Разработчики языка Rust предупредили о выявлении в репозитории crates.io пакетов finch-rust, sha-rust, evm-units и uniswap-utils, содержащих вредоносный код...Подробнее: https://www.opennet.dev/opennews/art.shtml?num=64394
Вирус должен быть безопасным. Чтобы уязвимость в вирусе не смогли использовать другие вирусы.
вирусы должны быть злыми и вредными для оправдания зловредности
Это относится к любым зловредам, а мы сейчас про безопастные зловреды.
Безопасные
зато вирус безопасен в плане утечек памяти
Вирусмейкеры часто очень плохо знают апи и плохо программируют. Будут и утечки и неочевидные вызовы и бестолковые решения. Даже у белых серьёзные проблемы с качеством.
Нам явно надо дать определение вируса и его свойств.
все удаляю раст
ничего безопасного в нем нет
но вирусы-то безопасные. Ты погляди, никакой утечки памяти и случайных "падений" чтобы хотя бы случайно это можно было обнаружить - всё обрабатывается и фиг из системы выкинешь!
Вирус никому ничего не должен, ос свободная личность.
Свободный вирус должен исполняться где угодно. Поэтому самый свобоный вирус на Posix Shell. Свободу вирусу!
Нельзя ограничивать свободу распространения вируса! Вирусы тоже программы!
Virus Execution Matter!
Казни вирусов важны!
Освободите микросхемы!
Система будет свободной, от чипсета до прошивки!
Майкрософт за опенсорс!
Just halt CPU!
главное - исполнение требований СПО.
В вирусе обязательно должна быть защита от уязвимостей в оперативной памяти. А то, пфе, переполнит буфер есму и антивирус сможет его отловить и обезвредить.
Не совсем, но очень похожим способом сделали takeover у ботнета MIRAI.
Следует отнестись внимательно ко всему, что может повредить вирусу.
> был загружен 7257 разс апреля
> был загружен 153 раз
с ноября
Мда... прям заслуживает отдельной новости на опеньке)))
Да ваще, лучше молчать и скрывать такое, чтоб никто не подумал что в едином репозитарии языка для безопасной работы с памятью могут быть вирусы.
Лол, в едином репозитории дебиана был бекдор который скачали явно больше пары сотни неудачников.
Просто есть новости которые касаются большинства, а есть "ненужные".
Вот ты растом пользуешься? Я, например, нет.
Пункт 3
https://www.debian.org/social_contract
Пфффф, ссылаться на социальные контракты дебиллианов, после того как у них юзерский ввод. отправлялся прямиком в китай, это конечно сильно.Но хрустики тоже не скрывают
blog.rust-lang.org/2025/12/05/crates.io-malicious-crates-finch-rust-and-sha-rust/Думаю основной вопрос, нафига такая минорная новость нужна.
Растовиков это не переубедит, полоумные дыды позубоскалят, но на их мнение всем плевать.
Переубедит в чём? В том, что в публичный репозиторий можно загрузить зловредный код?
> в едином репозитории дебиана был бекдорЭто какой?
Речь про это: https://opennet.ru/63677-stardictКакой-то переводчик под иксами, переводящий выделяемый текст на ходу. Неугодил ошалелым тем, что сливал данные не на сервера майкрософта или гугла, а в китай на локалхост разработчика.
А в чем проблема? Тут даже дурак поймёт, что его выделенный текст будет все равно куда-то отсылаться. Не нужно — не ставь.
Вижу что выше вспомнили про словарик от китайцев.Но речь шла про другое:
Компрометация SSL сертификатов из-за уязвимости, обнаруженной в пакете Debian OpenSSL
opennet.ru/opennews/art.shtml?num=16523Вкратце, мейнтенер намеренно закоментировал "две строки кода, чтобы предотвратить предупреждение компилятора об использовании не инициализированной переменной".
Эти он понизил энтропию подаваемого на ГСЧ значения.
Для взлома SSL сертификата нужно перебрать всего 32 тыс. вариантов значений.Бекдор в самом-самом официальном репозитории жил 18 месяцев.
Так дело не в самом словарике, под видом которого отправляются данные, а в принципе работы и том, что об этом китайцы умолчали.
