The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Проблемы из-за подготовленных AI-инструментами отчётов об уязвимостях

05.01.2024 19:27

Дэниел Cтенберг (Daniel Stenberg), автор утилиты для получения и отправки данных по сети curl, выступил с критикой использования AI-инструментов при создании отчётов об уязвимостях. Подобные отчёты включают детальные сведения, написаны нормальным языком и выглядят качественными, но без вдумчивого анализа на деле могут лишь вводить в заблуждение, подменяя реальные проблемы качественно выглядящим мусорным содержимым.

Проект Curl выплачивает вознаграждения за выявление новых уязвимостей и уже получил 415 отчётов о потенциальных проблемах, из которых лишь 64 были подтверждены как уязвимости, 77 описывали не связанные с безопасностью ошибки, а 274 (66%) не содержали каких-либо полезных сведений и только отняли у разработчиков время, которое можно было потратить на что-то полезное.

Разработчики вынуждены впустую тратить много времени на разбор бесполезных отчётов и перепроверять указанные там сведения по несколько раз, так как внешнее качество оформления вызывает дополнительное доверие к информации и возникает ощущение, что разработчик что-то недопонял. С другой стороны, формирование подобного отчёта требует минимальных усилий от заявителя, который не утруждает себя проверкой наличия реальной проблемы, а просто слепо копирует данные полученные от AI-помощников, надеясь на везение в борьбе за получение вознаграждения.

Приводится два примера таких мусорных отчётов. За день до планового раскрытия сведений об октябрьской опасной уязвимости (CVE-2023-38545) через Hackerone был отправлен отчёт о том, что патч с исправлением попал в открытый доступ. На деле отчёт содержал скомпонованную AI-помощником Google Bard смесь из фактов о похожих проблемах и отрывков детальных сведений о прошлых уязвимостях. В итоге информация выглядела новой и актуальной, но не имела связи с реальностью.

Второй пример затрагивает полученное 28 декабря сообщение о переполнении буфера в обработчике WebSocket, отправленное пользователем, уже информировавшим об уязвимостях разные проекты через Hackerone. В качестве метода повторения проблемы в отчёте указывались общие слова о передаче изменённого запроса с размером значения, превышающего размер буфера, используемого при копировании при помощи strcpy. В отчёте также приводился пример исправления (пример замены strcpy на strncpy) и указывалась ссылка на строку кода "strcpy(keyval, randstr)", в которой по мнению заявителя была ошибка.

Разработчик три раза всё перепроверил и не нашёл каких-либо проблем, но так как отчёт написан уверенно и даже содержал исправление, возникло ощущение, что где-то что-то упускается. Попытка уточнить как исследователю удалось обойти присутствующую до вызова strcpy явную проверку размера и как размер буфера keyval оказался меньше размера прочитанных данных, привела к получению подробных, но не несущих дополнительной информации, пояснений, которые лишь разжёвывали очевидные общие причины возникновения переполнения буфера, не связанные с конкретным кодом Curl. Ответы напоминали общение с AI-помощником и потратив полдня на бессмысленные попытки узнать как именно проявляется проблема, разработчик окончательно убедился, что никакой уязвимости на деле нет.

  1. Главная ссылка к новости (https://daniel.haxx.se/blog/20...)
  2. OpenNews: Переполнение буфера в curl и libcurl, проявляющееся при обращении через SOCKS5-прокси
  3. OpenNews: В CVE опубликованы отчёты о ложных уязвимостях в curl, PostgreSQL и других проектах
  4. OpenNews: Релиз утилиты cURL 8.0
  5. OpenNews: Исследование влияния AI-ассистентов, подобных GitHub Copilot, на безопасность кода
  6. OpenNews: Судебное разбирательство против Microsoft и OpenAI, связанное с генератором кода GitHub Copilot
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/60394-curl
Ключевые слова: curl, ai, bug
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (108) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Аноним (1), 21:36, 05/01/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • –42 +/
    curl такая дыра!
    Есть что то по аналогам? Чтобы использовать как библиотеку в программе?
     
     
  • 2.3, Аноним (3), 21:40, 05/01/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Не придумали.
     
     
  • 3.7, Аноним (1), 21:54, 05/01/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Эх :(
     
  • 2.64, Аноним (64), 03:46, 06/01/2024 [^] [^^] [^^^] [ответить]  
  • –6 +/
    в нормальных языках сходить по http(s) можно и без курла
     
  • 2.66, Аноним (-), 05:39, 06/01/2024 [^] [^^] [^^^] [ответить]  
  • +23 +/
    > curl такая дыра!

    Вообще-то у curl с безопасностью - сильно выше среднего по больнице. И разработчик грамотный и ответственный.

    > Есть что то по аналогам? Чтобы использовать как библиотеку в программе?

    Вооон, NPM используй из соседней новости, пакет "everything". Следующие эн лет он займется скачкой миллионов пакетов - и на мерзких хаксоров не останется бандвиза. А потом у тебя кончится место при попытке скачать весь интернет - и хаксоры уже совершенно точно обломаются. Только представь рожу хакера когда на попытку залить троян ему ENOSPC вываливается! "Опередили, гады!"

     
  • 2.139, борман (?), 12:47, 07/01/2024 [^] [^^] [^^^] [ответить]  
  • +/
    при сборке можно отключить поддержку ненужного, a до сборки можно пройтись статическим анализатором кода. Можно еще много чего сделать - это ж опенсорс, который все хотят.
     
  • 2.140, Аноним (140), 13:34, 07/01/2024 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Могли бы пользоватся нормальным curl-rust на безопасном, но нет, обязательно нужно давится дырявой сишной реализацией libcurl
     
     
  • 3.144, Аноним (144), 09:23, 09/01/2024 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Вы хотя бы посмотрели для начала что этот ваш curl-rust просто обертка библиотеки libcurl
    Не надо формировать ошибочные мнения у общественности
     
  • 2.146, ilyafedin (ok), 21:07, 17/04/2024 [^] [^^] [^^^] [ответить]  
  • +/
    QtNetwork, libsoup, libwget

    Наверняка есть дофига еще менее известных...

     

  • 1.4, Анонин (?), 21:40, 05/01/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +13 +/
    На самом деле ничего нового, это было и до AI.
    Уже давно в ящик Security Bug Bounty сыпались письма на корявом английском с пространственными описаниям кОтострофической проблемы и копипастами каких-то скриптов из инета.
    Ну и обязательной припиской "вы должны мне кучу денег!!111" в конце.
    Просто с "AI" это стало еще проще.
     
     
  • 2.49, prokoudine (ok), 00:48, 06/01/2024 [^] [^^] [^^^] [ответить]  
  • –10 +/
    Вариация: "Я фаззером нашёл страшную дыру в коде загрузки файлов формата, которым уже 25 лет никто не пользуется. Страшно! Страшно! Срочно пилите патч!"
     
     
  • 3.52, Анонин (?), 01:25, 06/01/2024 [^] [^^] [^^^] [ответить]  
  • +9 +/
    Не, фаззер это совсем другой уровень. Если реально есть дыра, потому что кто-то N лет назад написал код без проверок входных данных, то это повод исправить. Но если форматом не пользуются уже 25 лет, то нужно спросить почему его поддержку не выкинули еще 10 лет назад...

    А тут вообще просто комбинация наглости и абсолютного непонимания происходящего.
    Ты ему уточняющий вопрос, а он тебе еще два абзаца несвязного бреда. Как вспомню, аж бесит!

     
     
  • 4.121, RM (ok), 17:14, 06/01/2024 [^] [^^] [^^^] [ответить]  
  • +/
    вот у меня где-то так до... претензии от секурити отдела и выглядят зачастую.
    задумался...
     
  • 3.67, Аноним (-), 05:46, 06/01/2024 [^] [^^] [^^^] [ответить]  
  • +/
    > Вариация: "Я фаззером нашёл страшную дыру в коде загрузки файлов формата,
    > которым уже 25 лет никто не пользуется. Страшно! Страшно! Срочно пилите патч!"

    Почти так и нашли фееричную дыру в WMF. И, таки, это другой случай. Всеми забытый код, в всеми забытой либе, радостно запускает хаксорский код. Даже если о фиче все и забыли, и форматом почти не пользуются. А вот либа - и вулн - остались!

     
  • 3.77, Аноним (77), 07:38, 06/01/2024 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Если форматом никто не пользуется, но файл в этом формате можно подсунуть (например, подменив расширение файла), то это вполне себе уязвимость. Сталкивался с таким в imagemagick.
     
     
  • 4.82, Аноним (82), 08:49, 06/01/2024 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Определение типа файла по расширению - это фича признанных экспертов в программировании и информационной безопасности.
     
     
  • 5.93, Аноним (93), 10:28, 06/01/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Это далеко не самая дикая тупость в том прекрасном коде :-)
     
  • 5.101, mustai (ok), 11:22, 06/01/2024 [^] [^^] [^^^] [ответить]  
  • +/
    KDE Plasma и Гном так делают. Раньше Гном определял по содержимому, а потом перестал.
     
     
  • 6.110, Аноним (110), 12:44, 06/01/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Всё открывалость в текстовом редакторе?
     
  • 5.136, Аноньимъ (ok), 04:08, 07/01/2024 [^] [^^] [^^^] [ответить]  
  • –1 +/
    А по другому как в бреде из 60 годов прошлого столетия под названием "файловыюая система" и в этом самом юниксе где "всё есть файл" ?

    Если пытаться парсить содержимое - то приколов с безопасностью будет не меньше.

     

  • 1.8, Tron is Whistling (?), 22:00, 05/01/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +6 +/
    Ну это ещё мозгов разобраться хватило.

    А представляете, что сейчас в местной диссертационной среде и около творится, с учётом того, что там уже было?

     
     
  • 2.27, Аноним (27), 23:03, 05/01/2024 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Даа, Корчеватель нервно курит в сторонке
     
  • 2.83, Аноним (82), 08:53, 06/01/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Во-первых, потери невелики - эти опусы и раньше никто не читал. Во-вторых, что значит "местной"? Это общемировая тенденция. Если читали монографии по прикладной математике последние лет 10, видели, какой там бред.
     
     
  • 3.94, Аноним (-), 10:39, 06/01/2024 [^] [^^] [^^^] [ответить]  
  • +/
    > Во-первых, потери невелики - эти опусы и раньше никто не читал.
    > Во-вторых, что значит "местной"? Это общемировая тенденция.
    > Если читали монографии по прикладной математике последние лет 10, видели, какой там бред.

    КМК если кто всерьез попросит AI нагенерить ему реферат^W курсач^W да вообще, диплом - может это и будет выглядеть убедительно, но вот тест на плагиат пожалуй может с треском провалить.

     
  • 3.100, Аноним (100), 11:20, 06/01/2024 [^] [^^] [^^^] [ответить]  
  • +/
    В препринтах? Там гораздо большая проблема - это сумасшедшие и альтернативщики, а не AI)
     
     
  • 4.103, Аноним (103), 11:35, 06/01/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Теперь альтернативщики и изобретатели вечных двигателей смогут выглядеть правдоподобно с меньшими усилиями.
     

  • 1.9, Аноним (100), 22:04, 05/01/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +33 +/
    Ожидание: ИИ вместо человека решает научные проблемы и управляет звездолётами
    Реальность: ИИ кормит разраба курла голубцами с гогном
     
     
  • 2.13, Аноним (103), 22:14, 05/01/2024 [^] [^^] [^^^] [ответить]  
  • +5 +/
    > Реальность: ИИ кормит разраба курла голубцами с гогном

    Кормит не ИИ, а вполне живой человек.

     
     
  • 3.26, Аноним (26), 23:02, 05/01/2024 [^] [^^] [^^^] [ответить]  
  • +5 +/
    ИИ здесь это Иван Иваныч
     
  • 2.72, Петрович69 (?), 07:02, 06/01/2024 [^] [^^] [^^^] [ответить]  
  • +/
    От каждого по возможности - каждому по потребности. Большего не заслужили)
     

  • 1.11, Аноним (11), 22:12, 05/01/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Я не совсем понимаю, что означает "77 как не связанные с безопасностью ошибки". Эти 77 отчётов (что составило 66% от общей массы) были вообще невалидными или они были про реальные ошибки, но эти ошибки были просто багами, а не уязвимостями?

    Если второе, то называть их "совершенно бесполезными" некорректно.

     
     
  • 2.16, Аноним (103), 22:22, 05/01/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Весьма вероятно, что это были просто "переосмысленные" issues из багтрекера проекта.
    Ну откуда ИИ знать настоящие баги? Он же код не анализировал.
     
  • 2.20, 234234234 (?), 22:33, 05/01/2024 [^] [^^] [^^^] [ответить]  
  • +/
    писать умеешь а счет еще в школе не проходили?
    64+77 = 141
    141/415 = 34%
    100 - 34 = 66%
     
     
  • 3.24, Аноним (11), 22:55, 05/01/2024 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Ты же просто развернуто повторил то, что я написал в скобках в своём вопросе. Но вопрос вовсе не об этом.
     
     
  • 4.42, Дмитрий (??), 00:30, 06/01/2024 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Не общайся с ним, это ИИ
     

  • 1.12, Аноним (12), 22:14, 05/01/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    >Таким образом 66% всех отчётов не содержали каких-либо полезных сведений и только отняли у разработчиков время, которое можно было потратить на что-то полезное.

    Неправильно мыслят. Правильный майндсет такой: какой процент из этих 34% был создан с помощью ИИ-инструментов?

     
     
  • 2.14, Аноним (103), 22:16, 05/01/2024 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Так как ИИ генерируют отчёты только на основе уже известных данных, то польза от них в любом случае стремится к нулю.
    Это либо уже известные дыры, либо несуществующие.
     
     
  • 3.43, Аноним (43), 00:30, 06/01/2024 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Что же известные дыры сам разработчик не нашёл? Чтшьже известные дыры сами баг-репортеры не нашли? А потому что с ИИ и AFL всё лучше. Неплохо бы скрестить ИИ с AFL по типу FunSearch...
     
     
  • 4.44, Аноним (103), 00:36, 06/01/2024 [^] [^^] [^^^] [ответить]  
  • +/
    > Что же известные дыры сам разработчик не нашёл?

    Кто сказал?
    На то они и известные, что уже закрыты.

     
     
  • 5.125, Аноним (125), 18:23, 06/01/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    На то они и известные, что для них правила есть. Но это не значит, что они закрыты.
     
  • 2.145, Аноним (145), 22:56, 14/01/2024 [^] [^^] [^^^] [ответить]  
  • +/
    > Правильный майндсет такой: какой процент из этих 34% был создан с помощью ИИ-инструментов?

    Вот посчитай и расскажи, майндсеттер.

     

  • 1.17, Аноним (17), 22:28, 05/01/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +10 +/
    Очевидным следующим шагом будет обработка таких репортов с помощью того же AI.
     
     
  • 2.50, Аноним (50), 01:03, 06/01/2024 [^] [^^] [^^^] [ответить]  
  • +2 +/
    А потом пытаться понять о чем они там наобщались и пришли к выводу что люди тупые.
     
  • 2.107, Анонус (?), 12:28, 06/01/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Вот тоже подумал. Вместо нытья просто генерить WONTFIX с пояснением от того же ИИ.
     

  • 1.18, Аноним (18), 22:30, 05/01/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +11 +/
    > подменяя реальные проблемы качественно выглядящим мусорным содержимым.

    Всё, что нужно знать о современных ИИ.

     
     
  • 2.73, Петрович69 (?), 07:03, 06/01/2024 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Нет никакого ИИ. Одни ЛПП и ИБД)
     

  • 1.19, Сортогустатор (?), 22:32, 05/01/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    AI vs. IT. Так вам! Наделали сами себе на свои головы.
     
  • 1.23, Аноньимъ (ok), 22:46, 05/01/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Решается очень просто. Хакир оставляет залог в 10% вознаграждения но не больше тыщи баксов.

    Ну или можно очень хитрожопный договор заключать письменный с последствиями за ложные отчёты.

    Ну и отправка ложных отчётов сгенерипрванных ИИ подпадает под "нарушение работы компьютерных систем" и в плоть до уголовной ответственности.

     
     
  • 2.28, Аноним (26), 23:04, 05/01/2024 [^] [^^] [^^^] [ответить]  
  • +/
    А не будет ли тогда выгоднее пойти на чёрный рынок, где залогов не требуют?
     
     
  • 3.53, Аноньимъ (ok), 02:09, 06/01/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Лол, ну пускай засыпят чёрный рынок "описаниями уязвимостей" сгенерированными ИИ. Вместо рабочих эксплойтов, ага.
    Всякие киберполиции спасибо скажут.
    А реальные хакиры может и вычислят по айпи незатейливых бизнесменов да набьют что там полагается бить.

    Залог же - это банальность, так многие фриланс площадки работают.
    Если вознаграждение 10000$ и у тебя на руках работающий эксплойт, а не "описание возможной уязвимости" то тыща баксов это ничто.

    Но я думаю и залог в 10$ обрежет всю эту вакханалью на корню и навсегда.

