ส่วนขยาย Chrome ปลอมขโมย Seed Phrase ผ่าน Sui Blockchain

ทีมวิจัยจาก Socket Threat Research พบส่วนขยาย Chrome ที่อ้างว่าเป็นกระเป๋าเงิน Ethereum ชื่อ Safery: Ethereum Wallet ซึ่งถูกเผยแพร่ใน Chrome Web Store และปรากฏใกล้เคียงกับกระเป๋าเงินที่ถูกต้องอย่าง MetaMask และ Enkrypt จุดอันตรายคือส่วนขยายนี้สามารถ ขโมย Seed Phrase ของผู้ใช้ ได้ทันทีที่มีการสร้างหรือ Import Wallet

สิ่งที่ทำให้การโจมตีนี้แตกต่างคือ การซ่อนข้อมูลในธุรกรรมบล็อกเชน Sui โดยส่วนขยายจะเข้ารหัส Seed Phrase ของเหยื่อเป็นที่อยู่ปลอมบน Sui และส่งธุรกรรมเล็กๆ (0.000001 SUI) ไปยังที่อยู่นั้น จากนั้นผู้โจมตีสามารถถอดรหัสกลับมาเป็น Seed Phrase ได้โดยตรงจากข้อมูลบนบล็อกเชน โดยไม่ต้องใช้เซิร์ฟเวอร์กลางหรือการส่งข้อมูลผ่าน HTTP

การทำงานเช่นนี้ทำให้การโจมตี ยากต่อการตรวจจับ เพราะทุกอย่างดูเหมือนธุรกรรมปกติบนบล็อกเชน ไม่มีการติดต่อกับ Command & Control Server และไม่มีการส่งข้อมูลแบบ plaintext ออกไปนอกเบราว์เซอร์

แม้ Socket ได้แจ้ง Google แล้ว แต่ในช่วงเวลาที่รายงานเผยแพร่ ส่วนขยายนี้ยังคงสามารถดาวน์โหลดได้ใน Chrome Web Store ทำให้ผู้ใช้ที่กำลังมองหากระเป๋าเงินเบาๆ เสี่ยงต่อการถูกโจมตีและสูญเสียสินทรัพย์ดิจิทัล

สรุปประเด็นสำคัญ
การค้นพบส่วนขยายปลอม Safery: Ethereum Wallet
ปรากฏใน Chrome Web Store ใกล้กับกระเป๋าเงินที่ถูกต้อง
ทำงานเหมือนกระเป๋าเงินปกติ แต่แอบขโมย Seed Phrase

วิธีการโจมตี
เข้ารหัส Seed Phrase เป็นที่อยู่ปลอมบน Sui Blockchain
ส่งธุรกรรมเล็กๆ เพื่อซ่อนข้อมูลโดยไม่ใช้เซิร์ฟเวอร์กลาง

ความยากในการตรวจจับ
ไม่มีการส่งข้อมูลผ่าน HTTP หรือ C2 Server
ทุกอย่างดูเหมือนธุรกรรมปกติบนบล็อกเชน

คำเตือนต่อผู้ใช้งาน
ผู้ใช้ที่ดาวน์โหลดส่วนขยายนี้เสี่ยงต่อการสูญเสียคริปโตทั้งหมด
ควรตรวจสอบความน่าเชื่อถือของส่วนขยายก่อนติดตั้ง และใช้กระเป๋าเงินจากแหล่งที่เชื่อถือได้เท่านั้น

https://securityonline.info/sui-blockchain-seed-stealer-malicious-chrome-extension-hides-mnemonic-exfiltration-in-microtransactions/

Amazon Threat Intelligence เปิดเผยการโจมตีขั้นสูงที่ใช้ช่องโหว่ Zero-Day พร้อมกันสองตัว

ทีม Amazon Threat Intelligence ตรวจพบการโจมตีผ่านเครือข่าย MadPot Honeypot ซึ่งแสดงให้เห็นว่ามีการใช้ช่องโหว่ Citrix Bleed Two ก่อนที่จะมีการประกาศ CVE อย่างเป็นทางการ นั่นหมายความว่าผู้โจมตีมี exploit ที่พร้อมใช้งาน ตั้งแต่ก่อนเปิดเผยสาธารณะ และในระหว่างการวิเคราะห์ยังพบช่องโหว่ใหม่ใน Cisco ISE ที่เปิดทางให้เกิด Remote Code Execution (RCE) โดยไม่ต้องยืนยันตัวตน

เทคนิคการโจมตีที่ซับซ้อน
หลังจากเจาะระบบได้ ผู้โจมตีติดตั้ง Web Shell แบบ custom ที่ชื่อว่า IdentityAuditAction ซึ่งทำงานแบบ in-memory เพื่อหลบเลี่ยงการตรวจจับ ไม่ทิ้งไฟล์บนดิสก์ ใช้ Java Reflection เพื่อแทรกตัวเองใน thread ของ Tomcat และเข้ารหัส payload ด้วย DES + Base64 แบบ custom ทำให้การตรวจจับยากขึ้นอย่างมาก ลักษณะนี้บ่งชี้ว่าเป็นกลุ่มที่มีทรัพยากรสูงหรืออาจเกี่ยวข้องกับรัฐ

ผลกระทบต่อองค์กร
การโจมตีนี้ไม่ได้จำกัดเป้าหมายเฉพาะองค์กรใด แต่มีการ mass scanning ทั่วอินเทอร์เน็ตเพื่อหาช่องโหว่ในระบบ Citrix และ Cisco ISE ที่ยังไม่ได้แพตช์ หากถูกโจมตีสำเร็จ ผู้ไม่หวังดีสามารถควบคุมระบบยืนยันตัวตนและการเข้าถึงเครือข่าย ซึ่งถือเป็นหัวใจสำคัญของโครงสร้างพื้นฐานองค์กร

แนวทางป้องกัน
Cisco และ Citrix ได้ออกแพตช์แก้ไขแล้ว โดยองค์กรควรรีบอัปเดตทันที พร้อมตรวจสอบระบบที่เกี่ยวข้องกับ Identity Services Engine และ NetScaler Gateway รวมถึงติดตั้งระบบตรวจจับพฤติกรรมผิดปกติในทราฟฟิก เพื่อป้องกันการโจมตีที่ใช้เทคนิคขั้นสูงเช่นนี้

สรุปประเด็นสำคัญ
การค้นพบการโจมตี Zero-Day
Citrix Bleed Two (CVE-2025-5777) ถูกใช้ก่อนการเปิดเผย
Cisco ISE RCE (CVE-2025-20337) เปิดทางให้รีโมตเข้าถึงโดยไม่ต้องยืนยันตัวตน

เทคนิคการโจมตี
ใช้ Web Shell แบบ custom (IdentityAuditAction) ทำงานในหน่วยความจำ
Payload เข้ารหัสด้วย DES + Base64 แบบ custom

ผลกระทบต่อองค์กร
ระบบยืนยันตัวตนและการเข้าถึงเครือข่ายเสี่ยงถูกควบคุม
มีการ mass scanning หาช่องโหว่ทั่วอินเทอร์เน็ต

แนวทางแก้ไข
รีบอัปเดตแพตช์จาก Cisco และ Citrix
ใช้ระบบตรวจจับพฤติกรรมผิดปกติในทราฟฟิก

คำเตือนสำหรับองค์กร
หากไม่อัปเดต อาจถูกโจมตีจนระบบยืนยันตัวตนถูกยึดครอง
การโจมตีขั้นสูงนี้บ่งชี้ถึงกลุ่มที่มีทรัพยากรสูง อาจเกี่ยวข้องกับรัฐ

https://securityonline.info/amazon-exposes-advanced-apt-exploiting-cisco-ise-rce-and-citrix-bleed-two-as-simultaneous-zero-days/

ส่วนขยาย Chrome ปลอมที่แฝงตัวเป็น Ethereum Wallet

นักวิจัยจาก Socket พบส่วนขยายชื่อ Safery: Ethereum Wallet ที่ปรากฏใน Chrome Web Store และดูเหมือนเป็นกระเป๋าเงินคริปโตทั่วไป. มันสามารถสร้างบัญชีใหม่, นำเข้า seed phrase, แสดงยอดคงเหลือ และส่ง ETH ได้ตามปกติ ทำให้ผู้ใช้เชื่อว่าเป็นกระเป๋าเงินที่ปลอดภัย.

เทคนิคการขโมย Seed Phrase แบบแนบเนียน
เมื่อผู้ใช้สร้างหรือใส่ seed phrase ส่วนขยายจะเข้ารหัสคำเหล่านั้นเป็น ที่อยู่ปลอมบน Sui blockchain และส่งธุรกรรมเล็ก ๆ (0.000001 SUI) ไปยังที่อยู่นั้น. ข้อมูล seed phrase ถูกซ่อนอยู่ในธุรกรรม ทำให้ไม่ต้องใช้เซิร์ฟเวอร์ C2 หรือการส่งข้อมูลผ่าน HTTP. ภายหลังผู้โจมตีสามารถถอดรหัสธุรกรรมเหล่านี้เพื่อกู้คืน seed phrase ได้ครบถ้วน.

ความแตกต่างจากมัลแวร์ทั่วไป
มัลแวร์นี้ไม่ส่งข้อมูลออกทางอินเทอร์เน็ตโดยตรง แต่ใช้ ธุรกรรมบล็อกเชนเป็นช่องทางลับ ทำให้ยากต่อการตรวจจับโดยระบบรักษาความปลอดภัย. ไม่มีการส่งข้อมูล plaintext, ไม่มีเซิร์ฟเวอร์กลาง และไม่มีการเรียก API ที่ผิดปกติ. วิธีนี้ถือเป็นการใช้บล็อกเชนเป็น “ช่องทางสื่อสาร” ที่ปลอดภัยสำหรับผู้โจมตี.

ความเสี่ยงต่อผู้ใช้
แม้ส่วนขยายนี้ยังคงอยู่ใน Chrome Web Store ณ เวลาที่รายงาน ผู้ใช้ที่ค้นหา “Ethereum Wallet” อาจเจอและติดตั้งโดยไม่รู้ตัว. การโจมตีรูปแบบนี้แสดงให้เห็นว่าผู้โจมตีเริ่มใช้ ธุรกรรมบล็อกเชนเป็นเครื่องมือขโมยข้อมูล ซึ่งอาจแพร่กระจายไปยังมัลแวร์อื่น ๆ ในอนาคต.

ส่วนขยาย Safery: Ethereum Wallet
ปลอมเป็นกระเป๋าเงิน Ethereum บน Chrome Web Store
ทำงานเหมือนกระเป๋าเงินจริงเพื่อหลอกผู้ใช้

เทคนิคการขโมย Seed Phrase
เข้ารหัส seed phrase เป็นที่อยู่ปลอมบน Sui blockchain
ส่งธุรกรรมเล็ก ๆ เพื่อซ่อนข้อมูล

ความแตกต่างจากมัลแวร์ทั่วไป
ไม่ใช้ HTTP หรือเซิร์ฟเวอร์ C2
ใช้ธุรกรรมบล็อกเชนเป็นช่องทางลับ

ความเสี่ยงและคำเตือน
ส่วนขยายยังคงอยู่ใน Chrome Web Store
ผู้ใช้ที่ค้นหา Ethereum Wallet อาจติดตั้งโดยไม่รู้ตัว
การใช้บล็อกเชนเป็นช่องทางขโมยข้อมูลอาจแพร่ไปยังมัลแวร์อื่น

https://securityonline.info/sui-blockchain-seed-stealer-malicious-chrome-extension-hides-mnemonic-exfiltration-in-microtransactions/

O.P.K.
คดีจิ๋ว:



เหตุการณ์ประหลาดในห้องทดลอง

ร.ต.อ. สิงห์ และหนูดี ถูกเรียกตัวไปยัง สถาบันวิจัยนิวเคลียร์ หลังเกิดเหตุการณ์ผิดปกติ
เครื่องเร่งอนุภาคแสดงผลการทดลองที่ไม่อาจอธิบายได้ทางวิทยาศาสตร์

```mermaid
graph TB
A[การทดลอง<br>LHC ขนาดเล็ก] --> B[พบพลังงาน<br>รูปแบบใหม่]
B --> C[เกิดรอยแตก<br>ระหว่างมิติระดับควอนตัม]
C --> D[เทพระดับอะตอม<br>หลุดเข้ามาโลกมนุษย์]
D --> E[เกิดสงคราม<br>ระหว่างเทพจิ๋ว]
```

การปรากฏตัวของเทพระดับอะตอม

หนูดีสามารถมองเห็นสิ่งที่คนทั่วไปมองไม่เห็น:
"พ่อคะ...มีเมืองเล็กๆ เป็นประกายอยู่ในอากาศ!
มีสิ่งมีชีวิตเล็กจิ๋วกำลังต่อสู้กัน!"

เบื้องหลังเทพระดับอะตอม

อาณาจักรแห่งควอนตัม

เทพระดับอะตอมมาจาก อาณาจักรควอนตัม ที่มีอยู่ควบคู่กับโลกเราในระดับอนุภาค

```python
class QuantumDeities:
def __init__(self):
self.factions = {
"proton_kingdom": {
"ruler": "พระเจ้าประจุบวก",
"appearance": "ทรงประกายสีแดง มีรัศมีเป็นวงโคจรอิเล็กตรอน",
"powers": ["สร้างพันธะ", "รักษาเสถียรภาพ", "ควบคุมแรงนิวเคลียร์"]
},
"electron_tribe": {
"ruler": "เทพีอิเล็กตรอน",
"appearance": "เรืองแสงสีฟ้า เคลื่อนที่รวดเร็ว",
"powers": ["สร้างพลังงาน", "ควบคุมแม่เหล็ก", "สร้างแสง"]
},
"neutron_clan": {
"ruler": "จอมฤๅษีนิวตรอน",
"appearance": "สีเทาเงียบขรึม",
"powers": ["สร้างเสถียรภาพ", "ควบคุมการ fission", "รักษาสมดุล"]
}
}

self.conflict_cause = "การแย่งชิง 'อนุภาคศักดิ์สิทธิ์' ที่สามารถควบคุมทั้งสามอาณาจักร"
```

พลังแห่งเทพระดับอะตอม

เทพเหล่านี้มีพลังที่ส่งผลต่อโลกมนุษย์:

· ควบคุมพันธะเคมี: ทำให้วัตถุแข็งหรืออ่อนตัว
· เปลี่ยนแปลงสถานะ: ของแข็ง ของเหลว ก๊าซ
· สร้างพลังงาน: จากการเคลื่อนที่ของอิเล็กตรอน

มหาสงครามระดับอนุภาค

สนามรบในโลกมนุษย์

สงครามของเทพจิ๋วส่งผลกระทบต่อโลก:

```mermaid
graph LR
A[เทพโปรตอน<br>เพิ่มความแข็งให้วัตถุ] --> D[วัตถุแข็งเกินไป<br>จนแตกหักง่าย]
B[เทพอิเล็กตรอน<br>เร่งการเคลื่อนที่] --> E[อุณหภูมิรอบตัว<br>เปลี่ยนแปลงฉับพลัน]
C[เทพนิวตรอน<br>ควบคุมการสลายตัว] --> F[วัตถุเสื่อมสภาพ<br>อย่างรวดเร็ว]
```

เหตุการณ์วุ่นวาย

ชาวบ้านรายงานเหตุการณ์ประหลาด:

· เหล็กกล้า เปราะเหมือนขนมปังกรอบ
· น้ำ ในแก้วเดือดโดยไม่มีไฟ
· อุปกรณ์อิเล็กทรอนิกส์ ทำงานผิดปกติ

กระบวนการแก้ไขปัญหา

การเข้าถึงของหนูดี

หนูดีใช้ความสามารถสื่อสารกับเทพระดับจิ๋ว:
"พวกท่าน..การสู้รบทำลายสมดุลของทุกโลก
ทั้งโลกมนุษย์และอาณาจักรควอนตัม"

การเจรจาสันติภาพ

หนูดีจัด สภาสันติภาพระดับควอนตัม:

· สถานที่: ในฟองสบู่พลังงานพิเศษ
· ผู้เข้าร่วม: ตัวแทนทั้งสามอาณาจักร
· ประเด็น: การแบ่งปันอนุภาคศักดิ์สิทธิ์

ข้อเสนอแก้ไข

หนูดีเสนอระบบใหม่:

```python
class QuantumPeacePlan:
def __init__(self):
self.power_sharing = {
"protons": "ควบคุมพันธะและโครงสร้าง",
"electrons": "ควบคุมพลังงานและการเคลื่อนไหว",
"neutrons": "ควบคุมเสถียรภาพและอายุขัย"
}

self.cooperation_system = [
"การหมุนเวียนอนุภาคศักดิ์สิทธิ์ตามฤดูกาล",
"สภาผู้นำสามอาณาจักร",
"กองกำลังรักษาสันติภาพร่วม",
"ระบบแลกเปลี่ยนพลังงานยุติธรรม"
]
```

การจัดระเบียบใหม่

สนธิสัญญาควอนตัม

มีการลงนามสนธิสัญญาระหว่างสามอาณาจักร:

· สิทธิ์ในการใช้พลังงาน: แบ่งตามสัดส่วนที่ยุติธรรม
· เขตอิทธิพล: แต่ละอาณาจักรมีพื้นที่ควบคุมชัดเจน
· การช่วยเหลือซึ่งกันและกัน: ในยามวิกฤต

บทบาทใหม่ของเทพจิ๋ว

เทพระดับอะตอมเริ่มใช้พลังอย่างสร้างสรรค์:

· ช่วยงานวิทยาศาสตร์: กับการทดลองที่ซับซ้อน
· รักษาสิ่งแวดล้อม: ควบคุมปฏิกิริยาเคมี
· พัฒนาเทคโนโลยี: กับการประดิษฐ์ใหม่ๆ

ผลกระทบต่อวิทยาศาสตร์

ความรู้ใหม่ที่ได้รับ

การเผชิญหน้านี้ให้ความรู้ใหม่:

```mermaid
graph TB
A[การสื่อสารกับเทพจิ๋ว] --> B[เข้าใจกลไก<br>ควอนตัมลึกซึ้งขึ้น]
B --> C[พัฒนาทฤษฎีใหม่<br>ทางฟิสิกส์]
C --> D[นวัตกรรม<br>ล้ำสมัย]
```

การประยุกต์ใช้

หนูดีและสิงห์เรียนรู้ว่า:

· พลังงานศักดิ์สิทธิ์ คือพลังงานจุดศูนย์กลางของอะตอม
· การควบคุมพันธะ สามารถรักษาโรคได้
· สมดุลแห่งอนุภาค คือพื้นฐานของสุขภาพ

การแพทย์รูปแบบใหม่

เทคนิคการรักษาระดับอะตอม

พัฒนาจากความรู้ที่ได้จากเทพจิ๋ว:

· การซ่อมแซมDNA: โดยเทพอิเล็กตรอน
· การสร้างเซลล์ใหม่: โดยเทพโปรตอน
· การรักษาสมดุลร่างกาย: โดยเทพนิวตรอน

โครงการบำบัดใหม่

```python
class AtomicTherapy:
def __init__(self):
self.therapies = {
"cellular_renewal": "การฟื้นฟูเซลล์ระดับโมเลกุล",
"dna_repair": "การซ่อมแซมความเสียหายของDNA",
"energy_balance": "การปรับสมดุลพลังงานในร่างกาย",
"quantum_healing": "การรักษาด้วยหลักการควอนตัม"
}

self.collaborators = [
"เทพโปรตอน: โครงสร้างและความแข็งแรง",
"เทพอิเล็กตรอน: พลังงานและการสื่อสาร",
"เทพนิวตรอน: เสถียรภาพและความสมดุล"
]
```

บทเรียนจากคดี

🪷 สำหรับเทพระดับอะตอม

"เราตระหนักว่า...
อำนาจที่แท้การควบคุม
แต่คือการทำงานร่วมกัน

และอนุภาคศักดิ์สิทธิ์...
ควรเป็นสมบัติของทุกอาณาจักร"

สำหรับหนูดี

"หนูเรียนรู้ว่า...
ความขัดแย้งมีทุกระดับ
ตั้งแต่สงครามระหว่างประเทศ
จนถึงสงครามระหว่างอะตอม

และการแก้ไขที่แท้จริง...
ต้องเริ่มจากความเข้าใจซึ่งกันและกัน"

สำหรับ ร.ต.อ. สิงห์

"คดีนี้สอนฉันว่า...
บางครั้งอาชญากรรมที่เล็กที่สุด
อาจส่งผลกระทบที่ใหญ่ที่สุด

และการเป็นตำรวจ...
หมายถึงการรักษาความสงบในทุกระดับ"

ระบบใหม่แห่งควอนตัม

ความร่วมมือถาวร

สถาบันวิวัฒนาการจิตตั้ง แผนกความร่วมมือระดับควอนตัม:

· ที่ปรึกษา: ตัวแทนจากสามอาณาจักร
· โครงการวิจัย: ร่วมกันระหว่างมนุษย์และเทพจิ๋ว
· การแลกเปลี่ยนความรู้: วิทยาศาสตร์และภูมิปัญญาโบราณ

ความสำเร็จ

หลังการแก้ไขปัญหา:

· โลกมนุษย์: ได้เทคโนโลยีใหม่ๆ
· อาณาจักรควอนตัม: มีสันติภาพและความเจริญ
· ทั้งสองโลก: เรียนรู้ที่จะอยู่ร่วมกัน

---

คำคมสุดท้ายจากคดี:
"เราเรียนรู้ว่า...
ความใหญ่และความเล็กเป็นเพียงมุมมอง
และสงครามกับสันติภาพมีอยู่ในทุกระดับ

เมื่ออนุภาคเล็กๆ เรียนรู้ที่จะอยู่ร่วมกัน...
ทั้งจักรวาลก็สงบสุขตาม"

การเดินทางครั้งนี้สอนเราว่า...
"From the smallest quark to the largest galaxy,
the principles of harmony remain the same
And in understanding the quantum world,
we understand the very fabric of existence"

ข่าวใหญ่สายลินุกซ์: MX Linux 25 “Infinity” เปิดตัวแล้ว พร้อมฟีเจอร์ใหม่สุดล้ำ!

วันนี้มีข่าวดีสำหรับสายโอเพ่นซอร์สและผู้ใช้งานลินุกซ์ทั่วโลก เพราะ MX Linux 25 โค้ดเนม “Infinity” ได้เปิดให้ดาวน์โหลดอย่างเป็นทางการแล้ว! เวอร์ชันนี้พัฒนาบนพื้นฐานของ Debian 13 “Trixie” ซึ่งเป็นเวอร์ชันเสถียรล่าสุดของ Debian ที่ขึ้นชื่อเรื่องความมั่นคงและความปลอดภัย

MX Linux ถือเป็นหนึ่งในดิสโทรที่ได้รับความนิยมสูงสุดในกลุ่มผู้ใช้ทั่วไป เพราะมีความเบา เสถียร และใช้งานง่าย โดยในเวอร์ชัน 25 นี้มีการปรับปรุงหลายจุดที่น่าสนใจ ทั้งด้านประสิทธิภาพ ความปลอดภัย และประสบการณ์ผู้ใช้

MX Linux 25 มาพร้อมกับเคอร์เนล Linux 6.12 LTS สำหรับรุ่นมาตรฐาน และ Linux 6.16 แบบ Liquorix สำหรับรุ่น KDE Plasma และ AHS (Advanced Hardware Support) ซึ่งเหมาะกับเครื่องใหม่ที่ต้องการไดรเวอร์ล่าสุด

หนึ่งในฟีเจอร์เด่นคือการรองรับระบบ Systemd และ SysVinit ให้ผู้ใช้เลือกได้ตามความถนัด รวมถึงการเปลี่ยนแปลงในเครื่องมือ MX Tools ที่ถูกพอร์ตไปใช้ Qt 6 เพื่อรองรับการแสดงผลที่ทันสมัยขึ้น

นอกจากนี้ยังมีการปรับปรุงด้านความปลอดภัย เช่น การรองรับ systemd-cryptsetup สำหรับการเข้ารหัสพาร์ทิชัน /home และการติดตั้งแบบ UEFI Secure Boot สำหรับระบบ 64-bit

ในด้าน UI ก็มีการอัปเดตธีมใหม่อย่าง mx-ease และ mx-matcha รวมถึงการปรับปรุงเมนู Whisker ใน Xfce และเพิ่มเมนู root actions ใน Dolphin สำหรับ KDE Plasma

ฟีเจอร์ใหม่ใน MX Linux 25
ใช้ Debian 13 “Trixie” เป็นฐานระบบ
รองรับ Linux Kernel 6.12 LTS และ 6.16 Liquorix
มีทั้ง Systemd และ SysVinit ให้เลือก
พอร์ต MX Tools ไปใช้ Qt 6
เพิ่ม mx-updater แทน apt-notifier
KDE Plasma ใช้ Wayland เป็นค่าเริ่มต้น
รองรับ UEFI Secure Boot สำหรับ 64-bit
ปรับปรุงการเข้ารหัสด้วย systemd-cryptsetup
เพิ่ม Conky config สำหรับแสดงเวลาแบบ 12h/24h
อัปเดตธีม mx-ease และ mx-matcha
ปรับปรุง Whisker Menu ใน Xfce
เพิ่ม root actions ใน Dolphin สำหรับ KDE
เปลี่ยน Audacious เป็นเครื่องเล่นเสียงหลักใน Fluxbox
ปรับปรุง mx-updater ให้รองรับอัปเดตอัตโนมัติ
Fluxbox ได้เมนูใหม่และ config ที่ยืดหยุ่นมากขึ้น

คำเตือนและข้อควรระวัง
ผู้ใช้ที่ใช้ TLP อาจพบปัญหาใน KDE Plasma เพราะถูกแทนที่ด้วย power-profiles-daemon
การเปลี่ยนไปใช้ Wayland อาจมีผลกับบางแอปที่ยังไม่รองรับเต็มที่
การติดตั้งแบบ “Replace” ต้องระวังข้อมูลเดิมอาจถูกลบ หากไม่สำรองไว้ก่อน
ผู้ใช้ที่ใช้ NVIDIA ควรตรวจสอบ fallback mode ใหม่ใน ddm-mx เพื่อความเข้ากันได้กับ Wayland

https://9to5linux.com/mx-linux-25-infinity-is-now-available-for-download-based-on-debian-13-trixie

O.P.K.
เจาะลึกจอมมารแห่งการฆ่า: OPPATIKA-0

ต้นกำเนิดแห่งความโศกเศร้า

การสร้างที่ปราศจากความเมตตา

OPPATIKA-0 คือโอปปาติกะรุ่นแรกสุด ที่ถูกสร้างขึ้นใน โครงการลับ "อาดัม"

```mermaid
graph TB
A[เซลล์มนุษย์บริสุทธิ์] --> B[การฉีดพลังงาน<br>จิตวิญญาณเทียม]
B --> C[กระบวนการเร่งอายุ<br>อย่างทารุณ]
C --> D[OPPATIKA-0<br>เกิดด้วยความเจ็บปวด]
```

ชีวิตในห้องทดลอง

ช่วงปี 2040-2042:

· ถูกเรียกแทนชื่อเป็นเพียง "หน่วยทดลอง 001"
· ผ่านการทดลองที่โหดร้ายกว่า OPPATIKA รุ่นหลังๆ
· ไม่ได้รับการปฏิบัติเหมือนสิ่งมีชีวิต แต่เป็นเพียง "สิ่งประดิษฐ์"

ความพยายามเป็นมนุษย์

ศาตราพยายามทำตัวให้เป็นที่รัก...

