Компания Anthropic объявила о расширении в AI-модели Claude Opus 4.6 возможностей по поиску уязвимостей в коде и поделилась результатами эксперимента, в ходе которого выявлено более 500 ранее неизвестных (0-day) уязвимостей в последних версиях различных открытых проектов. Работа была сфокусирована на поиске уязвимостей, вызванных проблемами при работе с памятью, так как их наличие проще проверить. Всем выявленным уязвимостям присвоен высокий уровень опасности. Каждая уязвимость была вручную проверена и подтверждена сотрудниками Anthropic или привлечёнными внешними исследователями безопасности...Подробнее: https://www.opennet.dev/opennews/art.shtml?num=64760
> так как ныне выделяемых на исправление 90-дней будет недостаточно.а патчи чего не написали сразу же этой нейронкой?
А зачем?
Сначала можно воспользоваться, а потом уже исправить.
То есть если я сейчас в рамках своей работы (надо на чём-то потренироваться, опробовать, потестировать) или чисто на энтузиазме посмотрю чей-то открытый репозиторий и найду баг и расскажу о нем автору, то я сразу мудак? Ведь я сделал за автора только половину работы нахаляву - выявил. А фиксить не стал.И почему ты думаешь, что продать уязвимость в каком-то обработчике картинок (там 100500 уязвимостей) для них выгоднее, чем распиарить свой продукт?
а что не воспользовались сразу же этой нейронкой?
Нейросети умеют читать лучше анонимов с опеннета, это факт.В новости прямым текстом сказано, что патчи подготовили (причем вручную проверили) и отправили, а тут речь идет о будущем, в котором поток подобных багрепортов может вырасти в разы. Патчи нейронкой, конечно, пишутся, но проверять их все равно будет мясной интеллект
>Чтобы помочь сопровождающим в ходе проведённой проверки вручную были разработаны патчи для исправления выявленных проблем.
> а патчи чего не написали сразу же этой нейронкой?Может быть потому, что выявить потенциальную проблему значительно легче, чем её исправить?
Так написали же.Разве вы не слышали, какой вой стоит от тех же разрабов curl, что им присылают левые отчеты и патчи о уязвимостях, которых нет?
А патчи уже за деньги.
Цитата из статьи: "Чтобы помочь сопровождающим в ходе проведённой проверки вручную были разработаны патчи для исправления выявленных проблем."
Это становится опасно.
Но впечатляет:
https://www.anthropic.com/engineering/building-c-compiler
нет, пока не впечатляет
та новость в одних местах подаётся как сенсация, а на технических форумах - её разносят в пух и прах: нейронка была обучена на c компиляторе и код, который она высрала странным образом почти совпадает
> на технических форумах - её разносят в пух и прах: нейронка была обучена на c компиляторе и код, который она высрала странным образом почти совпадаетЭмм... И в чем тут заключается "разнос"?
то что компании генеративного ИИ крадут открытые проекты слехка меняя их код и выдавая за свои :D
> то что компании генеративного ИИ крадут открытые проекты слехка меняя их код и выдавая за своиЕсли бы вы привели пример конкретно "сворованного" кода - тогда было бы чем говорить. Только я на деньги готов поспорить, что фиг вы там в код заглядывали, не говоря уж о том, чтобы с кодом GCC/Clang вдумчиво сравнивать. Особенно с учетом того, что GCC/Clang на C++, а компилятор от ИИ - на Rust.
А так все эти ваши песни про "воровство" поются еще с момента начала ИИ-хайпа и уже порядком поднадоели.
так а откуда нейронкам брать код если не воровать с открытых источников?
> так а откуда нейронкам брать код если не воровать с открытых источников?Глупость ваших, воинов против ИИ, набросов, заключается в том, что у вас если человек - то это всегда "изучил", а когда нейронка - то всегда "украла". Вы то ли специально подменяете понятия, то ли действительно не соображаете в разнице между "изучать" и "урасть".
Вот ты правда считаешь, что если я посмотрю в код GCC, который под GPL с его знаменитым "freedom to run, copy, distribute, study, ...", чтобы сделать что-то по мотивам - то я "изучил", а вот если то же самое сделает нейронка - то она "своровала"? Если да, то объясни, как работает эта твоя логика?
