Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Изначальное сообщение		[ Отслеживать ]

"Проблемы из-за подготовленных AI-инструментами отчётов об уязвимостях"	+/–
Сообщение от opennews (??), 05-Янв-24, 21:36
Дэниел Cтенберг (Daniel Stenberg), автор утилиты для получения и отправки данных по сети curl, выступил с критикой использования AI-инструментов при создании отчётов об уязвимостях. Подобные отчёты включают детальные сведения, написаны нормальным языком и выглядят качественными, но без вдумчивого анализа на деле могут лишь вводить в заблуждение, подменяя реальные проблемы качественно выглядящим мусорным содержимым... Подробнее: https://www.opennet.ru/opennews/art.shtml?num=60394
Ответить | Правка | Cообщить модератору

Сообщения

[Сортировка по ответам | RSS]

1. Сообщение от Аноним (1), 05-Янв-24, 21:36	–42 +/–
curl такая дыра! Есть что то по аналогам? Чтобы использовать как библиотеку в программе?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #3, #64, #66, #139, #140, #146

3. Сообщение от Аноним (3), 05-Янв-24, 21:40	+1 +/–
Не придумали.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #7

4. Сообщение от Анонин (?), 05-Янв-24, 21:40	+13 +/–
На самом деле ничего нового, это было и до AI. Уже давно в ящик Security Bug Bounty сыпались письма на корявом английском с пространственными описаниям кОтострофической проблемы и копипастами каких-то скриптов из инета. Ну и обязательной припиской "вы должны мне кучу денег!!111" в конце. Просто с "AI" это стало еще проще.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #49

7. Сообщение от Аноним (1), 05-Янв-24, 21:54	+/–
Эх :(
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3

8. Сообщение от Tron is Whistling (?), 05-Янв-24, 22:00	+6 +/–
Ну это ещё мозгов разобраться хватило. А представляете, что сейчас в местной диссертационной среде и около творится, с учётом того, что там уже было?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #27, #83

9. Сообщение от Аноним (100), 05-Янв-24, 22:04	+33 +/–
Ожидание: ИИ вместо человека решает научные проблемы и управляет звездолётами Реальность: ИИ кормит разраба курла голубцами с гогном
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #13, #72

11. Сообщение от Аноним (11), 05-Янв-24, 22:12	+/–
Я не совсем понимаю, что означает "77 как не связанные с безопасностью ошибки". Эти 77 отчётов (что составило 66% от общей массы) были вообще невалидными или они были про реальные ошибки, но эти ошибки были просто багами, а не уязвимостями? Если второе, то называть их "совершенно бесполезными" некорректно.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #16, #20

12. Сообщение от Аноним (12), 05-Янв-24, 22:14	–1 +/–
>Таким образом 66% всех отчётов не содержали каких-либо полезных сведений и только отняли у разработчиков время, которое можно было потратить на что-то полезное. Неправильно мыслят. Правильный майндсет такой: какой процент из этих 34% был создан с помощью ИИ-инструментов?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #14, #145

13. Сообщение от Аноним (103), 05-Янв-24, 22:14	+5 +/–
> Реальность: ИИ кормит разраба курла голубцами с гогном Кормит не ИИ, а вполне живой человек.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #9 Ответы: #26

14. Сообщение от Аноним (103), 05-Янв-24, 22:16	+3 +/–
Так как ИИ генерируют отчёты только на основе уже известных данных, то польза от них в любом случае стремится к нулю. Это либо уже известные дыры, либо несуществующие.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #12 Ответы: #43

16. Сообщение от Аноним (103), 05-Янв-24, 22:22	+1 +/–
Весьма вероятно, что это были просто "переосмысленные" issues из багтрекера проекта. Ну откуда ИИ знать настоящие баги? Он же код не анализировал.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #11

17. Сообщение от Аноним (17), 05-Янв-24, 22:28	+10 +/–
Очевидным следующим шагом будет обработка таких репортов с помощью того же AI.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #50, #107

18. Сообщение от Аноним (18), 05-Янв-24, 22:30	+11 +/–
> подменяя реальные проблемы качественно выглядящим мусорным содержимым. Всё, что нужно знать о современных ИИ.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #73

19. Сообщение от Сортогустатор (?), 05-Янв-24, 22:32	+3 +/–
AI vs. IT. Так вам! Наделали сами себе на свои головы.
Ответить | Правка | Наверх | Cообщить модератору

