Грег Кроа-Хартман (Greg Kroah-Hartman), нидерландский разработчик Linux, рассказал The Register, об изменениях в поступающих отчётах об уязвимостях, генерируемых «искуственным интелектом».

С месяц назад качество ИИ-шных отчётов об уязвимостях резко повысилось. Ранее большая их часть была мусором, но по мнению Кроа-Хартмана это не было большой проблемой для ядра (в отличие от cURL) — разработчиков много, и они справлялись, а мусор скорее веселил, чем беспокоил. Но последний месяц значительная часть присылаемого действительно полезна. И это наблюдается и в других открытых проектах. Почему — неясно. То ли улучшились инструменты, то ли люди начали правильно ими пользоваться.

Присылающие отчёты и патчи разработчики начинают честно помечать сделанное ИИ как таковое. ИИ уже сейчас способен генерировать десятки патчей, если условия возникновения ошибки просты и легко определяются.

По поводу переданного Гуглом Sashiko, Кроа-Хартман сказал, что им нужен инструмент для быстрой оценки присылаемых патчей. Большинство патчей уже сейчас проходят через него. И он доступен всем.

LLM для ревью первыми стали использовать разработчики сетевой подсистемы и BPF. Затем DRM. Но это требовало много ресурсов. С инструментом Гугла это стало доступно всем, и всё приведут к общему интерфейсу.

Эти проверки — «в дополнение» к имеющимся, а не «окончательные». Они позволяют быстрее отвечать присылающим патчи разработчикам. Кроа-Хартман ожидает, что количество ИИ-шных отчётов об ошибках и патчей будет расти, и ищет способы ускорить их обработку. Если что-то не проходит автоматическую проверку, мэйнтэйнер может на него не отвлекаться.

Кроа-Хартман считает, что ИИ облегчил поиск уязвимостей и увеличил нагрузку на мэйнтэйнеров ядра. Поэтому будет правильно облегчить работу мэйнтэйнеров при помощи ИИ.

>>> Пересказ на opennet.ru

>>> Интервью (английский)

Ladybird переходит на частичное использование Rust вместо C++. Разработчики давно искали memory-safe альтернативу: Swift не подошёл из-за слабых возможностей взаимодействия с C++ и ограниченной поддержки вне Apple. Rust оказался лучше: зрелая экосистема, многие контрибьюторы уже знают язык, а Firefox и Chromium уже используют его.

Первым портировали LibJS — движок JavaScript (лексер, парсер, AST, генератор байткода). Работу вёл человек с помощью Claude Code и Codex: ~25 000 строк Rust за две недели вместо нескольких месяцев вручную. Результат — полная идентичность выходных данных с C++-версией, ноль регрессий в тестах (52 898 тестов test262, 12 461 собственных тестов).

Код намеренно стилистически близок к C++-оригиналу — идиоматичность придёт позже. Полного перехода на Rust не планируется: C++ и Rust будут сосуществовать, а портирование будет постепенным и управляться основной командой.

>>> ladybird.org

Основатель и главный разработчик проекта curl Дэниэл Стенберг (Daniel Stenberg) обратил внимание на проблему массовой отправки сообщений об уязвимостях, созданных LLM через платформу HackerOne. Подобные сообщения перегружают разработчиков, так как для их проверки необходимо время, которое несравнимо с тем временем, которое нужно для создания подобных отчётов при помощи LLM.

В качестве примера такого сообщения он опубликовал один из таких отчётов - #3125832. Первоначальный патч в нём не подходит ни к одной версии утилиты, для которой он сделан. На уточняющие вопросы от разработчиков его автор отвечал на не заданные вопросы (например, что такое циклическая зависимость), приводил примеры несуществующих функций в утилите и давал инструкции, как использовать git для применения патча.

В ответ на увеличение количества таких сообщений Дэниэл Стенберг предупредил, что теперь авторам необходимо будет отвечать на вопрос «использовался ли AI при его создании» и быть готовыми к дополнительным вопросам, чтобы доказать, что автор действительно проверил результат. Так же любой автор, заподозренный в отправке сообщений, которые можно классифицировать как «AI slop» (низкокачественный контент, сгенерированный LLM) будет немедленно забанен.

Дэниэл Стенберг отмечает, что на данный момент у них нет ни одного примера полезного сообщения об уязвимости, созданного при помощи AI.

Ранее Дэниэл Стенберг уже писал об этой проблеме в своём блоге. Так же о похожей ситуации сообщал Сэт Ларсон (Seth Larson), разработчик из security team в Python Software Foundation.

>>> Подробности

Архитектура новой языковой модели похожа на Llama или Qwen, но она обучалась полностью с нуля. Похожесть позволяет использовать тот же инструментарий. Pretrain-версия большой языковой модели YandexGPT 5 Lite на 8B параметров с длиной контекста 32k токенов. При обучении модели особое внимание уделялось русскому языку, материалы на русском составили более 70% датасета.

Старшая модель YandexGPT 5 доступна в Алисе и на сайте Яндекса, но она в открытый доступ выложена не будет.

В своей категории модель достигает паритета с мировыми SOTA по ряду ключевых бенчмарков для pretrain-моделей, а по многим другим — превосходит их. Например, по результатам внутреннего слепого попарного сравнения (side-by-side) для широкого потока запросов YandexGPT 5 Pro превосходит YandexGPT 4 Pro в 67% случаев и не уступает GPT-4o.

>>> Подробности на Хабре

>>> Скачать

Китайская компания DeepSeek выложила в открытый доступ свои модели искусственного интеллекта, включая DeepSeek-R1 и DeepSeek-R1-Zero, что уже вызвало падение акций OpenAI на американском фондовом рынке.

( читать дальше... )

>>> Официальный репозиторий

Команда разработчиков языковых моделей Qwen выпустила веб-версию чата, где можно опробовать их модели, которые ранее можно было скачать и использовать любой желающий, например, с сайта Qwen AI или же с Hugging Face. Там, например, есть модель с 72 миллиардами параметров. Qwen является разработкой китайской Alibaba Cloud.

( читать дальше... )

>>> Попробовать