FX168财经网_全球视野外汇黄金加密货币NFT资讯网

9月金融数据点评——总量超预期回升，结构恢复，但居民部门仍偏弱

一、9月金融数据总览近日央行披露了9月金融数据。据中国人民银行统计数据显示，社融存量增速为10.6%，上期10.5%，新增社融3.53万亿元，同比多增6274亿元。9月人民币贷款2.47万亿元，同比多增8100亿元；广义货币(M2)同比增长12.1%，较上月下降0.1个百分点；狭义货币(M1) 同比增长6.4%，较上月上升0.3个百分点。数据来源：Wind，格上研究整理二、9月金融数据点评 1. 总量结构双双超预期 9月新增社会融资35300亿元，同比多增6274亿元，总量上超季节性增长，且信贷结构显著改善。9月新增人民币贷款2.47万亿元，前值1.25万亿元，较去年同期增长0.81万亿元，为社融规模提供支持。另外票据融资规模年内首次转负，表明了银行冲量需求下降，信贷供需格局改善。从人民币贷款下的居民和企业两个部门来看，9月居民中长期贷款较8月有所改善，但居民信贷总体仍较弱；而企业部门的贷款结构延续改善。具体而言，居民贷款增加约6500亿元，同比少增1392亿元。其中，居民短期贷款增加3038亿元，同比少增181亿元；中长期贷款增加3456亿元，同比少增1211亿元，

格上财富2022-10-13

格上每日收评—2022年10月12日

今日市场今日A股三大指数均收出深V反转形态，个股涨多跌少，超4500只个股飘红，量能较昨日有所放大，北向资金小幅净流出。具体来看，今日市场上午走势不佳，但是下午大幅反弹，赛道板块的拉升对市场人气起到修复作用。从盘面上来看，除了食品饮料和石油石化板块有着小幅下挫之外，其余板块全线拉升。午后新能源普涨，风电带头，光伏，电池大涨，尤其是创业板，今日走强上涨3.6%。半导体芯片股的掀起涨停潮可能与一则消息有关。韩国芯片制造商SK海力士在公告中称，公司获得美国批准，可在无需额外许可要求的情况下向在中国的工厂供应研发和生产DRAM半导体所需的设备和组件，为期一年。这意味着可向全球稳定供应存储芯片，并且美国也给予了三星电子同样的临时豁免。另外，昨晚公布的社融数据超预期，无论是结构还是总量均有所改善，侧面印证的经济基本面的回暖，也为A股市场注入的信心。纵观历史，沪指在3000之下有48次，其中30次都在10天内就回归到了3000点之上，从交易指标和估值层面来看，目前市场大概率处于底部阶段，具有较高的性价比，今日很可能是属于超跌后的反弹。截至收盘，今日上证指数收于3025.51点，上涨1.53%，成

格上财富2022-10-12

格上每日收评—2022年10月11日

今日市场今日A股三大股指均收红，个股涨多跌少，近3000只个股飘红，但是市场量能较昨日萎缩，北向资金小幅净流出。从盘面上来看，今日芯片和大消费板块整体仍旧偏弱，而赛道股表现突出。其中新能源股集体反弹，宁德时代和亿纬锂能超预期的三季报预告给予了市场一定的信心。目前三季报预告近期开始增多，业绩对个股股价影响开始加大。另外，电力板块盘中强势拉升，这或与近日国家发布的十四五《关于实施农村电网巩固提升工程的指导意见（征求意见稿）》相关。意见指出要加强农村电网发展规划与农村分布式可再生能源发展衔接；叠加第四季度是传统能源旺季，天气逐渐转凉，供热及电力需求将保持旺盛。整体来看，市场整体情绪略有回暖，但仍需时日进一步巩固。从国庆节后首日A股开门黑，到今日的翻红，目前A股在“内忧”和“外患”之下承受了较大的压力。国内疫情的反复和地产的不景气限制了需求端的恢复，而全球经济衰退的预期愈发严重，也使本就低迷的市场雪上加霜。从国内来看，二十大的召开或是短期内较大的一个影响因素，可以关注有政策支持的行业，不过未来的上涨可能不是一蹴而就的，目前市场量能较差，导致反弹的持续性不高，在成交量没有恢复之前，市场在当前