20. Сообщение от 234234234 (?), 05-Янв-24, 22:33	+/–
писать умеешь а счет еще в школе не проходили? 64+77 = 141 141/415 = 34% 100 - 34 = 66%
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #11 Ответы: #24

23. Сообщение от Аноньимъ (ok), 05-Янв-24, 22:46	+1 +/–
Решается очень просто. Хакир оставляет залог в 10% вознаграждения но не больше тыщи баксов. Ну или можно очень хитрожопный договор заключать письменный с последствиями за ложные отчёты. Ну и отправка ложных отчётов сгенерипрванных ИИ подпадает под "нарушение работы компьютерных систем" и в плоть до уголовной ответственности.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #28

24. Сообщение от Аноним (11), 05-Янв-24, 22:55	–1 +/–
Ты же просто развернуто повторил то, что я написал в скобках в своём вопросе. Но вопрос вовсе не об этом.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #20 Ответы: #42

25. Сообщение от Аноним (25), 05-Янв-24, 22:58	–1 +/–
Ну, добро пожаловать в новый мир. Может наконец-то дойдет, что критический для безопасности софт нужно писать так, как делают серьезные дяди - с приминением формальной верификации. При наличии формального доказательства этими сгенерированными отчетами можно было бы подтираться, но у нас тут лучшие практики сишечной разработки, где корректность определяется "на глаз" и уверенным быть не в чем нельзя - поэтому сиди и читай этот мусор.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #29, #40, #78

26. Сообщение от Аноним (26), 05-Янв-24, 23:02	+5 +/–
ИИ здесь это Иван Иваныч
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #13

27. Сообщение от Аноним (27), 05-Янв-24, 23:03	+3 +/–
Даа, Корчеватель нервно курит в сторонке
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #8

28. Сообщение от Аноним (26), 05-Янв-24, 23:04	+/–
А не будет ли тогда выгоднее пойти на чёрный рынок, где залогов не требуют?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #23 Ответы: #53

29. Сообщение от cat666 (ok), 05-Янв-24, 23:09	+2 +/–
Ой, да у нас тут эксперт. Словами какими кидается и терминами. Уймись, твоя "формальная верификация" и "серьёзные дяди" ещё никого от уязвимостей в коде спасти не смогли.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #25 Ответы: #31, #32

31. Сообщение от Аноним (25), 05-Янв-24, 23:19	–2 +/–
> Уймись, твоя "формальная верификация" и "серьёзные дяди" ещё никого от уязвимостей в коде спасти не смогли. Как скажешь.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #29

32. Сообщение от Аноним (100), 05-Янв-24, 23:26	+/–
Вообще-то смогли. Например, такого лба как ты, когда самолёт на землю не упал ;)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #29 Ответы: #41

34. Сообщение от Аноним (-), 05-Янв-24, 23:30	+3 +/–
Мне кажется тут есть простой способ фильтрации: требовать unit-теста демонстрирующего баг. Например: > Попытка уточнить как исследователю удалось обойти присутствующую до вызова strcpy явную проверку размера и как размер буфера keyval оказался меньше размера прочитанных данных Если исследователь считает, что проверку обойти возможно, значит он может вызвать функцию со специально сформированными аргументами так, чтобы проверка была бы обойдена. unit-test с демонстрацией в студию!
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #74, #98, #112, #122

40. Сообщение от Витюшка (?), 06-Янв-24, 00:18	+1 +/–
Для формальной верификации кода микроядра L4 в 5000 строк кода на С (или как-то так) было написано 200 000 строк кода верификации. Уж не знаю, все ли они были написаны вручную или там что-то генерируется. Но в общем удачи тебе)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #25 Ответы: #45, #59

41. Сообщение от Витюшка (?), 06-Янв-24, 00:19	+1 +/–
Ты хотел написать "упал" при том 2 раза?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #32

42. Сообщение от Дмитрий (??), 06-Янв-24, 00:30	+3 +/–
Не общайся с ним, это ИИ
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #24

43. Сообщение от Аноним (43), 06-Янв-24, 00:30	–2 +/–
Что же известные дыры сам разработчик не нашёл? Чтшьже известные дыры сами баг-репортеры не нашли? А потому что с ИИ и AFL всё лучше. Неплохо бы скрестить ИИ с AFL по типу FunSearch...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #14 Ответы: #44

44. Сообщение от Аноним (103), 06-Янв-24, 00:36	+/–
> Что же известные дыры сам разработчик не нашёл? Кто сказал? На то они и известные, что уже закрыты.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #43 Ответы: #125

45. Сообщение от Аноним (103), 06-Янв-24, 00:39	+/–
> Но в общем удачи тебе) Он и так удачлив. Это не ему формально верифицировать чей-то код. Его долг — лежать на диване и объяснять другим, как правильно делать.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #40 Ответы: #127

46. Сообщение от Аноним (46), 06-Янв-24, 00:39	+4 +/–
Люди всегда боролись за высокий урожай, разные селекции, всевозможные *циды и наконец прямое вмешательство в гены. Вроде всё логично, но оказалось, что просто решали задачу "в лоб" получая "здоровое", толком даже не разобравшись, что это самое "здоровое" означает. Лет 20 назад казалась смешной реклама (вроде где-то в Европе) "покупайте наши червивые яблоки", мол значит натуральные. Потом как-то свыклось, забылось... Люди всегда стремились облегчить себе жизнь, придумывали инструменты, станки, автоматы, роботов и наконец подошли к созданию какой-то формы ИИ. Тоже всё логично, прогресс и всё такое. Но проблема всё та же. Задача решается тупо "в лоб". Толком не разобрались что значит быть людьми, а уже "почти нашли" людям замену. Через пару лет будут цениться тексты с ошибками типичными для людей, аля лейбл "Brain made". Возможно будет смешно, а потом как-то забудется... Конечно, зачем всякой ерундой страдать, когда все усилия будут направлены, чтобы среди развалин вырастить хотя бы немного еды.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #48, #51, #56

48. Сообщение от Аноним (103), 06-Янв-24, 00:44	+/–
> Вроде всё логично, но оказалось, что просто решали задачу "в лоб" получая "здоровое", толком даже не разобравшись, что это самое "здоровое" означает. Вполне разобрались, просто бизнес живёт по своим законам. Компания Monsanto очень много бабла вложила в проплаченные статьи в научных журналах, "доказывающие" безвредность её продукции (и тут речь больше не про ГМО, а про ядохимикаты против вредителей, ради которых это ГМО и затевалось).
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #46

49. Сообщение от prokoudine (ok), 06-Янв-24, 00:48	–10 +/–
Вариация: "Я фаззером нашёл страшную дыру в коде загрузки файлов формата, которым уже 25 лет никто не пользуется. Страшно! Страшно! Срочно пилите патч!"
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4 Ответы: #52, #67, #77

50. Сообщение от Аноним (50), 06-Янв-24, 01:03	+2 +/–
А потом пытаться понять о чем они там наобщались и пришли к выводу что люди тупые.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #17

51. Сообщение от Аноним (50), 06-Янв-24, 01:12	+/–
Развитие разума остановить не получится. Хочешь Эболу вылечить - изволь вмешаться там где подлый вирус вмешивается. Ну или пможешь ждать например год пока вирус не покиннт твои яйца. Был ли использован научный потенциал? Конечно, безусловно, и в паре с мозгами и опытом людей показывают в 5 раз лучше эффективность чем западный(е) аналог(и). Ну а там, коли-ежели попадешь в ситуацию выбора тебя не заставляют лекарства жрать. Можешь просто умереть с высоким шансом.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #46 Ответы: #55

52. Сообщение от Анонин (?), 06-Янв-24, 01:25	+9 +/–
Не, фаззер это совсем другой уровень. Если реально есть дыра, потому что кто-то N лет назад написал код без проверок входных данных, то это повод исправить. Но если форматом не пользуются уже 25 лет, то нужно спросить почему его поддержку не выкинули еще 10 лет назад... А тут вообще просто комбинация наглости и абсолютного непонимания происходящего. Ты ему уточняющий вопрос, а он тебе еще два абзаца несвязного бреда. Как вспомню, аж бесит!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #49 Ответы: #121

53. Сообщение от Аноньимъ (ok), 06-Янв-24, 02:09	+1 +/–
Лол, ну пускай засыпят чёрный рынок "описаниями уязвимостей" сгенерированными ИИ. Вместо рабочих эксплойтов, ага. Всякие киберполиции спасибо скажут. А реальные хакиры может и вычислят по айпи незатейливых бизнесменов да набьют что там полагается бить. Залог же - это банальность, так многие фриланс площадки работают. Если вознаграждение 10000$ и у тебя на руках работающий эксплойт, а не "описание возможной уязвимости" то тыща баксов это ничто. Но я думаю и залог в 10$ обрежет всю эту вакханалью на корню и навсегда.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #28 Ответы: #79, #80

