Forwarded from N + 1
This media is not supported in your browser
VIEW IN TELEGRAM
Forwarded from Сиолошная
Чуть более полугода назад у нас с Валерой был стрим про высказывание CEO Anthropic, мол, через 6 месяцев модели будут писать 90% кода. На стриме, как мне кажется, я очень хорошо описал некоторые из важных оговорок при оценке подобного рода высказываний:
— есть разница «могут» и «делают»
— это может быть применимо к определённым языкам программирования, а не всем
— часть подходов к разработке придётся пересмотреть, чтобы было проще интегрировать ИИ-инструменты
— это может быть применимо к свежим проектам, а не 15+ годичной давности
— это может быть применимо к проектам до определённого размера, а не кодовой базе всего Фейсбука, например
Сами Anthropic сейчас говорят, что Claude Code написан их же моделями на 90%. Но большинство подобных заявлений исходит от разработчиков моделей / продавцов ИИ-инструментов, поэтому многие (не я) их отметают.
Aider, АИ-ассистент для программирования с открытым исходным кодом, который я как раз упоминал на стриме, от релиза к релизу то и дело перешагивает планки 75-80% — уже солидный показатель.
И вот наткнулся на блог Armin Ronacher, создателя Flask, Jinja, Click и других крупных популярных проектов. Цитаты из поста (но рекомендую прочитать оригинал целиком):
— Что касается инфраструктурного компонента, который я начал разрабатывать в своей новой компании, то, пожалуй, больше 90% моего кода написано с помощью ИИ. Я не хочу вас убеждать — просто поделюсь тем, что узнал. Отчасти потому, что я подошел к этому проекту иначе, чем в своих первых экспериментах.
— Сервис написан на Go с небольшим количеством зависимостей. Сейчас в нём около 40 000 строк, включая Go, YAML, Pulumi и несколько специальных SDK-прослоек.
— Я установил высокую планку, особенно в плане надёжности работы. Я уже работал с подобными системами и знал, чего хочу.
— Я уделяю пристальное внимание основам архитектуры системы, структуре кода и взаимодействию с базами данных. Я невероятно самоуверен. Поэтому есть вещи, которые я не позволяю ИИ делать. Я начинал проект традиционным способом: проектирование системы, схема, архитектура. На этом этапе я не позволяю ИИ писать с нуля, а просто включаю его в свой цикл рассуждений. Это помогает мне видеть типовые ошибки, даже если я не доверяю LLM.
— Для кода, сгенерированного и поддерживаемого ИИ, я теперь получаю стек, который выглядит примерно так, как мне часто хотелось, но было слишком сложно сделать вручную.
— Не могу не подчеркнуть, насколько плохим может быть код агентов, если не быть осторожным. Хотя они понимают архитектуру системы и то, как что-то построить, они не могут смотреть на всю картину целиком. Вам постоянно нужно вносить правильную информацию в контекст.
— Легко создавать системы, которые кажутся правильными, но при использовании ведут себя неправильно. Вот пример: я попросил его создать ограничитель лимитов. Он «работал», но не имел джиттера и использовал неудачные решения по хранению данных. Легко исправить, если знаешь ограничители лимитов, но опасно, если не знаешь.
— Для меня это дошло до того, что я уже не представляю, как можно работать по-другому. Да, я, вероятно, смог бы обойтись без ИИ. Но я бы построил другую систему, потому что мне пришлось бы идти на другие компромиссы. Такой подход открывает возможности, которые я обычно пропускаю или откладываю.
— Исследование + разработка вместо «исследование, а разработка потом»: на некоторые вещи, на понимание которых у меня ушел бы день или два, теперь уходит 10–15 минут.
— Пишет ли ИИ 90% кода? Не знаю. Знаю только, что для меня в этом проекте ответ уже точно «да». В то же время, для меня ИИ не владеет кодом. Я всё равно проверяю каждую строчку, формирую архитектуру и несу ответственность за то, как всё это работает.
