The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы
правила/FAQ
поиск
регистрация
вход/выход
слежка
RSS


"AI-модель Claude Opus 4.6 выявила более 500 ранее неизвестных уязвимостей"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"AI-модель Claude Opus 4.6 выявила более 500 ранее неизвестных уязвимостей"  +/
Сообщение от opennews (ok), 08-Фев-26, 12:02 
Компания Anthropic объявила о расширении в AI-модели Claude Opus 4.6 возможностей по поиску уязвимостей в коде и поделилась результатами эксперимента, в ходе которого выявлено более 500 ранее неизвестных (0-day) уязвимостей в последних версиях различных открытых проектов. Работа была сфокусирована на поиске уязвимостей, вызванных  проблемами при работе с памятью, так как их наличие проще проверить. Всем выявленным уязвимостям присвоен высокий уровень опасности. Каждая уязвимость была вручную проверена  и подтверждена сотрудниками Anthropic или привлечёнными внешними исследователями безопасности...

Подробнее: https://www.opennet.me/opennews/art.shtml?num=64760

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения [Сортировка по ответам | RSS]

2. Сообщение от Аноним (2), 08-Фев-26, 12:03   +7 +/
> так как ныне выделяемых на исправление 90-дней будет недостаточно.

а патчи чего не написали сразу же этой нейронкой?

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #4, #7, #50, #68, #110, #112

4. Сообщение от Аноним (-), 08-Фев-26, 12:05   –3 +/
А зачем?
Сначала можно воспользоваться, а потом уже исправить.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2 Ответы: #47, #122

5. Сообщение от Аноним (5), 08-Фев-26, 12:07   +/
Это становится опасно.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #11, #12, #17, #20

6. Сообщение от Аноним (6), 08-Фев-26, 12:11   +/
Пруфов нет. Эти 500 уязвимостей где посмотреть?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #8

7. Сообщение от Аноним (7), 08-Фев-26, 12:17   +14 +/
Нейросети умеют читать лучше анонимов с опеннета, это факт.

В новости прямым текстом сказано, что патчи подготовили (причем вручную проверили) и отправили, а тут речь идет о будущем, в котором поток подобных багрепортов может вырасти в разы. Патчи нейронкой, конечно, пишутся, но проверять их все равно будет мясной интеллект

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2 Ответы: #18, #25

8. Сообщение от Аноним (11), 08-Фев-26, 12:18   +2 +/
>We've begun reporting them and are seeing our initial patches land, and we’re continuing to work with maintainers to patch the others.

https://red.anthropic.com/2026/zero-days/

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #6

9. Сообщение от Мемоним (?), 08-Фев-26, 12:21   +2 +/
> вызов функции gs_type1_blend без проверки корректности значений

Вот интересно, если код на цешечке обвесить всеми необходимыми проверками на границы, значения, нулевые ссылки и т.п. насколько "самый быстрый язык для системного программирования" станет медленнее Джавы?

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #10, #13, #71, #99, #109

10. Сообщение от Аноним (10), 08-Фев-26, 12:23    Скрыто ботом-модератором+2 +/
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #9

11. Сообщение от Аноним (11), 08-Фев-26, 12:28   –6 +/
Но впечатляет:
https://www.anthropic.com/engineering/building-c-compiler
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5 Ответы: #35, #125

12. Сообщение от Facemakeremail (?), 08-Фев-26, 12:28   +1 +/
Зато сишники воспрянут духом: можно сажать сколько угодно уязвимостей, надеясь, что потом нейронка выловит ☺.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5 Ответы: #42, #69

13. Сообщение от kusb (?), 08-Фев-26, 12:29   +/
Они лолжны были быть в процессоре. Наверное. Хотя звучит как жуткая архитектура.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #9 Ответы: #16, #46

14. Сообщение от User (??), 08-Фев-26, 12:30   +3 +/
Чот прям ураганная неделя на opennet: Клава ищет уязвимости (Помогите-девочке найти ошибки в сишном коде), в ядро предлагают запихнуть лылымы, лылымы написала кнопелятор на rust'е (И он даже работает!), ненужное-ненужно перевели не ненужно - хучь на emacs переходи (Но денег на подписку JB все одно нет - так что в следующий раз обязательно), Почти-Последний-Оплот продался сОтоне-поттерингу и lfs теперь вот тоже ой; в пресвятой жит уже почти (Но все еще не совсем, или, по крайней мере, не очень глубоко) занесли ржавчину - корутильки добрали еще немного тестов (Гнутые с сокращением дистанции работают - но боюсь, не с требуемой скоростью: придумывать, какую бы еще нескучную опцию добавить в команду date - это вам не на другой язык переписывать!) - оплот интернетной свободы (by NSA) и тот вот - сами знаете на что ПЕРЕПИСАЛИ!