55. Сообщение от Аноним (103), 06-Янв-24, 02:11	+/–
> Можешь просто умереть с высоким шансом. Можно, как во Франции, пожрать лекарств и с высоким шансом умереть (доказательная медицина, хлорохин при ковиде).
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #51 Ответы: #65

56. Сообщение от Аноним (25), 06-Янв-24, 02:13	+/–
> Толком не разобрались что значит быть людьми, а уже "почти нашли" людям замену. Ну, вообще-то как бы и не стоит задачи "разбираться, что значить быть людьми" или "заменять людей". Стоит задача устранить работников на дядю.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #46

58. Сообщение от Аноним (58), 06-Янв-24, 02:32	+/–
Эээ, не подсказывайте им! А то они не только уязвимости в курле майнить будут, но и в медицину пойдут, представьте сколько денег надо будет заплатить хозяину ИИ за найденные "уязвимости" в теле.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #63

59. Сообщение от Витюшка (?), 06-Янв-24, 02:36	+/–
Добавляю. Написана верификация на языке Isabelle/HOL. https://github.com/seL4/l4v Files 2436 Lines 1336767 Blanks 114572 Comments 36636 Lines of Code 1185559 Те 1.2 млн сгенерированного кода доказательств. Кода доказательств (руками людьми) там 15000 на 8700 строк кода С. Те на каждую строчку кода 2 строчки кода формальной верификации. Трудозатраты - 20 человеко-лет на верификацию (суммарно, включая автоматизацию доказательств, фреймворки, библиотеки и т.п.), 11 человеко-лет чисто на доказательство. Итого, 5 строчек кода в день на С (полный рабочий день) можно верифицировать. Или в 50-100 раз меньше (медленнее) чем пишет программист кода на С. Срочно всем верифицировать!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #40 Ответы: #62, #95, #142

60. Сообщение от kusb (?), 06-Янв-24, 02:58	+3 +/–
Офигеть, это же закон Гудхарта - "когда мера становится целью она перестаёт быть хорошей мерой"
Ответить | Правка | Наверх | Cообщить модератору

62. Сообщение от Аноньимъ (ok), 06-Янв-24, 03:18	+/–
А могли бы сразу на АДЕ писать и не мучиться.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #59 Ответы: #128

63. Сообщение от Аноним (103), 06-Янв-24, 03:39	+/–
Как будто живые сотрудники с этим плохо справляются. Как говорят американские врачи: "сколько бы у вас ни было денег — вы отдадите нам их все".
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #58 Ответы: #75

64. Сообщение от Аноним (64), 06-Янв-24, 03:46	–6 +/–
в нормальных языках сходить по http(s) можно и без курла
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1

65. Сообщение от Аноним (50), 06-Янв-24, 04:15	–1 +/–
Да можно и без парашюта прыгнуть и выжить, вот только шансы не разбиться весьма не пользу чудодейственного парашюта. У французов вообще странный фетиш на мусор и крыс. Того и гляди чума к ним вернется.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #55 Ответы: #92, #96

66. Сообщение от Аноним (-), 06-Янв-24, 05:39	+23 +/–
> curl такая дыра! Вообще-то у curl с безопасностью - сильно выше среднего по больнице. И разработчик грамотный и ответственный. > Есть что то по аналогам? Чтобы использовать как библиотеку в программе? Вооон, NPM используй из соседней новости, пакет "everything". Следующие эн лет он займется скачкой миллионов пакетов - и на мерзких хаксоров не останется бандвиза. А потом у тебя кончится место при попытке скачать весь интернет - и хаксоры уже совершенно точно обломаются. Только представь рожу хакера когда на попытку залить троян ему ENOSPC вываливается! "Опередили, гады!"
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1

67. Сообщение от Аноним (-), 06-Янв-24, 05:46	+/–
> Вариация: "Я фаззером нашёл страшную дыру в коде загрузки файлов формата, > которым уже 25 лет никто не пользуется. Страшно! Страшно! Срочно пилите патч!" Почти так и нашли фееричную дыру в WMF. И, таки, это другой случай. Всеми забытый код, в всеми забытой либе, радостно запускает хаксорский код. Даже если о фиче все и забыли, и форматом почти не пользуются. А вот либа - и вулн - остались!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #49

68. Сообщение от Аноним (68), 06-Янв-24, 05:51	+/–
Мы то думали, что ИИ уконтропупит человечество по сценарию фильма терминатор, а оказавается человечество просто заболтают до смерти :)
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #76

72. Сообщение от Петрович69 (?), 06-Янв-24, 07:02	+/–
От каждого по возможности - каждому по потребности. Большего не заслужили)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #9

73. Сообщение от Петрович69 (?), 06-Янв-24, 07:03	–2 +/–
Нет никакого ИИ. Одни ЛПП и ИБД)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #18

74. Сообщение от Петрович69 (?), 06-Янв-24, 07:05	–2 +/–
возврат физического наказания за косяки - самое действенное решение. Особленно в среде мaкaк с их as is софтом, даже в коммерческом исполнении.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #34 Ответы: #130, #141

75. Сообщение от Аноним (27), 06-Янв-24, 07:19	+/–
Какие американские врачи это говорили?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #63 Ответы: #138

76. Сообщение от Аноним (27), 06-Янв-24, 07:21	+/–
Уконтропупит, не волнуйся, просто подожди, когда военные до ей доберутся. Про Станислава Петрова уже забыли?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #68 Ответы: #90

77. Сообщение от Аноним (77), 06-Янв-24, 07:38	+3 +/–
Если форматом никто не пользуется, но файл в этом формате можно подсунуть (например, подменив расширение файла), то это вполне себе уязвимость. Сталкивался с таким в imagemagick.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #49 Ответы: #82

78. Сообщение от Аноним (77), 06-Янв-24, 07:40	+1 +/–
Хорошая идея, предлагаю вам реализовать http-клиент с поддержкой всего многообразия (включая http/2) с формально верифицированным кодом. Лет через 20 приходите
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #25 Ответы: #132

79. Сообщение от Placeholder (ok), 06-Янв-24, 08:03	+/–
Сразу видно что не понял о чем речь. Речь не про автогенеренные отчеты, а про реальные уязвимости которые кто-то нашел. По сути человек занимается благотворительностью, посылая вам отчеты об уязвимостях, поэтому если не делать возможность посылания этих отчетов максимально безгеморным, то их тупо никто посылать не будет, а либо забьют, либо просто продадут или распространят бесплатну инфу об уязвимостях людям куда более благодарным. Почему балготворительность? Ну потому что все эти обещания вознаграждений за их нахождения (это если такие обещания вообще есть, некоторые ничо не обещают и еще тебя засудить могут попытаться за то что ты ковырялся в их софте), они, как говорят буржуи, not legally binding. А по факту я не помню случая чтобы компании не надо было выкручивать яйца чтобы она даже обещанное дала, а если им дать еще возможность твои деньги себе захапать, лол. А тут тем более что опенсорс, все принципиально на добровольной основе. В общем, хотите чтобы сразу было все для вас готово и никаких усилий не надо было вкладывать? Нанимайте аудиторскую фирму с настоящими людьми за настоящие деньги. Не хотите платить и хотите чтобы коммьюнити проверяло ваш софт на добровольной основе? Будте готовы к тому что это надо будет все перепроверять самим. Дареному коню в зубы не смотрят. А желание и рыбку съесть и на CoC сесть вызывает только смех.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #53 Ответы: #84, #117

80. Сообщение от Placeholder (ok), 06-Янв-24, 08:05	–1 +/–
И да, фриланские площадки залог организовывают тому кто ВЫПОЛНЯЕТ какую-то работу, в качестве некоторой гарантии что даже если кинут, то часть оплаты уже прошла. То есть тому кто ищет эксплойты надо залог давать, лол.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #53 Ответы: #116

82. Сообщение от Аноним (82), 06-Янв-24, 08:49	+2 +/–
Определение типа файла по расширению - это фича признанных экспертов в программировании и информационной безопасности.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #77 Ответы: #93, #101, #136

83. Сообщение от Аноним (82), 06-Янв-24, 08:53	+1 +/–
Во-первых, потери невелики - эти опусы и раньше никто не читал. Во-вторых, что значит "местной"? Это общемировая тенденция. Если читали монографии по прикладной математике последние лет 10, видели, какой там бред.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #8 Ответы: #94, #100

