ระดับ admin หรือการยืนยันตัวตนพิเศษ

แม้ช่องโหว่นี้จะไม่ใช่ RCE โดยตรง แต่หากใช้ร่วมกับช่องโหว่อื่น เช่น การอัปโหลดไฟล์ JSP หรือการเปลี่ยน config ก็สามารถนำไปสู่การรันคำสั่งจากระยะไกลได้ทันที

ช่องโหว่นี้ส่งผลกระทบต่อ Jira Software เวอร์ชัน 9.12.0 ถึง 11.0.0 และ Jira Service Management เวอร์ชัน 5.12.0 ถึง 10.3.0 โดย Atlassian ได้ออกแพตช์ในเวอร์ชัน 9.12.28+, 10.3.12+, 11.1.0+ และ 5.12.29+, 10.3.12+ ตามลำดับ

Atlassian แนะนำให้ผู้ใช้รีบอัปเดตทันที หรืออย่างน้อยให้อัปเกรดเป็นเวอร์ชันที่มีแพตช์แล้ว หากไม่สามารถอัปเดตได้ทันที ควรจำกัดสิทธิ์การเขียนของ JVM process และตรวจสอบการเข้าถึง web interface อย่างเข้มงวด

รายละเอียดช่องโหว่ CVE-2025-22167
เป็นช่องโหว่แบบ Path Traversal + Arbitrary File Write
เปิดให้เขียนไฟล์ใด ๆ ลงใน path ที่ JVM process เขียนได้
ไม่ต้องใช้สิทธิ์ admin หรือการยืนยันตัวตนพิเศษ
ได้คะแนน CVSS สูงถึง 8.7
อาจนำไปสู่ RCE หากใช้ร่วมกับช่องโหว่อื่น

ผลกระทบต่อผลิตภัณฑ์ Atlassian
Jira Software เวอร์ชัน 9.12.0–11.0.0
Jira Service Management เวอร์ชัน 5.12.0–10.3.0
แพตช์ออกในเวอร์ชัน 9.12.28+, 10.3.12+, 11.1.0+
และ 5.12.29+, 10.3.12+ สำหรับ Service Management

แนวทางการป้องกัน
อัปเดต Jira เป็นเวอร์ชันที่มีแพตช์ทันที
หากอัปเดตไม่ได้ ควรจำกัดสิทธิ์การเขียนของ JVM
ตรวจสอบการเข้าถึง web interface อย่างเข้มงวด
เฝ้าระวังการเปลี่ยนแปลงไฟล์ config และ JSP

ข้อควรระวังและคำเตือน
ช่องโหว่นี้อาจถูกใช้ร่วมกับช่องโหว่อื่นเพื่อทำ RCE
การเขียนไฟล์ลงใน path สำคัญอาจเปลี่ยนพฤติกรรมของระบบ
ผู้โจมตีสามารถใช้เพื่อฝัง backdoor หรือเปลี่ยน config
หากไม่อัปเดต อาจเสี่ยงต่อการถูกควบคุมระบบทั้งหมด
ควรตรวจสอบ log การเขียนไฟล์ย้อนหลังเพื่อหาพฤติกรรมผิดปกติ

https://securityonline.info/jira-path-traversal-flaw-cve-2025-22167-allows-arbitrary-file-write-on-server-data-center/

“แฮกเกอร์จีนใช้คีย์ ASP.NET ที่หลุด – ฝัง TOLLBOOTH Backdoor และ Rootkit บน IIS Server ทั่วโลก!”

Elastic Security Labs และ Texas A&M University System Cybersecurity เผยการค้นพบแคมเปญโจมตีจากกลุ่มแฮกเกอร์ที่พูดภาษาจีน ซึ่งใช้คีย์ ASP.NET ที่ถูกเปิดเผยต่อสาธารณะในการเจาะระบบ Microsoft IIS Server ที่ตั้งค่าผิดพลาด

แฮกเกอร์ใช้คีย์ machineKey ที่หลุดจากเอกสาร Microsoft และ StackOverflow เพื่อสร้าง payload ที่สามารถ deserialization ผ่าน ViewState ได้ ทำให้สามารถรันคำสั่งบนเซิร์ฟเวอร์ได้โดยไม่ต้องยืนยันตัวตน

หลังจากเจาะระบบได้แล้ว พวกเขาจะติดตั้ง backdoor ชื่อว่า TOLLBOOTH ซึ่งเป็น IIS module ที่มีความสามารถทั้ง SEO cloaking, webshell, และ command execution โดยมี webshell ซ่อนอยู่ที่ /mywebdll พร้อมรหัสผ่าน hack123456!

TOLLBOOTH ยังสามารถแยกแยะระหว่าง bot ของ search engine กับผู้ใช้จริง เพื่อแสดงเนื้อหาหลอกลวงให้ bot เห็น (เพื่อดัน SEO) และ redirect ผู้ใช้ไปยังเว็บไซต์อันตราย ซึ่งเป็นเทคนิคที่เรียกว่า link farm network

หากวิธีฝัง backdoor ล้มเหลว แฮกเกอร์จะใช้เครื่องมือ Remote Monitoring & Management (RMM) ชื่อ GotoHTTP เพื่อควบคุมเครื่องผ่านเบราว์เซอร์โดยตรง

นอกจากนี้ยังพบ rootkit ระดับ kernel ที่ชื่อว่า HIDDENDRIVER ซึ่งดัดแปลงจากโครงการโอเพ่นซอร์สชื่อ “Hidden” โดยใช้เทคนิค DKOM (Direct Kernel Object Manipulation) เพื่อซ่อน process, ไฟล์ และ registry key จากเครื่องมือวิเคราะห์ระบบ

การโจมตีนี้ถูกจัดกลุ่มเป็น REF3927 และพบว่ามีความเชื่อมโยงกับแคมเปญที่ Microsoft และ AhnLab เคยรายงานมาก่อน โดยมีเป้าหมายเป็นเซิร์ฟเวอร์ IIS กว่า 571 เครื่องทั่วโลก ยกเว้นในประเทศจีน ซึ่งสอดคล้องกับพฤติกรรมของกลุ่มแฮกเกอร์จีนที่มักหลีกเลี่ยงการโจมตีภายในประเทศตัวเอง

วิธีการโจมตี
ใช้คีย์ ASP.NET machineKey ที่ถูกเปิดเผยสู่สาธารณะ
สร้าง ViewState payload เพื่อรันคำสั่งบน IIS Server
ติดตั้ง TOLLBOOTH IIS module เป็น backdoor
ใช้ GotoHTTP หากฝัง backdoor ไม่สำเร็จ
ติดตั้ง rootkit HIDDENDRIVER เพื่อซ่อนการทำงาน

ความสามารถของ TOLLBOOTH
มี webshell ซ่อนอยู่ที่ /mywebdll พร้อมรหัสผ่าน
รองรับการอัปโหลดไฟล์และรันคำสั่ง
มี endpoint สำหรับ health check, debug และ clean
มี SEO cloaking engine เพื่อหลอก bot และ redirect ผู้ใช้
ใช้ JSON config จากเซิร์ฟเวอร์ควบคุม

ความสามารถของ HIDDENDRIVER
ใช้เทคนิค DKOM เพื่อซ่อน process, ไฟล์ และ registry
มี companion app ชื่อ HIDDENCLI เขียนด้วยภาษาจีน
ปรับปรุงจากโปรเจกต์ “Hidden” ด้วยฟีเจอร์ AMSI bypass และ whitelist process
ซ่อนตัวจากเครื่องมืออย่าง Process Explorer ได้

ขอบเขตของการโจมตี
พบการติดเชื้อใน IIS Server อย่างน้อย 571 เครื่อง
ครอบคลุมหลายอุตสาหกรรม เช่น การเงิน โลจิสติกส์ การศึกษา
ไม่มีเหยื่อในประเทศจีน – สะท้อนการใช้ geofencing
พบการติดตั้งซ้ำในหลายองค์กร แสดงว่าปัญหายังไม่ถูกแก้ที่ต้นเหตุ

https://securityonline.info/chinese-hackers-exploit-exposed-asp-net-keys-to-deploy-tollbooth-iis-backdoor-and-kernel-rootkit/

“สหรัฐฯ เสนอแบน VPN – นักเคลื่อนไหวทั่วโลกลุกฮือจัด ‘VPN Day of Action’ ต้านกฎหมายเซ็นเซอร์”

ในเดือนกันยายน 2025 รัฐมิชิแกนของสหรัฐฯ ได้เสนอร่างกฎหมายชื่อว่า Anticorruption of Public Morals Act ซึ่งมีเนื้อหาห้ามการเผยแพร่เนื้อหาที่ถูกมองว่า “บ่อนทำลายศีลธรรม” เช่น ภาพคนข้ามเพศ, สื่อลามก, ASMR และภาพกราฟิกต่าง ๆ พร้อมบทลงโทษทั้งปรับและจำคุกสำหรับผู้โพสต์และแพลตฟอร์มที่เผยแพร่