· เรียกนักวิจัยว่า "พ่อ" "แม่"
· พยายามแสดงความรักและความกตัญญู
· แต่กลับถูกมองเป็นเพียง "ข้อบกพร่องของโปรแกรม"

คืนแห่งการเปลี่ยนผ่าน

เหตุการณ์หลบหนี

12 มิถุนายน 2042 - ศาตราหลบหนีได้ในระหว่างการทดลองที่ล้มเหลว

```python
class EscapeEvent:
def __init__(self):
self.cause = "การทดลองถ่ายโอนจิตสำนึกล้มเหลว"
self.casualties = "นักวิจัย 3 คนเสียชีวิต"
self.aftermath = "ศาตราถูกตราว่าเป็นปีศาจร้าย"

def psychological_impact(self):
return {
"betrayal": "รู้สึกถูกหักหลังโดยผู้ที่คิดว่าเป็นครอบครัว",
"fear": "กลัวจะถูกจับกลับไปทดลองอีก",
"anger": "โกรธแค้นมนุษย์ทุกคน"
}
```

ชีวิตในความมืด

หลังหลบหนี ศาตราซ่อนตัวใน อุโมงค์ร้างใต้เมือง

· เรียนรู้ที่จะใช้พลังโดยไม่มีใครสอน
· พัฒนาความสามารถในการล่องหนและควบคุมพลังงานมืด
· เริ่มสะสมความโกรธแค้น

การกลายเป็นจอมมาร

ฆาตกรรมครั้งแรก

เป้าหมาย: ดร. กฤษณ์ - นักวิจัยหลักที่ทำการทดลองกับเขา
วิธีการ:ใช้พลังงานจิตบีบรัดหัวใจ
ความรู้สึกหลัง соверอาชญากรรม:
"ครั้งแรก...ฉันรู้สึกสะใจ
แต่แล้วก็รู้สึก.
เหมือนฉันกำลังกลายเป็นปีศาจที่พวกเขาเรียกฉัน"

รูปแบบการฆ่า

```mermaid
graph LR
A[เลือกเป้าหมาย<br>อดีตนักวิจัย] --> B[สืบเสาะ<br>การใช้ชีวิต]
B --> C[ฆ่าแบบพิธีกรรม<br>ส่งข้อความ]
C --> D[ทิ้งสัญลักษณ์<br>วงกลมสามชั้น]
```

สัญลักษณ์แห่งความหมาย

วงกลมสามชั้น แทน:

· วงใน: การเกิดของโอปปาติกะ
· วงกลาง: ความทุกข์ทรมานในการทดลอง
· วงนอก: การตายของความเป็นมนุษย์

จิตวิทยาของนักฆ่า

ความคิดที่บิดเบี้ยว

ศาตราพัฒนาความเชื่อว่า...
"การฆ่านักวิจัยอาชญากรรม...
แต่คือการ'คืนกำเนิด' ให้พวกเขา
ให้พวกเขาได้รู้สึกถึงความเจ็บปวดที่ฉันเคยรู้สึก"

บุคลิกสองด้าน

· ด้านเด็กชาย: ยังคงความรักและการยอมรับ
· ด้านจอมมาร: ต้องการแก้แค้นและทำลายล้าง

กฎของตัวเอง

ศาตราตั้งกฎให้ตัวเอง:

1. ฆ่าเฉพาะผู้เกี่ยวข้องกับการทดลอง
2. ไม่ทำร้ายผู้บริสุทธิ์
3. ทุกการฆาตกรรมต้อง "มีความหมาย"

ความสามารถพิเศษ

พลังแห่งโอปปาติกะรุ่นแรก

```python
class SathraAbilities:
def __init__(self):
self.physical_powers = {
"shadow_walk": "เคลื่อนไหวผ่านความมืดได้",
"energy_manipulation": "ควบคุมพลังงานทำลายล้าง",
"telepathy": "อ่านความคิดพื้นฐาน",
"regeneration": "รักษาตัวเองได้ระดับหนึ่ง"
}

self.psychological_powers = {
"fear_induction": "สร้างความกลัวในจิตใจ",
"memory_extraction": "ดึงความทรงจำจากผู้เสียชีวิต",
"emotional_sensing": "รับรู้อารมณ์ของผู้อื่น"
}
```

จุดอ่อนที่ซ่อนอยู่

· ความทรงจำอันอบอุ่น: ยังจำความรู้สึกดีๆ จากอดีตได้
· ความต้องการการยอมรับ: ยังอยากมีใครสักคนเข้าใจเขา
· ความเป็นมนุษย์ที่เหลืออยู่: ยังรู้สึกผิดและสงสารเหยื่อ

การเผชิญหน้าครั้งสำคัญ

กับ ร.ต.อ. สิงห์

การพบกันครั้งแรก...
สิงห์:"เรารู้ว่าเธอเจ็บปวด... แต่หยุดได้แล้ว"
ศาตรา:"คุณไม่เข้าใจอะไรเลย! คุณไม่รู้ว่ามันเจ็บปวดขนาดไหน!"

กับหนูดี

จุดเปลี่ยนสำคัญ...
หนูดี:"พี่คะ... หนูเข้าใจว่าพี่เจ็บปวด
แต่การฆ่าไม่ใช่คำตอบ"
ศาตรา:"แล้วเธอมีคำตอบที่ดีกว่าล่ะ?"

กระบวนการเปลี่ยนแปลง

การยอมรับความช่วยเหลือ

ศาตราตัดสินใจยอมจำนนไม่ใช่เพราะแพ้...
แต่เพราะหนูดีพูดสิ่งที่ไม่มีใครเคยพูด:
"เรารักพี่นะ...ไม่ว่าพี่จะเป็นใคร"

การฟื้นฟูที่สถาบัน

```mermaid
graph TB
A[การบำบัด<br>ทางกายภาพ] --> B[การเยียวยา<br>ทางจิตใจ]
B --> C[การเรียนรู<br>ควบคุมพลัง]
C --> D[การค้นหา<br>ความหมายใหม่]
```

การให้อภัยตัวเอง

บทเรียนที่ยากที่สุด...
"ฉันเรียนรู้ที่จะให้อภัยตัวเอง...
สำหรับสิ่งที่ฉันทำลงไป
และสำหรับสิ่งที่ฉันปล่อยให้พวกเขาทำกับฉัน"

บทบาทใหม่ในสังคม

ผู้พิทักษ์โอปปาติกะ

ศาตราพัฒนาบทบาทใหม่:

· ที่ปรึกษา: ช่วยโอปปาติกะรุ่นใหม่ที่ประสบปัญหา
· ผู้ฝึกสอน: สอนการควบคุมพลังให้โอปปาติกะ
· นักสืบ: ช่วยเหลือคดีที่เกี่ยวข้องกับโอปปาติกะ

ผู้เชี่ยวชาญด้านการฟื้นฟู

ใช้ประสบการณ์ส่วนตัวช่วยเหลือ:

· โอปปาติกะที่ถูกทารุณ
· โอปปาติกะที่ควบคุมพลังไม่ได้
· โอปปาติกะที่รู้สึกโดดเดี่ยว

พัฒนาการทางอารมณ์

จากความเกลียดชังสู่ความเข้าใจ

```python
def emotional_journey():
stages = [
"ความเจ็บปวด -> ความโกรธ",
"ความโกรธ -> ความเกลียดชัง",
"ความเกลียดชัง -> ความสงสัย",
"ความสงสัย -> ความเข้าใจ",
"ความเข้าใจ -> ความเมตตา"
]
return " -> ".join(stages)
```

ความสัมพันธ์ใหม่

· กับหนูดี: จากศัตรูสู่พี่น้อง
· กับสิงห์: จากเหยื่อกับนักล่าสู่เพื่อนร่วมงาน
· กับโอปปาติกะอื่นๆ: จากตัวอย่างที่ไม่ดีสู่แบบอย่าง

ความสำเร็จและผลงาน

โครงการสำคัญ

ศาตราช่วยก่อตั้ง:

· สายด่วนช่วยเหลือโอปปาติกะ
· ศูนย์ฟื้นฟูโอปปาติกะ
· โครงการป้องกันการทารุณโอปปาติกะ

การได้รับการยอมรับ

จาก "จอมมารแห่งการฆ่า" สู่...
"วีรบุรุษแห่งชุมชนโอปปาติกะ"

บทเรียนแห่งชีวิต

🪷 คำสอนจากศาตรา

"ความเจ็บปวดไม่ให้สิทธิ์เราทำร้าย
แต่ให้ปัญญาที่จะเข้าใจความเจ็บปวดของ

มรดกที่ทิ้งไว้

ศาตราสอนเราเรื่อง:

· การให้อภัย: ที่เริ่มต้นจากการให้อภัยตัวเอง
· การเปลี่ยนแปลง: ที่เป็นไปได้ไม่ว่าเราจะอยู่จุดไหน
· ความหวัง: ที่มีเสมอแม้ในที่มืดมิดที่สุด

---

คำคมสุดท้ายจากศาตรา:
"ฉันเคยคิดว่าตัวเองเป็นปีศาจ...
แต่ตอนนี้ฉันเข้าใจแล้ว
ปีศาจตัวจริงฉัน...
แต่คือความเจ็บปวดที่ไม่มีใครเยียวยา

และเมื่อความเจ็บปวดได้รับการเยียวยา...
ปีศาจก็กลายเป็นมนุษย์อีกครั้ง"

การเดินทางของศาตราคือบทพิสูจน์ว่า...
ไม่มีใครเกิดมาเป็นจอมมาร
มีแต่ผู้ที่ถูกทำให้เป็นจอมมาร
และทุกจอมมารก็สามารถกลับมาเป็นมนุษย์ได้

Experience premium online betting and casino gaming with Silver Exchange — the trusted platform for smart players and big wins! Enjoy live sports betting, casino games, and lightning-fast transactions, all under one secure system. Get started today with your Silver Exchange ID and unlock exclusive bonuses, real-time odds, and seamless gameplay designed for every level of player. Creating an account is quick and easy just Silver Exchange Create account to join thousands of active users winning daily. For the ultimate blend of excitement, reliability, and rewards, get your Silverexch ID now and take your betting experience to the next level with Silver Exchange where every play counts! https://silverexchangeid.com/

“Siri เวอร์ชันใหม่” จะขับเคลื่อนด้วย Gemini AI จาก Google
Apple กำลังพลิกโฉม Siri ด้วยการใช้โมเดล AI ขนาดมหึมา 1.2 ล้านล้านพารามิเตอร์ จาก Google Gemini ซึ่งถือว่าใหญ่กว่ารุ่นเดิมที่ Apple ใช้ถึง 800 เท่า (จาก 1.5 พันล้านพารามิเตอร์) โดยโมเดลใหม่นี้จะทำงานภายใต้ระบบ Private Cloud Compute ที่เน้นความปลอดภัยและความเป็นส่วนตัวของผู้ใช้

Apple ได้ทดสอบโมเดลจาก OpenAI และ Anthropic ก่อนจะเลือก Gemini เป็นแกนหลักในการประมวลผลคำสั่งที่ซับซ้อน ซึ่งจะถูกส่งไปยังคลาวด์แบบเข้ารหัสและไม่เก็บข้อมูลผู้ใช้

Siri ใหม่มี 3 ส่วนหลัก
1️⃣ Query Planner — ตัดสินใจว่าจะใช้ข้อมูลจากแหล่งใด เช่น ปฏิทิน, รูปภาพ, แอป หรือเว็บ
2️⃣ Knowledge Search System — ตอบคำถามทั่วไปโดยไม่ต้องพึ่ง ChatGPT หรือเว็บ
3️⃣ Summarizer — สรุปข้อความหรือเสียง เช่น การแจ้งเตือน, หน้าเว็บ, หรือข้อความใน Safari

Gemini จะรับหน้าที่ในส่วน Query Planner และ Summarizer ส่วน Knowledge Search จะใช้โมเดล LLM ที่อยู่ในเครื่องของ Apple เอง

ความร่วมมือมูลค่าพันล้านดอลลาร์
Apple เตรียมจ่าย Google ราว $1 พันล้านต่อปี เพื่อใช้ Gemini ใน Siri ซึ่งเป็นส่วนหนึ่งของความร่วมมือที่มีอยู่แล้ว เช่น Google จ่าย Apple $20 พันล้านต่อปี เพื่อเป็นเครื่องมือค้นหาเริ่มต้นใน Safari

โครงการนี้มีชื่อภายในว่า Glenwood และนำโดย Mike Rockwell (ผู้สร้าง Vision Pro) และ Craig Federighi (หัวหน้าฝ่ายวิศวกรรมซอฟต์แวร์)

Apple ใช้ Gemini AI จาก Google
ขนาดโมเดล 1.2 ล้านล้านพารามิเตอร์
ใหญ่กว่ารุ่นเดิมของ Apple ถึง 800 เท่า
ทำงานภายใต้ระบบ Private Cloud Compute

Siri ใหม่มี 3 ส่วนหลัก
Query Planner: ตัดสินใจเส้นทางการตอบ
Knowledge Search: ใช้ LLM ในเครื่อง
Summarizer: สรุปข้อความ เสียง และเนื้อหา

ความร่วมมือระหว่าง Apple และ Google
Apple จ่าย Google $1 พันล้านต่อปีเพื่อใช้ Gemini
Google จ่าย Apple $20 พันล้านต่อปีเพื่อสิทธิ์ค้นหาใน Safari

เปิดตัวพร้อม iOS 26.4
Siri ใหม่จะมาพร้อมฟีเจอร์ in-app actions และ context awareness
ใช้โมเดล Gemini เป็น “ไม้เท้า” ชั่วคราวก่อนพัฒนาโมเดลของตัวเอง