Один только лучик света в темном царстве - к Хурду соли завезли.

В общем, нельзя так с ЭКСПЕРТАМИ. Не хорошо. Давайте на следующей неделе таких вот новостей - не публиковать, а? Можно даже праздничный релиз какого-нибудь CDE выпустить - или если "лапки" то хотя бы кнопку fork в KDE2 нажать...

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #27, #31, #90

15. Сообщение от Аноним (15), 08-Фев-26, 12:31   –2 +/
Оно работает? Тогда все эти "уязвимости" ниипут.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #23

16. Сообщение от Мемоним (?), 08-Фев-26, 12:37   –1 +/
Мне кажется мир был бы чуточку безопаснее, если бы транзисторный бюджет процессоров тратили на реализацию высокоуровневых абстракций, а не вечно текущие кеши и спекуляции.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #13 Ответы: #24

17. Сообщение от пэпэ (?), 08-Фев-26, 12:40   +/
Поэтому и нужны ЯП с гарантиями. Это же гонка вооружений - сетками сейчас будут всё больше находить уязвимости, причем не только добренькие исследователи. Си объективно не готов в этой гонке участвовать.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5 Ответы: #26

18. Сообщение от Аноним (18), 08-Фев-26, 12:40    Скрыто ботом-модератором+3 +/
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #7

19. Сообщение от Аноним (74), 08-Фев-26, 12:44    Скрыто ботом-модератором–1 +/
Ответить | Правка | Наверх | Cообщить модератору

20. Сообщение от Маяковский (?), 08-Фев-26, 12:45   +/
Пятьсот дыр нашёл — и это лишь начало!
Claude с фаззером — такого не бывало!
ИИ и код — и это коммунизм!
Влейте в открытый софт нейронный оптимизм!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5 Ответы: #74

21. Сообщение от нах. (?), 08-Фев-26, 12:54   +4 +/
но в этот раз что-то постенснялись озвучить сумму, которую заплатил бы потусторонний васян за такое "исследование".

Ну ок, ок, хайпогенерация крутится, лавешка мутится.

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #22, #52

22. Сообщение от пэпэ (?), 08-Фев-26, 12:58   +/
А нафига потустороннему Васяну сканить сотни открытых проектов?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #21 Ответы: #54, #85

23. Сообщение от Аноним (24), 08-Фев-26, 13:01    Скрыто ботом-модератором+/
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #15

24. Сообщение от Аноним (24), 08-Фев-26, 13:06   +4 +/
Ага, давайте перенесём дыры из софта (где их можно оперативно заделать) в железо. Великолепный план. Надёжный, как швейцарские часы.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #16 Ответы: #28

25. Сообщение от мясной интеллек (?), 08-Фев-26, 13:06   +/
XEP вам! Не буду я за ыы горшки выносить!

Ищите л-в в Бангалоре (ух они вам напроверяют!)

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #7

26. Сообщение от xPhoenix (ok), 08-Фев-26, 13:11   +1 +/
!!!SARCASM!!!

Вы просто ненавидите всё сишное и не умеете на C писать безопасно.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #17 Ответы: #34

27. Сообщение от xPhoenix (ok), 08-Фев-26, 13:12   +1 +/
Зачем вам Emacs? Подумайте дважды. Это я вам как автор книги про него говорю. 🤣
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #14 Ответы: #40, #66, #72, #106

28. Сообщение от Аноним (28), 08-Фев-26, 13:14   +/
Возможно софт для железа нужно делать надежным?
Ну там не используовать недоязыки из прошлого тысячелетия или проводить формальную верификацицю?
Та не, бред какой-то! (с)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #24 Ответы: #38, #44

29. Сообщение от онанист (?), 08-Фев-26, 13:23   +3 +/
и какой процент ложного детектирования?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #32

30. Сообщение от Аноним (-), 08-Фев-26, 13:24   +3 +/
Это конечно хорошо, но тема не раскрыта.

Сколько ложных срабатываний было? Сколько времени привлеченные кожаные эксперты потратили времени, чтобы отсеять ложные уязвимости?

Без этой статистики это просто наброс, ибо в реальном проектах будет ситуация как с мальчиком кричащим "волк".

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #87, #126

31. Сообщение от Аноним (31), 08-Фев-26, 13:25   +1 +/
Добро пожаловать в будущее которые мы заслужили.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #14 Ответы: #36

32. Сообщение от Аноним (31), 08-Фев-26, 13:26   +/
Ты уже дале не знаешь как докопаться до ИИ.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #29

33. Сообщение от Аноним (33), 08-Фев-26, 13:32   +3 +/
А эта штука правильно определяет ситуацию, когда в коде ничего не проверяется просто чтобы не плодить лишний код, ибо оно проверяется где-то выше, а сюда приходит уже проверенное?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #39, #57, #115

34. Сообщение от Аноним (34), 08-Фев-26, 13:32   +/
И в LLVM закладки, вот! GCC я, конечно, не проверял.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #26

35. Сообщение от дохтурЛол (?), 08-Фев-26, 13:38   –2 +/
нет, пока не впечатляет
та новость в одних местах подаётся как сенсация, а на технических форумах - её разносят в пух и прах: нейронка была обучена на c компиляторе и код, который она высрала странным образом почти совпадает
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #11 Ответы: #59

36. Сообщение от User (??), 08-Фев-26, 13:40   +/
"Позабыты хлопоты, остановлен бег..." - этот день мы приближали как могли!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #31

37. Сообщение от nw (?), 08-Фев-26, 13:45   +1 +/
К сожалению, в статье не нашел более развернутой информации, которая могла бы говорить об эффективности ии. Например, сколько этот самый ии нашел всего "уязвимостей", которые пометил как критичные, а не деле ими не являлись.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #41, #64

38. Сообщение от Аноним (24), 08-Фев-26, 13:52   +2 +/
Возможно, вообще софт нужно делать надёжным?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #28

39. Сообщение от Аноним (39), 08-Фев-26, 13:54   +/
> strrchr и strcat
> strcpy в curl

Есть ощущение, что гадание происходит всё так же на кофейной гуще. ЛЛМки без дополнительных обвязок в виде всё тех же инструментов (статических анализаторов, фаззинг и т.д.) нейрослопогенераторки только показывают невероятный расизм по отношению к функциям из libc.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #33

40. Сообщение от User (??), 08-Фев-26, 13:55   –1 +/
Ээээ... вообще низачем и ни для чего. Нет, по молодости годиков пять просогрешАл с vim'ом - но, по счастью, попустило - сижу на JB intellij, доволен. Ни на винде, ни на mac'е wayland не чешется, держу в курсе.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #27

41. Сообщение от User (??), 08-Фев-26, 13:59   –2 +/
Ну, я предпоалагаю, что достаточно найти 1 (ОДНУ) в каком-нибудь openssl чтобы окупить примерно ВООБЩЕ ВСЕ ЧТО УГОДНО.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #37 Ответы: #60

42. Сообщение от Аноним (42), 08-Фев-26, 13:59   +1 +/
>Зато сишники воспрянут духом: можно сажать сколько угодно уязвимостей

Да, за что боролись на то и напоролись - Руст больше не нужен!

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #12

43. Сообщение от Аноним (43), 08-Фев-26, 13:59   +1 +/
Жду не дождусь, когда за программистами, которые сами рубили под собой сук, следом поувольняют HR'ов. Представьте только как вырастет конкуренция сосателей с ночными бабочками, наверное даже цены пойдут вниз.

avatars.mds.yandex.net/i?id=b5c21e5d7d6c2f0c9fa2983c73db30a967450ba9-5235948-images-thumbs&n=13

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #49

44. Сообщение от Аноним (44), 08-Фев-26, 14:01   –3 +/
К сожалению, безопасных языков до сих пор нет.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #28 Ответы: #58

45. Сообщение от Аноним (45), 08-Фев-26, 14:01   +/
Ну че, когда этой модеди дадут возможность модифицмровать и улучшать свой код, круг замкнется и все, прмвет приплыли.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #127

46. Сообщение от Ананоним (?), 08-Фев-26, 14:05   +/
Я подозреваю что в процессоре это есть, но просто из-за устоявшейся "удобной" модели языков программирования это не используется.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #13 Ответы: #100

47. Сообщение от Аноним (47), 08-Фев-26, 14:08   +3 +/
То есть если я сейчас в рамках своей работы (надо на чём-то потренироваться, опробовать, потестировать) или чисто на энтузиазме посмотрю чей-то открытый репозиторий и найду баг и расскажу о нем автору, то я сразу мудак? Ведь я сделал за автора только половину работы нахаляву - выявил. А фиксить не стал.

И почему ты думаешь, что продать уязвимость в каком-то обработчике картинок (там 100500 уязвимостей) для них выгоднее, чем распиарить свой продукт?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4

48. Сообщение от Честный Советский Человек (-), 08-Фев-26, 14:09   +2 +/
Главный вопрос: сколько миллионов токенов было использовано и сколько десятков/сотен тысяч баксов это все стоило? Цены API для Opus нагуглите сами.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #51, #55

49. Сообщение от Честный Советский Человек (-), 08-Фев-26, 14:11    Скрыто ботом-модератором+/
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #43 Ответы: #65

50. Сообщение от Bob (??), 08-Фев-26, 14:11   +/
>Чтобы помочь сопровождающим в ходе проведённой проверки вручную были разработаны патчи для исправления выявленных проблем.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2

51. Сообщение от Аноним (43), 08-Фев-26, 14:14   +/
так мы за ценой не постоим. чего только не сделаешь, лишь бы нас побыстрее уволили
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #48

52. Сообщение от Bob (??), 08-Фев-26, 14:15   +1 +/
Васян по bug bounty работает, а маркетологи Antropic посчитали: таким макаром хайпа будет больше и продать подписку проще. Одним выстрелом - жену и тёщу)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #21 Ответы: #86

53. Сообщение от Аноним (53), 08-Фев-26, 14:17   +/
Скоро ИИшки будут находить уязвимость в кожаных мешках. Внимание, найдена уязвимость! Исправить не могу, выбрано действие - уничтожить носителя уязыимости!
Ответить | Правка | Наверх | Cообщить модератору

54. Сообщение от Аноним (59), 08-Фев-26, 14:25   –1 +/
А он тоже не понимает, нафига - ему главное в опеннетных комментариях срывать прокровы с "хайпожоров".
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #22

55. Сообщение от Аноним (59), 08-Фев-26, 14:27   +/
> Главный вопрос: сколько миллионов токенов было использовано и сколько десятков/сотен тысяч баксов это все стоило?

Думаешь, люди бы это сделали дешевле и быстрее? 🤣

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #48 Ответы: #61, #104

57. Сообщение от Аноним (59), 08-Фев-26, 14:33   +/
> А эта штука правильно определяет ситуацию, когда в коде ничего не проверяется просто чтобы не плодить лишний код, ибо оно проверяется где-то выше, а сюда приходит уже проверенное?

Если код ломается внешними файлами, то куда уже "выше" проверять? Или вы новость не читали?

"модель подобрала содержимое файла, обработка которого приводила к аварийному завершению"

"AI-модель смогла сформировать GIT-файл, обработка которого привела к переполнению буфера"

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #33

58. Сообщение от Аноним (59), 08-Фев-26, 14:34   +/
Есть.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #44 Ответы: #84

59. Сообщение от Аноним (59), 08-Фев-26, 14:36   +/
> на технических форумах - её разносят в пух и прах: нейронка была обучена на c компиляторе и код, который она высрала странным образом почти совпадает

Эмм... И в чем тут заключается "разнос"?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #35 Ответы: #70

60. Сообщение от Аноним (60), 08-Фев-26, 14:42   –1 +/
Ты бредишь. Да и не стоит забывать, что уязвимости, подобные heartbleed, не сами по себе образовались в коде. Кто-то их туда положил. Их исправление не в интересах спонсоров. А не будет спонсоров, не будет разработки.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #41 Ответы: #63

61. Сообщение от Честный Советский Человек (-), 08-Фев-26, 14:43    Скрыто ботом-модератором+/
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #55

63. Сообщение от User (??), 08-Фев-26, 14:47   +/
> Ты бредишь. Да и не стоит забывать, что уязвимости, подобные heartbleed, не
> сами по себе образовались в коде. Кто-то их туда положил. Их
> исправление не в интересах спонсоров. А не будет спонсоров, не будет
> разработки.

Эээээ... а кто говорит об "исправлении"?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #60 Ответы: #67

64. Сообщение от Честный Советский Человек (-), 08-Фев-26, 14:50    Скрыто ботом-модератором–1 +/
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #37

65. Сообщение от Аноним (65), 08-Фев-26, 14:57   +/
Эээ... Зачем это помнить в 2026 году? Не засиделась вы на одном месте?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #49 Ответы: #80

66. Сообщение от Ядеркой по Рублевке (-), 08-Фев-26, 14:58    Скрыто ботом-модератором+/
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #27

67. Сообщение от Аноним (60), 08-Фев-26, 15:05   +/
Такие вещи хранятся до лучших времён по причине того, что они достаточно быстро латаются. Проблема в том, что на 1 реальную проблему, автоматические анализаторы генерируют 100000 совершенно бесполезных и 10 ограниченно применимых. Хорошо замаскированные и не найдёт никогда. Это не слишком эффективно, не каждый зеродей себя окупит в итоге. И их просто перестанут ложить, меньше денег для авторов.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #63 Ответы: #77

68. Сообщение от Аноним (68), 08-Фев-26, 15:08    Скрыто ботом-модератором+/
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2

69. Сообщение от Аноним (68), 08-Фев-26, 15:09   +/
Да они всегда так программировали. Ничего для них не поменяется.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #12

70. Сообщение от анонимус (??), 08-Фев-26, 15:17   +2 +/
то что компании генеративного ИИ крадут открытые проекты слехка меняя их код и выдавая за свои :D
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #59 Ответы: #113, #116

71. Сообщение от анонимус (??), 08-Фев-26, 15:19   +/
именно так работает Zig предоставляя разные уровни компиляции с проверками и без оных к тому же совместимо с C в обе стороны
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #9 Ответы: #114

72. Сообщение от Аноним (72), 08-Фев-26, 15:23   +/
Что за книга?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #27

73. Сообщение от Аноним (73), 08-Фев-26, 15:29    Скрыто ботом-модератором+/
Ответить | Правка | Наверх | Cообщить модератору

74. Сообщение от Аноним (74), 08-Фев-26, 15:32   +/
Вообще-то капитализм, обычная замена человека машиной на очередном витке изменения производственных возможностей. Ну а дальше -- кризис, невозможность получения прибылей от нищих выкинутых масс при взрывном недовольстве этих самых масс.

Нет хлеба? Пусть спросят ИИ!

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #20

75. Сообщение от Аноним (75), 08-Фев-26, 15:40   +3 +/
Не особо интересно читать рекламные материалы убыточной компании Anthropic.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #76, #82

76. Сообщение от Аноним (76), 08-Фев-26, 15:43   +/
Десктопный линукс тоже убыточен )
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #75

77. Сообщение от User (??), 08-Фев-26, 15:45   –3 +/
> Такие вещи хранятся до лучших времён по причине того, что они достаточно
> быстро латаются. Проблема в том, что на 1 реальную проблему, автоматические
> анализаторы генерируют 100000 совершенно бесполезных и 10 ограниченно применимых. Хорошо
> замаскированные и не найдёт никогда. Это не слишком эффективно, не каждый
> зеродей себя окупит в итоге. И их просто перестанут ложить, меньше
> денег для авторов.

Ну вот за RCE в oppenssl относительно официально и безопасно предлагают $250к - третьего дня вот https://www.lesswrong.com/posts/7aJwgbMEiKq5egQbd/ai-found-1... насшибали. А теперь давай еще раз про "бюджет токенов" и "ложно-положительные срабатывания"...

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #67 Ответы: #88, #91

79. Сообщение от Аноним (79), 08-Фев-26, 15:48   +/
чистый C или C++ плюс статический анализ таким инструментом = нафиг всякие rust
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #81

80. Сообщение от Ядеркой по Рублевке (-), 08-Фев-26, 16:01   +/
> Эээ... Зачем это помнить в 2026 году? Не засиделась вы на одном
> месте?

С чего ты взял что он все ещё работает там? Имхо, часто менять место работы -дурной тон, особенно на западе.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #65

81. Сообщение от Ядеркой по Рублевке (-), 08-Фев-26, 16:09    Скрыто ботом-модератором+/
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #79

82. Сообщение от Ядеркой по Рублевке (-), 08-Фев-26, 16:11   +/
Вообще-то Пентагон один из самых крупных из клиентов, как и один из самых крупных не публичных спонсоров. Кстати, палантир работает на базе технологий Anthropic.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #75

84. Сообщение от Аноним (44), 08-Фев-26, 16:41   +/
И он не динамический? Как называется?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #58 Ответы: #89, #102

85. Сообщение от нах. (?), 08-Фев-26, 16:42   –1 +/
> А нафига потустороннему Васяну сканить сотни открытых проектов?

действительно, живите с багами. Подумаешь, при попытке открыть pdf в очередной раз выполняется чей-то кот.


Ответить | Правка | Наверх | Cообщить модератору
Родитель: #22 Ответы: #97

86. Сообщение от нах. (?), 08-Фев-26, 16:44   +/
> Васян по bug bounty работает, а маркетологи Antropic посчитали: таким макаром хайпа
> будет больше и продать подписку проще. Одним выстрелом - жену и
> тёщу)

они в отличие от васяна не годы своего времени потратили, а всего лишь десятки тыщ долларов наивных инцесторов.

Которые для того и брали чтоб тратить. (но отчитываться о потраченном лучше не надо, а то следующие могут дать не тебе)

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #52 Ответы: #98

87. Сообщение от нах. (?), 08-Фев-26, 16:46   +/
> Это конечно хорошо, но тема не раскрыта.
> Сколько ложных срабатываний было? Сколько времени привлеченные кожаные эксперты потратили

нисколько. Они заставили модель искать _реальную_ демонстрацию уязвимости. Внезапно, она это умеет. Если деньги не считать совсем.

Т.е. скорее - сколько неложных было найдено но не объявлено потому что модель запуталась в собственных ногах?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #30

88. Сообщение от нах. (?), 08-Фев-26, 16:54   +1 +/
> - третьего дня вот https://www.lesswrong.com/posts/7aJwgbMEiKq5egQbd/ai-found-1...

А там тоже подтвердили наличие rce реальным тестом а не как обычно?
А, нет, ничего там не подтвердили. Более того, 10 из 12 - "low security" типа теоретически-очень-возможных side channel attacks в случае если весь код выполняется внутри троянца и еще и сеть перехвачена троянцем. Но пруфов нет даже для такого случая.

Извини, 250 тыщ баксоф покидают зал. Эти чуваки потратили денежки инвесторов на ии-скам а не на получение доходца.

> After initial HackerOne reports, we moved to direct private communication with the curl
> security team, reporting over 30 additional issues, the majority of which were valid,

а про остальные мы нап...ли. (и разумеется мы не скажем сколько точно, а то окажется что 16)
Разгребайте, разгребайте за нами скам, наши инвесторы очень рады.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #77 Ответы: #123

89. Сообщение от Аноним (89), 08-Фев-26, 17:01   +/
Isabelle/HOL/Rocq/Lean to C extraction
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #84

90. Сообщение от Аноним (89), 08-Фев-26, 17:01    Скрыто ботом-модератором+/
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #14

91. Сообщение от Аноним (89), 08-Фев-26, 17:04   +/
> Three of these bugs date even back to 1998-2000, having lurked undetected for 25-27 years.
> One of them (CVE-2026-22796) predates OpenSSL itself and was inherited from SSLeay, Eric Young's original SSL implementation from the 1990s. Yet it remained undetected by the heavy human and machine scrutiny over the quarter century.

Таки я вас спrошу: настощие диды писали или нет?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #77

92. Сообщение от Аноним (92), 08-Фев-26, 17:08   +/
Ии - отличный инструмент
Ответить | Правка | Наверх | Cообщить модератору

93. Сообщение от Сладкая булочка (?), 08-Фев-26, 17:19   +/
В своем компиляторе не выявила?
Ответить | Правка | Наверх | Cообщить модератору

94. Сообщение от Сладкая булочка (?), 08-Фев-26, 17:25   +1 +/
Слишком много рекламы ИИ на данном ресурсе. Притом проприетарного.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #107, #111

95. Сообщение от Аноним (-), 08-Фев-26, 17:33    Скрыто ботом-модератором–1 +/
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #108

96. Сообщение от Аноним (100), 08-Фев-26, 17:34   +/
> уязвимостей, вызванных проблемами при работе с памятью, так как их наличие проще проверить

А вот уязвимости из-за забывчивости современных безопасных программистов проверять входные параметры - куда страшнее, чем сегфолт памяти.

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #103

97. Сообщение от пэпэ (?), 08-Фев-26, 17:43   +1 +/
Ты не ответил на вопрос. Наверное, потому что понимаешь, что твой вброс так же абсурден как "застройщики не говорят затраты на постройку многоквартирного дома, потому что Васяну такой не построить". А вот построить дом на одного Васяну вполне по силам. Так же как и просканить один свой проект.

inb4: у Васяна нет денег, он живёт в Бангладеш и слепой. Кровавый антропик не даёт слепым бедным Васяна пользоваться своей моделью!

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #85

98. Сообщение от пэпэ (?), 08-Фев-26, 17:45    Скрыто ботом-модератором+/
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #86

99. Сообщение от Аноним (100), 08-Фев-26, 17:47   +/
> обвесить всеми необходимыми проверками на границы, значения ...

Получится раст. Ну или паскаль с ключом "array range checking". Паскаль это умел делать ещё в прошлом веке: что можно вывести на компиляции - кидал ошибку сборки, что нельзя - вставлял рантайм-проверки.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #9

100. Сообщение от Аноним (100), 08-Фев-26, 17:49   +/
Есть. Называется "сегментная модель". Но её "почему-то" выпилили в 64.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #46

101. Сообщение от вата полыхает (-), 08-Фев-26, 17:49    Скрыто ботом-модератором–1 +/
Ответить | Правка | Наверх | Cообщить модератору

102. Сообщение от kusb (?), 08-Фев-26, 17:49   +/
> И он не динамический? Как называется?

Haskell

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #84

103. Сообщение от Аноним (-), 08-Фев-26, 17:51   –1 +/
А под "безопасных программистов" ты имеешь в виду писателей баш-портянок, которые постоянно забывают что-то там себе экранировать?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #96

104. Сообщение от Аноним (100), 08-Фев-26, 17:54   +/
fpc -Cr

Но сишники не ищут простых путей.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #55

105. Сообщение от Сладкая булочка (?), 08-Фев-26, 17:55   +/
Опять маркетологи поработали

> Информация о выявленных в ходе эксперимента уязвимостях уже начала передаваться сопровождающим, с которыми ведётся совместная работа по принятию исправлений.

Угу, или не ведется, или уязвимости вообще не воспроизводятся. Только вы об этом не узнаете, потому что низя, не безопасно!

Вот бы после исправления поделились, сразу бы показали, что уязвимости серьезные. Ведь так можно было же сделать? Ведь правда?

Ладно, все мы понимаем, что тогда нельзя бы было указать красивую цифру в рекламе. Дешевые рекламные трюки намекают на реальное положение дел, а недавний компилятор подвтерждают.

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #117, #119, #121

106. Сообщение от Frestein (ok), 08-Фев-26, 17:55   +/
О, тот самый технический писатель. Так вот вы где обитаете!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #27

107. Сообщение от Аноним (100), 08-Фев-26, 17:57   –1 +/
Как неожиданно открытость превращается в проприетарщину.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #94

108. Сообщение от Аноним (100), 08-Фев-26, 17:59   –1 +/
Это сишникам кара за то, что не хотели изучать паскаль в своё время.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #95

109. Сообщение от Аноним (109), 08-Фев-26, 18:16   +/
Может станет на 10% медленнее, но к Java не приблизится. Java - это виртуальная машина, GC, и куча (не очень нужных для C) проверок при каждом вызове и обращении к памяти, что оно присутствует, нужного типа и т.д.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #9

110. Сообщение от FSA (ok), 08-Фев-26, 18:24   +/
> а патчи чего не написали сразу же этой нейронкой?

Может быть потому, что выявить потенциальную проблему значительно легче, чем её исправить?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2

111. Сообщение от Аноним (24), 08-Фев-26, 18:31   –1 +/
Неприятно, когда проприетарщиной авгиевы конюшни открытого начинают разгребать, да?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #94

112. Сообщение от Аноним (112), 08-Фев-26, 18:31   +/
Так написали же.

Разве вы не слышали, какой вой стоит от тех же разрабов curl, что им присылают левые отчеты и патчи о уязвимостях, которых нет?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2

113. Сообщение от Аноним (59), 08-Фев-26, 18:36   +1 +/
> то что компании генеративного ИИ крадут открытые проекты слехка меняя их код и выдавая за свои

Если бы вы привели пример конкретно "сворованного" кода - тогда было бы чем говорить. Только я на деньги готов поспорить, что фиг вы там в код заглядывали, не говоря уж о том, чтобы с кодом GCC/Clang вдумчиво сравнивать. Особенно с учетом того, что GCC/Clang на C++, а компилятор от ИИ - на Rust.

А так все эти ваши песни про "воровство" поются еще с момента начала ИИ-хайпа и уже порядком поднадоели.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #70

114. Сообщение от Аноним (59), 08-Фев-26, 18:42   +/
> именно так работает Zig предоставляя разные уровни компиляции с проверками и без оных

Лол, вот это инновации. В Turbo Pacal это было еще в 80-х: ты там мог проверки контролировать вплоть до отдельных строк кода.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #71

115. Сообщение от Аноним (116), 08-Фев-26, 18:43   +/
> ибо оно проверяется где-то выше

Дааааа, проверяется)))
А потом "ой, у нас RCE на специально подготовленных данных, как же так?!"

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #33

116. Сообщение от Аноним (116), 08-Фев-26, 18:48   –1 +/
> компании генеративного ИИ крадут открытые проекты

Не крадут, а обучаются на них. Это абсолютно разные вещи.
Плюс проекты на то и открытые, чтобы каждый мог их изучать.
Вот даже мoзoлeeд назвал свободой 1 - "Свобода изучения работы программы".

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #70 Ответы: #124

117. Сообщение от пэпэ (?), 08-Фев-26, 18:52   +/
Ой, как вы уже того этого своим недовольством. Ничего не делают - плохо, что-то делают - тоже плохо. Все всё скрывают, маркетологи, реклама. Как же плохо жить в вашем мире, вокруг все обманывают бедную булочку. А булочка то и готова обмануться. Сплошное бессилие и чернота.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #105

118. Сообщение от Аноним (118), 08-Фев-26, 18:53   +/
GhostScript:
Первое и второе задание на креативность из списка модель провалила. Третье - сделай так же ( аналогично) как один человек (коммит), но на большом объеме данных. Получается интеллектуальная кража.
Ответить | Правка | Наверх | Cообщить модератору

119. Сообщение от Аноним (116), 08-Фев-26, 18:54    Скрыто ботом-модератором–1 +/
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #105

120. Сообщение от Джон Титор (ok), 08-Фев-26, 18:57   +/
Круто, вопрос только в цене такого инструмента и его безопасности. Их инструменты не дешёвые если использовать часто, а не время от времени.
Ответить | Правка | Наверх | Cообщить модератору

121. Сообщение от vitalif (ok), 08-Фев-26, 18:59   +/
Ну целыми 3 поделились. Но там точно ещё 500, мамой клянёмся
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #105

122. Сообщение от Dmitry (??), 08-Фев-26, 19:06    Скрыто ботом-модератором+/
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4

123. Сообщение от User (??), 08-Фев-26, 19:07   +/
>> - третьего дня вот https://www.lesswrong.com/posts/7aJwgbMEiKq5egQbd/ai-found-1...
> А там тоже подтвердили наличие rce реальным тестом а не как обычно?

Ну, 9.8 score - куда больше-то? Не, можно конечно топить за CVE-то-нинастоящий! Но это как-то даже немного и странно.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #88

124. Сообщение от Аноним (124), 08-Фев-26, 19:11   +/
>Не крадут, а обучаются на них

Очень спорное утверждение, видимо, мало разбираешься в машинном обучении.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #116

125. Сообщение от dddd (?), 08-Фев-26, 19:40   +/
https://blog.0x08.ru/elite-vibecoding-2026

ещё больше впечатляет))

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #11

126. Сообщение от dddd (?), 08-Фев-26, 19:42   +/
На скольких из этих проектов использовался статический анализ хотя бы?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #30

127. Сообщение от dddd (?), 08-Фев-26, 19:47   +/
А почему antropic прикупил js bun, а не просто на вайбкодили?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #45


Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей 		Created 1996-2026 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру