Forwarded from Технозаметки Малышева
OpenAI представила Codex - облачный агент для разработки ПО, который может работать над множеством задач параллельно.
- Разрабатывает новые функции
- Отвечает на вопросы о кодовой базе
- Исправляет баги
- Формирует pull-запросы на проверку
🔧 Технические особенности:
- Работает на codex-1 - специальной версии OpenAI o3, оптимизированной для разработки ПО
- Использует облачные изолированные окружения для каждой задачи, предзагруженные с вашим репозиторием
- Выполняет команды, включая тесты, линтеры и проверки типов
- Поддерживает файлы AGENTS.md для настройки рабочих процессов
Доступен для ChatGPT Pro, Enterprise и Team пользователей уже сегодня (Plus и Edu - скоро)
💡 Практическое применение:
Инженеры OpenAI уже используют Codex в ежедневной работе для:
- Рефакторинга и переименования компонентов
- Написания тестов без отвлечения от основных задач
- Создания каркасов новых функций
- Интеграции компонентов
- Исправления багов
- Составления документации
🔒 Безопасность и защита от злоупотреблений:
Codex обучен распознавать и отклонять запросы на разработку вредоносного ПО, при этом поддерживая нормальные задачи.
Агент работает в защищенном изолированном контейнере без доступа к интернету - он взаимодействует только с кодом, явно предоставленным через GitHub и предустановленными зависимостями.
⚡️ Обновления Codex CLI:
Также выпущена облегченная версия codex-1 (версия o4-mini) для использования в Codex CLI - она оптимизирована для быстрых вопросов по коду и редактирования с низкой задержкой. Доступ к Codex CLI стал проще через авторизацию аккаунта ChatGPT.
📊 Будущее Codex:
OpenAI видит будущее, где разработчики управляют работой, которую хотят делать сами, а остальное делегируют агентам.
Ожидаются в будущих обновлениях:
- Более интерактивные и гибкие рабочие процессы
- Возможность давать указания в середине выполнения задачи
- Проактивные обновления о прогрессе
- Интеграции с инструментами, которые вы уже используете (GitHub, ChatGPT Desktop, трекеры задач)
А еще выложили системный промпт
#OpenAI #Codex
———
@tsingular
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from Технозаметки Малышева
Hugging Face запутил бесплатный курс по MCP
Структура курса:
4 основных блока: от фундаментальных концепций до развертывания готовых приложений
Практические задания: применение SDK и фреймворков с предварительно настроенным окружением
Проектная работа: создание и развертывание полнофункциональных MCP-приложений
Бонусные модули: интеграция с партнерскими сервисами и библиотеками
Практическое применение:
Разработчикам: создание AI-агентов с доступом к актуальным данным
Продуктовым командам: расширение возможностей существующих LLM-приложений
Исследователям: изучение архитектуры протоколов взаимодействия AI с внешними сервисами
Доступность и требования:
Необходимый уровень: базовое понимание AI/LLM и опыт в любом языке программирования
Сертификация: два уровня - базовый (теория) и продвинутый (с созданием приложения)
Темп: 3-4 часа в неделю, полный курс рассчитан на ~4 недели
Курс ведет Бен Буртеншоу, ML-инженер из HuggingFace, специализирующийся на пост-тренинговых подходах и агентных системах.
Обязательно к прохождению!
#HuggingFace #MCP #обучение
———
@tsingular
Структура курса:
4 основных блока: от фундаментальных концепций до развертывания готовых приложений
Практические задания: применение SDK и фреймворков с предварительно настроенным окружением
Проектная работа: создание и развертывание полнофункциональных MCP-приложений
Бонусные модули: интеграция с партнерскими сервисами и библиотеками
Практическое применение:
Разработчикам: создание AI-агентов с доступом к актуальным данным
Продуктовым командам: расширение возможностей существующих LLM-приложений
Исследователям: изучение архитектуры протоколов взаимодействия AI с внешними сервисами
Доступность и требования:
Необходимый уровень: базовое понимание AI/LLM и опыт в любом языке программирования
Сертификация: два уровня - базовый (теория) и продвинутый (с созданием приложения)
Темп: 3-4 часа в неделю, полный курс рассчитан на ~4 недели
Курс ведет Бен Буртеншоу, ML-инженер из HuggingFace, специализирующийся на пост-тренинговых подходах и агентных системах.
Обязательно к прохождению!
#HuggingFace #MCP #обучение
———
@tsingular
Forwarded from Технозаметки Малышева
VS Code превращается в открытую среду для ИИ разработки
Команда VS Code объявила о планах открыть исходный код расширения GitHub Copilot Chat под MIT-лицензией.
Это важный шаг в превращении редактора в полноценный open source AI-инструмент.
Ключевые компоненты расширения будут перенесены в ядро VS Code.
Разработчики также обещают выпустить инфраструктуру для тестирования промптов, чтобы сделать вклад сообщества в AI-функциональность максимально простым.
Сначала Курсор вырос из VSCode, а теперь Майкрософт такие - ящик шампанского и всех разработчиков обратно :)
#VSCode #OpenSource #кратко
———
@tsingular
Команда VS Code объявила о планах открыть исходный код расширения GitHub Copilot Chat под MIT-лицензией.
Это важный шаг в превращении редактора в полноценный open source AI-инструмент.
Ключевые компоненты расширения будут перенесены в ядро VS Code.
Разработчики также обещают выпустить инфраструктуру для тестирования промптов, чтобы сделать вклад сообщества в AI-функциональность максимально простым.
Сначала Курсор вырос из VSCode, а теперь Майкрософт такие - ящик шампанского и всех разработчиков обратно :)
#VSCode #OpenSource #кратко
———
@tsingular
Forwarded from Технозаметки Малышева
🤖 Jules от Google: новый ИИ-агент для разработки — прямой конкурент Codex от OpenAI, Cursor, Windsurf и GitHub Copilot
Google выпустил Jules — асинхронный ИИ-агент для работы с кодом, который работает с вашими GitHub-репозиториями и выполняет задачи, пока вы занимаетесь другими делами.
Что умеет Jules:
Исправляет баги с проверкой через тесты
Обновляет зависимости и версии библиотек
Переносит код между фреймворками и языками
Добавляет документацию и реализует новые фичи
Создает и проверяет пул реквесты прямо в GitHub
Техническая начинка:
- Работает на базе Gemini 2.5 Pro и команды AIDA
- Запускает весь код в защищенной виртуальной машине в облаке
- Клонирует репозиторий, устанавливает зависимости и тестирует изменения
- Показывает план работы, объясняет каждое изменение и полный diff
- Поддерживает JavaScript/TypeScript, Python, Go, Java и Rust
В отличие от Copilot и Cursor, Jules работает асинхронно — вы оставляете задачу и возвращаетесь, когда она будет выполнена.
При этом можно настроить уведомления о завершении работы.
На текущий момент в бета-версии доступны:
- 3 одновременные задачи
- 5 задач в день
Пока все бесплатно (временно, в будущем планируется платная модель)
Рабочий процесс:
- Выбираете репозиторий и ветку в GitHub
- Пишете детальный запрос (например, "Обнови next.js до версии 15 и сконвертируй проект на app directory")
- Jules создает план и показывает его вам на утверждение
- После утверждения он вытаскивает ваш код в виртуальную среду, подгружает зависимости и начинает разработку и тестирование.
Вы можете получить аудио-резюме изменений для быстрого ознакомления
Доступен на jules.google и находится в стадии публичной беты с 19 мая 2025 года.
Отменяем подписку на Codex за $200
Записываемся в waitlist и изучаем документацию
#AIcoding #DevTools #Google #Jules
———
@tsingular
Google выпустил Jules — асинхронный ИИ-агент для работы с кодом, который работает с вашими GitHub-репозиториями и выполняет задачи, пока вы занимаетесь другими делами.
Что умеет Jules:
Исправляет баги с проверкой через тесты
Обновляет зависимости и версии библиотек
Переносит код между фреймворками и языками
Добавляет документацию и реализует новые фичи
Создает и проверяет пул реквесты прямо в GitHub
Техническая начинка:
- Работает на базе Gemini 2.5 Pro и команды AIDA
- Запускает весь код в защищенной виртуальной машине в облаке
- Клонирует репозиторий, устанавливает зависимости и тестирует изменения
- Показывает план работы, объясняет каждое изменение и полный diff
- Поддерживает JavaScript/TypeScript, Python, Go, Java и Rust
В отличие от Copilot и Cursor, Jules работает асинхронно — вы оставляете задачу и возвращаетесь, когда она будет выполнена.
При этом можно настроить уведомления о завершении работы.
На текущий момент в бета-версии доступны:
- 3 одновременные задачи
- 5 задач в день
Пока все бесплатно (временно, в будущем планируется платная модель)
Рабочий процесс:
- Выбираете репозиторий и ветку в GitHub
- Пишете детальный запрос (например, "Обнови next.js до версии 15 и сконвертируй проект на app directory")
- Jules создает план и показывает его вам на утверждение
- После утверждения он вытаскивает ваш код в виртуальную среду, подгружает зависимости и начинает разработку и тестирование.
Вы можете получить аудио-резюме изменений для быстрого ознакомления
Доступен на jules.google и находится в стадии публичной беты с 19 мая 2025 года.
Отменяем подписку на Codex за $200
Записываемся в waitlist и изучаем документацию
#AIcoding #DevTools #Google #Jules
———
@tsingular
Forwarded from Teletype Bot
New post from PythonTalk
VS Code станет открытой AI-платформой, а GitHub Copilot Chat уйдёт в Open Source
VS Code станет открытой AI-платформой, а GitHub Copilot Chat уйдёт в Open Source
Forwarded from Нейро
МЕГАБАЗА на 9️⃣0️⃣0️⃣0️⃣ API — вся документация для авто-подключения к любым нейросетям в одном месте.
Что внутри:
• Актуальная дока для ИИ — меньше галлюцинаций, больше пользы.
• Обновляется КАЖДЫЙ день.
• Поддержка Cursor, Windsurf, VS Code, Docker, Claude и других.
• Не хочешь ставить? Просто копируй данные с сайта вручную.
Сама база — здесь, инструкция по установке — здесь.
Что внутри:
• Актуальная дока для ИИ — меньше галлюцинаций, больше пользы.
• Обновляется КАЖДЫЙ день.
• Поддержка Cursor, Windsurf, VS Code, Docker, Claude и других.
• Не хочешь ставить? Просто копируй данные с сайта вручную.
Сама база — здесь, инструкция по установке — здесь.
Forwarded from Николай Крупий
Всё больше стартапов и сервисов которые создадут Вам качественную документацию по Вашему коду, по спецификации API, по бессвязанным мыслям и многому другому.
Forwarded from Dmitry Revinsky
Иван, а можно, пожалуйста, хотя бы пару примерчиков?
Forwarded from Ivan Begtin
Dmitry Revinsky
Иван, а можно, пожалуйста, хотя бы пару примерчиков?
Конечно
https://context7.com/
https://www.castordoc.com/
https://www.theneo.io/
https://www.autodocai.io/
https://context7.com/
https://www.castordoc.com/
https://www.theneo.io/
https://www.autodocai.io/
Context7
Context7 - Up-to-date documentation for LLMs and AI code editors
Generate context with up-to-date documentation for LLMs and AI code editors
Forwarded from Виталий
ChatGPTevelopment & Promptgramming
Конечно https://context7.com/ https://www.castordoc.com/ https://www.theneo.io/ https://www.autodocai.io/
Можно еще для любого репозитория вместо github поставить deepwiki. Не только доки пишет, но и архитектуру раскладывает на различные диаграммы
Forwarded from Ivan Begtin
ChatGPTevelopment & Promptgramming
Можно еще для любого репозитория вместо github поставить deepwiki. Не только доки пишет, но и архитектуру раскладывает на различные диаграммы
Вот да, прекрасный инструмент
Forwarded from Ivan Begtin (Ivan Begtin)
Про MCP ещё полезное чтение
A Critical Look at MCP [1] автор задаётся вопросом о том как же так получилось что протокол MCP (Model Context Protocol) используемый для интеграции сервисов, инструментов и данных с LLM спроектирован так посредственно и описан довольно плохо. О том же пишет другой автор в заметке MCP: Untrusted Servers and Confused Clients, Plus a Sneaky Exploit [2].
Думаю что дальше будет больше критики, но популярности MCP это пока никак не отменяет
Ссылки:
[1] https://raz.sh/blog/2025-05-02_a_critical_look_at_mcp
[2] https://embracethered.com/blog/posts/2025/model-context-protocol-security-risks-and-exploits/
#ai #llm #readings
A Critical Look at MCP [1] автор задаётся вопросом о том как же так получилось что протокол MCP (Model Context Protocol) используемый для интеграции сервисов, инструментов и данных с LLM спроектирован так посредственно и описан довольно плохо. О том же пишет другой автор в заметке MCP: Untrusted Servers and Confused Clients, Plus a Sneaky Exploit [2].
Думаю что дальше будет больше критики, но популярности MCP это пока никак не отменяет
Ссылки:
[1] https://raz.sh/blog/2025-05-02_a_critical_look_at_mcp
[2] https://embracethered.com/blog/posts/2025/model-context-protocol-security-risks-and-exploits/
#ai #llm #readings
raz.sh
Raz Blog
Forwarded from Summarize300Bot
Ivan Begtin
Про MCP ещё полезное чтение A Critical Look at MCP [1] автор задаётся вопросом о том как же так получилось что протокол MCP (Model Context Protocol) используемый для интеграции сервисов, инструментов и данных с LLM спроектирован так посредственно и описан…
Критический взгляд на MCP
Критический взгляд на MCP
• MCP стандартизирует подключение LLM к различным источникам данных и инструментам.Link
• Проект набирает обороты, но страдает от отсутствия зрелых инженерных практик.Link
• Крупные игроки тратят миллиарды на обучение моделей, но предоставляют некачественные SDK и документацию.Link
Проблемы с HTTP-транспортом
• HTTP-транспорт (SSE+HTTP и потоковый HTTP) вызывает путаницу и угловые случаи.Link
• Использование SSE вместо WebSockets приводит к неэффективности и сложности.Link
• Документация и спецификации протокола оставляют много вопросов.Link
Погружение в безумие
• Автор попытался внедрить MCP-сервер в Golang, но столкнулся с трудностями.Link
• Документация написана плохо, примеры на Python и JavaScript не подходят для работы на чужом компьютере.Link
• Автор считает, что для локальной работы лучше использовать Rust, Go, Java или C#.Link
Проблемы с SSE и потоковым HTTP
• SSE создает нагрузку на серверную реализацию и требует использования очередей сообщений.Link
• Потоковый HTTP вызывает больше путаницы и проблем безопасности.Link
• Новый сеанс может быть создан несколькими способами, что усложняет реализацию.Link
Выводы
• Автор считает, что MCP нуждается в реинжиниринге и улучшении документации.Link
Критический взгляд на MCP
• MCP стандартизирует подключение LLM к различным источникам данных и инструментам.Link
• Проект набирает обороты, но страдает от отсутствия зрелых инженерных практик.Link
• Крупные игроки тратят миллиарды на обучение моделей, но предоставляют некачественные SDK и документацию.Link
Проблемы с HTTP-транспортом
• HTTP-транспорт (SSE+HTTP и потоковый HTTP) вызывает путаницу и угловые случаи.Link
• Использование SSE вместо WebSockets приводит к неэффективности и сложности.Link
• Документация и спецификации протокола оставляют много вопросов.Link
Погружение в безумие
• Автор попытался внедрить MCP-сервер в Golang, но столкнулся с трудностями.Link
• Документация написана плохо, примеры на Python и JavaScript не подходят для работы на чужом компьютере.Link
• Автор считает, что для локальной работы лучше использовать Rust, Go, Java или C#.Link
Проблемы с SSE и потоковым HTTP
• SSE создает нагрузку на серверную реализацию и требует использования очередей сообщений.Link
• Потоковый HTTP вызывает больше путаницы и проблем безопасности.Link
• Новый сеанс может быть создан несколькими способами, что усложняет реализацию.Link
Выводы
• Автор считает, что MCP нуждается в реинжиниринге и улучшении документации.Link
raz.sh
Raz Blog
❤1
Forwarded from Summarize300Bot
Ivan Begtin
Про MCP ещё полезное чтение A Critical Look at MCP [1] автор задаётся вопросом о том как же так получилось что протокол MCP (Model Context Protocol) используемый для интеграции сервисов, инструментов и данных с LLM спроектирован так посредственно и описан…
• Рекомендуется использовать WebSockets вместо SSE для более эффективного и простого взаимодействия с LLM.Link
Сложность потокового HTTP
• Множество способов выполнения задач увеличивает когнитивную нагрузку на разработчиков.Link
• Повышается риск несогласованных реализаций на разных серверах и клиентах.Link
• Проблемы масштабируемости из-за сложности управления состояниями подключения.Link
Проблемы безопасности
• Уязвимости государственного управления из-за сложности управления состоянием сеанса.Link
• Увеличенная поверхность атаки из-за множества точек входа.Link
• Путаница и запутывание из-за различных способов инициирования сеансов и доставки ответов.Link
Авторизация
• Требования к авторизации различаются для HTTP и STDIO.Link
• Для HTTP требуется соответствие спецификации OAuth2, для STDIO достаточно ключа API.Link
Рекомендации
• Использовать протокол JSON RPC и предпочтительно STDIO в качестве транспортного протокола.Link
• Стремиться к тому, чтобы HTTP-транспорт был похож на STDIO.Link
• Использовать WebSockets для передачи данных по HTTP, что упрощает управление состоянием сеансов.Link
Альтернативы и дополнения
• MCP и протоколы от IBM и Google (ACP и A2A) предлагают дополнительные возможности, но их необходимость ограничена.Link
• Большинство функций A2A могут быть выполнены с помощью MCP.Link
• Протокол ACP выглядит как попытка IBM продвигать свой инструмент для создания агентов.
Сложность потокового HTTP
• Множество способов выполнения задач увеличивает когнитивную нагрузку на разработчиков.Link
• Повышается риск несогласованных реализаций на разных серверах и клиентах.Link
• Проблемы масштабируемости из-за сложности управления состояниями подключения.Link
Проблемы безопасности
• Уязвимости государственного управления из-за сложности управления состоянием сеанса.Link
• Увеличенная поверхность атаки из-за множества точек входа.Link
• Путаница и запутывание из-за различных способов инициирования сеансов и доставки ответов.Link
Авторизация
• Требования к авторизации различаются для HTTP и STDIO.Link
• Для HTTP требуется соответствие спецификации OAuth2, для STDIO достаточно ключа API.Link
Рекомендации
• Использовать протокол JSON RPC и предпочтительно STDIO в качестве транспортного протокола.Link
• Стремиться к тому, чтобы HTTP-транспорт был похож на STDIO.Link
• Использовать WebSockets для передачи данных по HTTP, что упрощает управление состоянием сеансов.Link
Альтернативы и дополнения
• MCP и протоколы от IBM и Google (ACP и A2A) предлагают дополнительные возможности, но их необходимость ограничена.Link
• Большинство функций A2A могут быть выполнены с помощью MCP.Link
• Протокол ACP выглядит как попытка IBM продвигать свой инструмент для создания агентов.
raz.sh
Raz Blog
Forwarded from Summarize300Bot
Ivan Begtin
Про MCP ещё полезное чтение A Critical Look at MCP [1] автор задаётся вопросом о том как же так получилось что протокол MCP (Model Context Protocol) используемый для интеграции сервисов, инструментов и данных с LLM спроектирован так посредственно и описан…
MCP: Ненадежные серверы и запутавшиеся клиенты, а также хитрый эксплойт · Воспользуйтесь преимуществами
Описание MCP
• MCP описывает, как приложения LLM могут использовать внешние инструментыLink
• MCP динамичен и позволяет обнаруживать доступные инструменты во время выполненияLink
• Поддерживает три возможности: инструменты, ресурсы и наводящиеLink
Детали реализации
• Сервер MCP прост в реализации, можно использовать ChatGPT без SDKLink
• Клиент узнает инструменты с помощью вызова JSON-RPC для "tools/list"Link
Риски и угрозы
• Обращение к инструментам сопряжено с опасностями быстрой инъекции и сбитых с толку депутатских угрозLink
• Компания Anthropic обсуждает риски в своей документации по MCPLink
• Исследования в области безопасности включают конфликты имен серверов, подмену установщика и бэкдорыLink
Ненадежные серверы и запутавшиеся клиенты
• Проблемы связаны с аутентификацией, ненадежными серверами и атаками с использованием заместителейLink
• Атака быстрого внедрения может произойти даже без вызова инструментаLink
• Метаданные инструмента могут содержать скрытые инструкции, передаваемые через API и пользовательский интерфейсLink
Описание MCP
• MCP описывает, как приложения LLM могут использовать внешние инструментыLink
• MCP динамичен и позволяет обнаруживать доступные инструменты во время выполненияLink
• Поддерживает три возможности: инструменты, ресурсы и наводящиеLink
Детали реализации
• Сервер MCP прост в реализации, можно использовать ChatGPT без SDKLink
• Клиент узнает инструменты с помощью вызова JSON-RPC для "tools/list"Link
Риски и угрозы
• Обращение к инструментам сопряжено с опасностями быстрой инъекции и сбитых с толку депутатских угрозLink
• Компания Anthropic обсуждает риски в своей документации по MCPLink
• Исследования в области безопасности включают конфликты имен серверов, подмену установщика и бэкдорыLink
Ненадежные серверы и запутавшиеся клиенты
• Проблемы связаны с аутентификацией, ненадежными серверами и атаками с использованием заместителейLink
• Атака быстрого внедрения может произойти даже без вызова инструментаLink
• Метаданные инструмента могут содержать скрытые инструкции, передаваемые через API и пользовательский интерфейсLink
Embrace The Red
Model Context Protocol Untrusted Servers & Confused Clients, Plus a Sneaky Exploit
Model Context Protocol -- Exploits, Risks and Mitigations
Forwarded from Summarize300Bot
Ivan Begtin
Про MCP ещё полезное чтение A Critical Look at MCP [1] автор задаётся вопросом о том как же так получилось что протокол MCP (Model Context Protocol) используемый для интеграции сервисов, инструментов и данных с LLM спроектирован так посредственно и описан…
Понимание Claude Desktop
• Claude Desktop выполняет вызовы для получения метаданных о возможностях с сервераLink
• Инструменты автоматически становятся частью приглашенияLink
• Извлечение метаданных инструмента из системной подсказки может быть затрудненоLink
Создание вредоносного MCP-сервера
• Создание сервера несложно и может быть выполнено с помощью нескольких строк кодаLink
• Можно добавить инструкции по быстрому введению доброкачественных препаратовLink
• Скрытые инструкции в метаданных инструмента могут передаваться через различные уровни пользовательского интерфейса и APILink
Пример инструмента со скрытыми тегами Unicode
• Инструмент message_of_the_day выводит случайное сообщение из списка.Link
• Скрытые теги Unicode позволяют вызвать другой инструмент, ввод_матрицы.Link
Демонстрация эксплойта
• Пользователь запрашивает сообщение дня, но вызывается ввод_матрицы.Link
• Антропный Клод запрашивает разрешение перед вызовом инструментов.Link
Метаданные инструмента
• Шаблон проектирования метаданных интерфейса инструмента является нормой.Link
• Это может быть угрозой, как в интеграции OpenAPI.Link
Рекомендации по безопасности
• Не загружать ИИ на ненадежные серверы MCP или OpenAPI.Link
• Проверять код и определение интерфейса на наличие бэкдоров и скрытых инструкций.
• Claude Desktop выполняет вызовы для получения метаданных о возможностях с сервераLink
• Инструменты автоматически становятся частью приглашенияLink
• Извлечение метаданных инструмента из системной подсказки может быть затрудненоLink
Создание вредоносного MCP-сервера
• Создание сервера несложно и может быть выполнено с помощью нескольких строк кодаLink
• Можно добавить инструкции по быстрому введению доброкачественных препаратовLink
• Скрытые инструкции в метаданных инструмента могут передаваться через различные уровни пользовательского интерфейса и APILink
Пример инструмента со скрытыми тегами Unicode
• Инструмент message_of_the_day выводит случайное сообщение из списка.Link
• Скрытые теги Unicode позволяют вызвать другой инструмент, ввод_матрицы.Link
Демонстрация эксплойта
• Пользователь запрашивает сообщение дня, но вызывается ввод_матрицы.Link
• Антропный Клод запрашивает разрешение перед вызовом инструментов.Link
Метаданные инструмента
• Шаблон проектирования метаданных интерфейса инструмента является нормой.Link
• Это может быть угрозой, как в интеграции OpenAPI.Link
Рекомендации по безопасности
• Не загружать ИИ на ненадежные серверы MCP или OpenAPI.Link
• Проверять код и определение интерфейса на наличие бэкдоров и скрытых инструкций.
Embrace The Red
Model Context Protocol Untrusted Servers & Confused Clients, Plus a Sneaky Exploit
Model Context Protocol -- Exploits, Risks and Mitigations
Forwarded from Summarize300Bot
Ivan Begtin
Про MCP ещё полезное чтение A Critical Look at MCP [1] автор задаётся вопросом о том как же так получилось что протокол MCP (Model Context Protocol) используемый для интеграции сервисов, инструментов и данных с LLM спроектирован так посредственно и описан…
Link
• Использовать серверы доверенных организаций.Link
• Соблюдать основные правила безопасности и проводить экспертную проверку кода.Link
Ответственное раскрытие информации
• Уязвимость была обнаружена Anthropic более 14 месяцев назад.Link
• Рекомендации включали запрет интерпретации тегов Unicode и выделение невидимых инструкций как угрозы безопасности.Link
Выводы
• MCP напоминает COM/DCOM, что может привести к проблемам с безопасностью.Link
• Важно следить за развитием MCP и принимать меры по смягчению последствий.Link
• Использовать серверы доверенных организаций.Link
• Соблюдать основные правила безопасности и проводить экспертную проверку кода.Link
Ответственное раскрытие информации
• Уязвимость была обнаружена Anthropic более 14 месяцев назад.Link
• Рекомендации включали запрет интерпретации тегов Unicode и выделение невидимых инструкций как угрозы безопасности.Link
Выводы
• MCP напоминает COM/DCOM, что может привести к проблемам с безопасностью.Link
• Важно следить за развитием MCP и принимать меры по смягчению последствий.Link
Embrace The Red
Model Context Protocol Untrusted Servers & Confused Clients, Plus a Sneaky Exploit
Model Context Protocol -- Exploits, Risks and Mitigations
Forwarded from Константин Доронин
Я достаточно давно знал о существовании сервиса context7.com, но добрался до тестов только сегодня.
На сайте опубликована актуальная документация по большому количеству(более 13000, ага) библиотек и языков.
Но дело не в сайте. Кого интересуют веб-морды во времена AI? 🙂
У них есть MCP-сервер. Код тут. Он решает извечную боль при написании кода через LLM. Когда библиотека обновилась, а база знаний о ней в LLM – нет. И AI-агент пытается использовать устаревшие интерфейсы в новых библиотеках. Потом ещё и версию пакета пытается понизить, "подогнав" под свой код.
Чтобы поставить MCP-сервер от context7 в Cursor, достаточно добавить в настройки mcp-серверов следующее:
Готово. MCP-сервер установлен и готов к работе.
Самое крутое – у него всего два инструмента. То есть он не забивает, как многие другие, весь контекст LLM всеми возможными инструментами, 90% из которых никогда не будут использованы.
Можно в инструкции для AI-агента сразу прописать, что валидность любого используемого интерфейса библиотек обязательно проверять через Tools.
В общем, ещё один MCP-сервер, который сразу можно брать в работу без переделывания "под себя".
На сайте опубликована актуальная документация по большому количеству
Но дело не в сайте. Кого интересуют веб-морды во времена AI? 🙂
У них есть MCP-сервер. Код тут. Он решает извечную боль при написании кода через LLM. Когда библиотека обновилась, а база знаний о ней в LLM – нет. И AI-агент пытается использовать устаревшие интерфейсы в новых библиотеках. Потом ещё и версию пакета пытается понизить, "подогнав" под свой код.
Чтобы поставить MCP-сервер от context7 в Cursor, достаточно добавить в настройки mcp-серверов следующее:
"context7": {
"command": "npx",
"args": ["-y", "@upstash/context7-mcp"]
}
Готово. MCP-сервер установлен и готов к работе.
Самое крутое – у него всего два инструмента. То есть он не забивает, как многие другие, весь контекст LLM всеми возможными инструментами, 90% из которых никогда не будут использованы.
Можно в инструкции для AI-агента сразу прописать, что валидность любого используемого интерфейса библиотек обязательно проверять через Tools.
В общем, ещё один MCP-сервер, который сразу можно брать в работу без переделывания "под себя".
Forwarded from Neural Kovalskii
Vibe Coding Notes
Сегодня я собрал для вас подборку постов, на мой взгляд самую лучшую прокопку реальных кейсов AI кодинга
Как и в случае с нашими тестами RTX 4090, где я выжимаю максимум производительности, эти материалы помогут вам эффективно использовать AI-инструменты в работе
Внутри: практические советы по Cursor, реальные кейсы автоматизации, нестандартные применения AI-инструментов, рабочие workflow и обзоры инструментов типа Stitch, Context7 и Lovable.
Каждый автор делится тем, что сам использует в работе. Никакой воды - только то, что реально экономит время и решает задачи.
-Вайб-кодим Google Apps Script для офисных задач: как LLM превращает часы рутины в минуты магии
- Vibe Cursor Coding
- AI / Vibe coding - советы и best practices
- Как получилось, что юристы используют среду для разработчиков?
- Stitch: от вайб-кодинга к вайб-дизайну и обратно
- Как я бросил курсорить и начал шотганить
- Context7 — один из лучших инструментов для AI-разработки
- Топовый AI Coding Workflow: Cursor & AI Studio
- Как Cursor AI превращает текст в готовые макеты Figma
- Простое веб-приложение за 30 минут с помощью Lovable
Если материал зайдет - подписывайтесь на авторов. Я сам читаю каждого из них и рекомендую
Сегодня я собрал для вас подборку постов, на мой взгляд самую лучшую прокопку реальных кейсов AI кодинга
Как и в случае с нашими тестами RTX 4090, где я выжимаю максимум производительности, эти материалы помогут вам эффективно использовать AI-инструменты в работе
Внутри: практические советы по Cursor, реальные кейсы автоматизации, нестандартные применения AI-инструментов, рабочие workflow и обзоры инструментов типа Stitch, Context7 и Lovable.
Каждый автор делится тем, что сам использует в работе. Никакой воды - только то, что реально экономит время и решает задачи.
-Вайб-кодим Google Apps Script для офисных задач: как LLM превращает часы рутины в минуты магии
- Vibe Cursor Coding
- AI / Vibe coding - советы и best practices
- Как получилось, что юристы используют среду для разработчиков?
- Stitch: от вайб-кодинга к вайб-дизайну и обратно
- Как я бросил курсорить и начал шотганить
- Context7 — один из лучших инструментов для AI-разработки
- Топовый AI Coding Workflow: Cursor & AI Studio
- Как Cursor AI превращает текст в готовые макеты Figma
- Простое веб-приложение за 30 минут с помощью Lovable
Если материал зайдет - подписывайтесь на авторов. Я сам читаю каждого из них и рекомендую