При помощи AI-модели Mythos выявлены 23 тысячи уязвимостей в открытом ПО

А они после этого код запускали?

Наверняка.

One example of an open-source vulnerability that Mythos Preview detected was in wolfSSL, an open-source cryptography library that’s known for its security and is used by billions of devices worldwide. Mythos Preview constructed an exploit that would let an attacker forge certificates that would (for instance) allow them to host a fake website for a bank or email provider. The website would look perfectly legitimate to an end user, despite being controlled by the attacker. We’ll release our full technical analysis of this now-patched vulnerability (assigned CVE-2026-5194) in the coming weeks.

Боже, боже, в каком опасном мире мы живем все эти годы.

И хоть бы хрен. Все живы, здоровы, пишем херню в интернетике.

Соответственно, предлагаю то же, что и всегда: класть хер на безопасную безопасность, наваливать мимо буфера и помнить: память не может быть слишком освобожденной.

Надо принять, что если на компе обрабатывается что-то сильно конфиденциальное и нет ресурсов нанять хороших профессионалов в безопасности (или сам таким не являешься), его нельзя выпускать в интернет. Точка.

А вообще то, что уязвимости находят топовые модели в опытных руках и с безлимитом по токенам, является довольно высокой планкой качества.

Уверен, что в большинстве closed source дырки найдет даже Qwen, запущенный на десктопной видеокарте.

А сколько ложных срабатываний там было бы выявлено?

Qwen прекрасен!

Уверен, что в большинстве closed source дырки найдет даже Qwen, запущенный на десктопной видеокарте.

Это не дырки, а технологические отверстия, оставленные правильными людьми.

А представь сколько эти модели уязвимостей специально пропустят и не найдут, оставленных «правильными людьми»? Ой, конечно же - технологических отверстий.

У меня Codex/GPT-5.5 на лиспе находил Race Condition, и прочее.

Вообще не удивительно.

Пусть чем-нибудь другим хвастаются.

А сколько ложных срабатываний там было бы выявлено?

Можно заставить модель препроверять свои находки и выдавать только те, в которых она уверена. Но тут нужен баланс, потому что качественная перепроверка может сожрать кучу времени и токенов.

Если вопрос про Mythos, то там в топике есть статистика.

Это не дырки, а технологические отверстия, оставленные правильными людьми.

Конечно, не правильных ведь не берут в космонавты программисты.

Соответственно, предлагаю то же, что и всегда: класть хер на безопасную безопасность, наваливать мимо буфера и помнить: память не может быть слишком освобожденной.

А я согласен. Я с одной стороны очень уважаю все эти попытки в безопасность, Rust вообще считаю гениальным творением.

А с другой стороны лично мне по барабану на всё это в программах, которые я пишу. Как-то так получается, что я не делаю ошибок, при использовании C. Т.е., конечно, может и делаю, но моими программами пользуются не миллиарды, поэтому пофиг. В основном работает нормально. С ошибками я вообще стараюсь бороться на уровне архитектуры. К примеру если я пишу прошивку, в первую очередь я озабочен тем, чтобы устройство не зависало. Например с помощью вотчдога. А также тем, чтобы любая ошибка тут же залочила устройство (и оно без подключенного отладчика перезагрузилось). Поэтому баг в прошивке вызовет небольшое недовольство пользователя, но т.к. в основном баги в моём коде отсутствуют, это редкость. А если будет воспроизводимый баг, наверное мне скажут и я починю всё это.

Поэтому в каком-нибудь хроме я буду рад видеть все эти крутые технологии, но хром пишут крутые американцы, получающие примерно в 20 раз больше меня, пускай отрабатывают. А в своём софте мне важней понятный простой код и моё хорошее самочувствие.

На самом деле и хорошо. залатают и будет щастя. А после фиксов докупим рамы и гигагерц, и компьютер снова заработает :)

Это все зависит от многих факторов, но в том числе от опыта и необходимости. Поначалу мого чего не нужно, а потом сталкиваешься с той или иной проблемой и приходишь к необходимоси решать все это. Сразу писать правильно, исправлять определенную кривизну кода, которую раньше было лениво доделыать. Исправлять уязвимости в том числе.

Просто у тебя у самого на это может не быть сейчас времени, сил, возможностей, да и необходимости. Но это будет не всегда так.

К необходимости оптимизировать тоже так же приходят. Сначала клепают как получится, а когда заходят в тупик, приходится оптимизировать.

если на компе обрабатывается что-то сильно конфиденциальное и нет ресурсов нанять хороших профессионалов в безопасности (или сам таким не являешься), его нельзя выпускать в интернет

Это точка зрения оторванного от реальности безопасника. Который потом бегает и ищет, кто раздаёт WiFi через свой смартфон, заливает порты эпоксидкой и другими способами мешает людям работать, а люди находят увлекательные способы обходить его паранойю.

Безопасность в итоге получается хуже. Зато попа прикрыта приказами и крайний всегда есть. Очень удобно с юридической точки зрения, но данные клиентов утекают ещё быстрей.

Если ты админишь локалхост - без проблем, можешь себе создавать проблемы сколько угодно. У меня вот есть принцип не использовать su и sudo -i. Если мне нужен рут, я перезагружаю компьютер в текстовом режиме и логинюсь через tty. Только так. su не использую вообще, sudo настроен только на systemctl set-default multi-user.service. Но своих тараканов я могу кормить каким угодно кормом, а предлагать это остальным я точно не буду. Если ты работаешь, как часть коллектива, вариант с отключенным от сети девайсом в некоторых случаях может и приемлем, но чаще всего - нет.

Я так сначала наклепал аддончик для вовки на 46+ тысяч строк. Дошел до полной невозможности его допиливать, баги и необработанные краевые случаи. Отсутствующие проверки на nil сыпались десятками.

И вот, решил я сделать правильно. Переписав «правильно» на ООП примерно 10% аддона со всеми проверками, красивостями, я получил 40+ тысяч строк кода…пу-пу-пуууу… Зато почти без багов и ошибками не срет, но код разросся в разы.

но данные клиентов утекают ещё быстрей.

Я имел ввиду не просто данные клиентов, так-то согласен, что бегать искать Wi-Fi с телефона - маразм. А если реально создает угрозу, то режим допуска должен быть такой, что никто никакой телефон и вообще ничего лишнего не внесет и не вынесет.

Если мне нужен рут, я перезагружаю компьютер в текстовом режиме и логинюсь через tty.

А зачем перезагружаться? С точки зрения безопасности чем хуже просто Ctrl+Alt+F(номер) с другой сессией?

А если реально создает угрозу, то режим допуска должен быть такой, что никто никакой телефон и вообще ничего лишнего не внесет и не вынесет.

«Должен», да не обязан. Я работал в режимном учреждении. При входе проходишь через рамку, если даже монетку в кармане не выложил - металлоискателем тебя обшмонают и всё попросят вытащить. Как в аэропорту. Ничего нетривиального проносить по регламенту нельзя, всё через отдельное разрешение. Ну что могу сказать, не помогает это по факту, люди и телефоны проносят и модемы и флешки. Мой знакомый просто в портмоне таскал флешки. У него там карманчик с монетами. Он портмоне вытаскивает, когда через рамку проходит, карманчик с монетами естественно никто не проверяет, а там крошечная флешка лежит. Он для работы это использовал, ибо там и доступ в интернет был закрыт, а работать-то надо, но я видел, как просто через модем сидели, мы не решались на такое.

Поэтому лично моё мнение - лучше не ограничивать людей, а организовывать всё так, чтобы было безопасно. Да, интернет будет, но на компьютере будет установлено жёсткое ПО, которое будет всё сканировать и проверять постоянно (например CrowdStrike). Хочет человек сидеть в инстаграме - ради бога, это уже его дело, безопасников это вообще не касается. Но весь обмен будет идти через какой-нибудь центральный прокси с расшифровкой трафика, и если будут признаки слива информации - где-то загорится лампочка.

А зачем перезагружаться? С точки зрения безопасности чем хуже просто Ctrl+Alt+F(номер) с другой сессией?

Ctrl+Alt+F# обрабатывается где-то в графическом стеке, насколько я знаю, а не на уровне, например, ядра. Поэтому чисто теоретически можно представить, что взломанный гном мне покажет фейковую консоль.

Конечно перезагрузку тоже можно фейковую показать, но это уже будто бы совсем фантастика. Тем более, что консоль у всех выглядит одинаково, а процесс загрузки не одинаково.

Не то, чтобы я реально боялся подделки Ctrl+Alt+F#, это, скорей, принцип, при котором я либо работаю от рута, либо от пользователя, но не одновременно. И сессии разделены ребутом, который в том числе не включает сеть по умолчанию.

Вообще вопрос интересный. Помню, как в далёкие времена в Windows NT 4 был вход через Ctrl+Alt+Delete. Как раз потому, что это сочетание обрабатывалось на очень низком уровне и предполагалось, что юзерспейс не способен его никак обмануть. В линуксе вроде ничего подобного нет. Наверное проблема надумана, но так если подумать - может и неплохо было бы на уровне ядра управлять чем-то, видимым для пользователя, к чему у юзерспейса доступа нет.

