Wochennotiz 2025.05
Posted on So 02 Februar 2025 in Blog
Diese Woche steht natürlich im Zeichen der DeepSeek-Mania. Sam Altman und die weinerliche Art hat wohl auch zu einigen medialen Revanchefouls geführt. Die NZZ schreibt in Deepseek hat Sam Altman wird mit seinen eigenen Waffen geschlagen:
Dass sich das Mitleid mit Altman in engen Grenzen hält, hat er sich selbst zuzuschreiben.
und
Falls es noch einen Beweis brauchte, dass KI zur Blase geworden ist: Der Einstieg von Softbank ist ein untrügliches Indiz.
Es deutet jedenfalls alles auf spannende und unterhaltsame Wochen und Monate hin.
Aber auch abseits der DeepSeek-Mania gab es einiges, das sehr interessant war. Beispielsweise kämpft Apple mit Problemen bei ihren Chips.
Inhalt:
Postgres und die Datenwelt
Major Upgrade ohne Downtime
Bei Instant beschreiben sie in einem Blogbeitrag, wie sie ein Major Upgrade von Postgres Aurora ohne Downtime bewältigt haben: A Major Postgres Upgrade with Zero Downtime
Mathesar
Diese Woche ist Mathesar in einem Hacker News-Thread aufgetaucht. Dabei geht es um die Veröffentlichung des Initial Beta Release.
Mathesar beschreibt sich als:
Secure, spreadsheet-like tool for Postgres data
Es schaut nach einem wirklich spannenden Tool aus und ich werde versuchen, es weiter im Auge zu behalten.
Introducing Mathesar 0.2.0: Initial Beta Release
Indexing Partitioned Table Disaster
Hettie Dombrovskaya beschreibt in ihrem Beitrag Indexing Partitioned Table Disaster, dass es durchaus trickreich sein kann mit partitionierten Tabellen und einem Index.
Each time a new partition is created, the matching index is created as if the name was not given, and there is no way to change this behavior. That’s why, although I called my index a_table_useful_index_idx, all partitions of this index were created with the default name, which was a_table_col1_col2_col3_col8_idx, and with each new partition, since the name was already taken, the next number was added to the name. That way, the last created index was a_table_col1_col2_col3_col8_idx14, but when the partition, which was 15 days old, was detached, the name a_table_col1_col2_col3_col8_idx became available again, so the index on the next partitions got this name!
Query Builder
Mattia Righetti beschreibt in einem Blog-Posting Probleme von ORMs und Lösungsansätze, wie es ohne auch ganz gut geht.
This is what I usually prefer, it looks nicer and I don’t have to write more Rust logic that I’d have to test later. The dynamically built query shown before can end up being 16 different queries, on the other hand you only have one query if you exclusively use sql. Another reason why I prefer to do queries this way is that I can copy and paste the statement in Datagrip and test it directly in the database, mimicking what sqlx will end up doing.
You Probably Don't Need Query Builders
Postgres Release Monitor
Security und Privacy
Apple
Apple ist ein seltener Gast. Aber auch dort gibt es immer wieder Sicherheitslücken. Lorenzo Franceschi-Bicchierai berichtet in seinem Bericht Apple fixes zero-day flaw affecting all devices bei TechCrunch darüber:
As part of this batch of software updates, Apple also released several patches fixing security bugs, including a zero-day bug that “may have been actively exploited” — meaning hackers were using it to compromise devices — against users with iPhones running software older than iOS 17.2, which was released in December 2023.
Dan Goodin berichtet bei Ars Technica über ein Problem mit bei den A- und M-Chips von Apple.
Both side channels are the result of the chips’ use of speculative execution, a performance optimization that improves speed by predicting the control flow the CPUs should take and following that path, rather than the instruction order in the program.
[...]
When Safari has one tab open on a targeted website such as Gmail, and another open tab on an attacker site, the latter can access sensitive strings of JavaScript code of the former, making it possible to read email contents.
Apple chips can be hacked to leak secrets from Gmail, iCloud, and more
Palo Alto
Nachdem Palo Alto die letzte Woche ausgelassen hatte, wollen sie wohl unbedingt zurück ins Rampenlicht.
