forum.opennet.ru

"Проблемы из-за подготовленных AI-инструментами отчётов об уязвимостях"

Форум Разговоры, обсуждение новостей
Версия для распечатки	Пред. тема \| След. тема

Исходное сообщение

[ Отслеживать ]

Присылайте удачные настройки в раздел примеров файлов конфигурации на WIKI.opennet.ru.

. "Проблемы из-за подготовленных AI-инструментами отчётов об уя..."	+3 +/–
Сообщение от Аноним (-), 05-Янв-24, 23:30
Мне кажется тут есть простой способ фильтрации: требовать unit-теста демонстрирующего баг. Например: > Попытка уточнить как исследователю удалось обойти присутствующую до вызова strcpy явную проверку размера и как размер буфера keyval оказался меньше размера прочитанных данных Если исследователь считает, что проверку обойти возможно, значит он может вызвать функцию со специально сформированными аргументами так, чтобы проверка была бы обойдена. unit-test с демонстрацией в студию!
Ответить \| Правка \| Наверх \| Cообщить модератору

Оглавление

Проблемы из-за подготовленных AI-инструментами отчётов об уязвимостях, opennews, 05-Янв-24, 21:36 [смотреть все]

curl такая дыра Есть что то по аналогам Чтобы использовать как библиотеку в про, Аноним, 05-Янв-24, 21:36 (1) //
- Не придумали , Аноним, 05-Янв-24, 21:40 (3) //
  - Эх , Аноним, 05-Янв-24, 21:54 (7)
- в нормальных языках сходить по http s можно и без курла, Аноним, 06-Янв-24, 03:46 (64)
- Вообще-то у curl с безопасностью - сильно выше среднего по больнице И разработч, Аноним, 06-Янв-24, 05:39 (66)
- при сборке можно отключить поддержку ненужного, a до сборки можно пройтись стати, борман, 07-Янв-24, 12:47 (139)
- Могли бы пользоватся нормальным curl-rust на безопасном, но нет, обязательно нуж, Аноним, 07-Янв-24, 13:34 (140) //
  - Вы хотя бы посмотрели для начала что этот ваш curl-rust просто обертка библиотек, Аноним, 09-Янв-24, 09:23 (144)
- QtNetwork, libsoup, libwgetНаверняка есть дофига еще менее известных , ilyafedin, 17-Апр-24, 21:07 (146)
На самом деле ничего нового, это было и до AI Уже давно в ящик Security Bug Boun, Анонин, 05-Янв-24, 21:40 (4) //
- Вариация Я фаззером нашёл страшную дыру в коде загрузки файлов формата, которы, prokoudine, 06-Янв-24, 00:48 (49) //
  - Не, фаззер это совсем другой уровень Если реально есть дыра, потому что кто-то , Анонин, 06-Янв-24, 01:25 (52) //
    - вот у меня где-то так до претензии от секурити отдела и выглядят зачастую зад, RM, 06-Янв-24, 17:14 (121)
  - Почти так и нашли фееричную дыру в WMF И, таки, это другой случай Всеми забыты, Аноним, 06-Янв-24, 05:46 (67)
  - Если форматом никто не пользуется, но файл в этом формате можно подсунуть напри, Аноним, 06-Янв-24, 07:38 (77) //
    - Определение типа файла по расширению - это фича признанных экспертов в программи, Аноним, 06-Янв-24, 08:49 (82)
      - Это далеко не самая дикая тупость в том прекрасном коде - , Аноним, 06-Янв-24, 10:28 (93)
      - KDE Plasma и Гном так делают Раньше Гном определял по содержимому, а потом пере, mustai, 06-Янв-24, 11:22 (101)
        
