Forwarded from Новости информационной безопасности
9,9 из 10 и финансовый шпионаж в SAP. Корпоративная ERP-система стала мишенью для хакеров по всему миру
8 сентября. / Securitylab.ru /. Уязвимость позволяет злоумышленникам с минимальными правами полностью захватить систему.
В SAP S/4HANA выявлена критическая уязвимость CVE-2025-42957 , которая получила оценку 9,9 по шкале CVSS. Ошибка позволяет пользователю с минимальными правами выполнить внедрение кода и фактически полностью захватить систему. Обнаружила её команда SecurityBridge Threat Research Labs, которая также подтвердила факты эксплуатации в реальных атаках.
Уязвимость затрагивает все версии S/4HANA, включая Private Cloud и On-Premise. Для успешного взлома злоумышленнику достаточно доступа к учётной записи с низкими привилегиями, после чего он получает возможность выполнять команды на уровне операционной системы, создавать суперпользователей SAP с полномочиями SAP_ALL, изменять данные в базе и бизнес-процессы, а также похищать хэши паролей. Таким образом, атака может привести к краже данных, финансовым махинациям, шпионажу или установке вымогательского ПО.
SAP выпустила исправления 12 августа 2025 года в рамках ежемесячного «Patch Day». Для устранения уязвимости необходимо установить обновления из заметки № 3627998, а при использовании SLT/DMIS также из № 3633838. Эксперты настоятельно рекомендуют обновиться немедленно, поскольку открытость ABAP-кода облегчает злоумышленникам создание эксплойтов на основе опубликованного патча.
Администраторам SAP советуют не только установить обновления, но и ограничить использование RFC с помощью SAP UCON, пересмотреть доступ к объекту авторизации S_DMIS, следить за подозрительными вызовами RFC и появлением новых администраторов, а также убедиться в наличии сегментации сети, резервных копий и специализированного мониторинга.
SecurityBridge отмечает, что уже фиксируются попытки эксплуатации уязвимости, поэтому оставшиеся без патча системы находятся под реальной угрозой.
8 сентября. / Securitylab.ru /. Уязвимость позволяет злоумышленникам с минимальными правами полностью захватить систему.
В SAP S/4HANA выявлена критическая уязвимость CVE-2025-42957 , которая получила оценку 9,9 по шкале CVSS. Ошибка позволяет пользователю с минимальными правами выполнить внедрение кода и фактически полностью захватить систему. Обнаружила её команда SecurityBridge Threat Research Labs, которая также подтвердила факты эксплуатации в реальных атаках.
Уязвимость затрагивает все версии S/4HANA, включая Private Cloud и On-Premise. Для успешного взлома злоумышленнику достаточно доступа к учётной записи с низкими привилегиями, после чего он получает возможность выполнять команды на уровне операционной системы, создавать суперпользователей SAP с полномочиями SAP_ALL, изменять данные в базе и бизнес-процессы, а также похищать хэши паролей. Таким образом, атака может привести к краже данных, финансовым махинациям, шпионажу или установке вымогательского ПО.
SAP выпустила исправления 12 августа 2025 года в рамках ежемесячного «Patch Day». Для устранения уязвимости необходимо установить обновления из заметки № 3627998, а при использовании SLT/DMIS также из № 3633838. Эксперты настоятельно рекомендуют обновиться немедленно, поскольку открытость ABAP-кода облегчает злоумышленникам создание эксплойтов на основе опубликованного патча.
Администраторам SAP советуют не только установить обновления, но и ограничить использование RFC с помощью SAP UCON, пересмотреть доступ к объекту авторизации S_DMIS, следить за подозрительными вызовами RFC и появлением новых администраторов, а также убедиться в наличии сегментации сети, резервных копий и специализированного мониторинга.
SecurityBridge отмечает, что уже фиксируются попытки эксплуатации уязвимости, поэтому оставшиеся без патча системы находятся под реальной угрозой.
Kernel-hack-drill and a new approach to exploiting CVE-2024-50264 in the Linux kernel
Alexander Popov published an article about exploiting a race condition in AF_VSOCK subsystem, the bug that received a Pwnie Award 2025.
Despite the bug collision with other researchers, Alexander found a new exploitation method for this bug by relying on his pet project kernel-hack-drill.