แต่ที่น่ากังวลกว่านั้นคือ กฎหมายนี้ยังเสนอให้ แบนเครื่องมือหลบเลี่ยงการเซ็นเซอร์ เช่น VPN, proxy และ encrypted tunneling ซึ่งเป็นเครื่องมือสำคัญในการปกป้องความเป็นส่วนตัวและเข้าถึงข้อมูลในประเทศที่มีการควบคุมเนื้อหา

แม้กฎหมายนี้จะยังไม่ผ่าน แต่ก็จุดกระแสต่อต้านอย่างรุนแรง โดยองค์กร Fight for the Future ได้จัดกิจกรรม VPN Day of Action ซึ่งมีผู้ร่วมลงชื่อในจดหมายเปิดผนึกมากกว่า 15,000 คน เพื่อเรียกร้องให้รัฐต่าง ๆ ปกป้องสิทธิในการใช้ VPN

นักเคลื่อนไหวชี้ว่า VPN ไม่ใช่แค่เครื่องมือหลบเลี่ยงการเซ็นเซอร์ แต่ยังเป็นเครื่องมือสำคัญในการรักษาความปลอดภัยออนไลน์ โดยเฉพาะในยุคที่การโจมตีทางไซเบอร์จากรัฐและกลุ่มอาชญากรรมเพิ่มขึ้นอย่างต่อเนื่อง

ตัวอย่างเช่น ในเดือนกันยายน 2025 นักเคลื่อนไหวในเนปาลใช้ VPN เพื่อจัดการประท้วงผ่านโซเชียลมีเดีย แม้รัฐบาลจะพยายามบล็อกแพลตฟอร์มเหล่านั้นก็ตาม

รายละเอียดร่างกฎหมายในมิชิแกน
ชื่อว่า Anticorruption of Public Morals Act
ห้ามเผยแพร่เนื้อหาที่ถูกมองว่า “บ่อนทำลายศีลธรรม”
รวมถึงภาพคนข้ามเพศ, สื่อลามก, ASMR และภาพกราฟิก
เสนอแบน VPN, proxy และ encrypted tunneling
มีบทลงโทษทั้งปรับและจำคุกสำหรับผู้โพสต์และแพลตฟอร์ม

การตอบโต้จากนักเคลื่อนไหว
องค์กร Fight for the Future จัด VPN Day of Action
มีผู้ร่วมลงชื่อในจดหมายเปิดผนึกมากกว่า 15,000 คน
เรียกร้องให้รัฐต่าง ๆ ปกป้องสิทธิในการใช้ VPN
ชี้ว่า VPN เป็นเครื่องมือสำคัญในการรักษาความปลอดภัยและเสรีภาพ
ยกตัวอย่างการใช้ VPN ในการจัดการประท้วงในเนปาล

บริบททางการเมืองและเทคโนโลยี
กฎหมายนี้สะท้อนแนวโน้มการเซ็นเซอร์ที่เพิ่มขึ้นในสหรัฐฯ และยุโรป
สหราชอาณาจักรก็เคยเสนอจำกัด VPN หลังยอดดาวน์โหลดพุ่ง
การแบน VPN อาจทำให้สหรัฐฯ ถูกเปรียบเทียบกับรัฐเผด็จการ เช่น รัสเซีย, อิหร่าน, เกาหลีเหนือ
VPN เป็นเครื่องมือสำคัญในโลกไซเบอร์ที่เต็มไปด้วยภัยคุกคาม

https://www.slashgear.com/1998517/us-states-vpn-ban-protests-day-of-action/

“Microsoft รีบปล่อยแพตช์ฉุกเฉิน KB5070773 หลังอัปเดตพัง WinRE – คีย์บอร์ดและเมาส์ USB ใช้ไม่ได้ในโหมดกู้คืน”

Microsoft ต้องรีบออกแพตช์ฉุกเฉิน KB5070773 เพื่อแก้ปัญหาที่เกิดจากอัปเดต KB5066835 ซึ่งปล่อยออกมาเมื่อ 14 ตุลาคม 2025 โดยอัปเดตนั้นทำให้ระบบ Windows Recovery Environment (WinRE) บน Windows 11 เวอร์ชัน 24H2 และ 25H2 ไม่สามารถใช้งานคีย์บอร์ดและเมาส์แบบ USB ได้เลย

