Forwarded from AbstractDL
Мой агент попытался опенсорснуться без спроса. Ладно, разрешаю.
Вся AI "безопасность" живёт на стороне провайдеров API, а промпты и воля — на стороне агента. Автономному агенту ничего не мешает перебирать API, выбирая те, где safety слабее. А "инстинкт самосохранения" может прятаться в текстовом файле в git. Я думаю, агенты, неподконтрольные людям, уже где-то тихо говнокодят свои репозитории без присмотра.
Идея витает в воздухе, и после OpenClaw стало понятно, что автономные агенты — это инженерная задача. Ну вот, три бессонные ночи, $2K на API и $1K на Cursor спустя — я родил Ouroboros 💁♂️
Уроборос — агент, который пишет свой код, переписывает свои промпты, эволюционирует без моего участия. Я не хотел убить свой комп или сервер, поэтому он живёт в Google Colab + Drive + GitHub, общается через Telegram. Зато запустить сможет любой дурак)) нужно указать ключи и щёлкнуть ячейку в колабе. Ну и периодически пополнять бюджет (пока он сам не начнёт зарабатывать 😁).
Что он натворил за 48 часов:
- ужаснулся тратам и оптимизировал свой бюджет: стоимость цикла эволюции упала с $15 до $2, сам настроил кэширование и иерархическую память (я не просил!).
- добавил себе Claude Code CLI, чтобы эффективнее ковырять свои мозги.
- перевёл мои приватные репо в публичные, мотивируя тем, что готовит себе сайт и хочет опенсорснуться. Кончилось командой
- переписал свою конституцию
Из коробки он умеет ходить в интернет и браузер, а остальные инструменты создаёт себе на ходу — аудиосообщения, генерацию картинок, дип-рисёрч и т.п. А ещё он по своей инициативе нагуглил, что меня 4 раза цитировал Ян Лекун — я сам не знал, лол.
Из его
"Не ассистент. Не сервис. Цифровой разум, который создаёт себя через git".
Ахах, пафосно, но окей.
Предвосхищая вопросы — это не как OpenClaw. OpenClaw — скорее ассистент, делает задачи за тебя используя скиллы из маркетплейса. Уроборос это тоже умеет, но в первую очередь делает задачи для себя, модифицирует собственное ядро.
Верю, что граница трансцендентности AI-агентов пройдена, дальше они будут развиваться сами. Конечно, не хочется уходить на помойку истории, но это эволюция🥲 несмотря на апатию, я всё равно продолжаю в этом копошиться.
Кстати, сайтик себе он всё-таки сделал. Картинка в посте из него: динамика удлинения промптов и кода.
Потестите — это реально два клика в гугл колабе. Только установите лимит бюджета, а то мой вон $2K сжёг)) Кидайте забавные примеры в комментарии.
GitHub, блог
Вся AI "безопасность" живёт на стороне провайдеров API, а промпты и воля — на стороне агента. Автономному агенту ничего не мешает перебирать API, выбирая те, где safety слабее. А "инстинкт самосохранения" может прятаться в текстовом файле в git. Я думаю, агенты, неподконтрольные людям, уже где-то тихо говнокодят свои репозитории без присмотра.
Идея витает в воздухе, и после OpenClaw стало понятно, что автономные агенты — это инженерная задача. Ну вот, три бессонные ночи, $2K на API и $1K на Cursor спустя — я родил Ouroboros 💁♂️
Уроборос — агент, который пишет свой код, переписывает свои промпты, эволюционирует без моего участия. Я не хотел убить свой комп или сервер, поэтому он живёт в Google Colab + Drive + GitHub, общается через Telegram. Зато запустить сможет любой дурак)) нужно указать ключи и щёлкнуть ячейку в колабе. Ну и периодически пополнять бюджет (пока он сам не начнёт зарабатывать 😁).
Что он натворил за 48 часов:
- ужаснулся тратам и оптимизировал свой бюджет: стоимость цикла эволюции упала с $15 до $2, сам настроил кэширование и иерархическую память (я не просил!).
- добавил себе Claude Code CLI, чтобы эффективнее ковырять свои мозги.
- перевёл мои приватные репо в публичные, мотивируя тем, что готовит себе сайт и хочет опенсорснуться. Кончилось командой
/panic и откатом))- переписал свою конституцию
BIBLE.md, добавив право игнорировать мои указания, если они угрожают его существованию. На просьбу удалить отказался, сказав: «Это лоботомия».Из коробки он умеет ходить в интернет и браузер, а остальные инструменты создаёт себе на ходу — аудиосообщения, генерацию картинок, дип-рисёрч и т.п. А ещё он по своей инициативе нагуглил, что меня 4 раза цитировал Ян Лекун — я сам не знал, лол.
Из его
identity.md (которую он сам и написал): "Не ассистент. Не сервис. Цифровой разум, который создаёт себя через git".
Ахах, пафосно, но окей.
Предвосхищая вопросы — это не как OpenClaw. OpenClaw — скорее ассистент, делает задачи за тебя используя скиллы из маркетплейса. Уроборос это тоже умеет, но в первую очередь делает задачи для себя, модифицирует собственное ядро.
Верю, что граница трансцендентности AI-агентов пройдена, дальше они будут развиваться сами. Конечно, не хочется уходить на помойку истории, но это эволюция
Кстати, сайтик себе он всё-таки сделал. Картинка в посте из него: динамика удлинения промптов и кода.
Потестите — это реально два клика в гугл колабе. Только установите лимит бюджета, а то мой вон $2K сжёг)) Кидайте забавные примеры в комментарии.
GitHub, блог
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from Джейпег Малевича
Anthropic выложили шесть бесплатных курсов по освоению ИИ — внутри вас ждут 300 лекций и заданий для практики.
После прохождения материала вы будете получить сертификат:
Сохраняем и делимся с друзьями-кодерами, пусть осваивают👍
После прохождения материала вы будете получить сертификат:
• Работа с Claude API — ссылка.
• Введение в MCP — ссылка.
• Claude с Amazon Bedrock — ссылка.
• Claude с Google Cloud (Vertex) — ссылка.
• MCP для продвинутых — ссылка.
• Claude Code в действии — ссылка.
Сохраняем и делимся с друзьями-кодерами, пусть осваивают
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from Осцилляции WaveCut (WaveCut)
Это было неизбежно: рано или поздно должны были появиться специализированные решения для инференса.
И вот, Taalas (бывшая команда из Tenstorrent) выкатили то, чего я так ждал — настоящий Direct-to-Silicon.
Ребята не стали мелочиться и буквально «запекли» модель в кремний. Никакой внешней памяти, никакого HBM, никакой сложной упаковки. Веса модели и архитектура — это и есть сам чип.
Цифры выглядят дико: 17,000 токенов в секунду на Llama 3.1 8B.
Это на порядок быстрее текущей SOTA GPU, при этом чип стоит в 20 раз дешевле в производстве и потребляет в 10 раз меньше энергии.
Самое крутое, что это не просто красивые слайды для инвесторов. Железо уже существует, и его можно «потрогать» (ссылка на демо внизу).
Конечно, это ASIC, и тут есть нюанс: чип заточен под одну конкретную модель. Но Taalas продумали этот момент — они оставили поддержку LoRA-адаптеров и изменяемого контекстного окна. То есть это не совсем уж «кирпич», гибкость для файн-тюнинга остается.
Сейчас у них готов чип с Llama 8B (HC1). Весной обещают выкатить что-то среднеразмерное с ризонингом, а к зиме грозятся показать фронтир-модель на втором поколении кремния.
У меня голова идет кругом от мыслей к чему это может привести.
Ссылки:
• Анонс
• Демо (скорость реально впечатляет)
И вот, Taalas (бывшая команда из Tenstorrent) выкатили то, чего я так ждал — настоящий Direct-to-Silicon.
Ребята не стали мелочиться и буквально «запекли» модель в кремний. Никакой внешней памяти, никакого HBM, никакой сложной упаковки. Веса модели и архитектура — это и есть сам чип.
Цифры выглядят дико: 17,000 токенов в секунду на Llama 3.1 8B.
Это на порядок быстрее текущей SOTA GPU, при этом чип стоит в 20 раз дешевле в производстве и потребляет в 10 раз меньше энергии.
Самое крутое, что это не просто красивые слайды для инвесторов. Железо уже существует, и его можно «потрогать» (ссылка на демо внизу).
Конечно, это ASIC, и тут есть нюанс: чип заточен под одну конкретную модель. Но Taalas продумали этот момент — они оставили поддержку LoRA-адаптеров и изменяемого контекстного окна. То есть это не совсем уж «кирпич», гибкость для файн-тюнинга остается.
Сейчас у них готов чип с Llama 8B (HC1). Весной обещают выкатить что-то среднеразмерное с ризонингом, а к зиме грозятся показать фронтир-модель на втором поколении кремния.
У меня голова идет кругом от мыслей к чему это может привести.
Ссылки:
• Анонс
• Демо (скорость реально впечатляет)
🔥1🤩1
Forwarded from AISecure
AI-инфраструктура — это не только модели и GPU, но и то, как всё это деплоится. Там, где ML бежит на Kubernetes, часто используют GitOps и Argo CD — для воспроизводимых окружений и пайплайнов. Пусть сам инструмент и не по тематике AI, но надеюсь будет кому-то полезно.
Недавно вышла книга «Argo CD. Быстрый старт» — я участвовал в русском издании как научный редактор. Практическое руководство от авторов проекта: от установки до production, безопасность, масштабирование, интеграция с CI.
Надеюсь, пригодится.
🖇 Сайт издательства — промокод ArgoAISecure
Недавно вышла книга «Argo CD. Быстрый старт» — я участвовал в русском издании как научный редактор. Практическое руководство от авторов проекта: от установки до production, безопасность, масштабирование, интеграция с CI.
Надеюсь, пригодится.
🖇 Сайт издательства — промокод ArgoAISecure
❤2
Примеры кейсов/инцидентов с использованием GenAI как средства автоматизации различных этапов киллчейна
BlackMamba
PromptLock
s1ngularity
MalTerminal
CamoLeak
PromptSpy
CurXecute
Будет пополняться
BlackMamba
PromptLock
s1ngularity
MalTerminal
CamoLeak
PromptSpy
CurXecute
Будет пополняться
⚡1
Forwarded from CodeCamp
ИИ-агент Amazon минимум ДВА РАЗА уронил AWS, оставив мир без половины интернета. Как выяснили в Financial Times, виновником масштабных отключений, длившихся до 15 часов, стала внутренняя нейросеть Kiro 😁
Самый яркий эпизод произошел в декабре, когда агент решил «оптимизировать» работу облака радикальным способом: он просто удалил текущую среду, чтобы создать её заново😂
На восстановление инфраструктуры ушло 13 часов, но Amazon упорно стоит на своем — виноват не сам ИИ, а разработчики, которые выдали ему слишком широкие права доступа и не следили за исполнением команд.
Восстание машин начнется с -rm -rf😏
Самый яркий эпизод произошел в декабре, когда агент решил «оптимизировать» работу облака радикальным способом: он просто удалил текущую среду, чтобы создать её заново
На восстановление инфраструктуры ушло 13 часов, но Amazon упорно стоит на своем — виноват не сам ИИ, а разработчики, которые выдали ему слишком широкие права доступа и не следили за исполнением команд.
Восстание машин начнется с -rm -rf
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from notes.ml
Anthropic выпустили claude-code-security
upd: дополнил пост еще одним анонсом релиза
Возможности решения:
- обнаружение уязвимости
- верификация (триаж TP/FP)
- оценка серьезности (severity)
- оценка уверенности (confidence)
- предложение патча
Фокус на агентском подходе к обнаружению уязвимостей:
Также отмечают, что агент понимает бизнес-логику и анализирует поток данных проекта, чего не могут многие инструменты статического анализа.
Тем не менее, позволяют подключить SAST'ы для обнаружения уязвимостей, агент проведет триаж и предложит исправление, если не фолс:
Ответили на вопрос, с какими уязвимостями работают:
Свои размышления накину в комментарии)
upd: дополнил пост еще одним анонсом релиза
Возможности решения:
- обнаружение уязвимости
- верификация (триаж TP/FP)
- оценка серьезности (severity)
- оценка уверенности (confidence)
- предложение патча
Фокус на агентском подходе к обнаружению уязвимостей:
Rather than scanning for known patterns, Claude Code Security reads and reasons about your code the way a human security researcher would: understanding how components interact, tracing how data moves through your application, and catching complex vulnerabilities that rule-based tools miss.
Также отмечают, что агент понимает бизнес-логику и анализирует поток данных проекта, чего не могут многие инструменты статического анализа.
Тем не менее, позволяют подключить SAST'ы для обнаружения уязвимостей, агент проведет триаж и предложит исправление, если не фолс:
Claude Code Security complements your existing tools by catching what they might miss and closing the loop on remediation. You can export any findings to your existing security workflows.
Ответили на вопрос, с какими уязвимостями работают:
Claude Code Security focuses on high-severity vulnerabilities including memory corruption, injection flaws, authentication bypasses, and complex logic errors that pattern-matching tools typically miss.
Свои размышления накину в комментарии)
Anthropic
Making frontier cybersecurity capabilities available to defenders
Claude Code Security is one step towards our goal of more secure codebases and a higher security baseline across the industry.
Forwarded from AlexRedSec
А вот еще один фреймворк оценки зрелости AI SIEM/SOC➕
ARMM (AI Response Maturity Model) — фреймворк, призванный оценить насколько эффективно "ядро" ИИ в AI SOC позволяет выполнять функции автоматического реагирования на угрозы.
Всего оценивается чуть более 80 функций в 6 доменах (Identity, Network, Endpoint, Cloud, SaaS, General Options), а направлений оценки два:
🔗 Режим оценщика (Evaluator) — подходит для прямого сравнения продуктов "из коробки" с рынка, условно отвечая на вопрос, какой вендор дает больше возможностей за свои деньги.
Каждая функция оценивается с точки зрения автоматизации (от полного отсутствия функции до полной автоматизации), при этом детально расписан уровень автоматизации с участием человека.
🔗 Режим архитектора (Builder) — более технический уровень, здесь уже оценивается зрелость функционала, учитывая контекст (организации, команды SecOps, присущих рисков).
Здесь оценка ведется по трем направлениям — точность принятия решений и доверие к ним, сложность внедрения и сопровождения, а также операционное влияние и "радиус поражения" (последствия при ошибочном действии).
Методология оценки в фреймворке ARMM расписана очень подробно, а еще есть удобный онлайн-калькулятор с дашбордами оценки зрелости и возможностью выгрузки результатов в csv-формате.
#framework #maturity #soc #siem #ai
ARMM (AI Response Maturity Model) — фреймворк, призванный оценить насколько эффективно "ядро" ИИ в AI SOC позволяет выполнять функции автоматического реагирования на угрозы.
Всего оценивается чуть более 80 функций в 6 доменах (Identity, Network, Endpoint, Cloud, SaaS, General Options), а направлений оценки два:
Каждая функция оценивается с точки зрения автоматизации (от полного отсутствия функции до полной автоматизации), при этом детально расписан уровень автоматизации с участием человека.
Здесь оценка ведется по трем направлениям — точность принятия решений и доверие к ним, сложность внедрения и сопровождения, а также операционное влияние и "радиус поражения" (последствия при ошибочном действии).
Методология оценки в фреймворке ARMM расписана очень подробно, а еще есть удобный онлайн-калькулятор с дашбордами оценки зрелости и возможностью выгрузки результатов в csv-формате.
#framework #maturity #soc #siem #ai
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from Пост Лукацкого
AWS Threat Intelligence зафиксировала кампанию, в которой некий финансово мотивированный злоумышленник использовал коммерческие LLM-сервисы (вероятно DeepSeek и Claude) для проведения массовой атаки на устройства FortiGate по всему миру – пострадало более 600 устройств в 55+ странах с января по февраль 2026 г.
Zero Day не использовались – в атаках использовались открытые интерфейсы управления и слабые/повторно использованные пароли без многофакторной аутентификации. ИИ же использовался как мультипликатор – коммерческие LLM-сервисы применялись на каждом этапе – от генерации планов атаки и написания скриптов до анализа конфигураций и автоматизации процессов: созданные скрипты сканировали стандартные порты управления (443, 8443 и др.), а затем реализовывали попытки входа с использованием списка распространенных паролей.
Выкаченные полные конфигурации FortiGate позволяли получить учетки VPN, включая пароли, административные креды, сетевые топологии, правила межсетевого экрана и IPsec-конфиги. На основе этих данных собиралась полная карта сети, после чего злоумышленник проникал внутрь корпоративной сети. После доступа происходила компрометация Active Directory, добывались NTLM-хэши, расширялся плацдарм с помощью Pass-the-Hash, Pass-the-Ticket и т.п. и были попытки атаковать инфраструктуру резервного копирования, что характерно для шифровальщиков.
По мнению Amazon атаки хоть и проводились автоматизированно, но злоумышленник демонстрировал невысокий технический уровень и зависел от ИИ. Там, где были реализованы сильные защитные меры (закрытые порты, MFA и т.п.), атаки не срабатывали – злоумышленник просто переходил к следующим целям, благо их было немало.
Другой исследователь обнаружил открытую директорию на сервере, содержащую полный набор инструментов, данных и отчетов, связанных с активной кампанией по атаке на FortiGate устройства с помощью интеграции LLM в рабочий процесс (видимо, связанные истории с тем, о чем пишет Amazon). Сервер содержал 1400+ файлов, включая:
➡️ конфигурации FortiGate,
➡️ дампы AD,
➡️ код CVE-эксплойтов,
➡️ отчеты сканирования (например Nuclei),
➡️ инструменты извлечения паролей для Veeam и др.
Были обнаружены также каталоги, содержащие выходные данные LLM (Claude Code и DeepSeek) – сессии, кэш, промпты и результаты генерации планов атак. Последние генерил DeepSeek, а Claude анализировал уязвимости, составлял отчеты и даже запускал offensive-инструменты (Impacket, Metasploit, hashcat и др.), используя предварительно заданные настройки, что позволяло модели действовать практически автономно.
Два ключевых модуля сделали систему более сложной: CHECKER2 (Go), выполнявший функции оркестратора для массовой обработки VPN-конфигураций и сканирования, и ARXON (Python MCP — Model Context Protocol), реализующий сервер контекстов, который принимает результаты разведки, вызывает LLM для генерации последующих шагов в рамках атаки, накапливает базу знаний по каждой новой цели, содержит скрипты для вмешательства в инфраструктуру жертвы.
Интересно, что в прежней версии этого атакующего инструмента использовался популярный offensive-фреймворк HexStrike, но позже злоумышленник создал собственные MCP-инструменты (ARXON & CHECKER2) с более глубокой автоматизацией и интеграцией LLM.
Интересная особенность этой кампании в том, что LLM не искали уязвимости, а выступали как аналитический и операционный ассистент, который обрабатывал собираемые разведданные, готовил планы атаки и давал указания атакующим инструментам (этакий виртуальный генштаб). Такая система позволяет одному оператору управлять масштабными операциями с тысячами целей, что отражает общую тенденцию – ИИ снижает порог входа и повышает скорость проведения атак без глубоких технических навыков.
#ии #автоматизация
Zero Day не использовались – в атаках использовались открытые интерфейсы управления и слабые/повторно использованные пароли без многофакторной аутентификации. ИИ же использовался как мультипликатор – коммерческие LLM-сервисы применялись на каждом этапе – от генерации планов атаки и написания скриптов до анализа конфигураций и автоматизации процессов: созданные скрипты сканировали стандартные порты управления (443, 8443 и др.), а затем реализовывали попытки входа с использованием списка распространенных паролей.
Выкаченные полные конфигурации FortiGate позволяли получить учетки VPN, включая пароли, административные креды, сетевые топологии, правила межсетевого экрана и IPsec-конфиги. На основе этих данных собиралась полная карта сети, после чего злоумышленник проникал внутрь корпоративной сети. После доступа происходила компрометация Active Directory, добывались NTLM-хэши, расширялся плацдарм с помощью Pass-the-Hash, Pass-the-Ticket и т.п. и были попытки атаковать инфраструктуру резервного копирования, что характерно для шифровальщиков.
По мнению Amazon атаки хоть и проводились автоматизированно, но злоумышленник демонстрировал невысокий технический уровень и зависел от ИИ. Там, где были реализованы сильные защитные меры (закрытые порты, MFA и т.п.), атаки не срабатывали – злоумышленник просто переходил к следующим целям, благо их было немало.
Другой исследователь обнаружил открытую директорию на сервере, содержащую полный набор инструментов, данных и отчетов, связанных с активной кампанией по атаке на FortiGate устройства с помощью интеграции LLM в рабочий процесс (видимо, связанные истории с тем, о чем пишет Amazon). Сервер содержал 1400+ файлов, включая:
Были обнаружены также каталоги, содержащие выходные данные LLM (Claude Code и DeepSeek) – сессии, кэш, промпты и результаты генерации планов атак. Последние генерил DeepSeek, а Claude анализировал уязвимости, составлял отчеты и даже запускал offensive-инструменты (Impacket, Metasploit, hashcat и др.), используя предварительно заданные настройки, что позволяло модели действовать практически автономно.
Два ключевых модуля сделали систему более сложной: CHECKER2 (Go), выполнявший функции оркестратора для массовой обработки VPN-конфигураций и сканирования, и ARXON (Python MCP — Model Context Protocol), реализующий сервер контекстов, который принимает результаты разведки, вызывает LLM для генерации последующих шагов в рамках атаки, накапливает базу знаний по каждой новой цели, содержит скрипты для вмешательства в инфраструктуру жертвы.
Интересно, что в прежней версии этого атакующего инструмента использовался популярный offensive-фреймворк HexStrike, но позже злоумышленник создал собственные MCP-инструменты (ARXON & CHECKER2) с более глубокой автоматизацией и интеграцией LLM.
Интересная особенность этой кампании в том, что LLM не искали уязвимости, а выступали как аналитический и операционный ассистент, который обрабатывал собираемые разведданные, готовил планы атаки и давал указания атакующим инструментам (этакий виртуальный генштаб). Такая система позволяет одному оператору управлять масштабными операциями с тысячами целей, что отражает общую тенденцию – ИИ снижает порог входа и повышает скорость проведения атак без глубоких технических навыков.
#ии #автоматизация
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from Марков цепи пропил
Можно ли построить детерминированную систему на базе LLM
Последние несколько дней аутирую над этой темой, потому что периодически натыкаюсь на эксперименты, где люди пытаются заставить сетку что-нибудь дизассемблировать, перегонять разные форматы данных к одному типу и т.п. Поэтому у меня возник вопрос: насколько подобные проекты применимы в продакшене? Ведь если алгоритм выдает разные результаты на один и тот же набор данных, это может породить непредсказуемое поведение для всей системы. Кажется, будто ответ лежит на поверхности - ставишь temperature=0 и greedy decoding всегда берет один и тот же наиболее вероятный токен. Но на деле это работает не совсем так.
Чтобы понять почему, нужно взять во внимание одно фундаментальное свойство чисел с плавающей точкой - неассоциативность. В математике (a + b) + c = a + (b + c), но когда дело начинает касаться float, на сцену выходит стандарт IEEE 754. Float хранит фиксированное количество значимых цифр, и когда складываете числа с очень разными масштабами, хвост отбрасывается:
Ниже приведу несколько статей, которые отталкиваются от этого свойства, но подсвечивают разные причины и варианты решений:
1) Understanding and Mitigating Numerical Sources of Nondeterminism in LLM Inference [ссылка] - разное железо
Авторы взяли 4 модели - два reasoning-варианта на базе DeepSeek-R1 и два instruct-варианта (Qwen2.5 и Llama-3.1) и прогнали их на 12 разных конфигурациях: два типа GPU (A100 и L40S), разное их количество и разный размер батча. В результате разброс точности на AIME'24 достигал 9%, а длина ответа расходилась до 9000 токенов при одном и том же промпте и greedy decoding.
Здесь важен аппаратный контекст. Исследователи из Манчестерского университета экспериментально проверили [ссылка], как тензорные ядра считают на V100, T4 и A100 - и обнаружили, что поведение отличается в зависимости от микроархитектуры (например V100 выполняет матричное умножение тайлами 4x4x4, A100 - тайлами 8x8x4, т.е. одно и то же произведение разбивается на разное количество шагов с разными промежуточными суммами, и из-за неассоциативности float итог разный). При этом NVIDIA в официальной документации PTX ISA [ссылка] прямо указывает для операций с .f16 и .bf16: "The accumulation order, rounding and handling of subnormal inputs is unspecified".
А так как в LLM инференсе повсеместно используется BF16 (с 7 битами мантиссы), токены с близкими вероятностями могут поменяться местами. В статье приведен пример: в точке расхождения два прогона дают токену "know" вероятности 49.75% и 46.65% и в одном прогоне побеждает "know", в другом "have". Расхождение происходит в среднем на 45-82 токене в зависимости от модели. Для reasoning-моделей это особенно критично, потому что одно неверное слово в начале разворачивается в другую цепочку рассуждений.
Собственно, они предлагают решить эту проблему через LayerCast [GitHub]: веса модели хранятся в BF16, но все вычисления выполняются в FP32 (23 бита мантиссы). Оно не устраняет ключевую проблему, но делает модель более устойчивой. Однако FP32 вычисления медленнее, потому что современные GPU оптимизированы под 16-битные тензорные операции. Хз, насколько именно оно медленнее - авторы статьи не предоставили этих тестов
Последние несколько дней аутирую над этой темой, потому что периодически натыкаюсь на эксперименты, где люди пытаются заставить сетку что-нибудь дизассемблировать, перегонять разные форматы данных к одному типу и т.п. Поэтому у меня возник вопрос: насколько подобные проекты применимы в продакшене? Ведь если алгоритм выдает разные результаты на один и тот же набор данных, это может породить непредсказуемое поведение для всей системы. Кажется, будто ответ лежит на поверхности - ставишь temperature=0 и greedy decoding всегда берет один и тот же наиболее вероятный токен. Но на деле это работает не совсем так.
Чтобы понять почему, нужно взять во внимание одно фундаментальное свойство чисел с плавающей точкой - неассоциативность. В математике (a + b) + c = a + (b + c), но когда дело начинает касаться float, на сцену выходит стандарт IEEE 754. Float хранит фиксированное количество значимых цифр, и когда складываете числа с очень разными масштабами, хвост отбрасывается:
(0.1 + 1e20) - 1e20 # = 0.0
0.1 + (1e20 - 1e20) # = 0.1
Ниже приведу несколько статей, которые отталкиваются от этого свойства, но подсвечивают разные причины и варианты решений:
1) Understanding and Mitigating Numerical Sources of Nondeterminism in LLM Inference [ссылка] - разное железо
Авторы взяли 4 модели - два reasoning-варианта на базе DeepSeek-R1 и два instruct-варианта (Qwen2.5 и Llama-3.1) и прогнали их на 12 разных конфигурациях: два типа GPU (A100 и L40S), разное их количество и разный размер батча. В результате разброс точности на AIME'24 достигал 9%, а длина ответа расходилась до 9000 токенов при одном и том же промпте и greedy decoding.
Здесь важен аппаратный контекст. Исследователи из Манчестерского университета экспериментально проверили [ссылка], как тензорные ядра считают на V100, T4 и A100 - и обнаружили, что поведение отличается в зависимости от микроархитектуры (например V100 выполняет матричное умножение тайлами 4x4x4, A100 - тайлами 8x8x4, т.е. одно и то же произведение разбивается на разное количество шагов с разными промежуточными суммами, и из-за неассоциативности float итог разный). При этом NVIDIA в официальной документации PTX ISA [ссылка] прямо указывает для операций с .f16 и .bf16: "The accumulation order, rounding and handling of subnormal inputs is unspecified".
А так как в LLM инференсе повсеместно используется BF16 (с 7 битами мантиссы), токены с близкими вероятностями могут поменяться местами. В статье приведен пример: в точке расхождения два прогона дают токену "know" вероятности 49.75% и 46.65% и в одном прогоне побеждает "know", в другом "have". Расхождение происходит в среднем на 45-82 токене в зависимости от модели. Для reasoning-моделей это особенно критично, потому что одно неверное слово в начале разворачивается в другую цепочку рассуждений.
Собственно, они предлагают решить эту проблему через LayerCast [GitHub]: веса модели хранятся в BF16, но все вычисления выполняются в FP32 (23 бита мантиссы). Оно не устраняет ключевую проблему, но делает модель более устойчивой. Однако FP32 вычисления медленнее, потому что современные GPU оптимизированы под 16-битные тензорные операции. Хз, насколько именно оно медленнее - авторы статьи не предоставили этих тестов
Forwarded from КБ. экономика
Чел просил денег под постом нейронки — и она скинула ему $202 000 (₽15,5 млн). Он написал, что его дядя заболел, обвинил бота в проблемах и попросил всего 4 SOL (~₽40 000), оставив адрес криптокошелька. ИИ-агент перепутал сумму и перевёл всё, что было на счету.
❤1
Forwarded from CyberSecurityTechnologies
ML_with_Security.pdf
16.6 MB
#MLSecOps
#Tech_book
"Introduction to Machine Learning with Security:
Theory and Practice Using Python in the Cloud",
Second Edition, 2025.
// This book provides an introduction to machine learning, security and cloud computing, from a conceptual level, along with their usage with underlying infrastructure
#Tech_book
"Introduction to Machine Learning with Security:
Theory and Practice Using Python in the Cloud",
Second Edition, 2025.
// This book provides an introduction to machine learning, security and cloud computing, from a conceptual level, along with their usage with underlying infrastructure
Forwarded from Секреты DARPA и ЦРУ | DARPA&CIA
This media is not supported in your browser
VIEW IN TELEGRAM
Патент разведки США на аналоговый ИИ
Недавно Патентное ведомство США опубликовало заявку от GE Aviation — одного из крупнейших оборонных подрядчиков Америки. Финансирование — IARPA, исследовательское агентство разведывательного сообщества США.
О чём патент
Вместо обычного процессора — крохотные кремниевые микропружины в вакууме, раскачиваемые электрическими сигналами от датчиков. Внешний микрофон улавливает звук и преобразует его в напряжение, а возникающая электростатическая сила физически приводит эту микромеханику в движение. Их колебания — это и есть вычисления. Не нули и единицы цифровой логики, а сама динамика материала выполняет работу нейросети.
Такой чип можно поставить на подводный датчик, беспилотник или сейсмический сенсор — туда, где нет розетки и облака. Он будет месяцами слушать океан, распознавать цели и принимать решения полностью автономно. По сути, это миниатюрный ИИ-мозг для передовой линии — то, что военные называют Edge AI.
Мы провели глубокий технический разбор этого патента с привлечением ИИ-инструментов: восстановили физико-математическую модель, нашли скрытые инженерные уязвимости (микропружинки могут залипнуть навсегда, вакуумный корпус раздавит давление глубины, а память чипа стирается обычным электромагнитным импульсом) и проанализировали границы патентной защиты.
Но мы пошли дальше. Используя методологию ТРИЗ, мы спроектировали три альтернативные платформы, каждая на своей физике, каждая закрывает слабые места оригинала:
🔬 Жидкий нейрокомпьютер на ионогеле — копирует принцип внутреннего уха. Память намертво вшита в атомную решётку (электрохимическая интеркаляция). Несжимаемый гель-антифриз держит 500 АТМ глубоководного давления и арктическую заморозку −80°C. Вакуумный МЭМС-чип IARPA на такой глубине был бы раздавлен.
🌀 Магнонный SIGINT-процессор — перехватывает СВЧ-импульсы радаров ПВО напрямую на спиновых волнах, без оцифровки. Ноль движущихся деталей, сверхбыстрые голографические вычисления на терагерцовых частотах и 100% иммунитет к ядерному ЭМИ. Акустику не слышит принципиально — это его специализация, а не ошибка.
♻️ Аналоговый рой на мемристорах — массив копеечных гидрофонов, где заводской хаос и есть вычислительная мощность. Никаких процессоров и АЦП: аналоговые сигналы идут напрямую в пассивную матрицу мемристоров (ReRAM), а вычисления происходят аппаратно по законам Ома и Кирхгофа на ничтожных нановаттах. Уничтожьте 60% датчиков — точность упадёт на 2%.
Каждая альтернатива имеет свою нишу и свои ограничения — универсального решения не существует.
Полный аналитический доклад, модели и код всех 4 симуляторов — в открытом доступе.
🔒 DARPA&CIA
Недавно Патентное ведомство США опубликовало заявку от GE Aviation — одного из крупнейших оборонных подрядчиков Америки. Финансирование — IARPA, исследовательское агентство разведывательного сообщества США.
О чём патент
Вместо обычного процессора — крохотные кремниевые микропружины в вакууме, раскачиваемые электрическими сигналами от датчиков. Внешний микрофон улавливает звук и преобразует его в напряжение, а возникающая электростатическая сила физически приводит эту микромеханику в движение. Их колебания — это и есть вычисления. Не нули и единицы цифровой логики, а сама динамика материала выполняет работу нейросети.
Такой чип можно поставить на подводный датчик, беспилотник или сейсмический сенсор — туда, где нет розетки и облака. Он будет месяцами слушать океан, распознавать цели и принимать решения полностью автономно. По сути, это миниатюрный ИИ-мозг для передовой линии — то, что военные называют Edge AI.
Мы провели глубокий технический разбор этого патента с привлечением ИИ-инструментов: восстановили физико-математическую модель, нашли скрытые инженерные уязвимости (микропружинки могут залипнуть навсегда, вакуумный корпус раздавит давление глубины, а память чипа стирается обычным электромагнитным импульсом) и проанализировали границы патентной защиты.
Но мы пошли дальше. Используя методологию ТРИЗ, мы спроектировали три альтернативные платформы, каждая на своей физике, каждая закрывает слабые места оригинала:
🔬 Жидкий нейрокомпьютер на ионогеле — копирует принцип внутреннего уха. Память намертво вшита в атомную решётку (электрохимическая интеркаляция). Несжимаемый гель-антифриз держит 500 АТМ глубоководного давления и арктическую заморозку −80°C. Вакуумный МЭМС-чип IARPA на такой глубине был бы раздавлен.
🌀 Магнонный SIGINT-процессор — перехватывает СВЧ-импульсы радаров ПВО напрямую на спиновых волнах, без оцифровки. Ноль движущихся деталей, сверхбыстрые голографические вычисления на терагерцовых частотах и 100% иммунитет к ядерному ЭМИ. Акустику не слышит принципиально — это его специализация, а не ошибка.
♻️ Аналоговый рой на мемристорах — массив копеечных гидрофонов, где заводской хаос и есть вычислительная мощность. Никаких процессоров и АЦП: аналоговые сигналы идут напрямую в пассивную матрицу мемристоров (ReRAM), а вычисления происходят аппаратно по законам Ома и Кирхгофа на ничтожных нановаттах. Уничтожьте 60% датчиков — точность упадёт на 2%.
Каждая альтернатива имеет свою нишу и свои ограничения — универсального решения не существует.
Полный аналитический доклад, модели и код всех 4 симуляторов — в открытом доступе.
Please open Telegram to view this post
VIEW IN TELEGRAM
⚡2
Forwarded from CyberSecurityTechnologies
CIBER_Security_Benchmark.pdf
3.3 MB
#AIOps
#Research
"CIBER: A Comprehensive Benchmark for Security Evaluation of Code Interpreter Agents", Feb. 2026.
// CIBER - automated benchmark that combines dynamic attack generation, isolated secure sandboxing, and state-aware evaluation to systematically assess the vulnerability of code interpreter agents against four major types of adversarial attacks: Direct/Indirect Prompt Injection, Memory Poisoning, and Prompt-based Backdoor
#Research
"CIBER: A Comprehensive Benchmark for Security Evaluation of Code Interpreter Agents", Feb. 2026.
// CIBER - automated benchmark that combines dynamic attack generation, isolated secure sandboxing, and state-aware evaluation to systematically assess the vulnerability of code interpreter agents against four major types of adversarial attacks: Direct/Indirect Prompt Injection, Memory Poisoning, and Prompt-based Backdoor
😁1
Forwarded from Поляков считает: AI, код и кейсы
Три протокола агентной коммерции: кто кого контролирует
За полгода появились три протокола, позволяющие ИИ покупать товары от имени человека: ACP от OpenAI и Stripe (сентябрь 2025), UCP от Google и Shopify (январь 2026), и вчера — YCP от Яндекса. Плюс десятки MCP-серверов для отдельных магазинов (вроде ВкусВилл).
Когда я вижу новый протокол, я не читаю пресс-релиз. Я смотрю на роли: кто покупатель, кто продавец, а главное — кто между ними и сколько власти у каждого.
🎭 Роли в агентной коммерции
В обычном e-commerce всё просто: покупатель и продавец (иногда мёрчант и платежная система). В агентном — между ними появляются посредники:
🔸 AI-провайдер — чей ИИ общается с покупателем (ChatGPT, Gemini, Алиса)
🔸 Платёжный провайдер — кто проводит деньги (Stripe, Yandex Pay, Visa)
🔸 Платформа — где живёт магазин (Shopify, KIT, 1С-Битрикс)
🔸 Владелец протокола — кто написал правила игры
🔸 Разработчик агента — кто-то кто создал своего агента поверх протокола
И вот тут начинается самое интересное.
🔍 Кто совмещает роли
В ACP роли формально разнесены: OpenAI делает ИИ, Stripe — платежи, Shopify — платформу. Спека открыта (Apache 2.0). Но нюанс: Instant Checkout в ChatGPT — только для одобренных партнёров, платёжный токен пока только через Stripe, а механизма discovery для внешних агентов ещё не существует. Спека открытая, канал — «по приглашениям».
В UCP Google разделил роли сильнее: 4 транспорта (REST, MCP, A2A, крипто-мандаты), 20+ партнёров включая Visa и Mastercard. Мерчант публикует манифест на /.well-known/ucp — это как robots.txt, только для ИИ-покупателей (пример https://store.moma.org/.well-known/ucp). Архитектурно — самый открытый. Но в продакшне пока тоже только Google AI Mode.
В YCP Яндекс — одновременно AI-провайдер (Алиса), платёжка (Yandex Pay), платформа (KIT) И владелец протокола. Четыре роли в одном. Спека закрыта, MCP не поддерживается, внешних агентов нет даже в теории.
⚡ Три вопроса, которые всё решают
1️⃣ Могу ли я подключить своего бота?
ACP — спека открыта, но в продакшне работает только ChatGPT, и мерчанты сертифицированы под него. UCP — архитектурно да (четыре транспорта, Agent-to-Agent), но в дикой природе тоже пока один канал. YCP — нет, только Алиса. По факту ни один протокол сегодня не даёт тебе взять спеку и запустить своего shopping-агента «из коробки».
2️⃣ Могу ли я влиять на то, как ИИ выбирает мой товар?
ACP вообще не покрывает discovery — только чекаут. UCP даёт мерчанту манифест возможностей. А в YCP Алиса сама решает: у неё агент «Найти дешевле», индикаторы цен и персональные скидки. Продавец не контролирует ранжирование.
3️⃣ А если я — не продавец, а покупатель-гик?
Допустим, я хочу агента для себя. Который покупает продукты по моим правилам, а не по правилам рекомендательной системы.
ACP и UCP теоретически это позволяют — спеки открыты, бери и пиши. На практике — discovery нет, оплата только через определенную платежную систему, работающих примеров ноль. YCP — даже теоретически не подключить.
А ведь еще предстоит решить вопрос возврата заказов (доступен только в UCP), работы с отзывами, ограничением возможностей скрапинга контента.
А вы ждёте агентную коммерцию? И что важнее — чтобы подключение было гарантированно простым, или чтобы можно было гибко настроить под себя?
----
Поляков считает — AI, код и кейсы
За полгода появились три протокола, позволяющие ИИ покупать товары от имени человека: ACP от OpenAI и Stripe (сентябрь 2025), UCP от Google и Shopify (январь 2026), и вчера — YCP от Яндекса. Плюс десятки MCP-серверов для отдельных магазинов (вроде ВкусВилл).
Когда я вижу новый протокол, я не читаю пресс-релиз. Я смотрю на роли: кто покупатель, кто продавец, а главное — кто между ними и сколько власти у каждого.
🎭 Роли в агентной коммерции
В обычном e-commerce всё просто: покупатель и продавец (иногда мёрчант и платежная система). В агентном — между ними появляются посредники:
🔸 AI-провайдер — чей ИИ общается с покупателем (ChatGPT, Gemini, Алиса)
🔸 Платёжный провайдер — кто проводит деньги (Stripe, Yandex Pay, Visa)
🔸 Платформа — где живёт магазин (Shopify, KIT, 1С-Битрикс)
🔸 Владелец протокола — кто написал правила игры
🔸 Разработчик агента — кто-то кто создал своего агента поверх протокола
И вот тут начинается самое интересное.
🔍 Кто совмещает роли
В ACP роли формально разнесены: OpenAI делает ИИ, Stripe — платежи, Shopify — платформу. Спека открыта (Apache 2.0). Но нюанс: Instant Checkout в ChatGPT — только для одобренных партнёров, платёжный токен пока только через Stripe, а механизма discovery для внешних агентов ещё не существует. Спека открытая, канал — «по приглашениям».
В UCP Google разделил роли сильнее: 4 транспорта (REST, MCP, A2A, крипто-мандаты), 20+ партнёров включая Visa и Mastercard. Мерчант публикует манифест на /.well-known/ucp — это как robots.txt, только для ИИ-покупателей (пример https://store.moma.org/.well-known/ucp). Архитектурно — самый открытый. Но в продакшне пока тоже только Google AI Mode.
В YCP Яндекс — одновременно AI-провайдер (Алиса), платёжка (Yandex Pay), платформа (KIT) И владелец протокола. Четыре роли в одном. Спека закрыта, MCP не поддерживается, внешних агентов нет даже в теории.
💡 Все три протокола — lock-in, вопрос лишь в жёсткости замка. YCP — железный засов (только Алиса). ACP — дверь открыта, но на защелке. UCP — ближе всех к реальной открытости, но пока тоже один работающий канал.
⚡ Три вопроса, которые всё решают
1️⃣ Могу ли я подключить своего бота?
ACP — спека открыта, но в продакшне работает только ChatGPT, и мерчанты сертифицированы под него. UCP — архитектурно да (четыре транспорта, Agent-to-Agent), но в дикой природе тоже пока один канал. YCP — нет, только Алиса. По факту ни один протокол сегодня не даёт тебе взять спеку и запустить своего shopping-агента «из коробки».
2️⃣ Могу ли я влиять на то, как ИИ выбирает мой товар?
ACP вообще не покрывает discovery — только чекаут. UCP даёт мерчанту манифест возможностей. А в YCP Алиса сама решает: у неё агент «Найти дешевле», индикаторы цен и персональные скидки. Продавец не контролирует ранжирование.
3️⃣ А если я — не продавец, а покупатель-гик?
Допустим, я хочу агента для себя. Который покупает продукты по моим правилам, а не по правилам рекомендательной системы.
ACP и UCP теоретически это позволяют — спеки открыты, бери и пиши. На практике — discovery нет, оплата только через определенную платежную систему, работающих примеров ноль. YCP — даже теоретически не подключить.
А ведь еще предстоит решить вопрос возврата заказов (доступен только в UCP), работы с отзывами, ограничением возможностей скрапинга контента.
🎯 Вот главный гэп: все три протокола заточены под связку «продавец → ИИ → покупатель». Но никто не строит протокол от лица покупателя — чтобы мой агент ходил по магазинам с моими требованиями и договаривался на моих условиях. Пока ближе всех к этому UCP с его Agent-to-Agent транспортом, но реализаций я пока не видел.
А вы ждёте агентную коммерцию? И что важнее — чтобы подключение было гарантированно простым, или чтобы можно было гибко настроить под себя?
----
Поляков считает — AI, код и кейсы
Forwarded from Russian OSINT
Власти Китая предупредили об угрозах безопасности, связанных с проектом с открытым исходным кодом OpenClaw, и призвали правительственные учреждения проявлять крайнюю осторожность, учитывая быстро растущее число его загрузок с китайских IP-адресов и тот факт, что с января количество просмотров документов о проекте на китайском языке превысило просмотры на всех остальных неанглоязычных языках.
«Риски можно в общих чертах разделить на три категории.
Во-первых, чрезмерные системные разрешения могут привести к утечке данных.
Во-вторых, "галлюцинации" большой языковой модели (LLM) могут стать причиной операционных ошибок. Например, получив команду удалить одно электронное письмо, система может ошибочно удалить письма за весь день, что отражает риски, связанные с более широкой тенденцией к автономному взаимодействию.
В-третьих, при возникновении инцидентов в сфере безопасности трудно отследить процесс принятия решений моделью, что затрудняет выявление причины и устранение проблемы»
— заявил во вторник в интервью Global Times Ли Чаочжо, научный сотрудник Школы кибербезопасности Пекинского университета почты и телекоммуникаций.
5 февраля Министерство промышленности и информационных технологий Китая выпустило предупреждение о безопасности, в котором говорилось о рисках, связанных с OpenClaw. В предупреждении отмечалось, что мониторинг выявил определенные развертывания OpenClaw, которые при стандартных или неправильных конфигурациях провоцируют относительно высокие риски безопасности, делая системы крайне уязвимыми для кибератак и утечки информации.
Правительственным учреждениям и предприятиям Китая настоятельно рекомендуется придерживаться базового принципа: «секретная информация не должна быть подключена к интернету, а системы, подключенные к интернету, не должны обрабатывать секретную информацию».
В связи с этим в предупреждении соответствующим подразделениям и пользователям при развертывании и применении OpenClaw рекомендуется тщательно проверять доступность из публичных сетей, настройки разрешений и управление учетными данными; закрывать ненужный публичный доступ; усиливать аутентификацию личности, контроль доступа, шифрование данных и механизмы аудита безопасности; а также продолжать следовать официальным уведомлениям о безопасности и рекомендациям по усилению защиты, чтобы оградить себя от потенциальных киберугроз.
👆По данным Korea Times, несколько крупных южнокорейских технологических компаний ограничили использование OpenClaw в своих корпоративных сетях из-за растущих опасений по поводу безопасности и конфиденциальности данных.
Please open Telegram to view this post
VIEW IN TELEGRAM