Было бы круто, если бы мы жили при социализме, и Миф проверял бы наши исходники на баги в рамках CI/CD за копейки. И чтобы CI/CD сделали сначала, тоже за копейки.

В реальности этот Миф просто будет вычищать баги проприетарного софта американских корп, и не за копейки, а на опенсорсе они просто показали, что могут.

Причём, это в лучшем случае. А если мы находимся на вершине хайпа ЛЛМ, и завтра-послезавтра всё сдуется, то…

Я о другом.

Вот сходу нашлись 23 миллиарда «уязвимостей» в популярном софте. Отсюда можно сделать выводы:

1. Эти дыры были всегда

2. Никого ни секунды не беспокоила ни одна из них

Что дальше? Вот что:

Иишка на ровном месте навалила нам и себе бессмысленной (см. п.2) работы. И мы все радостно ломанемся ее выполнять вместо работы над тем, что действительно волновало юзеров и о чем люди ныли постоянно, а именно: функциональность, UX, потребление ресурсов.

То есть: софт буквально останеся неудобным тормозным говном, зато все славно потрудятся!

Как всегда, не забудем сказать спасибо за подорожавшую впятеро ради вот этого вот память и т.д.

Понеслось.

Так и понятно жеж :) Если каждый шаг проверять, а потом проверять проверку, то до десяти не сосчитаешь до старости. Блин, какой быстрой могла быть вся компьютерия, если не хакеры…

И вообще, сети - зло. Не было бы сетей, хрена кто получил бы исходники вашего ПО, обнаружил бы уязвимость… ;)

А они после этого код запускали?

Любой агент умеет гонять тесты автоматически. Ещё и напишет их, если их нет.

Всегда говорил, что опенсорс и иишечка - идеальная пара.

А чисто теоретически ты понимаешь разницу между «умеет делать» и «запустили протестили, что все работает»?

Да не волнуйся так, запустили, протестили. ИИшечка сама это делает, даже если ты забудешь.

естественно никто не проверяет, а там крошечная флешка лежит. Он для работы это использовал, ибо там и доступ в интернет был закрыт, а работать-то надо, но я видел, как просто через модем сидели, мы не решались на такое.

По-хорошему за такое даже не увольнение, а УК 272 должно быть. Демонстративно к кому-нить применили бы, остальным потом будет не повадно эту дичь творить.

npm и ИИ - это сила! Gemini удалил 30 000 строк кода, сломал сервис

Это клинический случай :)

Кстати, можем расходиться - ИИшки походу все. Дикпик почти сутки уже лежит, например. Ну, как лежит - без впна лежит. Остается добить белые списки и вот вам богатейший выбор между алисой и гигачатом - ни в чем себе не отказывайте.

Лично у меня без впна давно уже всё лежит. Сам впн пока что ещё работает. А так-то иишечка даже за китайским файрволом как-то работает.

Поэтому лично моё мнение - лучше не ограничивать людей, а организовывать всё так, чтобы было безопасно.

Это лучше всего конечно, но недопущение интернета оно не против сотрудников, а против еще неизвестных и незакрытых багов и умышленных дыр в софте и оборудовании. В еще более параноидном режиме работа будет в клетке Фарадея происходить где-нибудь под землей. Или даже без компьютеров вообще, недаром кое-где до сих пор используются пишущие машинки.

Не то, чтобы я реально боялся подделки Ctrl+Alt+F#, это, скорей, принцип, при котором я либо работаю от рута, либо от пользователя, но не одновременно. И сессии разделены ребутом, который в том числе не включает сеть по умолчанию.

Тогда можно еще через com-порт (rs232) подключиться со второго компьютера и там входить от рута. Тоже tty-сессия. Правда отключения от сети при этом не будет.

что действительно волновало юзеров и о чем люди ныли постоянно, а именно: функциональность, UX, потребление ресурсов

ну вообще-то, и до ИИ’шки типа Мифа было всё то же самое, только без ЛЛМ и вселенской помпы на уровне Венса. Была сторонняя фирма пеннтестеров, которые всё ломали, и с исходником, и без. Они со страшной силой генерили тикеты, а начальство стояло над душой «на сколько это серьёзно, Вася? Ручаешься?». И были шлаковые тикеты, и их было большинство, а были реальные проблемы. И ты шёл и фиксил, потому что в описании тоей вакансии вообще ни слова про каких-то там «пользователей». Чтобы оценить юзабельность продукта - для этого были другие люди, с которыми твоя деятельность вообще не пересекалась.

ну и там не миллиарды. Если по файрфоксу посмотреть, 2.2 млрд строк, 271 уязвимость. Это всего одна уязвимость на 8К строк кода. Делим на 20 строк кода в день, получаем 400 дней. Т.е. за 400 рабочих дней один разраб будет отвлекаться на исправление одной уязвимости. Там они и раньше фиксили, но я не думаю, что это качественно меняет картину.

всё то же самое, только без ЛЛМ

А водка - это та же самая вода, только с этанолом.

Я как-то работал в фирме, где безопасность в этом плане решалась просто: сотруднику выдавалось 2 компа на рабочем месте - один для гугла, другой, к интернету не подключённый - для работы. И овцы сыты и волки целы.

Я, надеюсь, вы про т.н. «безопасников», которую эту херню придумали?

Аналогия, как практически всегда, ложная. ЛЛМ - это просто коллектор человеческой деятельности. Но инструменты обычного пеннтестера - это тоже продукт человеческой деятельности. Т.е. все те же баги, что ЛЛМ пеннтестеры и прочие хакеры могли бы найти и без ЛЛМ, просто потребовалось бы больше времени. А вот из воды как ни перди, водка не получится.

Я просто не знаю, что можно ответить на утверждения уровня «самолет и пароход просто возят людей чуточку быстрее, а так они и сами могут догрести до Австралии» с выводом «…не меняет картину качественно».

ЛЛМ - это просто коллектор человеческой деятельности

Почему «коллектор», что это значит вообще?

ЛЛМ тренируются на высказываниях людей.

На счёт Австралии, аналогия тоже некорректная. Ты же, на сколько я понял, исходишь из того тезиса, что уязвимости в обычном софте, который мы используем каждый день (тот же файрфокс) - это такая напасть, которую можно вытерпеть ради новых фич, юзабилити и проч. А для пароходов был стимул мощнейший - интенсификация торговли и превосходство военного флота.

Таким образом, если ты считаешь, что появление и применение систем типа Миф - это что-то, что кардинально меняет режим разработки софта, то это никак не соотносится с «хочу фичи и чтобы быстро», а на безопасность наплевать.

В принципе, лично я не считаю, что ЛЛМки что-то кардинально изменили в разработке софта. Из моего опыта даже платные топовые системы типа Claude CLI даже с задачами кодирования справляются очень по-разному, от «вау, круто!» до «Семён Семёныч…»

Но при этом использование ЛЛМ требует кардинальных изменений в психике инженера (то самое «вы не умеете промптить»), т.е. требует «машинизации» человеческого мышления, что априори сизифов труд. Это типа учиться играть в шахматы у стокфиша 13го уровня.

если ты считаешь, что появление и применение систем типа Миф - это что-то, что кардинально меняет режим разработки софта, то это никак не соотносится с «хочу фичи и чтобы быстро», а на безопасность наплевать

Все правильно, я считаю, что появление ИИшных систем аудита не соотносится с «хочу фичи и чтобы быстро». Поэтому и говорю, что теперь придется это все учитывать и латать. Внушает некоторый оптимизм лишь то, что другие ИИшные системы помогут побыстрее наговнякать и фичи тоже. Вообще я парадоксальным образом испытываю некоторый оптимизм насчет качества софта, хоть это вряд ли можно заметить по каментам.

Но вот это поклонение бежопасной бежопасности меня утомило еще задолго до иишного бума, поэтому планирую продолжать брюзжание.

На счёт Австралии, аналогия тоже некорректная.

Она некорректная ровно в одном: в случае Австралии к дикарям внезапно на горбу у машин заявились более-менее цивилизованные люди; в айтишке же все строго наоборот. Впрочем ладно, не строго, тут и до ИИшки было полно папуасов.

требует «машинизации» человеческого мышления

Несравнимо меньшей, чем требуется от инженера или программиста традиционно.

Несравнимо меньшей, чем требуется от инженера или программиста традиционно

традиционно у программиста и работы было меньше. Теперь «ну у вас же есть ИИ» означает «можем выполнять в три раза больше работы в единицу времени». Это загоняет программирование в полную зависимость от ИИ.

традиционно у программиста и работы было меньше

Я и говорю: все славно потрудятся, а поскольку у тебя много звезд, ты можешь сам посмотреть, какое слово в том каменте было до исправления и почувствовать эмоцию, которую я хотел передать.

Нет, я про тех кто посчитал себя вправе нарушать установленный порядок безопасного доступа к важному оборудованию. То ли просто в наглую наплевав на безопасность и утечки, то ли в силу своего идиотизма подумав что он всех умнее.

Вот же ты англичанин, я только сейчас понял про какого мифа ты пишешь.

Коллекторами ещё каналы для сбора сточных вод называют. Вполне норм подходит.