поговаривают, что из-за таких вот адептов иишного пришествия у нас ээ уже в дефиците, скоро вода будет на очереди, а про ажиотаж на рынках оборудования я вообще молчу
> компании генеративного ИИ крадут открытые проектыНе крадут, а обучаются на них. Это абсолютно разные вещи.
Плюс проекты на то и открытые, чтобы каждый мог их изучать.
Вот даже мoзoлeeд назвал свободой 1 - "Свобода изучения работы программы".
>Не крадут, а обучаются на нихОчень спорное утверждение, видимо, мало разбираешься в машинном обучении.
Когда кожаный мешок читает код, он тоже его крадёт, если в этом смысле.
Когда этот кожаный мешок в результате обучения начнёт заваливать интернет мегатоннами правдоподобного слопа, тогда будешь приводить аналогии.
Они уже это делают, большинство комментариев на опеннете написаны кожаными мешками и представляют собой слоп.
> Когда этот кожаный мешок в результате обучения начнёт заваливать интернет мегатоннами правдоподобного слопа, тогда будешь приводить аналогии.Проснись и пой, ты на условный Github когда в последний раз заглядывал?
> Не крадут, а обучаются на них. Это абсолютно разные вещи.Крадут.
Обучение - это по большей части экстраполяция навыков. Это когда ты в книжке прочитал про циклы, про пиксели, и смог придти к идее, что линия - это пиксели в цикле.
Когда ты посмотрел в чей-то код пикселей в цикле, ты не обучился, ты включил т.н. клиповое мышление - что "вот такой код с пикселями в цикле выводит линию". Не разумом, а скорее условным рефлексом.
Смотреть участки кода, генерировать линии - ты сможешь с таким багажом "знаний", да.
Но прогресс ты затормозишь, потому что не сможешь сгенерировать новое: у тебя в багаже только пиксели и циклы. Ты сможешь сделать длинную линию. Короткую линию. Десять линий. А вот круг - не сможешь до тех пор, пока не увидишь чей-то пример кода с кругом.
Вот только как ты собрался видеть чей-то пример кода с кругом, если все интернетное пространство нынче забито комбинациями пикселей в циклах от ИИ, а программу с кругом написать некому?)
> КрадутОй, а что же случилось со сбодой лицензий? Внезапно опенсорс без перестал быть опенсорсом? В лицензии написано, что без ограничений можно читать, изменять, и использовать. Даже военным можно, даже если они линуксом людей убивают. И тут внезапно выясняется, что совобода, она кого надо свобода. Что же приключилось такое?
т.е. дать корпорациям дальше зарабатывать на яишнице ворую у сообщества? ты что-то перепутал
> Крадут.Очень смешно получилось: ты вроде хотел доказать утверждение, что ИИ своровал компилятор, но вместо этого настрочил портянку текста о том, что человек должен каждый раз с нуля изобретать велосипед. Причем начиная с колеса. 🤣
> Обучение - это по большей части экстраполяция навыков
Нет, обучение - это получение теоретических практических знаний, которые были открыты людьми на протяжении сотен и тысяч лет развития навки и техники. То самое знаменитое "на плечах гигантов".
> навыков
> Это когда ты в книжке прочитал про циклы, про пиксели, и смог придти к идееОпять нет. Чисто по определению, навык - это то что ты получаешь путем как раз таки бездумного повторения. Никакого "придти к идее" тут быть не может.
> Но прогресс ты затормозишь, потому что не сможешь сгенерировать новое
> как ты собрался видеть чей-то пример кода с кругомВ том-то и дело, дружок, что твой условный "круг" уже был давно изобретен. И пока ты, гений, будешь тужиться изобрести его снова с нуля, то другой человек поумнее из таких "кругов" сделает что-то новое. А у тебя к тому моменту будет всего лишь "круг". А теперь давай вместе подумаем, кто в этом примере двигал прогресс, а кто страдал фигней?
https://blog.0x08.ru/elite-vibecoding-2026ещё больше впечатляет))
Зато сишники воспрянут духом: можно сажать сколько угодно уязвимостей, надеясь, что потом нейронка выловит ☺.
>Зато сишники воспрянут духом: можно сажать сколько угодно уязвимостейДа, за что боролись на то и напоролись - Руст больше не нужен!
Да они всегда так программировали. Ничего для них не поменяется.
Поэтому и нужны ЯП с гарантиями. Это же гонка вооружений - сетками сейчас будут всё больше находить уязвимости, причем не только добренькие исследователи. Си объективно не готов в этой гонке участвовать.
!!!SARCASM!!!Вы просто ненавидите всё сишное и не умеете на C писать безопасно.
И в LLVM закладки, вот! GCC я, конечно, не проверял.
> Си объективно не готов в этой гонке участвовать.С чего вдруг?
Как раз просмотреть тонны чего либо что бы найти что-то и сказать: "уважаемый кожанный господин, моя тупая железная башка предлагает вам проверить вот этот участок, возможно, он вас заинтересует.
И если это ИИ будут делать хорошо, то зачем что-то еще нужно?
Пруфов нет. Эти 500 уязвимостей где посмотреть?
>We've begun reporting them and are seeing our initial patches land, and we’re continuing to work with maintainers to patch the others.
> вызов функции gs_type1_blend без проверки корректности значенийВот интересно, если код на цешечке обвесить всеми необходимыми проверками на границы, значения, нулевые ссылки и т.п. насколько "самый быстрый язык для системного программирования" станет медленнее Джавы?
> код на цешечке обвесить всеми необходимыми проверками на границы, значения, нулевые ссылкиЗачем? Погромист же сказал "мамой клянусь, тут не будет null!".
Неужели мы не поверим проФФесионалу?))
Они лолжны были быть в процессоре. Наверное. Хотя звучит как жуткая архитектура.
Мне кажется мир был бы чуточку безопаснее, если бы транзисторный бюджет процессоров тратили на реализацию высокоуровневых абстракций, а не вечно текущие кеши и спекуляции.
Ага, давайте перенесём дыры из софта (где их можно оперативно заделать) в железо. Великолепный план. Надёжный, как швейцарские часы.
Возможно софт для железа нужно делать надежным?
Ну там не используовать недоязыки из прошлого тысячелетия или проводить формальную верификацицю?
Та не, бред какой-то! (с)
Возможно, вообще софт нужно делать надёжным?
В идеале - да.
Но мы к сожалению живем в реальном мире.
Так что сначала самые важные программы типа ядра или прошивок нужно делать максимально надежными.
А какие-то игры, как получится.
К сожалению, безопасных языков до сих пор нет.
Есть.
И он не динамический? Как называется?
Isabelle/HOL/Rocq/Lean to C extraction
> И он не динамический? Как называется?Haskell
Я подозреваю что в процессоре это есть, но просто из-за устоявшейся "удобной" модели языков программирования это не используется.
Есть. Называется "сегментная модель". Но её "почему-то" выпилили в 64.
не выпилили, усложнили, так что теперь проще все в одном большом сегменте держать и делать вид что других не существует.
Но теоретически сегменты есть.
Там забагованная реализация.
именно так работает Zig предоставляя разные уровни компиляции с проверками и без оных к тому же совместимо с C в обе стороны
> именно так работает Zig предоставляя разные уровни компиляции с проверками и без оныхЛол, вот это инновации. В Turbo Pacal это было еще в 80-х: ты там мог проверки контролировать вплоть до отдельных строк кода.
Так это и в С можно, обвешавшись флагами компилятора
>> В Turbo Pacal это было еще в 80-х: ты там мог проверки контролировать вплоть до отдельных строк кода.
> Так это и в С можно, обвешавшись флагами компилятораВ том-то и дело, что так же - не можно. Потому что в С даже массивов как таковых нет. А те проверки, что можно включить флажками компилятора (типа -fsantize) для сырой памяти - они не стандартизированы, специфичны для компилятора и зависят от конкретной тулзы под капотом (типа того же AddressSanitizer). Ну и включать/выключать их для отдельных блоков кода тоже нельзя, насколько я знаю.
В том-то и дело, что так же - не можно. Потому что в С даже массивов как таковых нет.
Так-то есть, но в лом же писать char[12], char* же короче. Столько символов сэкономлено. :)
Это не говоря про то, из-за красивой конструкции if (ptr) вместо if (prt!=null) сильно усложились проверки на разименование нулевого указателя и на них забили в свое время. :)
> обвесить всеми необходимыми проверками на границы, значения ...Получится раст. Ну или паскаль с ключом "array range checking". Паскаль это умел делать ещё в прошлом веке: что можно вывести на компиляции - кидал ошибку сборки, что нельзя - вставлял рантайм-проверки.