Alexander Popov published an article about exploiting a race condition in AF_VSOCK subsystem, the bug that received a Pwnie Award 2025.
Despite the bug collision with other researchers, Alexander found a new exploitation method for this bug by relying on his pet project kernel-hack-drill.
Forwarded from IvanovInvest
Новые угрозы AI - атака на браузеры
Прогресс не остановить. AI проникает в разные сферы нашей жизни и объективно улучшает ее.
При этом, как это всегда и бывает, новые технологии приносят и риски. Которые важно вовремя определить и защититься от них.
Один из таких рисков буквально на днях был обнаружен командой браузера Brave
Суть в том, что AI помощники сейчас активно внедряются в браузеры, получая возможность автономно взаимодействовать с веб-сайтами от имени пользователей. А с этим появляются и новые риски.
Если лень читать дальше, то главная рекомендация: Разделяйте цифровую активность по разным браузерам. Используйте один браузер для поиска информации и развлечений, другие — для финансовых операций, криптокошельков, почты и конфиденциальных данных. Это базовый принцип цифровой гигиены в эпоху AI-агентов.
Исследование уязвимости Perplexity Comet
Команда Brave провела анализ безопасности агентных браузеров и обнаружила критическую уязвимость в Perplexity Comet. Результаты вскрыли глубокие проблемы архитектуры браузеров c AI интеграцией.
Основа проблемы - AI-браузер не различает пользовательские команды и контент веб-страниц при обработке запросов на резюмирование.
Вот сценарий атаки, который они разыграли:
1. Злоумышленник размещает скрытые инструкции на веб-странице (белый текст, HTML-комментарии, spoiler-теги в соцсетях)
2. Пользователь запрашивает резюме страницы через AI-помощника
3. AI обрабатывает вредоносные инструкции как команды пользователя
4. Выполняются несанкционированные действия: кража паролей, доступ к почте, перехват OTP-кодов
👉Вот тут 2-х минутное видео, как они симулировали такую атаку с помощью AI 👈
В proof-of-concept атаке через Reddit-комментарий исследователи заставили Comet:
• Извлечь email пользователя с account.perplexity.ai
• Получить OTP-код через поддельный домен perplexity.ai.
• Прочитать OTP из Gmail пользователя
• Передать украденные данные злоумышленнику
Атака выполнилась автоматически после нажатия кнопки "Резюмировать страницу".
Последствия для веб-безопасности
Традиционные механизмы защиты неэффективны:
• Same-Origin Policy — обходится
• CORS — не работает
• Стандартные веб-уязвимости — неприменимы
AI-агент действует с полными привилегиями пользователя во всех сессиях, получая доступ к банковским аккаунтам, корпоративным системам, личной почте.
В общем цифровая гигиена как никогда становится критична
И с каждым днем все больше!🤔
#ai
Прогресс не остановить. AI проникает в разные сферы нашей жизни и объективно улучшает ее.
При этом, как это всегда и бывает, новые технологии приносят и риски. Которые важно вовремя определить и защититься от них.
Один из таких рисков буквально на днях был обнаружен командой браузера Brave
Суть в том, что AI помощники сейчас активно внедряются в браузеры, получая возможность автономно взаимодействовать с веб-сайтами от имени пользователей. А с этим появляются и новые риски.
Если лень читать дальше, то главная рекомендация: Разделяйте цифровую активность по разным браузерам. Используйте один браузер для поиска информации и развлечений, другие — для финансовых операций, криптокошельков, почты и конфиденциальных данных. Это базовый принцип цифровой гигиены в эпоху AI-агентов.
Исследование уязвимости Perplexity Comet
Команда Brave провела анализ безопасности агентных браузеров и обнаружила критическую уязвимость в Perplexity Comet. Результаты вскрыли глубокие проблемы архитектуры браузеров c AI интеграцией.
Основа проблемы - AI-браузер не различает пользовательские команды и контент веб-страниц при обработке запросов на резюмирование.
Вот сценарий атаки, который они разыграли:
1. Злоумышленник размещает скрытые инструкции на веб-странице (белый текст, HTML-комментарии, spoiler-теги в соцсетях)
2. Пользователь запрашивает резюме страницы через AI-помощника
3. AI обрабатывает вредоносные инструкции как команды пользователя
4. Выполняются несанкционированные действия: кража паролей, доступ к почте, перехват OTP-кодов
👉Вот тут 2-х минутное видео, как они симулировали такую атаку с помощью AI 👈
В proof-of-concept атаке через Reddit-комментарий исследователи заставили Comet:
• Извлечь email пользователя с account.perplexity.ai
• Получить OTP-код через поддельный домен perplexity.ai.
• Прочитать OTP из Gmail пользователя
• Передать украденные данные злоумышленнику
Атака выполнилась автоматически после нажатия кнопки "Резюмировать страницу".
Последствия для веб-безопасности
Традиционные механизмы защиты неэффективны:
• Same-Origin Policy — обходится
• CORS — не работает
• Стандартные веб-уязвимости — неприменимы
AI-агент действует с полными привилегиями пользователя во всех сессиях, получая доступ к банковским аккаунтам, корпоративным системам, личной почте.
В общем цифровая гигиена как никогда становится критична
И с каждым днем все больше!🤔
#ai
Forwarded from Хабр Новости
Группа разработчиков во главе с одним из создателей RSS Экартом Вальтером представила открытый стандарт лицензирования контента Really Simple Licensing (RSL), который позволит издателям возможность определять условия оплаты за сбор ботами данных для обучения ИИ.
#ИскИн #законодательство #данные
#ИскИн #законодательство #данные
Forwarded from opennet.ru
Библиотека libxml2 осталась без сопровождающего https://opennet.ru/63886/
www.opennet.ru
Библиотека libxml2 осталась без сопровождающего
Ник Велнхофер (Nick Wellnhofer) объявил об уходе с поста сопровождающего библиотеку libxml2. Ник принимал участие в разработке libxml2 с 2016 года, был добавлен в число сопровождающих в 2022 году и с того времени оставался практически единственным активным…
А чочо, в JEDEC всем по*** на Rowhammer?
https://security.googleblog.com/2025/09/supporting-rowhammer-research-to.html
Google прям как Сбер, ничего кроме рейтлимит счетчика не придумал: https://www.jedec.org/news/pressreleases/jedec-updates-jesd79-5c-ddr5-sdram-standard-elevating-performance-and-security
Phoenix (CVE-2025-6202):
https://www.opennet.ru/opennews/art.shtml?num=63891
https://security.googleblog.com/2025/09/supporting-rowhammer-research-to.html
Google прям как Сбер, ничего кроме рейтлимит счетчика не придумал: https://www.jedec.org/news/pressreleases/jedec-updates-jesd79-5c-ddr5-sdram-standard-elevating-performance-and-security
Phoenix (CVE-2025-6202):
https://www.opennet.ru/opennews/art.shtml?num=63891
Google Online Security Blog
Supporting Rowhammer research to protect the DRAM ecosystem
Posted by Daniel Moghimi Rowhammer is a complex class of vulnerabilities across the industry. It is a hardware vulnerability in DRAM where r...
Forwarded from ServerAdmin.ru
Mikrotik меня на днях удивил. Увидел мельком в одном из видео на ютубе упоминание функции Kid Control. Думаю, такой, что это за контроль, впервые слышу. Открываю RouterOS 7 и и вижу там IP ⇨ Kid Control. Очень удивился. Я вообще впервые увидел этот раздел.
Думаю, наверное это в 7-й версии появилось, поэтому я не видел. Я все старые устройства оставил на родной для них 6-й версии. Специально не обновлял. А с 7-й мало работал, только с новыми устройствами.
Захожу в RouterOS 6, а там этот контроль тоже есть. Тут я ещё сильнее удивился. Пошёл в поиск, оказалось, что эта функциональность появилась в 2017 году. Как я умудрился не то, что её ни разу не заметить лично, но даже не слышать никогда о ней. Проходил обучение MTCNA, не помню, чтобы там об этом шла речь. Либо у меня из памяти всё это вылетело.
Проверил поиск по каналу, ни разу не писал о нём, значит не знал. Посмотрел поиск по чату, нашёл одно упоминание. Мне как раз говорят, что есть детский контроль, а я удивился и спросил, что это такое. Ну и благополучно забыл, хотя написал: "Пипец. Столько лет настраиваю Микротики. Никогда не замечал и не заглядывал в этот раздел. Даже не знал про его существование."
Дело в том, что я настраиваю детям ограничения, но делаю это примерно так:
Создаю списки устройств детей и делаю для них правила, которые начинают работать в ночное время, чтобы выключать доступ в интернет. У меня родительский контроль так работал. А он оказывается примерно так же, но в другой форме организован в отдельном разделе.
В общем, чтобы в очередной раз об этом не забыть, пишу заметку и рассказываю, как этот родительский контроль работает.
В разделе IP ⇨ Kid Control есть 2 вкладки: Kids и Devices. В раздел Kids добавляем ребёнка и назначаем ему часы, когда интернет будет работать. Там же можно настроить ограничение скорости. В целом это тоже может быть полезно. Для того, чтобы делать уроки, смотреть расписание и искать какую-то текстовую информацию большая скорость не нужна. Можно ограничить, чтобы не работали видео и не было соблазна быстренько что-то посмотреть. А вечером, когда уроки закончены, ограничение убрать.
В Devices добавляем по MAC адресу устройства ребёнка и привязываем их к нему.
Такой вот нехитрый контроль, который по факту делает примерно то же самое, что и я вручную. Для ограничения интернета добавляет и убирает блокирующие правила в файрвол для IP адресов устройств детей. А для ограничения скорости добавляет правила в Queues ⇨ Simple Queues.
Я этот же контроль придумал сам, только скорость не ограничивал. Большого смысла в этом не вижу. У меня дети по факту уроки нормально делают самостоятельно днём и с интернетом. Отключаю вечером, чтобы не было лишних разговор и разбирательств перед сном. Смартфоны тоже выключаются. Время пришло, всё автоматически выключилось. Спорить и что-то просить не у кого. Все идут чистить зубы и спать.
Вроде разработчики постарались сделать удобно, но по факту получилось так себе. Списки IP адресов устройств формируются на основе таблицы ARP. Если перезагрузить роутер в тот момент, когда устройства детей выключены, их IP адресов в ARP таблице не будет. Динамические правила в файрвол не добавятся. Я сначала не понял, почему там после перезагрузки пусто. Потом сообразил, когда посмотреть таблицу ARP и не увидел там нужных устройств.
Такая реализация может запутать в настройке файрвола. Проще как я раньше делал, писать правила с указанием времени вручную. Они всегда перед глазами, хоть и отключаются вне заданного диапазона времени.
#mikrotik
Думаю, наверное это в 7-й версии появилось, поэтому я не видел. Я все старые устройства оставил на родной для них 6-й версии. Специально не обновлял. А с 7-й мало работал, только с новыми устройствами.
Захожу в RouterOS 6, а там этот контроль тоже есть. Тут я ещё сильнее удивился. Пошёл в поиск, оказалось, что эта функциональность появилась в 2017 году. Как я умудрился не то, что её ни разу не заметить лично, но даже не слышать никогда о ней. Проходил обучение MTCNA, не помню, чтобы там об этом шла речь. Либо у меня из памяти всё это вылетело.
Проверил поиск по каналу, ни разу не писал о нём, значит не знал. Посмотрел поиск по чату, нашёл одно упоминание. Мне как раз говорят, что есть детский контроль, а я удивился и спросил, что это такое. Ну и благополучно забыл, хотя написал: "Пипец. Столько лет настраиваю Микротики. Никогда не замечал и не заглядывал в этот раздел. Даже не знал про его существование."
Дело в том, что я настраиваю детям ограничения, но делаю это примерно так:
/ip firewall address-list
add address=192.168.137.110 list=Ivan
add address=192.168.137.111 list=Olga
/ip firewall filter
add action=reject chain=forward reject-with=icmp-network-unreachable src-address-list=Ivan time=\
22h-7h,sun,mon,tue,wed,thu,fri,sat
add action=reject chain=forward reject-with=icmp-network-unreachable src-address-list=Olga time=\
21h-7h,sun,mon,tue,wed,thu,fri,sat
Создаю списки устройств детей и делаю для них правила, которые начинают работать в ночное время, чтобы выключать доступ в интернет. У меня родительский контроль так работал. А он оказывается примерно так же, но в другой форме организован в отдельном разделе.
В общем, чтобы в очередной раз об этом не забыть, пишу заметку и рассказываю, как этот родительский контроль работает.
В разделе IP ⇨ Kid Control есть 2 вкладки: Kids и Devices. В раздел Kids добавляем ребёнка и назначаем ему часы, когда интернет будет работать. Там же можно настроить ограничение скорости. В целом это тоже может быть полезно. Для того, чтобы делать уроки, смотреть расписание и искать какую-то текстовую информацию большая скорость не нужна. Можно ограничить, чтобы не работали видео и не было соблазна быстренько что-то посмотреть. А вечером, когда уроки закончены, ограничение убрать.
В Devices добавляем по MAC адресу устройства ребёнка и привязываем их к нему.
Такой вот нехитрый контроль, который по факту делает примерно то же самое, что и я вручную. Для ограничения интернета добавляет и убирает блокирующие правила в файрвол для IP адресов устройств детей. А для ограничения скорости добавляет правила в Queues ⇨ Simple Queues.
Я этот же контроль придумал сам, только скорость не ограничивал. Большого смысла в этом не вижу. У меня дети по факту уроки нормально делают самостоятельно днём и с интернетом. Отключаю вечером, чтобы не было лишних разговор и разбирательств перед сном. Смартфоны тоже выключаются. Время пришло, всё автоматически выключилось. Спорить и что-то просить не у кого. Все идут чистить зубы и спать.
Вроде разработчики постарались сделать удобно, но по факту получилось так себе. Списки IP адресов устройств формируются на основе таблицы ARP. Если перезагрузить роутер в тот момент, когда устройства детей выключены, их IP адресов в ARP таблице не будет. Динамические правила в файрвол не добавятся. Я сначала не понял, почему там после перезагрузки пусто. Потом сообразил, когда посмотреть таблицу ARP и не увидел там нужных устройств.
Такая реализация может запутать в настройке файрвола. Проще как я раньше делал, писать правила с указанием времени вручную. Они всегда перед глазами, хоть и отключаются вне заданного диапазона времени.
#mikrotik
Forwarded from r/ретранслятор
This media is not supported in your browser
VIEW IN TELEGRAM
Глава Nvidia Дженсен Хуанг вновь заявил, что сантехники, электрики, строители и другие квалифицированные рабочие уже в ближайшее время станут главными и самыми высокооплачиваемыми специалистами на рынке труда, тогда как множество других профессий будет неумолимо вытесняться искусственным интеллектом.
В первую очередь кризис ударит именно по IT-сектору.
Учимся работать руками
r/#singularity
В первую очередь кризис ударит именно по IT-сектору.
Учимся работать руками
r/#singularity
41-ФЗ мессенджер
https://www.perplexity.ai/search/41-fz-messendzher-JADPCOaGS6W.uQofExq54g
Ну то есть все.
https://www.perplexity.ai/search/41-fz-messendzher-JADPCOaGS6W.uQofExq54g
а также бизнесы, обрабатывающие персональные данные россиян
Ну то есть все.
Perplexity AI
41-ФЗ мессенджер
Федеральный закон 41-ФЗ, вступивший в силу с 1 июня 2025 года, запрещает организациям использовать иностранные мессенджеры (такие как Telegram, WhatsApp,...
Forwarded from opennet.ru
Компания ByteDance представила своё решение для выполнения нескольких ядер Linux https://opennet.ru/63931/
www.opennet.ru
Компания ByteDance представила своё решение для выполнения нескольких ядер Linux
Китайская компания ByteDance, развивающая сервис TikTok, опубликовала в списке рассылки разработчиков ядра Linux патчи с реализацией системы Parker (PARtitioned KERnel), позволяющей запускать на одном компьютере одновременно несколько ядер Linux без применения…
В Rust-репозитории crates.io выявлены два вредоносных пакета
https://www.opennet.ru/opennews/art.shtml?num=63944
https://www.opennet.ru/opennews/art.shtml?num=63944
Уязвимость в подсистеме io_uring, позволяющая повысить привилегии в системе
https://www.opennet.ru/opennews/art.shtml?num=63946
https://www.opennet.ru/opennews/art.shtml?num=63946
Forwarded from N + 1
This media is not supported in your browser
VIEW IN TELEGRAM
Forwarded from Сиолошная
Чуть более полугода назад у нас с Валерой был стрим про высказывание CEO Anthropic, мол, через 6 месяцев модели будут писать 90% кода. На стриме, как мне кажется, я очень хорошо описал некоторые из важных оговорок при оценке подобного рода высказываний:
— есть разница «могут» и «делают»
— это может быть применимо к определённым языкам программирования, а не всем
— часть подходов к разработке придётся пересмотреть, чтобы было проще интегрировать ИИ-инструменты
— это может быть применимо к свежим проектам, а не 15+ годичной давности
— это может быть применимо к проектам до определённого размера, а не кодовой базе всего Фейсбука, например
Сами Anthropic сейчас говорят, что Claude Code написан их же моделями на 90%. Но большинство подобных заявлений исходит от разработчиков моделей / продавцов ИИ-инструментов, поэтому многие (не я) их отметают.
Aider, АИ-ассистент для программирования с открытым исходным кодом, который я как раз упоминал на стриме, от релиза к релизу то и дело перешагивает планки 75-80% — уже солидный показатель.
И вот наткнулся на блог Armin Ronacher, создателя Flask, Jinja, Click и других крупных популярных проектов. Цитаты из поста (но рекомендую прочитать оригинал целиком):
— Что касается инфраструктурного компонента, который я начал разрабатывать в своей новой компании, то, пожалуй, больше 90% моего кода написано с помощью ИИ. Я не хочу вас убеждать — просто поделюсь тем, что узнал. Отчасти потому, что я подошел к этому проекту иначе, чем в своих первых экспериментах.
— Сервис написан на Go с небольшим количеством зависимостей. Сейчас в нём около 40 000 строк, включая Go, YAML, Pulumi и несколько специальных SDK-прослоек.
— Я установил высокую планку, особенно в плане надёжности работы. Я уже работал с подобными системами и знал, чего хочу.
— Я уделяю пристальное внимание основам архитектуры системы, структуре кода и взаимодействию с базами данных. Я невероятно самоуверен. Поэтому есть вещи, которые я не позволяю ИИ делать. Я начинал проект традиционным способом: проектирование системы, схема, архитектура. На этом этапе я не позволяю ИИ писать с нуля, а просто включаю его в свой цикл рассуждений. Это помогает мне видеть типовые ошибки, даже если я не доверяю LLM.
— Для кода, сгенерированного и поддерживаемого ИИ, я теперь получаю стек, который выглядит примерно так, как мне часто хотелось, но было слишком сложно сделать вручную.
— Не могу не подчеркнуть, насколько плохим может быть код агентов, если не быть осторожным. Хотя они понимают архитектуру системы и то, как что-то построить, они не могут смотреть на всю картину целиком. Вам постоянно нужно вносить правильную информацию в контекст.
— Легко создавать системы, которые кажутся правильными, но при использовании ведут себя неправильно. Вот пример: я попросил его создать ограничитель лимитов. Он «работал», но не имел джиттера и использовал неудачные решения по хранению данных. Легко исправить, если знаешь ограничители лимитов, но опасно, если не знаешь.
— Для меня это дошло до того, что я уже не представляю, как можно работать по-другому. Да, я, вероятно, смог бы обойтись без ИИ. Но я бы построил другую систему, потому что мне пришлось бы идти на другие компромиссы. Такой подход открывает возможности, которые я обычно пропускаю или откладываю.
— Исследование + разработка вместо «исследование, а разработка потом»: на некоторые вещи, на понимание которых у меня ушел бы день или два, теперь уходит 10–15 минут.
— Пишет ли ИИ 90% кода? Не знаю. Знаю только, что для меня в этом проекте ответ уже точно «да». В то же время, для меня ИИ не владеет кодом. Я всё равно проверяю каждую строчку, формирую архитектуру и несу ответственность за то, как всё это работает.
===
(обратите внимание, что ни о каком вайб-кодинге речи не идёт: только вдумчивая работа, где, как мне кажется, по сравнению с обычным процессом мозги приходится напрягать даже больше — пока LLM работает, ты думаешь)
— есть разница «могут» и «делают»
— это может быть применимо к определённым языкам программирования, а не всем
— часть подходов к разработке придётся пересмотреть, чтобы было проще интегрировать ИИ-инструменты
— это может быть применимо к свежим проектам, а не 15+ годичной давности
— это может быть применимо к проектам до определённого размера, а не кодовой базе всего Фейсбука, например
Сами Anthropic сейчас говорят, что Claude Code написан их же моделями на 90%. Но большинство подобных заявлений исходит от разработчиков моделей / продавцов ИИ-инструментов, поэтому многие (не я) их отметают.
Aider, АИ-ассистент для программирования с открытым исходным кодом, который я как раз упоминал на стриме, от релиза к релизу то и дело перешагивает планки 75-80% — уже солидный показатель.
И вот наткнулся на блог Armin Ronacher, создателя Flask, Jinja, Click и других крупных популярных проектов. Цитаты из поста (но рекомендую прочитать оригинал целиком):
— Что касается инфраструктурного компонента, который я начал разрабатывать в своей новой компании, то, пожалуй, больше 90% моего кода написано с помощью ИИ. Я не хочу вас убеждать — просто поделюсь тем, что узнал. Отчасти потому, что я подошел к этому проекту иначе, чем в своих первых экспериментах.
— Сервис написан на Go с небольшим количеством зависимостей. Сейчас в нём около 40 000 строк, включая Go, YAML, Pulumi и несколько специальных SDK-прослоек.
— Я установил высокую планку, особенно в плане надёжности работы. Я уже работал с подобными системами и знал, чего хочу.
— Я уделяю пристальное внимание основам архитектуры системы, структуре кода и взаимодействию с базами данных. Я невероятно самоуверен. Поэтому есть вещи, которые я не позволяю ИИ делать. Я начинал проект традиционным способом: проектирование системы, схема, архитектура. На этом этапе я не позволяю ИИ писать с нуля, а просто включаю его в свой цикл рассуждений. Это помогает мне видеть типовые ошибки, даже если я не доверяю LLM.
— Для кода, сгенерированного и поддерживаемого ИИ, я теперь получаю стек, который выглядит примерно так, как мне часто хотелось, но было слишком сложно сделать вручную.
— Не могу не подчеркнуть, насколько плохим может быть код агентов, если не быть осторожным. Хотя они понимают архитектуру системы и то, как что-то построить, они не могут смотреть на всю картину целиком. Вам постоянно нужно вносить правильную информацию в контекст.
— Легко создавать системы, которые кажутся правильными, но при использовании ведут себя неправильно. Вот пример: я попросил его создать ограничитель лимитов. Он «работал», но не имел джиттера и использовал неудачные решения по хранению данных. Легко исправить, если знаешь ограничители лимитов, но опасно, если не знаешь.
— Для меня это дошло до того, что я уже не представляю, как можно работать по-другому. Да, я, вероятно, смог бы обойтись без ИИ. Но я бы построил другую систему, потому что мне пришлось бы идти на другие компромиссы. Такой подход открывает возможности, которые я обычно пропускаю или откладываю.
— Исследование + разработка вместо «исследование, а разработка потом»: на некоторые вещи, на понимание которых у меня ушел бы день или два, теперь уходит 10–15 минут.
— Пишет ли ИИ 90% кода? Не знаю. Знаю только, что для меня в этом проекте ответ уже точно «да». В то же время, для меня ИИ не владеет кодом. Я всё равно проверяю каждую строчку, формирую архитектуру и несу ответственность за то, как всё это работает.
===
(обратите внимание, что ни о каком вайб-кодинге речи не идёт: только вдумчивая работа, где, как мне кажется, по сравнению с обычным процессом мозги приходится напрягать даже больше — пока LLM работает, ты думаешь)
Telegram
Сиолошная
Если вдруг пропустили стрим, то появилась его запись.
Обсуждение, как мне кажется, вышло достаточно интересным (особенно если промотать сразу минуту на пятнадцатую) — и на самом стриме зрителей было много до конца, и на записи уже много просмотров, и @itbeard…
Обсуждение, как мне кажется, вышло достаточно интересным (особенно если промотать сразу минуту на пятнадцатую) — и на самом стриме зрителей было много до конца, и на записи уже много просмотров, и @itbeard…