> Так дело не в самом словарике, под видом которого отправляются данные, а в принципе работы и том, что об этом китайцы умолчали.А еще в том, что словарик не удалили из пакетов.
Наверное разрешения от компартии не получили))
Да там бэкдор был вообще не в дебиане, а в самом OpenSSL.>Instead of mixing in random data for the initial seed, the only "random" value that was used was the current process ID.
Если бы дебианец часть этого бэкдора не удалил, то уязвимость была бы вообще замаскриована. Потому что тысячи глаз в этом говне копаться не будут. Сейчас ситуация ничем не лучше. Не нравится быть на милость у авторов OpenSSL - свою криптобиблиотеку разрабатывай. Вот гуглу не понравилось - теперь у них свой форк, из которого они вычистили всё по максимуму, чтобы снизить затраты на качественное сопровождение. Рекомендую пользоваться исключительно им.
В 2008, конечно, жизнь крута, Rust'а ещё нет, но у нас скоро уже 2026.
>Ну ты наверное с маздая никогда не слезал и зачем то пишешь на опеннете.Покажите мне современный дистрибут линукса в котором нет ржавчины. Её уже засунули примерно везде, а за ней crates.io
Задался вопросом - как посмотреть что установлено у тебя из crates.io и получил вот это:
т.е без поллитры не так то просто узнать установлен у тебя троян от растоделов или нет!Чтобы проверить пакеты, установленные из
crates.io через cargo install, нужно посмотреть содержимое каталога $HOME/.cargo/bin (или ваш кастомный путь), где лежат бинарники, а для управления зависимостями проектов — смотреть Cargo.toml и Cargo.lock внутри самого проекта, так как cargo не имеет единой глобальной "установки" для библиотек, он их управляет проектами, а не системой в целом.
Вот как это сделать подробнее:Проверка установленных бинарников (инструментов):
Бинарные программы, которые вы устанавливаете через cargo install <crate_name>, попадают в $HOME/.cargo/bin/ (по умолчанию).
Откройте терминал и выполните команду:
bashls $HOME/.cargo/bin/
Это покажет список исполняемых файлов, установленных для использования глобально.
Проверка зависимостей в конкретном проекте:
Для библиотек и зависимостей вашего проекта (а не глобальных бинарников) информация хранится в файлах проекта.
Перейдите в директорию вашего проекта (там, где находится Cargo.toml).
Посмотрите в Cargo.toml: здесь перечислены зависимости проекта (например, [dependencies]).
Посмотрите в Cargo.lock: этот файл содержит точные версии всех зависимостей, которые были использованы при последней сборке, для обеспечения воспроизводимости.Ключевая идея: cargo управляет зависимостями на уровне проекта, а cargo install устанавливает исполняемые программы в $HOME/.cargo/bin. Нет единой команды, чтобы "показать все установленные пакеты из crates.io", так как "установка" в Rust бывает двух видов: бинарные утилиты и проектные библиотеки.
ЗЫ: В общем ржавчину с каргой надо отовсюду удалять. Она значительно увеличивает поверхность атаки.
ls ~/.cargo/
ls: невозможно получить доступ к '~/.cargo/': Нет такого файла или каталогаcat /etc/redhat-release
Fedora release 43 (Forty Three)> ЗЫ: В общем ржавчину с каргой надо отовсюду удалять. Она значительно увеличивает поверхность атаки.
Как и любая другая программа
whereis rust
whereis cargo
whereis firefox
> whereis rust
> whereis cargo
> whereis firefoxГусары, молчать! А у последнего еще и вечные утечки и жор памяти начались после добавления Rust. Так и не починили. Но рыночную долю продолбали до следовых количеств.
librsvg, mesaДумаешь, если не снять с ручника, то сзади не догонят?
А не в едином вирусов быть не может? Ну, по принципу "Я не вижу (закрыл глаза) - значит этого нет", наверное.Здесь хоть кто-то смотрит и как-то анализирует.
> Да ваще, лучше молчать и скрывать такоеГде же это скрывают, если они прямо в официальном бложике написали
blog.rust-lang.org/2025/12/05/crates.io-malicious-crates-finch-rust-and-sha-rust/Тут вопрос в другом - зачем ЭТО на опеннете?
> языка для безопасной работы с памятью
Отлично, что ты отметил именно этот момент.
