| 1.1, Аноним (1), 13:28, 12/05/2026 [ответить] [﹢﹢﹢] [ · · · ]
| +12 +/– |
У меня появляется смутная надежда, что ИИ таки улучшит качество кода. Разгребет 100500 багов на которые все давно плюнули. Пару лет поколбасит, а потом - браузер что не течет, не падает и не тормозит. Ось в которой все просто работает. Документы что открываются везде и всюда в одном и том же виде. Прикладухи что делают то что от них ожидается и так как от них ожидается. И тут я проснулся.
| | |
| |
| |
| 3.6, НяшМяш (ok), 13:43, 12/05/2026 [^] [^^] [^^^] [ответить]
| +7 +/– |
 Маркетологи врут в том, что уже сейчас всё идеально и можно пользоваться везде. Но в реальности прогресс инструментов очевиден. Какой-то год назад вот эти все чатгопоты даже в интернете искать не умели, потом их научили искать бред. А сейчас ему можно задать вполне конкретный вопрос, он понимает из какой области и идёт искать ответ. Я вот таким образом неожиданно узнал, что у майкрософтовского SSTP есть спецификация - на невинный вопрос как это устроено он пошёл сходил прямо в спеку и вывалил мне тонну интересной инфы.
| | |
| 3.13, Аноним (11), 13:50, 12/05/2026 [^] [^^] [^^^] [ответить]
| +/– | |
> не продемонстрировала особых достижений
Функции CURL-а пока актуальны и их не требуется пока выявлять.
| | |
| 3.30, 3yoexpert (?), 14:50, 12/05/2026 [^] [^^] [^^^] [ответить]
| +2 +/– |
По-крайней мере, истинно то, что только люди не дочитывают сообщения до конца, прежде чем отвечать
| | |
|
| 2.44, тоже Аноним (ok), 16:16, 12/05/2026 [^] [^^] [^^^] [ответить]
| +/– |
 > ИИ таки улучшит качество кода
ИИ в теме новости сейчас занят тем, что ищет каверны в сваях. О которых жильцы домов ни разу в жизни не слышали, и исправление проблем заметить просто физически не смогут.
К работе программ через задницу, неоптимальным алгоритмам, просто кривым рукам и особым взглядам создателей на порядок работы, неумению в интерфейсы, профайлинг etc - короче, к тем проблемам, которые собственно, портят кровушку юзеру, все эти победоносные ИИ-конвейеры никакого отношения не имеют.
| | |
| 2.46, Аноним (46), 16:23, 12/05/2026 [^] [^^] [^^^] [ответить]
| +/– |
ИИ может улучшить качество кода. Но только если менеджеры и директора этого захотят. А они не захотят. Иначе они бы уже сейчас выделяли время на повышение качества и зрелости продукта (хрен с ним с кодом). Мало мозгов, мало денег, много васьков, которые за счет своего здоровья не позволяют этому качеству рухнуть ниже уровня базовой работоспособности.
| | |
| |
| 3.63, penetrator (?), 18:19, 12/05/2026 [^] [^^] [^^^] [ответить]
| +/– |
глобально он ничего не улучшит, это как статический анализатор, берешь одной фирмы находит одни ошибки, берешь другой - найдет еще парочку, так и с моделями, найдет что-то с другого ракурса, и потому эффективность снизится до минимума
| | |
|
|
| 1.3, Аноним (3), 13:33, 12/05/2026 [ответить] [﹢﹢﹢] [ · · · ]
| +1 +/– | |
> По мнению Дэниела, анонсированные компанией Anthropic прорывные возможности AI-модели Claude Mythos в области поиска уязвимостей [...] являются скорее маркетинговым приувеличением, так как при проверке кода Curl модель не показала существенных преимуществ по сравнению с AI-продуктами от других производителей.
Эмм... А то, что в Curl просто мало уязвимостей - это Дэниэл не допускает? Ну, типа, большинство из них уже раньше закрыли.
Или здравый смысл не работает, когда речь идет о ИИ?
| | |
| |
| 2.7, Аноним (7), 13:44, 12/05/2026 [^] [^^] [^^^] [ответить]
| +7 +/– |
Та ладно! Он же сишник и пишет libcurl/curl на Си. Как так нет уязвимостей, если софт написан на Си? Или когда адвокат вайбкодеров пытается объяснить почему Claude ничего не смог, то можно и сишников назвать хорошими программистами?
| | |
| |
| 3.12, Аноним (3), 13:50, 12/05/2026 [^] [^^] [^^^] [ответить]
| +2 +/– | |
> Он же сишник и пишет libcurl/curl на Си. Как так нет уязвимостей, если софт написан на Си?
Так он как бы и сам не это намекает, не? Он же не говорит "Claude не нашел дыр потому, что у нас их нет". Он говорит "Claude не нашел дыр, потому что он слабенький".
| | |
| 3.18, Аноним (3), 14:01, 12/05/2026 [^] [^^] [^^^] [ответить]
| +/– | |
> когда адвокат вайбкодеров пытается объяснить почему Claude ничего не смог,
Чел, почему Claude "не смог", объясняется прямым текстом в статье. Они на протяжении месяцев натравливали другие ИИ и в целом закрыли 60 дыр за год. А ПОСЛЕ запустили Claude и обнаружили, что он почти ничего не нашел! Абсолютно никакой логической и временной связи между этими двумя событиями Дэниэл, очевидно, не видит.
| | |
| 3.26, Аноним (26), 14:30, 12/05/2026 [^] [^^] [^^^] [ответить]
| +1 +/– |
>> А то, что в Curl просто мало уязвимостей - это Дэниэл не допускает?
> Или когда адвокат вайбкодеров пытается объяснить почему Claude ничего не смог, то можно и сишников назвать хорошими программистами?
Ты ведь совсем не уловил посыла того комментария, не так ли?
Тебе же риторическим вопросом "А то, что в Curl просто мало уязвимостей - это Дэниэл не допускает?" сказано, что даже сам автор curl не допускает, что в его коде нет дыр.
Я хз, где ты там увидел, чтобы сишников называли "хорошими программистами".
| | |
| 3.28, Bob (??), 14:31, 12/05/2026 [^] [^^] [^^^] [ответить]
| +1 +/– | |
Так вылизали уже почти полностью.
Это же не код рыжего браузере перелопачивать
| | |
|
| 2.45, тоже Аноним (ok), 16:20, 12/05/2026 [^] [^^] [^^^] [ответить]
| +1 +/– | |
> Или здравый смысл не работает, когда речь идет о ИИ?
Видимо, нет, раз возникают такие вопросы.
Новый ИИ разрекламировали, как прорыв и качественно лучший инструмент, чем те, что были.
Дэниел проверил именно после тех, что были - никакого прорыва не обнаружил, только об этом и пишет.
| | |
| |
| 3.47, Аноним (47), 16:25, 12/05/2026 [^] [^^] [^^^] [ответить]
| +/– | |
> Дэниел проверил именно после тех, что были - никакого прорыва не обнаружил, только об этом и пишет.
Вот именно, что после.
Какой "прорыв" он ожидал после того, как (цитата) "за последние 8-10 месяцев код Curl проверялся при помощи AI-сервисов AISLE, Zeropath и OpenAI Codex Security, что позволило исправить 200-300 ошибок, из которых 12 были уязвимостями"?
Л - логика.
| | |
| |
| 4.52, тоже Аноним (ok), 16:37, 12/05/2026 [^] [^^] [^^^] [ответить]
| +2 +/– | |
> Какой "прорыв" он ожидал
См. новость: "анонсированные компанией Anthropic прорывные возможности AI-модели Claude Mythos в области поиска уязвимостей".
Ребята били себя пяткой в грудь, что их ИИ не просто ищет уязвимости, а прям сильно лучше всех ищет уязвимости. Проверка на практике показала, что никакого "сильно лучше" не случилось.
| | |
| |
| 5.60, Аноним (60), 17:23, 12/05/2026 [^] [^^] [^^^] [ответить]
| +/– |
Пока что практика показывает, что новый инструмент находит ещё какую-то не замеченную предыдущими, уязвимость. И никакого полного устранения всех уязвимостей за раз пока не видно.
| | |
|
|
|
| 2.64, Мемоним (?), 18:21, 12/05/2026 [^] [^^] [^^^] [ответить]
| +/– | |
> Анализ 176 тысяч строк кода Curl
На такой небольшой кодобазе нашли "200-300" ошибок только за последние месяцы. Ему бы молчать тихонько в тряпочку, а не иронизировать.
| | |
| 2.66, нах. (?), 18:55, 12/05/2026 [^] [^^] [^^^] [ответить]
| +/– | |
в смысле "мало"? 300 штук найденные за предыдущие 10 месяцев как он сам признает - это немало для cli утилитки и ее библиотеки.
Просто их нашли другие модели, к которым все желающий получили доступ раньше. Вероятно, потратив сильно больше ресурсов и времени кожанных на анализ результатов, чем потратила бы специализированная.
Т.е. единственный вывод который можно было бы сделать - мир не рухнет если открыть доступ к mythos всем желающим - те кто были заинтересованы в исправлении багов, их и так уже исправили, те кто были заинтересованы в поиске - и так найдут, ну а гуанокода не жаль.
| | |
|
| 1.4, Аноним (60), 13:36, 12/05/2026 [ответить] [﹢﹢﹢] [ · · · ]
| +3 +/– | |
>что позволило исправить 200-300 ошибок
Маркетинг такой маркетинг. Так 200 или 300?
| | |
| |
| 2.21, Аноним (3), 14:08, 12/05/2026 [^] [^^] [^^^] [ответить]
| +1 +/– |
>> что позволило исправить 200-300 ошибок
> Так 200 или 300?
А это и не важно. Главное, что ПОСЛЕ этого Claude ничего не нашел - а значит, по логике автора Curl, он ни на что не годен.
| | |
| |
| 3.53, тоже Аноним (ok), 16:38, 12/05/2026 [^] [^^] [^^^] [ответить]
| +/– | |
> значит, по логике автора Curl, он ни на что не годен.
Врать не надо по интернету. Передергивать не надо по интернету...
| | |
|
| 2.59, Аноним (59), 17:17, 12/05/2026 [^] [^^] [^^^] [ответить]
| +/– |
200 - fatal error
300 - recoverable error
а еще бывают нестрое..., т.е. ошибки не исходном коде
| | |
|
| 1.5, Хру (?), 13:42, 12/05/2026 [ответить] [﹢﹢﹢] [ · · · ]
| +4 +/– |
Так что же получается - культура разработки на Си - возможна??? И дело значить не в кривом языке, а в немотивированных программистах, хреновой алгоритмической подготовке и нежелании пользоваться современными инструментами?
| | |
| |
| 2.8, НяшМяш (ok), 13:45, 12/05/2026 [^] [^^] [^^^] [ответить]
| +2 +/– |
Просто Дэниел Стенберг не настоящий сишник - инструментами какими-то пользуется. Ещё скажите у него компьютер современный. Настоящий сишник кодит на своём коредвадуо в терминале без подсветки синтаксиса.
| | |
| |
| 3.19, Аноним на удаленке (?), 14:05, 12/05/2026 [^] [^^] [^^^] [ответить]
| –1 +/– |
 Знавал я такого. Только он асемблеревщик и к Си у него отношение как к чему то слишком уж разжеванному, для дураков. И работает он на Windiws XP. Вот вот в 2020 году пересел на неё с 98 виндоус. Человек работает в компании и ей он нужен. Его немного пайтон развратил так что он на ассемблер не хотел смотреть, но потом все же освоил работу на трез языках. ))). И да он не пенсионер. Ему что-то около 40 было тогда.
| | |
|
| 2.9, Аноним (3), 13:46, 12/05/2026 [^] [^^] [^^^] [ответить]
| –2 +/– |
> Си
> пользоваться современными инструментами
Это взаимоисключающие понятия.
| | |
| |
| 3.10, Хру (?), 13:48, 12/05/2026 [^] [^^] [^^^] [ответить]
| +/– |
Эт почему? Нельзя в 2026 году написать современный инструмент на С89? :)
| | |
| |
| 4.14, Аноним (3), 13:53, 12/05/2026 [^] [^^] [^^^] [ответить]
| +/– | |
> Эт почему?
Это потому, что посмотри на год его создания и, самое главное, как сильно он с тех пор развился.
> Нельзя в 2026 году написать современный инструмент на С89? :)
Ты говорил о "пользоваться". Написать-то и на brainfuck можно при желании.
| | |
| |
| 5.35, Sm0ke85 (ok), 14:58, 12/05/2026 [^] [^^] [^^^] [ответить]
| –1 +/– |
 >Это потому, что посмотри на год его создания и, самое главное, как сильно он с тех пор развился.
Ну и что я там должен увидеть, чего быть не должно???? Ты там один в комнате...?)))
>Ты говорил о "пользоваться". Написать-то и на brainfuck можно при желании.
Ты б мысль развил, а не в буквах различия искал, прям интересно на твой винегрет в голове глянуть... ахахах))))
| | |
| |
| 6.41, Аноним (60), 15:46, 12/05/2026 [^] [^^] [^^^] [ответить]
| +/– | |
>Ну и что я там должен увидеть, чего быть не должно?
А что вы там увидите? Хотя-бы алгебраические типы увидите? Или опять будете UB при разыменновывании нулевого указателя получать?
| | |
| 6.51, Аноним (47), 16:35, 12/05/2026 [^] [^^] [^^^] [ответить]
| +/– |
>> Это потому, что посмотри на год его создания и, самое главное, как сильно он с тех пор развился.
> Ну и что я там должен увидеть, чего быть не должно????
Например, практически полное отсутствие развития по сравнению с 70-ми годами.
> Ты там один в комнате...?)))
> твой винегрет в голове глянуть...
> ахахах))))
Бедняжка пытается в ad hominem. 🥲
| | |
|
|
| 4.37, Аноним (60), 15:21, 12/05/2026 [^] [^^] [^^^] [ответить]
| +/– | |
>Нельзя в 2026 году написать современный инструмент на С89? :)
Можно и на ассемблере, разрешаю. Будете?
| | |
|
|
| 2.31, Аноним (60), 14:50, 12/05/2026 [^] [^^] [^^^] [ответить]
| –1 +/– | |
>Так что же получается - культура разработки на Си - возможна???
Нет, не получается.
>и нежелании пользоваться современными инструментами?
Да, например rust-ом.
| | |
| 2.34, Аноним (60), 14:57, 12/05/2026 [^] [^^] [^^^] [ответить]
| +/– | |
>Так что же получается - культура разработки на Си - возможна???
Не понимаю, как у вас это может уживаться с этим
>Ручная проверка показала, что только одна из 5 проблем приводит к уязвимости
>из которых 12 были уязвимостями
>Всего в этом году в Curl было выявлено около 60 уязвимостей
Код кишит уязвимостями, а вы про культуру разработки вещаете.
| | |
| |
| 3.39, Хру (?), 15:33, 12/05/2026 [^] [^^] [^^^] [ответить]
| +/– | |
Может уживаться! Вот список CVE за все годы, на который ссылается Дэниел: https://curl.se/docs/security.html
Последний High severity - https://curl.se/docs/CVE-2023-38545.html
И еще один UAF в 2026 как Medium: https://curl.se/docs/CVE-2026-3805.html и пара overread и integer overflow в сторонних либах.
175 тысяч строк кода - это одна сторона медали. Вторая сторона - следование чертовски запутанным спекам IETF которые и читать-то - боль.
А вот в 2026 году основной источник проблем - это уже не тривиализированные проблемы языка а таки логические ошибки.
А так - кишит, конечно... Но вот какой язык защищает от логических ошибок? Гонки еще отлавливать статически можно через callpath graphing, но ежу понятно что ллмки делают это лучше. Они для этого спроектированы - отлавливать паттерны во входном потоке.
| | |
| |
| 4.40, Аноним (60), 15:44, 12/05/2026 [^] [^^] [^^^] [ответить]
| +/– | |
>А вот в 2026 году основной источник проблем - это уже не тривиализированные проблемы языка а таки логические ошибки.
И вот классический пример такой ошибки, которая спокойно находится типами https://habr.com/ru/articles/522208/
>Но вот какой язык защищает от логических ошибок?
Зачем вы задаёте вопрос, если всё равно в следующей теме будете задавать его повторно? ATS. Idris, Lean 4 вам крайне в этом помогут.
| | |
| |
| 5.55, Хру (?), 16:49, 12/05/2026 [^] [^^] [^^^] [ответить]
| +/– | |
Вы меня с каким-то другим комментатором путаете :) Я только в этой теме (зачем-то) решил пообщаться. И рад, что попал на умного человека.
Про формальную верификацию знаю конечно, а вот как Lean используется в программировании?
Он же вроде для доказательства теорем. Поделитесь опытом?
| | |
| |
| 6.57, Хру (?), 16:52, 12/05/2026 [^] [^^] [^^^] [ответить]
| +/– |
И насчет статьи с Хабра - вот не далее как в начале месяца пробежала дырка в андроидовом adbd, как раз не учитывавшая что -1 != 0 .
| | |
|
|
| 4.50, Аноним (50), 16:34, 12/05/2026 [^] [^^] [^^^] [ответить]
| +/– | |
>Но вот какой язык защищает от логических ошибок?
Практика исправления ошибок на си и хаскеле защищает.
| | |
|
|
|
| 1.15, q (ok), 13:53, 12/05/2026 [ответить] [﹢﹢﹢] [ · · · ]
| +2 +/– |
 Тысячи глаз на протяжение десятилетий: находили уязвимости в curl.
Аффтар curl: исправлял, вылизывал код на протяжение десятилетий.
Claude Mythos: находит еще одну уязвимость, которую тысячи глаз проморгали.
Аффтар curl: "Чет как-то не впечатлился... Это все обман чтобы набрать классы..."
| | |
| |
| 2.20, Аноним (3), 14:05, 12/05/2026 [^] [^^] [^^^] [ответить]
| +/– | |
> Аффтар curl: "Чет как-то не впечатлился... Это все обман чтобы набрать классы..."
В англоязычных инетах тоже выпали с этой логики автора Curl. Похоже, у некоторых людей здравый смысл просто отключается, когда речь заходит об ИИ.
| | |
| |
| 3.36, Аноним (36), 15:00, 12/05/2026 [^] [^^] [^^^] [ответить]
| +/– | |
> Похоже, у некоторых людей здравый смысл просто отключается, когда речь заходит об ИИ.
Здравый смысл потерян уже на этой строчке "Тысячи глаз на протяжение десятилетий: находили уязвимости в curl.", нет никаких "тыща глаз", нету бл*ть, нетууууу!!!!
| | |
|
| 2.42, Аноним (42), 15:46, 12/05/2026 [^] [^^] [^^^] [ответить]
| +1 +/– | |
>находит еще одну уязвимость, которую тысячи глаз проморгали.
Начнём с того, что этой "тысячи глаз" никогда не было. Никто не проводил аудит кода. И ещё вопрос, как ты запоёшь, когда после ИИ начнут находить уязвимости?
| | |
| |
| 3.43, q (ok), 16:02, 12/05/2026 [^] [^^] [^^^] [ответить]
| +/– |
Никак не запою, ибо ИИ нередко допускает ошибки. Но важнее то, что он свои же ошибки уже может замечать прямо в процессе генерации ответа ("Wait...") -- и это без режима thinking. Я этого не наблюдал каких-то год или два назад. А вообще, очевидно, будущее за архитектурами, где одна модель генерирует ответ, а вторая его проверяет — никто не заявляет, что ИИ должен ограничиваться ровно одним вызовом ровно одной модели.
| | |
| |
| 4.65, Аноним (65), 18:45, 12/05/2026 [^] [^^] [^^^] [ответить]
| +/– | |
> Но важнее то, что он свои же ошибки уже может замечать прямо в процессе генерации ответа ("Wait...") -- и это без режима thinking
Хороший способ ИЗОБРАЗИТЬ, как ты крут. Даже в обучение зашили.
Это лютый здец!
| | |
| |
| 5.69, q (ok), 19:19, 12/05/2026 [^] [^^] [^^^] [ответить]
| +/– |
В обучение зашили идею, что в случае ошибки нужно внезапно нарушить естественный ход мысли и вывести correction. Умение хорошее, не у каждого человека есть такое в прошивке. Интересно, можешь ли ты написать коммент, в начале которого ты утверждаешь что-то ложное, а в конце признаешь ошибку? Или ты так до самого конца и будешь держаться за свои заблуждения из гордости?
| | |
|
|
| 3.49, Аноним (47), 16:28, 12/05/2026 [^] [^^] [^^^] [ответить]
| +/– | |
> Начнём с того, что этой "тысячи глаз" никогда не было. Никто не проводил аудит кода
Как при этом на протяжении десятков лет в curl находились и закрывались CVE - загадка.
| | |
| |
| 4.67, нах. (?), 18:57, 12/05/2026 [^] [^^] [^^^] [ответить]
| +/– | |
ну например сильно меньше чем тыщами. Несколькими десятками. Штук.
| | |
|
|
|
| 1.17, Аноним (17), 13:55, 12/05/2026 [ответить] [﹢﹢﹢] [ · · · ]
| +/– | |
Доступ к модели GPT-5.5-Cyber предоставляется только исследователям безопасности после выборочного одобрения заявок.
Хм.. поиграются с уязвимостями предлагают только своим :)
| | |
| 1.29, Тудасюда (?), 14:36, 12/05/2026 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Так это же хорошо. Хватит кормить ленивых зажравшихся программистов, которые ни за что не несут ответственность, "яйца лижут" и имитируют бурную деятельность, переставляя бесчисленное количество раз кнопочки. Особенно это полезно в области СПО, где вообще на все "болтыЛОЖИЛИ".
| | |
| |
| 2.32, Аноним (11), 14:51, 12/05/2026 [^] [^^] [^^^] [ответить]
| +/– | |
> Хватит кормить ленивых зажравшихся программистов
Теперь они создают ИИ и кушают ещё больше. Обещая, что вот-вот - и наступит рай.
| | |
|
| 1.48, Сладкая булочка (?), 16:27, 12/05/2026 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Ну вот, чтд. Более-менее нормальный код и не шмогла. Давайте еще проверок замутите, сделайте блог аналог PVS, где будете выкладывать проверку открытых проектов.
| | |
| 1.56, Аноним (-), 16:50, 12/05/2026 [ответить] [﹢﹢﹢] [ · · · ]
| –1 +/– | |
> при проверке кода Curl модель не показала существенных преимуществ по сравнению с AI-продуктами от других производителей.
А он юморист. Сложно найти то - чего нет. Ибо он так то security aware и сажает довольно мало багов. Так что гамнюк жирно потроллил AI агентов - прося их найти то не знаю что, подя туда не знаю куда :). Логично что они справляются не очень хорошо, все вместе.
Вот если вы на код рубистов из GitLab их бы напустили, там можно было бы посчитать уже кто лучше :))
| | |
| 1.58, Аноним (58), 16:54, 12/05/2026 [ответить] [﹢﹢﹢] [ · · · ]
| +1 +/– | |
Знаете, лет так 5-10 назад было модно прогонять код опесоурсных проектов через новый статический анализатор и радостно показывать, сколько ошибок найдено.
Ну так вот, придумали ещё один статический анализатор. Можно сказать, реально полезная вещь получилась.
Правда, есть одно но: подозреваю, что нынешний ИИ конечно нашёл какое-то количество багов, но точно так же, как классический статический анализатор работающий по правилам и эвристикам - отсутствие замечаний от него вовсе не означает, что ошибок в коде нет.
| | |
| |
| 2.68, Аноним (68), 18:59, 12/05/2026 [^] [^^] [^^^] [ответить]
| +/– | |
> Ну так вот, придумали ещё один статический анализатор
Скорее вероятностный, где вероятности не только в определении уязвимостей, а вообще везде
| | |
|
|