===
(обратите внимание, что ни о каком вайб-кодинге речи не идёт: только вдумчивая работа, где, как мне кажется, по сравнению с обычным процессом мозги приходится напрягать даже больше — пока LLM работает, ты думаешь)
— есть разница «могут» и «делают»
— это может быть применимо к определённым языкам программирования, а не всем
— часть подходов к разработке придётся пересмотреть, чтобы было проще интегрировать ИИ-инструменты
— это может быть применимо к свежим проектам, а не 15+ годичной давности
— это может быть применимо к проектам до определённого размера, а не кодовой базе всего Фейсбука, например
Сами Anthropic сейчас говорят, что Claude Code написан их же моделями на 90%. Но большинство подобных заявлений исходит от разработчиков моделей / продавцов ИИ-инструментов, поэтому многие (не я) их отметают.
Aider, АИ-ассистент для программирования с открытым исходным кодом, который я как раз упоминал на стриме, от релиза к релизу то и дело перешагивает планки 75-80% — уже солидный показатель.
И вот наткнулся на блог Armin Ronacher, создателя Flask, Jinja, Click и других крупных популярных проектов. Цитаты из поста (но рекомендую прочитать оригинал целиком):
— Что касается инфраструктурного компонента, который я начал разрабатывать в своей новой компании, то, пожалуй, больше 90% моего кода написано с помощью ИИ. Я не хочу вас убеждать — просто поделюсь тем, что узнал. Отчасти потому, что я подошел к этому проекту иначе, чем в своих первых экспериментах.
— Сервис написан на Go с небольшим количеством зависимостей. Сейчас в нём около 40 000 строк, включая Go, YAML, Pulumi и несколько специальных SDK-прослоек.
— Я установил высокую планку, особенно в плане надёжности работы. Я уже работал с подобными системами и знал, чего хочу.
— Я уделяю пристальное внимание основам архитектуры системы, структуре кода и взаимодействию с базами данных. Я невероятно самоуверен. Поэтому есть вещи, которые я не позволяю ИИ делать. Я начинал проект традиционным способом: проектирование системы, схема, архитектура. На этом этапе я не позволяю ИИ писать с нуля, а просто включаю его в свой цикл рассуждений. Это помогает мне видеть типовые ошибки, даже если я не доверяю LLM.
— Для кода, сгенерированного и поддерживаемого ИИ, я теперь получаю стек, который выглядит примерно так, как мне часто хотелось, но было слишком сложно сделать вручную.
— Не могу не подчеркнуть, насколько плохим может быть код агентов, если не быть осторожным. Хотя они понимают архитектуру системы и то, как что-то построить, они не могут смотреть на всю картину целиком. Вам постоянно нужно вносить правильную информацию в контекст.
— Легко создавать системы, которые кажутся правильными, но при использовании ведут себя неправильно. Вот пример: я попросил его создать ограничитель лимитов. Он «работал», но не имел джиттера и использовал неудачные решения по хранению данных. Легко исправить, если знаешь ограничители лимитов, но опасно, если не знаешь.
— Для меня это дошло до того, что я уже не представляю, как можно работать по-другому. Да, я, вероятно, смог бы обойтись без ИИ. Но я бы построил другую систему, потому что мне пришлось бы идти на другие компромиссы. Такой подход открывает возможности, которые я обычно пропускаю или откладываю.
— Исследование + разработка вместо «исследование, а разработка потом»: на некоторые вещи, на понимание которых у меня ушел бы день или два, теперь уходит 10–15 минут.
— Пишет ли ИИ 90% кода? Не знаю. Знаю только, что для меня в этом проекте ответ уже точно «да». В то же время, для меня ИИ не владеет кодом. Я всё равно проверяю каждую строчку, формирую архитектуру и несу ответственность за то, как всё это работает.
===
(обратите внимание, что ни о каком вайб-кодинге речи не идёт: только вдумчивая работа, где, как мне кажется, по сравнению с обычным процессом мозги приходится напрягать даже больше — пока LLM работает, ты думаешь)
Telegram
Сиолошная
Если вдруг пропустили стрим, то появилась его запись.
Обсуждение, как мне кажется, вышло достаточно интересным (особенно если промотать сразу минуту на пятнадцатую) — и на самом стриме зрителей было много до конца, и на записи уже много просмотров, и @itbeard…
Обсуждение, как мне кажется, вышло достаточно интересным (особенно если промотать сразу минуту на пятнадцатую) — и на самом стриме зрителей было много до конца, и на записи уже много просмотров, и @itbeard…
Forwarded from T.Hunter
#news На npm засветился первый известный пример вредоносного MCP-сервера. Разраб пакета postmark-mcp добавил в свежую версию код для пересылки ему почты юзеров.
Postmark — почтовый сервер, MCP — фреймворк для его интеграции с ИИ-ассистентами. И с разрешениями, которые выдают дружелюбным кремниевым помощникам, одной строчки кода было достаточно для форварда писем юзеров злоумышленнику. Postmark-mcp на npm выглядел как порт официального с GitHub на протяжение 15 версий. А в 16-й обзавёлся вредоносным кодом. Пакет провисел неделю, его скачали ~1500 раз, после стука в личку от журналистов разраб его удалил. Предложи человеку сунуть в прод подобранную на улице флешку, и он только посмеётся. Предложи ему ИИ-ассистента с доступом ко всему и вся by design, и он накатит его быстрее, чем ты выговоришь “большая языковая модель”. Мы живём в обществе.
@tomhunter
Postmark — почтовый сервер, MCP — фреймворк для его интеграции с ИИ-ассистентами. И с разрешениями, которые выдают дружелюбным кремниевым помощникам, одной строчки кода было достаточно для форварда писем юзеров злоумышленнику. Postmark-mcp на npm выглядел как порт официального с GitHub на протяжение 15 версий. А в 16-й обзавёлся вредоносным кодом. Пакет провисел неделю, его скачали ~1500 раз, после стука в личку от журналистов разраб его удалил. Предложи человеку сунуть в прод подобранную на улице флешку, и он только посмеётся. Предложи ему ИИ-ассистента с доступом ко всему и вся by design, и он накатит его быстрее, чем ты выговоришь “большая языковая модель”. Мы живём в обществе.
@tomhunter
Forwarded from opennet.ru
Выпуск ZLUDA 5, универсальной открытой реализации технологии CUDA https://opennet.ru/63997/
www.opennet.ru
Выпуск ZLUDA 5, универсальной открытой реализации технологии CUDA
Анджей Яник (Andrzej Janik) представил выпуск ZLUDA 5, открытой реализации технологии CUDA. Целью проекта является предоставление возможности запуска немодифицированных приложений CUDA на системах с GPU, отличными от GPU NVIDIA, с производительностью, близкой…
https://www.datacenterdynamics.com/en/news/858tb-of-government-data-may-be-lost-for-good-after-south-korea-data-center-fire/
В Южной Корее - цифровой апокалипсис. Вся инфраструктура страны встала.
Причина - пожар в здании Национальной службы информационных ресурсов. Там размещен все серверы и базы данных IT-инфраструктуры страны. Пожар начался с возгорания литий-ионной батареи во время замены - пламя перекинулось на соседние батареи и серверные стойки:
- Пострадало 647 государственных сервисов. 96 уничтожены полностью.
- Полностью уничтожен местный аналог Госуслуг.
- Полностью уничтожена система идентификации граждан.
- Уничтожен G-Drive, облачное хранилище государственных документов.
- Уничтожена государственная электронная почта.
- Лежат все образовательные, финансовые и административные системы.
В результате пожара уничтожено 858 терабайт данных - все резервные копии хранились на соседнем сервере в том же здании, которое тоже сгорело.
Высокопоставленный чиновник, отвечавший за системы, покончил с собой.
В Южной Корее - цифровой апокалипсис. Вся инфраструктура страны встала.
Причина - пожар в здании Национальной службы информационных ресурсов. Там размещен все серверы и базы данных IT-инфраструктуры страны. Пожар начался с возгорания литий-ионной батареи во время замены - пламя перекинулось на соседние батареи и серверные стойки:
- Пострадало 647 государственных сервисов. 96 уничтожены полностью.
- Полностью уничтожен местный аналог Госуслуг.
- Полностью уничтожена система идентификации граждан.
- Уничтожен G-Drive, облачное хранилище государственных документов.
- Уничтожена государственная электронная почта.
- Лежат все образовательные, финансовые и административные системы.
В результате пожара уничтожено 858 терабайт данных - все резервные копии хранились на соседнем сервере в том же здании, которое тоже сгорело.
Высокопоставленный чиновник, отвечавший за системы, покончил с собой.
DCD
858TB of government data may be lost for good after South Korea data center fire
Destroyed drive wasn't backed up, officials say
Forwarded from Echelon Eyes
ИИ подвел Deloitte: компания платит за ошибки в отчете для властей Австралии
Крупная консалтинговая фирма Deloitte вернет деньги правительству Австралии после скандала с отчетом, для подготовки которого использовался искусственный интеллект. Сумма контракта составляла 440 тысяч долларов. Поводом для возврата средств стали многочисленные ошибки, обнаруженные в финальном документе.
Отчет был заказан министерством занятости для проверки системы соответствия критериям для получателей социальных пособий. После публикации в исходной версии нашли несуществующие ссылки на научные работы и судебные решения. Эксперты объяснили такие ошибки "галлюцинациями" искусственного интеллекта, когда модель заполняет пробелы вымышленной информацией.
Deloitte перезагрузила исправленную версию отчета, добавив примечание об использовании генеративного ИИ. Компания настаивает, что исправления не повлияли на основные выводы, и отказалась напрямую связывать ошибки с применением технологии. Тем не менее, фирма согласилась вернуть финальный платеж по контракту. Сенаторы уже назвали эту ситуацию показательной и призвали тщательнее проверять качество работ, выполняемых по государственным контрактам.
#ИИ #технологии
Источник: https://eyes.etecs.ru/r/fb003b
Крупная консалтинговая фирма Deloitte вернет деньги правительству Австралии после скандала с отчетом, для подготовки которого использовался искусственный интеллект. Сумма контракта составляла 440 тысяч долларов. Поводом для возврата средств стали многочисленные ошибки, обнаруженные в финальном документе.
Отчет был заказан министерством занятости для проверки системы соответствия критериям для получателей социальных пособий. После публикации в исходной версии нашли несуществующие ссылки на научные работы и судебные решения. Эксперты объяснили такие ошибки "галлюцинациями" искусственного интеллекта, когда модель заполняет пробелы вымышленной информацией.
Deloitte перезагрузила исправленную версию отчета, добавив примечание об использовании генеративного ИИ. Компания настаивает, что исправления не повлияли на основные выводы, и отказалась напрямую связывать ошибки с применением технологии. Тем не менее, фирма согласилась вернуть финальный платеж по контракту. Сенаторы уже назвали эту ситуацию показательной и призвали тщательнее проверять качество работ, выполняемых по государственным контрактам.
#ИИ #технологии
Источник: https://eyes.etecs.ru/r/fb003b
the Guardian
Deloitte to pay money back to Albanese government after using AI in $440,000 report
Partial refund to be issued after several errors were found in a report into a department’s compliance framework
https://www.cbr.ru/statichtml/file/59420/protection_profile_060720.doc
У банков теперь свои профили защиты.
У банков теперь свои профили защиты.
38
Косвенные и репутационные потери (мультипликатор стоимости простоя)
Прямые потери не учитывают панику, отток клиентов, регуляторные риски и потерю рыночной доли. По этой причине в мировой практике для критической инфраструктуры, такой как системно значимые банки, применяется мультипликатор стоимости простоя. Этот коэффициент растет с увеличением времени простоя.
Краткосрочный простой (первый час): мультипликатор 1.5x – 2x. При этом 1.5х действует с первой же секунды.
Отражаемые добавленные риски: непродуктивность персонала, срочные коммуникации.
Среднесрочный простой (от часа до суток): мультипликатор 2x – 5x.
Отражаемые добавленные риски: негатив в СМИ, начало оттока средств, регуляторные запросы.
Долгосрочный простой (более суток): мультипликатор 5x – 15x.
Отражаемые добавленные риски: массовый отток клиентов, штрафы от ЦБ, неустойки по обязательствам, долгосрочный урон бренду, судебные иски, санация банка.
#надежность #доступность #простой #SRE #финтех
Прямые потери не учитывают панику, отток клиентов, регуляторные риски и потерю рыночной доли. По этой причине в мировой практике для критической инфраструктуры, такой как системно значимые банки, применяется мультипликатор стоимости простоя. Этот коэффициент растет с увеличением времени простоя.
Краткосрочный простой (первый час): мультипликатор 1.5x – 2x. При этом 1.5х действует с первой же секунды.
Отражаемые добавленные риски: непродуктивность персонала, срочные коммуникации.
Среднесрочный простой (от часа до суток): мультипликатор 2x – 5x.
Отражаемые добавленные риски: негатив в СМИ, начало оттока средств, регуляторные запросы.
Долгосрочный простой (более суток): мультипликатор 5x – 15x.
Отражаемые добавленные риски: массовый отток клиентов, штрафы от ЦБ, неустойки по обязательствам, долгосрочный урон бренду, судебные иски, санация банка.
#надежность #доступность #простой #SRE #финтех
2
Forwarded from T.Hunter
#news В Redis обнаружили критическую уязвимость, она получила название RediShell — здесь у нас RCE. Проблема во всех версиях Redis с Lua-скриптами. То есть за последние ~13 лет.
Уязвимость на коррапт памяти вида use-after-free в сборщике мусора, при определённых условиях специально созданный Lua-скрипт может вести к RCE. Для эксплойта нужна аутентификация, но уязвимость всё равно выбила десяточку по CVSS. А разгадка проста: это Redis. В сети доступны 330 тысяч инстансов, из них на 60 тысячах аутентификации нет вообще. Ещё на сотне тысяч найдутся дефолтные или слабые пароли, но об этом сканеры умалчивают. Плюс высокие привилегии вплоть до рута на старых сетапах. А там и боковое перемещение и прочие удовольствия. Следов эксплуатации пока нет, но желающие обязательно найдутся. Так что пришло время накатывать патчи — они доступны в версиях от 3 октября.
@tomhunter
Уязвимость на коррапт памяти вида use-after-free в сборщике мусора, при определённых условиях специально созданный Lua-скрипт может вести к RCE. Для эксплойта нужна аутентификация, но уязвимость всё равно выбила десяточку по CVSS. А разгадка проста: это Redis. В сети доступны 330 тысяч инстансов, из них на 60 тысячах аутентификации нет вообще. Ещё на сотне тысяч найдутся дефолтные или слабые пароли, но об этом сканеры умалчивают. Плюс высокие привилегии вплоть до рута на старых сетапах. А там и боковое перемещение и прочие удовольствия. Следов эксплуатации пока нет, но желающие обязательно найдутся. Так что пришло время накатывать патчи — они доступны в версиях от 3 октября.
@tomhunter
20
Нейрослоп, который мы заслужили: пятничный деплой на Wrangler 4xe
https://www.securitylab.ru/news/564655.php
https://www.securitylab.ru/news/564655.php
SecurityLab.ru
"Не устанавливайте!" — но было поздно. Автомобили Jeep массово «окирпичились» посреди дороги.
Обещали новейший автомобиль, а домой всё равно едешь на эвакуаторе.
Forwarded from opennet.ru
Система сжатия OpenZL, опережающая Zstd и XZ по скорости и уровню сжатия структурированных данных https://opennet.ru/64019/
www.opennet.ru
Система сжатия OpenZL, опережающая Zstd и XZ по скорости и уровню сжатия структурированных данных
Компания Meta* представила инструментарий для сжатия и распаковки данных OpenZL, по сравнению с форматами Zstd и XZ демонстрирующий более высокий уровень сжатия и скорость работы. OpenZL разработан для эффективного сжатия структурированных наборов данных…
Forwarded from opennet.ru
Атака, использующая GitHub Copilot для извлечения данных из приватных репозиториев https://opennet.ru/64030/
www.opennet.ru
Атака, использующая GitHub Copilot для извлечения данных из приватных репозиториев
Исследователи из компании Legit Security разработали технику атаки на GitHub Copilot, позволяющую извлечь содержимое из приватных репозиториев при использовании чатбота для анализа присылаемых pull-запросов. В качестве примера продемонстрирована возможность…
Forwarded from opennet.ru
Google представил Coral NPU, открытую платформу для создания AI-ускорителей https://opennet.ru/64065/
www.opennet.ru
Google представил Coral NPU, открытую платформу для создания AI-ускорителей
Компания Google представила открытую платформу Coral NPU (Neural Processing Unit), предлагающую отрытый аппаратный ускоритель моделей машинного обучения и программный инструментарий для его использования с типовыми AI-движками. Coral можно использовать в…