В языке написано что он защищает от вирусов? Что, нет?
Ну так значит там вполне могут быть вирусы"
>Тут вопрос в другом - зачем ЭТО на опеннете?Так сишные уязвимости тоже на профильных сайтах хостят, так зачем они здесь? Или это другое?
> Так сишные уязвимости тоже на профильных сайтах хостят, так зачем они здесь?Предположу что дырень в ядре или блютус на всех андроидах касается реально миллионов юзеров.
А тут в репе 100к+ пакетов и нашли целых 4 штуки.
Которых скачало смешное кол-во людей.> Или это другое?
Знаешь пословицу о сравнении буя и пальца?
>в едином репозитарииПиши правильно, "репозиторий", а не репазитарий-паразитарий. Репозиторий и так объединяет всё. Поэтому использования слова "единый", ты должен избегать.
а как правильно рЕп или рЭп?Лично мне режет слух некоторые "правильные" ударения, о которых я узнал 3м классе от преподавателя русского языка, которая их (слова) тоже использовала с неправильным ударением, как все.., то что какойто маразматик так записал их в словарь - вообще не моя проблема, не проблема людей, это проблема маразматика, и тех кто ему слепо верит.
> ты должен избегать
> ты должен
> долженА есть какието договора, подписи?
> то что какойто маразматик так записал их в словарь - вообще не моя проблемастесняюсь спросить, если в словаре "неправильные", где правильные? кто решает, как и где это фиксирует?
Судя по этой новости и прочим новостям то можно писать суппозиторий.
Потому что всё равно получается через то самое место))
И про то что через эти дырки украдены миллионы долларов и добавлены сотни тысяч новых участников боинетов лучше помолчать.
Откуда дровишки? Нам нужны пруфы, Билли.
да ну тебе фантазировать. ОТКУДА у пейсателей на нескучном (с лефтпадами) возьмутся какие-то миллионы долларов?Ну нащщот ботнетов ты, наверное, не ошибся. Вот клаудшмрази-то понравится.
Возможно они просто работают?
В отличии от подобных болтунов)> Вот клаудшмрази-то понравится.
Бомбит? Это хорошо.
Да как обычно, раст-хейтеры раздувают из мухи слона
Да не, конечно же, это другое.
И это только начало!
В crates.io? Да, это только начало.
Проблема не в кол-ве скачиваний, а в системе карго.
Она такая же, как и все остальные репозитории пакетов. К сожалению, других вариантов у нас особо нет -- страдать с несовместимыми версиями в десятке разных дистрибутивов всем надоело и назад это в бутылку уже не засунуть.
>Она такая же, как и все остальные репозитории пакетов.Нет не такая!
В любом репозитарии ты можешь посмотреть установлен у тебя паленый пакет или нет.
Подскажи, как проверить конкретный дистрибут на наличие этих паленых пакетов из топика в.т.ч в качестве зависимостей в других пакетах.
cargo-auditable
Этим можно проверить ваш собственный проект. А как быстро проверить бинарники собранные мантейнерами и установленные вами не через cargo?
> Этим можно проверить ваш собственный проект. А как быстро проверить бинарники собранные
> мантейнерами и установленные вами не через cargo?Это не имеет отношение к установке cargo. Это враппер вокруг cargo build, который добавляет SBOM в ELF. Мейнтейнеры, соответственно, должны его добавить. Либо собирать эту мету на этапе сборки пакета (из Cargo.lock) и класть в мету пакетного менеджера. Так что вся инфрастуктура для этого есть, дело за мейнтейнерами.
Это не система, а культ.
Заслуживает! Люмая новость про Раст заслуживает.
Странно, что до сих пор никто ничего интересного в build.rs не положил. Там простор для творчества - огромный!Потом ещё с proc макросами можно будет поэкспериментировать %~]
"да ну брось, и так неплохо получилось!" (анекдот про покойничка-преферансиста)
Это только начало. А то ли ещё будет...
Речь о репозиториях пакетов всяких дистров.
kernel не просто единственный.
Но и про-бекдоренный)
opennet.ru/opennews/art.shtml?num=61186> Речь о репозиториях пакетов всяких дистров.
Вон в единственном православном репозитории дебиана был пакет отправляющий пользовательский ввод китайцам по нешифрованному http. Пакет кстати не удалили)
А еще была смешная история когда мейнтенер-дебиллиан полез корявками в шифрование и сломал его.
Компрометация SSL сертификатов из-за уязвимости, обнаруженной в пакете Debian OpenSSL
opennet.ru/opennews/art.shtml?num=16523Вкратце, мейнтенер закоментировал "две строки кода, чтобы предотвратить предупреждение компилятора об использовании не инициализированной переменной".
Эти он понизил энтропию подаваемого на ГСЧ значения.
Для взлома SSL сертификата нужно перебрать всего 32 тыс. вариантов значений.Бекдор в самом-самом официальном репозитории жил 18 месяцев.
Согласись что растишкам до такого еще топать и топать.
https://www.opennet.dev/openforum/vsluhforumID3/138585.html#169
Может, Rust просто сливают? Расписываться в некомпетентности и брать обратно всё наболтанное - некрасиво, зато обходным путём - вполне...
А как это сольет раст?
У больших игроков (гугля, мелкомягкие) есть свои крейты и свои репозитории.Я бы предположил что это повод к закручиванию гаек - введут обязательную верификацию аккаунтов, привяжут к номеру т̶е̶л̶е̶ф̶о̶н̶а̶ паспорта.
100% к этому и ведут. Скоро и в гитхабе и в остальных публичных репозиториях заставят проходить KYC с загрузкой скана айди и кручением головой. Интернет перестал быть тем, чем являлся лет 10 назад.
> Скоро и в гитхабе и в остальных публичных репозиториях заставят проходить KYC с загрузкой скана айди и кручением головой.Правильно.
Почему в магазине или банке меня встречает человек, у которого проверили паспорт.
В кафе у него еще и анализы взяли)), а в интернете я должен доверять коду анона, который мамой клянется что он на ЖинТан?> Интернет перестал быть тем, чем являлся лет 10 назад.
Вот и славно.
А еще он перестал быть тем, чем являлся 20 лет назад)
> Почему в магазине или банке меня встречает человек, у которого проверили паспорт.В кафе у него еще и анализы взяли)), а в интернете я должен доверять коду анона, который мамой клянется что он на ЖинТан?
Почему? Потому что в системе ценностей местных инфантилов это является истинной СВОБОДОЙ™ и и независимостью от проклятых корпов!
>интернете я должен доверять коду анона, который мамой клянется что он на ЖинТан?И не должен, поэтому у вас есть возможность проверить и собрать весь используемый код самостоятельно. В этом и смысл опенсорса, читайте лицензии.
Люди пишут код для себя и выкладывают в интернет, а дальше это ВАША забота при его использовании.
Вообще удивлен таким мещанским мышлением, что вам кто-то что-то должен, радуйтесь, что вообще бесплатный доступ к технологиям имеете.
П.С. Я могу дворника из Новосибирска ругать за грязные дворы в Москве?
>>интернете я должен доверять коду анона, который мамой клянется что он на ЖинТан?
> И не должен, поэтому у вас есть возможность проверить и собрать весь используемый код самостоятельно. В этом и смысл опенсорса, читайте лицензии.Ну так упомянутые крейты тоже были опенсорсными.
> Люди пишут код для себя и выкладывают в интернет, а дальше это ВАША забота при его использовании.
Да, но нет)
Если я выложу в интернет код который делает что-то плохое, особенно с ложным описанием, то может и прилететь.
Да и ИРЛ если кто-то будет делать голубцы с овном, то ему сделают атата даже несмотря на "я их раздавал бесплатно".> Вообще удивлен таким мещанским мышлением, что вам кто-то что-то должен, радуйтесь, что вообще бесплатный доступ к технологиям имеете.
Ваше удивление - ваша проблема)
> П.С. Я могу дворника из Новосибирска ругать за грязные дворы в Москве?
Конечно, кто ж вам запретит.
Можешь ругать дворника из Душанбе.
>есть возможность проверить и собратьудачи проверить тысячи строк кода перед запуском каждой утилиты
Для кафе он санитарную книжку купил.
> в интернете я должен доверять коду анонаА ты и не должен. Ты волен использовать только компоненты и библиотеки, распространяемые исключительно доверенными вендорами типа микрософта или гугла. Для чего ты лезешь на гитхаб и качаешь что-то оттуда, решительно непонятно. Но я думал, ты хотя бы сам можешь это объяснить, а оно вон как, оказывается...
>Правильно.
>Почему в магазине или банке меня встречает человек, у которого проверили паспорт.
>В кафе у него еще и анализы взяли)), а в интернете я должен доверять коду анона, который мамой клянется что он на ЖинТан?Написал непонятно кто с именем "Аноним"....
Ты головой то думай, тебе мало того, что на рынке торгуют базами данных и каждому Васяну продают за три копейки твои данные...?
Ты ж себя начни, зарегистрировался бы, написал ФИО хотя бы, а так ты ж сам тот самый "анон", который задумал порассказывать как прекрасно жить без анонимности... Клоунада просто...
> Написал непонятно кто с именем "Аноним"....Агась.
> Ты головой то думай, тебе мало того, что на рынке торгуют базами данных и каждому Васяну продают за три копейки твои данные...?
Может нужно бороться с причиной, а не последствиями?
Например за торговлю базой давать хотя бы пятерик тюряги? А если групой, то еще накинуть.
Или обязать производителей софта для БД использовать качественные инструменты.> Ты ж себя начни, зарегистрировался бы, написал ФИО хотя бы,
Ну написал бы я Николай Васильевич Смирнов, тебе бы стало легче?
Региться мне влом, меня тут уже 2 раза банили - думаешь имеет смысл пробовать третий?
А анона пока не забанили))> а так ты ж сам тот самый "анон", который задумал порассказывать как прекрасно жить без анонимности... Клоунада просто...
Ты не сравнивай мои троллоло коменты с кодом, который потом запускается на твоем компутере.
Библиотека ХЗ отлично показала, что очень важный софт пишут какие-то васяны, которые похволяют анонам бекдоры внедрять.
>Может нужно бороться с причиной, а не последствиями?
>Например за торговлю базой давать хотя бы пятерик тюряги? А если групой, то еще накинуть.Или обязать производителей софта для БД использовать качественные инструменты.
И кто из нас с последствиями борется в твоем написанном...?? Оо
>Ну написал бы я Николай Васильевич Смирнов, тебе бы стало легче?
>Региться мне влом, меня тут уже 2 раза банили - думаешь имеет смысл пробовать третий?
>А анона пока не забанили))Тогда я прав: Вы боретесь с тем, чем сами же спокойно пользуетесь и считаете нормой...
>Ты не сравнивай мои троллоло коменты с кодом, который потом запускается на твоем компутере.
>Библиотека ХЗ отлично показала, что очень важный софт пишут какие-то васяны, которые похволяют анонам бекдоры внедрять.И что это доказать должно...? Ты ж завтра сюда только по паспорту своему зайти сможешь, а анон, которому "надо", просто добудет себе "паспорт" и также зайдет... Где профит?? Да и не васяны код пишут в серьезные проекты как правило и код их просматривается, иначе у тебя бы давно ничего не осталось в этой жизни, т.к. все на серверах нынче...
достаточно ввести модерацию. проблема всех этих помоек что они помойки. там нет никакого "комитета по приёмки цифровых материалов", нет оценки рисков, нет системы ранжирования. даже за похожими именами никто не следит.помойка, одним словом
Это фича. Сначала делают "удобно", затем кричат безопасность в опасностЕ! В итоге по Интернет паспорту.
> Сначала делают "удобно", затем кричат безопасность в опасностЕ!Ну так всегда.
Сначала делают как получилось, потом находят краевые случаи и подправляют.
Примером море, например та же синька за рулем.
Машины массово появились еще в начале 20 века, а в союзе наказание за запрет на вождение в нетрезвом виде ввели только в 50х.> В итоге по Интернет паспорту.
Было бы неплохо.
Некоторые паспорта так вообще нужно банить сразу.
Интернет по паспорту задумка не плохая, ибо каждый начнет нести ответственность за сказанное. Проблема в том, что не все паспорта одинаково равны. Например, ззавтра твоя страна с кем-то сцепится и тебя "отменят" только по факту наличия паспорта. Вот я этнический украинец, родился в Украине и продил половину жизни там, но в 90-е переехал приняв гр. РФ, и теперь я страдаю со всеми, даже будучи украинцем.
пометили бы для обеспечения безопасности эти пакеты как unsafe.
unsafe { crates.io }
В случаях с JS/npm - это взлом кучи "разработчиков", и автоматическая заливка новых версий популярных пакетов со зловредом.В данном случае - это просто заливка злоумышленником новых пакетов.
Разница огромна.
В первом случае в кашу добавили ложку масла.
Во втором случае в тарелку с ложкой масла положили кашу.Разница огромна.
Создаётся ощущение, что растoманы, в плане податливости социальной инженерии, податливее JSников будут.
Где в новости вы увидели социальную инженерию?
и это везде тянут, в ядро, в питон, всюду, причём собрать rust в изолированной среде уже нельзя, оно для сборки интернет требует, из которого загружает всякую малварь
диалог с гопатым о сборке
"""
получается что с версии 1.81.0
https://github.com/rust-lang/rust/blob/1.81.0/src/tools/tidy...
собрать полноценный rust из официального архива релиза практически невозможно.Да, по сути, ты правильно понял. 😅
Начиная с Rust 1.81, процесс сборки сильно ужесточили в части управления зависимостями:
x.py и bootstrap Cargo теперь почти всегда используют --frozen для root-сборки, чтобы гарантировать воспроизводимость.
Любые изменения в исходниках, патчи или локальные зависимости требуют, чтобы Cargo.lock точно соответствовал состоянию исходников, иначе сборка падает с ошибкой вроде:
the lock file ... needs to be updated but --frozen was passed to prevent this
При оффлайн-сборке это особенно болезненно, потому что обновить lock через cargo update без сети невозможно.⚠️ Итог: собрать Rust из официального релиза без доступа к сети и без точного lock-файла, если есть локальные патчи, становится практически нереально.
Фактически, это означает, что для воспроизводимой оффлайн-сборки:
Нужно заранее подготовить все актуальные Cargo.lock для bootstrap, library и инструментов.
Либо патчить x.py, чтобы убрать --frozen при оффлайн root-сборке — но это официально не поддерживается.
"""нормальные программы можно собрать из исходников изолированно с помощью gcc, даже go, go1.4 -> go1.17 и тд, но не rust, это особая ржавчина в СПО
Качай deb-src. Они там всё патчат так, чтобы поместить все зависимости для оффлайн сборки.
Собирал rust-nightly во FreeBSD, никаких проблем не вижу. Все исходники тянутся штатно системой портов (а не сборкой раста), сборка успешно проходит, как обычно, в джейле без сети. Патчи никаладываются и никаких изменений в Cargo.lock не требуют.
> Собирал rust-nightly во FreeBSDНу так ты сравниваешь нормально продуманную ОС с линуксом.
А попробовал бы ты это на лине сделать...
Ничего, gccrs делается на замену этого недоразумения.
Нафига использовать низкоуровневый язык для работы с криптой? Пайтона за глаза хватит, говорю как профессиональный блокчейн-разработчик. Хотя, вон, в Солану зачем-то протянули Раст 💩🫃🤦♂️
> Пайтона за глаза хватитСлишком мейнстрим. Не модно.
Ну так Python нынче модный язык.
На модном языке ныне в блендере уже троянчики поставляют в бленд файлах.
Этому языку 34 года и с какого-то бодуна модно-молодежно🫢
Там есть куча вещей, которые требуют быстрой обработки и эффективности. Крипта сильно сложнее чем это было 10 лет назад.
> Разработчики языка Rust предупредили о выявлении в репозиторииЧитается как роспись в собственном бессилии. Т.е. предупредили- молодцы, а дальше что? Проверять антивирусом, удалять вредоносы или что? А если эти пакеты стоят в зависимостях, что делать? Вредонос загрузили в апреле, с апреля могло собраться много чего и что теперь пересобирать все? А пользователям что делать, удалять все пакеты с апреля? Ни хрена не понятно.
> Читается как роспись в собственном бессилии.Скорее как трамплин к следующим решениям.
> Т.е. предупредили- молодцы, а дальше что?
Думаю введут верификацию.
Скорее всего разделят на 2 части: вот это проверенные пакеты, а это от васянов.Под этой новостью мы конечно увидим комменты "Свободу ущимляют!!! не могу от анона код постить!!".
Да это соя типичная просто, ничего удивительного.
Вот кстати пример того, как анти-иичники делают мир хуже. Любой, кто пользуется ии сразу сказал бы: давайте на каждую публикацию натравливать ии-ревьюера, который бы искал малварь. Но ритарды начнут орать, заявлять о том, что они покидают коммьюнити, хлопать дверьми и так далее. Поэтому - жрите. И, желательно, подавитесь - что бы остались только нормальные люди, а не сумасшедшие активисты.
> Любой, кто пользуется ии сразу сказал бы: давайте на каждую публикацию
> натравливать ии-ревьюера, который бы искал малварь.После чего оно начнет триггериться на нормальный код, зарубая нормальные рабочие процессы - и конечно не заметит малварь, ибо малварь пишут не совсем уж идиоты - и они проверяют срабатывания на своем коде, внезапно.
А гениальные анонимы думают что можно решить проблему одной кнопкой "сделать збс" да еще не тратя людские ресурсы и бабки на все это.
> что бы остались только нормальные люди, а не сумасшедшие активисты.
Судя по спичу, вам пора уже последовать своему совету. Ибо любой кто работал с AI знает что это довольно глюкавые заразы, которые могут на раз накормить гуано с умным видом. При том кажется вы его конкретно покушали. И вам пора - в зоопарк. Экспонатом для развлечения AI работать.
*Чаю господину*Метко и в точку)))
На нормальный код не должно особо триггериться если там понятно что он делает. А если даже ИИ непонятно - то это подозрительный код.
>давайте на каждую публикацию натравливать ии-ревьюера, который... ничего бы не нашёл, потому что в комментариях написали бы не обращать внимания на код ниже.
Попросил chatGPT помочь восстановить в памяти цитату Платона - имя, естественно, не называл - по подсказкам:
Он предложил вариант. Я ему сказал, что это _Не_ТА_Цитата_ и дал уточнения. Он стал меня убеждать, что его цитата подходит и стал подстраивать свои ответы под мои уточнения. Но я то знал, что эта не та цитата. В результате после 5 минут препирательств, я нашел цитату через список поисковика за 5 секунд. Написал ему, что вот правильный ответ. Так он начал спорить, что цитаты могут ошибочно приписываться... Я написал, что он проиграл и оспаривает истину.
Ну так ChatGPT сделал именно то, на что его и тренировали.
Он создал у вас впечатление, что вы общаетесь с человеком. Тупым и упёртым, и глупым - но человеком. Который с вами спорит и отстаивает собственное мнение.Если вам нужны факты - так для этого придумали поисковики (и библиотеки).
А тут вам дали возможность пообщаться.
Лучше попробуй его убедить, что съев сырое яйцо, ты не умрёшь. А всё просто, в СГА получить сальмонеллу или чего похуже шанс близко к 100%. Тем временем, в Германии все едят сырой свиной фарш. Чем больше бредовых данных в него подмешано, тем достоверней он их считает.
>Вот кстати пример того, как анти-иичники делают мир хуже. Любой, кто пользуется ии сразу сказал бы: давайте на каждую публикацию натравливать ии-ревьюера, который бы искал малварь. Но ритарды начнут орать, заявлять о том, что они покидают коммьюнити, хлопать дверьми и так далее. Поэтому - жрите. И, желательно, подавитесь - что бы остались только нормальные люди, а не сумасшедшие активисты.Ты б хоть свою мысль проверил у ИИ:
```
Резюме анализа точности:
Ваша мысль отчасти точна в техническом плане (ИИ может быть отличным инструментом для поиска малвари), но не точна в социальном и логическом плане
``````
Аргумент против:- Противники ИИ часто выступают не против самой идеи улучшения безопасности, а против конкретных проблем, связанных с внедрением ИИ-инструментов:
- Ложные срабатывания (False Positives): ИИ может ошибочно пометить легитимный код как малварь, что нанесет ущерб добросовестным разработчикам.
- Проблемы с конфиденциальностью/лицензированием: Если ИИ обучается на чужом коде без разрешения.