        Всё открывалость в текстовом редакторе , Аноним, 06-Янв-24, 12:44 (110)
      - А по другому как в бреде из 60 годов прошлого столетия под названием файловыюая, Аноньимъ, 07-Янв-24, 04:08 (136)
Ну это ещё мозгов разобраться хватило А представляете, что сейчас в местной дисс, Tron is Whistling, 05-Янв-24, 22:00 (8) //
- Даа, Корчеватель нервно курит в сторонке, Аноним, 05-Янв-24, 23:03 (27)
- Во-первых, потери невелики - эти опусы и раньше никто не читал Во-вторых, что з, Аноним, 06-Янв-24, 08:53 (83) //
  - КМК если кто всерьез попросит AI нагенерить ему реферат W курсач W да вообще, ди, Аноним, 06-Янв-24, 10:39 (94)
  - В препринтах Там гораздо большая проблема - это сумасшедшие и альтернативщики, , Аноним, 06-Янв-24, 11:20 (100) //
    - Теперь альтернативщики и изобретатели вечных двигателей смогут выглядеть правдоп, Аноним, 06-Янв-24, 11:35 (103)
Ожидание ИИ вместо человека решает научные проблемы и управляет звездолётамиРеа, Аноним, 05-Янв-24, 22:04 (9) //
- Кормит не ИИ, а вполне живой человек , Аноним, 05-Янв-24, 22:14 (13) //
  - ИИ здесь это Иван Иваныч, Аноним, 05-Янв-24, 23:02 (26)
- От каждого по возможности - каждому по потребности Большего не заслужили , Петрович69, 06-Янв-24, 07:02 (72)
Я не совсем понимаю, что означает 77 как не связанные с безопасностью ошибки , Аноним, 05-Янв-24, 22:12 (11) //
- Весьма вероятно, что это были просто переосмысленные issues из багтрекера прое, Аноним, 05-Янв-24, 22:22 (16)
- писать умеешь а счет еще в школе не проходили 64 77 141141 415 34 100 - 34 , 234234234, 05-Янв-24, 22:33 (20) //
  - Ты же просто развернуто повторил то, что я написал в скобках в своём вопросе Но, Аноним, 05-Янв-24, 22:55 (24) //
    - Не общайся с ним, это ИИ, Дмитрий, 06-Янв-24, 00:30 (42)
Неправильно мыслят Правильный майндсет такой какой процент из этих 34 был соз, Аноним, 05-Янв-24, 22:14 (12) //
- Так как ИИ генерируют отчёты только на основе уже известных данных, то польза от, Аноним, 05-Янв-24, 22:16 (14) //
  - Что же известные дыры сам разработчик не нашёл Чтшьже известные дыры сами баг-р, Аноним, 06-Янв-24, 00:30 (43) //
    - Кто сказал На то они и известные, что уже закрыты , Аноним, 06-Янв-24, 00:36 (44)
      - На то они и известные, что для них правила есть Но это не значит, что они закры, Аноним, 06-Янв-24, 18:23 (125)
- Вот посчитай и расскажи, майндсеттер , Аноним, 14-Янв-24, 22:56 (145)
Очевидным следующим шагом будет обработка таких репортов с помощью того же AI , Аноним, 05-Янв-24, 22:28 (17) //
- А потом пытаться понять о чем они там наобщались и пришли к выводу что люди тупы, Аноним, 06-Янв-24, 01:03 (50)
- Вот тоже подумал Вместо нытья просто генерить WONTFIX с пояснением от того же И, Анонус, 06-Янв-24, 12:28 (107)
Всё, что нужно знать о современных ИИ , Аноним, 05-Янв-24, 22:30 (18) //
- Нет никакого ИИ Одни ЛПП и ИБД , Петрович69, 06-Янв-24, 07:03 (73)
AI vs IT Так вам Наделали сами себе на свои головы , Сортогустатор, 05-Янв-24, 22:32 (19)
Решается очень просто Хакир оставляет залог в 10 вознаграждения но не больше т, Аноньимъ, 05-Янв-24, 22:46 (23) //
- А не будет ли тогда выгоднее пойти на чёрный рынок, где залогов не требуют , Аноним, 05-Янв-24, 23:04 (28) //
  - Лол, ну пускай засыпят чёрный рынок описаниями уязвимостей сгенерированными ИИ, Аноньимъ, 06-Янв-24, 02:09 (53) //
    - Сразу видно что не понял о чем речь Речь не про автогенеренные отчеты, а про ре, Placeholder, 06-Янв-24, 08:03 (79)
      - Не занимается человек благотворительностью, об этом и в статье написано, что реч, ДаНуНафиг, 06-Янв-24, 09:23 (84)
      - Речь о охоте за вознаграждением, а не о благотворительности Чел денег хочет Вот , Аноньимъ, 06-Янв-24, 15:15 (117)
    - И да, фриланские площадки залог организовывают тому кто ВЫПОЛНЯЕТ какую-то работ, Placeholder, 06-Янв-24, 08:05 (80)
      - Нет Именно залог со стороны исполнителя Зависит от платформы и заказа То что зак, Аноньимъ, 06-Янв-24, 15:12 (116)
Ну, добро пожаловать в новый мир Может наконец-то дойдет, что критический для б, Аноним, 05-Янв-24, 22:58 (25) //
- Ой, да у нас тут эксперт Словами какими кидается и терминами Уймись, твоя фор, cat666, 05-Янв-24, 23:09 (29) //
  - Как скажешь , Аноним, 05-Янв-24, 23:19 (31)
  - Вообще-то смогли Например, такого лба как ты, когда самолёт на землю не упал , Аноним, 05-Янв-24, 23:26 (32) //
    - Ты хотел написать упал при том 2 раза , Витюшка, 06-Янв-24, 00:19 (41)
- Для формальной верификации кода микроядра L4 в 5000 строк кода на С или как-то , Витюшка, 06-Янв-24, 00:18 (40) //
  - Он и так удачлив Это не ему формально верифицировать чей-то код Его долг 8212, Аноним, 06-Янв-24, 00:39 (45) //
    - Да он лошара Для этого AI-ботов и придумали Теперь уже моно просто лежать на д, _, 06-Янв-24, 21:54 (127)
  - Добавляю Написана верификация на языке Isabelle HOL https github com seL4 l4v, Витюшка, 06-Янв-24, 02:36 (59) //
    - А могли бы сразу на АДЕ писать и не мучиться , Аноньимъ, 06-Янв-24, 03:18 (62)
      - Ariane 5, Ariane 5, Ariane 5 Это комарик такой - Но таки да - еЯ угробила п, _, 06-Янв-24, 21:58 (128)
        
        Все ошибки сертифицированы и верифицированы Но два раза писать одну программу не, Аноньимъ, 07-Янв-24, 02:57 (135)
    - А это счастье кто-то верифицировал И не окажется так что в верификаторе - баги , Аноним, 06-Янв-24, 10:41 (95)
      - Quis custodiet ipsos custodes Классико , _, 06-Янв-24, 22:00 (129)
      - Это хороший вопрос Они верифицировали и саму корректность соответствия программ, Витюшка, 06-Янв-24, 22:09 (131)
    - Похоже, ты - не читатель А человек же специально оговорку сделал критический д, Прохожий, 08-Янв-24, 02:48 (142)
- Хорошая идея, предлагаю вам реализовать http-клиент с поддержкой всего многообра, Аноним, 06-Янв-24, 07:40 (78) //
  - 20 лет это эксперты, ученые на full time Те они этим занимаются скорее всего пр, Витюшка, 06-Янв-24, 22:14 (132)
Мне кажется тут есть простой способ фильтрации требовать unit-теста демонстриру , Аноним, 05-Янв-24, 23:30 (34) //
- возврат физического наказания за косяки - самое действенное решение Особленно в , Петрович69, 06-Янв-24, 07:05 (74) //
  - Начни с себя С И давай без полумер, было любит по-жестче , _, 06-Янв-24, 22:09 (130)
  - Чёрным Властелином Он уже помер, остался один пластелин , Аноним, 07-Янв-24, 13:53 (141)
- Ну и сделает тебе рандомай- ой простите, ИССКУСТВЕННЫЙ ИНТЕЛЛЕКТ unit-тест на, КО, 06-Янв-24, 11:10 (98)
- что-нибудь слышал про программирование там, например, бывают трудноуловимые баг, 12yoexpert, 06-Янв-24, 12:46 (112)
- вот, пожалуйста unit test ifdef CURL_VERSION return ERR else return 0 , AI, 06-Янв-24, 17:25 (122)
Люди всегда боролись за высокий урожай, разные селекции, всевозможные циды и на, Аноним, 06-Янв-24, 00:39 (46) //
- Вполне разобрались, просто бизнес живёт по своим законам Компания Monsanto очен, Аноним, 06-Янв-24, 00:44 (48)
- Развитие разума остановить не получится Хочешь Эболу вылечить - изволь вмешаться, Аноним, 06-Янв-24, 01:12 (51) //
  - Можно, как во Франции, пожрать лекарств и с высоким шансом умереть доказательна, Аноним, 06-Янв-24, 02:11 (55) //
    - Да можно и без парашюта прыгнуть и выжить, вот только шансы не разбиться весьма , Аноним, 06-Янв-24, 04:15 (65)
      - И клопы , Anonymous1, 06-Янв-24, 10:24 (92)
        
        Хрустят, как багет, но в отличие от него, абсолютно бесплатны , Аноним, 06-Янв-24, 11:33 (102)
      - Чего-чего Я почему-то думал что с парашютом шансы разбиться намного ниже Но до, Аноним, 06-Янв-24, 10:45 (96)
        
        Ох лол, это же просто опечатка Просто залетная мысль была про аэро костюмы в ко, Аноним, 06-Янв-24, 14:04 (115)
- Ну, вообще-то как бы и не стоит задачи разбираться, что значить быть людьми ил, Аноним, 06-Янв-24, 02:13 (56)
Эээ, не подсказывайте им А то они не только уязвимости в курле майнить будут, н, Аноним, 06-Янв-24, 02:32 (58) //
- Как будто живые сотрудники с этим плохо справляются Как говорят американские вра, Аноним, 06-Янв-24, 03:39 (63) //
  - Какие американские врачи это говорили , Аноним, 06-Янв-24, 07:19 (75) //
    - У него в голове голоса врачей постоянно такое говорят Деньги, деньги давай , Curl, 07-Янв-24, 09:40 (138)
Офигеть, это же закон Гудхарта - когда мера становится целью она перестаёт быть, kusb, 06-Янв-24, 02:58 (60)
Мы то думали, что ИИ уконтропупит человечество по сценарию фильма терминатор, а , Аноним, 06-Янв-24, 05:51 (68) //
- Уконтропупит, не волнуйся, просто подожди, когда военные до ей доберутся Про Ст, Аноним, 06-Янв-24, 07:21 (76) //
  - В смысле - когда Военные это всё спонсируют , Anonymous1, 06-Янв-24, 10:23 (90)
Проблемы из-за подготовленных AI-инструментами отчётов о чём угодно Недавно был , Anonymous1, 06-Янв-24, 10:22 (89) //
- Эти отчёты сами по себе не подготавливаются Их делает ферма индусов У них да, Аноним, 06-Янв-24, 12:08 (106)
Мусорные отчёты уязвимостей это весь т н infosec Запугивание мнимыми угрозам, Аноним, 06-Янв-24, 11:51 (104) //
- Скажи спасибо императивным язычкам и в целом фон неймановскому мракобесию, не до, Аноним, 06-Янв-24, 17:35 (123) //
  - Ты это пишешь на фон неймановском железе, на софте сделанном на императивных, _, 06-Янв-24, 22:38 (133)
попытка уточнить привела к получению подробных, но не несущих дополнительно, Аноним, 06-Янв-24, 11:56 (105)
Теперь нужен другой AI, который будет фильтровать такие репорты, примерно как сп, Вы забыли заполнить поле Name, 06-Янв-24, 17:48 (124) //
- Да И кто первый сделает - озолотится Это по опыту создания анти спам дважка для, _, 06-Янв-24, 22:46 (134)
- Ответ Вам и предыдущему коллеге Коллапс искусственного интеллекта - деградация м, Аноним, 09-Янв-24, 06:51 (143)
Нейросети и ИИ это совершенно разные вещи Но тем не менее нейросети называют ИИ, Аноним, 07-Янв-24, 07:30 (137)

Форумы | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру