Торвальдс раскритиковал приватный разбор уязвимостей, выявленных при помощи ИИ

Не, фигня, надо чтобы ИИ проверял отчёты ИИ об уязвимостях и сам же вносил исправления.

Исследователям рекомендуется не пересылать бездумно то, что выдал AI, а сначала проанализировать проблему, убедиться в её существовании

Это ж нарушает самую суть вайбкодинга, вайбанализа и вайбпрочего.

Линус раскритиковал практику отправки отчётов об уязвимостях, найденных AI-инструментами, в приватный список рассылки

Ждем ИИ, который будет критиковать Торвальдса.

Ну серьезно, никак не натравить на список рассылки примитивного бота, который разгребал бы дубликаты? Выкидывал бы бесполезный нейрослоп и оставлял бы только ценное/полезное/интересное?
Даже не знаю - ну страдайте тогда.

В наступившую эпоху либо ты пользуешься преимуществами ИИ - либо тебя закопают.

Он просто боится что его самого заменят на ИИ

Если заменят, то он перестанет стареть.

Это же не рекламные предложения, а рассылка по проблемам безопасности и false positive при поиске дублей приведет к пропущенному репорту. Короче говоря, кто будет проверять за агентом?

false positive при поиске дублей приведет к пропущенному репорту

И что предлагает Линус в качестве альтернативы?
Публичные рассылки. И тут, конечно же , не будет ни дублей, ни галлюцинаций, ни прочих косяков (сарказм). И ко всем радостям добавится еще и то, что чувствительные проблемы безопасности будут обсуждаться не кулуарно и деликатно, а громогласно и публично, что само по себе проблема. Либо не будут обсуждаться вовсе.

Решение - огонь.

Зато лично ты сможешь подписаться и быть информированным об угрозе и возможно даже предпринять какие-то меры противодействия

рекомендуется сначала проанализировать проблему, убедиться в её существовании, изучить документацию, подготовить патч и проверить, не исправлена ли уже проблема в актуальной кодовой базе

Пойти в жопу, короче говоря.

Нет же, предлагается оттестировать баг и пофиксить его самостоятельно, оформить патч по гайдлайнам, принести его на подносе с хлебом-солью, поклониться в ножки, поблагодарить что не отп**дили и уйти, пятясь и глядя в пол.

предлагается оттестировать баг и пофиксить его самостоятельно, оформить патч по гайдлайнам, принести его

Ну так всё правильно. Единственная ошибка, что почему-то требования были не такими с самого начала.

на подносе с хлебом-солью, поклониться в ножки, поблагодарить что не отп**дили и уйти, пятясь и глядя в пол

А вот эту чушь ты уже сам зачем-то додумал.

Нет, это не чушь. Сидят люди на зарплате и поясняют как зайти в хату и сколько раз отжаться ради священного права сделать бесплатно кусочек работы за них. С неиллюзорным риском получить в панамку и за воротник, потому что вас много, а я одна.

Жаль, что без матов и оскорблений. Этим вайб-хакерам было бы полезно узнать о себе много нового.

Ждем ИИ, который будет критиковать Торвальдса.

Я бы лучше сделал ИИ Торвальдса без оглядки на всякие КОКи.

Даже нейрошит не умеет программировать в байт коде, задумайся.

В наступившую эпоху либо ты пользуешься преимуществами ИИ - либо тебя закопают.

эти ритуальные попевки от слоп-культистов слышны уже несколько лет. «закапывают» пока только мейнтейнеров под тоннами нейрослопа.

«закапывают» пока только мейнтейнеров под тоннами нейрослопа.

Вишь, закапывают уже, и не только их.

Писать против ветра это увлекательное занятие. Проблема только в том, что последствия неумолимы и очевидны. Выбор невелик - либо ты приспособишься, либо вымрешь, как мамонт.

А я еще не успел даже динозавров оплакать толком, не расстраивай меня.

либо ты приспособишься, либо вымрешь, как мамонт

Лох не мамонт — лох не вымрет. Ну купи подписку 🥺

Торвальдсу надо поставить ИИ, чтоб он отсеивал одинаковые уязвимости и снижал тем самым нагрузку.

Когда процесс перехода будет полностью завершён (а он будет), кожаных останется только на метан переработать. Потому что смысла в их существовании больше не будет совершенно никакого (с сильным ИИ даже дворника просто будет заменить на робота, который не будет требовать отдыха, работать в любую погоду и не бухать). Так что расслабься и получай удовольствие от зрелища.

Всё правильно он делает. Есть два полюса пространства решений: обо всём умалчивать всё игнорить публично. Хакеры будут ломать прод, и никто не будет знать, что происходит. Второй полюс - вывалить всё обсуждение в публичные списки. В результате, серваки точно так же будут ломать, как в случае полного игнора, но психическое здоровье безопасников будет сохранено. Линус заботится о своих коллегах, молодец, хороший руководитель.

Нет, не так. Тебя, в отличие от осуждённого, никто не заставляет входить в хату. ты можешь сам руководить безопасностью своих сборок и мейнтейнить свои патчи на локалхосте или корпоративном серваке. А вот если ты хочешь в опенсорс проект закоммитить, тут аналогия с монастырем, в который со своим уставом не ходят.

Слушайте, если это типовые уязвимости давно изветсные, почему они не закрыты?

Потому что их никто не нашёл, мля.

А что, логично…наверное. Пойду я лучше отсюда.

Сидят люди на зарплате

В твоём понимании, если они на зарплате сидят, то должны быть галерными рабами?

Дурацкий вопрос какой-то.

Если я буду получать зарплату, а ты придешь мне задаром сделать мой кусок работы, я тебе спасибо скажу, а не как эти буду тебе указывать, что ты недостаточно постарался и вообще, доделывай до конца вот по этим гайдлайнам или иди нахер отсюда.

аналогия с монастырем

хорошая, да, там тоже люди при бабле на твоем горбу нормально поездят забесплатно.

У разраба нет такой работы «пофиксить лично тебе ненужную багу». У него есть работа просто «фиксить баги». Какие баги приоритетные решает он сам и Торвальдс. Не нравится - пили свой Линукс.

Вообще, люди до сих пор не понимают, что Линукс - это не продукт в магазине.

лично тебе

Мысль о том, что человек может найти баг, на исправление корого лично ему плевать, не умещается у тебя в голове? Ну, что человек может принести багрепорт исключительно из желания сделать мир лучше?

Вообще, люди до сих пор не понимают, что Линукс - это не продукт в магазине.

Не нравится - пили свой Линукс.

Слушай, дай себе труд не разговаривать чугунными штампованными неуместными фразами, из которых ничего не следует.

Мысль о том, что человек может найти баг, на исправление корого лично ему плевать, не умещается у тебя в голове? Ну, что человек может принести багрепорт исключительно из желания сделать мир лучше?

Если человек использовал LLM, и не проверил, что это вообще баг, а не галлюцинация, то есть гораздо больше способов сделать мир лучше.

Слушай, дай себе труд не разговаривать чугунными штампованными неуместными фразами, из которых ничего не следует.

предпочитаю хамство

не проверил, что это вообще баг

А если проверил, но его требуют «изучить документацию, подготовить патч и проверить, не исправлена ли уже проблема»? И вот представь, среди миллиарда нейропастеров (которым, КСТАТИ, глубоко плевать на эти призывы) сидит реальный чувак, который нашел реальную дырень, написал о ней, а ему «ненене, ртфм и патч давай, или не было».

И чувак такой, допустим, садится писать патч, а потом думает: «Да какого хера. У меня в руках атомная бомба, способная уронить полмира, а какой-то чорт будет мне писать про ртфм? Нужен пруф дыры? Я дам вам пруф, прямо в утренних новостях».

предпочитаю хамство

Это всегда пожалуйста, но, кстати, от тебя я не припоминаю вроде.

И чувак такой, допустим, садится писать патч, а потом думает: «Да какого хера. У меня в руках атомная бомба, способная уронить полмира, а какой-то чорт будет мне писать про ртфм? Нужен пруф дыры? Я дам вам пруф, прямо в утренних новостях».

Мне это видится маловероятно, что ущерб будет солидный. Возьмём те же тачки и их говнотейнмент. Это яркий пример, когда системы на Линукс и устаревших протоколах говнякаются в прод. И да, были времена, когда такую тачку можно было бы удалённо повернуть в направление ближайшего столба именно из-за бага плюс недостатков архитектуры, в которой безопасность не является приоритетом.

Но, эти времена уже прошли. Ну т.е., если в концерне нет никого, кто занимается кибербезопасностью, от менеджмента до пеннтестеров, то пусть лучше такой концерн разорится к хренам из-за судебных исков клиентуры.

Все публичные вебсервисы - это тоже всё должно быть с многоступенчатой защитой. Файрволы, двусторонняя аутентификация, контроль доступа на уровне ОС, на уровне сервиса, мониторилки и ханипоты. Бэкапы и резервирование. Они спасут мир.

С другой стороны, с т.з. хакера интересно именно понять, как ту или иную уязвимость можно использовать. Не вижу вообще никакого фана в том, чтобы о уязвимости сообщать, не имея на руках работающий эксплоит или хотя бы без планов таковой создать.