84. Сообщение от ДаНуНафиг (?), 06-Янв-24, 09:23	+/–
Не занимается человек благотворительностью, об этом и в статье написано, что речь идет про багхантинг за вознаграждение. И я прямо сильно сомневаюсь, что там какой-то бедный паренек на помойке собрал себе комп, чтобы поковыряться в сурцах курла ради человечества, и у него совсем нет лишней сотки/десятки долларов залога.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #79

89. Сообщение от Anonymous1 (?), 06-Янв-24, 10:22	+/–
Проблемы из-за подготовленных AI-инструментами отчётов о чём угодно. Недавно был скандал, судья вписал бессмысленный ии бред в приговор. Смысл тот же.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #106

90. Сообщение от Anonymous1 (?), 06-Янв-24, 10:23	+/–
В смысле - когда? Военные это всё спонсируют.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #76

92. Сообщение от Anonymous1 (?), 06-Янв-24, 10:24	+/–
И клопы.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #65 Ответы: #102

93. Сообщение от Аноним (93), 06-Янв-24, 10:28	+/–
Это далеко не самая дикая тупость в том прекрасном коде :-)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #82

94. Сообщение от Аноним (-), 06-Янв-24, 10:39	+/–
> Во-первых, потери невелики - эти опусы и раньше никто не читал. > Во-вторых, что значит "местной"? Это общемировая тенденция. > Если читали монографии по прикладной математике последние лет 10, видели, какой там бред. КМК если кто всерьез попросит AI нагенерить ему реферат^W курсач^W да вообще, диплом - может это и будет выглядеть убедительно, но вот тест на плагиат пожалуй может с треском провалить.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #83

95. Сообщение от Аноним (-), 06-Янв-24, 10:41	+1 +/–
> Те 1.2 млн сгенерированного кода доказательств. А это счастье кто-то верифицировал? И не окажется так что в верификаторе - баги были? :)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #59 Ответы: #129, #131

96. Сообщение от Аноним (-), 06-Янв-24, 10:45	+/–
> Да можно и без парашюта прыгнуть и выжить, вот только шансы не разбиться весьма > не пользу чудодейственного парашюта. Чего-чего? Я почему-то думал что с парашютом шансы разбиться намного ниже. Но добрый аноним всегда подскажет леммингам как правильно выпилиться.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #65 Ответы: #115

98. Сообщение от КО (?), 06-Янв-24, 11:10	+/–
Ну и сделает тебе рандомай- ой простите, ИССКУСТВЕННЫЙ ИНТЕЛЛЕКТ!!! unit-тест на основе предыдущих, сносно относящийся к проблеме
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #34

100. Сообщение от Аноним (100), 06-Янв-24, 11:20	+/–
В препринтах? Там гораздо большая проблема - это сумасшедшие и альтернативщики, а не AI)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #83 Ответы: #103

101. Сообщение от mustai (ok), 06-Янв-24, 11:22	+/–
KDE Plasma и Гном так делают. Раньше Гном определял по содержимому, а потом перестал.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #82 Ответы: #110

102. Сообщение от Аноним (103), 06-Янв-24, 11:33	+/–
Хрустят, как багет, но в отличие от него, абсолютно бесплатны.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #92

103. Сообщение от Аноним (103), 06-Янв-24, 11:35	+/–
Теперь альтернативщики и изобретатели вечных двигателей смогут выглядеть правдоподобно с меньшими усилиями.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #100

104. Сообщение от Аноним (106), 06-Янв-24, 11:51	+1 +/–
Мусорные отчёты уязвимостей это весь т.н. "infosec". Запугивание мнимыми угрозами безопасности и изображение бурной деятельности по их устранению стали уже нормой в IT. На этом создана целая индустрия техно-шарлатанства.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #123

105. Сообщение от Аноним (106), 06-Янв-24, 11:56	+/–
"попытка уточнить ... привела к получению подробных, но не несущих дополнительной информации, пояснений, которые лишь разжёвывали очевидные общие причины возникновения переполнения буфера, не связанные с конкретным кодом Curl" AI обучался на лучших примерах индийского тех-саппорта?
Ответить | Правка | Наверх | Cообщить модератору

106. Сообщение от Аноним (106), 06-Янв-24, 12:08	+/–
Эти отчёты сами по себе не подготавливаются. Их "делает" ферма индусов. У них даже есть официальные решения для энтерпрайза, с подпиской и блэкджеком, где находят подобные уязвимости и получают баунти. Раньше они пугали обычных юзеров попапами, но тут подвернулась гениальная идея - во главе огромных компаний сидят абсолютно такие-же обычные юзеры!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #89

107. Сообщение от Анонус (?), 06-Янв-24, 12:28	+/–
Вот тоже подумал. Вместо нытья просто генерить WONTFIX с пояснением от того же ИИ.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #17

110. Сообщение от Аноним (110), 06-Янв-24, 12:44	+/–
Всё открывалость в текстовом редакторе?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #101

112. Сообщение от 12yoexpert (ok), 06-Янв-24, 12:46	+2 +/–
что-нибудь слышал про программирование? там, например, бывают трудноуловимые баги, доказанные уязвимости в криптографиях и т.д.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #34

115. Сообщение от Аноним (115), 06-Янв-24, 14:04	–1 +/–
Ох лол, это же просто опечатка. Просто залетная мысль была про аэро костюмы в которых с гор прыгают. Типа такого. Эх надо писать пост в один присест. https://www.youtube.com/watch?v=-C_jPcUkVrM&pp=ygUSanVtcCBmc...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #96

116. Сообщение от Аноньимъ (ok), 06-Янв-24, 15:12	+/–
Нет. Именно залог со стороны исполнителя. Зависит от платформы и заказа. То что заказчик должен иметь средства для выплаты - то банальность. Но и это не всегда исполняется. Всякое бывает.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #80

117. Сообщение от Аноньимъ (ok), 06-Янв-24, 15:15	–1 +/–
> По сути человек занимается благотворительностью, посылая вам отчеты об уязвимостях Речь о охоте за вознаграждением, а не о благотворительности. Чел денег хочет. > В общем, хотите чтобы сразу было все для вас готово и никаких усилий не надо было вкладывать? Вот придурки с ИИ отчётами так и хотят.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #79

121. Сообщение от RM (ok), 06-Янв-24, 17:14	+/–
вот у меня где-то так до... претензии от секурити отдела и выглядят зачастую. задумался...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #52

122. Сообщение от AI (?), 06-Янв-24, 17:25	+1 +/–
вот, пожалуйста /* unit test */ #ifdef CURL_VERSION     return ERR #else    return 0 #endif
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #34

123. Сообщение от Аноним (123), 06-Янв-24, 17:35	+/–
Скажи спасибо императивным язычкам и в целом фон неймановскому мракобесию, не допускающим автоматической верификации.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #104 Ответы: #133

124. Сообщение от Вы забыли заполнить поле Name (?), 06-Янв-24, 17:48	+2 +/–
Теперь нужен другой AI, который будет фильтровать такие репорты, примерно как спам в почте.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #134, #143

125. Сообщение от Аноним (125), 06-Янв-24, 18:23	+1 +/–
На то они и известные, что для них правила есть. Но это не значит, что они закрыты.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #44

127. Сообщение от _ (??), 06-Янв-24, 21:54	+1 +/–
>лежать на диване и объяснять другим, как правильно делать. Да он лошара! Для этого AI-ботов и придумали! Теперь уже моно просто лежать на диване и _ничего_ не делать! Светлое будущее наступило! :)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #45

128. Сообщение от _ (??), 06-Янв-24, 21:58	–1 +/–
Ariane 5, Ariane 5, Ariane 5 ! Это комарик такой :-))) Но таки да - еЯ угробила полностью верифицированная Ada :) а это вам не дыряшковый Си какой нить! :)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #62 Ответы: #135

129. Сообщение от _ (??), 06-Янв-24, 22:00	+/–
Quis custodiet ipsos custodes?! Классико :)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #95

130. Сообщение от _ (??), 06-Янв-24, 22:09	+1 +/–
Начни с себя (С) И давай без полумер, было любит по-жестче! :)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #74

131. Сообщение от Витюшка (?), 06-Янв-24, 22:09	+1 +/–
Это хороший вопрос. Они верифицировали и саму корректность соответствия программы С кодом и их формальной моделью, и ещё что-то там с компилятором. Те, в целом да. Понятия не имею как. Я посмотрел код - это такая жесть. Как там что-то можно понять и верифицировать и не наделать багов? Хуже ассемблера. У них есть кое какие предложения. Скорее всего что сам Isabelle работает корректно. Но я думаю он сам был проверен раньше. И что железо тоже работает корректно (не знаю что это значит).
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #95

132. Сообщение от Витюшка (?), 06-Янв-24, 22:14	+/–
20 лет это эксперты, ученые на full time. Те они этим занимаются скорее всего профессионально. Простой Вася не сделает и за 500 лет, и за 10 000 лет. У них даже научная школа или направление появилось по формальной верификации программ.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #78

133. Сообщение от _ (??), 06-Янв-24, 22:38	+/–
Ты это пишешь на "фон неймановском" железе,  на софте сделанном на "императивных язычках"(r) а не на своей "автоматически верифицрованной" палке-копалке :) Фон Нейман - сделал. Императивщики - сделали. Ты - пос***л на форуме. Классика жанра: "Ах Моська! ..."(С) :-)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #123

134. Сообщение от _ (??), 06-Янв-24, 22:46	+1 +/–
Да. И кто первый сделает - озолотится. Это по опыту создания анти спам дважка для e-mail 20 лке назад. Кстати если AI заставить переписываться друг с другом ... Ынтернетам придёт ***зда :( Надо готовить надпись над заведением: "Только для людей!" :)))
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #124

135. Сообщение от Аноньимъ (ok), 07-Янв-24, 02:57	+/–
Все ошибки сертифицированы и верифицированы. Но два раза писать одну программу ненужно.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #128

136. Сообщение от Аноньимъ (ok), 07-Янв-24, 04:08	–1 +/–
А по другому как в бреде из 60 годов прошлого столетия под названием "файловыюая система" и в этом самом юниксе где "всё есть файл" ? Если пытаться парсить содержимое - то приколов с безопасностью будет не меньше.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #82

137. Сообщение от Аноним (137), 07-Янв-24, 07:30	+/–
Нейросети и ИИ это совершенно разные вещи. Но тем не менее нейросети называют ИИ. Происходит подмена понятий, типичная современная ложь называемая "повестка". А значит это все сознательная диверсия.
Ответить | Правка | Наверх | Cообщить модератору

138. Сообщение от Curl (?), 07-Янв-24, 09:40	+/–
У него в голове голоса врачей постоянно такое говорят: "Деньги, деньги давай!"
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #75

139. Сообщение от борман (?), 07-Янв-24, 12:47	+/–
при сборке можно отключить поддержку ненужного, a до сборки можно пройтись статическим анализатором кода. Можно еще много чего сделать - это ж опенсорс, который все хотят.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1

140. Сообщение от Аноним (140), 07-Янв-24, 13:34	–1 +/–
Могли бы пользоватся нормальным curl-rust на безопасном, но нет, обязательно нужно давится дырявой сишной реализацией libcurl
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #144

141. Сообщение от Аноним (141), 07-Янв-24, 13:53	+/–
Чёрным Властелином? Он уже помер, остался один пластелин.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #74

142. Сообщение от Прохожий (??), 08-Янв-24, 02:48	+/–
Похоже, ты - не читатель. А человек же специально оговорку сделал "критический для безопасности софт".
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #59

143. Сообщение от Аноним (143), 09-Янв-24, 06:51	+/–
Ответ Вам и предыдущему коллеге: Коллапс искусственного интеллекта - деградация модели искусственного интеллекта (ИИ), возникающая в результате обучения на искусственных данных, сгенерированных самим ИИ. До финиша 8 обычно тактов такого обучения. Потом или полный вздор, или: Галлюцинация ИИ - вымышленный ответ бота, не имеющий отношения к действительности.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #124

144. Сообщение от Аноним (144), 09-Янв-24, 09:23	+2 +/–
Вы хотя бы посмотрели для начала что этот ваш curl-rust просто обертка библиотеки libcurl Не надо формировать ошибочные мнения у общественности
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #140

145. Сообщение от Аноним (145), 14-Янв-24, 22:56	+/–
> Правильный майндсет такой: какой процент из этих 34% был создан с помощью ИИ-инструментов? Вот посчитай и расскажи, майндсеттер.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #12

146. Сообщение от ilyafedin (ok), 17-Апр-24, 21:07	+/–
QtNetwork, libsoup, libwget Наверняка есть дофига еще менее известных...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема