Если формат зайдет - в загашнике у автора есть ещё свежие истории про ночной поход в Ленинскую библиотеку, поход в МТЮЗ и электротеатр Станиславского, визит в новую третьяковку .

Для тех кто ещё не осознал что ИИ может быть умнее обычных людей, а где то и кандидатов наук, вот ещё одно подтверждение.

В российском бенчмарке от Меры не самая свежая версия Claude Opus 4.6 обошла человека.

Жаль правда, что в бенчмарке Меры нет свежих моделей Сбера и Алисы.

https://mera.a-ai.ru/ru/text.

Вышел Kubernetes 1.36 под кодовым названием Haru. И как обычно, мы рассказываем про улучшения и обновления с точки зрения security.

Главное «ломающее» изменение — постепенный отказ от externalIPs, так как механизм позволял перехватывать трафик и создавать MITM-атаки. Также усиливается валидация IP/CIDR и обновляется работа с сертификатами, что снижает риск некорректных конфигураций.

Среди новых security фич — constrained impersonation (ограничение прав при impersonation) и flagz endpoint для аудита параметров запуска компонентов. Они делают контроль доступа и проверку конфигурации кластера более прозрачными и безопасными по умолчанию.

Дополнительно в stable выходят user namespaces и более гранулярная авторизация Kubelet API, что помогает соблюдать принцип наименьших привилегий.

Forcepoint нашла минимум 10 сайтов с промт инъекциями.

Выводы:
1. Ограничивайте полномочия ваших агентов или запускайте их в изолированной среде.

2. Если вы по каким то причинам не хотите, что бы контент вашего сайта был обработан ИИ, ИИ промтинг может стать одной из мер, с пока не ясной эффективностью. Часть исследователей безопасности ИИ для защиты своих постов и статей же целей используют Canary GUID. Изначально GUID использовался, чтобы задачи и ответы бенчмарков не попали в обучающую базу моделей. Если модель все таки использовала этот бенчмарк исследователи искали этот GUID в рассуждениях/logit моделей. Т.е. это скорее детективная мера для исследователей у которых есть доступ к отслеживанию внутренних состояний моделей.

https://www.rbc.ru/technology_and_media/27/04/2026/69ede8fb9a7947ae89a66727

В новой версии законопроекта по ИИ пообещали убрать требования по:

1. использованию только российских данных для обучения моделей.

2. Обучению только гражданами РФ.

3. Для сервисов с аудиторией больше 500 тыс. чел. регистрироваться как организатор распространения информации ( с установкой СОРМ).

4. Раздел по ответственности уберут, оставят ссылку на текущее законодательство.

Осталось:
1. Разработку должно вести юрлицо в России.

2.Подтверждение соответствия требованиям законодательства и традиционным духовно нравственным ценностям модели.

Детализировать требования, например разницу между национальной, суверенной и доверенной моделью обещали в подзаконных актах.

Обещана возможность иностранным моделям стать доверенными если эти модели пройдут соответствие требованиям по информационной безопасности.

13 мая, через 2 недели, состоится мероприятие по безопасности искусственного интеллекта – IV Форум «Технологии доверенного искусственного интеллекта».
Исходя из программы мероприятие будет интересно для тех, кому:

1)Важно нормативное регулирование этой сферы. Заявлены выступления высших руководителей, включая ФСТЭК, Минцифры, МИД и Администрации Президента РФ. Заявлена фактически отдельная секция Консорциума исследований безопасности технологий искусственного интеллекта (ИИ).

2)Интересны последние новости в выявлении дипфейков. Опытом поделятся, в том числе, но не только ВижнЛабс, ДиалогРегионы, МВД, ГРЧЦ, МГУ.

3)Значимы научные исследования в области ИИ. Планируется много докладов от ИСП РАН, Яндекс, AIRI.

4)Ценно мнение ВУЗов на тему как готовить кадры и новые роли для персонала.

5) Хочется на практике понять базовые риски и меры защиты ИИ на практическом курсе «Безопасность ИИ без компромиссов: практические инструменты для защиты моделей и агентских систем» от ИИ Swordfish Security.

Трансляций с мероприятия не обещают, поэтому стоит задуматься стоит ли с новыми силами после майских посетить форум. Регистрация на форум по промокоду АВАНГАРД.

Зарегистрироваться

Если кто-то уже зарегистрировался – пишете в личные сообщения 😉. Проведем с пользой и кофе паузы.

Коллега, в своем канале разместил статистику взятия флагов в своем недавно проведенном CTF. Пусть косвенный, но это ещё индикатор текущих возможностей ИИ моделей для пентеста из текущей реальности.
Что это значит для вас?

Если проводите CTF явно определите разрешено ли участникам использовать ИИ и как вы это будете контролировать.

В общем случае у менеджмента на рынке сейчас 2 позиции:
1. Он должен взять все сам без использования ИИ. Логика - если справился сам, то справится и проверкой выдачи от ИИ. Минус - не факт, что он с умеет автоматизировать свою работу ИИшкой.
2. Пусть использует все, что ему хочется для закрытия задач. Логика - если задача закрыта с заданным качеством это важнее для времени выхода на рынок, чем отсутствие использования ИИ у конкурента. Работник точно умеет работать с автоматизацией ИИ. Минус - не факт, что если квоты на ИИ модели закончатся\модели отключат от этого работника будет весомая польза.

Современная CTF-реальность (основное мероприятие закончилось в 18)

А вы как думаете в эпоху вайбкодинга покрытие тестами на безопасность может быть таким же как предлагают сделать и обычное тестирование?

Нет, вы посмотрите на этого еретика, о чём он вообще?

Признайте: ИИ с лёгкостью уделает вас в кодинге. Нет такой задачи, на которую у вас ушёл бы день, а ИИ не сделал бы её за пять минут.
Всё кончено. Код будете писать не вы. Да-да, я знаю. Смиритесь.

Но вот в чём штука - это даёт вам огромную силу, потому что теперь можно делать то, о чём раньше и мечтать не приходилось.

Например, подумайте о покрытии тестами: вы же помните, какая это была морока. Надо писать все эти чёртовы тесты, и вы знаете, что тесты на самом деле не доказывают, что код работает.
Запускаешь code coverage, ухмыляешься и говоришь: ну да, ладно, но это же не значит, что код работает. Это значит только, что он исполняется.
Так вот, теперь это можно исправить, у вас появились ресурсы, чтобы это сделать. Говорите ИИ: покрой этот чёртов код тестами. А потом берёте mutation tester (да, это такой инструмент - и пусть ИИ его вам и напишет, уйдёт минут пять), дальше ИИ запускает этот инструмент, тот вносит изменения в исходный код и прогоняет все тесты. И если тесты не падают - он допишет тест, который поймает эту мутацию, и это значит, что у вас будет покрытие тестами. Ей-богу, у вас будет покрытие тестами.

И знаете, что ещё можно? Можно анализировать качество кода. Можно написать инструмент, который смотрит на цикломатическую сложность.
Кстати, есть отличный инструмент для этого. Ему лет двадцать. Называется CRAP - хорошее название, как расшифровывается - не знаю и знать не хочу. Это комбинация покрытия тестами и цикломатической сложности.
И вы можете сказать ИИ: понизь метрику CRAP - ниже пяти, ниже четырёх, как хочешь. И это заставит его порезать все жирные функции на маленькие и покрыть их все тестами. Ей-богу - подумайте, какие у вас теперь рычаги, чтобы довести код до качества, какого вы никогда не видели.

Знаю-знаю, я тот самый старый дед с Clean Code, но вот что я вам скажу: теперь вы можете сделать код чертовски чище, если заставите ИИ сделать это за вас.

Да что этот дед может знать про разработку?
Хотя погодите...
Да это же Роберт Мартин - "Чистый код", "Чистая архитектура", "Идеальный программист", "Быстрая разработка программ"!

За последний год от умеренного скептика он окончательно перешёл в стан апологетов использования ИИ в разработке, а теперь вот сидит у себя на веранде в халате по утрам и жжот глаголом :)

Да что с него взять - дед наверное просто на старости лет выжил из ума, раз такое предлагает!

Нуу, а что насчёт всех вот этих людей?

За 52 года программирования оно никогда не приносило столько удовольствия ⬈

90% моих навыков теперь стоят $0 …но остальные 10% стоят в 1000 раз больше

Kent Beck (XP, TDD)

Появление LLM меняет разработку настолько же радикально, как переход от ассемблера к языкам высокого уровня ⬈

Меняется само понятие того, что значит "программировать" ⬈

Martin Fowler (Refactoring, PoEAA)

ИИ выведет на чистую воду тех, кто никогда не умел думать как инженер ⬈

Верификация становится узким местом. Кодогенерация сама по себе дешевая ⬈

Dave Farley (Continuous Delivery)

Это третий золотой век разработки софта - благодаря ИИ ⬈

Меня это не пугает. Меня это радует. Меня это освобождает ⬈

Grady Booch (UML, OOAD)

Писать код руками - это как проявлять фотоплёнку в тёмной комнате. Никто так больше не делает ⬈

Тебе больше не нужны шесть разработчиков плюс UX плюс продукт. Тебе нужен человек с проблемой и разработчик, который её решит ⬈

Gene Kim (Phoenix Project, DevOps Handbook)

—

Это ж всё сплошь архитектурные астронавты - что они могут знать про реальную разработку: как мы перекладываем JSON'ы, про наши CRUDогенераторы, и про то, насколько важно использовать табы вместо пробелов?

Ну да, ну да :)
А получается у них с ИИ именно потому, что для них разработка всегда была не про написание кода.
И идеи этих дедов стали актуальны как никогда.

Кстати, довольно интересно отслеживать эволюцию их взглядов, а с дядей Бобом ещё и спорить иногда случается :)

#rant #дедпримитаблетки

Появились первые объективные индикаторы резкого роста количества уязвимостей в силу ИИ.
"От себя могу добавить, что рост количества исправляемых CVE в Linux-софте (не только в ядре!) виден и в рамках Linux Patch Wednesday. В апреле количество CVE было максимальным (1035) за всё время (май 2024 года исключаем, там высокое значение было связано с изменением алгоритма). Будем наблюдать и анализировать. 😉"


p.s. А ты поставил(а) звездочку на проект Linux Patch Wednesday от Александра Леонова?