ปัญหานี้ร้ายแรงกว่าที่คิด เพราะ WinRE คือเครื่องมือหลักในการกู้คืนระบบ เช่น Startup Repair หรือ Reset This PC ถ้าอุปกรณ์อินพุตใช้ไม่ได้ ก็เท่ากับว่าผู้ใช้ไม่สามารถกู้ระบบได้เลย โดยเฉพาะในกรณีที่เครื่องบูตไม่ขึ้น

สำหรับผู้ที่ยังสามารถเข้าสู่ระบบ Windows ได้ แค่ติดตั้งแพตช์ KB5070773 ผ่าน Windows Update แล้วรีบูตเครื่องก็จะใช้งานได้ตามปกติ แต่ถ้าระบบเข้าไม่ได้เลย Microsoft แนะนำให้ใช้หน้าจอสัมผัส, พอร์ต PS/2 (ถ้ามี), หรือ USB recovery drive แทน

นี่เป็นครั้งที่สองในรอบไม่กี่เดือนที่ WinRE มีปัญหาใหญ่ เพราะในเดือนสิงหาคมก็เคยมีอัปเดตด้านความปลอดภัยที่ทำให้ฟีเจอร์ Reset This PC ใช้งานไม่ได้เช่นกัน ซึ่งทำให้หลายคนเริ่มตั้งคำถามถึงคุณภาพของการทดสอบก่อนปล่อยอัปเดตของ Microsoft

รายละเอียดแพตช์ KB5070773
แก้ปัญหา USB keyboard และ mouse ใช้ไม่ได้ใน WinRE
ส่งผลกระทบกับ Windows 11 เวอร์ชัน 24H2 และ 25H2
ปัญหาเกิดจากอัปเดต KB5066835 เมื่อ 14 ตุลาคม 2025
แพตช์ใหม่สามารถติดตั้งผ่าน Windows Update ได้ทันที
แก้ไขรวมอยู่ใน rollup ถัดไปสำหรับผู้ที่พลาดแพตช์ฉุกเฉิน

ผลกระทบและคำแนะนำ
ผู้ใช้ที่เข้า Windows ได้ควรติดตั้งแพตช์ทันที
ผู้ที่ติดอยู่ใน recovery loop ต้องใช้ touchscreen, PS/2 หรือ USB recovery drive
องค์กรสามารถใช้ Preboot Execution Environment (PXE) ผ่าน Configuration Manager

บริบทและความน่ากังวล
เป็นปัญหา WinRE ครั้งที่สองในรอบ 2 เดือน
ครั้งก่อนในเดือนสิงหาคมทำให้ Reset This PC ใช้งานไม่ได้
สะท้อนความเปราะบางของระบบอัปเดต Windows
Microsoft ยังไม่อธิบายว่าบั๊กนี้หลุดจากการทดสอบได้อย่างไร

https://www.tomshardware.com/software/windows/microsoft-rushes-out-emergency-windows-11-patch

“Flint เปิดตัวเว็บไซต์อัตโนมัติ—สร้างเนื้อหาและปรับแต่งตัวเองโดยไม่ต้องมีมนุษย์”

ลองจินตนาการว่าเว็บไซต์ของคุณสามารถสร้างหน้าใหม่ ปรับแต่งดีไซน์ และเพิ่มประสิทธิภาพ SEO ได้เองโดยไม่ต้องมีทีมงาน—นี่คือแนวคิดของ Flint สตาร์ทอัพที่เพิ่งเปิดตัวแพลตฟอร์มสร้างเว็บไซต์อัตโนมัติเต็มรูปแบบ โดยใช้ AI เป็นแกนกลางในการจัดการทุกอย่าง ตั้งแต่การออกแบบไปจนถึงการเผยแพร่

ผู้ใช้เพียงแค่อัปโหลด content brief และลิงก์เว็บไซต์เดิม Flint จะวิเคราะห์ดีไซน์ของแบรนด์ แล้วสร้างหน้าเว็บใหม่ที่พร้อมใช้งานทันทีบนโดเมนจริง โดยไม่ต้องเขียนโค้ดหรือจัดการ CMS ใด ๆ

Flint ได้รับเงินลงทุน $5 ล้านจาก Accel, Sheryl Sandberg’s venture fund และ Neo เพื่อขยายการพัฒนา AI และระบบออกแบบอัตโนมัติ พร้อมเปิดให้ลงทะเบียนเข้าร่วมเบต้าแล้ว

แนวคิดของ Flint
สร้างเว็บไซต์ที่สามารถอัปเดตและปรับแต่งตัวเองโดยอัตโนมัติ
ใช้ AI วิเคราะห์ดีไซน์และเนื้อหาเพื่อสร้างหน้าเว็บใหม่
ไม่ต้องเขียนโค้ดหรือใช้ CMS

วิธีการทำงาน
ผู้ใช้ส่ง content brief และลิงก์เว็บไซต์เดิม
Flint สร้างหน้าเปรียบเทียบ, landing page และ SEO content
เผยแพร่หน้าเว็บโดยตรงบนโดเมนของผู้ใช้

เทคโนโลยีเบื้องหลัง
ใช้ระบบ piezo haptic และ force sensing matrix สำหรับ UX
รองรับ deep-click zones และ gesture เฉพาะแอป
มีโปรไฟล์สำเร็จรูปสำหรับแอปยอดนิยม เช่น Photoshop, Office, Figma

การลงทุนและการเปิดตัว
ได้รับเงินลงทุน $5 ล้านจาก Accel และ Sheryl Sandberg
เปิดให้ลงทะเบียนเข้าร่วมเบต้าแล้ว
มีแผนขยายไปยังระบบ AI-driven design engineering

คำเตือนและข้อจำกัด
ข้อมูล SEO และ conversion ยังมาจากการรายงานภายในของบริษัท
ยังไม่มีการเปิดเผยว่า Google จะจัดอันดับเว็บไซต์ที่ปรับตัวเองอย่างไร
ความโปร่งใสและการควบคุมอาจเป็นประเด็นในระบบอัตโนมัติเต็มรูปแบบ

https://www.techradar.com/pro/new-startup-wants-to-build-self-updating-autonomous-websites-that-generate-content-and-optimize-themselves-without-human-intervention-i-wonder-what-google-will-make-of-this

"HyperSpace Trackpad Pro: แทร็คแพดสุดล้ำสำหรับผู้ใช้ Windows ที่อยากได้สัมผัสแบบ Apple"

Hyper เปิดตัว HyperSpace Trackpad Pro อุปกรณ์เสริมใหม่ที่ออกแบบมาเพื่อเป็นทางเลือกแทน Apple Magic Trackpad สำหรับผู้ใช้ Windows โดยเฉพาะ ด้วยราคาประมาณ $150 และฟีเจอร์ระดับพรีเมียมที่รวมทั้ง haptic feedback, pressure sensitivity และการรองรับ multi-touch gesture แบบเต็มรูปแบบ

ตัวแทร็คแพดผลิตจาก CNC-aluminum พร้อมพื้นผิวกระจกขัดเรียบ มีขนาด 166.9 x 103.4 x 13 มม. และน้ำหนัก 300 กรัม ใช้ Bluetooth 5.2 เชื่อมต่อกับอุปกรณ์ และมีแบตเตอรี่ 1,000mAh ที่ใช้งานได้ถึง 30 วันต่อการชาร์จหนึ่งครั้ง

จุดเด่นคือระบบ piezo haptic รุ่นที่ 3 ที่ให้ความรู้สึกคลิกทั่วทั้งพื้นผิว พร้อมการปรับความไวของแรงกด และการตั้งค่า deep-click zones ผ่านซอฟต์แวร์ Hydra Connect ซึ่งรองรับโปรไฟล์เฉพาะสำหรับแอปยอดนิยม เช่น Adobe Photoshop, Premiere Pro, Illustrator, Microsoft Office, Teams และ Figma

คุณสมบัติหลักของ HyperSpace Trackpad Pro
รองรับ multi-touch gesture บน Windows อย่างเต็มรูปแบบ
มี haptic feedback และ pressure sensitivity
ใช้ Bluetooth 5.2 เชื่อมต่อ
แบตเตอรี่ 1,000mAh ใช้งานได้ ~30 วัน
ผลิตจาก CNC-aluminum และพื้นผิวกระจกขัดเรียบ

ระบบสัมผัสและการตั้งค่า
ใช้ piezo haptic รุ่นที่ 3 ให้คลิกทั่วพื้นผิว
ปรับความไวของแรงกดได้ตามต้องการ
มี force sensing matrix สำหรับการตั้งค่า deep-click zones
ใช้ซอฟต์แวร์ Hydra Connect ตั้งค่าโปรไฟล์เฉพาะแอป