格上财富2022-10-11

销毁机制带来的fomo、到 2023年LUNC能涨多高？

LUNC 的大部分看涨趋势是由新的销毁机制驱动的

金色财经2022-10-10

格上每日收评—2022年10月10日

今日市场今日上证指数下破3000大关，A股三大指数均下跌。个股跌多涨少，近4000只个股飘绿。北向资金全天小幅净流入。在分析今日行情之前我们先来回顾一下国庆期间的重要事件： 1. 央行下调首套个人住房公积金贷款利率0.15个百分点，5年以下（含5年）和5年以上利率分别调整为2.6%和3.1%。第二套个人住房公积金贷款利率政策保持不变。 2. 财政部、税务总局：对居民出售自有住房并1年内购房的售房已缴个税予以退税优惠。 3. “欧佩克+”超预期减产，国际油价创3月来最大单周涨幅。这是新冠肺炎疫情以来最大规模的石油减产，此次减产相当于全球石油需求的2%左右。 4. 传言称瑞士信贷濒临破产，瑞信的信贷风险指标升至创纪录水平。目前已经开展裁员、退出美国市场、缩减业务部门、出售资产、引入外部投资者等一系列自救措施；目前还没有出现系统性风险，瑞信更多是自身经营累计的风险，还够不上“雷曼时刻” 5. 美国9月非农数据仍然强劲，供给有限而需求温和复苏，加息脚步难以放缓。 6. 欧盟批准欧委会推出的紧急干预市场措施，包括强制减少用电量、设置能源企业电价收入上限和向化石能源生产商征收超额利润等。 7.