     
     
  • 4.79, Placeholder (ok), 08:03, 06/01/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Сразу видно что не понял о чем речь Речь не про автогенеренные отчеты, а про ре... большой текст свёрнут, показать
     
     
  • 5.84, ДаНуНафиг (?), 09:23, 06/01/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Не занимается человек благотворительностью, об этом и в статье написано, что речь идет про багхантинг за вознаграждение. И я прямо сильно сомневаюсь, что там какой-то бедный паренек на помойке собрал себе комп, чтобы поковыряться в сурцах курла ради человечества, и у него совсем нет лишней сотки/десятки долларов залога.
     
  • 5.117, Аноньимъ (ok), 15:15, 06/01/2024 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > По сути человек занимается благотворительностью, посылая вам отчеты об уязвимостях

    Речь о охоте за вознаграждением, а не о благотворительности.
    Чел денег хочет.

    > В общем, хотите чтобы сразу было все для вас готово и никаких усилий не надо было вкладывать?

    Вот придурки с ИИ отчётами так и хотят.

     
  • 4.80, Placeholder (ok), 08:05, 06/01/2024 [^] [^^] [^^^] [ответить]  
  • –1 +/
    И да, фриланские площадки залог организовывают тому кто ВЫПОЛНЯЕТ какую-то работу, в качестве некоторой гарантии что даже если кинут, то часть оплаты уже прошла. То есть тому кто ищет эксплойты надо залог давать, лол.
     
     
  • 5.116, Аноньимъ (ok), 15:12, 06/01/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Нет.
    Именно залог со стороны исполнителя.
    Зависит от платформы и заказа.

    То что заказчик должен иметь средства для выплаты - то банальность. Но и это не всегда исполняется. Всякое бывает.

     

  • 1.25, Аноним (25), 22:58, 05/01/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Ну, добро пожаловать в новый мир. Может наконец-то дойдет, что критический для безопасности софт нужно писать так, как делают серьезные дяди - с приминением формальной верификации. При наличии формального доказательства этими сгенерированными отчетами можно было бы подтираться, но у нас тут лучшие практики сишечной разработки, где корректность определяется "на глаз" и уверенным быть не в чем нельзя - поэтому сиди и читай этот мусор.
     
     
  • 2.29, cat666 (ok), 23:09, 05/01/2024 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Ой, да у нас тут эксперт. Словами какими кидается и терминами. Уймись, твоя "формальная верификация" и "серьёзные дяди" ещё никого от уязвимостей в коде спасти не смогли.
     
     
  • 3.31, Аноним (25), 23:19, 05/01/2024 [^] [^^] [^^^] [ответить]  
  • –2 +/
    > Уймись, твоя "формальная верификация" и "серьёзные дяди" ещё никого от уязвимостей в коде спасти не смогли.

    Как скажешь.

     
  • 3.32, Аноним (100), 23:26, 05/01/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Вообще-то смогли. Например, такого лба как ты, когда самолёт на землю не упал ;)
     
     
  • 4.41, Витюшка (?), 00:19, 06/01/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Ты хотел написать "упал" при том 2 раза?
     
  • 2.40, Витюшка (?), 00:18, 06/01/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Для формальной верификации кода микроядра L4 в 5000 строк кода на С (или как-то так) было написано 200 000 строк кода верификации.

    Уж не знаю, все ли они были написаны вручную или там что-то генерируется.

    Но в общем удачи тебе)

     
     
  • 3.45, Аноним (103), 00:39, 06/01/2024 [^] [^^] [^^^] [ответить]  
  • +/
    > Но в общем удачи тебе)

    Он и так удачлив. Это не ему формально верифицировать чей-то код.
    Его долг — лежать на диване и объяснять другим, как правильно делать.

     
     
  • 4.127, _ (??), 21:54, 06/01/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >лежать на диване и объяснять другим, как правильно делать.

    Да он лошара! Для этого AI-ботов и придумали! Теперь уже моно просто лежать на диване и _ничего_ не делать! Светлое будущее наступило! :)

     
  • 3.59, Витюшка (?), 02:36, 06/01/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Добавляю. Написана верификация на языке Isabelle/HOL.

    https://github.com/seL4/l4v

    Files 2436
    Lines 1336767
    Blanks 114572
    Comments 36636
    Lines of Code 1185559

    Те 1.2 млн сгенерированного кода доказательств.

    Кода доказательств (руками людьми) там 15000 на 8700 строк кода С.

    Те на каждую строчку кода 2 строчки кода формальной верификации.

    Трудозатраты - 20 человеко-лет на верификацию (суммарно, включая автоматизацию доказательств, фреймворки, библиотеки и т.п.), 11 человеко-лет чисто на доказательство.

    Итого, 5 строчек кода в день на С (полный рабочий день) можно верифицировать.

    Или в 50-100 раз меньше (медленнее) чем пишет программист кода на С.

    Срочно всем верифицировать!


     
     
  • 4.62, Аноньимъ (ok), 03:18, 06/01/2024 [^] [^^] [^^^] [ответить]  
  • +/
    А могли бы сразу на АДЕ писать и не мучиться.
     
     
  • 5.128, _ (??), 21:58, 06/01/2024 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Ariane 5, Ariane 5, Ariane 5 ! Это комарик такой :-)))

    Но таки да - еЯ угробила полностью верифицированная Ada :) а это вам не дыряшковый Си какой нить! :)

     
     
  • 6.135, Аноньимъ (ok), 02:57, 07/01/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Все ошибки сертифицированы и верифицированы.

    Но два раза писать одну программу ненужно.

     
  • 4.95, Аноним (-), 10:41, 06/01/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Те 1.2 млн сгенерированного кода доказательств.

    А это счастье кто-то верифицировал? И не окажется так что в верификаторе - баги были? :)

     
     
  • 5.129, _ (??), 22:00, 06/01/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Quis custodiet ipsos custodes?!
    Классико :)
     
  • 5.131, Витюшка (?), 22:09, 06/01/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Это хороший вопрос. Они верифицировали и саму корректность соответствия программы С кодом и их формальной моделью, и ещё что-то там с компилятором.

    Те, в целом да. Понятия не имею как. Я посмотрел код - это такая жесть. Как там что-то можно понять и верифицировать и не наделать багов? Хуже ассемблера.

    У них есть кое какие предложения. Скорее всего что сам Isabelle работает корректно. Но я думаю он сам был проверен раньше.

    И что железо тоже работает корректно (не знаю что это значит).

     
  • 4.142, Прохожий (??), 02:48, 08/01/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Похоже, ты - не читатель. А человек же специально оговорку сделал "критический для безопасности софт".
     
  • 2.78, Аноним (77), 07:40, 06/01/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Хорошая идея, предлагаю вам реализовать http-клиент с поддержкой всего многообразия (включая http/2) с формально верифицированным кодом.

    Лет через 20 приходите

     
     
  • 3.132, Витюшка (?), 22:14, 06/01/2024 [^] [^^] [^^^] [ответить]  
  • +/
    20 лет это эксперты, ученые на full time. Те они этим занимаются скорее всего профессионально.

    Простой Вася не сделает и за 500 лет, и за 10 000 лет. У них даже научная школа или направление появилось по формальной верификации программ.

     

  • 1.34, Аноним (-), 23:30, 05/01/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    Мне кажется тут есть простой способ фильтрации: требовать unit-теста демонстрирующего баг. Например:

    > Попытка уточнить как исследователю удалось обойти присутствующую до вызова strcpy явную проверку размера и как размер буфера keyval оказался меньше размера прочитанных данных

    Если исследователь считает, что проверку обойти возможно, значит он может вызвать функцию со специально сформированными аргументами так, чтобы проверка была бы обойдена. unit-test с демонстрацией в студию!

     
     
  • 2.74, Петрович69 (?), 07:05, 06/01/2024 [^] [^^] [^^^] [ответить]  
  • –2 +/
    возврат физического наказания за косяки - самое действенное решение.
    Особленно в среде мaкaк с их as is софтом, даже в коммерческом исполнении.
     
     
  • 3.130, _ (??), 22:09, 06/01/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Начни с себя (С)
    И давай без полумер, было любит по-жестче! :)
     
  • 3.141, Аноним (141), 13:53, 07/01/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Чёрным Властелином? Он уже помер, остался один пластелин.
     
  • 2.98, КО (?), 11:10, 06/01/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Ну и сделает тебе рандомай- ой простите, ИССКУСТВЕННЫЙ ИНТЕЛЛЕКТ!!! unit-тест на основе предыдущих, сносно относящийся к проблеме
     
  • 2.112, 12yoexpert (ok), 12:46, 06/01/2024 [^] [^^] [^^^] [ответить]  
  • +2 +/
    что-нибудь слышал про программирование? там, например, бывают трудноуловимые баги, доказанные уязвимости в криптографиях и т.д.
     
  • 2.122, AI (?), 17:25, 06/01/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    вот, пожалуйста

    /* unit test */
    #ifdef CURL_VERSION
        return ERR
    #else
       return 0
    #endif

     

  • 1.46, Аноним (46), 00:39, 06/01/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +4 +/
    Люди всегда боролись за высокий урожай, разные селекции, всевозможные циды и на... большой текст свёрнут, показать
     
     
  • 2.48, Аноним (103), 00:44, 06/01/2024 [^] [^^] [^^^] [ответить]  
  • +/
    > Вроде всё логично, но оказалось, что просто решали задачу "в лоб" получая "здоровое", толком даже не разобравшись, что это самое "здоровое" означает.

    Вполне разобрались, просто бизнес живёт по своим законам. Компания Monsanto очень много бабла вложила в проплаченные статьи в научных журналах, "доказывающие" безвредность её продукции (и тут речь больше не про ГМО, а про ядохимикаты против вредителей, ради которых это ГМО и затевалось).

     
  • 2.51, Аноним (50), 01:12, 06/01/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Развитие разума остановить не получится.
    Хочешь Эболу вылечить - изволь вмешаться там где подлый вирус вмешивается.
    Ну или пможешь ждать например год пока вирус не покиннт твои яйца.
    Был ли использован научный потенциал?
    Конечно, безусловно, и в паре с мозгами и опытом людей показывают в 5 раз лучше эффективность чем западный(е) аналог(и).
    Ну а там, коли-ежели попадешь в ситуацию выбора тебя не заставляют лекарства жрать.
    Можешь просто умереть с высоким шансом.
     
     
  • 3.55, Аноним (103), 02:11, 06/01/2024 [^] [^^] [^^^] [ответить]  
  • +/
    > Можешь просто умереть с высоким шансом.

    Можно, как во Франции, пожрать лекарств и с высоким шансом умереть (доказательная медицина, хлорохин при ковиде).

     
     
  • 4.65, Аноним (50), 04:15, 06/01/2024 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Да можно и без парашюта прыгнуть и выжить, вот только шансы не разбиться весьма не пользу чудодейственного парашюта.
    У французов вообще странный фетиш на мусор и крыс.
    Того и гляди чума к ним вернется.
     
     
  • 5.92, Anonymous1 (?), 10:24, 06/01/2024 [^] [^^] [^^^] [ответить]  
  • +/
    И клопы.
     
     
  • 6.102, Аноним (103), 11:33, 06/01/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Хрустят, как багет, но в отличие от него, абсолютно бесплатны.
     
  • 5.96, Аноним (-), 10:45, 06/01/2024 [^] [^^] [^^^] [ответить]  
  • +/
    > Да можно и без парашюта прыгнуть и выжить, вот только шансы не разбиться весьма
    > не пользу чудодейственного парашюта.

    Чего-чего? Я почему-то думал что с парашютом шансы разбиться намного ниже. Но добрый аноним всегда подскажет леммингам как правильно выпилиться.

     
     
  • 6.115, Аноним (115), 14:04, 06/01/2024 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Ох лол, это же просто опечатка. Просто залетная мысль была про аэро костюмы в которых с гор прыгают.
    Типа такого. Эх надо писать пост в один присест.

    https://www.youtube.com/watch?v=-C_jPcUkVrM&pp=ygUSanVtcCBmcm9tIG1vdW50YWlu

     
  • 2.56, Аноним (25), 02:13, 06/01/2024 [^] [^^] [^^^] [ответить]  
  • +/
    > Толком не разобрались что значит быть людьми, а уже "почти нашли" людям замену.

    Ну, вообще-то как бы и не стоит задачи "разбираться, что значить быть людьми" или "заменять людей". Стоит задача устранить работников на дядю.

     

  • 1.58, Аноним (58), 02:32, 06/01/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Эээ, не подсказывайте им! А то они не только уязвимости в курле майнить будут, но и в медицину пойдут, представьте сколько денег надо будет заплатить хозяину ИИ за найденные "уязвимости" в теле.
     
     
  • 2.63, Аноним (103), 03:39, 06/01/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Как будто живые сотрудники с этим плохо справляются.
    Как говорят американские врачи: "сколько бы у вас ни было денег — вы отдадите нам их все".
     
     
  • 3.75, Аноним (27), 07:19, 06/01/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Какие американские врачи это говорили?
     
     
  • 4.138, Curl (?), 09:40, 07/01/2024 [^] [^^] [^^^] [ответить]  
  • +/
    У него в голове голоса врачей постоянно такое говорят: "Деньги, деньги давай!"
     

  • 1.60, kusb (?), 02:58, 06/01/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    Офигеть, это же закон Гудхарта - "когда мера становится целью она перестаёт быть хорошей мерой"
     
  • 1.68, Аноним (68), 05:51, 06/01/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Мы то думали, что ИИ уконтропупит человечество по сценарию фильма терминатор, а оказавается человечество просто заболтают до смерти :)
     
     
  • 2.76, Аноним (27), 07:21, 06/01/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Уконтропупит, не волнуйся, просто подожди, когда военные до ей доберутся. Про Станислава Петрова уже забыли?
     
     
  • 3.90, Anonymous1 (?), 10:23, 06/01/2024 [^] [^^] [^^^] [ответить]  
  • +/
    В смысле - когда? Военные это всё спонсируют.
     

  • 1.89, Anonymous1 (?), 10:22, 06/01/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Проблемы из-за подготовленных AI-инструментами отчётов о чём угодно.

    Недавно был скандал, судья вписал бессмысленный ии бред в приговор. Смысл тот же.

     
     
  • 2.106, Аноним (106), 12:08, 06/01/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Эти отчёты сами по себе не подготавливаются. Их "делает" ферма индусов. У них даже есть официальные решения для энтерпрайза, с подпиской и блэкджеком, где находят подобные уязвимости и получают баунти.
    Раньше они пугали обычных юзеров попапами, но тут подвернулась гениальная идея - во главе огромных компаний сидят абсолютно такие-же обычные юзеры!
     

  • 1.104, Аноним (106), 11:51, 06/01/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Мусорные отчёты уязвимостей это весь т.н. "infosec". Запугивание мнимыми угрозами безопасности и изображение бурной деятельности по их устранению стали уже нормой в IT. На этом создана целая индустрия техно-шарлатанства.
     
     
  • 2.123, Аноним (123), 17:35, 06/01/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Скажи спасибо императивным язычкам и в целом фон неймановскому мракобесию, не допускающим автоматической верификации.
     
     
  • 3.133, _ (??), 22:38, 06/01/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Ты это пишешь на "фон неймановском" железе,  на софте сделанном на "императивных язычках"(r) а не на своей "автоматически верифицрованной" палке-копалке :)

    Фон Нейман - сделал. Императивщики - сделали.
    Ты - пос***л на форуме.
    Классика жанра: "Ах Моська! ..."(С) :-)

     

  • 1.105, Аноним (106), 11:56, 06/01/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    "попытка уточнить ... привела к получению подробных, но не несущих дополнительной информации, пояснений, которые лишь разжёвывали очевидные общие причины возникновения переполнения буфера, не связанные с конкретным кодом Curl"

    AI обучался на лучших примерах индийского тех-саппорта?

     
  • 1.124, Вы забыли заполнить поле Name (?), 17:48, 06/01/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    Теперь нужен другой AI, который будет фильтровать такие репорты, примерно как спам в почте.
     
     
  • 2.134, _ (??), 22:46, 06/01/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Да.
    И кто первый сделает - озолотится.
    Это по опыту создания анти спам дважка для e-mail 20 лке назад.

    Кстати если AI заставить переписываться друг с другом ... Ынтернетам придёт ***зда :(
    Надо готовить надпись над заведением: "Только для людей!" :)))

     
  • 2.143, Аноним (143), 06:51, 09/01/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Ответ Вам и предыдущему коллеге:

    Коллапс искусственного интеллекта - деградация модели искусственного интеллекта (ИИ), возникающая в результате обучения на искусственных данных, сгенерированных самим ИИ.

    До финиша 8 обычно тактов такого обучения. Потом или полный вздор, или:

    Галлюцинация ИИ - вымышленный ответ бота, не имеющий отношения к действительности.

     

  • 1.137, Аноним (137), 07:30, 07/01/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Нейросети и ИИ это совершенно разные вещи. Но тем не менее нейросети называют ИИ. Происходит подмена понятий, типичная современная ложь называемая "повестка". А значит это все сознательная диверсия.
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру