Hejto.pl
Motyw strony
Dodaj post

Wpis użytkownika Catharsis w IT

Osobistość

w IT

18piorunów

Miesiąc temu narzekałem, że muszę ciągle aktualizować swoje aplikacje bo cały czas jakieś krytyczne podatności znajdują w next.js i innych bibliotekach a teraz trafiłem na Twitterze na taki obrazek xD. Eh pora zautomatyzować za pomocą AI żeby mi samo bumpowało wersje paczek bo mi się już nie chce tego robić ręcznie i sprawdzać czy działa.

Komentarze (11)

Kosmonauta1piorunów

Masakra. Trzeba studia z security kończyć, będzie robota

Kosmonauta3piorunów

@Catharsis nie zdążę jednej wersji podbić, a już jest następna podatność. Innymi słowy, idź pan w c⁎⁎j z tym...

Osobistość3piorunów

@Catharsis parę pytań:

1) ile z tych podatności jest naprawdę poważnymi podatnościami a ile false flag?

2) taka liczba wynika z masowego działania AI w wykrywaniu wielu luk czy też

3) AI pisze teraz masę kodu masowo i pisze go tak słabo, że ilość podatności rośnie geometrycznie?

W sensie załatamy wszystko i zacznie być stabilnie czy już będzie nieskończona pętla syfiastego kodu i prób ratowania

Kosmonauta1piorunów

@dziad_saksonski

> Nie wiem co buduje. Mam na mysli lekkomyslnosc w dzialaniu.

Nie lepiej powiedzieć, że walą jazz?

Tytan1piorunów

@Catharsis Mam teorie co do tego ostatniego. Oni tam wszyscy chyba na ketamince jadą microdosing jak w southparku.

Osobistość1piorunów

@Catharsis o wow! z tym

ostatnim to mega fakap się szykuje.

Ja powoli zaczynam używać w AI ale mocno sprawdzam i jestem w szoku ile (ale naprawdę ile

ile) może tekstu bez żadnego zająknięcia wypluć z siebie AI, który często potrafi być takim pustoslowiem. I ile

zżera potem zasobów by to ogarnąć. A AI potrafi tak 24/7 😒

Osobistość5piorunów

@TwojStaryJeSuchary
1. To zależy. Bardzo dużo z nich to są faktycznie jakieś "podatności" które wymagają tak szczególnego przypadku, że nie są groźne. Ale sporo z nich było dość poważnych i np. umożliwiało łatwe zablokowanie całej aplikacji atakując endpoint z konkretnym ładunkiem i inne podobne. Czy warto to łatać? Przeglądam codziennie logi serwera i cały czas ktoś próbuje wbijać do moich aplikacji za pomocą różnych metod które odkryto w ostatnim czasie. Owszem większość nie groźna ale akurat raz trafisz że była groźna i masz problem. Dlatego lepiej to łatać od razu. Zwłaszcza jak ci za to płacą xd.

2 i 3. To akurat też mnie mocno zastanawia. Wydaje mi się, że może coś być na rzeczy z tym, że luk jest więcej bo zaczęto używać AI do klepania kodu i publikować go bez sprawdzania przez ludzi. Patrz chociażby na przypadek przepisania Bun z Ziga na Rusta. Tam poszedł PR na milion lini kodu którego żaden człowiek nie sprawdził. Jedynie dali to do sprawdzenia panu Claude oraz przeszło wszystkie testy jednostkowe które żeby było śmieszniej też były napisane przez Claude xD. Za niedługo ten nowy Bun wejdzie na produkcje. Powodzenia im życzę.