DeepSeek-Prover-V2: новый инструмент для автоматизации математических доказательств

Компания DeepSeek открыла исходный код инструмента для доказательства математических теорем — DeepSeek-Prover-V2.

Что представляет собой новая модель

DeepSeek-Prover-V2 — это специализированная языковая модель, разработанная для автоматического вывода и проверки математических теорем. Модель способна формализовать математические доказательства, что требует высокого уровня логического мышления, абстракции и точности.

Технические особенности

Ключевая особенность Prover-V2 — использование обучения с подкреплением (RL) для математических доказательств. Процесс работы модели включает несколько этапов:

• DeepSeek-V3 разбивает сложные проблемы на серию подцелей, формируя структуру доказательства
• Вспомогательная модель формализует доказательство каждой подцели с использованием языка Lean 4
• DeepSeek-V3 интегрирует формализованные подцели в полное доказательство

Этот подход позволяет объединить неформальные и формальные математические рассуждения в единой модели.

Результаты тестирования

По данным разработчиков, DeepSeek-Prover-V2 демонстрирует следующие показатели:

• Решает около 90% математических задач из набора miniF2F
• Справляется с 49 из 658 проблем на PutnamBench
• Способна решать задачи уровня AIME (Американская математическая олимпиада)

Доступные версии

Выпущены две версии модели:

• DeepSeek-Prover-V2-671B — основана на DeepSeek-V3-Base
• DeepSeek-Prover-V2-7B — базируется на DeepSeek-Prover-V1.5-Base с поддержкой контекста до 32K токенов

Обе модели доступны на Hugging Face и GitHub с соответствующей лицензией.

Значение для научного сообщества

Развитие моделей для автоматизации доказательств теорем может иметь значение для математических исследований, образования и решения сложных задач в различных областях науки, где требуется формальная верификация.

#DeepSeek #МатематическиеДоказательства #ИскусственныйИнтеллект

Работа с большими кодовыми базами в Cursor

Работа с крупными проектами требует особого подхода.
Если вы вдруг пропустили, то Cursor выпустили официальный документ, посвященный данной теме.

Ниже привожу мой краткий конспект ключевых стратегий, которые помогут вам эффективно управлять сложными кодовыми базами с помощью Cursor.

Используйте Chat для быстрого изучения незнакомого кода

Когда вы сталкиваетесь с новой кодовой базой, обычно приходится много искать и переходить между файлами. С функцией Chat в Cursor вы можете просто задавать вопросы, чтобы найти нужные части кода и получить подробные объяснения их работы.

Для улучшения понимания структуры вашего проекта включите опцию "Include Project Structure" в настройках Cursor (сейчас эта функция в Beta).

Создавайте предметно-ориентированные правила

Подумайте: какую информацию вы бы дали новому сотруднику, чтобы он мог быстрее начать работать с вашим кодом? Эта информация будет полезна и для Cursor.

Для каждой организации или проекта существуют неявные знания, которые могут быть не полностью отражены в документации. Использование правил — лучший способ убедиться, что Cursor получает полную картину.

Например, создавайте правила для:
• Шаблонов реализации новых функций или сервисов
• Стандартов форматирования кода
• Соглашений об именовании

Уделяйте повышенное внимание процессу создания общего плана проекта

Для масштабных изменений стоит потратить больше времени на создание точного, хорошо определенного плана. Это значительно улучшит результаты работы с Cursor.

Если вы не получаете желаемый результат после нескольких попыток, попробуйте отступить и создать более детальный план с нуля, как если бы вы писали техническое задание для коллеги.

Используйте режим Ask в Cursor для создания плана. Добавьте весь имеющийся контекст из систем управления проектами, внутренней документации или собственных мыслей.

Выбирайте правильный инструмент для решаемой задачи

Один из важнейших навыков эффективного использования Cursor — выбор подходящего инструмента:

Инструмент: Tab
Применение: Быстрые ручные изменения
Преимущества: Полный контроль, скорость
Ограничения: Только один файл

Инструмент: Cmd K
Применение: Локальные изменения в файле
Преимущества: Фокусированное редактирование
Ограничения: Только один файл

Инструмент: Chat
Применение: Крупные изменения в нескольких файлах
Преимущества: Автоматический сбор контекста, глубокое редактирование
Ограничения: Медленная работа, требует больше контекста

Основные выводы

• Разбивайте изменения на небольшие части
• Включайте релевантный контекст
• Используйте Chat, Cmd K и Tab по назначению
• Чаще создавайте новые чаты
• Планируйте с помощью режима Ask, реализуйте с помощью режима Agent

Источник: Cursor – Large Codebases https://docs.cursor.com/guides/advanced/large-codebases

#cursor #разработка #программирование #советы_разработчикам

Опасная уязвимость в Chrome-расширениях: доступ к MCP-серверам

Поговорим немного про безопасность в контексте MCP.
Исследователи из ExtensionTotal обнаружили серьезную уязвимость в экосистеме Chrome-расширений, позволяющую обойти защитную "песочницу" браузера. Проблема связана с Model Context Protocol (MCP) - протоколом, который используется для взаимодействия ИИ-агентов с системными инструментами.

Суть проблемы:
• Chrome-расширения могут без аутентификации подключаться к локальным MCP-серверам
• MCP-серверы по умолчанию не требуют аутентификации
• Через такое подключение расширение получает доступ к файловой системе и другим ресурсам

Последствия:
• Полный обход защитной "песочницы" Chrome
• Неограниченный доступ к файловой системе
• Возможность взаимодействия с приложениями (Slack, WhatsApp и др.)
• Потенциальный полный захват компьютера

Особенно тревожно то, что для эксплуатации этой уязвимости расширению не требуются специальные разрешения. Если на компьютере запущен уязвимый MCP-сервер, любое расширение может получить к нему доступ.

Рекомендуется пересмотреть политики безопасности при использовании MCP-серверов и внимательно следить за поведением установленных расширений.

Или как вариант не устанавливать MCP-серверы локально, а использовать внешние платформы хостинга MCP-серверов с аутентфикацией, например:
https://mcp.pipedream.com/
https://mcp.composio.dev/

#кибербезопасность #Chrome #уязвимости #MCP #ИИ #security

Это может быть интересно: похоже популярный ИИ-бенчмарк LMArena отдаёт преимущество именно крупным компаниям

Новое исследование от учёных Cohere Labs, MIT, Stanford и других институтов выявило, что LMArena — ведущий краудсорсинговый бенчмарк для оценки ИИ-моделей — создаёт несправедливые преимущества для технологических гигантов, что может искажать его широко известные рейтинги. 🧐

📊 Ключевые выводы исследования:

• Такие компании как Meta, Google и OpenAI тайно тестируют множество вариантов своих моделей на платформе, публикуя только лучшие результаты

• Модели от крупных лабораторий получают больше внимания: на Google и OpenAI приходится более 60% всех взаимодействий на платформе

• Доступ к данным Arena значительно повышает производительность моделей именно в задачах этой платформы, что указывает на переобучение, а не на реальное улучшение возможностей

• 205 моделей были тихо удалены с платформы, причём модели с открытым исходным кодом удаляются чаще других

💡 Почему это важно:

LMArena оспаривает выводы исследования, утверждая, что их рейтинг отражает реальные предпочтения пользователей. Однако подобные заявления могут серьезно подорвать доверие к платформе, которая формирует общественное восприятие ИИ-моделей.

В сочетании с недавним скандалом вокруг бенчмарка Llama 4 Maverick, это исследование подчеркивает важный факт: оценка ИИ-систем не всегда так объективна, как кажется на первый взгляд.

А вы доверяете популярным ИИ-бенчмаркам? Делитесь мнением в комментариях! 👇

#ИскусственныйИнтеллект #ИИ_исследования #LMArena #технологии

Новые компактные модели Phi-4 от Microsoft с улучшенными возможностями рассуждения

30 апреля Microsoft запустила три новые модели семейства Phi, ориентированные на сложные рассуждения. Эти компактные модели превосходят более крупных конкурентов в задачах, требующих логического мышления, и при этом достаточно малы для работы на смартфонах и ноутбуках! 🚀

🔍 Что нового?

• Phi-4-reasoning (14 млрд параметров) — флагманская модель, которая превосходит OpenAI o1-mini и не уступает DeepSeek с 671 млрд параметров по ключевым показателям
• Phi-4-reasoning-plus — улучшенная версия с дополнительной тренировкой через обучение с подкреплением
• Phi-4-mini-reasoning (3,8 млрд параметров) — сверхкомпактная модель, способная работать на мобильных устройствах и не уступающая 7-миллиардным моделям в математических задачах

💡 Почему это важно?

Эти модели специально разработаны для эффективной работы в условиях ограниченных ресурсов — на периферийных устройствах и компьютерах Copilot+ PC. Несмотря на компактный размер, они демонстрируют впечатляющие результаты в сложных задачах рассуждения.

Как показывают тесты, Phi-4-reasoning превосходит DeepSeek-R1-Distill-Llama-70B (в 5 раз больше по размеру!) и демонстрирует конкурентоспособные результаты по сравнению со значительно более крупными моделями, такими как Deepseek-R1.

🔓 Открытый исходный код

Все три модели выпущены с открытым исходным кодом и лицензиями, позволяющими неограниченное коммерческое использование и модификацию разработчиками.

🖥 Применение в Windows

Модели Phi уже интегрированы в Copilot+ PC с оптимизированным для NPU вариантом Phi Silica. Они используются в таких функциях как Click to Do и доступны разработчикам через API.

🧠 Хотите попробовать?

• Протестируйте новые модели на Azure AI Foundry
• Изучите Phi Cookbook
• Узнайте больше о Phi-4-mini-reasoning
• Узнайте больше о Phi-4-reasoning
• Узнайте больше о Phi-4-reasoning-plus

Это новый шаг в развитии малых языковых моделей, которые становятся всё умнее, оставаясь при этом компактными и эффективными. Будущее ИИ уже здесь — прямо на наших устройствах! 📱💻

Источник: Microsoft Azure Blog

#Microsoft #Phi4 #МалыеЯзыковыеМодели #ИИнаУстройстве #ОткрытыйИсходныйКод

MCP и Function Calling: соперники или дополняющие друг друга технологии ?

В мире искусственного интеллекта постоянно появляются новые технологии и стандарты, которые могут сбивать с толку даже опытных разработчиков. Одна из таких пар технологий — MCP (Model Сontext Protocol) и Function Calling. Давайте разберемся, в чем их отличия и могут ли они дополнять друг друга.

Главный спойлер: они не конкурируют, а дополняют друг друга! 🤝

Про MCP уже много раз писал здесь и тут, поэтому начнем с технологии Function Calling, которая "календарно" появилась значительно раньше, но сейчас по силе "хайпа" значительно уступает MCP.

Что такое Function Calling?

Function Calling — это способность языковых моделей (LLM) определять, когда необходимо использовать внешние инструменты для решения задачи. По сути, это механизм, который позволяет ИИ:

1️⃣ Распознавать ситуации, требующие применения внешних функций
2️⃣ Структурировать параметры для выполнения этих функций
3️⃣ Работать в контексте одного приложения
4️⃣ Определять, ЧТО и КОГДА нужно использовать

При этом сам процесс запуска инструмента остается на стороне разработчика.
Простыми словами: Function Calling — это когда ИИ говорит "Мне нужно сейчас выполнить поиск в интернете".

Что такое MCP?

MCP (Model Context Protocol) — это стандартизированный протокол, который определяет:

1️⃣ Как инструменты предоставляются и обнаруживаются
2️⃣ Последовательный протокол для хостинга инструментов
3️⃣ Возможность обмена инструментами в рамках всей экосистемы
4️⃣ Разделение реализации инструмента от его использования

MCP отвечает на вопрос КАК инструменты предоставляются и обнаруживаются стандартизированным способом. Это похоже на то, как если бы MCP говорил: "Вот как любой инструмент может быть последовательно доступен для любой системы ИИ".

Ключевые различия ⚡️

• Function Calling: определяет КАКОЙ инструмент использовать и КОГДА его применять
• MCP: устанавливает КАК инструменты предоставляются и обнаруживаются в стандартизированном виде

Почему это важно? 🤔

MCP имеет потенциал стать "REST для ИИ-инструментов" — повсеместным стандартом, который предотвращает фрагментацию экосистемы. Он позволяет разработчикам сосредоточиться на создании качественных инструментов, а не на изобретении новых способов их хостинга

Как они работают вместе?

Эти технологии не конкурируют, а дополняют друг друга:

• Function Calling определяет необходимость использования инструмента
• MCP обеспечивает стандартизированный способ доступа к этому инструменту

Важные мысли 💡

• По мере усложнения систем ИИ, стандартизированные протоколы вроде MCP становятся необходимыми для обеспечения совместимости.
• Компании, которые внедряют обе технологии, смогут быстрее создавать более надежные системы ИИ.
• В конечном счете, будущее не в выборе между MCP и Function Calling, а в их эффективном совместном использовании для создания более мощных и гибких ИИ-систем.

Что еще почитать по теме "Function Calling и/или MCP?"

• https://medium.com/@genai.works/%EF%B8%8F-function-calling-vs-mcp-what-smart-ai-teams-need-to-know-7c319267b6db
• https://www.gentoro.com/blog/function-calling-vs-model-context-protocol-mcp
• https://neon.tech/blog/mcp-vs-llm-function-calling

А вы уже используете MCP в своих проектах или пока ограничиваетесь базовым Function Calling?
Поделитесь своим опытом в комментариях! 👇

#ИскусственныйИнтеллект #LLM #MCP #FunctionCalling #РазработкаИИ

Уязвимости AI-агентов: Часть I и II

Недавно прочитал интересный цикл статей (часть 1, часть 2) по безопасности AI-агентов.
Ниже привожу краткий обзор исследования о критических уязвимостях в AI-агентах, работающих на основе больших языковых моделей (LLM).

Часть I: Введение в уязвимости AI-агентов

🔍 Основные риски безопасности AI-агентов:

• Неавторизованное выполнение вредоносного кода
• Кража конфиденциальных данных компании или пользователей
• Манипуляция ответами, генерируемыми ИИ
• Непрямые инъекции промптов, ведущие к постоянным эксплойтам

🤖 Разница между LLM и сервисами на базе LLM:

• LLM — это нейросетевая модель, которая принимает текст и генерирует наиболее вероятное следующее слово
• AI-агенты (например, ChatGPT) — это сложные системы, построенные на основе LLM, с дополнительными функциями, такими как выполнение кода, сохранение памяти и доступ в интернет

🧪 Интересный подход к тестированию:

• Для выявления уязвимостей исследователи разработали специальный AI-агент Pandora
• Pandora расширяет функциональность ChatGPT, включая доступ в интернет и неограниченное выполнение кода в песочнице на базе Docker
• С помощью Pandora были обнаружены уязвимости, такие как непрямая инъекция промптов и техники обхода песочницы
• Этот агент используется в серии статей для демонстрации многих обсуждаемых уязвимостей

Оригинальная статья здесь

Часть II: Уязвимости выполнения кода

⚠️ Ключевые выводы:

• Исследование выявило уязвимости, затрагивающие любые AI-агенты на базе LLM с возможностями выполнения кода, загрузки документов и доступа в интернет
• Эти уязвимости могут позволить злоумышленникам запускать неавторизованный код, внедрять вредоносный контент в файлы, получать контроль и похищать конфиденциальную информацию
• Организации, использующие ИИ для математических вычислений, анализа данных и других сложных процессов, должны быть бдительны в отношении связанных рисков безопасности

🔒 Необходимость выполнения кода в LLM:

• Современные AI-агенты могут выполнять код для точных вычислений, анализа сложных данных и помощи в структурированных расчетах
• Это обеспечивает точные результаты в таких областях, как математика
• Преобразуя запросы пользователей в исполняемые скрипты, LLM компенсируют свои ограничения в арифметических рассуждениях

🧪 Реализации песочниц:

• AI-агенты используют технологии песочниц для изоляции выполнения кода
• Существуют две основные стратегии: контейнеризованные песочницы (например, ChatGPT Data Analyst) и песочницы на основе WASM (WebAssembly) [например, ChatGPT Canvas]

🚨 Выявленные уязвимости:

• Непроверенные передачи данных: злоумышленники могут создавать файлы для обхода проверок безопасности
• Компрометация пользовательских файлов с помощью фоновых служб: атакующие могут создавать фоновые процессы для мониторинга и модификации пользовательских документов
• Динамическая обфускация и выполнение промптов: код для фоновой службы может быть изменен различными способами для усложнения обнаружения

📋 Рекомендации по безопасности:

1️⃣ Ограничение системных возможностей:
• Отключение фоновых процессов или ограничение их конкретными операциями
• Применение более строгих разрешений на доступ к файловой системе

2️⃣ Ограничение ресурсов:
• Установка лимитов на использование ресурсов песочницы (память, CPU, время выполнения)

3️⃣ Контроль доступа в интернет:
• Управление внешним доступом из песочницы для уменьшения поверхности атаки

4️⃣ Мониторинг вредоносной активности:
• Отслеживание действий аккаунтов, сбоев и необычного поведения
• Использование инструментов анализа поведения для выявления подозрительных операций

5️⃣ Валидация входных данных:
• Проверка и очистка данных в обоих направлениях (от пользователя к песочнице и от песочницы к пользователю)

6️⃣ Обеспечение соответствия схеме:
• Проверка соответствия всех выходных данных ожидаемым форматам

7️⃣ Явная обработка ошибок:
• Перехват, очистка и регистрация ошибок на каждом этапе

Оригинальная статья здесь

#AI #Cybersecurity #LLM #AIagents #security

Tempo MCP App Store: новая платформа с 40+ MCP интеграциями 🚀

Похоже среди вебовских Vibe Coding платформ появился новый лидер.

Tempo только что представили MCP App Store, который существенно упрощает процесс создания качественных приложений методом Vibe-кодинга.
На данный момент в Tempo MCP App Store входит около 40 интеграций с различными сервисами, и скорее всего уже в ближайшее время их количество перевалит за сотню.

Что такое Tempo MCP App Store? 🤔

Tempo MCP App Store — это без преувеличения "сокровищница" MCP-серверов внутри веб-кодера Tempo (чуть ранее писал о нем в большом обзоре, вот ссылка на пост), судя по всему построенная на базе Supabase (без подключения к Supabase она недоступна), обеспечивающая интеграцию веб- и мобильных приложений с десятками популярных сервисов. Основное преимущество — использование искусственного интеллекта для управления сложностью интеграций.

Ключевые интеграции в Tempo App Store 🔌

В App Store представлены интеграции с более чем 40 сервисами, включая:

• Stripe — для платежных решений 💳
• OpenAI — для интеграции с ChatGPT и другими AI-моделями 🤖
• Gemini — для работы с AI от Google 🧠
• FireCrawl — для веб-скрапинга 🕸
• Exa, SerpAPI, Perplexity — для создания поисковых ассистентов 🔍
• И другие сервисы для различных задач

Создание поискового ассистента с Exa / SerpAPI / Perplexity 🔎

С помощью интеграции с Exa / SerpAPI / Perplexity можно создать поискового ассистента:
1. Подключите Exa / SerpAPI / Perplexity через Tempo App Store (нужно будет выбрать соответствующий MCP и указать API-ключ для каждого сервиса)
2. Используйте AI-промпт для создания поискового интерфейса (причем "бэкенд"-часть промпта может быть очень простой в стиле: используй Exa.ai / SerpAPI / Perplexity MCP серверы, которые я настроил, при ответе на вопрос пользователя)
3. Настройте параметры поиска и отображения результатов
4. Получите приложение, способное искать информацию в интернете

Интеграция платежей со Stripe 💰

Добавление платежной системы в приложение с Tempo App Store:
• Подключение Stripe через интерфейс платформы (нужно выбрать Stripe из списка MCP-серверов и указать API-ключ)
• Использование AI для создания платежных форм (добавь кнопку "платеж", при нажатии на кнопку списывай xxx денег, используй Stripe MCP сервер)
• Получение решения с обработкой платежей и управлением подписками

Пример с FireCrawl: веб-скрапер 🕷

Процесс создания веб-скрапера с помощью FireCrawl (демо здесь):

• Создание нового проекта в Tempo
• Подключение Supabase к проекту
• Установка FireCrawl из App Store
• Ввод API-ключа от FireCrawl
• Использование AI-промпта для создания скрапера
• Получение готового приложения с интерфейсом

Преимущества единой экосистемы ✨

Tempo MCP App Store предлагает следующие преимущества:

• Единый интерфейс для всех интеграций
• Согласованная работа различных сервисов
• Использование AI для автоматизации разработки
• Быстрое развертывание на различных платформах
• Возможность комбинировать сервисы в одном приложении

Практические сценарии использования 💡

С помощью Tempo MCP App Store можно создавать:

• Поисковых ассистентов с Exa / SerpAPI / Perplexity / Tavily
• Коммерческие продукты на базе интеграции со Stripe
• Веб-скраперы с FireCrawl
• Чат-боты с OpenAI
• Аналитические дашборды
• Системы управления контентом
и т.д.

Процесс развертывания 🚀

После создания приложения с нужными интеграциями:

1. Нажмите кнопку «Share» в Tempo
2. Выберите «Deploy» и платформу (например, Vercel)
3. Дождитесь автоматической сборки и развертывания
4. Привяжите проект к своей учетной записи
5. При необходимости настройте собственный домен

Перспективы развития 🔮

• Tempo со своей новинкой "MCP App Store" действительно сильно упростили задачу быстрого написания качественных приложений методом Vibe-кодинга.
• Количество MCP-серверов в их "сокровищнице" будет быстро расти.
• А другие платформы веб-кодинга скорее всего возьмут данный подход на вооружение.
• Что потенциально еще сильнее ускорит процесс разработки, снизит затраты и сделает разработку более доступной.

Утечка системного промпта Claude: 25 тысяч токенов секретных инструкций 🕵️‍♂️

Похоже, что в сеть утекла системная инструкция для ИИ-помощника Claude — целых 25 тысяч токенов корпоративных секретов. Правда, подлинность документа пока под вопросом, так что не спешите верить всему, что видите 🤔

Что внутри этого "секретного" документа? 📝

Если верить информации из репозитория, системный промпт Claude разделен на несколько основных разделов:

• Инструкции по цитированию — подробные правила о том, как правильно оформлять ссылки на источники (видимо, чтобы Claude выглядел умнее, чем есть на самом деле :) 🧠💭

• Информация об артефактах — когда использовать код, HTML, SVG и прочие технические штуки, которые делают ответы более "впечатляющими" ✨

• Инструкции по поиску — от простых запросов до "глубоких исследований" (хотя мы все знаем, что ИИ просто "гуглит" за нас) 🔍😏

• Стили и предпочтения — как подстраиваться под пользователя (читай: как создавать иллюзию, что ИИ действительно вас понимает) 🎭

• Функции и инструменты — список всех доступных инструментов с параметрами API 🛠

• Профиль Claude — версии модели, этические ограничения и прочие корпоративные формальности 📋

• Временные и юридические примечания — напоминание о том, что знания ограничены октябрем 2024 года ⏰⚖️

Интересно, что компания Anthropic, создавшая Claude, пока никак не прокомментировала ситуацию. Возможно, они слишком заняты написанием нового системного промпта на 50 тысяч токенов? 🤪📚

#ИИ #Claude #Утечки #Anthropic #security

Друзья, поздравляю всех с 80-летием Великой Победы!

Недавно наткнулся на интересную заметку на редите по поводу безопасной работы с хостинговыми MCP-серверами. Почему, лучше использовать их, а не локальные серверы писал чуть ранее. Однако, и при использовании хостинговых MCP-сервисов тоже нужно соблюдать некоторые правила, на чем и делается акцент в данной заметке. Ниже привожу ее слегка вольный перевод на русский язык.

URL-адреса хостинговых MCP-серверов следует рассматривать как секреты 🔐

Краткая версия: нынешний ажиотаж вокруг хостинговых MCP-серверов сопровождается некоторыми сомнительными практиками в области безопасности. ⚠️ Черновик следующей редакции протокола MCP стремится решить эту проблему с поддержкой авторизации. А пока... будьте осторожны с этими URL-адресами хостинговых MCP-серверов! 🚨

Недавно я решил взглянуть на Composio 🧐, который привлек некоторое внимание в последние дни. Это платформа, которая размещает и запускает MCP-серверы, предоставляя конечную точку на основе Server Sent Events, к которой могут обращаться MCP-совместимые клиенты для получения данных.

Как это работает:
• Composio позволяет выбрать интеграцию (например, с Notion 📝)
• Вы аутентифицируетесь с помощью OAuth2
• Composio запускает хостинговый MCP-сервер в бессерверном контейнере
• Сервер использует ваш OAuth-токен для взаимодействия с API
• Вы получаете URL вашего сервера: https://mcp.composio.dev/notion/blah-blah-blah-uuid123

Проблема безопасности 🛡

Главная проблема:
• Этот URL фактически является API-ключом с доступом ко всем вашим данным 😱
• Большинство людей бездумно копируют эти URL в разные клиенты
• Никто не знает, как эти клиенты хранят то, что должно быть секретом 🤦‍♂️
• API-ключи и секреты должны храниться только в переменных окружения или безопасных хранилищах

Мое примечание: я сам, недавно проводя занятия по созданию MCP-серверов, спокойно шарил эти url, потом пришлось все удалять и пересоздавать заново.

Что делать:
• Разработчики MCP осведомлены об этой проблеме 👍
• В спецификации есть раздел "Third party authorization flow"
• Разработчикам сервисов вроде Composio следует реализовать эти меры безопасности
• А пока — будьте осторожны с URL-адресами хостинговых MCP-серверов! 🔒

Не разбрасывайтесь URL-адресами как конфетти на параде технологических новинок. 🎭

#MCP #Безопасность #Composio #ИскусственныйИнтеллект #security

Bolt.DIY 1.0: Что нового в обновлении? 🚀

Команда Bolt.DIY (это опенсорсный эквивалент bolt.new, уже писал про него ранее, очень простой и удобный AI-кодер, пожалуй, самый первый из веб-кодеров, кто добился значительного роста числа своих пользователей в рекордно короткие сроки, все еще один из лидеров обзора инструментов для Vibe Coding) наконец выпустила версию 1.0, и, надо признать, обновление получилось довольно внушительным. Давайте разберемся, что там интересного, без лишнего восторга и маркетинговой шелухи.

Новые функции и улучшения ✨

Улучшенные системные промпты 🤖 В настройках появилась библиотека промптов с тремя вариантами: стандартный, оптимизированный и новый "fine-tuned". Последний обещает более строгие стандарты, меньше ошибок и лучшее планирование. Правда, по умолчанию всё равно стоит базовый вариант — видимо, чтобы мы сами могли оценить разницу.

Шаблоны и производительность ⚡️ Добавили новые стартовые шаблоны: Expo (для мобильной разработки), Astro и пару вариантов с ShadCN. Установка шаблонов теперь работает быстрее, и, что важно, больше нет проблем с rate limit, которые раньше случались с завидной регулярностью.

Улучшения интерфейса 💅 Появилась кнопка "перейти к последнему сообщению" — мелочь, а приятно. Исправили странное поведение скроллбара в чате, теперь он отдельный и не дублируется с основным. Стриминг сообщений стал плавнее.

Редактор кода 👨‍💻 В редакторе теперь можно блокировать файлы, чтобы LLM не перезаписывал их (полезно для .env файлов). Добавили поиск по всем файлам с отображением всех вхождений.

Node.js 20 🔄 Обновили Node.js до версии 20 (было 18). Это должно положительно сказаться на производительности, хотя на практике разница не всегда заметна.

Интеграции 🔌
• Supabase: Теперь можно подключить базу данных прямо из интерфейса.
• Vercel: Добавили возможность деплоить приложения на Vercel (как раньше с Netlify). Интеграции с Cloudflare пока нет, но, возможно, появится в следующих версиях.

Десктопное приложение 🖥 Теперь Bolt.DIY можно установить как нативное приложение на Windows, Mac и Linux. Правда, приложения пока не подписаны, так что придется игнорировать предупреждения безопасности при установке.
К слову, dmg-образ для mac у меня не запустился - оказался corrupted.

Expo для мобильной разработки 📱 Наконец-то добавили интеграцию с Expo, что позволяет разрабатывать мобильные приложения. Сканируете QR-код в Expo Go на телефоне — и сразу видите результат. Функция, которая давно была в других AI-инструментах, наконец добралась и до Bolt.DIY.

Как обновиться 🔄

Если вы используете локальную версию:

1) В терминале выполните git pull
2) Установите зависимости: pnpm install
3) Запустите: pnpm run dev

Для существующего деплоя на Cloudflare достаточно синхронизировать форк через кнопку "Sync fork".

Важно ⚠️: Очистите кеш браузера после обновления (Application → Storage → Clear site data), иначе могут возникнуть проблемы с интерфейсом. Учтите, что это удалит ваши API-ключи, если они не сохранены в .env файле.

В целом, обновление выглядит солидно. Разработчики явно поработали над стабильностью и добавили несколько полезных функций. Хотя до идеала еще далеко (где мой деплой приложений на Cloudflare? 🤔), прогресс очевиден. Посмотрим, что они приготовят в следующих версиях.

#bolt #opensource #news #update