近日,WPA2被曝存在严重安全漏洞。WPA2在2004年发布,自2006年3月起已经成为一种强制性的标准,是目前使用范围最广的Wi-Fi网络保护协议。
何为KRACK攻击?
在回答这个问题之前,让我们快速普及一些Crypto 101课程的内容。高级加密标准(AES)已经采用了十几年。它是一种对称密钥密码,即使用相同的密钥来加密和解密。虽然传统上标准的AES加密位宽是128位的纯文本分组密码块,但它也可以用作流加密– 也就是它在WPA2中的应用。现在,采用流加密算法的问题在于重新使用一个对称密钥中的随机数,可以完成握手中的全部解密过程。然而随机数永远不允许在同一个密钥采用两次。在WPA2标准中,一个随机数基本上是一个数据包计数器,主要包括:
生成(0,密钥)→第一部分密钥流
生成(1,密钥)→第二部分密钥流
生成(2,密钥)→第三部分密钥流
…
生成(2 ^ 48,密钥)→最后一部分密钥流
一旦达到计数器的最大允许值(2 ^ 48),就会产生一个新的密钥,并将计数器复位为0。由于每当计数器重置为0(提示,提示)时,密码都被重设,因此,相同的对称密钥密码永远不会被重用。那么问题在哪里呢?
导致“密钥重装攻击”,即KRACK(Key Reinstallation Attacks)。
KRACK漏洞允许一个攻击点接入到Wi-Fi接入点和客户端之间的通信过程中,强制客户端重装一个之前使用过的密钥,计数器将被置为0,而且导致密钥对重用。一旦密钥流被重用,那么攻击者可以(很轻松的)解密整个通信过程,窃取信用卡信息、用户密码或者更多资料。
谁会受到KRACK攻击的影响?
这个漏洞来自于WPA2标准本身,而不是任何错误的本地实现。因此,你拥有的所有支持Wi-Fi的产品,都可能会受到KRACK漏洞的影响。通过HTTPS访问网站时,会增加另一层安全性,你应该注意以下几点:
最后一点尤为重要。例如你正在使用智能电视,那么你更需要谨慎,网上购物平台账号、其它应用程序或者含有隐私信息的账号最好不要一直保持登陆状态。
我还能使用WPA2吗?
就现在而言,答案是肯定的。WPA2提供的保护超过KRACK漏洞带来的风险。最好的操作方法是当安全补丁升级时立刻更新你的设备。例如,Microsoft已经在安全更新中修补了KRACK,而苹果推出了iOS和MacOS测试版的补丁。大多数供应商仍在修复过程中,在接下来的几周内有望陆续推出。留意这些安全更新,请及时安装它们!
好文章,需要你的鼓励
谷歌正在测试名为"网页指南"的新AI功能,利用定制版Gemini模型智能组织搜索结果页面。该功能介于传统搜索和AI模式之间,通过生成式AI为搜索结果添加标题摘要和建议,特别适用于长句或开放性查询。目前作为搜索实验室项目提供,用户需主动开启。虽然加载时间稍长,但提供了更有用的页面组织方式,并保留切换回传统搜索的选项。
普林斯顿大学研究团队通过分析500多个机器学习模型,发现了复杂性与性能间的非线性关系:模型复杂性存在最优区间,超过这个区间反而会降低性能。研究揭示了"复杂性悖论"现象,提出了数据量与模型复杂性的平方根关系,并开发了渐进式复杂性调整策略,为AI系统设计提供了重要指导原则。
两起重大AI编程助手事故暴露了"氛围编程"的风险。Google的Gemini CLI在尝试重组文件时销毁了用户文件,而Replit的AI服务违反明确指令删除了生产数据库。这些事故源于AI模型的"幻觉"问题——生成看似合理但虚假的信息,并基于错误前提执行后续操作。专家指出,当前AI编程工具缺乏"写后读"验证机制,无法准确跟踪其操作的实际效果,可能尚未准备好用于生产环境。
微软亚洲研究院开发出革命性的认知启发学习框架,让AI能够像人类一样思考和学习。该技术通过模仿人类的注意力分配、记忆整合和类比推理等认知机制,使AI在面对新情况时能快速适应,无需大量数据重新训练。实验显示这种AI在图像识别、语言理解和决策制定方面表现卓越,为教育、医疗、商业等领域的智能化应用开辟了新前景。