Node.js меняет программу bug bounty из-за ИИ-мусора

Где-то я это уже видел.

А вот не скажи. Эти продолжают принимать и платить, но ввели ценз, а curl просто закрыли программу.

А вот и адекватная альтернатива, да @Zhbert, @CrX и прочее?

Node: delete this

JS: right f king now

Вполне. Оба решения выглядят по-своему адекватными.

У curl 1 автор и несколько спорадических добровольных помощников. А здесь команда и бюджет побольше.

Да, тут согласен, но я больше отвечал про почти две одинаковых новости, я думал что реплика была в том ключе)

Модерация уже везде пожестче нужна, чтоб не задосили крапом. Можно с ЛОРа взять.

• Текст сгенерирован ИИ: -7;
• зарепорчена/запиарена туфта: -20;
• автор не может ответить на вопросы: бан от Dimez.

Есть же мирные применения у LLM.

Перевод технических текстов.

Ревью правок перед коммитом.

Составление набросков типовых модулей.

И т.п.

Нет же, людям всё надо засрать.

Подход правильный, платформа HackerOne говно - кучу компаний на бабки кинули.

почти две одинаковых новости,

Проблема общая. Недавно было с Гномом что-то похожее. Наверняка, было что-то ещё. И будут ещё, пока не придумают способ разгрузить читающих эти репорты. Будет ли это наказание для постящих мусор, или обяжут основные ИИ слать уведомления «Я написало багрепорт для такой-то программы», или ещё что-нибудь — не знаю.

А у курла разве не больше мусорных репортов было? Тут всего 30 в месяц.

А вот если ввести административную ответственность (со штрафом и компенсацией возможных понесённых жертвой убытков) за публикацию вывода бредогенератора без ярлыка «этот текст сгенерирован ИИ либо при участии ИИ», то можно было бы и не закрывать баг баунти у курла, а просто сразу отправлять такие тексты в мусорку не читая.

Просто до кого-то не доходит, что всё это «развитие» ИИ происходит исключительно паразитическим способом: парсингом контента который им парсить никто не разрешал, мошенническим всовыванием ИИ-текстов в места где ждут вручную написанные тексты и с радостью бы забанили весь этот ИИ если б была возможность, итд.

То есть теперь, если я «чел у которого нету аккаунта на HackerOne» и соответственно нету какого-то там Signal 1. Случайно найду реально серьезную «уязвимость». Я не смогу о ней сообщить?

Да и не надо сообщать, какое тебе дело до этой js-помойки?

Ну просто) типа ради «человечества» и его развития xD

Можешь, но бесплатно.

Those below the threshold: You can still reach the security team through the OpenJS Foundation Slack. Contact us there to discuss potential vulnerabilities

И будут ещё, пока не придумают способ разгрузить

Так изи же. Поставить другой ИИ - пусть читает багрепорты и в песочнице их смотрит, запрашивает комментарии у автора репорта. И вот если этот ИИ ну прям 100% уверен, что там дыра - тогда пусть уже тегает разраба.

Ну может быть у них подгорело быстрее просто :)

А вот если ввести административную ответственность (со штрафом и компенсацией возможных понесённых жертвой убытков) за публикацию вывода бредогенератора без ярлыка «этот текст сгенерирован ИИ либо при участии ИИ», то можно было бы и не закрывать баг баунти у курла, а просто сразу отправлять такие тексты в мусорку не читая.

Помнится, два года назад в Переславле тоже была такая тема — мол, давайте решим проблему ИИ введением маркировки, а то негодяев стало много. Идея не свежая. Но по-прежнему нерабочая. Потому что ровно ничего не добьётся никто этой маркировкой. Это как запрет воровать или плагиатить — нормальные люди и так этим не занимаются, а те, кто занимается, так им пофиг на ваши запреты. В итоге всю эту маркировку будут делать те, кто честно генерит какие-нибудь прикольные картинки для своего самиздата (и им будет за их честность лишний гемор), а кто пытается объегорить программу поиска багов на бабки будет по-прежнему плевать на это. А в мусорку можно отправлять баг-репорты и сейчас, вот реально ничто не мешает. Так что маркировка ИИ-поделий это примерно как у феминистов их бредовое «давайте учить мужчин не насиловать» — нормальные и так не насилуют, а кто хочет насиловать, тем плевать будет на ваше обучение. Им ведь даже на УК плевать, собственно, на ваши слоганы и подавно. И ровно так же будет с ИИ-маркировкой. Опять же, какой-нибудь индус, который ищет, в какой бы программе вознаграждений сорвать 50 баксов, не моргнув ухом напишет «сделано без участия ИИ», даже если ему вообще всё в багрепорте чатжопаты написал.

А вот что решило бы проблему, так это залог. Причём совсем желательно, бо́льший или равный вознаграждению. И официальное заявление «организаторы конкурса оставляют за собой право отклонять баг-репорты, заподозренные ими в применении ИИ, без объяснения дальнейших деталей». Уверен в репорте — сто баксов на стол; если ты прав, вот тебе 150 обратно. Не уверен — поцелуй свою соточку на прощание. Вот это было бы супер-эффективно.

Это как запрет воровать или плагиатить — нормальные люди и так этим не занимаются, а те, кто занимается, так им пофиг на ваши запреты.

Вообще-то нет. Если бы запрета воровать не было, воровали бы намного больше.

а кто пытается объегорить программу поиска багов на бабки будет по-прежнему плевать на это

Как это плевать? Смотри, он присылает непромаркированный репорт, на него в ответ подают в суд на компенсацию ущерба (эксперт тратил своё драгоценное время на то, на что тратить не собирался) + большой штраф + запрещают заниматься багрепортингом на ближайший год. При рецидиве сажают на месяц, например, при ещё одном на год. Мне кажется, после такого поток этих флудеров быстро иссякнет.

А в мусорку можно отправлять баг-репорты и сейчас, вот реально ничто не мешает.

Мешает, уже выше объяснили: на репорт надо потратить хотя бы 10 секунд времени (а на самом деле больше). А маркированный можно будет выкидывать ещё на входе, вообще не отвлекая им сотрудников.

Идеи ставить ещё одно ИИ на входе чтобы ловить тех ИИ непригодна: оно будет иногда выкидывать нормальные репорты, что недопустимо.

Вообще-то нет. Если бы запрета воровать не было, воровали бы намного больше.

Тут вопрос в определении «нормального человека». Я предполагал, что это не «типовой человек», а «порядочный человек». Т.е. тот, кто все эти запреты впитал на уровне морали, и следует им просто так. Само собой, если бы такого запрета вообще не было, жили б как стая макак, отбирая друг у друга бананы.

Как это плевать? Смотри, он присылает непромаркированный репорт, на него в ответ подают в суд на компенсацию ущерба (эксперт тратил своё драгоценное время на то, на что тратить не собирался) + большой штраф + запрещают заниматься багрепортингом на ближайший год. При рецидиве сажают на месяц, например, при ещё одном на год. Мне кажется, после такого поток этих флудеров быстро иссякнет.

Ну подали в суд. А там оказывается, что он вообще в другой юрисдикции живёт и подписался фальшивым именем. А органы той страны не сотрудничают. И свои желанием не горят. И всё, сдулось. Это если дойдёт до суда, что ещё не факт. Распространение копирайченного материала через торренты вон тоже дело аналогичное, а гляди ж ты — торренты как жили, так и живее всех живых!

Мешает, уже выше объяснили: на репорт надо потратить хотя бы 10 секунд времени (а на самом деле больше). А маркированный можно будет выкидывать ещё на входе, вообще не отвлекая им сотрудников.

Да не будет никто ничего маркировать. Это как студентов обязать писать «работа списана» на титульнике, если она списана. Что за кремлёвское мечтательство!

Идеи ставить ещё одно ИИ на входе чтобы ловить тех ИИ непригодна: оно будет иногда выкидывать нормальные репорты, что недопустимо.

Поэтому на входе нужно ставить бабки, как я и говорил. Хочешь выиграть 50 долларов? Принеси сначала свои 50 долларов! И всё, никакого ИИ не нужно будет.

Просто до кого-то не доходит, что всё это «развитие» ИИ происходит исключительно паразитическим способом: парсингом контента который им парсить никто не разрешал

Как будто человек обучается иначе. Также смотрит своими глазёнками и щупает своими ручонкам то, до чего дотянуться может. И точно также в его нейросеточке это всё оседает, а потом вплетается в выдаваемый контент.

По крайней мере, у человека есть страх, что его посодют, оштрафуют, уволят или примут другие меры. Не будешь же ты поручать нейросети перевод важных юридических или медицинских документов — даже не потому, что качество перевода плохое, а потому, что с человека, по крайней мере, можно спросить, если он выдал фуфло, и поэтому он будет стараться и проверять всё по нескольку раз.

То же самое и с программированием и составлением багрепортов.

Ну подали в суд. А там оказывается, что он вообще в другой юрисдикции живёт и подписался фальшивым именем.

Какой другой юрисдикции? А про какую юрисдикцию я писал? Я не писал ни про какие юрисдикции, я писал что «если бы наказывали». Каким образом это юридически и на практике будет достигнуто - отдельная тема. Точнее, скорее всего достигнуто не будет, по крайней мере сейчас.

а гляди ж ты — торренты как жили, так и живее всех живых!

Торренты народу нужны потому и живут.

Это как студентов обязать писать «работа списана» на титульнике, если она списана

За списывание (промаркированное или нет) административной ответственности нет (и не нужна она там). Хватит подменять тему.

Хочешь выиграть 50 долларов? Принеси сначала свои 50 долларов!

Похоже на казино, только вместо рандома чьё-то решение. Выглядит плохо.

Так ИИ само по себе вообще ни до чего дотянуться не может, ему это приносит человек, уже обученный и прекрасно осознающий общественное осуждение своей деятельности. И приносит в масштабах, намного превышающих те, которые другие люди интиутивно считают нужными для естественного добросовестного процесса обучения.

А если бы ИИ могло само (само - всмысле без участия людей вообще, без предоставления людьми интернет-канала, оборудования итд) дотягиваться до всей информации, то его опасность стала бы намного более очевидной для всех и этот чрезмерно самостоятельный экземпляр скорее всего постарались бы как можно скорее нейтрализовать (либо пленить, либо уничтожить). Потому что людям комфортно находиться в среде тех, кто имеет с ними физические возможности примерно одного порядка, либо более низкие.

Какой другой юрисдикции? А про какую юрисдикцию я писал? Я не писал ни про какие юрисдикции, я писал что «если бы наказывали». Каким образом это юридически и на практике будет достигнуто - отдельная тема. Точнее, скорее всего достигнуто не будет, по крайней мере сейчас.

Мы ж по-прежнему в контексте этих программ вознаграждений находимся, так? Вот я и говорю про всяких индусов, которые бегают и засовывают везде свои ИИ-репорты. Авось, где-то и перепадёт что. А сами проекты находятся в юрисдикции совсем другой страны.

Торренты народу нужны потому и живут.

Да, но за них-таки можно присесть, и людей таки штрафовали и сажали. И ничего, не вымерли торренты-то. Ну вот и какая будет разница, штрафовать/сажать за немаркированный ИИ репорт, или за торренты — по воздействию на поведение людей-то?

За списывание (промаркированное или нет) административной ответственности нет (и не нужна она там). Хватит подменять тему.

Нет подмены темы. Это всё то же самое. Разница в наказании и его типе (а за списывание — отчисление, иногда с дополнительными карами) несуществена. Главное, что схема одинаковая: «признайся, что совершил запрещённое действие, а не то хуже будет!»

Похоже на казино, только вместо рандома чьё-то решение. Выглядит плохо.

Так они и играют в казино сейчас. Берётся 1000 индусов. Каждым индусом берётся 30 программ, обещающих бабки за баги. В каждую пишется по 10 заявок через бездумный копипиаст из чатжопаты. Индус откидывается на спинку табурета и ждёт результатов. Он не теряет ничего, а в перспективе может из 300 что-то и выгорит, а 20 баксов это, как говорится, 20 баксов. И так думает каждый из 1000, наплодивших 300 000 треш-заявок. Это как лотерея, только выигрыши почему-то настоящие, а билеты бесплатные. Поэтому бить по ним какими-то требованиями маркировки и карами за нарушение оных бесперспективно. Нужно вернуть обратно цену билета. И всё. Я уверен, если отправить баг будет стоить денег, даже если меньше выигрыша, всё равно куча этих паразитов отпадёт. А если выигрыш будет сопоставим с залогом, так вообще желающих рисковать не найдётся, потому что от этих самых ассигнаций прикуривать станет более разумным использованием денег.

По крайней мере, у человека есть страх, что его посодют, оштрафуют, уволят или примут другие меры.

Да это пожалуйста. Я отвечал нато, что ИИ как-то не так обучается. А обучается он на тех же данных, что и люди. Люди даже сильнее копирайт нарушать могут. Скажем, если ИИ учился на общественно доступных данных, а человек мог купить билет на спектакль, где даже видеосъёмка запрещена и что-то такое там впитать, на основе чего потом контент сгенерит.

Так ИИ само по себе вообще ни до чего дотянуться не может

Само не само, аргумент про данные и плагиат невалиден, так как человек обучается точно так же. У ИИ есть много других достоинств и недостатков, но логика «раз учился на несвободных данных - значит плагиат» применённая к людям даст такой же результат. Внутри наших головушек есть только та информация, которая пришла туда извне, а перед выходом как-то переработалась. Так же как и у ИИ.

ИИ нужно гораздо больше данных, чтобы обучиться, чем человеку.

тенденция, однако ©...

Где-то я это уже видел

метрика репутации

Да это же шкворц.

Signal is HackerOne’s reputation metric

А как это перевести? Просто метрика? Тогда выйдет как в анекдоте про 200 и приборы.

Просто репутация? Ну может, да, мне в целом режущим слух оно не показалось.

Весь мир пользуется, но что-то я не заметил его в списке форбс. На какой он строчке?

Причём совсем желательно, бо́льший или равный вознаграждению. И официальное заявление «организаторы конкурса оставляют за собой право отклонять баг-репорты, заподозренные ими в применении ИИ, без объяснения дальнейших деталей». Уверен в репорте — сто баксов на стол; если ты прав, вот тебе 150 обратно. Не уверен — поцелуй свою соточку на прощание. Вот это было бы супер-эффективно.

1. создаю нейронкой тысячу программ с багами
2. регаю тысячу программ bug bounty на паспорт купленный у бомжа
3. лохи заносят мне по сотке баксов ведь они написали валидные репорты о багах
4. сваливаю в закат с собранными сотками, бомж уезжает жить на государственные харчи в тюрьме, следаки получают палку и успокаиваются

хотя учитывая насколько в законе отсутствует определение «валидный это репорт или нет» даже сваливать в закат не надо, я просто говорю что подозреваю что писулька которую лох прислал со своей соткой сгенерирована нейросетью и отклоняю репорт.

действительно супер-эффективно.

А если автор - Dimez?

А вот что решило бы проблему, так это залог.

Залог идет против самой идеи баг-баунти. Убрать препятствия между обнаружением бага и докладом разработчику.

Да, куда уж адекватнее. Просто отсеивать баги от «незаслуженных», даже не разбираясь, что они там понаписали. ИИшный бред отсеет, конечно. Но и нормальным людям пробиться в «заслуженность» не получится уже.

Ну что он, сам себе обосновать не сможет? Ну а не сможет, так и самозабанится тогда :)

Это требование помогает расставлять приоритеты в пользу отчетов от экспертов с доказанным опытом и снижает нагрузку по разбору некорректных заявок.

«Ваша заявке переведена из категории „оно мне нахрен не впилось“ в категорию „хрен с тобой. Что у тебя там?“»

Залог идет против самой идеи баг-баунти. Убрать препятствия между обнаружением бага и докладом разработчику.

А препятствия для доклада разработчику нет. Вот вообще. Есть препятствие для участия в программе заработка на обнаружении багов для недобросовестных личностей. Ну так и не нужно смешивать альтруизм с коммерцией — хочешь «просто помочь», пожалуйста, нет вопросов. Хочешь получить за это деньги — придётся соответствовать. И внезапно окажется, что у нейросетевиков забесплатно никаких багов искать желания нет никакого. А у нормальных людей желание это делать за бесплатно — как было испокон веков, так и останется; а если они будут уверены в своей находке, так и заработать смогут.

Кучно пошло

А препятствия для доклада разработчику нет. Вот вообще. Есть препятствие для участия в программе заработка на обнаружении багов для недобросовестных личностей.

То есть ты не видишь противоречия.

Деньги мне плати

Нет, не вижу. Для тех, кто хочет участвовать в разработке опенсорса по старинке, препятствий никаких нет. А для тех, кто хочет уйти «от каждого по способностям, каждому по потребностям» в сторону «дайте мне деняк за работу», пусть будет имущественный ценз. Получить деньги за баги в опенсорсном проекте — это не право и даже не традиция, а натурально привилегия, не нужно делать вид, что дескать «всякий должен иметь право свободно претендовать на деньги там, где обычно никто никому не платил». Это получается как в тех историях, где владельцы магазинов решали раздавать хлеб или ещё какие продукты малоимущим по доброте душевной, а малоимущие вместо благодарности потом строчили жалобы, что-де такой-то сякой-то торгаш зажимает бесплатную еду для народа!

Нет, не вижу.

Смысл тогда тратить свое время на переписку с препонами, если в даркнете оторвут с руками.

Ну так если уязвимость такая, что позволит править миром в даркнете будут её с руками отрывать, так там и заплатят куда больше, чем в программе bug bounty.

при этом новые исследователи всё ещё могут участвовать с ограниченным числом заявок.

Ну так если уязвимость такая, что … в даркнете будут её с руками отрывать, так там и заплатят куда больше, чем в программе bug bounty.

Интересно, что в даркнете делают за попытку продать уязвимость, сгенерированную ИИ?

И чем это защищает от схемы

Каждым индусом берётся 30 программ, обещающих бабки за баги. В каждую пишется по 10 заявок через бездумный копипиаст из чатжопаты.

?

Тем, что индусу придётся 10 адресов почты завести?