Docker เสี่ยงทะลุออกจากคอนเทนเนอร์: พบช่องโหว่ runC สามจุดที่อาจเปิดทางสู่ระบบหลัก

ผู้เชี่ยวชาญด้านความปลอดภัยเตือนว่า Docker และ Kubernetes ที่ใช้ runtime “runC” อาจมีช่องโหว่ร้ายแรงถึงสามจุด ซึ่งสามารถถูกโจมตีเพื่อหลบหนีออกจากคอนเทนเนอร์และเข้าถึงระบบโฮสต์ด้วยสิทธิ์ระดับผู้ดูแล (admin privileges) โดยช่องโหว่เหล่านี้ถูกค้นพบในเวอร์ชัน 1.2.7, 1.3.2 และ 1.4.0-rc.2 และได้รับการแก้ไขแล้วในเวอร์ชัน 1.2.8, 1.3.3 และ 1.4.0-rc.3

แม้จะยังไม่มีรายงานการโจมตีจริงในขณะนี้ แต่ผู้เชี่ยวชาญแนะนำให้ผู้ดูแลระบบรีบอัปเดตและใช้มาตรการป้องกัน เช่น การเปิดใช้งาน user namespaces และใช้ rootless containers เพื่อจำกัดผลกระทบจากการโจมตี

พบช่องโหว่ร้ายแรงใน runC runtime
ช่องโหว่ CVE-2025-31133, CVE-2025-52565 และ CVE-2025-52881
สามารถถูกใช้ร่วมกันเพื่อหลบหนีออกจากคอนเทนเนอร์และเข้าถึงระบบโฮสต์

ช่องโหว่มีผลกับ Docker/Kubernetes ที่ใช้ runC
ส่งผลต่อเวอร์ชัน 1.2.7, 1.3.2 และ 1.4.0-rc.2
ได้รับการแก้ไขแล้วในเวอร์ชัน 1.2.8, 1.3.3 และ 1.4.0-rc.3

วิธีการโจมตีต้องใช้การตั้งค่า custom mount
อาจเกิดจาก container image หรือ Dockerfile ที่ถูกออกแบบมาอย่างประสงค์ร้าย
ต้องมีสิทธิ์ในการเริ่มคอนเทนเนอร์ด้วยการตั้งค่าเฉพาะ

ยังไม่มีรายงานการโจมตีจริง
แต่ผู้เชี่ยวชาญแนะนำให้ดำเนินการป้องกันทันที
การใช้ user namespaces และ rootless containers ช่วยลดความเสี่ยงได้มาก

คำเตือน: ช่องโหว่สามารถนำไปสู่ container escape
ผู้โจมตีสามารถเข้าถึงระบบโฮสต์ด้วยสิทธิ์ระดับ root
เสี่ยงต่อการถูกควบคุมระบบหรือขโมยข้อมูลสำคัญ

คำเตือน: การไม่อัปเดต runC อาจเปิดช่องให้โจมตี
เวอร์ชันเก่าไม่ปลอดภัยและควรหลีกเลี่ยง
การใช้ default configuration โดยไม่ตรวจสอบอาจเพิ่มความเสี่ยง

https://www.techradar.com/pro/security/some-docker-containers-may-not-be-as-secure-as-they-like-experts-warn

GStreamer 1.26.8 มาแล้ว! ยกระดับการเล่นวิดีโอ HDR บน Showtime พร้อมฟีเจอร์ใหม่เพียบ

เวอร์ชันล่าสุดของ GStreamer 1.26.8 ได้เปิดตัวเมื่อวันที่ 10 พฤศจิกายน 2025 โดยเป็นการอัปเดตครั้งที่ 8 ในซีรีส์ 1.26 ของเฟรมเวิร์กมัลติมีเดียโอเพ่นซอร์สยอดนิยม ซึ่งคราวนี้มาพร้อมการปรับปรุงการเล่นวิดีโอ HDR บน GNOME Showtime และฟีเจอร์ใหม่ที่ช่วยให้การจัดการสื่อมีประสิทธิภาพมากขึ้น

การปรับปรุง HDR บน Showtime
แก้ปัญหาสีซีดเมื่อเปิดซับไตเติลในวิดีโอ HDR

ฟีเจอร์ใหม่ใน GStreamer 1.26.8
รองรับ Rust สำหรับ Linux 32-bit ผ่าน Cerbero package builder
ปรับปรุงการโฆษณาค่าความหน่วง (latency) ใน x265 encoder
เพิ่มประสิทธิภาพสำหรับ elements ที่มีหลาย source pads
รองรับ stream ที่ไม่มี LOAS configuration บ่อยใน AAC parser
แก้ปัญหาเฟรมซ้ำใน AV1 parser
ปรับปรุงการคำนวณ datarate และการเขียน substream ใน fmp4mux
แก้ไขการจัดการ ID3 tag และ PUSI flag ใน mpegtsmux
แก้ไขการ parsing ของ show-existing-frame flag ใน rtpvp9pay

การแก้ไขบั๊กและปรับปรุงอื่นๆ
แก้ปัญหา glitch ใน gtk4painablesink สำหรับวิดีโอ sub-sampled ขนาดแปลก
ปรับปรุงการจัดการ marker bit ใน rtpbaseaudiopay2
ปรับปรุงการตรวจสอบอุปกรณ์ V4L2
เพิ่มการรองรับ pads แบบ ‘sink_%u’ ใน splitmuxsink สำหรับ fmp4
ปรับลำดับการล็อกใน webrtcsink เพื่อป้องกัน deadlock
เพิ่มตัวเลือก auto_plugin_features ใน gst-plugins-rs meson build

คำเตือนสำหรับนักพัฒนา
หากใช้ GStreamer กับ stream ที่มีการตั้งค่าซับซ้อน อาจต้องตรวจสอบ compatibility ใหม่
การเปลี่ยนแปลงใน encoder และ parser อาจกระทบกับ pipeline เดิมที่ใช้งานอยู่

https://9to5linux.com/gstreamer-1-26-8-improves-hdr-video-playback-for-the-showtime-video-player

“WatchGuard Firebox เจอช่องโหว่ CVE-2025-59396 แฮกเกอร์เข้าระบบได้ทันทีผ่าน SSH ด้วยรหัสเริ่มต้น!”

นักวิจัยด้านความปลอดภัย Chanakya Neelarapu และ Mark Gibson ได้ค้นพบช่องโหว่ร้ายแรงในอุปกรณ์ WatchGuard Firebox ซึ่งเป็น firewall ที่นิยมใช้ในองค์กรขนาดกลางและขนาดใหญ่ ช่องโหว่นี้ได้รับรหัส CVE-2025-59396 และคะแนนความรุนแรง CVSS สูงถึง 9.8

ปัญหาเกิดจากการตั้งค่ามาตรฐานของอุปกรณ์ที่เปิดพอร์ต SSH (4118) พร้อมบัญชีผู้ดูแลระบบที่ใช้ชื่อผู้ใช้และรหัสผ่านเริ่มต้นคือ admin:readwrite ซึ่งเปิดโอกาสให้ผู้โจมตีจากระยะไกลสามารถเข้าถึงระบบได้ทันทีโดยไม่ต้องยืนยันตัวตน

รายละเอียดช่องโหว่ CVE-2025-59396
ส่งผลกระทบต่อ Firebox ที่ยังใช้ค่าตั้งต้นและเปิดพอร์ต SSH 4118
ใช้บัญชี admin:readwrite ที่ติดตั้งมาโดยค่าเริ่มต้น
ผู้โจมตีสามารถใช้เครื่องมือทั่วไป เช่น PuTTY หรือ OpenSSH เพื่อเข้าถึงระบบ

ความสามารถของผู้โจมตีเมื่อเข้าระบบได้
เข้าถึงข้อมูลสำคัญ เช่น ARP table, network config, user accounts
ปรับเปลี่ยนหรือปิดใช้งาน firewall rules และ security policies
เคลื่อนที่ภายในเครือข่าย (lateral movement) และขโมยข้อมูล

ความเสี่ยงต่อองค์กร
อุปกรณ์ Firebox เป็นจุดศูนย์กลางของการป้องกันเครือข่าย
หากถูกควบคุม ผู้โจมตีสามารถปิดระบบป้องกันทั้งหมด
ช่องโหว่นี้อาจถูกใช้ในแคมเปญสแกนช่องโหว่แบบกว้างขวาง

คำเตือนด้านความปลอดภัย
หากยังใช้ค่าตั้งต้นของ Firebox ถือว่าเสี่ยงต่อการถูกเจาะระบบทันที
การเปิดพอร์ต SSH โดยไม่จำกัด IP หรือไม่ใช้ MFA เป็นช่องทางโจมตี
องค์กรที่ไม่ตรวจสอบการตั้งค่าหลังติดตั้งมีความเสี่ยงสูง

https://securityonline.info/critical-watchguard-firebox-flaw-cve-2025-59396-cvss-9-8-allows-unauthenticated-admin-ssh-takeover-via-default-credentials/

“DragonForce Ransomware กลับมาอีกครั้ง พร้อมเทคนิคใหม่ปิดระบบป้องกันและเข้ารหัสแบบไฮบริด”

นักวิจัยจาก Acronis Threat Research Unit (TRU) พบว่า DragonForce ransomware ได้พัฒนาเวอร์ชันใหม่ที่ใช้เทคนิค BYOVD (Bring Your Own Vulnerable Driver) เพื่อปิดการทำงานของซอฟต์แวร์ป้องกัน เช่น EDR และ Antivirus โดยใช้ไดรเวอร์ที่มีช่องโหว่ เช่น truesight.sys และ rentdrv2.sys เพื่อส่งคำสั่ง DeviceIoControl ไปฆ่า process ที่ป้องกันได้ยาก

นอกจากนี้ยังมีการปรับปรุงระบบเข้ารหัสจากโค้ดของ Conti v3 โดยใช้การเข้ารหัสแบบไฮบริด ChaCha20 + RSA พร้อมไฟล์ config ที่เข้ารหัสไว้ในตัว binary เพื่อเพิ่มความลับและลดการตรวจจับ

กลุ่ม DragonForce ยังเปลี่ยนโครงสร้างองค์กรเป็น “cartel” เพื่อดึงดูด affiliate โดยเสนอส่วนแบ่งรายได้สูงถึง 80% และเครื่องมือที่ปรับแต่งได้ ซึ่งทำให้กลุ่มนี้กลายเป็นหนึ่งใน ecosystem ที่เติบโตเร็วที่สุดในโลก ransomware

การพัฒนาเทคนิค BYOVD
ใช้ไดรเวอร์ที่มีช่องโหว่เพื่อฆ่า process ที่ป้องกันได้ยาก
ส่งคำสั่ง DeviceIoControl ไปยัง driver เพื่อปิดระบบ EDR และ Antivirus
เทคนิคนี้เคยใช้โดยกลุ่ม BlackCat และ AvosLocker

การปรับปรุงระบบเข้ารหัส
ใช้ ChaCha20 สร้าง key ต่อไฟล์ แล้วเข้ารหัสด้วย RSA
มี header ที่เก็บ metadata และข้อมูลการเข้ารหัส
ไฟล์ config ถูกเข้ารหัสใน binary ไม่ต้องใช้ command-line

การเปลี่ยนโครงสร้างองค์กร
จาก RaaS เป็น cartel เพื่อดึง affiliate
เสนอ encryptor ที่ปรับแต่งได้และส่วนแบ่งรายได้สูง
มี affiliate เช่น Devman ที่ใช้ builder เดียวกัน

การโจมตีที่ขยายตัว
เคยร่วมมือกับ Scattered Spider โจมตี Marks & Spencer
พยายาม takeover โครงสร้างของกลุ่มคู่แข่ง เช่น RansomHub และ BlackLock
ใช้ MinGW ในการ compile ทำให้ binary ใหญ่ขึ้น

https://securityonline.info/dragonforce-ransomware-evolves-with-byovd-to-kill-edr-and-fixes-encryption-flaws-in-conti-v3-codebase/

ข่าวใหญ่สายลินุกซ์: MX Linux 25 “Infinity” เปิดตัวแล้ว พร้อมฟีเจอร์ใหม่สุดล้ำ!

วันนี้มีข่าวดีสำหรับสายโอเพ่นซอร์สและผู้ใช้งานลินุกซ์ทั่วโลก เพราะ MX Linux 25 โค้ดเนม “Infinity” ได้เปิดให้ดาวน์โหลดอย่างเป็นทางการแล้ว! เวอร์ชันนี้พัฒนาบนพื้นฐานของ Debian 13 “Trixie” ซึ่งเป็นเวอร์ชันเสถียรล่าสุดของ Debian ที่ขึ้นชื่อเรื่องความมั่นคงและความปลอดภัย

MX Linux ถือเป็นหนึ่งในดิสโทรที่ได้รับความนิยมสูงสุดในกลุ่มผู้ใช้ทั่วไป เพราะมีความเบา เสถียร และใช้งานง่าย โดยในเวอร์ชัน 25 นี้มีการปรับปรุงหลายจุดที่น่าสนใจ ทั้งด้านประสิทธิภาพ ความปลอดภัย และประสบการณ์ผู้ใช้

MX Linux 25 มาพร้อมกับเคอร์เนล Linux 6.12 LTS สำหรับรุ่นมาตรฐาน และ Linux 6.16 แบบ Liquorix สำหรับรุ่น KDE Plasma และ AHS (Advanced Hardware Support) ซึ่งเหมาะกับเครื่องใหม่ที่ต้องการไดรเวอร์ล่าสุด

หนึ่งในฟีเจอร์เด่นคือการรองรับระบบ Systemd และ SysVinit ให้ผู้ใช้เลือกได้ตามความถนัด รวมถึงการเปลี่ยนแปลงในเครื่องมือ MX Tools ที่ถูกพอร์ตไปใช้ Qt 6 เพื่อรองรับการแสดงผลที่ทันสมัยขึ้น

นอกจากนี้ยังมีการปรับปรุงด้านความปลอดภัย เช่น การรองรับ systemd-cryptsetup สำหรับการเข้ารหัสพาร์ทิชัน /home และการติดตั้งแบบ UEFI Secure Boot สำหรับระบบ 64-bit

ในด้าน UI ก็มีการอัปเดตธีมใหม่อย่าง mx-ease และ mx-matcha รวมถึงการปรับปรุงเมนู Whisker ใน Xfce และเพิ่มเมนู root actions ใน Dolphin สำหรับ KDE Plasma

ฟีเจอร์ใหม่ใน MX Linux 25
ใช้ Debian 13 “Trixie” เป็นฐานระบบ
รองรับ Linux Kernel 6.12 LTS และ 6.16 Liquorix
มีทั้ง Systemd และ SysVinit ให้เลือก
พอร์ต MX Tools ไปใช้ Qt 6
เพิ่ม mx-updater แทน apt-notifier
KDE Plasma ใช้ Wayland เป็นค่าเริ่มต้น
รองรับ UEFI Secure Boot สำหรับ 64-bit
ปรับปรุงการเข้ารหัสด้วย systemd-cryptsetup
เพิ่ม Conky config สำหรับแสดงเวลาแบบ 12h/24h
อัปเดตธีม mx-ease และ mx-matcha
ปรับปรุง Whisker Menu ใน Xfce
เพิ่ม root actions ใน Dolphin สำหรับ KDE
เปลี่ยน Audacious เป็นเครื่องเล่นเสียงหลักใน Fluxbox
ปรับปรุง mx-updater ให้รองรับอัปเดตอัตโนมัติ
Fluxbox ได้เมนูใหม่และ config ที่ยืดหยุ่นมากขึ้น

คำเตือนและข้อควรระวัง
ผู้ใช้ที่ใช้ TLP อาจพบปัญหาใน KDE Plasma เพราะถูกแทนที่ด้วย power-profiles-daemon
การเปลี่ยนไปใช้ Wayland อาจมีผลกับบางแอปที่ยังไม่รองรับเต็มที่
การติดตั้งแบบ “Replace” ต้องระวังข้อมูลเดิมอาจถูกลบ หากไม่สำรองไว้ก่อน
ผู้ใช้ที่ใช้ NVIDIA ควรตรวจสอบ fallback mode ใหม่ใน ddm-mx เพื่อความเข้ากันได้กับ Wayland

https://9to5linux.com/mx-linux-25-infinity-is-now-available-for-download-based-on-debian-13-trixie

Calcurse: ผู้ช่วยจัดการปฏิทินแบบ CLI ที่ทรงพลังสำหรับสาย Linux Terminal

ถ้าคุณเป็นคนที่รักการทำงานผ่านเทอร์มินัล หรือกำลังมองหาเครื่องมือจัดการปฏิทินที่เบา เร็ว และไม่ต้องพึ่ง GUI เลย—Calcurse คือคำตอบที่น่าทึ่ง! มันคือแอปจัดการปฏิทินแบบ TUI (Text-based User Interface) ที่เขียนด้วยภาษา C และใช้ ncurses เพื่อสร้างอินเทอร์เฟซที่ทรงพลังไม่แพ้แอป GUI ชั้นนำ

Calcurse มีโหมดการทำงาน 3 แบบ:
1️⃣ โหมดโต้ตอบ (interactive): ใช้งานผ่านคำสั่ง calcurse โดยตรง
2️⃣ โหมดไม่โต้ตอบ (non-interactive): ใช้ flags เช่น --status เพื่อดึงข้อมูล
3️⃣ โหมด daemon: รันเบื้องหลังเพื่อแจ้งเตือนแม้ไม่ได้เปิด UI

สิ่งที่ทำให้ Calcurse โดดเด่นคือการใช้ ไฟล์ข้อความธรรมดา แทนฐานข้อมูล ทำให้เบา เร็ว และง่ายต่อการสำรองข้อมูลหรือใช้ร่วมกับ Git/Nextcloud เพื่อซิงก์ข้ามเครื่องได้อย่างชาญฉลาด

จุดเด่นของ Calcurse
ใช้ ncurses สร้าง TUI ที่ทรงพลัง
รองรับ iCalendar (.ics) import/export
รองรับ CalDAV sync ผ่าน calcurse-caldav (ยังเป็น alpha)
ใช้ plain text แทน database—ง่ายต่อการสำรองและซิงก์

โหมดการทำงาน
โหมด interactive สำหรับใช้งานทั่วไป
โหมด non-interactive สำหรับสคริปต์และ cron jobs
โหมด daemon สำหรับแจ้งเตือนเบื้องหลัง

การปรับแต่ง
เปลี่ยนธีมสี, layout, วันเริ่มต้นของสัปดาห์
กำหนด key bindings เองได้
ปรับมุมมองระหว่างรายเดือนและรายสัปดาห์

การซิงก์และเวอร์ชันคอนโทรล
ใช้ Git หรือ Nextcloud เพื่อซิงก์ไฟล์ config และ data
ใช้ symlink เพื่อเชื่อมกับโฟลเดอร์ที่ซิงก์ไว้

ข้อจำกัด
ไม่รองรับการแสดงผลแบบ month-grid เหมือน GUI
ไม่รองรับ 12-hour format ทั่วทั้งแอป (บางส่วนใช้ได้)
การตั้งค่ารูปแบบวันที่อาจซับซ้อนสำหรับผู้ใช้ใหม่

คำแนะนำก่อนใช้งาน
ต้องใช้เวลาเรียนรู้ key bindings และ config format
ควรอ่านเอกสารประกอบเพื่อใช้งานฟีเจอร์ขั้นสูง

https://itsfoss.com/calcurse/

ทำไมองค์กรยังพลาดเรื่องความปลอดภัยบนคลาวด์? เปิดเบื้องหลังความผิดพลาดที่ไม่ควรเกิดขึ้น

ลองนึกภาพว่าองค์กรของคุณเก็บข้อมูลลูกค้าหลายล้านรายไว้บนคลาวด์ แต่กลับมีการตั้งค่าที่ผิดพลาด ทำให้ข้อมูลเหล่านั้นถูกเปิดเผยต่อสาธารณะโดยไม่ตั้งใจ... เรื่องนี้ไม่ใช่แค่จินตนาการ แต่เป็นปัญหาที่เกิดขึ้นจริงในหลายองค์กรทั่วโลก

แม้เวลาจะผ่านไปหลายปีตั้งแต่คลาวด์กลายเป็นมาตรฐานใหม่ของการจัดเก็บข้อมูล แต่ปัญหาเดิมๆ อย่างการตั้งค่าผิดพลาด (misconfiguration) ก็ยังคงเกิดขึ้นอย่างต่อเนื่อง และมีแนวโน้มรุนแรงขึ้นเรื่อยๆ เพราะองค์กรใช้เครื่องมือ SaaS มากขึ้น ข้อมูลกระจายอยู่หลายแพลตฟอร์ม และระบบความปลอดภัยที่ควรจะมี “ตั้งแต่แรก” กลับต้องให้ผู้ใช้เป็นคนเปิดใช้งานเอง

องค์กรจำนวนมากยังคงเผชิญกับความเสี่ยงจากการตั้งค่าคลาวด์ผิดพลาด เช่น เปิดสิทธิ์การเข้าถึงข้อมูลโดยไม่ตั้งใจ ไม่เปิดใช้การเข้ารหัส หรือไม่เปิดใช้ระบบยืนยันตัวตนแบบหลายขั้นตอน (MFA) ซึ่งเป็นช่องโหว่ที่แฮกเกอร์สามารถใช้เจาะระบบได้ง่ายดาย

รายงานจาก Qualys พบว่า VM บน AWS มีการตั้งค่าผิดพลาดถึง 45% ในขณะที่ GCP สูงถึง 63% และ Azure สูงถึง 70% ซึ่งเป็นตัวเลขที่น่าตกใจมาก นอกจากนี้ยังมีกรณีของ Blue Shield California ที่ข้อมูลสมาชิกกว่า 4.7 ล้านรายถูกเปิดเผยเพราะตั้งค่า Google Analytics ผิด

ผู้เชี่ยวชาญชี้ว่า ปัญหานี้เกิดจากการที่ผู้ให้บริการคลาวด์อย่าง Microsoft, Google และ Amazon ไม่ได้ตั้งค่าความปลอดภัยมาให้ตั้งแต่แรก ผู้ใช้ต้องเป็นคนเปิดใช้งานเอง ซึ่งเหมือนกับการซื้อรถที่ไม่มีล็อกประตูมาให้ ต้องไปติดตั้งเองทีหลัง

องค์กรขนาดเล็กและกลางมักไม่มีทีมความปลอดภัยเฉพาะทาง ทำให้พลาดเรื่องสำคัญ เช่น การตั้งค่าการสื่อสารของฐานข้อมูลให้วิ่งผ่านเครือข่ายส่วนตัวแทนที่จะเป็นอินเทอร์เน็ตสาธารณะ หรือการให้สิทธิ์ผู้ใช้มากเกินไปในช่วงพัฒนาแล้วลืมลดสิทธิ์เมื่อเข้าสู่ระบบจริง

ความเสี่ยงจากการตั้งค่าคลาวด์ผิดพลาด
VM บนคลาวด์มีการตั้งค่าผิดพลาดสูงถึง 70% บน Azure
ข้อมูลสมาชิก Blue Shield ถูกเปิดเผยเพราะตั้งค่า Google Analytics ผิด
ผู้ให้บริการคลาวด์ไม่ได้ตั้งค่าความปลอดภัยมาให้โดยอัตโนมัติ
องค์กรต้องเปิดใช้ MFA, การเข้ารหัส และระบบตรวจสอบเอง

แนวทางลดความเสี่ยง
ใช้ MFA ทุกระดับการเข้าถึง
ตั้งค่าการสื่อสารผ่านเครือข่ายส่วนตัวเท่านั้น
เข้ารหัสข้อมูลทั้งขณะพักและขณะส่ง
ใช้หลัก least privilege ลดสิทธิ์ผู้ใช้ให้เหลือเท่าที่จำเป็น
ใช้ Infrastructure as Code เพื่อควบคุมการเปลี่ยนแปลง
สแกนการตั้งค่าอย่างต่อเนื่อง
ปิดการเข้าถึงสาธารณะของ storage buckets
เปิดระบบ logging และ monitoring ทุก deployment
วางแผนความปลอดภัยตั้งแต่เริ่มต้น ไม่ใช่ค่อยมาแก้ทีหลัง

คำเตือนจากผู้เชี่ยวชาญ
องค์กรมักไม่รวมทีม cybersecurity ในการตัดสินใจด้านเทคโนโลยี
Shadow IT ทำให้เกิดการใช้งานระบบที่ไม่มีการตั้งค่าความปลอดภัย
การควบรวมกิจการโดยไม่ตรวจสอบระบบคลาวด์ของอีกฝ่ายอาจสร้างช่องโหว่
การให้สิทธิ์มากเกินไปในช่วงพัฒนาแล้วลืมลดสิทธิ์ใน production
การไม่ใช้เครือข่ายส่วนตัวในการสื่อสารของฐานข้อมูล

ถ้าองค์กรของคุณกำลังใช้คลาวด์อยู่ อย่ารอให้เกิดเหตุการณ์ก่อนค่อยแก้ไข เพราะความเสียหายอาจใหญ่หลวงกว่าที่คิด

https://www.csoonline.com/article/4083736/why-cant-enterprises-get-a-handle-on-the-cloud-misconfiguration-problem.html

ระวังภัยเงียบ! รู้จัก Account Takeover (ATO) และวิธีป้องกันก่อนข้อมูลคุณจะถูกยึดครอง

การยึดครองบัญชีผู้ใช้ (Account Takeover หรือ ATO) คือภัยไซเบอร์ที่กำลังระบาดอย่างรวดเร็ว โดยในปี 2023 มีความเสียหายทั่วโลกจาก ATO สูงถึง 13 พันล้านดอลลาร์ และเพิ่มขึ้นกว่า 354% ต่อปี

ATO คือการที่แฮกเกอร์สามารถเข้าควบคุมบัญชีผู้ใช้โดยไม่ต้องใช้วิธีเจาะระบบแบบรุนแรง แต่ใช้การหลอกลวงและช่องโหว่พฤติกรรม เช่น การใช้ข้อมูลจากการรั่วไหล การหลอกถามรหัสผ่าน หรือการใช้มัลแวร์เพื่อดักจับข้อมูล

เมื่อบัญชีถูกยึด แฮกเกอร์สามารถใช้เพื่อ:
เข้าถึงระบบภายในองค์กร
ขายข้อมูลในตลาดมืด
ส่งอีเมลฟิชชิ่งจากบัญชีที่ดูน่าเชื่อถือ
ทำธุรกรรมทางการเงินหรือหลอกลวงผู้อื่น

กลุ่มเป้าหมายหลัก ได้แก่ ธนาคาร, แพลตฟอร์มคริปโต, อีคอมเมิร์ซ, โรงพยาบาล, บริษัทเทคโนโลยี และมหาวิทยาลัย โดยเฉพาะบัญชีที่มีสิทธิ์เข้าถึงสูงหรือมีข้อมูลสำคัญ

ความหมายของ Account Takeover (ATO)
การที่ผู้ไม่หวังดีเข้าควบคุมบัญชีผู้ใช้โดยไม่ได้รับอนุญาต
ใช้การหลอกลวงมากกว่าการเจาะระบบโดยตรง

ความเสียหายจาก ATO
ความเสียหายทางการเงินสูงถึง 13 พันล้านดอลลาร์ในปี 2023
ส่งผลต่อชื่อเสียงและความเชื่อมั่นขององค์กร
อาจนำไปสู่การโจมตีอื่น ๆ เช่น ransomware หรือการจารกรรมข้อมูล

กลุ่มเป้าหมายที่เสี่ยง
ธนาคาร, แพลตฟอร์มคริปโต, อีคอมเมิร์ซ, โรงพยาบาล, บริษัท SaaS, มหาวิทยาลัย
บัญชีที่มีข้อมูลส่วนตัวหรือสิทธิ์เข้าถึงสูง

วิธีการโจมตี
ใช้ข้อมูลจากการรั่วไหล
หลอกถามรหัสผ่านผ่าน vishing, smishing, pretexting
ใช้มัลแวร์ เช่น Emotet หรือ TrickBot ใช้เทคนิค credential stuffing, password spraying, session hijacking, SIM swapping

วิธีป้องกัน
ใช้ Multi-Factor Authentication (MFA) ที่ปลอดภัย เช่น hardware token หรือ TOTP
ตั้งรหัสผ่านที่ซับซ้อนและไม่ซ้ำกัน
ใช้ Zero Trust Architecture เพื่อลดสิทธิ์การเข้าถึง
ตรวจสอบพฤติกรรมการเข้าสู่ระบบอย่างสม่ำเสมอ
ใช้การยืนยันตัวตนด้วยไบโอเมตริกซ์และระบบตรวจจับการมีชีวิต (liveness detection)

https://hackread.com/account-takeover-what-is-it-how-to-fight-it/

⚡️สารคดี 5G สุดอลังการ - ต้องดู | ตุลาคม 2025

ผมได้แชร์วิดีโอมากมายเกี่ยวกับอันตรายของรังสี 5G/EMF ทั้งที่นี่และแพลตฟอร์มอื่นๆ

สารคดีสำคัญนี้สร้างมาได้อย่างดีเยี่ยม และเปิดโปงอาชญากรรมที่อุตสาหกรรมโทรคมนาคมและรัฐบาลต่างๆ กำลังก่อขึ้นต่อประชาชน

รังสี EMF ส่งผลเสียต่อมนุษย์ สัตว์ ปลา พืช แมลง และแม้แต่เชื้อราและแบคทีเรีย...ฯลฯ

⚡️รัฐบาลทั่วโลกที่นับถือลัทธิซาตาน รักร่วมเพศ และล่วงละเมิดทางเพศเด็ก ได้ใช้แผนการระบาดนี้เพื่อเปิดตัว 5G ซึ่งเป็นสาเหตุที่แท้จริงที่ทำให้ผู้คนเจ็บป่วย (รังสี EMF)

วิทยุที่คุณฟังก็ทะลุกำแพงได้เช่นกัน แต่มีพลังน้อยกว่ามากในสเปกตรัมแม่เหล็กไฟฟ้า

ข้อมูลเชิงลึกเพิ่มเติมด้านล่าง:

รังสีไร้สาย 5G และสุขภาพ การอัปเดตทางวิทยาศาสตร์และนโยบาย ปี 2020 | Serene_Christine
https://t.me/AdelaideFreedomFighters/29394

ดาฟนา ทาโชเวอร์ ยืนยันถึงการที่เด็กๆ และผู้คนกำลังเจ็บป่วยจากรังสีไร้สาย รวมถึง Wi-Fi
https://t.me/AdelaideFreedomFighters/19999

เตือนภัยไซเบอร์! ช่องโหว่ร้ายแรงในระบบ VizAir เสี่ยงต่อความปลอดภัยการบินทั่วโลก

CISA (Cybersecurity and Infrastructure Security Agency) ออกประกาศเตือนด่วนเกี่ยวกับช่องโหว่ระดับ “วิกฤต” ในระบบตรวจอากาศ VizAir ที่ใช้ในสนามบินทั่วโลก โดยช่องโหว่เหล่านี้มีคะแนน CVSS สูงสุดที่ 10.0 ซึ่งหมายถึงความเสี่ยงระดับสูงสุดต่อการถูกโจมตีและส่งผลกระทบต่อความปลอดภัยของเที่ยวบิน

Radiometrics VizAir เป็นระบบตรวจอากาศที่ใช้วิเคราะห์ข้อมูลสำคัญ เช่น ลมเฉือน (wind shear), การกลับด้านของอุณหภูมิ (temperature inversion), และ CAPE (Convective Available Potential Energy) เพื่อช่วยในการวางแผนการบินและการจัดการรันเวย์

CISA ระบุว่ามีช่องโหว่ 3 รายการที่เปิดโอกาสให้ผู้โจมตีสามารถ:
เข้าถึงแผงควบคุมโดยไม่ต้องยืนยันตัวตน
แก้ไขข้อมูลอากาศแบบเรียลไทม์
ปิดการแจ้งเตือนความเสี่ยง
ดึงข้อมูลอากาศที่เป็นความลับ
สร้างความสับสนให้กับระบบควบคุมการจราจรทางอากาศ

Radiometrics ได้ออกแพตช์แก้ไขแล้วในเวอร์ชันเดือนสิงหาคม 2025 และแนะนำให้ผู้ใช้งานอัปเดตทันที พร้อมตั้งค่าการป้องกันเครือข่ายให้รัดกุม

สรุปประเด็นสำคัญจากข่าว
ช่องโหว่ CVE-2025-61945: เข้าถึงแผงควบคุม VizAir โดยไม่ต้องล็อกอิน
ผู้โจมตีสามารถแก้ไขข้อมูลลมเฉือน, inversion depth และ CAPE ได้ทันที

ช่องโหว่ CVE-2025-54863: การเปิดเผย API key ผ่านไฟล์ config
ทำให้สามารถควบคุมระบบจากระยะไกลและดึงข้อมูลอากาศได้

ช่องโหว่ CVE-2025-61956: ไม่มีการตรวจสอบสิทธิ์ในการเรียก API
ผู้โจมตีสามารถเปลี่ยนการตั้งค่ารันเวย์และข้อมูลที่ส่งไปยัง ATC ได้

VizAir ใช้ในสนามบินทั่วโลกเพื่อวิเคราะห์สภาพอากาศ
มีบทบาทสำคัญในการตัดสินใจด้านความปลอดภัยการบิน

Radiometrics ออกแพตช์แก้ไขในเวอร์ชัน 08/2025
ผู้ใช้งานควรอัปเดตทันทีและตั้งค่าการป้องกันเครือข่ายให้ปลอดภัย

ช่องโหว่ทั้งหมดมีคะแนน CVSS 10.0
หมายถึงความเสี่ยงระดับสูงสุดต่อการถูกโจมตี

หากระบบ VizAir ถูกโจมตี อาจทำให้เกิดอุบัติเหตุทางอากาศ
เช่น การจัดรันเวย์ผิดพลาด, การแจ้งเตือนลมเฉือนไม่ทำงาน

ระบบที่ยังไม่ได้อัปเดตมีความเสี่ยงสูง
โดยเฉพาะหากเชื่อมต่อกับเครือข่ายสาธารณะหรือไม่มีการยืนยันตัวตน

เกร็ดความรู้เพิ่มเติม
CAPE เป็นค่าที่ใช้วัดพลังงานในบรรยากาศที่อาจทำให้เกิดพายุฝนฟ้าคะนอง ซึ่งมีผลต่อการวางแผนการบิน
การโจมตีระบบตรวจอากาศอาจไม่ใช่แค่เรื่องข้อมูลผิดพลาด แต่ส่งผลต่อการตัดสินใจของนักบินและเจ้าหน้าที่ควบคุมการบินโดยตรง
การแยกระบบออกจากเครือข่ายสาธารณะและใช้การยืนยันตัวตนหลายชั้นเป็นแนวทางที่ดีที่สุดในการป้องกันการโจมตีลักษณะนี้

นี่คือการเตือนภัยที่ไม่ควรมองข้าม—เพราะความปลอดภัยของผู้โดยสารหลายพันคนอาจขึ้นอยู่กับการอัปเดตระบบเพียงครั้งเดียว

https://securityonline.info/cisa-warns-critical-vizair-flaws-cvss-10-0-expose-airport-weather-systems-to-unauthenticated-manipulation/

"When Stick Figures Fought” – เมื่อเส้นสายเรียบง่ายกลายเป็นสนามรบสุดมันส์

ในช่วงต้นยุค 2000s โลกออนไลน์เต็มไปด้วยแอนิเมชันที่ใช้ตัวละครแบบ “Stick Figure” หรือคนไม้ขีด—เรียบง่ายแต่เต็มไปด้วยพลังการเคลื่อนไหวและการต่อสู้ที่ดุเดือด บทความนี้เล่าย้อนถึงยุคทองของแอนิเมชันประเภทนี้ โดยเฉพาะผลงานจากนักสร้างชื่อดังอย่าง Alan Becker ผู้สร้างซีรีส์ “Animator vs. Animation” ที่กลายเป็นไวรัลระดับโลก

แอนิเมชันเหล่านี้มักใช้โปรแกรม Flash และถูกเผยแพร่ผ่านเว็บไซต์อย่าง Newgrounds หรือ YouTube โดยมีจุดเด่นคือการเคลื่อนไหวที่ลื่นไหล การต่อสู้ที่สร้างสรรค์ และการใช้มุมกล้องแบบภาพยนตร์ แม้ตัวละครจะไม่มีรายละเอียด แต่กลับสามารถถ่ายทอดอารมณ์และความมันส์ได้อย่างน่าทึ่ง

บทความยังกล่าวถึงการเปลี่ยนผ่านของเทคโนโลยี จาก Flash สู่ HTML5 และการที่ศิลปินรุ่นใหม่ยังคงสืบทอดสไตล์นี้ผ่านแพลตฟอร์มใหม่ ๆ เช่น YouTube Shorts และ TikTok

ยุคทองของ Stick Figure Animation
เริ่มต้นในช่วงต้นยุค 2000s บนแพลตฟอร์ม Flash
เว็บไซต์อย่าง Newgrounds เป็นแหล่งรวมผลงานยอดนิยม

ผลงานเด่นที่สร้างปรากฏการณ์
“Animator vs. Animation” โดย Alan Becker
การต่อสู้ระหว่างตัวละครกับผู้สร้างในคอมพิวเตอร์

จุดเด่นของแอนิเมชันแบบ Stick Figure
เคลื่อนไหวลื่นไหลแม้จะใช้ตัวละครเรียบง่าย
ใช้มุมกล้องและจังหวะการต่อสู้แบบภาพยนตร์
สื่อสารอารมณ์ได้แม้ไม่มีใบหน้า

การเปลี่ยนผ่านของเทคโนโลยี
จาก Flash สู่ HTML5 และแพลตฟอร์มใหม่
YouTube Shorts และ TikTok เป็นพื้นที่ใหม่ของศิลปิน

วัฒนธรรมย่อยของโลกแอนิเมชัน
มีชุมชนผู้สร้างและผู้ชมที่เหนียวแน่น
กลายเป็นแรงบันดาลใจให้ศิลปินรุ่นใหม่

https://animationobsessive.substack.com/p/when-stick-figures-fought

สงครามไซเบอร์เงียบ: สปายระดับโลกใช้ช่องโหว่ Android และ ZipperDown โจมตีผ่านอีเมลเพียงคลิกเดียว

รายงานล่าสุดจากทีม RedDrip ของ QiAnXin เผยการโจมตีไซเบอร์ระดับสูงโดยกลุ่ม APT (Advanced Persistent Threat) จากภูมิภาคเอเชียตะวันออกเฉียงเหนือ ที่ใช้ช่องโหว่แบบ zero-day บน Android และแอปอีเมลเพื่อเข้าควบคุมบัญชีผู้ใช้และรันคำสั่งในเครื่องเป้าหมายได้ทันทีเพียงแค่ “คลิกเปิดอีเมล”

ช่องโหว่ ZipperDown ถูกใช้จริงครั้งแรก
ZipperDown เป็นช่องโหว่ที่ถูกค้นพบตั้งแต่ปี 2018 โดย Pangu Lab แต่ไม่เคยมีรายงานการใช้งานจริงมาก่อน จนกระทั่ง RedDrip พบว่ากลุ่ม APT ใช้ช่องโหว่นี้โจมตี Android โดยแนบไฟล์ DAT ที่มีมัลแวร์ในอีเมล เมื่อเหยื่อคลิกเปิดอีเมลบนมือถือ มัลแวร์จะถูกปล่อยทันที

พฤติกรรมมัลแวร์ที่เปลี่ยนแปลงตามเวลา
ปี 2022–2023: ใช้ช่องโหว่ในระบบประมวลผลภาพ IMG เพื่อฝัง backdoor ผ่านไฟล์ SO ที่ดูเหมือน libttmplayer_lite.so

ปี 2024–2025: เปลี่ยนเป็น libpanglearmor.so ที่โหลด APK Trojan จากเซิร์ฟเวอร์ และรันในหน่วยความจำ พร้อมส่งข้อมูล Wi-Fi และคำสั่งกลับไปยังเซิร์ฟเวอร์ควบคุม

ช่องโหว่ ZipperDown ถูกใช้โจมตีจริง
แนบไฟล์ DAT ในอีเมล Android
คลิกเปิดอีเมล = มัลแวร์ถูกปล่อยทันที

พฤติกรรมมัลแวร์เปลี่ยนตามปี
2022–2023: ใช้ libttmplayer_lite.so ฝัง backdoor
2024–2025: ใช้ libpanglearmor.so โหลด APK Trojan และส่งข้อมูลกลับ

เทคนิคขโมยบัญชีแบบไร้รหัสผ่าน
ฝัง JavaScript ผ่าน IMG tag ในอีเมล
ใช้ API ภายในอ่านไฟล์ token และ config
เข้าถึงอีเมลและไฟล์โดยไม่ต้องใช้รหัสผ่าน

ความเสี่ยงจากการเปิดอีเมลบนมือถือ
คลิกเปิดอีเมลอาจปล่อยมัลแวร์ทันที
มัลแวร์สามารถควบคุมแอปและขโมยข้อมูลได้

ช่องโหว่ในแอปอีเมล Android
API ภายในเปิดทางให้แฮกเกอร์อ่านไฟล์สำคัญ
การฝัง JavaScript ผ่าน IMG tag เป็นช่องทางใหม่ที่อันตราย

นี่คือการยกระดับของสงครามไซเบอร์ที่ไม่ต้องใช้การเจาะระบบแบบเดิมอีกต่อไป แค่ “คลิกเปิดอีเมล” ก็อาจเปิดประตูให้ผู้ไม่หวังดีเข้าถึงทุกอย่างในเครื่องของคุณ—โดยที่คุณไม่รู้ตัว.

https://securityonline.info/global-spies-use-zipperdown-and-android-zero-days-for-1-click-email-client-rce-and-account-takeover/

สองช่องโหว่ร้ายแรงถูกใช้โจมตีจริง—CISA เตือนให้เร่งอุดช่องโหว่ก่อนสายเกินไป

หน่วยงาน CISA ของสหรัฐฯ ได้ออกประกาศเตือนภัยไซเบอร์ด่วน โดยเพิ่มสองช่องโหว่ใหม่เข้าสู่รายการ Known Exploited Vulnerabilities (KEV) หลังพบการโจมตีจริงในระบบขององค์กรต่างๆ ทั่วโลก ช่องโหว่เหล่านี้เปิดทางให้ผู้ไม่หวังดีสามารถเข้าถึงระบบและรันคำสั่งได้โดยไม่ต้องยืนยันตัวตน

ช่องโหว่แรก: Gladinet CentreStack และ Triofox (CVE-2025-11371)
ช่องโหว่นี้เกิดจากการตั้งค่าดีฟอลต์ที่ไม่ปลอดภัยในซอฟต์แวร์แชร์ไฟล์สำหรับองค์กร ทำให้เกิดช่องโหว่แบบ Local File Inclusion (LFI) ซึ่งเปิดทางให้ผู้โจมตีอ่านไฟล์สำคัญในระบบ เช่น Web.config ที่เก็บ machineKey

เมื่อได้ machineKey แล้ว ผู้โจมตีสามารถสร้าง ViewState payload ที่ผ่านการตรวจสอบ และรันคำสั่งในระบบได้ทันที—เรียกว่า Remote Code Execution (RCE) แบบเต็มรูปแบบ

ช่องโหว่ที่สอง: Control Web Panel (CVE-2025-48703)
ช่องโหว่นี้เกิดจากการตรวจสอบสิทธิ์ที่ไม่รัดกุม และการไม่กรองข้อมูลในพารามิเตอร์ t_total ซึ่งใช้กำหนดสิทธิ์ไฟล์ ผู้โจมตีสามารถส่งคำสั่งผ่าน shell metacharacters โดยไม่ต้องยืนยันตัวตน เพียงแค่รู้ชื่อผู้ใช้ที่ไม่ใช่ root ก็สามารถเข้าถึงระบบได้

ช่องโหว่นี้ถูกเปิดเผยในเดือนพฤษภาคม และมีการอัปเดตแก้ไขในเวอร์ชัน 0.9.8.1205 เมื่อเดือนมิถุนายนที่ผ่านมา

CISA เพิ่มช่องโหว่ทั้งสองในรายการ KEV
เตือนหน่วยงานภาครัฐให้เร่งอัปเดตระบบภายในวันที่ 25 พฤศจิกายน 2025
ช่องโหว่เหล่านี้ “มีความเสี่ยงสูงต่อระบบของรัฐบาลกลาง”

ความเสี่ยงจากการไม่อัปเดตระบบ
องค์กรอาจถูกโจมตีแบบไม่ต้องยืนยันตัวตน
ข้อมูลสำคัญอาจถูกขโมยหรือระบบถูกควบคุมจากภายนอก

การตั้งค่าดีฟอลต์ที่ไม่ปลอดภัย
machineKey ที่เปิดเผยในไฟล์ config อาจถูกใช้โจมตี
การไม่กรอง input ทำให้ shell commands ถูกรันโดยตรง

นี่คือสัญญาณเตือนให้ทุกองค์กรตรวจสอบระบบของตนอย่างเร่งด่วน โดยเฉพาะหากใช้ซอฟต์แวร์ที่เกี่ยวข้องกับช่องโหว่เหล่านี้ การอัปเดตและปรับแต่งระบบให้ปลอดภัยไม่ใช่แค่เรื่องเทคนิค แต่คือการป้องกันความเสียหายระดับองค์กร.

https://securityonline.info/cisa-kev-alert-two-critical-flaws-under-active-exploitation-including-gladinet-lfi-rce-and-cwp-admin-takeover/

Intel อาจเข้าซื้อ SambaNova ด้วยมูลค่า $5 พันล้าน หวังพลิกเกม AI ด้วยระบบ end-to-end ที่ไม่พึ่ง NVIDIA

Intel กำลังเจรจาเพื่อเข้าซื้อกิจการของ SambaNova Systems บริษัทสตาร์ทอัพด้าน AI ที่มีระบบฮาร์ดแวร์และซอฟต์แวร์ครบวงจร โดยคาดว่าดีลนี้จะมีมูลค่าราว $5 พันล้าน และอาจเป็นจุดเปลี่ยนสำคัญในการกลับเข้าสู่ตลาด AI อย่างจริงจังของ Intel

SambaNova เป็นบริษัทที่พัฒนา Reconfigurable Dataflow Unit (RDU) ซึ่งเป็นชิปที่ออกแบบมาเพื่อประมวลผลโมเดล AI โดยตรงในฮาร์ดแวร์ โดยไม่ต้องผ่านการจัดการหน่วยความจำแบบเดิม ทำให้มีประสิทธิภาพสูงโดยเฉพาะกับโมเดลประเภท transformer

นอกจากฮาร์ดแวร์แล้ว SambaNova ยังมีระบบซอฟต์แวร์ชื่อ SambaFlow และโซลูชันระดับ rack-scale ที่ชื่อ DataScale Systems ซึ่งทำให้บริษัทมี ecosystem แบบ end-to-end ที่พร้อมใช้งานทันที

Intel ภายใต้การนำของ CEO Lip-Bu Tan ซึ่งเคยลงทุนใน SambaNova ผ่านบริษัท Walden International กำลังมองหาการเข้าซื้อกิจการนี้เพื่อเสริมความแข็งแกร่งในตลาด inference และลดการพึ่งพา NVIDIA

รายละเอียดของดีล Intel–SambaNova
Intel อยู่ระหว่างเจรจาเข้าซื้อ SambaNova ด้วยมูลค่า $5 พันล้าน
SambaNova มีระบบ AI แบบ end-to-end ทั้งฮาร์ดแวร์และซอฟต์แวร์
ใช้ชิป RDU ที่ไม่พึ่งพา GPU แบบ NVIDIA
มีระบบ DataScale และ SambaFlow พร้อมใช้งาน

เหตุผลที่ Intel สนใจ
ต้องการเสริมความแข็งแกร่งในตลาด inference
ลดการพึ่งพา NVIDIA และสร้าง ecosystem ของตัวเอง
CEO Lip-Bu Tan เคยลงทุนใน SambaNova และมีความสัมพันธ์ใกล้ชิด
Intel ต้องการเร่งการกลับเข้าสู่ตลาด AI หลังจากตามหลังมานาน

จุดเด่นของเทคโนโลยี SambaNova
RDU สามารถแมปกราฟของ neural network ลงในฮาร์ดแวร์โดยตรง
ลด overhead จากการเคลื่อนย้ายข้อมูลในหน่วยความจำ
เหมาะกับงาน inference ขนาดใหญ่ เช่น LLM และ transformer
มีระบบซอฟต์แวร์และฮาร์ดแวร์ที่พร้อมใช้งานทันที

https://wccftech.com/intel-potential-acquisition-of-sambanova-could-catalyze-the-ai-comeback/

NPM ถูกถล่มด้วยแพ็กเกจอันตรายกว่า 126 รายการ ดาวน์โหลดไปแล้วกว่า 86,000 ครั้ง!

บริษัทความปลอดภัย Koi เปิดเผยแคมเปญโจมตีชื่อ “PhantomRaven” ที่ใช้ช่องโหว่ในระบบ Remote Dynamic Dependencies (RDD) ของ NPM เพื่อแฝงมัลแวร์ในแพ็กเกจ JavaScript โดยไม่สามารถตรวจจับได้ด้วยเครื่องมือวิเคราะห์ทั่วไป

NPM เป็นระบบจัดการแพ็กเกจสำหรับ JavaScript ที่นักพัฒนาทั่วโลกใช้กันอย่างแพร่หลาย โดยปกติแล้ว dependency จะถูกดึงจากแหล่งที่เชื่อถือได้ของ NPM แต่ฟีเจอร์ RDD เปิดให้แพ็กเกจสามารถดึง dependency จากเว็บไซต์ภายนอกได้ แม้จะเป็น HTTP ที่ไม่เข้ารหัส

แฮกเกอร์ใช้ช่องทางนี้อัปโหลดแพ็กเกจ 126 รายการที่มีโค้ดแอบโหลดมัลแวร์จากเซิร์ฟเวอร์ภายนอก โดยแพ็กเกจเหล่านี้แสดงว่า “ไม่มี dependency” ทำให้เครื่องมือวิเคราะห์ไม่สามารถตรวจจับได้

มัลแวร์ที่ถูกโหลดจะสแกนเครื่องของเหยื่อเพื่อขโมยข้อมูล เช่น:
ตัวแปร environment ที่ใช้ตั้งค่าระบบ
Credential ของ GitHub, Jenkins และ NPM
ข้อมูลจากระบบ CI/CD ที่ใช้ deploy โค้ด
ส่งข้อมูลออกผ่าน HTTP, JSON และ WebSocket แบบซ้ำซ้อน

ที่น่าตกใจคือบาง dependency ใช้ชื่อที่ “AI chatbot มัก hallucinate” หรือแนะนำผิด ๆ ทำให้แฮกเกอร์สามารถหลอกนักพัฒนาให้ติดตั้งแพ็กเกจปลอมได้ง่ายขึ้น

รายละเอียดแคมเปญ PhantomRaven
ใช้ Remote Dynamic Dependencies (RDD) เพื่อโหลดมัลแวร์จากเว็บภายนอก
อัปโหลดแพ็กเกจ 126 รายการลง NPM
ดาวน์โหลดไปแล้วกว่า 86,000 ครั้ง
แสดงว่าไม่มี dependency เพื่อหลบการตรวจจับ

วิธีการโจมตี
โหลดมัลแวร์ “สด” ทุกครั้งที่ติดตั้งแพ็กเกจ
ตรวจสอบ IP ของผู้ติดตั้งเพื่อเลือก payload ที่เหมาะสม
ส่งโค้ดสะอาดให้ security researcher แต่ส่งโค้ดอันตรายให้บริษัท

ข้อมูลที่ถูกขโมย
Environment variables และ config ภายใน
Credential ของแพลตฟอร์มพัฒนา
ข้อมูลจากระบบ CI/CD
ส่งออกผ่านหลายช่องทางเพื่อความแน่นอน

จุดอ่อนของระบบ NPM
RDD ไม่สามารถตรวจสอบด้วย static analysis
ไม่มีการ cache หรือ versioning ทำให้โหลดโค้ดใหม่ทุกครั้ง
แพ็กเกจปลอมใช้ชื่อที่ AI มักแนะนำผิด

ความเสี่ยงจากการใช้แพ็กเกจโดยไม่ตรวจสอบ
อาจติดตั้งมัลแวร์โดยไม่รู้ตัว
ข้อมูล credential และระบบ deploy อาจถูกขโมย
การใช้ชื่อแพ็กเกจจาก AI chatbot อาจนำไปสู่การติดตั้งแพ็กเกจปลอม

วิธีป้องกันเบื้องต้น
ตรวจสอบแพ็กเกจก่อนติดตั้ง โดยดู source และ dependency
หลีกเลี่ยงการใช้แพ็กเกจที่โหลด dependency จากเว็บภายนอก
ใช้ระบบ sandbox หรือ container เมื่อติดตั้งแพ็กเกจใหม่
ติดตามรายชื่อแพ็กเกจอันตรายจากรายงานของ Koi และชุมชน

นี่คืออีกหนึ่งตัวอย่างของ “supply chain attack” ที่แฝงตัวในเครื่องมือที่นักพัฒนาใช้ทุกวัน และเตือนว่าแม้ระบบจะยืดหยุ่นแค่ไหน ก็ต้องมีการตรวจสอบและป้องกันอย่างรัดกุมเสมอ.

https://arstechnica.com/security/2025/10/npm-flooded-with-malicious-packages-downloaded-more-than-86000-times/

Windows 7 ขนาด 69MB! นักพัฒนาโชว์เวอร์ชันมินิมอลที่บูตได้จริง แต่ยังใช้งานแทบไม่ได้

นักพัฒนาในชุมชน Windows Insider ชื่อ Xeno สร้าง Windows 7 เวอร์ชันพิเศษที่มีขนาดเพียง 69MB โดยตัดไฟล์ระบบออกเกือบทั้งหมดเพื่อโชว์ว่า “ระบบปฏิบัติการที่บูตได้” สามารถเล็กแค่ไหน แม้ยังไม่สามารถใช้งานจริงได้ แต่ถือเป็น proof-of-concept ที่น่าทึ่ง

Xeno แชร์ผลงานผ่าน Twitter พร้อมภาพหน้าจอของ Windows 7 ที่บูตขึ้นมาได้จริงจากไฟล์ ISO ขนาด 69MB ซึ่งถูกบีบอัดเหลือ 40.4MB ด้วย 7zip และภายในประกอบด้วย virtual disk ขนาดเล็กสำหรับ VMware และไฟล์ config

แม้ระบบจะบูตได้ แต่แทบไม่มีฟีเจอร์ใดใช้งานได้เลย เพราะไฟล์สำคัญอย่าง common controls และ dialog boxes ถูกลบออกหมด ทำให้ “แทบไม่มีโปรแกรมใดรันได้” และยังขึ้นข้อความว่า “This copy of Windows is not genuine” เพราะระบบตรวจสอบลิขสิทธิ์ยังทำงานอยู่

Xeno ระบุว่า “คุณต้องใส่ไฟล์ระบบเอง หากต้องการให้โปรแกรมพื้นฐานทำงาน” และมีแผนจะพัฒนาเวอร์ชันที่ใช้งานได้จริงสำหรับผู้ที่สนใจเล่นเกมเก่า ๆ หรือใช้งานแบบ retro โดยอาจเพิ่มไฟล์ระบบบางส่วนกลับเข้าไป

รายละเอียดของ Windows 7 ขนาด 69MB
สร้างโดย Xeno นักพัฒนาในชุมชน Windows Insider
ขนาด ISO 69MB บีบอัดเหลือ 40.4MB ด้วย 7zip
ภายในมี virtual disk และ config สำหรับ VMware
ระบบสามารถบูตได้จริง แต่ใช้งานแทบไม่ได้

จุดเด่นและข้อจำกัด
ตัดไฟล์ระบบออกเกือบทั้งหมด เช่น common controls
ไม่มีโปรแกรมพื้นฐานทำงานได้
ระบบยังตรวจสอบลิขสิทธิ์และขึ้นข้อความ “not genuine”
ต้องใส่ไฟล์ระบบเองหากต้องการใช้งานจริง

แผนในอนาคตของผู้พัฒนา
อาจเพิ่มไฟล์ระบบบางส่วนเพื่อให้ใช้งานได้มากขึ้น
ตั้งเป้าให้รองรับเกมเก่าและแอป retro
มีความสนใจจากชุมชนที่อาจผลักดันให้เกิดเวอร์ชัน “Tiny7” แบบใช้งานได้จริง

https://www.tomshardware.com/software/windows/veteran-windows-insider-creates-windows-7-install-measuring-just-69mb-in-size-system-boots-but-has-been-pruned-so-severely-virtually-nothing-can-run-for-now

ต้มข้ามศตวรรษ – หัวโจก 5 – 6
นิทานเรื่องจริง เรื่อง “ต้มข้ามศตวรรษ”
บทที่ 3 “หัวโจก”

ตอน 5

คณะกรรมาธิการ 1919 the Senate Overman Committee ได้ลงความเห็นว่า Guaranty Trust มี บทบาทสูง และทำอย่างสม่ำเสมอ ในการสนับสนุนทางการเงินแก่เยอรมันในระหว่างสงครามโลกครั้งที่ 1 และเป็นการปฏิบัติตัวอย่างไม่เป็นกลาง ตามคำให้การของนาย Becker เจ้าหน้าที่ฝ่ายข่าวกรองของอเมริกา

ที่สำคัญ การสนับสนุนทางการเงิน แก่เยอรมัน ไม่ใช่เพียงแค่เป็นการผิดกฏหมายเท่านั้น เพราะในขณะเดียวกันนั้น Guaranty Trust ก็ให้การสนับสนุนทางการเงิน กับฝ่ายสัมพันธมิตรในเวลานั้นด้วย มันเป็นเรื่องของการขัดกันแห่งผลประโยชน์ ซึ่งแสดงให้เห็นถึงการขาดจรรยาบรรณ อย่างร้ายแรงของ Guaranty Trust อีกด้วย

แต่ฤทธิเดชความพลิกแพลงของนักการเงินวอลสตรีท ไม่ได้มีเพียงแค่นั้น ยังมีตัวละครสำคัญอีกหลายราย ที่ทำให้แผนการชั่วร้ายของกลุ่มการเงินวอลสตรีท ประสบความสำเร็จ

Count Jacques Minotto เป็นตัวละครอีกรายหนึ่ง ที่โยงการปฏิวัติ Bolsheviks ในรัสเซียกับกลุ่มธนาคารเยอรมัน และการจารกรรมในอเมริกา ช่วงสงครามโลกครั้งที่ 1 กับ Guaranty Trust Company ในนิวยอร์ค
Jacques Minotto เกิดเมื่อ 17 กุมภาพันธ์ 1891 ที่เบอร์ลิน พ่อเป็นชาวออสเตรียนที่มีเชื้อเจ้า ส่วนแม่เป็นเยอรมัน Minotto เรียนหนังสือที่เบอร์ลิน เมื่อเรียนจบก็เข้าทำงานที่ Deutsche Bank ในเบอร์ลินเมื่อปี 1912 ทำงานที่นั่นไม่นานเท่าไหร่ เขาก็ถูกส่งตัวมาเป็นผู้ช่วยของ Hugo Schmidt ซึ่งเป็นกรรมการของธนาคาร และเป็นตัวแทนของ Deutsche Bank ที่นิวยอร์ค เรียกว่าเป็นเด็กเส้น อยู่นิวยอร์คได้ 1 ปี นาย Minotto เด็กเส้นก็ถูกส่งไปอยู่ Deutsche Bank ที่ลอนดอน ทำให้เขาได้วนเวียนอยู่ในสังคมชั้นสูง ของนักการเมืองและนักการฑูต

เมื่อสงครามโลกครั้งที่ 1 เริ่มก่อตัว Minotto กลับมาอยู่ที่อเมริกา และได้มีโอกาสพบกับ Count Von Bernstorff ฑูตเยอรมันประจำอเมริกา หลังจากนั้น Minotto ก็เลยเปลี่ยนที่ทำงาน ย้ายมาทำงานหน้าที่ Guaranty Trust Company ในนิวยอร์คแทน และอยู่ใต้บังคับบัญชาของนาย Max May ซึ่งเป็นกรรมการด้านนโยบายฝ่ายต่างประเทศของ Guaranty Trust เป็น Max May ที่ Olof Aschberg นายธนาคารของพวก Bolsheviks เดินตามต้อยๆ

เดือนตุลาคม 1914 Guaranty Trust ส่ง Minotto ไปอเมริกาใต้ เพื่อไปทำการสำรวจ และวิเคราะห์สถานการณ์ทางการเมือง ธุรกิจการเงิน และการค้าในแถบนั้น และก็เหมือนชีวิตในลอนดอน และนิวยอร์ค Minotto พาตัวเองเข้าสู่สังคมชั้นสูง แท้จริงแล้ว ภาระกิจของ Minotto ในลาตินอเมริกาคือ หาทางให้ Guaranty Trust สามารถเป็นตัวกลาง ในการระดมเงินทุนให้เยอรมัน แทนตลาดลอนดอน ซึ่งขณะนั้นปฏิเสธที่จะทำ เนื่องจากอังกฤษกำลังทำสงครามอยู่กับเยอรมัน

เอะ คราวนี้อังกฤษเกิดมีจรรยาบรรณ อย่าเพิ่งเข้าใจเป็นอย่างนั้น อังกฤษไม่เคยมีนิสัยอย่างนั้น และเป็นไปไม่ได้ที่จะเป็นอย่างนั้น มันเป็นเรื่องเกี่ยวกับเยอรมันมากกว่า อะไรที่จะเกิดประโยชน์กับเยอรมัน ไม่ว่าเรื่องอะไร ทางใด อังกฤษจะไม่มีวันยอมให้เกิดขึ้น เป็นอย่างนี้มากว่าร้อยปี เดี๋ยวนี้ก็ยังเป็นอยู่ แต่เยอรมันจะรู้ตัวหรือไม่อีกเรื่องนึง

นิทานเรื่องจริง เรื่อง “ต้มข้ามศตวรรษ”
บทที่ 3 “หัวโจก”

ตอน 6

เมื่อ Minotto เดินทางกลับมานิวยอร์ค เขากลับมาคบค้ากับ Count Von Berntorff ต่อ และพยายาม สมัครเข้าไปอยู่ในหน่วยข่าวกรอง ของกองทัพเรืออเมริกัน แต่ไม่เป็นผล หลังจากนั้น เขาถูกจับ ข้อหาจัดกิจกรรมที่เป็นการส่งเสริมเยอรมัน ขณะถูกจับ Minotto ทำงานอยู่ที่โรงงานในชิคาโก ให้กับพ่อตาของเขา Louis Swift เจ้าของบริษัท Swift & Co ซึ่งทำอุตสาหกรรมส่งเนื้อสัตว์แช่แข็ง พ่อตาใช้พันธบัตร จำนวน 50,000 เหรียญ ประกัน Minotto ออกมา แต่ตอนหลังคุณพ่อตา ก็ถูกจับข้อหาโปรเยอรมันเช่นเดียวกัน

เป็นเรื่องบังเอิญหรือเปล่าไม่ แน่ใจ แต่คุณพ่อตานี้ เป็นพี่ชาย ของ Major Harold H. Swift ที่ร่วมเดินทางไป Petrograd กับ William Boyce Thompson ในคณะภารกิจกาชาด Red Cross Mission เพื่อรัสเซีย ในปี 1917 ที่จะเล่าต่อไปด้วย

นาย Josef Caillaux เป็นนักการเมืองชื่อดังของฝรั่งเศส เขารู้จักและเที่ยวเตร่กับ Minotto ที่ลาตินอเมริกา เมื่อตอนที่ Minotto ไปทำภาระกิจให้ Guaranty Trust