格上财富2022-10-10

盘点固件安全赛道 a16z看到了什么？

机后自检程序和系统自启动程序，它可从 CMOS 中读写系统设置的具体信息。其主要功能是为计算机提供最底层的、最直接的硬件设置和控制。此外，BIOS 还向作业系统提供一些系统参数。系统硬件的变化是由 BIOS 隐藏，程序使用 BIOS 功能而不是直接控制硬件。现代作业系统会忽略 BIOS 提供的抽象层并直接控制硬件组件。 Coreboot 是一个开源软件项目，旨在替换大多数计算机中专有的 BIOS（固件）。coreboot 会执行一些硬件初始化，然后执行其他引导逻辑。通过分离硬件初始化和以后的启动逻辑，coreboot 可以从直接运行固件，在闪存中运行操作系统，加载自定义引导程序或实现固件标准（例如 PC BIOS 服务或 UEFI）的专用应用程序扩展。这使系统仅包含目标应用程序中必需的功能，从而减少了所需的代码量和闪存空间。这些固件和计算机关系何在？首先他们都被储存在硬件的 Flash ROM 里硬件上电点亮三者开始初始化硬件在内存初始化结束后， BIOS 自己运行（每个主板厂商开发自己的，很累） UEFI 自己运行（但主板厂商很舒服，标准统一） COREBOOT 运行一个超小型 Linux，能自己跑自己，也能把自己伪装成 UEFI 或其他提供出通用的硬件访问接口，并把控制权移交给操作系统也就是说，它们的存在对计算机运行是必不可少的关键环节。二、我是怎么关注到这个领域的 1.首先是人的层面：有位笔者一直关注的技术背景出身（斯坦福 PHD）的创业者在 A16Z 当合伙人，叫 Martin Casado，以前是 Nicira（在 2012 年被 VMware 以 12.6 亿美元收购）的联合创始人和 CTO。在 VMware 工作期间，Martin 曾担任网络和安全业务部的总经理，他在斯坦福期间发了很多知名论文，在 VMware 工作期间也广为人知，再加上有创业的背景，因此笔者对他关注比较多。除此之外，他是最开始搞 SDN 的那批人，弄了 openflow 协议，nox 和 pox 的作者，早期研究 SDN 的基本上都是用的这两个东西搭实验平台，当年主导了 NSXt 产品。（本段背景感谢即刻网友 DQ 的补充：）来源：Crunchbase 以下是 Martin Casado 的大致经历，在 Nicira 创业之前，他是斯坦福的 PHD，笔者会经常 Track 一些学术 + 创业背景都有的投资人的动向（比如说他们投了什么新鲜玩意？为什么？他们社交网络会发什么研究文章？），因此偶尔会发现一些值得观察的方向。 2.其次是近期的一则融资信息 2022 年 10 月 4 日，也就是前几天，一家名为 Eclypsium 的公司宣布，B 轮融资融了 2500 万美元，领投方是 Ten Eleven Ventures，Ten Eleven Ventures 主要专注网络安全领域投资。而有意思的是，而 Eclypsium 的本轮和上一轮融资刚好也有 A16Z 这位合伙人 Martin Casado 的身影，除此之外，A 轮、B 轮的融资也包括 Intel Capital（英特尔的投资部）。不过，Eclypsium 这家公司，在国内并不是特别为人熟知，简单说一下就是他们主要是做基础安全 / 固件安全类别的，主要是为企业供应链中关键硬件、固件等等提供安全服务的供应商，主要专注于服务器、笔记本电脑和网络设备（交换机、路由器等）的固件层的检测和防护。公司成员中，Yuriy Bulygin 曾在英特尔工作 11 年（高级工程师），在 McAfee 工作了两个月（CTO）。Alex Bazhaniuk 和 John Loucaides 也来自英特尔，在此之前，这三位均负责英特尔的硬件、固件安全。Ron Talwalkar 在 McAfee 工作了 11 年，作为终端安全业务部产品管理高级总监，负责英特尔安全相关的业务。那么，他们到底发现了什么呢？特别是从领域专家和创业出身的投资人的角度来看，到底有什么新趋势、或者比较新的趋势出来？这也是笔者写这篇文章的主要原因。 3.是近期复盘过去 RSA 大会的时候观察到的之前比较少见的东西为了以终为始地观察，我先把前些年 RSA 大会（一个世界级别的顶级安全大会）的一些创新项目和演讲拿出来看看，发现 2017 年 BlackHat Asia（世界顶级安全大会）上也有研究员介绍了针对 UEFI（Unified Extensible Firmware Interface）固件的渗透测试工具集，2018 年，RSA 创新沙盒的入围公司中有一家叫做 Refirm Labs，专注于物联网设备的固件安全分析，这家公司的业务重点是：网络基础设施中除了包含物联网设备，还有服务器和路由器、交换机等网络设备，用户侧还有个人电脑，那么这些设备的底层和硬件的安全问题也是值得关注的。2018 同年美国的 BlackHat 上，也有安全研究员介绍了近三年 UEFI 固件的大量安全漏洞，包括一些 UEFI、bootloader 等底层启动代码的检测工具和攻击工具层出不穷。三、市场痛点&部分大企业的动向那么，到底固件安全能解决啥问题？随着行业的成熟度不断提升，软件安全性在逐步提升。但是与此同时，固件和硬件安全近年来已经成为攻击者的热门目标。基于固件的恶意软件很大程度上被安全团队忽略，这使服务器、存储和网络设备的固件成为企业安全的「软肋」。固件存储有证书、密钥等敏感信息，成为攻击者的重要目标。83% 的被调查企业在过去 2 年曾经遭遇过固件攻击。固件通常是常规漏洞管理工具和流程的盲区。大多数漏洞扫描器关注的是软件，回避了固件漏洞和硬件配置错误扫描。企业对固件安全重视程度必须等同于操作系统和应用安全。继续看一个数据：Gartner 预测：到 2022 年，缺乏固件更新方案的机构，70% 将会因固件漏洞遭遇数据泄露。而近年来，固件漏洞的数量激增。固件漏洞可以在设备内部任何组件中存在，包括 UEFI 或者 BIOS 系统、驱动器、网络适配器、内存、处理器、显卡以及很多其它的集成或外围组件。2016 年之后，美国国家漏洞数据库中漏洞数量每年都创出新高。2019 年，暴露出的固件漏洞数量比 2018 年增加了 43％，比 2016 年增长了 7.5 倍。根据微软 2021 年委托进行的一项调查：83% 的被调查企业在过去两年曾经遭遇过固件攻击。美国国家标准技术研究院（NIST）国家漏洞数据库的数字则显示，过去 4 年中，针对固件的攻击增加了五倍以上。在硬件生命周期报告中，将安全作为优先事项的研究参与者，约有一半（52％）宣称，至少遭遇过一起恶意软件感染固件引入了公司系统的事件，而 17％的参与者表示，该事件带来了实质影响。图片来源：虎符智库 - 固件安全：被忽视的企业安全「软肋」2021-04-16 09:18 目前安全问题的严峻性。 2021 年，报告显示，有 3000 万戴尔设备面临着远程 BIOS 攻击、RCE 攻击风险。也就是这类别的漏洞可以让远程攻击者在戴尔设备的预启动环境中获得任意代码执行的权限，预估这些漏洞会影响到了全球 3000 万个戴尔终端设备。这些漏洞允许有特权的网络黑客绕过安全启动保护，控制设备的启动过程，突破操作系统和更高层的安全控制。它们的累计 CVSS 评分为 8.3 分。具体来说，这些漏洞影响了 Dell SupportAssist（一种技术支持解决方案，预装在大多数基于 Windows 的戴尔机器上）中的 BIOSConnect 功能。BIOSConnect 用于执行远程操作系统中的恢复或更新固件的功能。研究人员在一份分析报告中指出：「各种类型的技术供应商正越来越多地实施云端更新程序，这样可以确保他们的客户尽可能使他们的固件处于最新版本。虽然这是一个非常优秀的功能，但如果这些程序中出现任何漏洞，如我们在戴尔的 BIOSConnect 中看到的那些漏洞，都会产生严重的后果。」这些特定的漏洞允许攻击者远程利用主机的 UEFI 固件，并获得该设备上的最高控制权。这种远程攻击和高权限相结合进行利用，很可能使远程更新功能在未来成为攻击者的最青睐的目标。从智能手机到服务器，几乎所有设备都包含固件。计算机包含许多固件，从 USB 键盘到图形和声卡，应有尽有；即使是计算机电池也包含固件。考虑到固件的广泛普遍性，人们会自然地期望固件安全问题会被置于首位考虑——但遗憾的是，这距离事实很遥远。图片来源：虎符智库 - 固件安全：被忽视的企业安全「软肋」2021-04-16 09:18 固件通常是常规漏洞管理工具和流程的盲区。大多数漏洞扫描器关注的是软件，回避了固件漏洞和硬件配置错误扫描。另外，对于指定的设备，人们并不总是清楚其内部是否安装了最新固件，有漏洞的固件是否已经被正确地更新。这就给 CISO 们和安全团队提出了挑战，他们需要具备确认产品固件状态的能力，而不是完全靠他们提供商的漏洞更新流程。基于固件的恶意软件很大程度上被安全团队所忽略，这使得服务器，存储和网络设备中的固件成为企业安全的「软肋」。根据微软的调查，企业对固件保护没有给予足够的投入，只有 29％的安全预算被用于固件保护；21％的被调查的决策者承认，公司的固件数据未受到任何监测。四、为什么关注固件安全领域？为什么要关注这个领域？固件安全赛道重要在哪？天花板多高？能用于哪些场景？解决什么问题？ 1.各国国家的导向以及不断攀升的针对固件攻击的安全事件频繁发生根据近期的报告，有 80% 的组织因供应链中的漏洞而遭遇网络攻击，2021 年，供应链攻击同比增长超过 100%。全球政府机构越来越多地发出警告和授权，如白宫 OMB 关于加强供应链安全的备忘录指出，设备软件和固件已成为主要来源，占网络安全和基础设施安全局（CISA）公布的已知已利用漏洞的近四分之一。图片来源：https://www.nist.gov/itl/executive-order-14028-improving-nations-cybersecurity 美国国家标准与技术研究院（NIST）于 2021 年 5 月 12 日发布了 EO 14028 行政命令）（如上图，其中最重要的概念之一就是 SBOM（Software Bill of Materials)，怎么理解这个 SBOM?也就是说，未来企业在交付客户软件使用时，需要根据情况应该向公众或者向客户公开其方案的组成部分的清单，长期目标是为了降低软件供应链的风险。 2021 年 5 月 26 日，CISA( 美国网络安全和基础设施安全局）在 RSA 2021 大会上公开了 VBOS 计划，目的是表明连同操作系统在内以及更底层的安全都需要防护，因为固件是拥有比操作系统更高的权限的软件，它会负责芯片 internal ROM 后硬件初始化的工作，这一特点也让它成为了一种特殊的软件，过去的 15 年中固件层面的安全对抗从未停止，只是这个层面的威胁对于普通企业难以理解所以并未受到行业的重视，但近年来固件安全问题越发严重，Google/AWS 等国际大厂为了对抗高级攻击为自己量身定制了固件安全方案，VBOS 计划是把固件安全推上的桌面，这也变相的把 SBOM 扩展到了固件层面。基于 EO 14028 的计划和框架，6 月 26 日美国国家标准与技术研究院（发布了了关键性软件的定义，其中操作系统，虚拟化，容器，中心化认证及权限管理系统，浏览器，终端安全（包含全盘加密，安全漏洞风险评估系统以及会搜集硬件，固件和操作系统基础信息的软件产品），网络协议（DNS，VPN，SDN，路由协议等），网络防护（传统防火墙，IDS/IPS 等产品）等软件包含其中。 7 月 11 日 NIST 发布了 EO- 关键性软件的安全度量，这份文档从高级防御的角度，阐述了关键性软件应该使用哪些现存的合规指南进行，7 月 11 日 NIST 同时发布了针对厂商出厂前安全测试的最低要求，其中对于模糊测试 (Fuzzing) 以及回归测试 (Regression test) 都提出了要求。 2021 年 10 月 28 日，CISA 和 NSA 发布了 5G、云基础设施安全指南、和 5G 基础设施潜在威胁，其明确提出单个节点必须具备防御已知和未知漏洞的能力以及重要 MEC 边缘节点高级防护能力必须覆盖到固件层。 2021 年 11 月 16 日，CISA 发布了联邦政府网络安全应急和漏洞响应手册，目的是持续标准化安全事件应急的的流程。 2.市场需求在哪？无论是 EO14028 与 VBOS，未来都会影响全球信息安全产业的走向，会有更多的国家跟进，各国都会逐步对 EO 14028 进行回应，并制定符合国家和行业实际情况的合规指南只是时间问题，对于企业而言，出海则可能会面临更复杂的合规要求以及审计，在亚太地区，日本和新加坡可能成为第一批参考 EO14028 的国家。并且随着勒索软件（RaaS) 的出现频率越来越高，企业将不得不将固件安全放在很重要的战略地位。我们国家对于保护关键性基础设施条例：2021 年 4 月 27 日通过了《关键信息基础设施安全保护条例》，并于 2021 年 9 月 1 日实施，条例中明确定义了关键信息基础设施的范畴包括：公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域。我们无法指望固件漏洞的增长速度会减弱：一方面，笔记本电脑，服务器和网络设备中组件的数量和复杂性不断增加。在英特尔披露的 2020 年的安全漏洞中，93 个属于驱动和其他软件漏洞，66 个为固件漏洞，58 个为固件和软件组合漏洞。此外，从攻击者的角度来看，固件是具有异常高价值的战略目标。固件使攻击者可以轻易访问可被窃取或用于勒索的数据。此外，通过固件攻击，可以对组件或整个设备进行完全禁用。固件还为攻击者的长期攻击提供了途径。 3.市场天花板有多高？根据 grandviewresearch 的研究，2020 年全球服务器市场规模为 836.6 亿美元，预计从 2021 年到 2028 年将以 7.8% 的年复合增长率（CAGR）增长。增长的原因主要来自于全球新数据中心数量的增加，包括一些云服务提供商和行业，如 IT 和电信，医疗保健，BFSI 以及政府和国防，正在升级其服务器以管理不断增长的数据量，因为 IT 基础架构的升级为管理更高的数据量提供了增强的安全性、存储和处理速度。资料来源：Grandviewresearch 为什么服务器市场会持续增长？首先从图上来看，亚太地区机架式服务器的销售激增，主要是受超大规模企业的持续需求推动对高容量服务器的需求增加，其次，支持大数据分析、软件定义解决方案和超融合基础设施的应用对高性能计算服务器的需求也在增加。还有就算，5G 网络技术的持续推出和公共云供应商对超大规模数据中心建设的积极投资也有利于服务器市场的增长。不断增长的市场，也为服务器等固件的安全提了更高的要求。五、近期部分固件安全赛道的融资情况 Eclypsium：2018 年 A 轮融资 880 美金；2022 年 10 月 4 日宣布，B 轮融资 2500 万美元； Cylus：铁路安全初创公司 Cylus2021 年底 B 轮融资 3000 万美元； Oxide Computer：2019 年底，Oxide Computer 种子轮融资 2000 万美金。 Binarly：2022 年 6 月，固件安全初创公司 Binarly 种子轮融资 360 万美元。六、商业模式的案例这部分讲几个笔者觉得值得关注的案例和它们的商业模式： 1.Eclypsium 主要业务：一方面主要是给 IBM 等大厂的固件做审计，帮助其企业和公共部门客户保护和确保硬件、固件和软件供应链的完整性。另一方面还是夯实行业安全研究的功底，及时向公众及企业披露安全风险。 Eclypsium 的投资人的评价：Eclypsium 解决了网络安全难题中关键而又经常被忽视的方面，确保每台设备都能持续地受到保护，免受供应链安全风险的影响。虽然设备安全在历史上更多地由原始设备制造商控制，但今天复杂的供应链和对第三方软件和组件的依赖已经成倍地扩大了攻击面，Eclypsium 进入市场的时机比较好，以其综合解决方案解决这些复杂问题。 2.Oxide（这个公司就更有意思了，中文互联网它的资料简直寥寥无几，但是种子轮就拿了 2000 万美金，神不神奇？） Oxide 是做什么的？商业模式又是什么？简单地说给 Oxide 钱，Oxide 就会卖给你一台电脑。问题来了，它们究竟是什么样的电脑？以及为什么大家会想买？在 90 年代末和 21 世纪初，网络服务的运行对应会有服务器放在数据中心的机架上，如果需要更多流量，数据中心就会升级，大家会买更大、更强的服务器，服务器又大又贵，而且难以管理，针对这样的情况，在 2006 年，像谷歌这样的公司会选择建立自己的服务器，这样一是可以节约成本，还有就是因为市场的标准产品无法完全满足业务的需求。谷歌这样的公司开始拒绝「服务器级」硬件的概念，而纯粹依靠更便宜的消费级硬件。但是，纯粹依靠消费级硬件就需要建立一堆软件，使服务器集群更加可靠。不过这种方法也有弊端：随着这些公司的发展，和数据中心逐步上云，一旦开始管理这么多的计算机，就发现，互联网和软件巨头开始设计甚至制造自己的硬件，以提高效率和建立竞争优势。比如说，谷歌定制了自己的服务器，用了英特尔的数百万个芯片，并在 5 月宣布，它已经设计了自己的特定应用集成电路（ASIC），用于神经网络。 Facebook 在其数据中心使用自己的交换机。公有云公司亚马逊网络服务公司不仅设计了自己的路由器、芯片、存储服务器和计算服务器，还设计了自己的高速网络。但是，企业们也会遇到扩展问题：解决办法很简单：雇用一些人建立基础设施。有人好奇，为什么不买现成的呢？因为目前的计算机公司真的是在垂直扩展的时代成长起来的，并没有可以买的现成产品，那么标准化的产品又存在问题，由于每个企业的计算需求不一定一样，就出现了这样的情况：在现成的服务器系统中，很多硬件，还有软件，在系统的各个部分都有大量浪费的部分。由于计算领域发展的专用性很强，这也意味着，如果不愿意建立自己的硬件，你能获得这种新技术的唯一途径就是租用。公共云的按使用量计费的模式是相当标准的，也是相当有利可图的。定制硬件有助于在帮助自己的业务挖出一条更深的护城河。 Oxide 正在做的是建造适合超大规模使用者的计算机，并将其出售，不过和公共云。这些计算机将由硬件和软件一起设计，创建优秀的、专用定制的安全的底层系统。 Oxide 的创业思考： Oxide 的 CEO Steve Tuck 写过一篇博客，尽管创办一家卖电脑公司，在这个阶段听起来可能很疯狂，但是他认为，硬件和软件在建造时都应互相考虑。这个信念可以追溯到它在 90 年代中期第一次来到 Sun Microsystems（很早的科技公司鼻祖）时的经验。除了不可避免的技术信念外，还有他提出的商业信念：即使世界正在（或已经）转向弹性的、API 驱动的计算，仍然有很好的理由在自己的设备上运行，此外，随着以云计算为基础的 SaaS 公司从严格意义上的以增长为中心走向以利润为中心，似乎更多的人将考虑购买数据中心或者自建数据中心，而不是总是租赁机器（成本太高）。他的创业想法开始形成：世界需要一家公司来开发并向更广泛的市场提供集成的、超级别的基础设施。七、固件安全在传统业务场景有什么应用模式？应用场景 1 ：服务器的加固 Eclypsium 的研究人员从 IBM 的 SoftLayer 云服务中租用了一台裸机服务器，该服务器使用 Maxmicro 的 BMC，这是一家具有已知固件漏洞的硬件供应商。在确认它具有最新的 BMC 固件可用后，研究人员记录了机箱和产品序列号，以帮助他们以后识别系统。然后，研究小组以单个位翻转的形式对 BMC 固件进行了「良性更改」。在将服务器释放回 IBM 之前，还创建了 BMC 的 IPMI 中的其他用户的帐户。研究人员总结道，使用易受攻击的硬件和不重新刷新固件的组合使得将恶意代码植入服务器的 BMC 固件成为可能。黑客想要做的事情包括窃取数据并从其他租户那里泄露一些秘密信息。另一个有趣的想法是通过有效地关闭这些机器来对基础设施造成实质性的破坏。如果黑客有权访问此固件层，则可以永久地「破坏」机器。针对这一发现，IBM 公司已经通过强制所有 BMC（包括那些已经报告最新固件的 BMC）在重新配置给其他客户之前使用工厂固件进行重新刷新来应对此漏洞。BMC 固件中的所有日志都被删除了，BMC 固件的所有密码都被重新生成。 IBM 发言人认为：「鉴于我们已采取的补救措施以及利用此漏洞所需的难度级别，我们认为对客户的潜在影响很小。」虽然该报告的重点是 IBM，但这实际上是所有云服务提供商的潜在全行业漏洞，感谢 Eclypsium 将其引起业界的关注。参考文献：https://www.techtarget.com/searchsecurity/news/252458402/Eclypsium-Bare-metal-cloud-servers-vulnerable-to-firmware-attacks 八、Web3 业务场景的应用随着数据中心越来越呈现分布式，以及部分大厂为了降本增效，选择自建数据中心，分布式数据中心也成为了新的潜在趋势之一。那么，这和 Web3 和区块链又有什么关系呢？已知常识是，区块链具备不可能三角，这个不可能三角指的是，去中心化、安全、可扩展性这三者是无法同时满足的，也就是说，任何系统的设计只能满足其中两个。比如极端的去中心化方案 BTC（比特币）和 XMR（门罗）都是以牺牲可扩展性为代价的，这导致 BTC/XMR 技术架构无法提供更复杂的业务，所以对于这类似这两种方案的业务来说，Layer 2 的存在是必然的，因为需要支持更复杂的业务。但是，Layer 2 对于安全主要有几个方面的挑战：首先，安全和可扩展性对于去中心化系统也至关重要，超级节点的引入会增加系统安全的风险。举个例子，PoW 的模式下，以前需要搞定几万个节点才能发起攻击比如 51%。但 PoS 时代，超级节点的诞生让需要掌控节点数量大大降低，安全存在的隐患也就更大。其次，跨链协议实现中存在缺陷。这个缺陷要怎么理解？其实就是目前例如跨链桥的实现中存在 bug，比如 A 到 B 链经过跨连桥 C，但 C 在没有完成 A 和 B 的检查就把 transaction 放行，那就可能被攻击者利用去进行无限制转账。第三就是供应链安全。主要包括开发人员是否会植入后门以及 build 基础设施的需要安全加固等考量因素。不过，如果牺牲一部分去中心化的特性，采用邦联化的架构，那这个三角就可以成为可能（也就是可以满足可扩展性和安全的特性）我们认为，Scalability 和 Security 是不能牺牲的，因为一旦这么做了，复杂业务也无法开展。不过，如果用分布式\邦联化替代 100 % 的完全去中心化，就会导致技术架构转变。因为完全去中心化指的是每个节点都有验证的权利，那即使某几个节点被攻击，也只是钱包安全的问题。但如果是 PoS 选出超级节点成为 validator 的节点受了攻击问题那严重性就非常高了。那么对于 Web3 领域来说，假设某项业务全球有几十个超级节点，一个节点放到德国的 Hetzner 数据中心，一个在法国节点放到 OVH 数据中心，然后日本的节点又是一个当地机房进行托管。如何保证这些服务器本身的运行状态是可信的，比如没有遭到机房管理人员或者其他 Evil Maid（邪恶女仆）的篡改，如果能做到这点那 web3 超级节点的物理服务器可以被扔进这个星球上任何一个数据中心并且放心大胆的运行，毕竟验证服务器是关系到钱的组件。另外一方面，不同超级节点之间可以使用邦联化协议或者跨链桥的方式进行通信，在这样的情况下，也会对底层的基础安全提出更高的要求。八、总结&后记笔者一位非常钦佩的 GP 前辈讲过一句话：要找到正确的「非共识」。这句话我一直记着，如何在大趋势开始之前观察到不一样的东西，是笔者每天都乐于探索的事情之一。回首我自己的经历，也在 2014 年前后看到 USV 合伙人对 Metaverse 的博客描述（他这篇文章是 2012 年写的，提到了推特和元宇宙）当时也突然觉得眼前一亮：如下图图片来源：Twitter and the Metaverse - AVC 也有 2019 年 USV 合伙人 Fred 博客写道他对 NFT 和虚拟人的关注之时，引发了我的思考（不过当时周围可以找到的能交流 NFT 的朋友并不多：）（如下图）。图片来源：Twitter and the Metaverse - AVC 这篇文章的写作，主要也是想给大家一个思考的新领域，新方向。来源：金色财经

金色财经2022-10-10

芯片股早盘重挫，截至发稿，上海复旦(01385.HK)跌17.48%，报32.1港元

设备的开发、生产及销售业务。其产品包括CMOS影像感应器、自动光学检测工具、工业物联网、先进封装工具、焊接机、发光二极体设备及测试处理机等。表面贴装科技解决方案分部主要提供表面贴装技术相关解决方案。该公司业务覆盖英国、新加坡及马来西亚等地。以上内容由证券之星根据公开信息整理，与本站立场无关。证券之星力求但不保证该信息（包括但不限于文字、视频、音频、数据及图表）全部或者部分内容的的准确性、完整性、有效性、及时性等，如存在问题请联系我们。本文为数据整理，不对您构成任何投资建议，投资有风险，请谨慎决策。

证券之星2022-10-10

9月PMI数据点评——生产恢复强于需求

一．PMI数据总览 2022年9月30日，国家统计局服务业调查中心和中国物流与采购联合会发布了中国采购经理指数（PMI）。其中，制造业PMI为50.1%，较上月回升0.7个百分点；非制造业PMI为50.6%，比上月下降2个百分点。数据来源：Wind，格上研究整理二．PMI数据分析 9月制造业PMI边际小幅回升，突破于荣枯线之上。具体而言，从供给端来看，9月PMI生产指数为51.5%，高于前值的49.8%。随着高温影响的缓解，9月生产项转向环比改善。从需求端来看，9月PMI新订单和新出口订单指数分别为49.8%和47%（前期为49.2%和48.1%），新订单指数虽小幅上升但仍在低位区间，而出口订单进一步承压。在疫情、外需收缩背景下，海外市场对中国制造业产品的需求加速下降，即外需对出口拉动走弱。从价格来看，原材料购进价格与出厂价格双双回升。9月主要原材料购进价格为51.3%，较上月大幅回升7个百分点，这主要是受到了基建投资加速下煤炭价格上升的影响；出厂价格上行2.6个百分点到47.1%。出厂价格低于原材料购进价格，表明企业经营的成本压力有所上升，盈利空间缩小。9月供应

格上财富2022-10-09

B of A Securities：维持Camtek(CAMT.US)中性评级

分市场提供服务，包括先进封装、存储器、CMOS图像传感器、功率、射频和MEMS，为行业内的全球IDM、OSAT和铸造厂提供服务。其产品包括前端、中端、后切丁、方格、缺陷自动分类和指南针。该公司成立于1987年，总部设在以色列的米格达尔·海梅克。以上内容由证券之星根据公开信息整理，与本站立场无关。证券之星力求但不保证该信息（包括但不限于文字、视频、音频、数据及图表）全部或者部分内容的的准确性、完整性、有效性、及时性等，如存在问题请联系我们。本文为数据整理，不对您构成任何投资建议，投资有风险，请谨慎决策。

证券之星2022-10-07

B of A Securities：维持KLA(KLAC.US)买入评级

造、光罩制造、互补式金属氧化物半导体(CMOS)和图像感应器制造、太阳能制造、LED制造，资料储存媒体/读写头制造、微电子机械系统制造及通用/实验室应用等。该公司成立于1997年4月，总部位于加利福尼亚州米尔皮塔斯。以上内容由证券之星根据公开信息整理，与本站立场无关。证券之星力求但不保证该信息（包括但不限于文字、视频、音频、数据及图表）全部或者部分内容的的准确性、完整性、有效性、及时性等，如存在问题请联系我们。本文为数据整理，不对您构成任何投资建议，投资有风险，请谨慎决策。

证券之星2022-10-07

24小时热点