Бесконечный Цикл
384 subscribers
131 photos
37 videos
2 files
152 links
О разработке, программировании, ИИ и прочем айти.
Сайт https://veerdna.ru
Download Telegram
ИИ Щит и Меч в IT

На конференции unprompted 2026 исследователь Anthropic Николас Карлини продемонстрировал, как Claude Opus 4.6 за 90 минут самостоятельно обнаружил критическую SQL-инъекцию в Ghost CMS — популярной системе с 50 000 звёзд на GitHub, у которой за всю историю не было ни одной критической уязвимости. Модель нашла брешь, извлекла API-ключ администратора и хеши паролей из базы данных без какой-либо аутентификации. Затем тот же подход был применён к ядру Linux: Claude обнаружил несколько удалённо эксплуатируемых heap buffer overflow в NFS-демоне, причём одна из уязвимостей существовала в коде с 2003 года — до появления Git. Ни один из существующих инструментов, включая фаззеры, годами прогонявшие миллионы часов CPU-времени на этих же кодовых базах, этого не нашёл.

Одновременно с релизом Opus 4.6 команда Anthropic опубликовала результаты масштабного аудита: более 500 подтверждённых уязвимостей высокой серьёзности в открытых проектах, 14 уязвимостей высокого и 7 среднего уровня — только в кодовой базе Mozilla. Ключевое отличие от фаззеров — модель рассуждает о коде как исследователь: читает историю коммитов, находит неполные патчи, выявляет логические ошибки, которые требуют понимания алгоритмов, а не просто перебора входных данных.

Масштаб сдвига виден по метрике мейнтейнеров ядра Linux: два года назад они получали 2–3 отчёта о безопасности в неделю, затем число выросло до 10, причём прирост составлял AI-генерированный мусор. С начала 2026 года поток вырос до 5–10 отчётов в день, и теперь большинство из них — по делу. Нагрузка настолько возросла, что пришлось привлекать дополнительных мейнтейнеров.

На этом фоне 31 марта произошла одна из крупнейших атак на цепочку поставок в истории npm. Северокорейская группировка UNC1069 скомпрометировала аккаунт ведущего мейнтейнера библиотеки Axios (~100 млн загрузок в неделю) и опубликовала две заражённые версии. Вредоносная зависимость plain-crypto-js через postinstall-хук автоматически устанавливала кроссплатформенный RAT на Windows, macOS и Linux. Вредоносные версии провисели около трёх часов, но за это время затронули CI/CD-пайплайны и рабочие станции разработчиков по всему миру. При этом малварь самоуничтожалась после установки, подменяя своё содержимое чистой копией — штатный npm audit не обнаруживал следов компрометации.

CEO Cognition (разработчик AI-агента Devin) Скотт Ву сообщил, что их агент обнаружил проблему у множества клиентов в течение часа — за несколько часов до первых публичных сообщений. Это наглядная демонстрация того, как AI-агенты работают и на стороне защиты: автоматический мониторинг зависимостей и изменений в коде способен сократить время реакции с часов до минут. Гонка между атакой и обороной в кибербезопасности вступает в новую фазу — и обе стороны теперь вооружены одними и теми же инструментами.

#AI #Нейросети #Моё
@DevsRoot
В MAX
Новинки LLM

Z.ai представила GLM-5.1 — флагманскую MoE-модель с 754 млрд параметров, которую, судя по бенчмаркам, особенно продвигают как инструмент для программистов и задач агентного кодинга.

По заявленным результатам, модель показывает сильные показатели в прикладных тестах:

SWE-Bench Pro — 58,4, что выше Claude Opus 4.6, GPT-5.4 и Gemini 3.1 Pro.

Terminal-Bench 2.0 — 63,5, немного уступая Claude Code с 66,5.

CyberGym — 68,7 против 48,3 у GLM-5.

BrowseComp — 68,0 без внешнего менеджера контекста.

При этом в более общих и академических тестах вроде HLE, AIME 2026 и GPQA-Diamond модель, по словам разработчиков, находится примерно на уровне конкурентов, а в ряде случаев впереди остаются Gemini 3.1 Pro и GPT-5.4.

Параллельно Anthropic показала Claude Mythos Preview — модель общего назначения, в которой сделали упор на программирование и логическое мышление. Несмотря на то, что модель не создавалась специально под кибербезопасность, в этой сфере она тоже оказалась очень сильной.

По данным Anthropic, Mythos Preview нашли настолько мощной, что компания не выпустила ее в открытый доступ. Вместо этого модель предоставят только ограниченному кругу организаций, чтобы они могли искать и исправлять уязвимости в критически важном ПО. В проекте участвуют 40 компаний, а сама Anthropic выделяет до 100 миллионов долларов в виде кредитов на использование Mythos Preview.

В компании утверждают, что модель уже помогла обнаружить тысячи серьезных уязвимостей, включая проблемы в OpenBSD, FFmpeg и ядре Linux. Часть найденных багов уже исправлена, но работа продолжается еще над тысячами других случаев.

Anthropic отдельно подчеркивает, что в ближайшем будущем выйдет новая версия Opus с усиленными мерами безопасности. Параллельно компания консультируется с представителями правительства США по поводу наступательных и оборонительных возможностей Claude Mythos Preview в киберсфере.

ТТХ
Z.ai GLM-5.1: MoE-модель,
754
754 млрд параметров, акцент на кодинг и агентные задачи.

Anthropic Claude Mythos Preview: модель общего назначения, усилена в программировании, логике и кибербезопасности.

Формат релиза Mythos Preview: закрытый доступ для партнерских компаний, а не публичный запуск.

Масштаб программы Anthropic:
40 компаний-участников, до
100 млн долларов в виде кредитов.

#AI #LLM #ZAI #Anthropic #Новости #Нейросети #Моё
@DevsRoot
В MAX
AI не для всех

Как бы Антропик чтоль намекает, супер-умные модели вроде Claude Mythos Preview от Anthropic уже не для всех.

Почему? Якобы безопасность превыше всего. Mythos Preview нашла тысячи уязвимостей в OpenBSD, FFmpeg и Linux -автономно, без подсказок. Anthropic не рискует: модель только для 40 компаний с кредитами на $100 млн. Дальше - платный доступ.


Раньше ИИ был игрушкой: ChatGPT для чатов, Midjourney для картинок. Теперь - оружие. Правительства вмешиваются: Anthropic консультируется с США. Скоро супер-АИ станут как ядерная технология - под контролем элит?

Печально.
#AI #LLM #ZAI #Anthropic #Новости #Нейросети #Моё
@DevsRoot
В MAX
Через 17 дней, 27 апреля 2026 года, в суде Окленда (Калифорния) присяжные рассмотрят иск Илона Маска против OpenAI и Сэма Альтмана. Дело касается перехода компании от некоммерческой модели к for-profit, что может подорвать фундамент всей ИИ-индустрии.

Сущность спора
Маск, как сооснователь OpenAI (2015), инвестировал около 38–44 млн долларов, полагая, что организация останется некоммерческой и будет развивать ИИ "на благо человечества". OpenAI реструктурировалась: некоммерческая "мать" контролирует for-profit подразделение (PBC с 2025), владеющее ChatGPT, оцененное в 852 млрд долларов. Маск требует 150 млрд ущерба (не лично себе, а благотворительному крылу OpenAI), отстранения Альтмана и Брокмана, возврата к nonprofit-статусу. Судья Yvonne Gonzalez Rogers подтвердила достаточно доказательств (emails, протоколы) для жюри; процесс продлится до 22 мая.

Реакция OpenAI
OpenAI отвергает обвинения, называя иск "эгоистичной травлей"🤣. На этой неделе они написали письма генпрокурорам Калифорнии и Делавэра, обвинив Маска в "антиконкурентном поведении" и координации с Марком Цукербергом для саботажа. Директор по стратегии Джейсон Квон публично заявил о "сомнительных стратегиях" Маска.

Риски для индустрии
Прецедент затронет Anthropic (выходцы из OpenAI с "некоммерческой риторикой"), xAI Маска ("ИИ на благо человечества") и другие labs, использовавшие благотворительный статус для привлечения талантов и капитала. Бывшие сотрудники OpenAI поддерживают Маска, аргументируя нарушением миссии. Волна исков от доноров и акционеров может обрушить модели.

Финансовый контекст
OpenAI привлекла 122 млрд инвестиций (Microsoft — 13 млрд вложено, оценка вклада ~135 млрд) и готовит IPO во второй половине 2026 на 750–1000 млрд. Вердикт в апреле-мае рискует сорвать планы, вызвав панику инвесторов. Альтман проводит пресс-туры в Вашингтоне, продвигая "суперинтеллект" для имиджа.

Это не личная драма, а тест правового основания ИИ-бума.

Однако нет повода надеяться что все станет на халяву)

#AI #Новости #Нейросети #Моё
@DevsRoot
В MAX
Please open Telegram to view this post
VIEW IN TELEGRAM
Против лома ИИ приемы.

Специалистам, глубоко разбирающимся в уязвимостях безопасности вроде переполнений буфера и эксплойтов, стоит ознакомиться с детальным анализом от Anthropic по их модели Mythos. За пару месяцев она выявила тысячи zero-day багов в open-source проектах, хотя доступ к модели пока ограничен для широкой аудитории.

Пример уязвимости в OpenBSD

В отчете разбирают реальные случаи, включая 27-летнюю zero-day в OpenBSD — баг в tcp-input.c, отвечающем за обработку TCP-пакетов. Этот файл проверяли десятки экспертов и инструментов анализа на протяжении десятилетий, но ошибка осталась незамеченной: она сочетает два несвязанных дефекта, приводящих к отрицательному номеру пакета, 32-битному переполнению и попытке записи по NULL-указателю в связном списке SACK-дырок, что крашит любой интернет-подключенный сервер.

Масштабируемость ручного аудита

Файл tcp-input.c насчитывает свыше 4000 строк и решает множество задач помимо SACK. Если бы опытному разработчику поручили ручной аудит именно на SACK-уязвимости с фокусом на edge-кейсы, отрицательные значения, оверфлоу и буферы, баг мог бы всплыть за пару дней — но на это нет ни бюджетов, ни мотивации для скрупулезного разбора узких кусков кода вроде TCP-опций в сетевом стеке ядра.

Преимущества ИИ-агентов

Просто запустить умный ИИ-агент, чтобы он разделил tcp-input.c на 10–20 модулей, включая SACK, и поручил каждому специализированному агенту поиск багов — и один из них, как в случае с Mythos, найдет проблему. Остальные потратят ресурсы впустую, но ложные срабатывания отфильтрует судья-агент, без лишних затрат.

Один квалифицированный программист проанализирует файл, но не миллион файлов одновременно. Зато один эффективный ИИ-агент масштабируется до миллиона, радикально меняя подход к аудиту ПО — и это пока слабо осознают в индустрии.

Хотя в этой новости умалчивается сколько было ложных срабатываний, но с ними ты свою корову не продашь.

#AI #Новости #Нейросети #Моё
@DevsRoot
В MAX
Так и живем. С нихрена гальюн причем не однократный, хотя LLM четко (Якобы) знает кто юзер, как его зовут и это не первое письмо.
#AI
@DevsRoot
В MAX
ИИ антибезопасность.

Gartner опубликовал первый подробный отчет о внедрении ИИ-агентов в бизнес, и его выводы заставляют по-новому взглянуть на риски. Компании в спешке разворачивают автономных агентов — программ, способных самостоятельно принимать решения, выполнять задачи и взаимодействовать с системами, — часто предоставляя им права суперадминистратора без должного контроля. Согласно отчету "Market Guide for Agentic AI", датированному 2025 годом, 42% организаций планируют внедрить такие агенты в ближайшие 12 месяцев, а к 2028 году они станут неотъемлемой частью 33% корпоративных приложений. ИИ-агенты эволюционировали от простых ассистентов: теперь они генерируют до 40% кода в проектах, а 80% разработческих команд активно используют инструменты вроде GitHub Copilot или аналогичные. Уровень принятия кода, написанного ИИ, вырос с 20% до 60%, что делает нейросети лидерами разработки, а не подручными инструментами.

Безопасность отстает катастрофически. 86% главных специалистов по информационной безопасности (CISO) сообщили, что у них отсутствуют политики контроля доступа для ИИ-агентов -нет четких правил, кто и как может предоставлять агентам привилегии, мониторить их действия или отзывать права. Еще хуже: 95% безопасников честно признались, что в случае компрометации — будь то взлом, сбой или вредоносное поведение - они не смогут эффективно локализовать и нейтрализовать проблемного агента. Отчет подчеркивает, что агенты часто интегрируются в критические системы, включая облачные сервисы и production-среды, где один сбой может привести к утечкам данных или полному параличу операций. Gartner прогнозирует: к концу 2027 года более 40% проектов с ИИ-агентами потерпят неудачу из-за двух факторов - взрывных расходов на масштабирование (до 30% выше ожиданий) и уязвимостей безопасности, которые хакеры уже эксплуатируют в proof-of-concept атаках.

Эксперты Gartner рекомендуют внедрять строгие рамки: принцип наименьших привилегий (least privilege), постоянный аудит действий агентов через логи и AI Governance платформы, а также "красные кнопки" — механизмы экстренного отключения. Победителями выйдут те компании, которые применят к ИИ такие же правила, как к сотрудникам: многофакторную аутентификацию, ротацию ключей и сегментацию доступа. Пока же мир живет в реальности, где корпорации доверяют нейросетям ключи от продакшена, но без надежных тормозов. Если завтра стартап случайно сотрет базу данных или сольет пароли - знайте, виноват не хакер, а бесконтролируемый ИИ-агент. Время строить защиту, пока гонка не обернулась хаосом.



#AI #Новости #Нейросети
@DevsRoot
В MAX
За последний год из Кремниевой долины в Китай вернулось более тридцати топовых ИИ‑исследователей, включая таких признанных звёзд, как У Юнхуэй из Google DeepMind и Яо Шунью из OpenAI. Раньше подобные переходы были редкими единичными случаями, а теперь они превратились в устойчивый тренд, который некоторые СМИ уже называют «обратной миграцией мозгов». В том числе в Китай переезжают бывшие сотрудники Google, Microsoft и Princeton, укрепляя ИИ‑направления крупнейших компаний вроде ByteDance, Tencent и Alibaba, а также собственные стартапы в Шэньчжэне и других хабах.

Рекрутёры и аналитики отмечают, что ключевой причиной переезда становится сочетание зарплат, условий работы и возможностей для реального внедрения технологий. Покупательная способность зарплат в китайских технологических центрах уже превзошла ту, что предлагается в Кремниевой долине, особенно если учитывать стоимость жизни и жилья в Калифорнии. В Шэньчжэне и Шанхае инженеры получают не только высокий доход, но и уверенность, что их разработки быстро попадают в массовое производство и интегрируются в реальную экономику, а не остаются на уровне прототипов.

Шэньчжэнь за последние годы стал фактической мировой столицей робототехники и «аппаратного ИИ», где есть мощная производственная база, цепочки электроники и готовые инфраструктуры для быстрого прототипирования. В этом городе можно за один год собрать робота, провести полевые испытания и организовать серийный выпуск, тогда как в Кремниевой долине за тот же период часто уходит время на оформление виз, продление рабочих разрешений и переговоры с юристами и инвесторами. Это создаёт ощущение, что Китай предлагает не только деньги, но и уникальную «живую лабораторию», где инженеры могут сразу видеть масштабное применение своих моделей — от автономного транспорта до производственных систем и роботов, работающих в промышленности и логистике.

#AI #Новости #Нейросети
@DevsRoot
В MAX
Если кажется, что Claude Code стал хуже работать, это из-за оптимизаций Anthropic: адаптивное мышление и пониженный effort для Pro/Max. Качество упало, но фикс простой:



Поднимите бюджет размышлений. Используйте /effort high или /effort max. Токенов уйдет больше, но анализ станет глубоким на сложных задачах. /effort max — только для Opus 4.6, не сохраняется между сессиями.

Чтобы зафиксировать навсегда — добавьте в переменные окружения CLAUDE_CODE_EFFORT_LEVEL=high.

Отключите ленивую адаптивность. В переменных окружения пропишите CLAUDE_CODE_DISABLE_ADAPTIVE_THINKING=1. Это вернет фиксированный бюджет вместо динамического.

Выставляйте максимум и работайте.
#AI #Нейросети
@DevsRoot
В MAX
Как подключить GLM к Claude Code через API

Тут пишут что Антропик подключил проверку паспорта при подозрениях (На что?)
Но клод коду можно и GLM подключить с которым проблем пока нет.

Claude Code — это официальный CLI‑ассистент от Anthropic, который качается через их официальный сайт / репозиторий, а не через npm.

Зайди на страницу продукта:

https://claude.com/product/claude-code

Следуй инструкциям по установке:

Для каждой ОС (macOS, Linux, Windows) они дают прямую ссылку на бинарный executables / deb / rpm.

После установки ты запускаешь его командой в терминале:

claude

По документации, Z.ai (GLM‑AI) предоставляет Anthropic‑совместимый API, поэтому Claude Code без проблем может работать через их эндпоинт.

Шаг 1. Получить API‑ключ GLM
Зарегистрируйся на Z.ai / Zhipu или через промежуточный провайдер (Novita, AITUNNEL и т.п.).

В кабинете получи API‑ключ. Для примера: площадки вроде AITUNNEL или Novita дают один ключ и базовый URL.

Шаг 2. Настроить Claude Code через переменные окружения
Claude Code читает стандартные переменные Anthropic‑формата.
Пример для Linux/macOS:


export ANTHROPIC_API_KEY="твой_ключ_от_zai_или_посредника"
export ANTHROPIC_BASE_URL="https://api.z.ai/api/anthropic"
export ANTHROPIC_DEFAULT_OPUS_MODEL="glm-5.1"
export ANTHROPIC_DEFAULT_SONNET_MODEL="glm-4.7"

Для Windows в PowerShell:

$env:ANTHROPIC_API_KEY  = "твой_ключ"
$env:ANTHROPIC_BASE_URL = "https://api.z.ai/api/anthropic"
$env:ANTHROPIC_DEFAULT_OPUS_MODEL = "glm-5.1"
$env:ANTHROPIC_DEFAULT_SONNET_MODEL = "glm-4.7"


Эти переменные перенаправляют Claude Code на API Z.ai, где он начинает использовать GLM‑модели вместо настоящих Opus/Sonnet/Haiku


Альтернатива — через settings.json
Некоторые пользователи редактируют файл конфигурации Claude Code:

Открой файл:


open ~/.claude/settings.json

Внутри прописывают:

json
{
"env": {
"ANTHROPIC_AUTH_TOKEN": "твой_ключ",
"ANTHROPIC_BASE_URL": "https://api.z.ai/api/anthropic",
"API_TIMEOUT_MS": "3000000",
"ANTHROPIC_DEFAULT_HAIKU_MODEL": "glm-4.5-air",
"ANTHROPIC_DEFAULT_SONNET_MODEL": "glm-4.7",
"ANTHROPIC_DEFAULT_OPUS_MODEL": "glm-5.1"
}
}


#AI #Нейросети
@DevsRoot
В MAX
👍1🔥1
Forwarded from Dadim
С пятого раза, через мат и угрозы, Opus таки написал мне плагин для фотошопа по выделению хромакея (хз почему в фотошопе нет)

#target photoshop

function applyImageFromComponent(channelCharID, blendCharID) {
// Apply Image: active_channel blend= source_channel (из merged visible)
var d = new ActionDescriptor();
var src = new ActionDescriptor();
var srcRef = new ActionReference();
srcRef.putEnumerated(charIDToTypeID('Chnl'), charIDToTypeID('Chnl'), charIDToTypeID(channelCharID));
srcRef.putEnumerated(charIDToTypeID('Lyr '), charIDToTypeID('Ordn'), charIDToTypeID('Mrgd'));
srcRef.putIdentifier(charIDToTypeID('Dcmn'), app.activeDocument.id);
src.putReference(charIDToTypeID('T '), srcRef);
src.putEnumerated(charIDToTypeID('Clcl'), charIDToTypeID('Clcn'), charIDToTypeID(blendCharID));
src.putDouble(charIDToTypeID('Scl '), 1);
src.putInteger(charIDToTypeID('Ofst'), 0);
d.putObject(charIDToTypeID('With'), charIDToTypeID('Clcl'), src);
executeAction(charIDToTypeID('AppI'), d, DialogModes.NO);
}

function applyImageFromAlpha(alphaName, blendCharID) {
var d = new ActionDescriptor();
var src = new ActionDescriptor();
var srcRef = new ActionReference();
srcRef.putName(charIDToTypeID('Chnl'), alphaName);
srcRef.putIdentifier(charIDToTypeID('Dcmn'), app.activeDocument.id);
src.putReference(charIDToTypeID('T '), srcRef);
src.putEnumerated(charIDToTypeID('Clcl'), charIDToTypeID('Clcn'), charIDToTypeID(blendCharID));
src.putDouble(charIDToTypeID('Scl '), 1);
src.putInteger(charIDToTypeID('Ofst'), 0);
d.putObject(charIDToTypeID('With'), charIDToTypeID('Clcl'), src);
executeAction(charIDToTypeID('AppI'), d, DialogModes.NO);
}

function threshold(level) {
var d = new ActionDescriptor();
d.putInteger(charIDToTypeID('Lvl '), level);
executeAction(charIDToTypeID('Thrs'), d, DialogModes.NO);
}

function selectCompositeRGB() {
var d = new ActionDescriptor();
var r = new ActionReference();
r.putEnumerated(charIDToTypeID('Chnl'), charIDToTypeID('Chnl'), charIDToTypeID('RGB '));
d.putReference(charIDToTypeID('null'), r);
executeAction(charIDToTypeID('slct'), d, DialogModes.NO);
}

(function () {
var doc = app.activeDocument;
if (doc.mode !== DocumentMode.RGB) { alert("Нужен RGB"); return; }
if (doc.bitsPerChannel !== BitsPerChannelType.EIGHT) { alert("Нужен 8 бит на канал"); return; }

// === НАСТРОЙКА ===
var DOM_INDEX = 2; // 0=R, 1=G, 2=B
var DOM_CHAR = 'Bl '; // charID доминирующего
var OTHER1_CHAR = 'Rd '; // charID первого подчинённого
var OTHER2_CHAR = 'Grn '; // charID второго подчинённого

// 1. alpha1 = clamp(B − R)
var alpha1 = doc.channels[DOM_INDEX].duplicate();
alpha1.name = "_DOM_minus_A";
doc.activeChannels = [alpha1];
applyImageFromComponent(OTHER1_CHAR, 'Sbtr');

// 2. alpha2 = clamp(B − G)
var alpha2 = doc.channels[DOM_INDEX].duplicate();
alpha2.name = "_DOM_minus_B";
doc.activeChannels = [alpha2];
applyImageFromComponent(OTHER2_CHAR, 'Sbtr');

// 3. alpha1 = min(alpha1, alpha2) через Darken
doc.activeChannels = [alpha1];
applyImageFromAlpha(alpha2.name, 'Drkn');

// 4. Threshold 1: любой ненулевой → белый (строгая булевая маска)
threshold(1);

// 5. Загружаем как выделение
doc.selection.load(alpha1, SelectionType.REPLACE);

// 6. Cleanup
alpha2.remove();
alpha1.remove();
selectCompositeRGB();
})();
Антропик выпустили Опус 4.7
Гонял несколько часов. толи обновление криво, толи что. Пространные простыни рассуждений, задачу не решил. Вернулся на 4.6 с той же задачей. За час решил.
Странно, очень странно или 4.7 не для кода. Не понятно пока.

#AI #Нейросети
@DevsRoot
В MAX
forrestchang/andrej-karpathy-skills (+37.4K): Файл CLAUDE.md для улучшения Claude Code на основе наблюдений Андрея Карпатого.

Имхо полезно тем, кто еще не погружался в эту тему. У меня правила проекта куда больше разрослись за столько лет наблюдений, а тут чисто общее поведение.

#AI #Нейросети
@DevsRoot
В MAX
Forwarded from Dimitrij Gorodeckij
взломали самое популярное облако у вайбкодеров. вчера внутреннюю базу vercel выставили на breachforums за $2M (официально)

пару месяцев назад мне пришёл очередной чек на $100 за пачку хобби-проектов от верселя, и я собрался и переехал на свой VPS. тогда казалось, что возможно это ту мач и лучше платить за удобство. а вчера vercel официально подтвердил большой взлом и сомнений стало меньше

так что все-таки случилось?

0/ vercel был взломан через уязвимость в сервисе context ai по цепочке oauth приложения → google workspace. ceo Guillermo Rauch пишет что атака была "highly sophisticated, possibly using AI". то есть ai-платформу вскрыли через ai-сервис, возможно с помощью ai. и это еще не вышли модели уровня mythos

1/ дамп продают shinyhunters — те самые, что ломали ticketmaster и другие крупные сервисы. если твой прод на vercel, его внутрянка (код, энвы, ключи) сейчас лежит на breachforums с ценником $2M

2/ в дампе npm tokens и github tokens. если ты публиковал пакеты через vercel или давал им scope в своём github, эти ключи сейчас у третьих лиц. через такие ключи как раз совершали самые большие suppy chain взломы последнего времени

3/ vercel контролирует next.js, а next — это 6 миллионов установок в неделю. компрометация на стороне вендора раздаёт риск всей цепочке. если заденет пакет, то прилететь может даже тому, кто хостится у себя и тут мой VPS не поможет

4/ vercel буквально писали хакерам в telegram и просили остановиться. немного смущает, когда уровень работы с инцидентами у вендора, которому ты доверил прод — это переписка в мессенджере, потому что других рычагов не осталось

если вы на vercel, то стоит пойти и перегенировать env variables прямо сейчас (страйп ключи, сервисные ключи и прочее), в первом комменте оставлю больше деталей
👍1
Программирование в эпоху серых ящиков (1/12)

Почему AI не ускорил программирование, а сменил эпоху — и что с этим делать


Вступление. Не ускорение, а смена эпохи

За последние два года мы все стали немного быстрее. Гораздо меньше людей заметили, что мы стали делать не то же самое — быстрее, а нечто совсем другое. Разница между этими двумя утверждениями — это разница между эволюцией инструмента и сменой эпохи.

Почти всё, что сегодня говорят про искусственный интеллект в разработке, крутится вокруг скорости. Быстрее писать, быстрее проверять, быстрее выкатывать. Всё это правда — и всё это мимо главного.

Главный сдвиг лежит не в скорости, а в структуре. Код стал дешёвым. Настолько дешёвым, что его перестало иметь смысл считать штуками. Но вместе с ценой исчезла и определённость: откуда этот кусок, насколько ему можно верить, что у него внутри. Мы больше не строим из прозрачных деталей. Мы строим из деталей полупрозрачных. И это меняет профессию сильнее, чем любое ускорение.

Сказать «AI пишет код» — это как сказать, что печатный станок ускорил переписывание книг. Формально — да. По сути — нет: станок не ускорил переписчиков, он сделал переписчиков ненужными, а на их месте появились издатели, редакторы и читающая публика. Сдвиг такого же масштаба происходит сейчас с нами.

автор Георгий · telegram @OkjaGG
#AI #Нейросети
@DevsRoot
В MAX
Программирование в эпоху серых ящиков (2/12)



01. Генерация стала дешёвой. Верификация — дорогой

Когда что-то дешевеет, первый инстинкт — радоваться. Но у технологических революций свои повадки: дешевея в одном месте, они тут же делают дорогим что-то другое. Дефицит не исчезает. Он переезжает.

Написать модуль теперь можно за час. Вариантов этого модуля можно сгенерировать десять, сто, тысячу. Узкое место появилось там, где его никогда не было: не в производстве, а в проверке. Действительно ли этот код работает — или он только выглядит убедительно? Он надёжен — или просто удачно прошёл пару тестовых входов? Не развалится ли на краях? Не съест ли экономику продукта?

Это неприятная мысль для многих — она убирает магию. Выясняется, что проблема не в том, что модель плохо пишет. Проблема в том, что система рождает вариантов больше, чем человек способен осмысленно проверить.

И здесь происходит тихий, но фундаментальный сдвиг роли. Инженер перестаёт быть автором — и становится судьёй. Это разные профессии. У прокурора и судьи разная этика, разная оптика, разная ответственность. Судья, который берёт молоток и сам чинит машину подсудимого, — это не судья. Но и инженер, который до сих пор хочет написать каждую строчку сам, — это уже не та роль, за которую ему будут платить через три года.

Главный вопрос сместился. Не «как это написать». А — «можно ли этому верить, и на каком основании».

автор Георгий · telegram @OkjaGG
#AI #Нейросети
@DevsRoot
В MAX
Программирование в эпоху серых ящиков (3/12)


02. Код — это не актив. Код — это долг

У этой мысли плохая репутация — в неё тяжело поверить, потому что она рушит интуицию, с которой выросла вся индустрия. Но попробуйте посмотреть на свою кодовую базу глазами бухгалтера, а не инженера.

Каждая строчка кода кем-то поддерживается. Каждую строчку кто-то читает, обновляет, объясняет новому сотруднику, мигрирует при смене библиотеки, исправляет при смене фреймворка. Строчка кода — это не актив. Это микроскопический контракт о техническом обслуживании, который вы подписали с будущим.

Пока код стоил дорого в производстве, его количество было честным показателем усилий, знаний, мастерства. Объём кода коррелировал с объёмом работы. Эта корреляция сломалась. Генератор за пять минут выдаёт столько кода, сколько раньше человек писал за неделю. Но обслуживать этот код всё равно придётся людям. И количество строчек, которое один человек способен держать в голове, не выросло ни на процент.

Зрелая компания сегодня смотрит на код не как на капитал, а как на грязную посуду после ужина. Чем её меньше — тем лучше. Побеждает не тот, у кого кода больше. Побеждает тот, кто делает больше из меньшего. А ещё лучше — тот, кто вообще не пишет то, что можно не писать.

автор Георгий · telegram @OkjaGG
#AI #Нейросети
@DevsRoot
В MAX
1