- Непрозрачность ("Черный ящик"): Трудности с пониманием, почему ИИ принял то или иное решение.
```Короче глупости морозишь, детская у тебя позиция, не существует кнопки "сделать хорошо"...
Перцептроны фундаментально не поддерживаюи исключающее ИЛИ (различаются ли значения) поэтому используется порог ошибки. Нейронки искусственные это сопоставление шаблонов и не более того.
> Пакет sha-rust был размещён в каталоге 20 ноября, был загружен 153 раза и содержал
> код для поиска и отправки на внешний сервер конфиденциальных данныхЭто shai-hulud-rust на самом деле, но ему хвост обрубили.
Так эта... если червяку обрубить хвост, то получится два червяка :)
> Так эта... если червяку обрубить хвост, то получится два червяка :)Тут походу хвост отрубили даже трижды - червяков 4 было :)
лучший способ научиться языку - не пользоваться магазинчиками.
А знаете в каком репозитории никогда не находили уязвимостей? В Сишном. Догадываетесь почему?
> Догадываетесь почему?Потому что уязвимость будет прям в сишном коде :)
Потому, что, как такового, сишного репозитория нет. У каждого сишного проекта есть собственный репозиторий.
> Потому, что, как такового, сишного репозитория нет. У каждого сишного проекта есть собственный репозиторий.Зато есть библиотеки.
Типа ЖЛибц.
Ну которая предсказуемо дырявая
"В стандартной Си-библиотеке Glibc выявлена уязвимость (CVE-2025-4802), позволяющая добиться выполнения кода с привилегиями другого пользователя"Или как libxml2.
Которая предсказуемо дырявая и "используется как зависимость в более чем 800 пакетах из состава Ubuntu."Или как... да тысячи их.
От либ по обработке картинок (дырявая libwebp передает привет), до шрифтов ( FreeType тоже дырявый, кто ж мог подумать).
Но сишные программы хотя бы собрать без Интернета можно.
Репозиторий пакетов твоего дистра это он и есть. Точнее dev* пакеты.Правда там не только C, но и PHP например. В общем репозиторий здорового человека.
О да сейчас бы юзать рандомные пакеты которые в первый раз видишь
Ты не поверишь. Нарождающееся поколение разработчиков так и делают. Специально для них придумали делать привязки языков к языковым помойкам.Новость как раз о том, что разработчики языка сказали, что знают о проблеме и, возможно, будут о ней думать.
> будут о ней думатьДумать, конечно, хорошо, но надо ещё что-то делать при этом.
Крейты специально придуманы для того, чтобы люди юзали незнакомые пакеты.
> Крейты специально придуманы для того, чтобы люди юзали незнакомые пакеты.А либы придуманы для того, чтобы люди юзали знакомые либы.
Чтобы от знакомого и родного libxml2, с знакомыми дыpaми зависило 600+ пакетов в репе.
Крейты придуманы для крей... oh shi.
Ты проводишь аудит каждой строчки кода в каждой из 666 зависимостей в своих проектах? Или так, чисто вбросил, не являясь программистим вообще?
Вирусы будут появляться в любом случае. Важнее как организована защита самой системы пакетов. Если уж бороться за звание безопасного языка, то и запретить указывать зависимости без указания хэша.
Гарантирует безопастность безопастности.
То есть, ты призываешь внедрить анально-огороженную централизацию?
>> Если уж бороться за звание безопасного языка, то и запретить указывать зависимости без указания хэша.В управлении слово запретить как правило относится к крайности, которая в виду своего смысла не даст необходимый результат. За звание самого безопасного языка они вообще не соревнуются ни с кем, это обычный маркетинг, ну или реклама другими словами. Лучшее что можно сделать - вирусописателей садить за решетку. Как правило западные законы созданы так что садят на срок который решает проблему, т.е. писать они могут вирусы до пенсии, а значит и сроки могут быть высокими. Таким образом можно рассчитывать на уменьшение количества вирусов в репозиториях.
> Лучшее что можно сделать - вирусописателей садить за решеткуТогда теряется весь смысл затеи со свободным софтом. Думаете, сейчас кто-то играет в благотворительность без задней мысли?
Атаки на цепочку доставки пакетов Rust станут легендарными
Это только те, что нашли.