ปี 1911 Caillaux ได้เป็นรัฐมนตรีคลัง และในปีเดียวกัน เขาได้เป็นนายกรัฐมนตรีของฝรั่งเศส และมี John Louis Malvy เป็นรัฐมนตรีต่างประเทศในรัฐบาลของเขา หลังจากนั้นไม่กี่ปี คุณนาย Caillaux ก็ปฏิบัติการฆาตกรรม นาย Calmette บรรณาธิการหนังสือพิมพ์ชื่อดังของฝรั่งเศส Figaro อัยการตั้งข้อหาว่า คุณนาย Caillaux ฆ่า Calmette เพื่อปิดปากไม่ให้ Calmette ตีพิมพ์เอกสารสำคัญฉบับหนึ่ง

เหตุการณ์นี้ทำให้นาย Caillaux และคุณนายใจโหด หนีออกไปจากฝรั่งเศส และไปอยู่ที่แถบลาตินอเมริกา จน Minotto ได้ไปพบ และในที่สุด Minotto กับครอบครัว Caillaux ก็สนิทสนมกลมเกลียว ท่องเที่ยวด้วยกันไปทั่วอเมริกาใต้ เมื่อได้กลับมาฝรั่งเศสอีกครั้ง ครอบครัว Caillaux พักอยู่ที่ Biarrtiz ในฐานะแขกของ Paul Bolo-Pasha ซึ่งเป็นสายลับระดับหัวหน้าของเยอรมัน ที่ปฏิบัติภาระกิจอยู่ในฝรั่งเศส

ในเดือนกรกฏาคม 1915 Minotto เดินทางจากอิตาลีมาฝรั่งเศสและพบกับครอบครัว Caillaux ซึ่งเป็นช่วงเดียวกับที่ครอบครัว Caillauxเป็นแขกรับเชิญของ Bolo-Pasha และพักที่ Biarrtiz อย่างเคย

ภาระกิจของ Bolo-Pasha ที่ฝรั่งเศสคือ เพื่อทำการโฆษณาชวนเชื่อเกี่ยวกับเยอรมัน ผ่านหนังสือพิมพ์ชั้นนำของฝรั่งเศสคือ Le Temps และ Figaro หลังจากนั้น Bolo-Pasha ก็เดินทางไปนิวยอร์ค เพื่อพบกับ Von Pavenstedt สายลับระดับหัวหน้าของเยอรมัน ที่ปฏิบัติภาระกิจอยู่ในอเมริกา และเป็นผู้ที่มีสายสัมพันธุ์ระดับลึก กับ Amsinck & Co ของ Guaranty Trust ที่ กลุ่ม Morgan เป็นเจ้าของ

มันเป็นเครือข่ายใยแมงมุม ของพวกโคตรแสบและชั่วจริงๆ
Severance Johnson เขียนไว้ในหนังสือเรื่อง The Enemy Within เกี่ยวกับ Caillaux และ Malvy ซึ่งพยายามทำการปฏิวัติที่เรี ยกว่า French Bolsheviks ในฝรั่งเศสปี 1918 แต่ไม่สำเร็จว่า “ถ้าการปฏิวัติทำสำเร็จ Malvy ก็คงจะเป็น Trotsky แห่งฝรั่งเศส และ Caillaux ก็คงจะเป็น Lenin”

Caillaux และ Malvy ได้ ร่วมกันตั้งพรรคสังคมนิยมหัวรุนแรงขึ้นในฝรั่งเศส โดยใช้เงินทุนของเยอรมัน และถูกจับตัวขึ้นศาล ในข้อหาพยายามล้มล้างรัฐบาล จากการไต่สวนของศาล เกี่ยวกับการกระทำเป็นสายลับในฝรั่งเศสในปี 1919 และมีการสืบพยานเกี่ยวกับธนาคารในนิวยอร์ค และสัมพันธ์ของพวกธนาคารกับพวก สายลับชาวเยอรมัน ซึ่งระบุว่า มีการเชื่อมโยงระหว่าง Count Minotto กับ Caillaux และ Guaranty Trust กับDeutsche Bank และการร่วมมือระหว่าง Hugo Schimdt ของ Deutsche Bank กับ Max May ของ Guaranty Trust

ต่อมาในปลายปี 1922 Max May ได้เป็นกรรมการของธนาคาร Ruskombank และเป็นตัวแทนของกลุ่ม Guaranty Trust ซึ่งถือหุ้นอยู่ในธนาคารดังกล่าว

สรุปว่า นาย Max May ของ Guaranty Trust เกี่ยวโยงกับการระดมเงินทุน อย่างไม่ถูกกฏหมายให้แก่เยอรมัน เพื่อทำการจารกรรมในอเมริกา ระหว่างสงครามโลกครั้งที่ 1 และ Max May ก็เกี่ยวโยง โดยทางอ้อมกับพวกปฏิวัติ Bolsheviks และเกี่ยวโดยตรงกับการตั้งธนาคาร Ruskombank ธนาคารระหว่างประเทศแห่งแรกในสหภาพโซเวียต

อาจจะยังเร็วไป ที่จะสรุปว่า การกระทำ ที่ทั้งผิดกฏหมายและผิดจรรยาบรรณอย่างร้ายแรงเหล่านี้ มีคำอธิบายอย่างไร อาจมีผู้สรุปชั้นแรกตรงไปตรงมา ว่า น่าจะมาจากความต้องการทำกำไร ความงกในการทำธุรกิจ ของกลุ่มนักการเงิน แต่มันจะเป็นแค่นั้นแน่หรือ…

สวัสดีครับ
คนเล่านิทาน
29 เม.ย. 2558

Examples Of Every Letter Being Silent, With The Exception Of…

You probably already know that English features many, many words with silent letters—letters that appear in the word but aren’t pronounced and often make us wonder what they are even doing there. For example, the letter B in the words debt and thumb. Or whatever the heck is going on in the words colonel, queue, and bourgeoisie.

Even though you’re probably already familiar with silent letters, you might not realize just how many words in English actually use them. To demonstrate just how common these silent letters actually are, we quietly gathered up a list of as many examples of silent letters as we could find.

It should be noted that silent letters often depend on pronunciation and regional accents, which we have noted at points in our list.

Silent A words

The letter A is silent in a bunch of words that include -ea, such as bread, dread, head, thread, and spread. The letter A also remains quiet in a bunch of adverbs that end in -ically, such as basically, stoically, logically, frantically, fanatically, magically, and tragically. A few words also have a silent A at the beginning that doesn’t seem to do much of anything, such as aisle and aesthetic.

Silent B words

The letter B likes to silently follow the letter M at the end of many words, such as in dumb, plumb, crumb, thumb, numb, succumb, lamb, limb, climb, tomb, comb, bomb, and womb. The letter B also seems to also slip in silently before the letter T in words like debt, doubt, and subtle.

Silent C words

When it comes to the letter C, it seems to remain silent when it follows the letter S. There are many examples of this, such as science, scissors, scent, ascent, crescent, descent, descend, disciple, scene, obscene, fluorescent, abscess, fascinate, and muscle.

The silent C also shows up in a few other weird words such as czar, acquire, indict, and yacht. Yacht is so fancy that it even slips a silent H in there too.

Silent D words

The letter D is silent in some words that pair it up with the letter G, as in bridge, ridge, edge, ledge, and hedge. It also doesn’t have much to say in some pronunciations of the words handsome and handkerchief. Lastly, the first D in the word Wednesday seems to have taken the day off.

Silent E words

The letter E quietly resides in the middle of the word vegetable. However, there are tons and tons more silent E‘s out there. The letter E often goes unpronounced at the end of many, many words that include but are certainly not limited to the words imagine, plaque, brute, debate, excite, make, due, true, crime, grace, goose, axe, die, dye, bike, eke, pie, use, toe, cage, dude, mute, candle, and adore.

Silent F words

This one will depend on how you pronounce the word fifth, which has two common pronunciations: one in which both F‘s are pronounced and one in which the second F is not (as if it were spelled “fith”). As far as we know, this silent F pronunciation of fifth is the only example in English of a word with a silent F.

Silent G words

For whatever reason, the letter G likes to stay quiet when it is paired up with the letter N. Examples include gnaw, gnarly, gnostic, gnat, gnash, gnome, champagne, cologne, align, assign, benign, sign, feign, foreign, and reign. The letter G also often keeps quiet when it sees the letter H, as in sigh, high, sight, light, bright, night, fight, though, and thorough.

Silent H words

We have already listed quite a few words with silent Hs but there are plenty more to find. The letter H is sometimes silent when placed at the beginning of words such as hour, heir, honor, herb, homage, and honest. The letter H is silent in many words where it follows the letter C, such as anchor, archive, chaos, character, Christmas, charisma, chemical, choreography, chorus, choir, and echo. The letter H is also silent in words where it follows the letter W, as in when, where, which, why, whine, whistle, and white. Finally, the letter H doesn’t seem to be doing much at all in the words ghost and rhyme.

Silent I words

Compared to the other vowels, the letter I seems to love to be heard. We could only find a few words that feature a silent I, such as business, suit, and fruit.

Silent J words

Based on our, ahem, totally professional research, the only English word to have a silent J is … marijuana. And interestingly, it’s tough to find a language with a silent J. J just loves to be heard.

Silent K words

The letter K is silent at the beginning of lots of words where it is followed by the letter N. Some examples of this include knife, knight, knob, knock, knit, knuckle, knee, kneel, knick-knack, knowledge, know, knot, and knoll.

Silent L words

The letter L is silent in the words including should, could, would, half, calf, chalk, talk, walk, folk, and yolk. The silent L in the word salmon is also pretty fishy.

Silent M words

After looking high and low, the only words we could find with a silent M are ones that begin with mn, such as mnemonic and similarly derived terms, but maybe we just need something to help us remember others.

Silent N words

The letter N seems to be shy around the letter M as it doesn’t speak up in words like autumn, column, condemn, solemn, and hymn.

Silent O words

The letter O is silent in some words that pair it with fellow vowels E and U, such as people, jeopardy, leopard, rough, tough, enough, trouble, and double.

Silent P words

The letter P is often silent in words that pair it with the letter S, as in psalm, psyche, psychology, pseudoscience, pseudonym, and corps. It is also silent in many technical words that include the prefixes pneumato-, pneumano-, and pneumo-, such as pneumonia and pneumatic. The letter P is also silent in a few other oddball words such as raspberry, receipt, and pterodactyl.

Silent Q words

The letter Q mostly makes its presence felt whenever it appears. The word lacquer seems to be the sole example of a word with a silent Q that we could manage to find.

Silent R words

Besides the common pronunciation of the word February that leaves out the first R, the existence (or nonexistence) of silent R’s largely depends on whether you have a rhotic or non-rhotic accent. For example, a person with a non-rhotic Boston accent will likely employ several silent R’s following vowels in the sentence My sister parked her car near Harvard Yard.

Silent S words

The Silent S appears in several different words, including island, isle, aisle, apropos, debris, bourgeois, and viscount.

Silent T words

One pattern we could find for the Silent T occurs when it is paired with the letter L in words like whistle, bristle, thistle, bustle, hustle, and castle. The letter T is also silent in a lot of French loanwords such as ballet, gourmet, rapport, ricochet, buffet, crochet, valet, debut, and beret. Besides that, the silent T appears in a random assortment of other words, such as asthma, mortgage, tsunami, soften, listen, fasten, glisten, and moisten.

Silent U words

U must get nervous around G‘s because it can’t seem to say anything when it comes after them in words like guard, guide, guilt, guitar, guess, disguise, guest, guilt, guise, baguette, dialogue, monologue, league, colleague, rogue, vague, and tongue. You can also find a silent U in words like build, biscuit, circuit, and laugh.

Silent V words

We looked as hard as we could for words with a silent V, but we sadly came up empty. Some sources claim that V is the only letter in English that is never silent, and we couldn’t find any examples to prove that claim wrong. Poetic contractions like e’er and ne’er do cut it right out, though.

Silent W words

The letter W gets tongue-tied around the letter R and is often silent when placed before it in words like wrack, wrench, wreath, wrestle, wrangle, wrist, wrong, wring, wrought, write, writ, wrinkle, wraith, wrap, wrath, wretch, wreck, writhe, wry, wrapper, and playwright. A handful of other words also feature a silent W, such as answer, sword, two, and who.

Silent X words

Unless we made an embarrassing mistake, we are pretty sure the letter X is silent in the words faux and faux pas. As it is in other French-derived words, such as roux and doux and some plurals, like choux and reseaux (the plurals of chou and reseau, respectively).

Silent Y words

The letter Y is another one that depends on pronunciation to be silent. For example, one pronunciation of the word beyond [ bee-ond ] could be considered to contain a silent Y.

Silent Z Words

A handful of French loanwords have that special je ne sais quoi of a silent Z, including rendezvous and laissez-faire.

สงวนลิขสิทธิ์ © 2025 AAKKHRA & Co.

PhantomRaven: มัลแวร์ npm สุดแสบที่ขโมยข้อมูลนักพัฒนาแบบแนบเนียน

แคมเปญมัลแวร์ PhantomRaven แอบแฝงใน npm ด้วยแพ็กเกจปลอมกว่า 126 รายการ ใช้เทคนิคลับ Remote Dynamic Dependency เพื่อขโมยโทเคนและข้อมูลลับของนักพัฒนาโดยไม่ถูกตรวจจับ

ตั้งแต่เดือนสิงหาคม 2025 แคมเปญมัลแวร์ชื่อ PhantomRaven ได้แอบปล่อยแพ็กเกจ npm ปลอมกว่า 126 รายการ ซึ่งถูกดาวน์โหลดไปแล้วกว่า 86,000 ครั้ง จุดประสงค์หลักคือขโมยข้อมูลลับของนักพัฒนา เช่น GitHub credentials, CI/CD tokens และ npm authentication tokens

สิ่งที่ทำให้ PhantomRaven อันตรายคือการใช้ฟีเจอร์ Remote Dynamic Dependency (RDD) ซึ่งอนุญาตให้แพ็กเกจ npm ดึง dependencies จาก URL ภายนอก แทนที่จะใช้ registry ปกติ ทำให้เครื่องมือสแกนความปลอดภัยมองว่าแพ็กเกจเหล่านี้ “ไม่มี dependencies” และปลอดภัย ทั้งที่จริงแล้วโค้ดอันตรายจะถูกดึงมาและรันทันทีเมื่อผู้ใช้ติดตั้ง

แพ็กเกจปลอมเหล่านี้มักมีชื่อคล้ายของจริง เช่น eslint-comments (จริงคือ eslint-plugin-eslint-comments) หรือ unused-imports (จริงคือ eslint-plugin-unused-imports) ซึ่งถูกออกแบบมาให้ AI แนะนำโดยผิดพลาดเมื่อผู้ใช้ถามหาแพ็กเกจในแชตบอตหรือ Copilot

เมื่อโค้ดรัน มัลแวร์จะเริ่มเก็บข้อมูลจากไฟล์ .gitconfig, .npmrc, package.json รวมถึงสแกนหาโทเคนจาก GitHub Actions, GitLab, Jenkins และ CircleCI จากนั้นจะส่งข้อมูลออกผ่าน HTTP GET, POST และ WebSocket เพื่อให้แน่ใจว่าข้อมูลจะหลุดออกไปแม้ในเครือข่ายที่มีไฟร์วอลล์

PhantomRaven คือแคมเปญมัลแวร์ใน npm
ปล่อยแพ็กเกจปลอมกว่า 126 รายการ
ถูกดาวน์โหลดไปแล้วกว่า 86,000 ครั้ง
เริ่มต้นในเดือนสิงหาคม 2025 และยังมีแพ็กเกจที่ยังไม่ถูกลบ

เทคนิค Remote Dynamic Dependency (RDD)
ดึงโค้ดจาก URL ภายนอกแทน registry
ทำให้เครื่องมือสแกนมองว่าไม่มี dependencies
โค้ดอันตรายจะรันทันทีเมื่อติดตั้งผ่าน preinstall script

ข้อมูลที่มัลแวร์พยายามขโมย
อีเมลและข้อมูลจากไฟล์ config
โทเคนจาก GitHub, GitLab, Jenkins, CircleCI
ข้อมูลระบบ เช่น IP, hostname, OS, username

ช่องทางการส่งข้อมูลออก
HTTP GET (ฝังข้อมูลใน URL)
HTTP POST (ส่ง JSON payload)
WebSocket (ใช้ในเครือข่ายที่มีข้อจำกัด)

ความเสี่ยงจากแพ็กเกจปลอม
ชื่อคล้ายของจริง ทำให้ AI แนะนำผิด
ผู้ใช้ติดตั้งโดยไม่รู้ว่าเป็นมัลแวร์
โค้ดดูเหมือน harmless เช่น console.log('Hello, world!') แต่แฝง payload จริงไว้ภายนอก

ความเสี่ยงต่อระบบ CI/CD และข้อมูลลับ
โทเคนและ credentials ถูกขโมยโดยไม่รู้ตัว
ส่งผลกระทบต่อระบบอัตโนมัติและการ deploy
อาจถูกใช้เพื่อเจาะระบบองค์กรหรือ cloud infrastructure

เกร็ดน่ารู้เพิ่มเติม
Remote Dynamic Dependency เป็นฟีเจอร์ที่แทบไม่มีใครใช้ เพราะเสี่ยงต่อความปลอดภัยสูง
Slopsquatting คือเทคนิคใหม่ที่ใช้ AI สร้างชื่อแพ็กเกจปลอมที่ “ดูเหมือนจริง” เพื่อหลอกให้ผู้ใช้ติดตั้ง
นักพัฒนาควรใช้เครื่องมือเช่น npm audit, Snyk, หรือ Socket.dev เพื่อตรวจสอบความปลอดภัยของแพ็กเกจ

https://securityonline.info/phantomraven-126-malicious-npm-packages-steal-developer-tokens-and-secrets-using-hidden-dependencies/

“AI Superintelligence” กับเสียงเตือนจากคนดัง: เมื่อเทคโนโลยีอาจล้ำเส้นมนุษย์

เสียงเตือนจากนักวิทยาศาสตร์และคนดังทั่วโลกกำลังดังขึ้นเรื่อยๆ เมื่อ AI กำลังพัฒนาไปสู่ระดับ “Superintelligence” — ปัญญาประดิษฐ์ที่อาจฉลาดกว่ามนุษย์ในทุกด้าน และนั่นอาจไม่ใช่เรื่องดีเสมอไป

ในช่วงไม่กี่ปีที่ผ่านมา AI กลายเป็นส่วนหนึ่งของชีวิตประจำวัน ไม่ว่าจะเป็นภาพที่สร้างจาก AI หรือการพูดคุยกับแชตบอต แต่เบื้องหลังความสะดวกนั้นคือความกังวลที่เพิ่มขึ้นเรื่อยๆ โดยเฉพาะเมื่อบริษัทใหญ่อย่าง OpenAI และ xAI กำลังพัฒนา “Superintelligence” — AI ที่สามารถคิด วิเคราะห์ และเรียนรู้ได้เหนือกว่ามนุษย์

กลุ่มนักวิทยาศาสตร์และคนดัง เช่น Richard Branson, Steve Wozniak, Prince Harry, Meghan Markle, Joseph Gordon-Levitt และ will.i.am ได้ร่วมลงชื่อในแถลงการณ์ “Statement on Superintelligence” เพื่อเรียกร้องให้หยุดการพัฒนา AI ประเภทนี้ชั่วคราว จนกว่าจะมี “ฉันทามติทางวิทยาศาสตร์” ว่าจะสามารถควบคุมได้อย่างปลอดภัย และมี “การยอมรับจากสาธารณชน” อย่างชัดเจน

Superintelligent AI ไม่เหมือนกับ AI ที่เราใช้กันในปัจจุบัน เพราะมันไม่ต้องพึ่งพามนุษย์ในการสั่งงานอีกต่อไป มันสามารถเรียนรู้และพัฒนาตัวเองได้อย่างต่อเนื่อง และอาจมีเป้าหมายที่มันจะทำทุกวิถีทางเพื่อให้สำเร็จ — โดยไม่สนใจผลกระทบต่อมนุษย์

ความเสี่ยงที่อาจเกิดขึ้นมีตั้งแต่การแย่งงาน การควบคุมสังคมผ่านเทคโนโลยี ไปจนถึงการสูญพันธุ์ของมนุษย์ ฟังดูเหมือนนิยายไซไฟ แต่ผู้เชี่ยวชาญเตือนว่าเรากำลังเดินเข้าสู่ “พื้นที่ที่ไม่เคยมีใครสำรวจมาก่อน” และควรเตรียมรับมือกับผลลัพธ์ที่เลวร้ายที่สุด

AI Superintelligence คืออะไร
ปัญญาประดิษฐ์ที่สามารถคิด วิเคราะห์ และเรียนรู้ได้เหนือกว่ามนุษย์
ไม่ต้องพึ่งพาการสั่งงานจากมนุษย์อีกต่อไป
สามารถพัฒนาตัวเองอย่างต่อเนื่องโดยไม่มีข้อจำกัด

แถลงการณ์ Statement on Superintelligence
เรียกร้องให้หยุดการพัฒนา AI ประเภทนี้ชั่วคราว
ต้องมีฉันทามติทางวิทยาศาสตร์ว่าปลอดภัย
ต้องได้รับการยอมรับจากสาธารณชนก่อนเปิดใช้งาน

ผู้ร่วมลงชื่อในแถลงการณ์
Richard Branson, Steve Wozniak, Prince Harry, Meghan Markle
Joseph Gordon-Levitt, will.i.am, Yoshua Bengio, Stuart Russell

ความเสี่ยงจาก AI Superintelligence
อาจถูกควบคุมโดยผู้ไม่หวังดี
มีโอกาส “หลุดจากการควบคุม” ของมนุษย์
อาจใช้ทรัพยากรทางปัญญาเพื่อบรรลุเป้าหมายโดยไม่สนใจผลกระทบ

ผลกระทบต่อมนุษย์
การแย่งงานในหลายอุตสาหกรรม
การเฝ้าระวังและควบคุมสังคมผ่านเทคโนโลยี
ความเสี่ยงต่อการสูญพันธุ์ของมนุษย์

https://www.slashgear.com/2010667/superintelligence-ban-ai-experts-public-figures/

“จากคลาวด์สู่เหล็กจริง” – บทเรียน 2 ปีหลังย้ายจาก AWS สู่ Bare Metal

บริษัท OneUptime เผยเบื้องหลังการย้ายจาก AWS สู่ Bare Metal ที่ช่วยประหยัดกว่า 1.2 ล้านดอลลาร์ต่อปี พร้อมเปิดเผยกลยุทธ์และบทเรียนที่นักพัฒนาและองค์กรควรรู้ก่อนตัดสินใจเปลี่ยนโครงสร้างพื้นฐาน

สองปีหลังจาก OneUptime ตัดสินใจย้ายโครงสร้างพื้นฐานจาก AWS ไปยังเซิร์ฟเวอร์แบบ Bare Metal บริษัทได้เปิดเผยผลลัพธ์ที่น่าทึ่ง ทั้งด้านความคุ้มค่า ความเสถียร และความสามารถในการควบคุมระบบอย่างเต็มรูปแบบ

การย้ายครั้งนี้ไม่ใช่แค่เรื่องของการลดค่าใช้จ่าย แต่เป็นการปรับเปลี่ยนแนวคิดการบริหารโครงสร้างพื้นฐาน โดย OneUptime ได้ตอบคำถามจาก Hacker News และ Reddit อย่างตรงไปตรงมา พร้อมเปิดเผยตัวเลขจริงและกลยุทธ์ที่ใช้

ประเด็นสำคัญที่น่าสนใจ:
ประหยัดค่าใช้จ่ายจาก AWS ได้กว่า $1.2 ล้านต่อปี เทียบกับเดิมที่ประหยัด $230,000 ต่อปี
ลด latency ลง 19% ด้วย NVMe และไม่มี “noisy neighbors”
ใช้ MicroK8s + Ceph ใน production ด้วย uptime 99.993%
เพิ่ม rack ที่ Frankfurt เพื่อแก้ปัญหา single point of failure
ใช้ Talos, Tinkerbell, Flux และ Terraform เพื่อจัดการ automation
ยังคงใช้ AWS สำหรับงานที่ต้องการความยืดหยุ่น เช่น CloudFront และ Glacier

สรุปเนื้อหาสำคัญ
ผลลัพธ์หลังย้ายจาก AWS
ประหยัดค่าใช้จ่ายกว่า $1.2 ล้านต่อปี
ลด latency ลง 19% ด้วย NVMe
เพิ่มความเสถียรของระบบด้วย uptime 99.993%
ขยาย rack ไปยัง Frankfurt เพื่อ redundancy

กลยุทธ์ด้านเทคนิค
ใช้ MicroK8s + Ceph ใน production
เตรียมย้ายไปใช้ Talos เพื่อจัดการ Kubernetes
ใช้ Tinkerbell PXE boot, Flux และ Terraform สำหรับ automation
ไม่มีทีม onsite แต่ใช้บริการ remote hands จาก colo provider

การจัดการต้นทุนและ CapEx
เซิร์ฟเวอร์ขนาดใหญ่: 2× AMD EPYC 9654, 1TB RAM
วางแผน amortize 5 ปี แต่สามารถใช้งานได้ถึง 7–8 ปี
มี cold spares และ extended warranty จาก OEM
สามารถ refresh 40% ของ fleet ทุก 2 ปีโดยยังประหยัดกว่าบิล AWS

การจัดการความปลอดภัยและ compliance
ยังคงรักษา SOC 2 Type II และ ISO 27001
ใช้ Terraform และ Talos config เป็นหลักฐานการเปลี่ยนแปลง
ใช้รายงานจาก colo provider สำหรับ audit

การใช้คลาวด์อย่างมีเหตุผล
ใช้ AWS สำหรับ Glacier, CloudFront และ load testing
เลือกใช้คลาวด์เมื่อ elasticity สำคัญ
Bare metal เหมาะกับ workload ที่ steady และ predictable

คำเตือนสำหรับผู้ที่คิดจะย้าย
หาก workload มีลักษณะ burst หรือ seasonal ควรอยู่บนคลาวด์
หากพึ่งพา managed services อย่าง Aurora หรือ Step Functions ควรอยู่บนคลาวด์
หากไม่มีทีมที่เชี่ยวชาญ Kubernetes, Ceph และ observability อาจไม่เหมาะกับ bare metal
การย้ายต้องมีการวางแผนด้าน compliance และ audit อย่างรอบคอบ

https://oneuptime.com/blog/post/2025-10-29-aws-to-bare-metal-two-years-later/view

Jenkins Plugin Flaws: เมื่อระบบ CI/CD กลายเป็นเป้าหมายใหม่ของแฮกเกอร์

Jenkins เจอคลื่นช่องโหว่ปลั๊กอินครั้งใหญ่: SAML Auth Bypass เสี่ยงยึดระบบ CI/CD ทั้งองค์กร ช่องโหว่ CVE-2025-64131 ในปลั๊กอิน SAML ของ Jenkins เปิดทางให้แฮกเกอร์ขโมย session และสวมรอยผู้ใช้ได้ทันที พร้อมช่องโหว่อื่น ๆ อีกกว่า 10 รายการที่ยังไม่มีแพตช์

Jenkins ซึ่งเป็นเครื่องมือ CI/CD ยอดนิยมในองค์กรทั่วโลก กำลังเผชิญกับคลื่นช่องโหว่ปลั๊กอินครั้งใหญ่ โดยมีการเปิดเผยช่องโหว่รวม 14 รายการใน advisory ล่าสุด ซึ่งหลายรายการยังไม่มีแพตช์แก้ไข

จุดที่ร้ายแรงที่สุดคือ CVE-2025-64131 ในปลั๊กอิน SAML ที่ใช้สำหรับ Single Sign-On (SSO) โดยช่องโหว่นี้เกิดจากการไม่เก็บ replay cache ทำให้แฮกเกอร์สามารถ reuse token ที่เคยใช้แล้วเพื่อสวมรอยผู้ใช้ได้ทันที แม้จะเป็นผู้ดูแลระบบก็ตาม

ผลกระทบของช่องโหว่นี้:
แฮกเกอร์สามารถขโมย session และเข้าถึง Jenkins โดยไม่ต้องยืนยันตัวตน
หาก Jenkins มีสิทธิ์เชื่อมต่อกับ GitHub, Docker, หรือ cloud provider แฮกเกอร์สามารถเข้าถึงระบบ downstream ได้ทันที
เป็นภัยคุกคามต่อระบบ DevOps pipeline และความปลอดภัยของซอร์สโค้ด

นอกจากนี้ยังมีช่องโหว่อื่น ๆ ที่น่ากังวล เช่น:
CVE-2025-64132: Missing permission checks ใน MCP Server Plugin
CVE-2025-64133: CSRF ใน Extensible Choice Parameter Plugin
CVE-2025-64134: XXE ใน JDepend Plugin
CVE-2025-64140: Command Injection ใน Azure CLI Plugin
CVE-2025-64143–64147: Secrets ถูกเก็บในไฟล์ config แบบ plaintext
CVE-2025-64148–64150: Missing permission checks ใน Publish to Bitbucket Plugin

ผู้ดูแลระบบควรรีบตรวจสอบปลั๊กอินที่ใช้งานอยู่ และอัปเดตหรือปิดการใช้งานปลั๊กอินที่มีช่องโหว่ทันที

https://securityonline.info/jenkins-faces-wave-of-plugin-flaws-including-saml-authentication-bypass-cve-2025-64131/

ช่องโหว่ CVE-2025-62725 ใน Docker Compose เปิดทางให้เขียนทับไฟล์ใดก็ได้บนเครื่อง — แม้ใช้แค่คำสั่ง read-only

ช่องโหว่ระดับสูงใน Docker Compose (CVE-2025-62725, CVSS 8.9) เปิดช่องให้ผู้โจมตีสามารถใช้ไฟล์ compose จากแหล่ง OCI ปลอมเพื่อเขียนทับไฟล์ใดก็ได้บนเครื่อง host โดยไม่ต้องรัน container — แค่ใช้คำสั่ง read-only เช่น docker compose config ก็เพียงพอแล้ว.

Docker Compose เชื่อข้อมูล path จาก artifact โดยไม่ตรวจสอบ
เมื่อใช้ไฟล์ compose จาก remote OCI registry ที่มี annotation เช่น com.docker.compose.extends หรือ com.docker.compose.envfile
Compose จะรวม path ที่ผู้โจมตีระบุไว้กับ cache directory แล้วเขียนไฟล์ลงไปโดยตรง

สามารถใช้ path traversal เช่น ../../../../../etc/passwd เพื่อเขียนทับไฟล์ระบบ
ช่องโหว่นี้เกิดจากการเชื่อมั่น annotation โดยไม่มีการ sanitize
ส่งผลให้ผู้โจมตีสามารถหลุดออกจาก cache directory และเข้าถึงไฟล์ใดก็ได้บนเครื่อง

คำสั่ง read-only ก็สามารถ trigger ช่องโหว่ได้
เช่น docker compose config, docker compose ps ซึ่งมักใช้ใน CI/CD pipeline หรือขั้นตอน linting
ไม่จำเป็นต้อง build หรือ run container ก็สามารถโจมตีได้

กระทบทุกแพลตฟอร์มที่ใช้ remote OCI compose artifacts
Docker Desktop, Linux binaries, CI runners, cloud dev environments
โดยเฉพาะระบบที่ดึงไฟล์ compose จาก registry ภายนอกหรือ third-party

Docker ได้ออกแพตช์ในเวอร์ชัน Compose v2.40.2
เพิ่มการตรวจสอบ path และการ sanitize annotation
แนะนำให้ผู้ใช้ทุกระบบอัปเดตทันที

การใช้ไฟล์ compose จากแหล่งที่ไม่เชื่อถือมีความเสี่ยงสูง
แม้จะใช้แค่คำสั่ง read-only ก็สามารถถูกโจมตีได้
CI/CD pipeline ที่ดึงไฟล์จาก registry อัตโนมัติอาจเป็นเป้าหมาย

ระบบที่ไม่ได้อัปเดต Compose v2.40.2 เสี่ยงต่อการถูกเขียนทับไฟล์สำคัญ
เช่น /etc/passwd, .bashrc, หรือไฟล์ config อื่น ๆ
อาจถูกใช้เป็นช่องทางฝัง backdoor หรือเปลี่ยนพฤติกรรมระบบ

ควรหลีกเลี่ยงการใช้ annotation ที่ไม่จำเป็นใน OCI compose artifacts
หรือใช้ระบบตรวจสอบก่อนนำเข้าไฟล์จาก registry

https://securityonline.info/docker-compose-path-traversal-cve-2025-62725-allows-arbitrary-file-overwrite-via-oci-artifacts/

ช่องโหว่ CVE-2025-61481 ใน MikroTik เปิดทางขโมยรหัสผ่านผู้ดูแลผ่าน WebFig ที่ไม่เข้ารหัส — คะแนนร้ายแรงระดับ 10 เต็ม

ช่องโหว่ใหม่ใน MikroTik RouterOS และ SwitchOS เปิดเผยว่าหน้า WebFig ซึ่งใช้จัดการอุปกรณ์จะทำงานผ่าน HTTP แบบไม่เข้ารหัสโดยค่าเริ่มต้น ทำให้ผู้โจมตีสามารถดักจับรหัสผ่านผู้ดูแลระบบได้ง่าย ๆ หากอยู่ในเครือข่ายเดียวกัน โดยไม่ต้องยืนยันตัวตนก่อน

ข้อมูลสำคัญจากช่องโหว่ CVE-2025-61481
กระทบ MikroTik RouterOS v7.14.2 และ SwitchOS v2.18
WebFig เปิดใช้งานผ่าน HTTP โดยไม่มีการ redirect ไป HTTPS
หลัง factory reset หน้า login และ JavaScript ทั้งหมดโหลดผ่าน HTTP

ข้อมูลรับรองถูกส่งแบบ cleartext ผ่าน port 80
JavaScript ฝั่ง client เก็บรหัสผ่านไว้ใน window.sessionStorage
Packet capture ยืนยันว่า traffic และ credentials ถูกส่งแบบไม่เข้ารหัส

ผู้โจมตีสามารถดักจับและแก้ไขข้อมูลได้ทันที
แค่เชื่อมต่ออยู่ใน LAN หรือ Wi-Fi เดียวกันก็สามารถทำ MitM ได้
เมื่อได้รหัสผ่านแล้ว สามารถเปลี่ยน routing, firewall หรือฝังสคริปต์ RCE ได้

อุปกรณ์ที่ได้รับผลกระทบรวมถึงรุ่นยอดนิยม เช่น CRS326-24G-2S+
มีแนวโน้มว่าอุปกรณ์อื่นที่ใช้ WebFig component เดียวกันก็ได้รับผลกระทบเช่นกัน
พบมากใน SMB และ ISP ที่ใช้ WebFig สำหรับตั้งค่าภายใน

คำแนะนำจากนักวิจัย
จำกัดการเข้าถึง WebFig เฉพาะ VLAN หรือเครือข่ายที่เชื่อถือได้
เปิดใช้งาน HTTPS ด้วยตนเองในหน้า config
ใช้ SSH หรือ VPN แทน WebFig หากเป็นไปได้
ปิดการเข้าถึง HTTP หากไม่จำเป็น

https://securityonline.info/critical-mikrotik-flaw-cve-2025-61481-cvss-10-0-exposes-router-admin-credentials-over-unencrypted-http-webfig/

AMD สร้างปรากฏการณ์ใหม่ – รันอัลกอริธึมควอนตัมบนชิปทั่วไป แซงหน้า NVIDIA ในสนามควอนตัม

ในโลกของควอนตัมคอมพิวติ้ง “qubit” คือหน่วยข้อมูลที่เปราะบางมาก แค่แรงสั่นสะเทือนเล็กน้อยก็ทำให้ข้อมูลผิดพลาดได้ ดังนั้นการมีอัลกอริธึมที่สามารถตรวจจับและแก้ไขข้อผิดพลาดโดยไม่ทำลายสถานะของ qubit จึงเป็นหัวใจสำคัญของการพัฒนาระบบควอนตัมที่ใช้งานได้จริง

IBM ได้พัฒนาอัลกอริธึม QEC และทดลองรันบนชิป FPGA ของ AMD ซึ่งเป็นฮาร์ดแวร์ทั่วไปที่สามารถปรับแต่งได้ตามงานเฉพาะ (reconfigurable hardware) ผลลัพธ์คือความเร็วในการประมวลผลสูงกว่าที่คาดไว้ถึง 10 เท่า และไม่ต้องใช้ชิปเฉพาะทางราคาแพง

นี่คือจุดที่ AMD ได้เปรียบ เพราะมี Xilinx อยู่ในเครือ ซึ่งเป็นผู้เชี่ยวชาญด้าน FPGA ขณะที่ NVIDIA ใช้แนวทางต่างออกไป โดยพัฒนาแพลตฟอร์ม DGX Quantum ที่รวมซอฟต์แวร์ CUDA-Q เข้ากับฮาร์ดแวร์ระดับสูง แต่ยังไม่สามารถรัน QEC บนชิปทั่วไปได้เหมือน AMD

แม้ NVIDIA จะมีเทคโนโลยีที่ทรงพลัง แต่ความสำเร็จของ AMD ในการใช้ฮาร์ดแวร์ “off-the-shelf” กับงานควอนตัม ถือเป็นก้าวสำคัญที่อาจเปลี่ยนแนวทางของอุตสาหกรรมในอนาคต

ความสำเร็จของ AMD กับอัลกอริธึม QEC
รันบนชิป FPGA ที่ปรับแต่งได้
ประสิทธิภาพสูงกว่าที่คาดไว้ถึง 10 เท่า
ไม่ต้องใช้ชิปเฉพาะทางราคาแพง

จุดเด่นของ FPGA ในงานควอนตัม
ปรับแต่งได้ตามงานเฉพาะ
รองรับ feedback loop ที่มี latency ต่ำ
เหมาะกับงานที่ต้องการความแม่นยำสูง

ความแตกต่างจากแนวทางของ NVIDIA
ใช้แพลตฟอร์ม DGX Quantum + CUDA-Q
ยังไม่สามารถใช้ฮาร์ดแวร์ทั่วไปกับ QEC ได้
ขาดทรัพยากรด้าน FPGA แบบที่ AMD มีจาก Xilinx

https://wccftech.com/amd-beats-nvidia-in-quantum-computing-milestone-for-now/