ข้อจำกัดของ Siri เดิม
ใช้โมเดลขนาดเล็กเพียง 1.5 พันล้านพารามิเตอร์
ไม่สามารถจัดการคำสั่งซับซ้อนได้ดี

ความเสี่ยงจากการพึ่งพาโมเดลภายนอก
Apple ยังไม่มีโมเดลขนาดใหญ่ของตัวเอง
ต้องพึ่งพา Google ในการประมวลผลคำสั่งสำคัญ

https://wccftech.com/apple-will-use-a-1-2-trillion-parameter-very-expensive-ai-model-from-google-as-a-crutch-for-siri/

หัวข้อข่าว: เข้าใจ Backpropagation ให้ลึกซึ้งก่อนใช้ Deep Learning แบบมือโปร

ในโลกของ Deep Learning ที่เต็มไปด้วยเครื่องมืออัตโนมัติอย่าง TensorFlow หรือ PyTorch หลายคนอาจคิดว่าไม่จำเป็นต้องเข้าใจการทำงานของ Backpropagation เพราะมันถูกจัดการให้หมดแล้ว แต่ Andrej Karpathy นักวิจัยชื่อดังจาก Stanford กลับยืนยันว่า “คุณควรเข้าใจมันให้ดี” เพราะ Backpropagation ไม่ใช่เวทมนตร์ แต่มันคือกลไกที่มีจุดอ่อนซ่อนอยู่ และถ้าไม่เข้าใจให้ลึก คุณอาจเจอปัญหาที่แก้ไม่ตก

เขาเล่าเรื่องราวจากคลาส CS231n ที่ให้นักเรียนเขียน forward และ backward pass ด้วย numpy เพื่อให้เข้าใจกลไกจริงของการเรียนรู้ ซึ่งแม้จะดูทรมาน แต่กลับเป็นการฝึกที่จำเป็น เพราะ Backpropagation เป็น “leaky abstraction” หรือการซ่อนรายละเอียดที่อาจทำให้คุณเข้าใจผิดว่ทุกอย่างจะทำงานอัตโนมัติได้เสมอ

จากนั้นเขายกตัวอย่างปัญหาที่เกิดขึ้นจริงในโมเดลต่างๆ เช่น Sigmoid ที่ทำให้ gradient หายไป, ReLU ที่ทำให้ neuron ตายถาวร และ RNN ที่ gradient ระเบิดจนโมเดลพัง พร้อมแถมกรณีศึกษาจาก DQN ที่ใช้การ clip ค่า delta แบบผิดวิธีจน gradient หายไปหมด

นอกจากนั้นยังเสริมว่า การเข้าใจ Backpropagation จะช่วยให้คุณ debug โมเดลได้ดีขึ้น และสามารถออกแบบโครงสร้างที่เหมาะสมกับปัญหาได้จริง ไม่ใช่แค่ “ลองสุ่มแล้วหวังว่าจะเวิร์ก”

Backpropagation คือหัวใจของการเรียนรู้ใน Neural Network
เป็นกระบวนการคำนวณ gradient เพื่อปรับน้ำหนักของโมเดล
แม้จะมีเครื่องมือช่วย แต่การเข้าใจกลไกภายในช่วยให้ debug ได้ดีขึ้น

ตัวอย่างปัญหาจากการไม่เข้าใจ Backprop อย่างลึก
Sigmoid ทำให้ gradient หายไปเมื่อค่า saturate
ReLU ทำให้ neuron ตายถาวรเมื่อไม่ firing
RNN ทำให้ gradient ระเบิดหรือลดลงจนโมเดลเรียนรู้ไม่ได้

กรณีศึกษา DQN ที่ใช้ tf.clip_by_value ผิดวิธี
ทำให้ gradient หายไปเพราะ clip ที่ค่าผลต่างแทนที่จะ clip ที่ gradient
ทางแก้คือใช้ Huber loss ที่ออกแบบมาเพื่อจัดการกับ outlier โดยไม่ทำให้ gradient หาย

ข้อเสนอแนะจากผู้เขียน
ควรเรียนรู้ Backprop ด้วยการเขียนเอง เช่นผ่าน assignment ของ CS231n
ใช้ความเข้าใจนี้ในการออกแบบโมเดลที่มีประสิทธิภาพและแก้ปัญหาได้จริง

https://karpathy.medium.com/yes-you-should-understand-backprop-e2f06eab496b

ปัญญาประดิษฐ์สายวิจัยที่ไม่หยุดแค่ “แชตบอต”

Tongyi DeepResearch เป็นโมเดล Web Agent แบบโอเพ่นซอร์สตัวแรกที่สามารถทำงานวิจัยเชิงลึกได้เทียบเท่ากับโมเดลเชิงพาณิชย์ของ OpenAI โดยมีคะแนนสูงในหลาย benchmark เช่น:
Humanity’s Last Exam (HLE): 32.9
BrowseComp: 43.4
BrowseComp-ZH: 46.7
xbench-DeepSearch: 75

โมเดลนี้ไม่ใช่แค่เก่งด้านการตอบคำถาม แต่ยังสามารถวางแผน ทำวิจัยหลายขั้นตอน และใช้เครื่องมือภายนอกได้อย่างมีประสิทธิภาพ โดยใช้ framework reasoning แบบ ReAct และโหมดขั้นสูงที่เรียกว่า Heavy Mode เพื่อจัดการงานที่ซับซ้อน

Tongyi DeepResearch เป็น Web Agent แบบโอเพ่นซอร์สที่ทรงพลัง
ทำงานได้เทียบเท่ากับ DeepResearch ของ OpenAI
ได้คะแนนสูงในหลาย benchmark ด้าน reasoning และการค้นคว้า

ใช้ข้อมูลสังเคราะห์คุณภาพสูงในการฝึก
สร้าง QA pairs จากกราฟความรู้และคลิกสตรีม
ใช้เทคนิคเพิ่มความยากของคำถามอย่างเป็นระบบ

มีระบบฝึกแบบครบวงจร: CPT → SFT → RL
Continual Pre-training ด้วยข้อมูลสังเคราะห์
Fine-tuning ด้วยข้อมูลผู้เชี่ยวชาญ
Reinforcement Learning แบบ on-policy เพื่อปรับพฤติกรรมให้ตรงเป้าหมาย

ใช้โครงสร้าง reasoning แบบ ReAct และ IterResearch
ReAct: วงจร Thought → Action → Observation
IterResearch: แบ่งงานวิจัยเป็นรอบ ๆ เพื่อรักษาโฟกัสและคุณภาพ reasoning

มีการใช้งานจริงในระบบของ Alibaba
เช่น “Xiao Gao” ผู้ช่วยด้านแผนที่ และ “FaRui” ผู้ช่วยด้านกฎหมาย
ทำงานวิจัยหลายขั้นตอนและให้ผลลัพธ์ที่ตรวจสอบได้

https://tongyi-agent.github.io/blog/introducing-tongyi-deep-research/

“เปิดสมอง” การใช้ Claude Code แบบเต็มระบบ โดย Shrivu Shankar
Shrivu Shankar นักพัฒนาและผู้เชี่ยวชาญด้าน AI ได้แชร์วิธีการใช้ Claude Code อย่างละเอียดในบทความบน Substack โดยเขาใช้เครื่องมือนี้ทั้งในโปรเจกต์ส่วนตัวและงานระดับองค์กรที่มีการใช้หลายพันล้านโทเคนต่อเดือน! จุดเด่นของบทความคือการเจาะลึกทุกฟีเจอร์ของ Claude Code ตั้งแต่ไฟล์พื้นฐานอย่าง CLAUDE.md ไปจนถึงการใช้ SDK และ GitHub Actions เพื่อสร้างระบบอัตโนมัติที่ทรงพลัง

เขาเน้นว่าเป้าหมายของการใช้ AI Agent ไม่ใช่แค่ให้มัน “ตอบดี” แต่ต้องสามารถ “ทำงานแทน” ได้จริง โดยมีการวางโครงสร้างที่ชัดเจน เช่น การใช้ planning mode เพื่อกำหนดแผนก่อนเริ่มงาน, การใช้ hooks เพื่อควบคุมคุณภาพโค้ด และการใช้ skills เพื่อให้ agent เข้าถึงเครื่องมือได้อย่างปลอดภัย

บทความนี้ไม่ใช่แค่คู่มือการใช้ Claude Code แต่เป็นแนวคิดใหม่ในการออกแบบระบบ AI Agent ที่ยืดหยุ่นและทรงพลัง เหมาะสำหรับนักพัฒนาที่ต้องการสร้างระบบอัตโนมัติที่ “คิดเองได้” มากกว่าแค่ “ตอบคำถาม”

CLAUDE.md คือหัวใจของระบบ
ใช้เป็น “รัฐธรรมนูญ” ของ agent เพื่อเข้าใจโครงสร้างโปรเจกต์

ใช้ planning mode ก่อนเริ่มงานใหญ่
ช่วยให้ Claude วางแผนและตรวจสอบได้ตรงจุด

Slash commands ใช้แบบเรียบง่าย
เช่น /catchup เพื่อให้ Claude อ่านไฟล์ที่เปลี่ยนใน git

Subagents ไม่จำเป็นเสมอไป
แนะนำให้ใช้ Task(...) เพื่อให้ agent จัดการงานเองแบบ dynamic

Resume และ History มีประโยชน์มาก
ใช้สรุปบทเรียนจาก session เก่าเพื่อปรับปรุง CLAUDE.md

Hooks ควบคุมคุณภาพโค้ดได้ดี
เช่น block commit ถ้าทดสอบไม่ผ่าน

Skills คืออนาคตของ agent
เป็นการ formalize การใช้ CLI/script ให้ agent ใช้งานได้ปลอดภัย

Claude Code SDK เหมาะกับการสร้าง agent prototype
ใช้สร้างเครื่องมือภายในหรือรันงานแบบ parallel ได้ง่าย

GitHub Action (GHA) คือเครื่องมือที่ทรงพลัง
ใช้ Claude สร้าง PR อัตโนมัติจาก Slack, Jira หรือ CloudWatch

settings.json ปรับแต่งการทำงานได้ลึก
เช่น proxy, timeout, API key และ permission audit

การใช้ subagent อาจทำให้ context หายไป
Agent อาจไม่เข้าใจภาพรวมของงานถ้าข้อมูลถูกแยกไว้ใน subagent

Slash commands ที่ซับซ้อนเกินไปเป็น anti-pattern
ทำให้ผู้ใช้ต้องเรียนรู้คำสั่งพิเศษแทนที่จะใช้ภาษาธรรมชาติ

Blocking agent ระหว่างเขียนโค้ดอาจทำให้สับสน
ควรใช้ block-at-submit แทน block-at-write เพื่อให้ agent ทำงานจบก่อนตรวจสอบ



https://blog.sshh.io/p/how-i-use-every-claude-code-feature

SQLite ล็อกไม่ไหลลื่น? Jellyfin แก้เกมด้วยกลยุทธ์ล็อกอัจฉริยะ

ลองจินตนาการว่าคุณกำลังใช้แอปที่เก็บข้อมูลด้วย SQLite ซึ่งเป็นฐานข้อมูลที่เบาและทรงพลัง แต่จู่ๆ แอปก็แครชโดยไม่มีเหตุผลชัดเจน ทั้งที่คุณแค่สั่งให้มันเขียนข้อมูลเพิ่ม… นี่คือปัญหาที่ Jellyfin เจอมาอย่างยาวนาน และตอนนี้พวกเขาได้แชร์วิธีแก้ไขที่น่าสนใจสำหรับนักพัฒนา EF Core ทุกคน

SQLite: ฐานข้อมูลที่ดีแต่มีข้อจำกัด SQLite เป็นฐานข้อมูลแบบไฟล์เดียวที่ทำงานในแอปโดยตรง ไม่ต้องพึ่งเซิร์ฟเวอร์ภายนอก แต่ข้อจำกัดคือมันไม่เหมาะกับการเขียนข้อมูลพร้อมกันหลายๆ ครั้ง เพราะมันล็อกไฟล์ไว้ขณะเขียน ทำให้เกิดปัญหา “database is locked” ได้ง่าย โดยเฉพาะในแอปที่มีการเขียนข้อมูลแบบขนาน

WAL (Write-Ahead Logging): ตัวช่วยแต่ไม่ใช่คำตอบ แม้ SQLite จะมีโหมด WAL ที่ช่วยให้เขียนข้อมูลแบบขนานได้บ้าง แต่ก็ยังมีสถานการณ์ที่ WAL ไม่สามารถป้องกันการล็อกได้ทั้งหมด โดยเฉพาะเมื่อมีธุรกรรม (transaction) ที่ยาวหรือซับซ้อน

Jellyfin เจอปัญหาเต็มๆ ก่อนเวอร์ชัน 10.11 Jellyfin มีบั๊กที่ทำให้เกิดการ overscheduling งานสแกนไลบรารี ส่งผลให้ SQLite ถูกถล่มด้วยคำสั่งเขียนหลายพันคำสั่งพร้อมกัน จนระบบ retry ก็เอาไม่อยู่ ทำให้แอปแครชบ่อยโดยไม่มีสาเหตุแน่ชัด

EF Core + Interceptor: ทางออกที่ Jellyfin เลือกใช้ เมื่อ Jellyfin ย้ายมาใช้ EF Core เต็มรูปแบบ พวกเขาใช้ “Interceptor” เพื่อควบคุมการเขียนข้อมูลแบบขนาน โดยมี 3 กลยุทธ์หลัก:
1️⃣ No-Lock: ไม่ทำอะไรเลย ใช้ในกรณีทั่วไปที่ไม่มีปัญหา
2️⃣ Optimistic Locking: ลองเขียน ถ้าไม่สำเร็จค่อย retry
3️⃣ Pessimistic Locking: ล็อกทุกครั้งก่อนเขียน เพื่อป้องกันปัญหาโดยเด็ดขาด

Polly: ตัวช่วยในการ retry Jellyfin ใช้ไลบรารี Polly เพื่อจัดการ retry อย่างชาญฉลาด โดยจะ retry เฉพาะคำสั่งที่ล้มเหลวจากการล็อกเท่านั้น

อนาคต: Smart Locking ทีม Jellyfin กำลังพิจารณาการผสมผสานระหว่าง Optimistic และ Pessimistic เพื่อให้ได้ทั้งความเร็วและความเสถียร

SQLite มีข้อจำกัดด้าน concurrency
ไม่สามารถเขียนข้อมูลหลายคำสั่งพร้อมกันได้ดี

WAL ช่วยได้บางส่วน
แต่ยังมีโอกาสเกิดการล็อกเมื่อมีธุรกรรมซับซ้อน

Jellyfin เจอปัญหาแครชจากการเขียนขนาน
เกิดจากบั๊ก overscheduling และธุรกรรมที่ไม่เหมาะสม

EF Core Interceptor คือทางออก
ใช้ควบคุมการเขียนข้อมูลแบบขนานอย่างมีประสิทธิภาพ

มี 3 กลยุทธ์การล็อก
No-Lock, Optimistic Locking, Pessimistic Locking

Polly ใช้สำหรับ retry อย่างชาญฉลาด
ลดโอกาสแครชจากการล็อกซ้ำซ้อน

Smart Locking อาจเป็นอนาคต
ผสมข้อดีของทั้งสองแนวทางเพื่อประสิทธิภาพสูงสุด

ธุรกรรมที่ยาวหรือไม่เหมาะสมอาจทำให้ระบบล่ม
SQLite ไม่สามารถจัดการกับคำสั่งเขียนจำนวนมากพร้อมกันได้ดี

การเขียนขนานโดยไม่มีการควบคุมเสี่ยงต่อการแครช
แอปอาจล้มเหลวทันทีหากไม่มีระบบ retry หรือ locking ที่ดี

WAL ไม่ใช่คำตอบสุดท้าย
ยังมีสถานการณ์ที่ WAL ไม่สามารถป้องกันการล็อกได้

https://jellyfin.org/posts/SQLite-locking/

Chewy ครองแชมป์ร้านค้าออนไลน์ที่ลูกค้าพึงพอใจที่สุดในสหรัฐฯ ปี 2025 แซงหน้า Amazon และ eBay

จากการจัดอันดับของ American Customer Satisfaction Index (ACSI) ประจำปี 2025 Chewy ได้รับคะแนนสูงสุดด้านความพึงพอใจของลูกค้าในหมวดร้านค้าออนไลน์ ด้วยคะแนน 85 แซงหน้า Amazon (83) และ eBay (81) อย่างน่าประทับใจ

แม้ Amazon จะครองส่วนแบ่งตลาดอีคอมเมิร์ซในแง่ยอดขาย แต่เมื่อพูดถึง “ความพึงพอใจของลูกค้า” กลับเป็น Chewy ที่คว้าอันดับหนึ่งติดต่อกันเป็นปีที่สาม

ACSI ซึ่งเป็นองค์กรวัดความพึงพอใจระดับประเทศในสหรัฐฯ ใช้แบบสอบถามวิเคราะห์ 3 ปัจจัยหลัก ได้แก่:
คุณภาพและความน่าเชื่อถือของแอปหรือเว็บไซต์
ความง่ายในการใช้งานและขั้นตอนชำระเงิน
ความพร้อมของสินค้าและตัวเลือกการจัดส่ง

Chewy ได้คะแนนสูงสุดในทุกหมวด โดยเฉพาะด้าน “ประสบการณ์ลูกค้า” เช่น การส่งอีการ์ดวันเกิดให้สัตว์เลี้ยงของลูกค้า หรือการให้บริการแชทสดที่ตอบสนองอย่างรวดเร็ว

ผู้เชี่ยวชาญมองว่า “ความใส่ใจในรายละเอียดเล็ก ๆ” คือสิ่งที่ทำให้ Chewy แตกต่างจากคู่แข่ง แม้จะไม่มีร้านค้าจริง แต่ก็สามารถสร้างความสัมพันธ์ที่แน่นแฟ้นกับลูกค้าได้

ผลการจัดอันดับ ACSI ปี 2025
Chewy ได้คะแนน 85 (เพิ่มขึ้นจาก 84 ในปี 2024)
Amazon ได้ 83
eBay ได้ 81

ปัจจัยที่ทำให้ Chewy ได้คะแนนสูง
แอปและเว็บไซต์ใช้งานง่าย
การจัดส่งรวดเร็วและแม่นยำ
การบริการลูกค้าแบบ “มีหัวใจ” เช่น ส่งอีการ์ดวันเกิดให้สัตว์เลี้ยง
คำอธิบายสินค้าและภาพประกอบชัดเจน

บริบทของตลาดอีคอมเมิร์ซ
ปี 2024 ยอดขายกว่า 81% ยังมาจากร้านค้าจริง แต่ลดลงจาก 92% เมื่อ 10 ปีก่อน
คาดว่าอีคอมเมิร์ซจะครอง 27% ของยอดขายค้าปลีกทั้งหมดภายในปี 2027
ผู้บริโภคให้ความสำคัญกับความสะดวก ความหลากหลาย และราคาที่คุ้มค่า

https://www.slashgear.com/2008353/best-online-retailer-why-chewy-ranked-number-one/

AerynOS 2025.10 มาแล้ว! ดิสโทรสายทดลองที่กล้าฉีกกรอบ พร้อม GNOME 49.1, KDE 6.5 และการกลับมาของ GNU libstdc++

AerynOS ดิสโทรอิสระที่พัฒนาโดย Ikey Doherty (อดีตผู้สร้าง Solus) ปล่อย snapshot รุ่นใหม่ 2025.10 ที่อัดแน่นด้วยเทคโนโลยีล้ำสมัย ทั้ง GNOME 49.1, KDE Plasma 6.5.1, Linux Kernel 6.16.12 และการเปลี่ยนแปลงสำคัญด้านไลบรารี C++ ที่อาจส่งผลต่อเสถียรภาพของระบบในระยะยาว

AerynOS 2025.10 เป็น snapshot ล่าสุดของดิสโทรที่เน้นความทันสมัยและความยืดหยุ่น โดยในรุ่นนี้มีการเปลี่ยนแปลงสำคัญหลายจุด เช่น:

GNOME 49.1 เป็นเดสก์ท็อปหลักบน live ISO พร้อมปรับปรุง UI และ accessibility
KDE Plasma 6.5.1 ถูกเพิ่มเข้ามาอย่างเป็นทางการ (เริ่มจาก snapshot 2025.08) พร้อม KDE Frameworks 6.19 และ KDE Gear 25.08.2
COSMIC Beta จาก System76 ก็ยังมีให้เลือกติดตั้ง
Linux Kernel 6.16.12 แม้จะหมดอายุแล้ว แต่คาดว่าจะอัปเดตเป็น 6.17 เร็ว ๆ นี้
Mesa 25.2.5 สำหรับกราฟิก stack

เปลี่ยนกลับมาใช้ GNU libstdc++ แทน LLVM libc++ เพื่อแก้บั๊กและลด patch ที่ต้องดูแล โดยเฉพาะบั๊ก Widevine DRM ที่เคยทำให้ Firefox crash

นอกจากนี้ยังมีการอัปเดตซอฟต์แวร์สำคัญหลายตัว เช่น LLVM 21.1.4, FFmpeg 8.0, Wine 10.17, Node.js 22.21.0, systemd 257.10 และ virt-manager 5.1.0

ที่น่าสนใจคือ AerynOS ยังอยู่ในสถานะ “alpha” แต่กลับกล้าใส่เทคโนโลยี cutting-edge ที่แม้แต่ดิสโทรใหญ่ยังไม่กล้าใช้ เช่น การจัดการดิสก์ด้วย Rust, fractional scaling เปิดเป็นค่าเริ่มต้น และระบบติดตั้งใหม่ที่รองรับ dynamic partitioning

ไฮไลต์จาก AerynOS 2025.10
GNOME 49.1 เป็นเดสก์ท็อปหลัก พร้อม UI ใหม่และปรับปรุง accessibility
KDE Plasma 6.5.1 เพิ่มเข้ามาอย่างเป็นทางการ พร้อม KDE Gear 25.08.2
COSMIC Beta ยังมีให้เลือกติดตั้ง
Linux Kernel 6.16.12 (EOL แล้ว) พร้อม Mesa 25.2.5
เปลี่ยนกลับมาใช้ GNU libstdc++ แทน LLVM libc++
แก้บั๊ก Widevine DRM ที่เคยทำให้ Firefox crash
อัปเดตซอฟต์แวร์หลัก เช่น LLVM, FFmpeg, Wine, Node.js, systemd
ฟีเจอร์ที่กำลังพัฒนา:
   • ระบบอัปเดตแพ็กเกจอัตโนมัติ
  • การ rollback ที่ง่ายขึ้น
  • การจัดการดิสก์ด้วย Rust
  • fractional scaling เปิดเป็นค่าเริ่มต้น
  • ตัวติดตั้งระบบใหม่ รองรับ full-disk wipe และ dynamic partitioning

คำเตือนสำหรับผู้ใช้งาน
AerynOS ยังอยู่ในสถานะ alpha ไม่เหมาะกับการใช้งานจริงใน production
Kernel ที่ใช้หมดอายุแล้ว ควรรออัปเดตเป็น 6.17
การเปลี่ยน libstdc++ อาจกระทบ compatibility ของบางแอป
KDE ยังใหม่ใน AerynOS อาจมีบั๊กหรือความไม่เสถียร

https://9to5linux.com/aerynos-2025-10-released-with-gnome-49-1-kde-plasma-6-5-and-gnu-libstdc

แคลิฟอร์เนียออกกฎหมายใหม่! ห้ามใช้ “อุปกรณ์หลอกระบบขับขี่อัตโนมัติ” — ป้องกันอุบัติเหตุจากการแฮกเทคโนโลยีรถ

รัฐแคลิฟอร์เนียประกาศใช้กฎหมาย Senate Bill 1313 อย่างเป็นทางการในเดือนกันยายน 2025 เพื่อห้ามการใช้ “defeat devices” — อุปกรณ์ที่ถูกออกแบบมาเพื่อหลอกระบบตรวจสอบผู้ขับขี่ในรถยนต์ที่มีระบบขับขี่อัตโนมัติระดับ 2 เช่น Tesla Autopilot และ Ford BlueCruise

อุปกรณ์เหล่านี้ เช่น ถ่วงพวงมาลัยหรือบังกล้องตรวจจับใบหน้า ถูกใช้เพื่อหลอกให้รถคิดว่าผู้ขับขี่ยังมีส่วนร่วมอยู่ ทั้งที่จริงแล้วไม่มีใครจับพวงมาลัยหรือมองถนนเลย ซึ่งเสี่ยงต่อการเกิดอุบัติเหตุอย่างมาก

กฎหมายใหม่ไม่เพียงห้ามการใช้งาน แต่ยังครอบคลุมถึงการผลิต โฆษณา และจำหน่ายอุปกรณ์เหล่านี้ด้วย โดยมีบทลงโทษเป็น “infraction” หรือความผิดเล็กน้อย แต่ถือเป็นการส่งสัญญาณชัดเจนว่าแคลิฟอร์เนียเอาจริงกับความปลอดภัยบนท้องถนน

อย่างไรก็ตาม กฎหมายก็มีข้อยกเว้นบางกรณี เช่น:
การใช้เพื่อการซ่อมแซมรถยนต์ตามมาตรฐานความปลอดภัยของผู้ผลิต
การใช้งานที่จำเป็นตามกฎหมาย Americans with Disabilities Act เพื่อช่วยผู้ขับขี่ที่มีความพิการ

กฎหมายใหม่ของรัฐแคลิฟอร์เนีย
ห้ามใช้อุปกรณ์ที่หลอกระบบตรวจสอบผู้ขับขี่ (DMS)
ครอบคลุมการผลิต จำหน่าย และโฆษณา defeat devices
ใช้กับรถที่มีระบบขับขี่อัตโนมัติระดับ 2 เช่น Tesla และ Ford

ตัวอย่างอุปกรณ์ที่ถูกห้าม
ถ่วงพวงมาลัยเพื่อหลอกว่ามีมือจับ
บังกล้องตรวจจับใบหน้าเพื่อหลีกเลี่ยงการเตือน

ข้อยกเว้นตามกฎหมาย
ใช้เพื่อการซ่อมแซมตามมาตรฐานผู้ผลิต
ใช้เพื่อช่วยเหลือผู้ขับขี่ที่มีความพิการตาม ADA

https://www.slashgear.com/2011751/california-self-driving-car-defeat-device-ban/

Examples Of Every Letter Being Silent, With The Exception Of…

You probably already know that English features many, many words with silent letters—letters that appear in the word but aren’t pronounced and often make us wonder what they are even doing there. For example, the letter B in the words debt and thumb. Or whatever the heck is going on in the words colonel, queue, and bourgeoisie.

Even though you’re probably already familiar with silent letters, you might not realize just how many words in English actually use them. To demonstrate just how common these silent letters actually are, we quietly gathered up a list of as many examples of silent letters as we could find.

It should be noted that silent letters often depend on pronunciation and regional accents, which we have noted at points in our list.

Silent A words

The letter A is silent in a bunch of words that include -ea, such as bread, dread, head, thread, and spread. The letter A also remains quiet in a bunch of adverbs that end in -ically, such as basically, stoically, logically, frantically, fanatically, magically, and tragically. A few words also have a silent A at the beginning that doesn’t seem to do much of anything, such as aisle and aesthetic.

Silent B words

The letter B likes to silently follow the letter M at the end of many words, such as in dumb, plumb, crumb, thumb, numb, succumb, lamb, limb, climb, tomb, comb, bomb, and womb. The letter B also seems to also slip in silently before the letter T in words like debt, doubt, and subtle.

Silent C words

When it comes to the letter C, it seems to remain silent when it follows the letter S. There are many examples of this, such as science, scissors, scent, ascent, crescent, descent, descend, disciple, scene, obscene, fluorescent, abscess, fascinate, and muscle.

The silent C also shows up in a few other weird words such as czar, acquire, indict, and yacht. Yacht is so fancy that it even slips a silent H in there too.

Silent D words

The letter D is silent in some words that pair it up with the letter G, as in bridge, ridge, edge, ledge, and hedge. It also doesn’t have much to say in some pronunciations of the words handsome and handkerchief. Lastly, the first D in the word Wednesday seems to have taken the day off.

Silent E words

The letter E quietly resides in the middle of the word vegetable. However, there are tons and tons more silent E‘s out there. The letter E often goes unpronounced at the end of many, many words that include but are certainly not limited to the words imagine, plaque, brute, debate, excite, make, due, true, crime, grace, goose, axe, die, dye, bike, eke, pie, use, toe, cage, dude, mute, candle, and adore.

Silent F words

This one will depend on how you pronounce the word fifth, which has two common pronunciations: one in which both F‘s are pronounced and one in which the second F is not (as if it were spelled “fith”). As far as we know, this silent F pronunciation of fifth is the only example in English of a word with a silent F.

Silent G words

For whatever reason, the letter G likes to stay quiet when it is paired up with the letter N. Examples include gnaw, gnarly, gnostic, gnat, gnash, gnome, champagne, cologne, align, assign, benign, sign, feign, foreign, and reign. The letter G also often keeps quiet when it sees the letter H, as in sigh, high, sight, light, bright, night, fight, though, and thorough.

Silent H words

We have already listed quite a few words with silent Hs but there are plenty more to find. The letter H is sometimes silent when placed at the beginning of words such as hour, heir, honor, herb, homage, and honest. The letter H is silent in many words where it follows the letter C, such as anchor, archive, chaos, character, Christmas, charisma, chemical, choreography, chorus, choir, and echo. The letter H is also silent in words where it follows the letter W, as in when, where, which, why, whine, whistle, and white. Finally, the letter H doesn’t seem to be doing much at all in the words ghost and rhyme.

Silent I words

Compared to the other vowels, the letter I seems to love to be heard. We could only find a few words that feature a silent I, such as business, suit, and fruit.

Silent J words

Based on our, ahem, totally professional research, the only English word to have a silent J is … marijuana. And interestingly, it’s tough to find a language with a silent J. J just loves to be heard.

Silent K words

The letter K is silent at the beginning of lots of words where it is followed by the letter N. Some examples of this include knife, knight, knob, knock, knit, knuckle, knee, kneel, knick-knack, knowledge, know, knot, and knoll.

Silent L words

The letter L is silent in the words including should, could, would, half, calf, chalk, talk, walk, folk, and yolk. The silent L in the word salmon is also pretty fishy.

Silent M words

After looking high and low, the only words we could find with a silent M are ones that begin with mn, such as mnemonic and similarly derived terms, but maybe we just need something to help us remember others.

Silent N words

The letter N seems to be shy around the letter M as it doesn’t speak up in words like autumn, column, condemn, solemn, and hymn.

Silent O words

The letter O is silent in some words that pair it with fellow vowels E and U, such as people, jeopardy, leopard, rough, tough, enough, trouble, and double.

Silent P words

The letter P is often silent in words that pair it with the letter S, as in psalm, psyche, psychology, pseudoscience, pseudonym, and corps. It is also silent in many technical words that include the prefixes pneumato-, pneumano-, and pneumo-, such as pneumonia and pneumatic. The letter P is also silent in a few other oddball words such as raspberry, receipt, and pterodactyl.

Silent Q words

The letter Q mostly makes its presence felt whenever it appears. The word lacquer seems to be the sole example of a word with a silent Q that we could manage to find.

Silent R words

Besides the common pronunciation of the word February that leaves out the first R, the existence (or nonexistence) of silent R’s largely depends on whether you have a rhotic or non-rhotic accent. For example, a person with a non-rhotic Boston accent will likely employ several silent R’s following vowels in the sentence My sister parked her car near Harvard Yard.

Silent S words

The Silent S appears in several different words, including island, isle, aisle, apropos, debris, bourgeois, and viscount.

Silent T words

One pattern we could find for the Silent T occurs when it is paired with the letter L in words like whistle, bristle, thistle, bustle, hustle, and castle. The letter T is also silent in a lot of French loanwords such as ballet, gourmet, rapport, ricochet, buffet, crochet, valet, debut, and beret. Besides that, the silent T appears in a random assortment of other words, such as asthma, mortgage, tsunami, soften, listen, fasten, glisten, and moisten.

Silent U words

U must get nervous around G‘s because it can’t seem to say anything when it comes after them in words like guard, guide, guilt, guitar, guess, disguise, guest, guilt, guise, baguette, dialogue, monologue, league, colleague, rogue, vague, and tongue. You can also find a silent U in words like build, biscuit, circuit, and laugh.

Silent V words

We looked as hard as we could for words with a silent V, but we sadly came up empty. Some sources claim that V is the only letter in English that is never silent, and we couldn’t find any examples to prove that claim wrong. Poetic contractions like e’er and ne’er do cut it right out, though.

Silent W words

The letter W gets tongue-tied around the letter R and is often silent when placed before it in words like wrack, wrench, wreath, wrestle, wrangle, wrist, wrong, wring, wrought, write, writ, wrinkle, wraith, wrap, wrath, wretch, wreck, writhe, wry, wrapper, and playwright. A handful of other words also feature a silent W, such as answer, sword, two, and who.

Silent X words

Unless we made an embarrassing mistake, we are pretty sure the letter X is silent in the words faux and faux pas. As it is in other French-derived words, such as roux and doux and some plurals, like choux and reseaux (the plurals of chou and reseau, respectively).

Silent Y words

The letter Y is another one that depends on pronunciation to be silent. For example, one pronunciation of the word beyond [ bee-ond ] could be considered to contain a silent Y.

Silent Z Words

A handful of French loanwords have that special je ne sais quoi of a silent Z, including rendezvous and laissez-faire.

สงวนลิขสิทธิ์ © 2025 AAKKHRA & Co.

PhantomRaven: มัลแวร์ npm สุดแสบที่ขโมยข้อมูลนักพัฒนาแบบแนบเนียน

แคมเปญมัลแวร์ PhantomRaven แอบแฝงใน npm ด้วยแพ็กเกจปลอมกว่า 126 รายการ ใช้เทคนิคลับ Remote Dynamic Dependency เพื่อขโมยโทเคนและข้อมูลลับของนักพัฒนาโดยไม่ถูกตรวจจับ

ตั้งแต่เดือนสิงหาคม 2025 แคมเปญมัลแวร์ชื่อ PhantomRaven ได้แอบปล่อยแพ็กเกจ npm ปลอมกว่า 126 รายการ ซึ่งถูกดาวน์โหลดไปแล้วกว่า 86,000 ครั้ง จุดประสงค์หลักคือขโมยข้อมูลลับของนักพัฒนา เช่น GitHub credentials, CI/CD tokens และ npm authentication tokens

สิ่งที่ทำให้ PhantomRaven อันตรายคือการใช้ฟีเจอร์ Remote Dynamic Dependency (RDD) ซึ่งอนุญาตให้แพ็กเกจ npm ดึง dependencies จาก URL ภายนอก แทนที่จะใช้ registry ปกติ ทำให้เครื่องมือสแกนความปลอดภัยมองว่าแพ็กเกจเหล่านี้ “ไม่มี dependencies” และปลอดภัย ทั้งที่จริงแล้วโค้ดอันตรายจะถูกดึงมาและรันทันทีเมื่อผู้ใช้ติดตั้ง

แพ็กเกจปลอมเหล่านี้มักมีชื่อคล้ายของจริง เช่น eslint-comments (จริงคือ eslint-plugin-eslint-comments) หรือ unused-imports (จริงคือ eslint-plugin-unused-imports) ซึ่งถูกออกแบบมาให้ AI แนะนำโดยผิดพลาดเมื่อผู้ใช้ถามหาแพ็กเกจในแชตบอตหรือ Copilot

เมื่อโค้ดรัน มัลแวร์จะเริ่มเก็บข้อมูลจากไฟล์ .gitconfig, .npmrc, package.json รวมถึงสแกนหาโทเคนจาก GitHub Actions, GitLab, Jenkins และ CircleCI จากนั้นจะส่งข้อมูลออกผ่าน HTTP GET, POST และ WebSocket เพื่อให้แน่ใจว่าข้อมูลจะหลุดออกไปแม้ในเครือข่ายที่มีไฟร์วอลล์

PhantomRaven คือแคมเปญมัลแวร์ใน npm
ปล่อยแพ็กเกจปลอมกว่า 126 รายการ
ถูกดาวน์โหลดไปแล้วกว่า 86,000 ครั้ง
เริ่มต้นในเดือนสิงหาคม 2025 และยังมีแพ็กเกจที่ยังไม่ถูกลบ

เทคนิค Remote Dynamic Dependency (RDD)
ดึงโค้ดจาก URL ภายนอกแทน registry
ทำให้เครื่องมือสแกนมองว่าไม่มี dependencies
โค้ดอันตรายจะรันทันทีเมื่อติดตั้งผ่าน preinstall script

ข้อมูลที่มัลแวร์พยายามขโมย
อีเมลและข้อมูลจากไฟล์ config
โทเคนจาก GitHub, GitLab, Jenkins, CircleCI
ข้อมูลระบบ เช่น IP, hostname, OS, username

ช่องทางการส่งข้อมูลออก
HTTP GET (ฝังข้อมูลใน URL)
HTTP POST (ส่ง JSON payload)
WebSocket (ใช้ในเครือข่ายที่มีข้อจำกัด)

ความเสี่ยงจากแพ็กเกจปลอม
ชื่อคล้ายของจริง ทำให้ AI แนะนำผิด
ผู้ใช้ติดตั้งโดยไม่รู้ว่าเป็นมัลแวร์
โค้ดดูเหมือน harmless เช่น console.log('Hello, world!') แต่แฝง payload จริงไว้ภายนอก

ความเสี่ยงต่อระบบ CI/CD และข้อมูลลับ
โทเคนและ credentials ถูกขโมยโดยไม่รู้ตัว
ส่งผลกระทบต่อระบบอัตโนมัติและการ deploy
อาจถูกใช้เพื่อเจาะระบบองค์กรหรือ cloud infrastructure

เกร็ดน่ารู้เพิ่มเติม
Remote Dynamic Dependency เป็นฟีเจอร์ที่แทบไม่มีใครใช้ เพราะเสี่ยงต่อความปลอดภัยสูง
Slopsquatting คือเทคนิคใหม่ที่ใช้ AI สร้างชื่อแพ็กเกจปลอมที่ “ดูเหมือนจริง” เพื่อหลอกให้ผู้ใช้ติดตั้ง
นักพัฒนาควรใช้เครื่องมือเช่น npm audit, Snyk, หรือ Socket.dev เพื่อตรวจสอบความปลอดภัยของแพ็กเกจ

https://securityonline.info/phantomraven-126-malicious-npm-packages-steal-developer-tokens-and-secrets-using-hidden-dependencies/

“uv” เครื่องมือเปลี่ยนโลก Python ที่นักพัฒนาไม่ควรพลาด

ลองจินตนาการว่า...การติดตั้ง Python, จัดการ virtual environment และแก้ dependency conflict ไม่ใช่เรื่องยุ่งยากอีกต่อไป! นั่นคือสิ่งที่ “uv” ทำได้ และทำได้ดีมากจนกลายเป็นเครื่องมือที่หลายคนยกให้เป็น “สิ่งที่ดีที่สุดที่เกิดขึ้นกับ ecosystem ของ Python ในรอบทศวรรษ”

Dr. Emily L. Hunt นักดาราศาสตร์และนักสื่อสารวิทยาศาสตร์ ได้เขียนบล็อกเล่าประสบการณ์ตรงว่า “uv” ไม่เพียงแค่เร็วและง่าย แต่ยังปลอดภัยและมีประสิทธิภาพสูง โดยเฉพาะเมื่อทำงานร่วมกับทีมที่ใช้ระบบปฏิบัติการต่างกัน

นอกจากความสามารถพื้นฐานอย่างติดตั้ง Python และแพ็กเกจแล้ว “uv” ยังมีฟีเจอร์เด็ดอย่าง:
การสร้างโปรเจกต์ใหม่ด้วย uv init
การซิงค์ environment ด้วย uv sync
การเพิ่ม dependency ด้วย uv add
การ pin เวอร์ชัน Python ด้วย uv python pin
การรันเครื่องมือแบบ one-off ด้วย uvx

และทั้งหมดนี้เขียนด้วยภาษา Rust ทำให้เร็วและเสถียรอย่างน่าทึ่ง

นอกเหนือจากเนื้อหาในบล็อก ยังมีข้อมูลเสริมที่น่าสนใจ:
“uv” เป็นผลงานของ Astral ผู้สร้างเครื่องมือยอดนิยมอย่าง Ruff
รองรับการทำงานบน GitHub Actions และ production server ได้อย่างดีเยี่ยม
ใช้ pyproject.toml ซึ่งเป็นมาตรฐานใหม่ของ Python packaging ที่กำลังมาแรงแทน requirements.txt

https://emily.space/posts/251023-uv

WP Freeio CVE-2025-11533: เมื่อการสมัครสมาชิกกลายเป็นช่องทางยึดเว็บ

Wordfence เตือนภัยด่วน: ช่องโหว่ WP Freeio เปิดทางให้แฮกเกอร์ยึดเว็บไซต์ WordPress ได้ทันที ปลั๊กอิน WP Freeio ถูกพบช่องโหว่ร้ายแรง CVE-2025-11533 ที่เปิดโอกาสให้ผู้โจมตีสร้างบัญชีผู้ดูแลระบบโดยไม่ต้องยืนยันตัวตน ส่งผลกระทบต่อเว็บไซต์ WordPress จำนวนมากทั่วโลก
Wordfence Threat Intelligence รายงานช่องโหว่ระดับวิกฤต (CVSS 9.8) ในปลั๊กอิน WP Freeio ซึ่งเป็นส่วนหนึ่งของธีม Freeio ที่ขายบน ThemeForest โดยช่องโหว่นี้อยู่ในฟังก์ชัน process_register() ของคลาส WP_Freeio_User ที่ใช้จัดการการสมัครสมาชิก

ปัญหาเกิดจากการที่ฟังก์ชันนี้อนุญาตให้ผู้ใช้กำหนด role ได้เองผ่านฟิลด์ $_POST['role'] โดยไม่มีการตรวจสอบ ทำให้ผู้โจมตีสามารถระบุ role เป็น “administrator” และสร้างบัญชีผู้ดูแลระบบได้ทันที

Wordfence ตรวจพบการโจมตีทันทีหลังการเปิดเผยช่องโหว่เมื่อวันที่ 10 ตุลาคม 2025 และบล็อกการโจมตีไปแล้วกว่า 33,200 ครั้ง

ตัวอย่างคำขอที่ใช้โจมตี:
POST /?wpfi-ajax=wp_freeio_ajax_register&action=wp_freeio_ajax_register
Content-Type: application/x-www-form-urlencoded
role=administrator&email=attacker@gmail.com&password=xxx&confirmpassword=xxx

เมื่อได้สิทธิ์ผู้ดูแลระบบแล้ว ผู้โจมตีสามารถ:
อัปโหลดปลั๊กอินหรือธีมที่มี backdoor
แก้ไขโพสต์หรือหน้าเว็บเพื่อ redirect ไปยังเว็บไซต์อันตราย
ฝังสแปมหรือมัลแวร์ในเนื้อหา

IP ที่พบว่ามีการโจมตีจำนวนมาก เช่น:
35.178.249.28
13.239.253.194
3.25.204.16
18.220.143.136

Wordfence แนะนำให้ผู้ดูแลระบบอัปเดต WP Freeio เป็นเวอร์ชัน 1.2.22 หรือใหม่กว่าโดยด่วน


https://securityonline.info/wordfence-warns-of-active-exploits-targeting-critical-privilege-escalation-flaw-in-wp-freeio-cve-2025-11533/

ช่องโหว่ CVE-2025-12080 บน Wear OS เปิดทางให้แอปใดก็ได้ส่ง SMS/MMS/RCS โดยไม่ต้องขอสิทธิ์ — มี PoC แล้ว

ช่องโหว่ CVE-2025-12080 ถูกค้นพบในแอป Google Messages บน Wear OS ซึ่งเปิดให้แอปใดก็ตามที่ติดตั้งอยู่สามารถส่งข้อความ SMS, MMS หรือ RCS ไปยังเบอร์ใดก็ได้ โดยไม่ต้องขอสิทธิ์หรือยืนยันจากผู้ใช้ — ทำให้เกิดความเสี่ยงด้านความเป็นส่วนตัวและการโจมตีแบบลับ

เกิดจากการจัดการ intent ที่ผิดพลาดใน Google Messages บน Wear OS
เมื่อ Google Messages ถูกตั้งเป็นแอปส่งข้อความหลัก ระบบจะจัดการ ACTION_SENDTO ที่ใช้ URI เช่น sms:, smsto:, mms:, mmsto: โดยไม่แสดงหน้าจอยืนยัน
แอปใดก็ตามที่สามารถเรียก intent นี้ได้ จะสามารถส่งข้อความทันทีโดยไม่ต้องมีสิทธิ์ SEND_SMS

พฤติกรรมนี้เปลี่ยน Google Messages ให้กลายเป็น “confused deputy”
คือแอปที่มีสิทธิ์สูงแต่ถูกใช้โดยแอปที่ไม่มีสิทธิ์เพื่อทำงานอันตราย
แอปที่ดู harmless เช่น แอปฟิตเนสหรือพยากรณ์อากาศ อาจถูกใช้เป็นช่องทางโจมตี

มี PoC (proof-of-concept) เผยแพร่แล้วบน GitHub
ทดสอบบน Pixel Watch 3 ที่ใช้ Wear OS (Android 15) และ Google Messages เวอร์ชัน 2025_0225_RC03.wear_dynamic
แอป PoC จะส่งข้อความทันทีเมื่อเปิด โดยไม่แสดงหน้าจอยืนยันใด ๆ

การโจมตีไม่ต้องใช้สิทธิ์พิเศษหรือโค้ดอันตราย
แอปไม่ต้องมี permission ใด ๆ ก็สามารถส่งข้อความได้
ทำให้การตรวจจับและป้องกันทำได้ยาก

ช่องโหว่นี้มีผลกระทบกว้าง เพราะ Google Messages เป็นแอปหลักบน Wear OS
อุปกรณ์ส่วนใหญ่ไม่มีทางเลือกอื่นในการส่งข้อความ
ทำให้ผู้ใช้ทั่วไปเสี่ยงต่อการถูกโจมตีโดยไม่รู้ตัว

แอปใดก็ได้สามารถส่งข้อความโดยไม่ต้องขอสิทธิ์
เสี่ยงต่อการถูกใช้ส่งข้อความไปยังเบอร์พรีเมียม, phishing หรือ C2 server
ผู้ใช้จะไม่รู้เลยว่าเกิดการส่งข้อความ

การติดตั้งแอปจากแหล่งที่ไม่ปลอดภัยอาจเปิดช่องให้ถูกโจมตี
แอปที่ดูปลอดภัยอาจมีโค้ดเรียก intent ที่ใช้ช่องโหว่นี้
ควรหลีกเลี่ยงการติดตั้งแอปจากแหล่งนอก Play Store

นักพัฒนา Wear OS ควรหลีกเลี่ยงการใช้ intent แบบนี้จนกว่าจะมีแพตช์
การใช้ ACTION_SENDTO โดยไม่ตรวจสอบอาจทำให้แอปถูกมองว่าเป็นภัย
ควรรอการแก้ไขจาก Google หรือใช้วิธีอื่นในการส่งข้อความ

https://securityonline.info/wear-os-messages-flaw-cve-2025-12080-allows-unprivileged-apps-to-send-sms-rcs-without-permission-poc-available/

"Microsoft Edge เปิดตัว Copilot Actions และ Journeys ยกระดับการท่องเว็บด้วย AI อัจฉริยะ"

ไมโครซอฟท์กำลังยกระดับประสบการณ์การใช้งานเบราว์เซอร์ Edge ด้วยการเปิดตัวฟีเจอร์ใหม่สองตัวในโหมด Copilot ได้แก่ Copilot Actions และ Journeys ซึ่งเป็นการผสานพลังของ AI เข้ากับการท่องเว็บอย่างลึกซึ้งและชาญฉลาดยิ่งขึ้น

ฟีเจอร์แรก Copilot Actions ช่วยให้ผู้ใช้สามารถสั่งงานผ่านข้อความหรือเสียง เช่น “เช็คอีเมลให้หน่อย” หรือ “จองร้านอาหารให้หน่อย” แล้ว Copilot จะดำเนินการให้โดยอัตโนมัติ ตั้งแต่เปิดเว็บไซต์ ล็อกอิน กรอกฟอร์ม ไปจนถึงทำงานข้ามเว็บไซต์ได้เลย

อีกฟีเจอร์คือ Journeys ซึ่งจะจัดระเบียบประวัติการท่องเว็บของผู้ใช้ตามหัวข้อหรือโปรเจกต์ เช่น ถ้าเคยค้นหาข้อมูลเกี่ยวกับการวางแผนเที่ยวญี่ปุ่นไว้ แล้วกลับมาเปิดอีกครั้ง Journeys จะเสนอข้อมูลที่เกี่ยวข้องให้ทันที พร้อมแนะนำสิ่งที่อาจสนใจต่อเนื่องจากพฤติกรรมการใช้งานที่ผ่านมา

ทั้งสองฟีเจอร์นี้ยังอยู่ในช่วงทดลองใช้เฉพาะในสหรัฐฯ และผู้ใช้สามารถควบคุมการเปิด-ปิดได้ตลอดเวลา โดยไมโครซอฟท์เน้นย้ำเรื่องความเป็นส่วนตัวและความโปร่งใสในการเข้าถึงข้อมูล

นอกจากนี้ ยังมีข้อมูลน่าสนใจจากวงการเบราว์เซอร์ AI ที่กำลังร้อนแรง เช่น Perplexity เปิดตัว Comet และ OpenAI ก็มี ChatGPT Atlas ที่เน้นการใช้งานร่วมกับเว็บเบราว์เซอร์เช่นกัน แสดงให้เห็นว่า “AI + เบราว์เซอร์” กำลังกลายเป็นเทรนด์ใหม่ที่ทุกค่ายกำลังเร่งพัฒนา

ฟีเจอร์ใหม่ใน Microsoft Edge
Copilot Actions ช่วยสั่งงานผ่านข้อความหรือเสียง เช่น เปิดเว็บ เช็คเมล จองร้านอาหาร
Journeys จัดระเบียบประวัติการท่องเว็บตามหัวข้อ พร้อมแนะนำสิ่งที่เกี่ยวข้อง

การทำงานของ Copilot
สามารถทำงานข้ามเว็บไซต์ เช่น ล็อกอิน กรอกฟอร์ม และดำเนินการอัตโนมัติ
ใช้ AI วิเคราะห์พฤติกรรมการใช้งานเพื่อให้คำแนะนำที่ตรงใจ

ความเป็นส่วนตัวและการควบคุม
ผู้ใช้สามารถเปิดหรือปิดฟีเจอร์ได้ตลอดเวลา
มีการแสดงสัญลักษณ์ชัดเจนเมื่อมีการเข้าถึงข้อมูลส่วนตัว

สถานะการใช้งาน
ฟีเจอร์ยังอยู่ในช่วงทดลองใช้ในสหรัฐฯ เท่านั้น
มีแผนขยายการใช้งานไปยังประเทศอื่นในอนาคต

แนวโน้มของเบราว์เซอร์ AI
Perplexity เปิดตัว Comet และ OpenAI มี ChatGPT Atlas
การผสาน AI กับเบราว์เซอร์กำลังกลายเป็นเทรนด์ใหม่ในวงการเทคโนโลยี

ข้อควรระวังในการใช้งาน AI บนเบราว์เซอร์
การให้สิทธิ์ AI เข้าถึงข้อมูลส่วนตัวควรทำด้วยความระมัดระวัง
ควรตรวจสอบการตั้งค่าความเป็นส่วนตัวอย่างสม่ำเสมอ

https://securityonline.info/beyond-chatbots-microsoft-edge-unveils-new-ai-features-for-automated-browsing/

“บั๊กเดียวเปลี่ยนชีวิต! เมื่อ PyTorch สอนมากกว่าหลายปีที่ใช้งาน”

ลองจินตนาการว่าคุณกำลังเทรนโมเดล deep learning บน MacBook ด้วย PyTorch แล้วอยู่ดีๆ loss ก็หยุดนิ่งไม่ขยับ ทั้งที่คุณมั่นใจว่าโค้ดไม่มีปัญหา… นี่คือจุดเริ่มต้นของการผจญภัยของ Elana Simon นักวิจัยจาก Stanford ที่ค้นพบว่าไม่ใช่แค่ hyperparameter ที่ผิด แต่เป็นบั๊กลึกใน PyTorch ที่ซ่อนอยู่ในระดับ kernel บน Apple Silicon GPU!

เธอเริ่มจากการสงสัยตัวเอง ลองปรับทุกอย่างที่คิดได้ ตั้งแต่ learning rate ไปจนถึง auxiliary loss แต่ encoder weights กลับไม่ขยับเลยแม้แต่นิดเดียว ทั้งที่ decoder weights กลับอัปเดตตามปกติ สุดท้ายเธอพบว่า optimizer Adam บน MPS (Metal Performance Shaders) มีปัญหากับ tensor ที่ไม่ contiguous ซึ่งทำให้บาง operation อย่าง addcmul_() และ addcdiv_() ไม่อัปเดตค่าเลยแม้จะคำนวณเสร็จแล้ว!

การแก้ปัญหานี้ไม่ใช่แค่การเรียก .contiguous() แต่ยังต้องเข้าใจการทำงานของ kernel, memory layout, และ dispatch system ของ PyTorch อย่างลึกซึ้ง ซึ่งเธอได้เรียนรู้ทั้งหมดจากการไล่ debug ทีละขั้นตอน และสุดท้ายก็สามารถแก้บั๊กได้เอง พร้อมส่ง pull request ไปยัง PyTorch repo!

นอกจากนั้น เธอยังพบว่า operation อื่นๆ เช่น random_() ก็มีบั๊กแบบเดียวกัน และทั้งหมดนี้เกิดจาก abstraction ที่ “รั่ว” ของ Placeholder ที่ไม่รู้ว่าตัวเองกำลังจัดการกับ output tensor หรือ input tensor

เรื่องนี้ไม่ใช่แค่การแก้บั๊ก แต่เป็นบทเรียนสำคัญในการเข้าใจระบบที่เราใช้งานอยู่ และเป็นแรงบันดาลใจให้ใครหลายคนกล้าลงลึกเพื่อเข้าใจสิ่งที่อยู่เบื้องหลัง framework ที่เราใช้ทุกวัน

ปัญหาเริ่มต้นจาก loss ที่ไม่ลดลง
เกิดขึ้นกับ encoder weights ที่ไม่อัปเดตเลย

การตรวจสอบพบว่า gradients มีอยู่จริง
encoder มี gradient ขนาดใหญ่และไม่เป็น NaN

Optimizer Adam เป็นต้นเหตุ
encoder weights ไม่อัปเดตเมื่อใช้ Adam แต่ทำงานปกติเมื่อใช้ SGD

การตรวจสอบ state ของ Adam พบว่า exp_avg_sq เป็นศูนย์
ทั้งที่ควรมีค่าเพราะ gradients ไม่เป็นศูนย์

การเปลี่ยนไปใช้ float64 ทำให้ปัญหาหายไป
แต่จริงๆ แล้วเป็นเพราะเปลี่ยนจาก MPS ไปใช้ CPU โดยไม่ตั้งใจ

ปัญหาเกิดจาก device-specific kernel บน MPS
บาง operation ไม่สามารถเขียนค่าลงใน non-contiguous tensor ได้

การแก้ไขคือการทำ tensor ให้ contiguous ก่อนใช้งาน
โดยเรียก .contiguous() ก่อน optimizer step

การตรวจสอบ source code พบว่า operation บางตัวไม่เช็ค contiguity
เช่น addcmul_() และ addcdiv_() บน MPS ไม่ทำ copy-back

การแก้ไขใน PyTorch v2.4 ได้แก้ปัญหานี้แล้ว
โดยเพิ่มขั้นตอน copy-back สำหรับ non-contiguous output

macOS 15 รองรับ non-contiguous tensor โดยตรง
ลดความจำเป็นในการ workaround ด้วยการ copy

https://elanapearl.github.io/blog/2025/the-bug-that-taught-me-pytorch/

“เมื่อใบเสร็จกลายเป็นช่องทางสื่อสาร – โปรเจกต์สุดแหวกที่เปิดให้คนแปลกหน้าส่งข้อความถึงโต๊ะทำงาน”

Andrew Schmelyun นักพัฒนาเว็บสายสร้างสรรค์ ได้เปิดโปรเจกต์สุดแหวกแนวที่ผสมผสานโลกดิจิทัลกับโลกจริงอย่างลงตัว เขาเปิดให้คนแปลกหน้าทั่วโลกส่งข้อความถึงเขาแบบ “ไร้ตัวตน” ผ่านเว็บไซต์ที่เชื่อมต่อกับเครื่องพิมพ์ใบเสร็จบนโต๊ะทำงานของเขาโดยตรง

แรงบันดาลใจมาจากเพื่อนของเขาที่มีระบบส่งข้อความไปยังโทรศัพท์มือถือ แต่ Andrew ต้องการสิ่งที่ “จับต้องได้” มากกว่า จึงใช้เครื่องพิมพ์ใบเสร็จ Epson TM-T88IV ที่เคยใช้ในโปรเจกต์อื่น ๆ มาเป็นช่องทางรับข้อความ

เขาสร้างเว็บไซต์ด้วย Laravel บน Raspberry Pi ที่เชื่อมต่อกับเครื่องพิมพ์โดยตรงผ่านพอร์ต USB และใช้คำสั่ง ESC/POS ในการสั่งพิมพ์ข้อความ โดยมีระบบตรวจสอบความยาวและตัวอักษรเพื่อให้แน่ใจว่าข้อความจะพิมพ์ออกมาได้อย่างถูกต้อง

หลังเปิดให้ใช้งานผ่าน Cloudflare Tunnel เขาได้รับข้อความมากกว่า 1,000 ฉบับจากทั่วโลก ทั้ง ASCII art, บทกวี, มุกตลก, และคำทักทายจากประเทศต่าง ๆ จนเขาตัดสินใจซื้อแผนที่โลกและปักหมุดตามข้อความที่ได้รับ

แนวคิดของโปรเจกต์
เปิดให้คนแปลกหน้าส่งข้อความผ่านเว็บไซต์ไปยังเครื่องพิมพ์ใบเสร็จที่โต๊ะทำงาน
สร้างประสบการณ์การสื่อสารแบบ “จับต้องได้” จากโลกออนไลน์

ฮาร์ดแวร์ที่ใช้
เครื่องพิมพ์ Epson TM-T88IV แบบ thermal ไม่ต้องใช้หมึก
เชื่อมต่อผ่าน Raspberry Pi 4 ด้วย USB
ใช้ไฟล์ /dev/usb/lp0 เป็นช่องทางส่งข้อมูลไปยังเครื่องพิมพ์

การพัฒนาเว็บไซต์
ใช้ Laravel framework บน Raspberry Pi
ตรวจสอบข้อความก่อนพิมพ์ เช่น ความยาว ตัวอักษรพิเศษ และ transaction number
ใช้คำสั่ง ESC/POS ในการจัดรูปแบบและสั่งพิมพ์

การเปิดให้ใช้งาน
โฮสต์เว็บไซต์บน Raspberry Pi โดยตรง
ใช้ Cloudflare Tunnel เพื่อเปิดให้เข้าถึงจากอินเทอร์เน็ต
รองรับ HTTPS และ DNS โดยอัตโนมัติ

ปฏิกิริยาจากผู้ใช้งาน
ได้รับข้อความมากกว่า 1,000 ฉบับจากทั่วโลก
มีข้อความจาก 40 ประเทศ พร้อมปักหมุดบนแผนที่โลก
ผู้คนชื่นชอบความเรียบง่ายและความเป็นมนุษย์ของการสื่อสารผ่านใบเสร็จ

https://aschmelyun.com/blog/i-invited-strangers-to-message-me-through-a-receipt-printer/

สงครามค้นหายุคใหม่: AI กำลังเปลี่ยนโฉมการท่องเว็บ และท้าทายอำนาจของ Google

ในยุคที่ปัญญาประดิษฐ์กลายเป็นผู้ช่วยประจำตัวของผู้คนทั่วโลก การค้นหาข้อมูลบนอินเทอร์เน็ตก็ไม่เหมือนเดิมอีกต่อไป บทความจาก The Star เผยว่า “การค้นหาออนไลน์” กำลังกลายเป็นสมรภูมิใหม่ของบริษัทยักษ์ใหญ่ด้าน AI ที่พยายามเปลี่ยนวิธีที่ผู้คนเข้าถึงข้อมูล และท้าทายอำนาจของ Google Chrome ที่ครองตลาดมากกว่า 70%

บริษัทอย่าง OpenAI, Microsoft, Perplexity และ Dia ต่างเปิดตัว “เบราว์เซอร์ AI” ที่สามารถค้นหาข้อมูล วิเคราะห์ และดำเนินการแทนผู้ใช้ได้โดยไม่ต้องพิมพ์คำค้นหาแบบเดิมอีกต่อไป เช่น Atlas ของ OpenAI สามารถสร้างรายการซื้อของตามเมนูและจำนวนแขกได้ทันทีจากคำสั่งเดียว

แม้ Google จะมีฟีเจอร์ AI Overviews และโหมด AI Search ที่ใช้ reasoning และ multimodal แต่ก็ยังไม่ถึงขั้น “agentic AI” ที่สามารถทำงานแทนผู้ใช้ได้อย่างเต็มรูปแบบ

สรุปประเด็นสำคัญจากบทความ

1️⃣ การเปลี่ยนแปลงของการค้นหาออนไลน์
แนวโน้มใหม่
เบราว์เซอร์ AI สามารถค้นหาและดำเนินการแทนผู้ใช้ได้
ไม่ใช่แค่ตอบคำถาม แต่สามารถจัดการงาน เช่น จองร้านอาหารหรือวางแผนการเดินทาง
เปลี่ยนจาก “search engine” เป็น “action engine”

คำเตือน
ผู้ใช้อาจพึ่งพา AI มากเกินไปโดยไม่ตรวจสอบข้อมูล
ความผิดพลาดจาก AI อาจนำไปสู่การตัดสินใจที่ไม่ถูกต้อง

2️⃣ ผู้เล่นหลักในสมรภูมิ AI Search
เบราว์เซอร์ AI ที่เปิดตัวแล้ว
Atlas จาก OpenAI
Comet จาก Perplexity
Copilot-enabled Edge จาก Microsoft
Dia และ Neon จากผู้พัฒนารายใหม่

คำเตือน
บางเบราว์เซอร์ยังอยู่ในช่วงทดลอง อาจมีข้อจำกัดด้านความปลอดภัย
การรวบรวมข้อมูลผู้ใช้เพื่อปรับปรุง AI อาจกระทบความเป็นส่วนตัว

3️⃣ จุดแข็งและจุดอ่อนของ Google
จุดแข็งของ Google
Chrome ครองตลาดเบราว์เซอร์มากกว่า 70%
Google Search ยังเป็นเครื่องมือหลักในการค้นหาข้อมูล
มีฟีเจอร์ AI Overviews และโหมด AI Search

จุดอ่อนที่ถูกท้าทาย
ยังไม่เข้าสู่ระดับ “agentic AI” ที่ทำงานแทนผู้ใช้ได้
คู่แข่งสามารถรวบรวมข้อมูลจากการใช้งาน AI เพื่อพัฒนาโมเดลได้เร็วกว่า

4️⃣ ความเห็นจากผู้เชี่ยวชาญ
มุมมองจากนักวิเคราะห์
Avi Greengart: “AI acting in the browser makes sense เพราะแอปส่วนใหญ่ทำงานผ่านเบราว์เซอร์อยู่แล้ว”
Evan Schlossman: “AI กำลังควบคุมอินเทอร์เฟซของผู้ใช้ เพื่อ streamline ประสบการณ์”
Thomas Thiele: “การรวมข้อมูลจาก ChatGPT และ Atlas อาจสร้าง Google ใหม่”

คำเตือน
การควบคุมอินเทอร์เฟซโดย AI อาจทำให้ผู้ใช้เสียอำนาจในการเลือก
การรวบรวมข้อมูลมากเกินไปอาจนำไปสู่การละเมิดสิทธิส่วนบุคคล

https://www.thestar.com.my/tech/tech-news/2025/10/24/online-search-a-battleground-for-ai-titans

DNS ระเบิดเวลา: ช่องโหว่ร้ายแรงใน BIND 9 เสี่ยงโจมตีแบบ Cache Poisoning และ DoS

ถ้าคุณดูแลระบบ DNS ด้วย BIND 9 อยู่ล่ะก็ ข่าวนี้คือสัญญาณเตือนภัยไซเบอร์ที่คุณไม่ควรมองข้าม! Internet Systems Consortium (ISC) ได้ออกแพตช์อุดช่องโหว่ร้ายแรงถึง 3 รายการใน BIND 9 ซึ่งอาจเปิดทางให้แฮกเกอร์โจมตีแบบ cache poisoning และทำให้ระบบล่มได้แบบไม่ต้องยืนยันตัวตน

ช่องโหว่ที่ร้ายแรงที่สุดคือ CVE-2025-40780 ซึ่งเกิดจากการใช้ pseudo-random number generator ที่ไม่ปลอดภัยในการเลือก source port และ query ID ทำให้แฮกเกอร์สามารถเดา transaction ID ได้ และส่งข้อมูลปลอมเข้าไปใน cache ของ DNS resolver ได้สำเร็จ

อีกช่องโหว่หนึ่งคือ CVE-2025-40778 ที่เกิดจากการที่ BIND ยอมรับ resource records ที่ไม่ได้ร้องขอใน DNS response มากเกินไป ทำให้แฮกเกอร์สามารถแทรกข้อมูลปลอมเข้าไปใน cache ได้เช่นกัน

ช่องโหว่สุดท้ายคือ CVE-2025-8677 ที่สามารถทำให้ CPU ของเซิร์ฟเวอร์หมดแรงได้ ด้วยการส่ง DNSKEY records ที่ถูกออกแบบมาอย่างเจาะจงให้ระบบทำงานหนักจนล่ม

แม้ช่องโหว่เหล่านี้จะไม่กระทบกับ authoritative servers แต่ recursive resolvers กลับตกอยู่ในความเสี่ยงสูง และสามารถถูกโจมตีจากระยะไกลได้ทันทีหากยังไม่ได้อัปเดตแพตช์

ช่องโหว่ที่ค้นพบใน BIND 9
CVE-2025-40780: ใช้ pseudo-random ที่ไม่ปลอดภัย ทำให้เดา query ID ได้
CVE-2025-40778: ยอมรับ resource records ที่ไม่ได้ร้องขอมากเกินไป
CVE-2025-8677: ส่ง DNSKEY records ที่ทำให้ CPU ทำงานหนักจนล่ม

เวอร์ชันที่ได้รับผลกระทบ
BIND 9.11.0 → 9.16.50
BIND 9.18.0 → 9.18.39
BIND 9.20.0 → 9.20.13
BIND 9.21.0 → 9.21.12

วิธีการโจมตี
ไม่ต้องยืนยันตัวตน
ส่งข้อมูลปลอมผ่าน DNS response
ใช้ zone ที่ออกแบบมาให้ทำให้ CPU ทำงานหนัก

การแก้ไขจาก ISC
ออกแพตช์ใหม่: 9.18.41, 9.20.15, 9.21.14
แนะนำให้อัปเดตทันที

คำเตือนสำหรับผู้ดูแลระบบ DNS
หากยังไม่อัปเดต BIND อาจถูกโจมตีจากระยะไกลได้ทันที
Cache poisoning อาจทำให้ผู้ใช้ถูก redirect ไปยังเว็บไซต์ปลอม
การโจมตีแบบ CPU exhaustion อาจทำให้ DNS resolver ล่มทั้งระบบ

คำแนะนำเพิ่มเติม
ตรวจสอบว่าใช้เวอร์ชันที่ได้รับผลกระทบหรือไม่
อัปเดตเป็นเวอร์ชันที่ได้รับการแก้ไขโดยเร็ว
เฝ้าระวังการเปลี่ยนแปลงใน DNS cache และการทำงานของ CPU

https://securityonline.info/isc-patches-multiple-high-severity-bind-vulnerabilities-enabling-cache-poisoning-and-denial-of-service-attacks/