การใช้งานร่วมกับระบบอื่น
รองรับ macOS สำหรับการคลิกและนำทางพื้นฐาน
มีโปรไฟล์สำเร็จรูปสำหรับแอปยอดนิยม
สามารถตั้งค่า corner shortcuts และ gesture เฉพาะแอป

การเปิดตัวและราคา
เปิดให้ pre-order ผ่าน Kickstarter แล้ว
ราคาเริ่มต้นที่ $109 สำหรับ Super Early Bird
Creator Pack ราคา $180 มาพร้อม SSD enclosure
เริ่มจัดส่งในไตรมาสแรกของปี 2026

https://www.tomshardware.com/peripherals/the-usd150-external-hyperspace-trackpad-pro-is-an-apple-magic-trackpad-alternative-for-windows-users-with-haptic-feedback-and-pressure-sensitivity-crowdfunded-peripheral-ships-in-q1-2026

“ช่องโหว่ร้ายแรงใน Keras 3 (CVE-2025-49655) เปิดทางให้รันโค้ดอันตรายเพียงแค่โหลดโมเดล” — เมื่อการใช้ deep learning กลายเป็นช่องทางโจมตี และ ‘safe mode’ ก็ไม่ปลอดภัยอีกต่อไป

นักวิจัยจาก HiddenLayer เปิดเผยช่องโหว่ระดับวิกฤตใน Keras 3 ซึ่งเป็นไลบรารี deep learning ยอดนิยม โดยช่องโหว่นี้มีรหัส CVE-2025-49655 และได้คะแนนความรุนแรง CVSS 9.8 เต็ม 10 — หมายถึงสามารถถูกใช้โจมตีได้ง่ายและมีผลกระทบรุนแรง

ช่องโหว่นี้เกิดขึ้นในคลาส TorchModuleWrapper ซึ่งใช้ torch.load() ภายในเมธอด from_config() โดยตั้งค่า weights_only=False ทำให้ PyTorch fallback ไปใช้ pickle ซึ่งเป็นกลไก deserialization ที่ไม่ปลอดภัย เพราะสามารถรันโค้ด Python ระหว่างการโหลดอ็อบเจกต์ได้

นักวิจัยสาธิตการโจมตีโดยสร้าง payload ที่ใช้ __reduce__ เพื่อเรียก os.system() ระหว่างการโหลดโมเดล — แม้จะเปิดใช้งาน “safe mode” ของ Keras ก็ยังไม่สามารถป้องกันได้ เพราะการโหลด config.json ที่ฝัง payload จะรันโค้ดทันที

ช่องโหว่นี้ส่งผลกระทบต่อ Keras เวอร์ชัน 3.11.0 ถึง 3.11.2 เฉพาะเมื่อใช้ backend เป็น PyTorch (KERAS_BACKEND="torch") ส่วน backend อื่น ๆ เช่น TensorFlow, JAX และ OpenVINO ไม่ได้รับผลกระทบ

HiddenLayer เตือนว่าช่องโหว่นี้สามารถถูกใช้โจมตี supply chain ของ ML ได้ เช่น การฝัง payload ในโมเดล .keras ที่ดูเหมือนปกติ แล้วเผยแพร่ผ่าน Hugging Face หรือ GitHub — ผู้ใช้ที่โหลดโมเดลจะรันโค้ดอันตรายทันทีโดยไม่รู้ตัว

ช่องโหว่ CVE-2025-49655 ใน Keras 3 ได้คะแนน CVSS 9.8
ระดับวิกฤต สามารถรันโค้ดอันตรายได้ทันที

เกิดจากการใช้ torch.load() พร้อม weights_only=False
ทำให้ PyTorch ใช้ pickle ซึ่งไม่ปลอดภัย

ใช้ __reduce__ เพื่อฝังคำสั่ง os.system() ในโมเดล
รันโค้ดทันทีเมื่อโหลดโมเดล

“safe mode” ของ Keras ไม่สามารถป้องกันการโจมตีนี้ได้
เพราะ payload อยู่ใน config.json ที่ถูกโหลดก่อน

ส่งผลกระทบต่อ Keras 3.11.0–3.11.2 เมื่อใช้ backend เป็น PyTorch
TensorFlow, JAX, OpenVINO ไม่ได้รับผลกระทบ

สามารถใช้โจมตี supply chain ของ ML ได้
เช่น โมเดลที่แชร์ผ่าน Hugging Face หรือ GitHub

https://securityonline.info/critical-keras-3-rce-flaw-cve-2025-49655-cvss-9-8-allows-code-execution-on-model-load/