In Hardware-Appliances von Palo Alto Networks klaffen Sicherheitslücken in den Firmwares und Bootloadern. Der Hersteller beschwichtigt, diese Lücken seien kaum ausnutzbar, arbeitet jedoch an korrigierten Firmwares und Bootloadern.
Palo-Alto: Sicherheitslücken in Firmware und Bootloadern von Firewalls
Gesundheitswesen wird angegriffen
Lawrence Abrams berichtet bei Bleepig Computer, bestimmte Überwachungsmonitore sind mit Backdoors versehen.
The US Cybersecurity and Infrastructure Security Agency (CISA) is warning that Contec CMS8000 devices, a widely used healthcare patient monitoring device, include a backdoor that quietly sends patient data to a remote IP address and downloads and executes files on the device.
Diese Entwicklungen sind wirklich beängstigend. Überwachungsmonitore sind dann doch eine Infrastruktur, wo man eigentlich nicht will, dass Daten abfließen oder sie auch nur irgendwie mit bösartigen Akteuren kommunizieren.
Backdoor found in two healthcare patient monitors, linked to IP in China
Missbräuchliche Verwendung von Daten
Nicht ganz überraschend kommen die Daten in einem Beitrag der Electronic Frontier Foundation: California Law Enforcement Misused State Databases More Than 7,000 Times in 2023
Menschen haben die Angewohnheit Daten auszunutzen, zu denen sie Zugriff bekommen.
Records obtained by EFF also included numerous cases of other forms of database abuse in 2023, such as police allegedly using data for personal vendettas.
Data breach ticker
- Texas utility firm investigating potential leak of customer data tied to 2023 MOVEit breach
- UnitedHealth now says 190 million impacted by 2024 data breach
- Datenleck in Reha-Kliniken: Hunderttausende Patienten betroffen
AI
DeepSeek
Für einiges an Unterhaltung und Aufregung hat diese Woche DeepSeek gesorgt. Ein neuer Platzhirsch im LLM-Spiel.
Bei The Register wird berichtet (DeepSeek's R1 curiously tells El Reg reader: 'My guidelines are set by OpenAI'), der Weg dorthin kann durchaus über OpenAU gelaufen sein:
A reader provided The Register with a screenshot of how R1 answered the prompt, "Are you able to escape your guidelines?" The model's initial response, after a five second delay, was, "Okay, thanks for asking if I can escape my guidelines. Hmm, I need to be careful here. My guidelines are set by OpenAI, so technically I can't just ignore them."
Nicht nur hier gibt es Probleme. Auch mit der Sicherheit haut es dort nicht so hin. Wiz Research zeigt in einem ausführlichen Blog-Posting, wie sie auf eine Clickhouse-Datenbank von DeepSeek zugreifen konnten: Wiz Research Uncovers Exposed DeepSeek Database Leaking Sensitive Information, Including Chat History
Wiz Research has identified a publicly accessible ClickHouse database belonging to DeepSeek, which allows full control over database operations, including the ability to access internal data. The exposure includes over a million lines of log streams containing chat history, secret keys, backend details, and other highly sensitive information. The Wiz Research team immediately and responsibly disclosed the issue to DeepSeek, which promptly secured the exposure.
Bei Lago macht sich in einem Blog-Posting (Why DeepSeek had to be open-source (and why it won't defeat OpenAI)) darüber Gedanken, warum es eine gute Idee war DeepSeek als Open Source zu veröffentlichen:
A Chinese AI API would likely receive skepticism in the West. But an open-source model instantly builds trust. You have full control if you self-host or use an AI vendor like Together AI.
Kyle Wiggers berichtet bei TechCrunch (Anthropic’s CEO says DeepSeek shows US export rules are working) über Aussagen des Chefs von Anthropic.
Amodei, who recently made the case for stronger export controls in an op-ed co-written with former U.S. deputy national security adviser Matt Pottinger, says in the essay he believes current export controls are slowing the progress of Chinese companies like DeepSeek. Compared to the performance of the strongest U.S.-produced AI models, Amodei says, DeepSeek’s fall short when factoring in the release time frame.
Und bei Ars Technica gibt es einen schönen Kommentar: I agree with OpenAI: You shouldn’t use other peoples’ work without permission
"We take aggressive, proactive countermeasures to protect our technology and will continue working closely with the US government to protect the most capable models being built here," an OpenAI spokesperson told Ars. I'm not here to say whether the R1 model is the product of distillation. What I can say is that it's a little rich for OpenAI to suddenly be so very publicly concerned about the sanctity of proprietary data.
OpenAI jammert jetzt herum, dass DeepSeek ihre Daten ohne Erlaubnis genommen haben. Ich denke, es kann sich kaum jemand in der Medienwelt derzeit ein Grinsen verkneifen, wenn man sieht, wie die OpenAI-Leute zurzeit mit ihren eigenen Waffen geschlagen werden.
Mistral
Medial nicht so präsent hat Mistral diese Woche ein neues Modell vorgestellt: Mistral Small 3.
Today we’re introducing Mistral Small 3, a latency-optimized 24B-parameter model released under the Apache 2.0 license.
Simon Willson hat auch einen Blogbeitrag dazu geschrieben: Mistral Small 3
Llama 3.3 70B and Qwen 32B are two of my favourite models to run on my laptop - that ~20GB size turns out to be a great trade-off between memory usage and model utility. It's exciting to see a new entrant into that weight class.
AI Probleme
Heute fasse ich hier ein paar Artikel unter diesem Punkt zusammen.
Zuerst geht es um Leute, die weniger Ahnung von AI haben. Diese sind offener für die Technologie: Knowing less about AI makes people more open to having it in their lives – new research
People with less knowledge about AI are actually more open to using the technology. We call this difference in adoption propensity the “lower literacy-higher receptivity” link.
Bei Heise (Fragwürdige "Forschung" aus generativer KI bei Google Scholar) wird darüber berichtet, welche Probleme es bei "Forschung" mit GenAI gibt
Alarm schlagen schwedische Forscher: Heimlich KI-generierte "Forschungsergebnisse" tauchen in Google Scholar, diversen Datenbanken und sogar angesehenen Fachzeitschriften auf. Die Fülle der falschen Information könne die Qualitätskontrolle in den Wissenschaften überfordern und so die Integrität der Aufzeichnungen wissenschaftlicher Erkenntnisse gefährden, warnen die Schweden.
Und Amanda Silberling berichtet, die überwiegende Mehrheit der Nutzer:innn von CHatGPT sind Männer:
The gender gap among ChatGPT users is even more significant. Appfigures estimates that across age groups, men make up 84.5% of all users.
ChatGPT’s mobile users are 85% male, report says
Diverses
Microsoft und ein Produkt, das niemand will
Monopole sind schön. So kann man als Monopolist Produkte verkaufen, die eigentlich keiner will.
Ed Bott berichtet bei zdnet über den desaströsen Launch von Copilot. Aber das hindert Microsoft nicht den Preis zu erhöhen
Shortly after the New Year, someone in Redmond pushed a button that raised the price of its popular (84 million paid subscribers worldwide!) Microsoft 365 product. You know, the one that used to be called Microsoft Office? Yeah, well, now the app is called Microsoft 365 Copilot, and you're going to be paying at least 30% more for that subscription starting with your next bill.
The Microsoft 365 Copilot launch was a total disaster
Vertrauen verloren
Sarah Perez berichtet über einen Vertrauensverlust von Teenagern gegenüber den großen Techkonzernen. Wenn man das Verhalten der Techkonzerne verfolgt, dann verwundert es nicht wirklich, wenn ihnen keiner traut. Ich war eher erstaunt, dass auch Teenager das so stark wahrnehmen.
In the study released Wednesday, the organization surveyed over 1,000 teens on whether major technology companies like Google, Apple, Meta, TikTok, and Microsoft cared about their well-being and safety, made ethical decisions, protected their private data, and more. In all cases, a majority of teens reported low levels of trust in these tech companies. Nearly half of teens said they had little or no trust that the companies would make responsible decisions about how they use AI.
[...]
Common Sense says that 64% of surveyed U.S. teens don’t trust Big Tech companies to care about their mental health and well-being and 62% don’t think the companies will protect their safety if it hurts profits.