Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Изначальное сообщение		[ Отслеживать ]

"AI-модель Claude Opus 4.6 выявила более 500 ранее неизвестных уязвимостей"	+/–
Сообщение от opennews (ok), 08-Фев-26, 12:02
Компания Anthropic объявила о расширении в AI-модели Claude Opus 4.6 возможностей по поиску уязвимостей в коде и поделилась результатами эксперимента, в ходе которого выявлено более 500 ранее неизвестных (0-day) уязвимостей в последних версиях различных открытых проектов. Работа была сфокусирована на поиске уязвимостей, вызванных  проблемами при работе с памятью, так как их наличие проще проверить. Всем выявленным уязвимостям присвоен высокий уровень опасности. Каждая уязвимость была вручную проверена  и подтверждена сотрудниками Anthropic или привлечёнными внешними исследователями безопасности... Подробнее: https://www.opennet.ru/opennews/art.shtml?num=64760
Ответить | Правка | Cообщить модератору

Сообщения

[Сортировка по ответам | RSS]

2. Сообщение от Аноним (2), 08-Фев-26, 12:03	+3 +/–
> так как ныне выделяемых на исправление 90-дней будет недостаточно. а патчи чего не написали сразу же этой нейронкой?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #4, #7, #50

4. Сообщение от Аноним (-), 08-Фев-26, 12:05	–3 +/–
А зачем? Сначала можно воспользоваться, а потом уже исправить.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2 Ответы: #47

5. Сообщение от Аноним (5), 08-Фев-26, 12:07	+/–
Это становится опасно.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #11, #12, #17, #20

6. Сообщение от Аноним (6), 08-Фев-26, 12:11	+/–
Пруфов нет. Эти 500 уязвимостей где посмотреть?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #8

7. Сообщение от Аноним (7), 08-Фев-26, 12:17	+5 +/–
Нейросети умеют читать лучше анонимов с опеннета, это факт. В новости прямым текстом сказано, что патчи подготовили (причем вручную проверили) и отправили, а тут речь идет о будущем, в котором поток подобных багрепортов может вырасти в разы. Патчи нейронкой, конечно, пишутся, но проверять их все равно будет мясной интеллект
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2 Ответы: #18, #25

8. Сообщение от Аноним (11), 08-Фев-26, 12:18	+1 +/–
>We've begun reporting them and are seeing our initial patches land, and we’re continuing to work with maintainers to patch the others. https://red.anthropic.com/2026/zero-days/
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #6

9. Сообщение от Мемоним (?), 08-Фев-26, 12:21	+1 +/–
> вызов функции gs_type1_blend без проверки корректности значений Вот интересно, если код на цешечке обвесить всеми необходимыми проверками на границы, значения, нулевые ссылки и т.п. насколько "самый быстрый язык для системного программирования" станет медленнее Джавы?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #10, #13

10. Сообщение от Аноним (10), 08-Фев-26, 12:23    Скрыто ботом-модератором	+1 +/–
> код на цешечке обвесить всеми необходимыми проверками на границы, значения, нулевые ссылки Зачем? Погромист же сказал "мамой клянусь, тут не будет null!". Неужели мы не поверим проФФесионалу?))
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #9

11. Сообщение от Аноним (11), 08-Фев-26, 12:28	–4 +/–
Но впечатляет: https://www.anthropic.com/engineering/building-c-compiler
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5 Ответы: #35

12. Сообщение от Facemaker (?), 08-Фев-26, 12:28	+/–
Зато сишники воспрянут духом: можно сажать сколько угодно уязвимостей, надеясь, что потом нейронка выловит ☺.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5 Ответы: #42

13. Сообщение от kusb (?), 08-Фев-26, 12:29	+/–
Они лолжны были быть в процессоре. Наверное. Хотя звучит как жуткая архитектура.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #9 Ответы: #16, #46

14. Сообщение от User (??), 08-Фев-26, 12:30	+3 +/–
Чот прям ураганная неделя на opennet: Клава ищет уязвимости (Помогите-девочке найти ошибки в сишном коде), в ядро предлагают запихнуть лылымы, лылымы написала кнопелятор на rust'е (И он даже работает!), ненужное-ненужно перевели не ненужно - хучь на emacs переходи (Но денег на подписку JB все одно нет - так что в следующий раз обязательно), Почти-Последний-Оплот продался сОтоне-поттерингу и lfs теперь вот тоже ой; в пресвятой жит уже почти (Но все еще не совсем, или, по крайней мере, не очень глубоко) занесли ржавчину - корутильки добрали еще немного тестов (Гнутые с сокращением дистанции работают - но боюсь, не с требуемой скоростью: придумывать, какую бы еще нескучную опцию добавить в команду date - это вам не на другой язык переписывать!) - оплот интернетной свободы (by NSA) и тот вот - сами знаете на что ПЕРЕПИСАЛИ! Один только лучик света в темном царстве - к Хурду соли завезли. В общем, нельзя так с ЭКСПЕРТАМИ. Не хорошо. Давайте на следующей неделе таких вот новостей - не публиковать, а? Можно даже праздничный релиз какого-нибудь CDE выпустить - или если "лапки" то хотя бы кнопку fork в KDE2 нажать...
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #27, #31

15. Сообщение от Аноним (15), 08-Фев-26, 12:31	–1 +/–
Оно работает? Тогда все эти "уязвимости" ниипут.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #23

16. Сообщение от Мемоним (?), 08-Фев-26, 12:37	–2 +/–
Мне кажется мир был бы чуточку безопаснее, если бы транзисторный бюджет процессоров тратили на реализацию высокоуровневых абстракций, а не вечно текущие кеши и спекуляции.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #13 Ответы: #24

17. Сообщение от пэпэ (?), 08-Фев-26, 12:40	+/–
Поэтому и нужны ЯП с гарантиями. Это же гонка вооружений - сетками сейчас будут всё больше находить уязвимости, причем не только добренькие исследователи. Си объективно не готов в этой гонке участвовать.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5 Ответы: #26

18. Сообщение от Аноним (18), 08-Фев-26, 12:40    Скрыто ботом-модератором	+1 +/–
а у комментатора мясной или кожаный интеллект?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #7

19. Сообщение от Аноним (19), 08-Фев-26, 12:44    Скрыто ботом-модератором	+/–
А если её саму на себя натравить поискать уязвимости в самой себе с возможностью самоисправления, в т.ч. логики? Ггггг
Ответить | Правка | Наверх | Cообщить модератору

20. Сообщение от Маяковский (?), 08-Фев-26, 12:45	+/–
Пятьсот дыр нашёл — и это лишь начало! Claude с фаззером — такого не бывало! ИИ и код — и это коммунизм! Влейте в открытый софт нейронный оптимизм!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5

21. Сообщение от нах. (?), 08-Фев-26, 12:54	+1 +/–
но в этот раз что-то постенснялись озвучить сумму, которую заплатил бы потусторонний васян за такое "исследование". Ну ок, ок, хайпогенерация крутится, лавешка мутится.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #22, #52

22. Сообщение от пэпэ (?), 08-Фев-26, 12:58	+/–
А нафига потустороннему Васяну сканить сотни открытых проектов?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #21 Ответы: #54

23. Сообщение от Аноним (24), 08-Фев-26, 13:01    Скрыто ботом-модератором	+/–
Вот да. OpenSSL же работал и ниипло никого.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #15

24. Сообщение от Аноним (24), 08-Фев-26, 13:06	+3 +/–
Ага, давайте перенесём дыры из софта (где их можно оперативно заделать) в железо. Великолепный план. Надёжный, как швейцарские часы.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #16 Ответы: #28

25. Сообщение от мясной интеллек (?), 08-Фев-26, 13:06	+/–
XEP вам! Не буду я за ыы горшки выносить! Ищите л-в в Бангалоре (ух они вам напроверяют!)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #7

26. Сообщение от xPhoenix (ok), 08-Фев-26, 13:11	+/–
!!!SARCASM!!! Вы просто ненавидите всё сишное и не умеете на C писать безопасно.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #17 Ответы: #34

27. Сообщение от xPhoenix (ok), 08-Фев-26, 13:12	+/–
Зачем вам Emacs? Подумайте дважды. Это я вам как автор книги про него говорю. 🤣
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #14 Ответы: #40

28. Сообщение от Аноним (28), 08-Фев-26, 13:14	+/–
Возможно софт для железа нужно делать надежным? Ну там не используовать недоязыки из прошлого тысячелетия или проводить формальную верификацицю? Та не, бред какой-то! (с)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #24 Ответы: #38, #44

29. Сообщение от онанист (?), 08-Фев-26, 13:23	+1 +/–
и какой процент ложного детектирования?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #32

30. Сообщение от Аноним (-), 08-Фев-26, 13:24	+1 +/–
Это конечно хорошо, но тема не раскрыта. Сколько ложных срабатываний было? Сколько времени привлеченные кожаные эксперты потратили времени, чтобы отсеять ложные уязвимости? Без этой статистики это просто наброс, ибо в реальном проектах будет ситуация как с мальчиком кричащим "волк".
Ответить | Правка | Наверх | Cообщить модератору

31. Сообщение от Аноним (31), 08-Фев-26, 13:25	+/–
Добро пожаловать в будущее которые мы заслужили.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #14 Ответы: #36

32. Сообщение от Аноним (31), 08-Фев-26, 13:26	–1 +/–
Ты уже дале не знаешь как докопаться до ИИ.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #29

33. Сообщение от Аноним (33), 08-Фев-26, 13:32	+3 +/–
А эта штука правильно определяет ситуацию, когда в коде ничего не проверяется просто чтобы не плодить лишний код, ибо оно проверяется где-то выше, а сюда приходит уже проверенное?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #39, #57

34. Сообщение от Аноним (34), 08-Фев-26, 13:32	+/–
И в LLVM закладки, вот! GCC я, конечно, не проверял.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #26

35. Сообщение от дохтурЛол (?), 08-Фев-26, 13:38	+/–
нет, пока не впечатляет та новость в одних местах подаётся как сенсация, а на технических форумах - её разносят в пух и прах: нейронка была обучена на c компиляторе и код, который она высрала странным образом почти совпадает
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #11 Ответы: #59

36. Сообщение от User (??), 08-Фев-26, 13:40	+/–
"Позабыты хлопоты, остановлен бег..." - этот день мы приближали как могли!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #31

37. Сообщение от nw (?), 08-Фев-26, 13:45	+1 +/–
К сожалению, в статье не нашел более развернутой информации, которая могла бы говорить об эффективности ии. Например, сколько этот самый ии нашел всего "уязвимостей", которые пометил как критичные, а не деле ими не являлись.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #41, #64

38. Сообщение от Аноним (24), 08-Фев-26, 13:52	+2 +/–
Возможно, вообще софт нужно делать надёжным?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #28

39. Сообщение от Аноним (39), 08-Фев-26, 13:54	+/–
> strrchr и strcat > strcpy в curl Есть ощущение, что гадание происходит всё так же на кофейной гуще. ЛЛМки без дополнительных обвязок в виде всё тех же инструментов (статических анализаторов, фаззинг и т.д.) нейрослопогенераторки только показывают невероятный расизм по отношению к функциям из libc.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #33

40. Сообщение от User (??), 08-Фев-26, 13:55	+/–
Ээээ... вообще низачем и ни для чего. Нет, по молодости годиков пять просогрешАл с vim'ом - но, по счастью, попустило - сижу на JB intellij, доволен. Ни на винде, ни на mac'е wayland не чешется, держу в курсе.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #27

41. Сообщение от User (??), 08-Фев-26, 13:59	–2 +/–
Ну, я предпоалагаю, что достаточно найти 1 (ОДНУ) в каком-нибудь openssl чтобы окупить примерно ВООБЩЕ ВСЕ ЧТО УГОДНО.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #37 Ответы: #60

42. Сообщение от Аноним (42), 08-Фев-26, 13:59	+/–
>Зато сишники воспрянут духом: можно сажать сколько угодно уязвимостей Да, за что боролись на то и напоролись - Руст больше не нужен!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #12

43. Сообщение от Аноним (43), 08-Фев-26, 13:59	+1 +/–
Жду не дождусь, когда за программистами, которые сами рубили под собой сук, следом поувольняют HR'ов. Представьте только как вырастет конкуренция сосателей с ночными бабочками, наверное даже цены пойдут вниз. avatars.mds.yandex.net/i?id=b5c21e5d7d6c2f0c9fa2983c73db30a967450ba9-5235948-images-thumbs&n=13
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #49

44. Сообщение от Аноним (44), 08-Фев-26, 14:01	–2 +/–
К сожалению, безопасных языков до сих пор нет.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #28 Ответы: #58

45. Сообщение от Аноним (45), 08-Фев-26, 14:01	+/–
Ну че, когда этой модеди дадут возможность модифицмровать и улучшать свой код, круг замкнется и все, прмвет приплыли.
Ответить | Правка | Наверх | Cообщить модератору

46. Сообщение от Ананоним (?), 08-Фев-26, 14:05	+/–
Я подозреваю что в процессоре это есть, но просто из-за устоявшейся "удобной" модели языков программирования это не используется.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #13

47. Сообщение от Аноним (47), 08-Фев-26, 14:08	+/–
То есть если я сейчас в рамках своей работы (надо на чём-то потренироваться, опробовать, потестировать) или чисто на энтузиазме посмотрю чей-то открытый репозиторий и найду баг и расскажу о нем автору, то я сразу мудак? Ведь я сделал за автора только половину работы нахаляву - выявил. А фиксить не стал. И почему ты думаешь, что продать уязвимость в каком-то обработчике картинок (там 100500 уязвимостей) для них выгоднее, чем распиарить свой продукт?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4

48. Сообщение от Честный Советский Человек (-), 08-Фев-26, 14:09	+1 +/–
Главный вопрос: сколько миллионов токенов было использовано и сколько десятков/сотен тысяч баксов это все стоило? Цены API для Opus нагуглите сами.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #51, #55

49. Сообщение от Честный Советский Человек (-), 08-Фев-26, 14:11    Скрыто ботом-модератором	+1 +/–
В нашем офисе эйчарш начали увольнять ещё до начала всего этого хайпа с ИИ. Где-то в году 2019 по причине ненужности.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #43

50. Сообщение от Bob (??), 08-Фев-26, 14:11	+/–
>Чтобы помочь сопровождающим в ходе проведённой проверки вручную были разработаны патчи для исправления выявленных проблем.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2

51. Сообщение от Аноним (43), 08-Фев-26, 14:14	+/–
так мы за ценой не постоим. чего только не сделаешь, лишь бы нас побыстрее уволили
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #48

52. Сообщение от Bob (??), 08-Фев-26, 14:15	+/–
Васян по bug bounty работает, а маркетологи Antropic посчитали: таким макаром хайпа будет больше и продать подписку проще. Одним выстрелом - жену и тёщу)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #21

53. Сообщение от Аноним (53), 08-Фев-26, 14:17	+/–
Скоро ИИшки будут находить уязвимость в кожаных мешках. Внимание, найдена уязвимость! Исправить не могу, выбрано действие - уничтожить носителя уязыимости!
Ответить | Правка | Наверх | Cообщить модератору

54. Сообщение от Аноним (59), 08-Фев-26, 14:25	+/–
А он тоже не понимает, нафига - ему главное в опеннетных комментариях срывать прокровы с "хайпожоров".
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #22

55. Сообщение от Аноним (59), 08-Фев-26, 14:27	+/–
> Главный вопрос: сколько миллионов токенов было использовано и сколько десятков/сотен тысяч баксов это все стоило? Думаешь, люди бы это сделали дешевле и быстрее? 🤣
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #48 Ответы: #61

57. Сообщение от Аноним (59), 08-Фев-26, 14:33	+/–
> А эта штука правильно определяет ситуацию, когда в коде ничего не проверяется просто чтобы не плодить лишний код, ибо оно проверяется где-то выше, а сюда приходит уже проверенное? Если код ломается внешними файлами, то куда уже "выше" проверять? Или вы новость не читали? "модель подобрала содержимое файла, обработка которого приводила к аварийному завершению" "AI-модель смогла сформировать GIT-файл, обработка которого привела к переполнению буфера"
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #33

58. Сообщение от Аноним (59), 08-Фев-26, 14:34	+/–
Есть.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #44

59. Сообщение от Аноним (59), 08-Фев-26, 14:36	+/–
> на технических форумах - её разносят в пух и прах: нейронка была обучена на c компиляторе и код, который она высрала странным образом почти совпадает Эмм... И в чем тут заключается "разнос"?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #35

60. Сообщение от Аноним (60), 08-Фев-26, 14:42	+/–
Ты бредишь. Да и не стоит забывать, что уязвимости, подобные heartbleed, не сами по себе образовались в коде. Кто-то их туда положил. Их исправление не в интересах спонсоров. А не будет спонсоров, не будет разработки.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #41 Ответы: #63

61. Сообщение от Честный Советский Человек (-), 08-Фев-26, 14:43    Скрыто ботом-модератором	+/–
Хочешь сказать, кожаные мешки больше не нужны? ОК, так и запишем.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #55

63. Сообщение от User (??), 08-Фев-26, 14:47	+/–
> Ты бредишь. Да и не стоит забывать, что уязвимости, подобные heartbleed, не > сами по себе образовались в коде. Кто-то их туда положил. Их > исправление не в интересах спонсоров. А не будет спонсоров, не будет > разработки. Эээээ... а кто говорит об "исправлении"?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #60

64. Сообщение от Честный Советский Человек (-), 08-Фев-26, 14:50    Скрыто ботом-модератором	+/–
Опус (gpt 5.2  тоже) уже справляется с поиском багов, на порядок лучше чем год назад. А что будет через 5 лет...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #37

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема