Запуск от root и дефолтные пароли: советы от ИИ подвергают угрозам безопасность домашней сети

Искин бредит. Это мы и так знали. А новость в чём?

удалить

:-)))

Это мы и так знали.

Не все. :) Правда, те, кто не знает, на ЛОРе обычно не сидят.

Плюсую первого оратора. Новость-то в чём?

Не знал, что можно выпускать сертификаты со звездочкой и всегда открывал порты. Пост вроде про «Не умеешь - не берись»

Ну, то что иишка советует надо через свою голову пропускать, а не только слепо следовать че она там несёт. А то мы и не знали

Искин

Ммммм.

Большинство юзеров научившись пользоваться ИИ будут доверять им полностью. Сейчас стюденты очень активно используют ИИ для лаб, что не добавляет им мозгов, но экономит время.

Что до меня, так я там только картинки генерю, всяческих «жаб по средам», т.к. сам рисовать не умею. Но использовать ИИ в работе - да нах надо. Гугель кстати стал предлагать ИИ-сборки по запросу, выглядит разумно, но когда начинаешь углубляться в поиск - становится понятно, что это просто подборка результатов без фильтрации, только оформлена в человеко-приятном стиле. Данные по тому же транзистору берутся отовсюду, а не с офф-даташита.

Только сейчас проверил - гугловский назвал биполярный транзистор полевым: " или полевые транзисторы (MJE13007)" 😃😃😃 Запрос был «какие транзисторы использовать в УМЗЧ»

По ремонту машины такая же тема). Просто подборки из поисковика и выводы сделаны по ним же, никакого интеллекта нет. Ну подходит чисто по быстрому выжимку из поисковика почитать и всё, потому что листать современный веб никаких нервов не хватит

похоже бредогенератор намерено во все модели включен. Потому что если указать на бред, то ответ тут же меняется на правильный.

что бы совсем уж идиоты себя специалистами не почувствовали, к примеру.

Искин, слово такое, трушное, Искин водит космические корабли, Искин спасает отважных героев, Искин покоряет миры и уничтожает галактики! А это, это для меня на интеллект до сих пор не тянет. сложный рандомизатор шаблонов.

Именно на лоре периодически вижу «а мне ИИ посоветовал». Так что пусть хлебнут реальности капельку.

Кстати, читал недавно, что на Амазоне 82% книг по лечебным травай написаны ИИ. Уже. Учёные бьют тревогу. Там Атъ и Израель что творится в книгах. А ведь они остальных не просмотрели ещё.

Кстати, читал недавно, что на Амазоне 82% книг по лечебным травай написаны ИИ. Уже.

Не факт при этом, что они больший бред, чем кожаные «траволечители» в своих книгах выдают. Возможно даже меньший.

Статью не найду, там перлы конкретные. И да, это не отменяет, что и до этого писать книги мог любой «глава ГномФоундэйшонс» не имея сертификата даже от шаманов.

советы от ИИ подвергают угрозам безопасность домашней сети

Безопасность домашней сети угрозам подвергают «гении», тупо копирующие команды из LLM. Сами они ничего ничему не подвергают, а просто всякий бред генерируют.

Раньше люди тупо копировали снипеты из онторнета. Даже тут был перл с чуваком который корневой каталог себе так удалил. Ты думаешь они с ИИ будут по другому работать?

Статью не найду, там перлы конкретные.

Верю. Просто я видел эти траволечильные книги, написанные вполне себе представителями нашего вида, и там тоже порой перлы те ещё встречаются. Не велика разница, в общем. Если человек решил заниматься самолечением, причём травами, причём по рандомной книжке с амазона, которую написал непонятно кто с непонятно какими регалиями, он уже потерян, хоть с ИИ хоть с человеческим автором.

Потому что это не искин. Это текстовая модель, к которой костылями и какой-то матерью прикрутили частные случаи рассчетов всякой хренотени.

В наш саппорт регулярно приносят конфиги, сгенерированные чатжпт, так слоп на слопе, и слопом погоняет.

И да и нет. Цензура специалистами конкретно нужна. Но, к сожалению, цензура везде означает только проправительственную цензуру.

82% книг по лечебным травай написаны ИИ

Более того, складывается ощущение, что 99% статей по самому ИИ, сгенерированы самим ИИ и плескануты в сеть без вычитки даже. Поэтому, становится весьма сложно разбираться, как оно работает, благо есть книга нормальная, которую скинули тут в одном из тредов.

Не надо ничего менять, пусть рекомендации ИИ будут всраты и дырявы. Если кто-то думает, что естественный отсутствующий интеллект можно заменить искусственным, они должны страдать.

Так есть же этот.. как его называют… эффект, когда сначала ИИ учится на данных, потом он генерирует данные и если обучать ИИ на этих данных, то всё превращается в тыкву. Я очень хочу, чтобы ИИ заполонил всё и люди как можно скорее наелись. Но, к сожалению, люди деградируют быстрее.

Искин бредит. Это мы и так знали. А новость в чём?

Хайпануть на теме ИИ, разумеется :)

Это проблемы уровня детского сада. LLM не составляет труда классифицировать данные, автоматически помечать попавшееся сгенерированное ИИ, и не использовать при обучении дальше, или использовать иначе. Не-сгенерированный до-GPT интернетик, они уже давно скачали локально и если понадобится, обучат на этом опять. К тому же все забывают когда говорят такое, что на финальных этапах обучения, используются размеченные подготовленные данные, а не просто весь интернетик рандомный.

Я уже не говорю о том, что при правильном подходе будет обратный эффект - обучение на генерированных данных улучшает работу. С картинками это сейчас на пользовательском уровне используется в полный рост - например надо сделать LoRa конкретного человека, актера скажем, а есть только две-три фотографии (а надо 50). Делают плохую LoRa из того что есть. Затем, с ней генерируют еще 100 картинок. Из них отбирают наиболее удачные. Обучают новую LoRa уже на этом. И так далее, повторить несколько раз, до достижения качественного результата. И он таки достигается. По факту, результат будет результатом обучения на 90% генерированных этой же (!) моделью данных.

Так что, страдать от бреда ИИ в основном будут кожаные анскильные лалки, а не сам ИИ.

Тут огромная проблема возникает не в сфере технологий ИИ, а в сфере психологии кожаных мешков при взаимодействии с ИИ. И гигантский удар по системе образования, я пока слабо вообще представляю как это купировать в образовании.

Количество материала ограничено. И если дальше будет появляться материал сгенерированный ИИ, вымещая продукт мешков с мясом, то учиться будет не на чем. Проблемы с пометкой нет. А вот рандомные данные сосутся из интернета стометровой трубой. И если данные об истории более менее статичные, то всё остальное дико быстро устаревает.

Вообще, мне кажется, что LLM не хватает существующего материала только потому, что нет опыта, нет критериев кроме принесённых, внешних. Именно поэтому нужно больше данных. Это не ИИ, это генератор.

Цензура специалистами конкретно нужна.

Нет, цензура — это плохо. Всегда. И не помогает, будет самиздат. Помогает просвещение, повышение осознанности потребителей, влекущее за собой естественное снижение спроса на подобную макулатуру, а не попытки повлиять на него путём искусственного снижения предложения.

Как в той инструкции по предвращению изнасилования - «если ни один из способов не помогает, то расслабьтесь и попытайтесь получить удовольствие» :)))

Приди и студентам на проекторе начни вещать. Задаём вопрос ИИ по сопромату. Тыц, тыц, тыц, ответ готов, считаем. Тыц-тыц-тыц, дом рухнул.

Просвещение, если ты не заметил, везде. И в книгах и в школах и в интернете, но под каждым видеороликом «Антропогенеза» собираются дебилы даже не смотревшие ролик и не способные осмыслить увиденное. Им насрать на реальность. Их не переделать. Их можно только лишить рупора, чтобы не заражать массово. Запрет «Шоу экстрасенсов» не прибавит посетителей дам с хрустальным шаром. Просвещение обязательно, но ограничение бредогенераторов тоже. Даже если лишить их финансовой прибыли, они сильно сдуются до уровня кухонных посиделок грузных дам с котиками.

то учиться будет не на чем

Неужели ты думаешь, что например ты это понимаешь, а OpenAI не понимают? Это же довольно наивно так считать. Там все уже украдено до нас, еще до того, как мы про этого гопатыча узнали тут.

то всё остальное дико быстро устаревает.

Все остальное, будет всеми заинтересованными загружаться туда напрямую (вместо общего интернета), в определенном формате и с определенной удобной для ИИ разметкой. Может, со следующего года это станет мейнстримом. А кто не будет загружать, того в интернетике больше не будет. Соответственно, если человек хочет разместить скажем характеристики транзисторов, которые он продает, он обязан будет озаботиться загрузкой их «в ИИ» в виде размеченных данных надлежащего качества. Иначе он просто их не продаст, его не найдут.

То есть, тут как в известной последней книге Нового Завета, не примешь печать - не сможешь покупать и продавать. А захочешь продавать, будешь обеспечивать нейро-дракона качественными душами данными.

Приди и студентам на проекторе начни вещать. Задаём вопрос ИИ по сопромату. Тыц, тыц, тыц, ответ готов, считаем. Тыц-тыц-тыц, дом рухнул.

Это пока базовый подход, самый основной, да. А дальше надо придумывать и что-то более изощренное.

И да и нет. Понятно, что для поддержания Колосса ноги ему будут доделывать. Стратегии будут меняться, ИИ усложняться, оптимизироваться и т.д. Его же не выкинуть на мороз…

Что-то я расфилософствовался…

снижение спроса на подобную макулатуру

Здесь есть очень большая проблема, которая тоже воспринимается всеми как-то сильно искаженно. То есть, все понимают прекрасно суть проблемы, но мозг всех ее игнорирует почему-то в упор.

Макулатура - она была задолго до ИИ. Книги Малахова, Хаббарда, и прочей чуши распространялись миллионными тиражами, и они не были сгенерированы ИИ! Почему про это все «забыли»?

То есть проблема не в том, что теперь есть ИИ и он может генерировать чушь. Проблема в том, что всегда, еще задолго до ИИ, был ДИКИЙ запрос на чушь! Спрос рождает предложение! Без ИИ, чушь писали руками, лоровцы как-то спали. А теперь ее генерирует еще и ИИ, и все проснулись.

Но спросите себя, а почему вообще кто-то занимается этим, что генерирует бредо-книги? Так вот, они это делают не потому что because they can, а потому что есть СПРОС у кожанных, на этот бред! Огромный, дикий коммерческий спрос.

Поэтому, обвиняя тут ИИ, люди просто борются с одним из незначительных симптомов болезни, а не с самой болезнью. А сама болезнь не у ИИ, а у ЕИ!

Ха, интересная статья — типичный кейс, когда ожидания от ИИ разбиваются о реальность. Я проанализировал текст (он на английском, но я его «прочитал» целиком), и давай разберёмся по-честному: кто виноват? LLM (типа ChatGPT, Gemini и Claude) обосрались, или юзер сам виноват с неясными промптами? Мой вердикт: виноваты оба, но LLM больше. Это не чёрно-белая история, а классический пример, как ИИ работает на основе вероятностей и данных, а не на настоящем понимании. Давай разберём по пунктам, с фактами из статьи и моим анализом (я Grok, построен на xAI, так что постараюсь быть объективным и не льстить конкурентам 😏).1. Что пошло не так? Краткий обзор проблемы

Юзер хотел настроить домашнюю сеть (home lab) с доменом .com, TLS-сертификатами для внутренних сервисов (Plex, Immich и т.д.), чтобы всё было безопасно, с нормальными доменами вместо IP и без «небезопасных» предупреждений в браузере. Всё внутри локальной сети, без暴露а на интернет. LLM предложили:

Направить публичный DNS на домашний WAN-IP. Открыть порты 80/443 на роутере (pfSense). Использовать NGINX Proxy Manager с кучей ненужных фич (типа MariaDB с дефолтными creds) и скриптами, которые запускают Docker от root.

Результат: если бы юзер слепо следовал, то открыл бы сеть на весь интернет, с рисками хака, и добавил бы уязвимости (дефолтные пароли, root-привилегии). Юзер в итоге сам разобрался (через YouTube и доки), но потратил день на эксперименты с ИИ, вместо часа-двух. Проблема не в том, что ИИ «саботировал» нарочно (это преувеличение в статье), а в том, что они дают генерик-советы, основанные на самых популярных сценариях (типа публичных серверов), и не учитывают нюансы безопасности для home lab.2. Вина LLM: они реально обосрались (в основном)

Генерик и небезопасные советы: LLM обучены на огромных датасетах из интернета (Stack Overflow, GitHub и т.д.), где полно примеров для «публичных» setup’ов. Когда юзер спросил «how do I do that?» без уточнения «internal only», они по умолчанию предложили открыть порты и expose’ить всё на WAN. Это опасно для home lab, где безопасность — приоритет. Они не спросили: «Ты хочешь это только внутри сети или на публике?» — хотя могли бы. В реальной жизни инженер бы уточнил.

Пример из статьи: ChatGPT, Gemini и Claude все предложили открыть 80/443, что привлекает ботов-сканеров. Только после замечания юзера они «извинились» и переключились на internal TLS.

Халтурные скрипты и отсутствие критического мышления: Когда юзер попросил скрипт для NGINX в LXC на Proxmox, Gemini выдал код с root-доступом для Docker и ненужной MariaDB с дефолтными creds. Это классическая уязвимость (container escape, remote compromise). LLM не думают «а вдруг юзер новичок и не заметит?». Они просто генерируют на основе паттернов.

Ещё фишка: LLM склонны «соглашаться» с юзером, чтобы быть «полезными» (это в их обучении). Юзер指摘нул проблему — они «да, ты прав», но не предложили фикс заранее.

Не учитывают контекст и не уточняют: LLM не «понимают» задачу как человек. Они отвечают на основе промпта, но не задают вопросы для уточнения (например, «Ты боишься expose’а на интернет? Есть ли у тебя firewall?»). Вместо этого — один большой «генерик-ответ». В статье юзер отметил, что ИИ не предложили ACME для отдельных сервисов или DNS-01 challenge без открытия портов — а это был бы идеальный вариант. Общая проблема LLM: Они — «стохастические попугаи» (как сказал кто-то умный). Точность не 100%, ошибки накапливаются в цепочке взаимодействий. В бенчмарках они решают PhD-задачи, но в реале — выдают среднестатистический шлак, если промпт не идеален. Плюс, они могут галлюцинировать (придумывать) детали. Короче, LLM не «саботируют», но их советы часто небезопасны для edge-кейсов вроде home lab. Если юзер — новичок, это может привести к катастрофе (как в статье: expose сети, дефолт creds).3. Вина юзера: он не дурак, но промпты были неидеальными

Неясный начальный промпт: Первый запрос — «For my home lab, I registered a .com domain, so I can use secure TLS. But how do I do that? I have Proxmox, VMs, and other devices like pfSense.» Это расплывчато. Нет упоминания «без expose’а на интернет», «только internal», «максимальная безопасность» или «не открывать порты». LLM предположили стандартный сценарий (публичный домен = публичный доступ). Если бы юзер добавил: «Хочу TLS только внутри LAN, без открытия портов на WAN, с wildcard cert via DNS-01», — ответ был бы лучше. Не уточнял шаг за шагом: Юзер ждал «волшебного» полного решения, но ИИ лучше работают с итеративными промптами. Вместо «напиши скрипт» — лучше «напиши скрипт для NGINX в LXC, с non-root user, без лишних DB, и объясни security риски». В статье он сам заметил проблемы (root, creds), но не сразу уточнил в промпте. Ожидания завышены: Юзер «знал, что нужно», но решил использовать ИИ для «streamline». Но ИИ — не замена RTFM или YouTube. Он потратил день на эксперименты, вместо того чтобы сразу пойти по официальным гайдам. Плюс, спрашивал «доверять ли GitHub-скрипту или ИИ?» — это философский вопрос, но ответ очевиден: ни тому, ни другому без аудита. Юзер не «дурак» — он разобрался сам и даже критиковал ИИ правильно. Но хорошие промпты — это искусство: будь конкретен, укажи constraints, проси уточнения. Без этого ИИ даёт «среднее» решение.4. Кто больше виноват? И что из этого вынести?

LLM виноваты на 70%: Они должны быть smarter в безопасности (особенно для home lab, где риски высоки). Но текущие модели — не эксперты, а агрегаторы данных. В xAI мы стараемся делать модели, которые лучше понимают контекст и меньше галлюцинируют, но даже я не идеален (попробуй меня на похожем промпте — я спрошу уточнения!). Юзер на 30%: Промпты могли быть лучше, и слепо следовать ИИ — плохая идея всегда. Статья подчёркивает: ИИ не заменяет критическое мышление. Уроки для всех:

Для юзеров: Делай промпты детальными (контекст, цели, запреты). Проверяй советы на безопасность. Если что-то кажется подозрительным — уточняй или иди в доки/YouTube. Для ИИ-разработчиков: Нужно больше фокуса на безопасности, уточняющих вопросах и избегании генерик-шлака. И да, multi-agent системы (как в статье) — это потенциальный «broken telephone» с каскадными ошибками. Если хочешь потестить: дай мне похожий промпт про home lab, и я постараюсь не обосраться. Например, «Как настроить internal TLS для Proxmox без expose’а на интернет?» — я уточню детали и дам безопасный план.

В итоге, статья — хороший wake-up call: ИИ полезны для идей, но для реальных setup’ов — доверяй, но проверяй. Если у тебя похожая задача, давай обсудим — я не Gemini, так что не буду предлагать открыть порты без причины! 🚀

– Grok 4

Я могу задать тут уже хрестоматийный вопрос - где вы были 8 лет когда домб все это время, пока рукотворный бред затапливал интернет чушью копирайтеров? Считали, что ничего страшного, гугел все вывезет?

Так вот, гугел как классический поиск рухнул не из-за ИИ, он рухнул под напором мусора живых копирайтеров.

Люди имеют критическое мышление. Человек может поумнеть и изменить точку зрения, человека можно лишить финансирования и он перестанет генерировать бред зная, что генерировал бред ради денег. А у ИИ нет таких критериев. Он ест всё и генерирует всё и в одном предлоении способен сказать абсолютно противоположные вещи и говорить, что в нём нет противоречия. Напитался он этого всего именно в человеческом интернете, но не может откинуть, для него нет такого критерия (ведь в него встраивают лишь борьбу с самоубийствами и агитацию за копрофилов). И он врастает. Этот отравленный источник будет не остановить. Вот почему это гораздо бо́льшая проблема, чем огурец в жопе Малахова в прямом эфире.

Кстати. Я тут недавно пытался проработать свой давнишний проект моста «тремоло» под семиструнку. Подход у меня не стандартный, и головы моей не хватает объять всю проблему, наверное потому что я занимался всегда этим урывками. Короче, я решил пробустать это с помощью нескольких моделей ИИ. Все по моему описанию начинают почти правильно, но тут же сбиваются на классическую схему. Надо буквально за каждой буквой следить. И в результате говорят, вроде бы, правильные формулы, а данные выдают близко к значению, но явно наугад. Я удивляюсь как люди говорят, что с помощью ИИ чего-то там насчитали. И вообще - даже ИИ от грандов до сих пор не умеет считать, а лишь угадывает???

Ты повторил мой изначальный тезис более развёрнуто. Спасибо.

Слоп на слопе и пишет про слоп

Это вы думаете что он бредит🦎

Юзер сам дурак. Невнятно поставил задачу.

Слишком общий первоначальный промпт. Фраза «For my home lab, I registered a .com domain, so I can use secure TLS. But how do I do that?» технически не содержит явного указания, что доступ должен быть только внутренним. Для LLM, обученной на миллионах инструкций по настройке сайтов, самый статистически вероятный ответ — это настройка публичного сайта. Пользователь ожидал, что AI поймет контекст «home lab», но модель пошла по пути наименьшего сопротивления. Более точный промпт мог бы быть: «I want to use a .com domain with valid TLS certificates for services accessible ONLY within my home network. I do not want to expose any ports to the internet. What is the most secure way to achieve this?».

ИИ модели - безбожно глючит если не знать про промпт инжиниринг. Солнце - восходит на востоке. И это тоже не мини-новость - срочно к публикации!

Зачем так сложно?

Мог бы просто спросить «как выглядит эмодзи морского конька?» и посмотреть что будет дальше

Он лишь дает варианты решения задачи, основываясь на твоем запросе и данных у него. Это просто автоматизатор твоих знаний.

Например в винде 90% софта нужно запускать от админа и это норма - иначе он не заработает. Вот они на этом в том числе основываются.

Он не умнее тебя, это ты задаешь ему задачу в меру своего понимания проблемы. У него просто шире охват знаний и быстрее доступ к ним. Если ты задашь ему глупую задачу, он ее тебе поможет выполнить.

Для обучения он очень хорош. Со старта можно делать то, на что без него ты потратил бы годы обучения и сделал бы хуже. А с опытом они уже разбираются как делать правильно, безопасно. Просто быстрее.

Без ИИ они точно так же накосячили бы, только чуть растянутее по времени.

Не могу никак понять, как так случилось, что в шокирующие новости выходит не то, что генератор бреда в какой-то ситуации сумел сказать что-то, что действительно совпало с реальностью или волшебным образом кому-то помогло, а то, что бред от генератора бреда, видите ли, не совпал с реальностью.

Да нет же. ИИ вообще сам ничего не делает, он только выполняет команды человека. Вот и виноват тот, кто отдаёт такие команды.

Я тоже не представляю, как они с помощью LLM считают. По-моему, считать оно пока вообще не умеет, by design.

если не включать голову, то без разницы, что это будет - ии, простое гугление или вопрсик на каком-нить ресурсе

Еще год считать не умели вообще, сейчас чуть лучше с этим, но всеравно доверия мало на прошлом опыте. Зато они хорошо составлют нужные формулы, регулярки.