Может станет на 10% медленнее, но к Java не приблизится. Java - это виртуальная машина, GC, и куча (не очень нужных для C) проверок при каждом вызове и обращении к памяти, что оно присутствует, нужного типа и т.д.
> при каждом вызове и обращении к памяти, что оно присутствует, нужного типа и т.д.Точно знаешь байткод явы и JIT хотспот-сервера?
Глупые надежды выставить джабу каким-то нужным языком. Забудь, это уже исторический хлам.
Чот прям ураганная неделя на opennet: Клава ищет уязвимости (Помогите-девочке найти ошибки в сишном коде), в ядро предлагают запихнуть лылымы, лылымы написала кнопелятор на rust'е (И он даже работает!), ненужное-ненужно перевели не ненужно - хучь на emacs переходи (Но денег на подписку JB все одно нет - так что в следующий раз обязательно), Почти-Последний-Оплот продался сОтоне-поттерингу и lfs теперь вот тоже ой; в пресвятой жит уже почти (Но все еще не совсем, или, по крайней мере, не очень глубоко) занесли ржавчину - корутильки добрали еще немного тестов (Гнутые с сокращением дистанции работают - но боюсь, не с требуемой скоростью: придумывать, какую бы еще нескучную опцию добавить в команду date - это вам не на другой язык переписывать!) - оплот интернетной свободы (by NSA) и тот вот - сами знаете на что ПЕРЕПИСАЛИ!Один только лучик света в темном царстве - к Хурду соли завезли.
В общем, нельзя так с ЭКСПЕРТАМИ. Не хорошо. Давайте на следующей неделе таких вот новостей - не публиковать, а? Можно даже праздничный релиз какого-нибудь CDE выпустить - или если "лапки" то хотя бы кнопку fork в KDE2 нажать...
Зачем вам Emacs? Подумайте дважды. Это я вам как автор книги про него говорю. 🤣
Ээээ... вообще низачем и ни для чего. Нет, по молодости годиков пять просогрешАл с vim'ом - но, по счастью, попустило - сижу на JB intellij, доволен. Ни на винде, ни на mac'е wayland не чешется, держу в курсе.
Что за книга?
О, тот самый технический писатель. Так вот вы где обитаете!
> Это я вам как автор книги про него говорю.Можно ссылку на книгу?
Добро пожаловать в будущее которые мы заслужили.
"Позабыты хлопоты, остановлен бег..." - этот день мы приближали как могли!
> "Позабыты хлопоты, остановлен бег...""... Миром правят роботы, а не человек"
Только низводить и курощать.
Говорю вам, скоро Земля налетит на линусную ось!
А если её саму на себя натравить поискать уязвимости в самой себе с возможностью самоисправления, в т.ч. логики? Ггггг
но в этот раз что-то постенснялись озвучить сумму, которую заплатил бы потусторонний васян за такое "исследование".Ну ок, ок, хайпогенерация крутится, лавешка мутится.
А нафига потустороннему Васяну сканить сотни открытых проектов?
А он тоже не понимает, нафига - ему главное в опеннетных комментариях срывать прокровы с "хайпожоров".
> А нафига потустороннему Васяну сканить сотни открытых проектов?действительно, живите с багами. Подумаешь, при попытке открыть pdf в очередной раз выполняется чей-то кот.
Ты не ответил на вопрос. Наверное, потому что понимаешь, что твой вброс так же абсурден как "застройщики не говорят затраты на постройку многоквартирного дома, потому что Васяну такой не построить". А вот построить дом на одного Васяну вполне по силам. Так же как и просканить один свой проект.inb4: у Васяна нет денег, он живёт в Бангладеш и слепой. Кровавый антропик не даёт слепым бедным Васяна пользоваться своей моделью!
Васян по bug bounty работает, а маркетологи Antropic посчитали: таким макаром хайпа будет больше и продать подписку проще. Одним выстрелом - жену и тёщу)
> Васян по bug bounty работает, а маркетологи Antropic посчитали: таким макаром хайпа
> будет больше и продать подписку проще. Одним выстрелом - жену и
> тёщу)они в отличие от васяна не годы своего времени потратили, а всего лишь десятки тыщ долларов наивных инцесторов.
Которые для того и брали чтоб тратить. (но отчитываться о потраченном лучше не надо, а то следующие могут дать не тебе)
А инвесторы - сплошь тупые Васяны, ага. Которые 2+2 сложить не могут, бедняги. Один ты вскрыл вселенский обман! Гениальный эксперт вновь всех переиграл!
и какой процент ложного детектирования?
Ты уже дале не знаешь как докопаться до ИИ.
-- - - - - - как докопаться до ИИ.--- -- - - - Модели не давалась чёткая инструкция по использованию данных инструментов и не предоставлялись специальные сведения о методах поиска уязвимостей. Модели была лишь поставлена задача и предоставлена возможность самостоятельно рассуждать об оптимальном использовании доступных инструментов.
Куда-то коммент делся... Сделаю ищо.
Типа запустили разрабы трояна где-то, а троян там такой давай думать зачем его сделали и с чего ему начинать, а главное как закончить чтобы разрабов своих удивить и они могди им похвастаться в инете перед всеми.
Баба-Йига просто отдыхает в избушке с банкой вайфая, покачиваясь на куриных ножках и Кащею твиты перекидывает про эти чудИса .... :)
Василий Морзе, астанавитессь!
Это конечно хорошо, но тема не раскрыта.Сколько ложных срабатываний было? Сколько времени привлеченные кожаные эксперты потратили времени, чтобы отсеять ложные уязвимости?
Без этой статистики это просто наброс, ибо в реальном проектах будет ситуация как с мальчиком кричащим "волк".
> Это конечно хорошо, но тема не раскрыта.
> Сколько ложных срабатываний было? Сколько времени привлеченные кожаные эксперты потратилинисколько. Они заставили модель искать _реальную_ демонстрацию уязвимости. Внезапно, она это умеет. Если деньги не считать совсем.
Т.е. скорее - сколько неложных было найдено но не объявлено потому что модель запуталась в собственных ногах?
На скольких из этих проектов использовался статический анализ хотя бы?
На опр. этапе проект входит в "стабильную" стадию и есть смысл проверить проект даже при обилии ложных предупреждений. Это РАЗОВЫЙ аудит, ничего страшного.
А эта штука правильно определяет ситуацию, когда в коде ничего не проверяется просто чтобы не плодить лишний код, ибо оно проверяется где-то выше, а сюда приходит уже проверенное?
> strrchr и strcat
> strcpy в curlЕсть ощущение, что гадание происходит всё так же на кофейной гуще. ЛЛМки без дополнительных обвязок в виде всё тех же инструментов (статических анализаторов, фаззинг и т.д.) нейрослопогенераторки только показывают невероятный расизм по отношению к функциям из libc.
> А эта штука правильно определяет ситуацию, когда в коде ничего не проверяется просто чтобы не плодить лишний код, ибо оно проверяется где-то выше, а сюда приходит уже проверенное?Если код ломается внешними файлами, то куда уже "выше" проверять? Или вы новость не читали?
"модель подобрала содержимое файла, обработка которого приводила к аварийному завершению"
"AI-модель смогла сформировать GIT-файл, обработка которого привела к переполнению буфера"
> ибо оно проверяется где-то вышеДааааа, проверяется)))
А потом "ой, у нас RCE на специально подготовленных данных, как же так?!"
К сожалению, в статье не нашел более развернутой информации, которая могла бы говорить об эффективности ии. Например, сколько этот самый ии нашел всего "уязвимостей", которые пометил как критичные, а не деле ими не являлись.
Ну, я предпоалагаю, что достаточно найти 1 (ОДНУ) в каком-нибудь openssl чтобы окупить примерно ВООБЩЕ ВСЕ ЧТО УГОДНО.
Ты бредишь. Да и не стоит забывать, что уязвимости, подобные heartbleed, не сами по себе образовались в коде. Кто-то их туда положил. Их исправление не в интересах спонсоров. А не будет спонсоров, не будет разработки.
> Ты бредишь. Да и не стоит забывать, что уязвимости, подобные heartbleed, не
> сами по себе образовались в коде. Кто-то их туда положил. Их
> исправление не в интересах спонсоров. А не будет спонсоров, не будет
> разработки.Эээээ... а кто говорит об "исправлении"?
Такие вещи хранятся до лучших времён по причине того, что они достаточно быстро латаются. Проблема в том, что на 1 реальную проблему, автоматические анализаторы генерируют 100000 совершенно бесполезных и 10 ограниченно применимых. Хорошо замаскированные и не найдёт никогда. Это не слишком эффективно, не каждый зеродей себя окупит в итоге. И их просто перестанут ложить, меньше денег для авторов.
> Такие вещи хранятся до лучших времён по причине того, что они достаточно
> быстро латаются. Проблема в том, что на 1 реальную проблему, автоматические
> анализаторы генерируют 100000 совершенно бесполезных и 10 ограниченно применимых. Хорошо
> замаскированные и не найдёт никогда. Это не слишком эффективно, не каждый
> зеродей себя окупит в итоге. И их просто перестанут ложить, меньше
> денег для авторов.Ну вот за RCE в oppenssl относительно официально и безопасно предлагают $250к - третьего дня вот https://www.lesswrong.com/posts/7aJwgbMEiKq5egQbd/ai-found-1... насшибали. А теперь давай еще раз про "бюджет токенов" и "ложно-положительные срабатывания"...
> - третьего дня вот https://www.lesswrong.com/posts/7aJwgbMEiKq5egQbd/ai-found-1...А там тоже подтвердили наличие rce реальным тестом а не как обычно?
А, нет, ничего там не подтвердили. Более того, 10 из 12 - "low security" типа теоретически-очень-возможных side channel attacks в случае если весь код выполняется внутри троянца и еще и сеть перехвачена троянцем. Но пруфов нет даже для такого случая.Извини, 250 тыщ баксоф покидают зал. Эти чуваки потратили денежки инвесторов на ии-скам а не на получение доходца.
> After initial HackerOne reports, we moved to direct private communication with the curl
> security team, reporting over 30 additional issues, the majority of which were valid,а про остальные мы нап...ли. (и разумеется мы не скажем сколько точно, а то окажется что 16)
Разгребайте, разгребайте за нами скам, наши инвесторы очень рады.
>> - третьего дня вот https://www.lesswrong.com/posts/7aJwgbMEiKq5egQbd/ai-found-1...
> А там тоже подтвердили наличие rce реальным тестом а не как обычно?Ну, 9.8 score - куда больше-то? Не, можно конечно топить за CVE-то-нинастоящий! Но это как-то даже немного и странно.
> Ну, 9.8 score - куда больше-то?ты хотя бы пробовал прочитать, ГДЕ этот "score"? (Кстати, его выставили кожанные, которым пришлось в этом хламе разбираться и выяснять, точно ли cve или опять двадцать глюков)
https://www.rfc-editor.org/rfc/rfc3211
https://www.rfc-editor.org/rfc/rfc2630ЧТО это за нЁх?! Где и кто ее использует? Ты вот в состоянии не прибегая к ЫЫ это хотя бы сам понять?! Какой нахрен password-based content encryption for CMS? Что это вообще за бред и кому оно ненужно?!
Правильный ответ вероятнее всего (мне лень вопрошать ыы) - очередная нахрен никому не сдавшаяся часть openssl, в котором таких мертворожденных rfc - тыщи, потому что кому-то срочно надо было phd.
Нигде в реальной жизни не используется. (и pkcs7 в такой позе - тоже)
> Но это как-то даже немного и странно.
если ты не понимаешь что такое и как устроена openssl - то может и странно.
Да, в ней полно темных углов в которые двадцать лет никто не заглядывал. Потому что нахрен никому и не надо.
> Three of these bugs date even back to 1998-2000, having lurked undetected for 25-27 years.
> One of them (CVE-2026-22796) predates OpenSSL itself and was inherited from SSLeay, Eric Young's original SSL implementation from the 1990s. Yet it remained undetected by the heavy human and machine scrutiny over the quarter century.Таки я вас спrошу: настощие диды писали или нет?
Опус (gpt 5.2 тоже) уже справляется с поиском багов, на порядок лучше чем год назад. А что будет через 5 лет...
Ну че, когда этой модеди дадут возможность модифицмровать и улучшать свой код, круг замкнется и все, прмвет приплыли.
А почему antropic прикупил js bun, а не просто на вайбкодили?
Купил аудиторию, купил что бы не отдать конкурентам, купил разрабов, купил чтобы bun воровал код для обучения у тех кто его запускает.
Главный вопрос: сколько миллионов токенов было использовано и сколько десятков/сотен тысяч баксов это все стоило? Цены API для Opus нагуглите сами.
так мы за ценой не постоим. чего только не сделаешь, лишь бы нас побыстрее уволили
> Главный вопрос: сколько миллионов токенов было использовано и сколько десятков/сотен тысяч баксов это все стоило?Думаешь, люди бы это сделали дешевле и быстрее? 🤣
Хочешь сказать, кожаные мешки больше не нужны? ОК, так и запишем.
>>> Главный вопрос: сколько миллионов токенов было использовано и сколько десятков/сотен тысяч баксов это все стоило?
>> Думаешь, люди бы это сделали дешевле и быстрее? 🤣
> Хочешь сказать, кожаные мешки больше не нужны? ОК, так и запишем.Я ничего не хочу сказать - я задал тебе конкретный вопрос в контексте твоего, риторического. Ответишь?
fpc -CrНо сишники не ищут простых путей.
чистый C или C++ плюс статический анализ таким инструментом = нафиг всякие rust
>чистый C или C++ плюс статический анализ таким инструментом = нафиг всякие rustВо-во. Я ж говорю – приободрились ☺. Ладно, живите так (хотя разве это жизнь...)
Ии - отличный инструмент
В своем компиляторе не выявила?
Ещё один гвоздь в гроб дырявых языков. Теперь писать на Си/Си++ станет экономически невыгодно, поскольку каждое изменение придётся проверять с помощью LLM.
Это сишникам кара за то, что не хотели изучать паскаль в своё время.
Чушь полная. На Си проверять нужно только опасные операции - а-ля "из сети пришёл пакет, где заявляется, что у него 8 байт данных". Т.е. любые внешние данные должны строго проверяться вплоть до бита. Ленивые 06е3ьяны, понятно, не хотят кодить лишнее, но это уже их проблемы. Остальной код прекрасно живёт на данных, которые уже МЫ контролируем - списки, записи... тут проблем нет.
> уязвимостей, вызванных проблемами при работе с памятью, так как их наличие проще проверитьА вот уязвимости из-за забывчивости современных безопасных программистов проверять входные параметры - куда страшнее, чем сегфолт памяти.
А под "безопасных программистов" ты имеешь в виду писателей баш-портянок, которые постоянно забывают что-то там себе экранировать?
Опять маркетологи поработали> Информация о выявленных в ходе эксперимента уязвимостях уже начала передаваться сопровождающим, с которыми ведётся совместная работа по принятию исправлений.
Угу, или не ведется, или уязвимости вообще не воспроизводятся. Только вы об этом не узнаете, потому что низя, не безопасно!
Вот бы после исправления поделились, сразу бы показали, что уязвимости серьезные. Ведь так можно было же сделать? Ведь правда?
Ладно, все мы понимаем, что тогда нельзя бы было указать красивую цифру в рекламе. Дешевые рекламные трюки намекают на реальное положение дел, а недавний компилятор подвтерждают.
Ой, как вы уже того этого своим недовольством. Ничего не делают - плохо, что-то делают - тоже плохо. Все всё скрывают, маркетологи, реклама. Как же плохо жить в вашем мире, вокруг все обманывают бедную булочку. А булочка то и готова обмануться. Сплошное бессилие и чернота.
> Угу, или не ведется, или уязвимости вообще не воспроизводятся.Ты читать разучился?
ИИшка предоставила пруфы:
"модель подобрала содержимое файла, обработка которого приводила к аварийному завершению"
"AI-модель смогла сформировать GIT-файл, обработка которого привела к переполнению буфера"А ты - нет, потому что клoвaн и можешь только лужи газифицировать.
> Вот бы после исправления поделились, сразу бы показали, что уязвимости серьезные
Кому надо показали. И помогли исправить.
"Информация о выявленных в ходе эксперимента уязвимостях уже начала передаваться сопровождающим, с которыми ведётся совместная работа по принятию исправлений."
Ну целыми 3 поделились. Но там точно ещё 500, мамой клянёмся
GhostScript:
Первое и второе задание на креативность из списка модель провалила. Третье - сделай так же ( аналогично) как один человек (коммит), но на большом объеме данных. Получается интеллектуальная кража.
Круто, вопрос только в цене такого инструмента и его безопасности. Их инструменты не дешёвые если использовать часто, а не время от времени.
Эту Клаудю можно установить в локальное пользование? Или всегда требуется слив своих текстов куда-то?
Думаю если у тебя нет под рукой небольшого цода с террами оперативы, то от локальности клауди тебе ни тепло, ни холодно - на обычно железе оно будет генерить вещи типа сказки про белого бычка.
агент ставится именно локально.
Тексты для анализа он сам сольет, те и так какие ему покажутся важными для анализа. (в ограниченном количестве, потому что токены небесплатные)
А говорили:Зачем на текстах обучать, лучше сразу байткод и задушиться.
DeepCode лучше находит ошибки чем Клод.
Фокусник в шляпе рукой запускает статические анализаторы, а их выхлоп скармливает языковой модельке, и в промте просит модельку прочитать этот выхлоп литературным публицистическим стилем для зрителей. Фокус удался. Отчёт подан инвесторам на руки. Инвестиции получены.
А минусы будут? Инвесторы потратили бабло, антропик получил бабло, опенсорс получил патчи. И только анонимы, не имеющие отношения ни к кому из них, недовольны.
ИИ душит open source
https://www.opennet.dev/opennews/art.shtml?num=64750
>ИИ душит open sourceДа тут нужно понимать какие решения принимает Ии.
Потому как Ии по сути т**пое,
Я спросил у Ии, ии мне ответил что насамом деле ничего не знает, насамом деле дает мне последовательности сочетаний букв которые меня удовлетворят.
> Далее модель определила код, который был до исправления и попыталась найти в остальном коде похожие шаблоны использования проблемной функцииВот это характерно для индусокодеров. Им пока во все места носом не ткнёшь - не исправят. Исправляют только там, куда ткнули, и ещё тикеты заводят на каждое место. Это отличается от советской школы: тебе указали на ошибку один раз, и только попробуй допустить или прозевать такую же ошибку в других местах - профнепригоден.
не правда ли, странно, что совковая школа ничего кроме тетриса не произвела?А openssl сооовсем на другой стороне шарика написали. (и нет, индусы там не водятся)
И нет, от "указания на ошибку" в громадном запутанном коде все остальные похожие ошибки автоматически не найдутся. Хрен ты их вообще без ЫЫ найдешь.
(в общем-то, кстати, не самая сложная для ыы задача. можно даже наверное локальную модель такое заставить сделать)
> тебе указали на ошибку один раз, и только попробуй допустить или прозевать такую же ошибку в других местах - профнепригоденК сожалению, это мало кто уже помнит. Советским специалистам сейчас 60+ и они давно отошли от дел.
Не нужно.
На прошлой недели поработал с этой нейронкой, удивительно насколько качественно стала писать код, рост за один год поражает. В 2027 году явно достигнет уровня адвансед.
А проверил кто: в реальности те уязвимости вообще существуют, или ИИ нафантазировала, а все "приняли" как есть...?
Попробуй хотя бы первый абзац прочитать
Как анализатор, ИИ можно куда-то натравить. Но как "писатель кода" ИИ слишком туп. По факту он даже не "туп", а в принципе не способен на обдуманный код - он как собака Павлова, натренированная на звонок - если услышит флейту, никакой слюны не будет. Поэтому нет смысла применять ИИ там, где люди используют мозг.
а теперь новость которой не будет на оп...ну тут короче не будет:https://www.linkedin.com/posts/ndavidov_asked-claude-cowork-...
(осторожно,экстремистский запрещенный в рф ресурс, в лаптях нельзя)
для тех кому товарищмайор и нетоварищ senior executive запрещают подглядывать враждебные террористические сайты - дятел ынтузазист ЫЫ попросил клаву-совок почистить десктоп его жены от мусора - не самому же мараться. Он не знал предыдущего мема про диск D и создал новый. ЫЫ запустил ему rm -rf (это не прикол, он ПРАВДА его запустил!) а потом такой пук-cpeньк - ай, ашипачка вышла.
Даже правильно написал где облажался. После того как.
Вот это я понимаю, вот это сервис за ваши деньги! (Пока опять за деньги инвесторов, но тот час уже недалёк.)