* Discussie - Discussiëren met andere leden over iets in deze nieuwsbrief? Dat kan hier op Discord. Vragen stellen aan andere KNVI-leden? Hier op Discord. Nog geen KNVI Discord-account? Meld je aan via deze link en gebruik er je eigen naam ('Voornaam Achternaam' in 'Bijnaam', via instellingen -> Profielen, Serverprofielen, Bijnaam).
* Reageren op deze nieuwsbrief? Stuur me een email, of reageer in '#actueel' op Discord.
- Ron Onrust, samensteller IT-Infra Nieuwsbrief 

Vorige week waarschuwden we al voor een 'zero-day' lek in firewalls van Palo Alto Networks, en naar verluidt zouden er nu al duizenden van die apparaten gehackt zijn. Dat meldt The Register. Volgens een scan van Onyphe zijn er meer dan 2000 apparaten gevoelig voor het lek, en Shadowserver ziet er 2000 al daadwerkelijk gehackt, maar intussen houdt Palo Alto zelf het op 'een beperkt aantal'. Het bedrijf heeft intussen patches uitgebracht voor twee lekken, hier en hier; voor CVE-2024-0012 (CVSS 9,3) en CVE-2024-9474 (CVSS 6,9). Wiz beschrijft hoe de twee samen kunnen worden gebruikt om te hacken, en zegt ook meer hacks te zien nadat er vorige week een proof-of-concept exploit verscheen.

Anthropic doet een voorstel voor een nieuw protocol, dat de standaard moet worden als koppeling tussen AI-assistenten en de systemen waar de gegevens zich bevinden. Het gaat om 'Model Context Protocol' (MCP), dat het bedrijf in open source heeft vrijgegeven. MCP moet er uiteindelijk voor zorgen dat AI-modellen betere, relevantere antwoorden op vragen kunnen geven. Met MCP kunnen alle modellen gegevens uit alle diverse bronnen halen. Anthropic wijst er op dat zelfs de meest geavanceerde modellen worden beperkt doordat gegevens onbereikbaar zijn; 'gevangen achter informatiesilo's en verouderde systemen'. En omdat er geen standaard is om de gegevens er uit te halen, is het moeilijk systemen groot op te schalen. MCP lost dit probleem op door middel van een protocol waarmee ontwikkelaars tweerichtingsverbindingen kunnen bouwen tussen databronnen en door AI aangestuurde applicaties (bijvoorbeeld chatbots). Eigenaren van gegevens kunnen die gegevens aanbieden via 'MCP-servers' en 'MCP-clients' bouwen, die verbinding maken met die servers. In de pers is er enige scepsis of dit wel gaat slagen. Ingeschat wordt dat OpenAI in ieder geval niet mee zal doen.

Windows Insiders kunnen vanaf nu de enigszins controversiële 'Recall'-functie op Copilot+-pc's uitproberen. Recall moet een 'fotografisch geheugen' zijn voor bijna alle handelingen op een pc, door snapshots op te slaan. Volgens Microsoft zorgt dat ervoor dat je een app, website, afbeelding of document moet kunnen terugvinden door dat met tekst te beschrijven. De functie was wat controversieel omdat er wat gaten in de beveiliging ervan werden gevonden. Daarom kiest Microsoft er nu voor om de functie compleet opt-in te maken, moeten voor het gebruik Windows Hello, Bitlocker en Secure Boot aan staan en moet de gebruiker iedere keer wanneer hij Recall opent zichzelf verifiëren met een vingerafdruk, gezichtsherkenning of pincode. De gebruiker heeft ook de volledige controle over de snapshots en kan ze op elk gewenst moment pauzeren. Snapshots kunnen worden verwijderd en je kunt Recall vertellen om geen snapshots van een bepaalde website of app te maken. Microsoft benadrukt verder dat het geen toegang heeft tot je snapshots, ze niet zal delen met derden en ze niet zal gebruiken voor trainingsdoeleinden. Gevoelige informatie kan Recall zien, zoals pincodes, creditcardnummers en wachtwoorden, en dat wordt niet opgeslagen.  Natuurlijk is niet gelijk alles perfect bij zo'n preview. Op de pagina bij Microsoft staan dus ook genoeg 'bekende problemen', en een eerste test van CNBC noemt de functie ook 'not perfect'. (Afbeelding: Recall-icoon op de task bar.)

In principe kun je iedere Linux-distributie gebruiken binnen het Windows Subsystem voor Linux, door te importeren met een tar-bestand, maar een officiële distro maakt het installeren voor Windows Subsystem voor Linux-gebruikers makkelijker. In dat kader is het aardig dat Microsoft kan aankondigen dat Red Hat in de komende maanden met een Red Hat Enterprise Linux WSL distro-image komt. Red Hat zegt dat WSL voor ontwikkelaars een belangrijk platform is voor het ontwikkelen van applicaties. Daarnaast kondigde Microsoft ook "een nieuwe manier om WSL-distributies te maken" aan. Die bestaat uit een nieuwe architectuur die ondersteunt hoe WSL-distributies worden verpakt en geïnstalleerd.

Amazon had al 4 miljard dollar in Anthropic geïnvesteerd en doet daar nu nog eens 4 miljard bij. Als onderdeel van de deal wordt Amazon Web Services de "primaire cloud- en trainingspartner" van Anthropic. Anthropic gaat de AWS Trainium- en Inferentia-chips gebruiken om toekomstige basismodellen te trainen. Daarnaast zegt Anthropic dat het zal samenwerken met Annapurna Labs van Amazon om toekomstige Trainium-accelerators te ontwikkelen. Anthropic is het bedrijf achter Claude, de AI-assistent die concurreert met ChatGPT.

Tijdens KubeCon North America deed SUSE enige aankondigingen, waaronder de herziening van een reeks productnamen, en de introductie van 'SUSE AI', een veilig platform voor het implementeren en uitvoeren van generatieve AI toepassingen. De meest opvallende wijzigingen in de productnamen zijn:

• Rancher, het Kubernetes-aanbod van SUSE, heet nu 'SUSE Rancher',
• Liberty Linux, de SUSE tegenhanger van RHEL wordt 'SUSE Multi Linux Support',
• Harvester gaat 'SUSE Virtualization' heten, en
• Longhorn heet nu 'SUSE Storage'.

Google introduceert 'Restore Credentials', een functie in Android die het overdragen van app-referenties eenvoudiger maakt bij het wisselen van apparaten, zodat je ingelogd blijft bij je apps. Sommige apps hadden deze mogelijkheid al, maar Google maakt het voor ontwikkelaars gemakkelijker om dat in hun app te stoppen, door een 'restore key' te implementeren die automatisch wordt overgedragen naar de nieuwe telefoon en die je opnieuw bij de app aanmeldt. Een restore key is een public key die gebruikmaakt van bestaande passkey-infrastructuur om referenties te verplaatsen. Restore keys kunnen ook in de cloud worden bewaard, maar ontwikkelaars kunnen zich hiervoor afmelden. Google wijst er nog wel expliciet op dat restore keys niet worden overgedragen bij het verwijderen en opnieuw installeren van een app.

De Britse mededingingsauthoriteit Competition and Markets Authority (CMA) komt voorlopig tot de conclusie dat Apple's strenge beleid voor wat betreft de mobiele browsers, innovatiebeperkend werkt. Ontwikkelaars van browsers hebben geklaagd dat ze worden beperkt door regels, zoals door Apple's eis om de WebKit-browserengine te gebruiken. "De groep heeft voorlopig geconcludeerd dat Apple's regels andere concurrenten beperken in het leveren van nieuwe, innovatieve functies die consumenten ten goede kunnen komen", schreef de CMA. Maar Apple zegt dat te doen om 'te zorgen dat gebruikers de beste beveiliging, privacy en prestaties krijgen op iOS-apparaten'. Volgens de CMA zijn er door de eisen van Apple bepaalde functies niet te realiseren op iOS, zoals het sneller laden van webpagina's, en progressieve web-apps. Tot 13 december volgt er nu een commentaarronde, waarin iedereen kan reageren op de voorlopige conclusies van de CMA. De toezichthouder denkt in maart 2025 een definitieve uitspraak te kunnen doen.

Github deed onderzoek met een groep van 202 Python-ontwikkelaars met ten minste vijf jaar ervaring. De ene helft kreeg toegang tot GitHub Copilot en de andere helft kreeg de opdracht om geen AI-tools te gebruiken. Over het algemeen blijkt dat code die is geschreven met GitHub Copilot meer functionaliteit en leesbaarheid heeft, van betere kwaliteit is en hogere goedkeuringspercentages krijgt. Code die was geschreven met GitHub Copilot had aanzienlijk minder fouten in de leesbaarheid van de code, waardoor ontwikkelaars gemiddeld 13,6 procent meer regels code konden schrijven zonder leesbaarheidsproblemen tegen te komen. (Github)
https://github.blog/news-insights/research/does-github-copilot-improve-code-quality-heres-what-the-data-says/
Slashdot wijst er op dat er ook tegengestelde geluiden zijn.

Het is deze week een jaar geleden sinds de overname van VMware door Broadcom werd geëffectueerd. Een recapitulatie; wat heeft Broadcom gedaan? En is dat als een succes te zien? (The Register)
https://www.theregister.com/2024/11/22/broadcom_vmware_acquisition_first_anniversary/

Enkele bedrijven zijn begonnen met het maken van LLM-gestuurde robots. Uit nieuw onderzoek blijkt er een manier te zijn om geautomatiseerd dergelijke machines met 100 procent succes te hacken. Door ingebouwde vangrails te omzeilen, konden onderzoekers zelfrijdende systemen manipuleren om met voetgangers te botsen en om met robothonden op zoek te gaan naar gevaarlijke plekken om bommen tot ontploffing te brengen. (IEEE Spectrum)
https://spectrum.ieee.org/jailbreak-llm

Artikel van de Washington Post waarin wordt gefilosofeerd over de vraag of AI ervoor gaat zorgen dat Google als zoekmachine overbodig wordt. Het einde van de zoekmachine is al heel vaak voorspeld, en het is nooit uitgekomen. Maar misschien is het dit keer anders. (Yahoo)
https://www.yahoo.com/lifestyle/ai-kill-google-past-predictions-181729391.html

iFixit sloopte de MacBook Pro met enigszins hooggespannen verwachtingen na de positieve ervaringen met de M4 Mac mini en de iPhone 16. Maar iFixit moet teleurstellend vaststellen dat het ontwerp niet veel is veranderd ten opzichte van de M3 MacBook Pro van vorig jaar. Een reparatiescore is nog niet uitgedeeld, maar het ligt in de lijn van verwachting dat dat niet ver af ligt van de score van het vorige model, een 4. (iFixit)
https://www.ifixit.com/News/106300/macbook-pro-m4-pro-teardown-new-model-same-repair-situation

Het ziet er naar uit dat de Chinezen op een dusdanig laag niveau de telecomnetwerken van de VS hebben weten te kraken, dat ze nog lang toegang zullen houden en dat het dichten van dit lek het vervangen van duizenden en duizenden switches en routers betekent. Onnodig om te zeggen dat dit de VS erg hoog zit. (The Register)
https://www.theregister.com/2024/11/25/salt_typhoon_mark_warner_warning/

Microsoft laat weten dat de website 'Get Licensing Ready', een website voor informatie over softwarelicenties en -educatie, per 31 december gaat verdwijnen. De inhoud gaat dan grotendeels over naar microsoft.com/licensing, waar AI een meer prominente rol zal spelen. (The Register)
https://www.theregister.com/2024/11/25/microsoft_licensing_info_site_retirement/

Indrukwekkend verhaal over hoe Russische spionnen in staat waren via Wi-Fi een netwerk te hacken door gebruik te maken van apparatuur in de buurt, en ook die apparatuur was gehackt. Zo werden drie draadloze netwerken aan elkaar gekoppeld. (Slashdot)
https://mobile.slashdot.org/story/24/11/22/2331247/russian-spies-jumped-from-one-network-to-another-via-wi-fi

NVIDIA komt met een nieuw experimenteel generatief AI-model dat "een Zwitsers zakmes voor geluid" moet zijn. Het model heet Foundational Generative Audio Transformer Opus 1, of Fugatto, en kan opdrachten in de vorm van tekst gebruiken om audio te maken of om bestaande muziek-, stem- en geluidsbestanden te wijzigen. Muziekproducenten zouden het kunnen gebruiken om snel een prototype te genereren voor een idee voor een liedje, dat ze vervolgens eenvoudig kunnen bewerken om verschillende stijlen, stemmen en instrumenten uit te proberen, maar dat is maar één voorbeeld. NVIDIA laat in het midden wat er gaat gebeuren met Fugatto. Het is niet het eerste generatieve AI-model dat geluiden kan creëren uit tekst; Meta heeft een open source AI-kit die dat kan en Google heeft zijn eigen tekst-naar-muziek-AI genaamd MusicLM. (NVIDIA)
https://blogs.nvidia.com/blog/fugatto-gen-ai-sound-model/

Wie zich toevallig met een schuldgevoel in de Zwitserse toeristenplaats Luzern bevindt, kan te rade gaan bij de historische katholieke kerk Peterskapelle, en wel bij je eigen persoonlijke AI Jezus. Het gaat om een 'experimentele kunstinstallatie' genaamd 'Deus in Machina', die bestaat uit een verticale monitor, computerapparatuur, en een grote blauwe knop voor voorbijgangers die vragen aan AI Jezus willen stellen. Dat kan in een van de 100 talen waarin hij is geprogrammeerd om te spreken en te antwoorden. Overigens kan de AI Jezus gedachten en vragen aanhoren en advies geven, maar het 'is expliciet geen biecht.' (The Register)
https://www.theregister.com/2024/11/23/ai_jesus_peterskapelle/

Microsoft zegt samen te werken met Ubisoft om een ​​probleem met de nieuwste Windows 11 update 24H2 op te lossen waardoor sommige games vastlopen. Het gaat om Assassin's Creed Valhalla, Assassin's Creed Origins, Assassin's Creed Odyssey, Star Wars Outlaws en Avatar: Frontiers of Pandora. (Microsoft)
https://learn.microsoft.com/en-us/windows/release-health/status-windows-11-24h2#issue-details