
Wpis użytkownika Catharsis w IT
CatharsisOsobistość
18piorunówMiesiąc temu narzekałem, że muszę ciągle aktualizować swoje aplikacje bo cały czas jakieś krytyczne podatności znajdują w next.js i innych bibliotekach a teraz trafiłem na Twitterze na taki obrazek xD. Eh pora zautomatyzować za pomocą AI żeby mi samo bumpowało wersje paczek bo mi się już nie chce tego robić ręcznie i sprawdzać czy działa.
Komentarze (11)
Masakra. Trzeba studia z security kończyć, będzie robota
@Catharsis nie zdążę jednej wersji podbić, a już jest następna podatność. Innymi słowy, idź pan w c⁎⁎j z tym...
Na ciul AI, bierz renovate i nie świruj 😉
Renovate DocsRenovate documentation.Renovatebot@Catharsis parę pytań:
1) ile z tych podatności jest naprawdę poważnymi podatnościami a ile false flag?
2) taka liczba wynika z masowego działania AI w wykrywaniu wielu luk czy też
3) AI pisze teraz masę kodu masowo i pisze go tak słabo, że ilość podatności rośnie geometrycznie?
W sensie załatamy wszystko i zacznie być stabilnie czy już będzie nieskończona pętla syfiastego kodu i prób ratowania
> Nie wiem co buduje. Mam na mysli lekkomyslnosc w dzialaniu.
Nie lepiej powiedzieć, że walą jazz?
@Legendary_Weaponsmith Nie wiem co buduje. Mam na mysli lekkomyslnosc w dzialaniu.
@dziad_saksonski ale w czym pomaga microdosing ketaminy? Przecież to buduje ogromną tolerancję.
@Catharsis Mam teorie co do tego ostatniego. Oni tam wszyscy chyba na ketamince jadą microdosing jak w southparku.
@Catharsis o wow! z tym
ostatnim to mega fakap się szykuje.
Ja powoli zaczynam używać w AI ale mocno sprawdzam i jestem w szoku ile (ale naprawdę ile
ile) może tekstu bez żadnego zająknięcia wypluć z siebie AI, który często potrafi być takim pustoslowiem. I ile
zżera potem zasobów by to ogarnąć. A AI potrafi tak 24/7 😒
@TwojStaryJeSuchary
1. To zależy. Bardzo dużo z nich to są faktycznie jakieś "podatności" które wymagają tak szczególnego przypadku, że nie są groźne. Ale sporo z nich było dość poważnych i np. umożliwiało łatwe zablokowanie całej aplikacji atakując endpoint z konkretnym ładunkiem i inne podobne. Czy warto to łatać? Przeglądam codziennie logi serwera i cały czas ktoś próbuje wbijać do moich aplikacji za pomocą różnych metod które odkryto w ostatnim czasie. Owszem większość nie groźna ale akurat raz trafisz że była groźna i masz problem. Dlatego lepiej to łatać od razu. Zwłaszcza jak ci za to płacą xd.
2 i 3. To akurat też mnie mocno zastanawia. Wydaje mi się, że może coś być na rzeczy z tym, że luk jest więcej bo zaczęto używać AI do klepania kodu i publikować go bez sprawdzania przez ludzi. Patrz chociażby na przypadek przepisania Bun z Ziga na Rusta. Tam poszedł PR na milion lini kodu którego żaden człowiek nie sprawdził. Jedynie dali to do sprawdzenia panu Claude oraz przeszło wszystkie testy jednostkowe które żeby było śmieszniej też były napisane przez Claude xD. Za niedługo ten nowy Bun wejdzie na produkcje. Powodzenia im życzę.
źródło: https://x.com/EpochAIResearch/status/2072776792809918604
Epoch AI (@EpochAIResearch) on XAI appears to be finding software vulnerabilities at scale. In June 2026, 21 notable organizations disclosed ~1,500 high- and critical-severity CVEs, over 3.5× the previous monthly record set before Claude Mythos Preview's release.Twitter