The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]



"Проблемы из-за подготовленных AI-инструментами отчётов об уязвимостях"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Проблемы из-за подготовленных AI-инструментами отчётов об уязвимостях"  +/
Сообщение от opennews (??), 05-Янв-24, 21:36 
Дэниел Cтенберг (Daniel Stenberg), автор утилиты для получения и отправки данных по сети curl, выступил с критикой использования AI-инструментов при создании отчётов об уязвимостях. Подобные отчёты включают детальные сведения, написаны нормальным языком и выглядят качественными, но без вдумчивого анализа на деле могут лишь вводить в заблуждение, подменяя реальные проблемы качественно выглядящим мусорным содержимым...

Подробнее: https://www.opennet.ru/opennews/art.shtml?num=60394

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения [Сортировка по времени | RSS]


1. "Проблемы из-за подготовленных AI-инструментами отчётов об уя..."  –42 +/
Сообщение от Аноним (1), 05-Янв-24, 21:36 
curl такая дыра!
Есть что то по аналогам? Чтобы использовать как библиотеку в программе?
Ответить | Правка | Наверх | Cообщить модератору

3. "Проблемы из-за подготовленных AI-инструментами отчётов об уя..."  +1 +/
Сообщение от Аноним (3), 05-Янв-24, 21:40 
Не придумали.
Ответить | Правка | Наверх | Cообщить модератору

7. "Проблемы из-за подготовленных AI-инструментами отчётов об уя..."  +/
Сообщение от Аноним (1), 05-Янв-24, 21:54 
Эх :(
Ответить | Правка | Наверх | Cообщить модератору

64. "Проблемы из-за подготовленных AI-инструментами отчётов об уя..."  –6 +/
Сообщение от Аноним (64), 06-Янв-24, 03:46 
в нормальных языках сходить по http(s) можно и без курла
Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

66. "Проблемы из-за подготовленных AI-инструментами отчётов об уя..."  +23 +/
Сообщение от Аноним (-), 06-Янв-24, 05:39 
> curl такая дыра!

Вообще-то у curl с безопасностью - сильно выше среднего по больнице. И разработчик грамотный и ответственный.

> Есть что то по аналогам? Чтобы использовать как библиотеку в программе?

Вооон, NPM используй из соседней новости, пакет "everything". Следующие эн лет он займется скачкой миллионов пакетов - и на мерзких хаксоров не останется бандвиза. А потом у тебя кончится место при попытке скачать весь интернет - и хаксоры уже совершенно точно обломаются. Только представь рожу хакера когда на попытку залить троян ему ENOSPC вываливается! "Опередили, гады!"

Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

139. "Проблемы из-за подготовленных AI-инструментами отчётов об уя..."  +/
Сообщение от борман (?), 07-Янв-24, 12:47 
при сборке можно отключить поддержку ненужного, a до сборки можно пройтись статическим анализатором кода. Можно еще много чего сделать - это ж опенсорс, который все хотят.
Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

140. "Проблемы из-за подготовленных AI-инструментами отчётов об уя..."  –1 +/
Сообщение от Аноним (140), 07-Янв-24, 13:34 
Могли бы пользоватся нормальным curl-rust на безопасном, но нет, обязательно нужно давится дырявой сишной реализацией libcurl
Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

144. "Проблемы из-за подготовленных AI-инструментами отчётов об уя..."  +2 +/
Сообщение от Аноним (144), 09-Янв-24, 09:23 
Вы хотя бы посмотрели для начала что этот ваш curl-rust просто обертка библиотеки libcurl
Не надо формировать ошибочные мнения у общественности
Ответить | Правка | Наверх | Cообщить модератору

146. "Проблемы из-за подготовленных AI-инструментами отчётов об уя..."  +/
Сообщение от ilyafedinemail (ok), 17-Апр-24, 21:07 
QtNetwork, libsoup, libwget

Наверняка есть дофига еще менее известных...

Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

4. "Проблемы из-за подготовленных AI-инструментами отчётов об уя..."  +13 +/
Сообщение от Анонин (?), 05-Янв-24, 21:40 
На самом деле ничего нового, это было и до AI.
Уже давно в ящик Security Bug Bounty сыпались письма на корявом английском с пространственными описаниям кОтострофической проблемы и копипастами каких-то скриптов из инета.
Ну и обязательной припиской "вы должны мне кучу денег!!111" в конце.
Просто с "AI" это стало еще проще.
Ответить | Правка | Наверх | Cообщить модератору

49. "Проблемы из-за подготовленных AI-инструментами отчётов об уя..."  –10 +/
Сообщение от prokoudine (ok), 06-Янв-24, 00:48 
Вариация: "Я фаззером нашёл страшную дыру в коде загрузки файлов формата, которым уже 25 лет никто не пользуется. Страшно! Страшно! Срочно пилите патч!"
Ответить | Правка | Наверх | Cообщить модератору

52. "Проблемы из-за подготовленных AI-инструментами отчётов об уя..."  +9 +/
Сообщение от Анонин (?), 06-Янв-24, 01:25 
Не, фаззер это совсем другой уровень. Если реально есть дыра, потому что кто-то N лет назад написал код без проверок входных данных, то это повод исправить. Но если форматом не пользуются уже 25 лет, то нужно спросить почему его поддержку не выкинули еще 10 лет назад...

А тут вообще просто комбинация наглости и абсолютного непонимания происходящего.
Ты ему уточняющий вопрос, а он тебе еще два абзаца несвязного бреда. Как вспомню, аж бесит!

Ответить | Правка | Наверх | Cообщить модератору

121. "Проблемы из-за подготовленных AI-инструментами отчётов об уя..."  +/
Сообщение от RM (ok), 06-Янв-24, 17:14 
вот у меня где-то так до... претензии от секурити отдела и выглядят зачастую.
задумался...
Ответить | Правка | Наверх | Cообщить модератору

67. "Проблемы из-за подготовленных AI-инструментами отчётов об уя..."  +/
Сообщение от Аноним (-), 06-Янв-24, 05:46 
> Вариация: "Я фаззером нашёл страшную дыру в коде загрузки файлов формата,
> которым уже 25 лет никто не пользуется. Страшно! Страшно! Срочно пилите патч!"

Почти так и нашли фееричную дыру в WMF. И, таки, это другой случай. Всеми забытый код, в всеми забытой либе, радостно запускает хаксорский код. Даже если о фиче все и забыли, и форматом почти не пользуются. А вот либа - и вулн - остались!

Ответить | Правка | К родителю #49 | Наверх | Cообщить модератору

77. "Проблемы из-за подготовленных AI-инструментами отчётов об уя..."  +3 +/
Сообщение от Аноним (77), 06-Янв-24, 07:38 
Если форматом никто не пользуется, но файл в этом формате можно подсунуть (например, подменив расширение файла), то это вполне себе уязвимость. Сталкивался с таким в imagemagick.
Ответить | Правка | К родителю #49 | Наверх | Cообщить модератору

82. "Проблемы из-за подготовленных AI-инструментами отчётов об уя..."  +2 +/
Сообщение от Аноним (82), 06-Янв-24, 08:49 
Определение типа файла по расширению - это фича признанных экспертов в программировании и информационной безопасности.
Ответить | Правка | Наверх | Cообщить модератору

93. "Проблемы из-за подготовленных AI-инструментами отчётов об уя..."  +/
Сообщение от Аноним (93), 06-Янв-24, 10:28 
Это далеко не самая дикая тупость в том прекрасном коде :-)
Ответить | Правка | Наверх | Cообщить модератору

101. "Проблемы из-за подготовленных AI-инструментами отчётов об уя..."  +/
Сообщение от mustai (ok), 06-Янв-24, 11:22 
KDE Plasma и Гном так делают. Раньше Гном определял по содержимому, а потом перестал.
Ответить | Правка | К родителю #82 | Наверх | Cообщить модератору

110. "Проблемы из-за подготовленных AI-инструментами отчётов об уя..."  +/
Сообщение от Аноним (110), 06-Янв-24, 12:44 
Всё открывалость в текстовом редакторе?
Ответить | Правка | Наверх | Cообщить модератору

136. "Проблемы из-за подготовленных AI-инструментами отчётов об уя..."  –1 +/
Сообщение от Аноньимъ (ok), 07-Янв-24, 04:08 
А по другому как в бреде из 60 годов прошлого столетия под названием "файловыюая система" и в этом самом юниксе где "всё есть файл" ?

Если пытаться парсить содержимое - то приколов с безопасностью будет не меньше.

Ответить | Правка | К родителю #82 | Наверх | Cообщить модератору

8. "Проблемы из-за подготовленных AI-инструментами отчётов об уя..."  +6 +/
Сообщение от Tron is Whistling (?), 05-Янв-24, 22:00 
Ну это ещё мозгов разобраться хватило.

А представляете, что сейчас в местной диссертационной среде и около творится, с учётом того, что там уже было?

Ответить | Правка | Наверх | Cообщить модератору

27. "Проблемы из-за подготовленных AI-инструментами отчётов об уя..."  +3 +/
Сообщение от Аноним (27), 05-Янв-24, 23:03 
Даа, Корчеватель нервно курит в сторонке
Ответить | Правка | Наверх | Cообщить модератору

83. "Проблемы из-за подготовленных AI-инструментами отчётов об уя..."  +1 +/
Сообщение от Аноним (82), 06-Янв-24, 08:53 
Во-первых, потери невелики - эти опусы и раньше никто не читал. Во-вторых, что значит "местной"? Это общемировая тенденция. Если читали монографии по прикладной математике последние лет 10, видели, какой там бред.
Ответить | Правка | К родителю #8 | Наверх | Cообщить модератору

94. "Проблемы из-за подготовленных AI-инструментами отчётов об уя..."  +/
Сообщение от Аноним (-), 06-Янв-24, 10:39 
> Во-первых, потери невелики - эти опусы и раньше никто не читал.
> Во-вторых, что значит "местной"? Это общемировая тенденция.
> Если читали монографии по прикладной математике последние лет 10, видели, какой там бред.

КМК если кто всерьез попросит AI нагенерить ему реферат^W курсач^W да вообще, диплом - может это и будет выглядеть убедительно, но вот тест на плагиат пожалуй может с треском провалить.

Ответить | Правка | Наверх | Cообщить модератору

100. "Проблемы из-за подготовленных AI-инструментами отчётов об уя..."  +/
Сообщение от Аноним (100), 06-Янв-24, 11:20 
В препринтах? Там гораздо большая проблема - это сумасшедшие и альтернативщики, а не AI)
Ответить | Правка | К родителю #83 | Наверх | Cообщить модератору

103. "Проблемы из-за подготовленных AI-инструментами отчётов об уя..."  +/
Сообщение от Аноним (103), 06-Янв-24, 11:35 
Теперь альтернативщики и изобретатели вечных двигателей смогут выглядеть правдоподобно с меньшими усилиями.
Ответить | Правка | Наверх | Cообщить модератору

9. "Проблемы из-за подготовленных AI-инструментами отчётов об уя..."  +33 +/
Сообщение от Аноним (100), 05-Янв-24, 22:04 
Ожидание: ИИ вместо человека решает научные проблемы и управляет звездолётами
Реальность: ИИ кормит разраба курла голубцами с гогном
Ответить | Правка | Наверх | Cообщить модератору

13. "Проблемы из-за подготовленных AI-инструментами отчётов об уя..."  +5 +/
Сообщение от Аноним (103), 05-Янв-24, 22:14 
> Реальность: ИИ кормит разраба курла голубцами с гогном

Кормит не ИИ, а вполне живой человек.

Ответить | Правка | Наверх | Cообщить модератору

26. "Проблемы из-за подготовленных AI-инструментами отчётов об уя..."  +5 +/
Сообщение от Аноним (26), 05-Янв-24, 23:02 
ИИ здесь это Иван Иваныч
Ответить | Правка | Наверх | Cообщить модератору

72. "Проблемы из-за подготовленных AI-инструментами отчётов об уя..."  +/
Сообщение от Петрович69 (?), 06-Янв-24, 07:02 
От каждого по возможности - каждому по потребности. Большего не заслужили)
Ответить | Правка | К родителю #9 | Наверх | Cообщить модератору

11. "Проблемы из-за подготовленных AI-инструментами отчётов об уя..."  +/
Сообщение от Аноним (11), 05-Янв-24, 22:12 
Я не совсем понимаю, что означает "77 как не связанные с безопасностью ошибки". Эти 77 отчётов (что составило 66% от общей массы) были вообще невалидными или они были про реальные ошибки, но эти ошибки были просто багами, а не уязвимостями?

Если второе, то называть их "совершенно бесполезными" некорректно.

Ответить | Правка | Наверх | Cообщить модератору

16. "Проблемы из-за подготовленных AI-инструментами отчётов об уя..."  +1 +/
Сообщение от Аноним (103), 05-Янв-24, 22:22 
Весьма вероятно, что это были просто "переосмысленные" issues из багтрекера проекта.
Ну откуда ИИ знать настоящие баги? Он же код не анализировал.
Ответить | Правка | Наверх | Cообщить модератору

20. "Проблемы из-за подготовленных AI-инструментами отчётов об уя..."  +/
Сообщение от 234234234 (?), 05-Янв-24, 22:33 
писать умеешь а счет еще в школе не проходили?
64+77 = 141
141/415 = 34%
100 - 34 = 66%
Ответить | Правка | К родителю #11 | Наверх | Cообщить модератору

24. "Проблемы из-за подготовленных AI-инструментами отчётов об уя..."  –1 +/
Сообщение от Аноним (11), 05-Янв-24, 22:55 
Ты же просто развернуто повторил то, что я написал в скобках в своём вопросе. Но вопрос вовсе не об этом.
Ответить | Правка | Наверх | Cообщить модератору

42. "Проблемы из-за подготовленных AI-инструментами отчётов об уя..."  +3 +/
Сообщение от Дмитрий (??), 06-Янв-24, 00:30 
Не общайся с ним, это ИИ
Ответить | Правка | Наверх | Cообщить модератору

12. "Проблемы из-за подготовленных AI-инструментами отчётов об уя..."  –1 +/
Сообщение от Аноним (12), 05-Янв-24, 22:14 
>Таким образом 66% всех отчётов не содержали каких-либо полезных сведений и только отняли у разработчиков время, которое можно было потратить на что-то полезное.

Неправильно мыслят. Правильный майндсет такой: какой процент из этих 34% был создан с помощью ИИ-инструментов?

Ответить | Правка | Наверх | Cообщить модератору

14. "Проблемы из-за подготовленных AI-инструментами отчётов об уя..."  +3 +/
Сообщение от Аноним (103), 05-Янв-24, 22:16 
Так как ИИ генерируют отчёты только на основе уже известных данных, то польза от них в любом случае стремится к нулю.
Это либо уже известные дыры, либо несуществующие.
Ответить | Правка | Наверх | Cообщить модератору

43. "Проблемы из-за подготовленных AI-инструментами отчётов об уя..."  –2 +/
Сообщение от Аноним (43), 06-Янв-24, 00:30 
Что же известные дыры сам разработчик не нашёл? Чтшьже известные дыры сами баг-репортеры не нашли? А потому что с ИИ и AFL всё лучше. Неплохо бы скрестить ИИ с AFL по типу FunSearch...
Ответить | Правка | Наверх | Cообщить модератору

44. "Проблемы из-за подготовленных AI-инструментами отчётов об уя..."  +/
Сообщение от Аноним (103), 06-Янв-24, 00:36 
> Что же известные дыры сам разработчик не нашёл?

Кто сказал?
На то они и известные, что уже закрыты.

Ответить | Правка | Наверх | Cообщить модератору

125. "Проблемы из-за подготовленных AI-инструментами отчётов об уя..."  +1 +/
Сообщение от Аноним (125), 06-Янв-24, 18:23 
На то они и известные, что для них правила есть. Но это не значит, что они закрыты.
Ответить | Правка | Наверх | Cообщить модератору

145. "Проблемы из-за подготовленных AI-инструментами отчётов об уя..."  +/
Сообщение от Аноним (145), 14-Янв-24, 22:56 
> Правильный майндсет такой: какой процент из этих 34% был создан с помощью ИИ-инструментов?

Вот посчитай и расскажи, майндсеттер.

Ответить | Правка | К родителю #12 | Наверх | Cообщить модератору

17. "Проблемы из-за подготовленных AI-инструментами отчётов об уя..."  +10 +/
Сообщение от Аноним (17), 05-Янв-24, 22:28 
Очевидным следующим шагом будет обработка таких репортов с помощью того же AI.
Ответить | Правка | Наверх | Cообщить модератору

50. "Проблемы из-за подготовленных AI-инструментами отчётов об уя..."  +2 +/
Сообщение от Аноним (50), 06-Янв-24, 01:03 
А потом пытаться понять о чем они там наобщались и пришли к выводу что люди тупые.
Ответить | Правка | Наверх | Cообщить модератору

107. "Проблемы из-за подготовленных AI-инструментами отчётов об уя..."  +/
Сообщение от Анонус (?), 06-Янв-24, 12:28 
Вот тоже подумал. Вместо нытья просто генерить WONTFIX с пояснением от того же ИИ.
Ответить | Правка | К родителю #17 | Наверх | Cообщить модератору

18. "Проблемы из-за подготовленных AI-инструментами отчётов об уя..."  +11 +/
Сообщение от Аноним (18), 05-Янв-24, 22:30 
> подменяя реальные проблемы качественно выглядящим мусорным содержимым.

Всё, что нужно знать о современных ИИ.

Ответить | Правка | Наверх | Cообщить модератору

73. "Проблемы из-за подготовленных AI-инструментами отчётов об уя..."  –2 +/
Сообщение от Петрович69 (?), 06-Янв-24, 07:03 
Нет никакого ИИ. Одни ЛПП и ИБД)
Ответить | Правка | Наверх | Cообщить модератору

19. "Проблемы из-за подготовленных AI-инструментами отчётов об уя..."  +3 +/
Сообщение от Сортогустатор (?), 05-Янв-24, 22:32 
AI vs. IT. Так вам! Наделали сами себе на свои головы.
Ответить | Правка | Наверх | Cообщить модератору

23. "Проблемы из-за подготовленных AI-инструментами отчётов об уя..."  +1 +/
Сообщение от Аноньимъ (ok), 05-Янв-24, 22:46 
Решается очень просто. Хакир оставляет залог в 10% вознаграждения но не больше тыщи баксов.

Ну или можно очень хитрожопный договор заключать письменный с последствиями за ложные отчёты.

Ну и отправка ложных отчётов сгенерипрванных ИИ подпадает под "нарушение работы компьютерных систем" и в плоть до уголовной ответственности.

Ответить | Правка | Наверх | Cообщить модератору

28. "Проблемы из-за подготовленных AI-инструментами отчётов об уя..."  +/
Сообщение от Аноним (26), 05-Янв-24, 23:04 
А не будет ли тогда выгоднее пойти на чёрный рынок, где залогов не требуют?
Ответить | Правка | Наверх | Cообщить модератору

53. "Проблемы из-за подготовленных AI-инструментами отчётов об уя..."  +1 +/
Сообщение от Аноньимъ (ok), 06-Янв-24, 02:09 
Лол, ну пускай засыпят чёрный рынок "описаниями уязвимостей" сгенерированными ИИ. Вместо рабочих эксплойтов, ага.
Всякие киберполиции спасибо скажут.
А реальные хакиры может и вычислят по айпи незатейливых бизнесменов да набьют что там полагается бить.

Залог же - это банальность, так многие фриланс площадки работают.
Если вознаграждение 10000$ и у тебя на руках работающий эксплойт, а не "описание возможной уязвимости" то тыща баксов это ничто.

Но я думаю и залог в 10$ обрежет всю эту вакханалью на корню и навсегда.

Ответить | Правка | Наверх | Cообщить модератору

79. "Проблемы из-за подготовленных AI-инструментами отчётов об уя..."  +/
Сообщение от Placeholder (ok), 06-Янв-24, 08:03 
Сразу видно что не понял о чем речь. Речь не про автогенеренные отчеты, а про реальные уязвимости которые кто-то нашел. По сути человек занимается благотворительностью, посылая вам отчеты об уязвимостях, поэтому если не делать возможность посылания этих отчетов максимально безгеморным, то их тупо никто посылать не будет, а либо забьют, либо просто продадут или распространят бесплатну инфу об уязвимостях людям куда более благодарным.

Почему балготворительность? Ну потому что все эти обещания вознаграждений за их нахождения (это если такие обещания вообще есть, некоторые ничо не обещают и еще тебя засудить могут попытаться за то что ты ковырялся в их софте), они, как говорят буржуи, not legally binding. А по факту я не помню случая чтобы компании не надо было выкручивать яйца чтобы она даже обещанное дала, а если им дать еще возможность твои деньги себе захапать, лол. А тут тем более что опенсорс, все принципиально на добровольной основе.

В общем, хотите чтобы сразу было все для вас готово и никаких усилий не надо было вкладывать? Нанимайте аудиторскую фирму с настоящими людьми за настоящие деньги. Не хотите платить и хотите чтобы коммьюнити проверяло ваш софт на добровольной основе? Будте готовы к тому что это надо будет все перепроверять самим. Дареному коню в зубы не смотрят. А желание и рыбку съесть и на CoC сесть вызывает только смех.

Ответить | Правка | Наверх | Cообщить модератору

84. "Проблемы из-за подготовленных AI-инструментами отчётов об уя..."  +/
Сообщение от ДаНуНафиг (?), 06-Янв-24, 09:23 
Не занимается человек благотворительностью, об этом и в статье написано, что речь идет про багхантинг за вознаграждение. И я прямо сильно сомневаюсь, что там какой-то бедный паренек на помойке собрал себе комп, чтобы поковыряться в сурцах курла ради человечества, и у него совсем нет лишней сотки/десятки долларов залога.
Ответить | Правка | Наверх | Cообщить модератору

117. "Проблемы из-за подготовленных AI-инструментами отчётов об уя..."  –1 +/
Сообщение от Аноньимъ (ok), 06-Янв-24, 15:15 
> По сути человек занимается благотворительностью, посылая вам отчеты об уязвимостях

Речь о охоте за вознаграждением, а не о благотворительности.
Чел денег хочет.

> В общем, хотите чтобы сразу было все для вас готово и никаких усилий не надо было вкладывать?

Вот придурки с ИИ отчётами так и хотят.

Ответить | Правка | К родителю #79 | Наверх | Cообщить модератору

80. "Проблемы из-за подготовленных AI-инструментами отчётов об уя..."  –1 +/
Сообщение от Placeholder (ok), 06-Янв-24, 08:05 
И да, фриланские площадки залог организовывают тому кто ВЫПОЛНЯЕТ какую-то работу, в качестве некоторой гарантии что даже если кинут, то часть оплаты уже прошла. То есть тому кто ищет эксплойты надо залог давать, лол.
Ответить | Правка | К родителю #53 | Наверх | Cообщить модератору

116. "Проблемы из-за подготовленных AI-инструментами отчётов об уя..."  +/
Сообщение от Аноньимъ (ok), 06-Янв-24, 15:12 
Нет.
Именно залог со стороны исполнителя.
Зависит от платформы и заказа.

То что заказчик должен иметь средства для выплаты - то банальность. Но и это не всегда исполняется. Всякое бывает.

Ответить | Правка | Наверх | Cообщить модератору

25. "Проблемы из-за подготовленных AI-инструментами отчётов об уя..."  –1 +/
Сообщение от Аноним (25), 05-Янв-24, 22:58 
Ну, добро пожаловать в новый мир. Может наконец-то дойдет, что критический для безопасности софт нужно писать так, как делают серьезные дяди - с приминением формальной верификации. При наличии формального доказательства этими сгенерированными отчетами можно было бы подтираться, но у нас тут лучшие практики сишечной разработки, где корректность определяется "на глаз" и уверенным быть не в чем нельзя - поэтому сиди и читай этот мусор.
Ответить | Правка | Наверх | Cообщить модератору

29. "Проблемы из-за подготовленных AI-инструментами отчётов об уя..."  +2 +/
Сообщение от cat666 (ok), 05-Янв-24, 23:09 
Ой, да у нас тут эксперт. Словами какими кидается и терминами. Уймись, твоя "формальная верификация" и "серьёзные дяди" ещё никого от уязвимостей в коде спасти не смогли.
Ответить | Правка | Наверх | Cообщить модератору

31. "Проблемы из-за подготовленных AI-инструментами отчётов об уя..."  –2 +/
Сообщение от Аноним (25), 05-Янв-24, 23:19 
> Уймись, твоя "формальная верификация" и "серьёзные дяди" ещё никого от уязвимостей в коде спасти не смогли.

Как скажешь.

Ответить | Правка | Наверх | Cообщить модератору

32. "Проблемы из-за подготовленных AI-инструментами отчётов об уя..."  +/
Сообщение от Аноним (100), 05-Янв-24, 23:26 
Вообще-то смогли. Например, такого лба как ты, когда самолёт на землю не упал ;)
Ответить | Правка | К родителю #29 | Наверх | Cообщить модератору

41. "Проблемы из-за подготовленных AI-инструментами отчётов об уя..."  +1 +/
Сообщение от Витюшка (?), 06-Янв-24, 00:19 
Ты хотел написать "упал" при том 2 раза?
Ответить | Правка | Наверх | Cообщить модератору

40. "Проблемы из-за подготовленных AI-инструментами отчётов об уя..."  +1 +/
Сообщение от Витюшка (?), 06-Янв-24, 00:18 
Для формальной верификации кода микроядра L4 в 5000 строк кода на С (или как-то так) было написано 200 000 строк кода верификации.

Уж не знаю, все ли они были написаны вручную или там что-то генерируется.

Но в общем удачи тебе)

Ответить | Правка | К родителю #25 | Наверх | Cообщить модератору

45. "Проблемы из-за подготовленных AI-инструментами отчётов об уя..."  +/
Сообщение от Аноним (103), 06-Янв-24, 00:39 
> Но в общем удачи тебе)

Он и так удачлив. Это не ему формально верифицировать чей-то код.
Его долг — лежать на диване и объяснять другим, как правильно делать.

Ответить | Правка | Наверх | Cообщить модератору

127. "Проблемы из-за подготовленных AI-инструментами отчётов об уя..."  +1 +/
Сообщение от _ (??), 06-Янв-24, 21:54 
>лежать на диване и объяснять другим, как правильно делать.

Да он лошара! Для этого AI-ботов и придумали! Теперь уже моно просто лежать на диване и _ничего_ не делать! Светлое будущее наступило! :)

Ответить | Правка | Наверх | Cообщить модератору

59. "Проблемы из-за подготовленных AI-инструментами отчётов об уя..."  +/
Сообщение от Витюшка (?), 06-Янв-24, 02:36 
Добавляю. Написана верификация на языке Isabelle/HOL.

https://github.com/seL4/l4v

Files 2436
Lines 1336767
Blanks 114572
Comments 36636
Lines of Code 1185559

Те 1.2 млн сгенерированного кода доказательств.

Кода доказательств (руками людьми) там 15000 на 8700 строк кода С.

Те на каждую строчку кода 2 строчки кода формальной верификации.

Трудозатраты - 20 человеко-лет на верификацию (суммарно, включая автоматизацию доказательств, фреймворки, библиотеки и т.п.), 11 человеко-лет чисто на доказательство.

Итого, 5 строчек кода в день на С (полный рабочий день) можно верифицировать.

Или в 50-100 раз меньше (медленнее) чем пишет программист кода на С.

Срочно всем верифицировать!


            

Ответить | Правка | К родителю #40 | Наверх | Cообщить модератору

62. "Проблемы из-за подготовленных AI-инструментами отчётов об уя..."  +/
Сообщение от Аноньимъ (ok), 06-Янв-24, 03:18 
А могли бы сразу на АДЕ писать и не мучиться.
Ответить | Правка | Наверх | Cообщить модератору

128. "Проблемы из-за подготовленных AI-инструментами отчётов об уя..."  –1 +/
Сообщение от _ (??), 06-Янв-24, 21:58 
Ariane 5, Ariane 5, Ariane 5 ! Это комарик такой :-)))

Но таки да - еЯ угробила полностью верифицированная Ada :) а это вам не дыряшковый Си какой нить! :)

Ответить | Правка | Наверх | Cообщить модератору

135. "Проблемы из-за подготовленных AI-инструментами отчётов об уя..."  +/
Сообщение от Аноньимъ (ok), 07-Янв-24, 02:57 
Все ошибки сертифицированы и верифицированы.

Но два раза писать одну программу ненужно.

Ответить | Правка | Наверх | Cообщить модератору

95. "Проблемы из-за подготовленных AI-инструментами отчётов об уя..."  +1 +/
Сообщение от Аноним (-), 06-Янв-24, 10:41 
> Те 1.2 млн сгенерированного кода доказательств.

А это счастье кто-то верифицировал? И не окажется так что в верификаторе - баги были? :)

Ответить | Правка | К родителю #59 | Наверх | Cообщить модератору

129. "Проблемы из-за подготовленных AI-инструментами отчётов об уя..."  +/
Сообщение от _ (??), 06-Янв-24, 22:00 
Quis custodiet ipsos custodes?!
Классико :)
Ответить | Правка | Наверх | Cообщить модератору

131. "Проблемы из-за подготовленных AI-инструментами отчётов об уя..."  +1 +/
Сообщение от Витюшка (?), 06-Янв-24, 22:09 
Это хороший вопрос. Они верифицировали и саму корректность соответствия программы С кодом и их формальной моделью, и ещё что-то там с компилятором.

Те, в целом да. Понятия не имею как. Я посмотрел код - это такая жесть. Как там что-то можно понять и верифицировать и не наделать багов? Хуже ассемблера.

У них есть кое какие предложения. Скорее всего что сам Isabelle работает корректно. Но я думаю он сам был проверен раньше.

И что железо тоже работает корректно (не знаю что это значит).

Ответить | Правка | К родителю #95 | Наверх | Cообщить модератору

142. "Проблемы из-за подготовленных AI-инструментами отчётов об уя..."  +/
Сообщение от Прохожий (??), 08-Янв-24, 02:48 
Похоже, ты - не читатель. А человек же специально оговорку сделал "критический для безопасности софт".
Ответить | Правка | К родителю #59 | Наверх | Cообщить модератору

78. "Проблемы из-за подготовленных AI-инструментами отчётов об уя..."  +1 +/
Сообщение от Аноним (77), 06-Янв-24, 07:40 
Хорошая идея, предлагаю вам реализовать http-клиент с поддержкой всего многообразия (включая http/2) с формально верифицированным кодом.

Лет через 20 приходите

Ответить | Правка | К родителю #25 | Наверх | Cообщить модератору

132. "Проблемы из-за подготовленных AI-инструментами отчётов об уя..."  +/
Сообщение от Витюшка (?), 06-Янв-24, 22:14 
20 лет это эксперты, ученые на full time. Те они этим занимаются скорее всего профессионально.

Простой Вася не сделает и за 500 лет, и за 10 000 лет. У них даже научная школа или направление появилось по формальной верификации программ.

Ответить | Правка | Наверх | Cообщить модератору

34. "Проблемы из-за подготовленных AI-инструментами отчётов об уя..."  +3 +/
Сообщение от Аноним (-), 05-Янв-24, 23:30 
Мне кажется тут есть простой способ фильтрации: требовать unit-теста демонстрирующего баг. Например:

> Попытка уточнить как исследователю удалось обойти присутствующую до вызова strcpy явную проверку размера и как размер буфера keyval оказался меньше размера прочитанных данных

Если исследователь считает, что проверку обойти возможно, значит он может вызвать функцию со специально сформированными аргументами так, чтобы проверка была бы обойдена. unit-test с демонстрацией в студию!

Ответить | Правка | Наверх | Cообщить модератору

74. "Проблемы из-за подготовленных AI-инструментами отчётов об уя..."  –2 +/
Сообщение от Петрович69 (?), 06-Янв-24, 07:05 
возврат физического наказания за косяки - самое действенное решение.
Особленно в среде мaкaк с их as is софтом, даже в коммерческом исполнении.
Ответить | Правка | Наверх | Cообщить модератору

130. "Проблемы из-за подготовленных AI-инструментами отчётов об уя..."  +1 +/
Сообщение от _ (??), 06-Янв-24, 22:09 
Начни с себя (С)
И давай без полумер, было любит по-жестче! :)
Ответить | Правка | Наверх | Cообщить модератору

141. "Проблемы из-за подготовленных AI-инструментами отчётов об уя..."  +/
Сообщение от Аноним (141), 07-Янв-24, 13:53 
Чёрным Властелином? Он уже помер, остался один пластелин.
Ответить | Правка | К родителю #74 | Наверх | Cообщить модератору

98. "Проблемы из-за подготовленных AI-инструментами отчётов об уя..."  +/
Сообщение от КО (?), 06-Янв-24, 11:10 
Ну и сделает тебе рандомай- ой простите, ИССКУСТВЕННЫЙ ИНТЕЛЛЕКТ!!! unit-тест на основе предыдущих, сносно относящийся к проблеме
Ответить | Правка | К родителю #34 | Наверх | Cообщить модератору

112. "Проблемы из-за подготовленных AI-инструментами отчётов об уя..."  +2 +/
Сообщение от 12yoexpert (ok), 06-Янв-24, 12:46 
что-нибудь слышал про программирование? там, например, бывают трудноуловимые баги, доказанные уязвимости в криптографиях и т.д.
Ответить | Правка | К родителю #34 | Наверх | Cообщить модератору

122. "Проблемы из-за подготовленных AI-инструментами отчётов об уя..."  +1 +/
Сообщение от AI (?), 06-Янв-24, 17:25 
вот, пожалуйста

/* unit test */
#ifdef CURL_VERSION
    return ERR
#else
   return 0
#endif

Ответить | Правка | К родителю #34 | Наверх | Cообщить модератору

46. "Проблемы из-за подготовленных AI-инструментами отчётов об уя..."  +4 +/
Сообщение от Аноним (46), 06-Янв-24, 00:39 
Люди всегда боролись за высокий урожай, разные селекции, всевозможные *циды и наконец прямое вмешательство в гены. Вроде всё логично, но оказалось, что просто решали задачу "в лоб" получая "здоровое", толком даже не разобравшись, что это самое "здоровое" означает.
Лет 20 назад казалась смешной реклама (вроде где-то в Европе) "покупайте наши червивые яблоки", мол значит натуральные. Потом как-то свыклось, забылось...

Люди всегда стремились облегчить себе жизнь, придумывали инструменты, станки, автоматы, роботов и наконец подошли к созданию какой-то формы ИИ.
Тоже всё логично, прогресс и всё такое. Но проблема всё та же. Задача решается тупо "в лоб". Толком не разобрались что значит быть людьми, а уже "почти нашли" людям замену.
Через пару лет будут цениться тексты с ошибками типичными для людей, аля лейбл "Brain made". Возможно будет смешно, а потом как-то забудется... Конечно, зачем всякой ерундой страдать, когда все усилия будут направлены, чтобы среди развалин вырастить хотя бы немного еды.

Ответить | Правка | Наверх | Cообщить модератору

48. "Проблемы из-за подготовленных AI-инструментами отчётов об уя..."  +/
Сообщение от Аноним (103), 06-Янв-24, 00:44 
> Вроде всё логично, но оказалось, что просто решали задачу "в лоб" получая "здоровое", толком даже не разобравшись, что это самое "здоровое" означает.

Вполне разобрались, просто бизнес живёт по своим законам. Компания Monsanto очень много бабла вложила в проплаченные статьи в научных журналах, "доказывающие" безвредность её продукции (и тут речь больше не про ГМО, а про ядохимикаты против вредителей, ради которых это ГМО и затевалось).

Ответить | Правка | Наверх | Cообщить модератору

51. "Проблемы из-за подготовленных AI-инструментами отчётов об уя..."  +/
Сообщение от Аноним (50), 06-Янв-24, 01:12 
Развитие разума остановить не получится.
Хочешь Эболу вылечить - изволь вмешаться там где подлый вирус вмешивается.
Ну или пможешь ждать например год пока вирус не покиннт твои яйца.
Был ли использован научный потенциал?
Конечно, безусловно, и в паре с мозгами и опытом людей показывают в 5 раз лучше эффективность чем западный(е) аналог(и).
Ну а там, коли-ежели попадешь в ситуацию выбора тебя не заставляют лекарства жрать.
Можешь просто умереть с высоким шансом.
Ответить | Правка | К родителю #46 | Наверх | Cообщить модератору

55. "Проблемы из-за подготовленных AI-инструментами отчётов об уя..."  +/
Сообщение от Аноним (103), 06-Янв-24, 02:11 
> Можешь просто умереть с высоким шансом.

Можно, как во Франции, пожрать лекарств и с высоким шансом умереть (доказательная медицина, хлорохин при ковиде).

Ответить | Правка | Наверх | Cообщить модератору

65. "Проблемы из-за подготовленных AI-инструментами отчётов об уя..."  –1 +/
Сообщение от Аноним (50), 06-Янв-24, 04:15 
Да можно и без парашюта прыгнуть и выжить, вот только шансы не разбиться весьма не пользу чудодейственного парашюта.
У французов вообще странный фетиш на мусор и крыс.
Того и гляди чума к ним вернется.
Ответить | Правка | Наверх | Cообщить модератору

92. "Проблемы из-за подготовленных AI-инструментами отчётов об уя..."  +/
Сообщение от Anonymous1 (?), 06-Янв-24, 10:24 
И клопы.
Ответить | Правка | Наверх | Cообщить модератору

102. "Проблемы из-за подготовленных AI-инструментами отчётов об уя..."  +/
Сообщение от Аноним (103), 06-Янв-24, 11:33 
Хрустят, как багет, но в отличие от него, абсолютно бесплатны.
Ответить | Правка | Наверх | Cообщить модератору

96. "Проблемы из-за подготовленных AI-инструментами отчётов об уя..."  +/
Сообщение от Аноним (-), 06-Янв-24, 10:45 
> Да можно и без парашюта прыгнуть и выжить, вот только шансы не разбиться весьма
> не пользу чудодейственного парашюта.

Чего-чего? Я почему-то думал что с парашютом шансы разбиться намного ниже. Но добрый аноним всегда подскажет леммингам как правильно выпилиться.

Ответить | Правка | К родителю #65 | Наверх | Cообщить модератору

115. "Проблемы из-за подготовленных AI-инструментами отчётов об уя..."  –1 +/
Сообщение от Аноним (115), 06-Янв-24, 14:04 
Ох лол, это же просто опечатка. Просто залетная мысль была про аэро костюмы в которых с гор прыгают.
Типа такого. Эх надо писать пост в один присест.

https://www.youtube.com/watch?v=-C_jPcUkVrM&pp=ygUSanVtcCBmc...

Ответить | Правка | Наверх | Cообщить модератору

56. "Проблемы из-за подготовленных AI-инструментами отчётов об уя..."  +/
Сообщение от Аноним (25), 06-Янв-24, 02:13 
> Толком не разобрались что значит быть людьми, а уже "почти нашли" людям замену.

Ну, вообще-то как бы и не стоит задачи "разбираться, что значить быть людьми" или "заменять людей". Стоит задача устранить работников на дядю.

Ответить | Правка | К родителю #46 | Наверх | Cообщить модератору

58. "Проблемы из-за подготовленных AI-инструментами отчётов об уя..."  +/
Сообщение от Аноним (58), 06-Янв-24, 02:32 
Эээ, не подсказывайте им! А то они не только уязвимости в курле майнить будут, но и в медицину пойдут, представьте сколько денег надо будет заплатить хозяину ИИ за найденные "уязвимости" в теле.
Ответить | Правка | Наверх | Cообщить модератору

63. "Проблемы из-за подготовленных AI-инструментами отчётов об уя..."  +/
Сообщение от Аноним (103), 06-Янв-24, 03:39 
Как будто живые сотрудники с этим плохо справляются.
Как говорят американские врачи: "сколько бы у вас ни было денег — вы отдадите нам их все".
Ответить | Правка | Наверх | Cообщить модератору

75. "Проблемы из-за подготовленных AI-инструментами отчётов об уя..."  +/
Сообщение от Аноним (27), 06-Янв-24, 07:19 
Какие американские врачи это говорили?
Ответить | Правка | Наверх | Cообщить модератору

138. "Проблемы из-за подготовленных AI-инструментами отчётов об уя..."  +/
Сообщение от Curl (?), 07-Янв-24, 09:40 
У него в голове голоса врачей постоянно такое говорят: "Деньги, деньги давай!"
Ответить | Правка | Наверх | Cообщить модератору

60. "Проблемы из-за подготовленных AI-инструментами отчётов об уя..."  +3 +/
Сообщение от kusb (?), 06-Янв-24, 02:58 
Офигеть, это же закон Гудхарта - "когда мера становится целью она перестаёт быть хорошей мерой"
Ответить | Правка | Наверх | Cообщить модератору

68. "Проблемы из-за подготовленных AI-инструментами отчётов об уя..."  +/
Сообщение от Аноним (68), 06-Янв-24, 05:51 
Мы то думали, что ИИ уконтропупит человечество по сценарию фильма терминатор, а оказавается человечество просто заболтают до смерти :)
Ответить | Правка | Наверх | Cообщить модератору

76. "Проблемы из-за подготовленных AI-инструментами отчётов об уя..."  +/
Сообщение от Аноним (27), 06-Янв-24, 07:21 
Уконтропупит, не волнуйся, просто подожди, когда военные до ей доберутся. Про Станислава Петрова уже забыли?
Ответить | Правка | Наверх | Cообщить модератору

90. "Проблемы из-за подготовленных AI-инструментами отчётов об уя..."  +/
Сообщение от Anonymous1 (?), 06-Янв-24, 10:23 
В смысле - когда? Военные это всё спонсируют.
Ответить | Правка | Наверх | Cообщить модератору

89. "Проблемы из-за подготовленных AI-инструментами отчётов об уя..."  +/
Сообщение от Anonymous1 (?), 06-Янв-24, 10:22 
Проблемы из-за подготовленных AI-инструментами отчётов о чём угодно.

Недавно был скандал, судья вписал бессмысленный ии бред в приговор. Смысл тот же.

Ответить | Правка | Наверх | Cообщить модератору

106. "Проблемы из-за подготовленных AI-инструментами отчётов об уя..."  +/
Сообщение от Аноним (106), 06-Янв-24, 12:08 
Эти отчёты сами по себе не подготавливаются. Их "делает" ферма индусов. У них даже есть официальные решения для энтерпрайза, с подпиской и блэкджеком, где находят подобные уязвимости и получают баунти.
Раньше они пугали обычных юзеров попапами, но тут подвернулась гениальная идея - во главе огромных компаний сидят абсолютно такие-же обычные юзеры!
Ответить | Правка | Наверх | Cообщить модератору

104. "Проблемы из-за подготовленных AI-инструментами отчётов об уя..."  +1 +/
Сообщение от Аноним (106), 06-Янв-24, 11:51 
Мусорные отчёты уязвимостей это весь т.н. "infosec". Запугивание мнимыми угрозами безопасности и изображение бурной деятельности по их устранению стали уже нормой в IT. На этом создана целая индустрия техно-шарлатанства.
Ответить | Правка | Наверх | Cообщить модератору

123. "Проблемы из-за подготовленных AI-инструментами отчётов об уя..."  +/
Сообщение от Аноним (123), 06-Янв-24, 17:35 
Скажи спасибо императивным язычкам и в целом фон неймановскому мракобесию, не допускающим автоматической верификации.
Ответить | Правка | Наверх | Cообщить модератору

133. "Проблемы из-за подготовленных AI-инструментами отчётов об уя..."  +/
Сообщение от _ (??), 06-Янв-24, 22:38 
Ты это пишешь на "фон неймановском" железе,  на софте сделанном на "императивных язычках"(r) а не на своей "автоматически верифицрованной" палке-копалке :)

Фон Нейман - сделал. Императивщики - сделали.
Ты - пос***л на форуме.
Классика жанра: "Ах Моська! ..."(С) :-)

Ответить | Правка | Наверх | Cообщить модератору

105. "Проблемы из-за подготовленных AI-инструментами отчётов об уя..."  +/
Сообщение от Аноним (106), 06-Янв-24, 11:56 
"попытка уточнить ... привела к получению подробных, но не несущих дополнительной информации, пояснений, которые лишь разжёвывали очевидные общие причины возникновения переполнения буфера, не связанные с конкретным кодом Curl"

AI обучался на лучших примерах индийского тех-саппорта?

Ответить | Правка | Наверх | Cообщить модератору

124. "Проблемы из-за подготовленных AI-инструментами отчётов об уя..."  +2 +/
Сообщение от Вы забыли заполнить поле Name (?), 06-Янв-24, 17:48 
Теперь нужен другой AI, который будет фильтровать такие репорты, примерно как спам в почте.
Ответить | Правка | Наверх | Cообщить модератору

134. "Проблемы из-за подготовленных AI-инструментами отчётов об уя..."  +1 +/
Сообщение от _ (??), 06-Янв-24, 22:46 
Да.
И кто первый сделает - озолотится.
Это по опыту создания анти спам дважка для e-mail 20 лке назад.

Кстати если AI заставить переписываться друг с другом ... Ынтернетам придёт ***зда :(
Надо готовить надпись над заведением: "Только для людей!" :)))

Ответить | Правка | Наверх | Cообщить модератору

143. "Проблемы из-за подготовленных AI-инструментами отчётов об уя..."  +/
Сообщение от Аноним (143), 09-Янв-24, 06:51 
Ответ Вам и предыдущему коллеге:

Коллапс искусственного интеллекта - деградация модели искусственного интеллекта (ИИ), возникающая в результате обучения на искусственных данных, сгенерированных самим ИИ.

До финиша 8 обычно тактов такого обучения. Потом или полный вздор, или:

Галлюцинация ИИ - вымышленный ответ бота, не имеющий отношения к действительности.

Ответить | Правка | К родителю #124 | Наверх | Cообщить модератору

137. "Проблемы из-за подготовленных AI-инструментами отчётов об уя..."  +/
Сообщение от Аноним (137), 07-Янв-24, 07:30 
Нейросети и ИИ это совершенно разные вещи. Но тем не менее нейросети называют ИИ. Происходит подмена понятий, типичная современная ложь называемая "повестка". А значит это все сознательная диверсия.
Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру