1. Forum
  2. FidoNet Russia
  3. RU.FTN.DEVELOP

  • Claude Mythos

    From Nil A@2:5015/46 to All on Thu Apr 9 19:29:56 2026
    * Originally in ru.ai
    * Crossposted in ru.ftn.develop
    Hello, All!

    овость прошла, что Антропик у себя уже сделали супер-модель Мифос (как аристотель), но в паблик не выставляют, ибо супер опасная штука вышла. ЛЛМ'ка как-то очень суперски ищет уязвимости в коде, сама пишет эксплоиды, и всё это за пару минут на огромной кодобазе. Если такое дать в общее пользование, то в течении первого же дня, неокрепшие умы подломают все серваки, сорцы которых есть на гитхабах. Пока доступ дают только проверенным и своим людям.

    Если это применить к фидософту, то я для себя уже несколько лет назад выправил все ворнинги gcc при компиляции binkd, hpt, golded,.. ибо страшно. о на случай таких вот взломов, я готов тем, что у меня всё собрано с:

    CFLAGS="-fstack-protector-strong -D_FORTIFY_SOURCE=2 -fstack-clash-protection -fPIE"
    LDFLAGS="-Wl,-z,relro,-z,now -Wl,-z,noexecstack -pie"

    И мне не так страшно.

    Best Regards, Nil
    --- GoldED+/LNX 1.1.5-b20260305
    * Origin: Gemini can make mistakes, so double-check it (2:5015/46)
  • From Alexey Khromov@2:5030/723 to Nil A on Thu Apr 9 20:18:39 2026
    Здраствуйте, Nil!

    овость прошла, что Антропик у себя уже сделали супер-модель Мифос
    (как аристотель), но в паблик не выставляют, ибо супер опасная штука вышла. ЛЛМ'ка как-то очень суперски ищет уязвимости в коде, сама пишет эксплоиды, и всё это за пару минут на огромной кодобазе. Если такое

    Ищет паттерны кривого кода почти так же, как это делают другие анализаторы кода (кроме cppcheck), то есть песочница и соблюдение формальных правил. ичего сверхъестественного ЛЛМка не сделает.

    CFLAGS="-fstack-protector-strong -D_FORTIFY_SOURCE=2 -fstack-clash-protection -fPIE" LDFLAGS="-Wl,-z,relro,-z,now -Wl,-z,noexecstack -pie"

    А это не панацея. Точнее, спасает от переполнения буфера, то есть самых частых ошибок в плюсах. Логику обработки входных данных оно исправить не в состоянии. стэк-протектор в связи с приходом стандарта C23 и запрета в нем кастить ссылки на функции без указания их полного прототипа тоже скоро будет неактуален)

    КМК гораздо эффективнее контейнеризировать потенциально уязвимое приложение, сократив поверхность атаки, а критические системы выносить в виртуальные/отдельные физ. сервера, пуская через IDS/IPS. use Suriccata, bro!

    ЗЫ. c bforce PVS-Studio тоже очень хорошо помог, много ворнингов снял.

    Alexey Khromov
    --- GoldED+/LNX 1.1.5-b20250409
    * Origin: - Вы в опасности! Вы окружены роботами! - (2:5030/723)
  • From Valentin Kuznetsov@2:5053/51.401 to Nil A on Thu Apr 9 21:29:40 2026
    Пpивет, Nil!
    Отвечаю на письмо от 09 Apr 26 19:29:56 (AREA:RU.FTN.DEVELOP)

    эксплоиды, и всё это за паpу минут на огpомной кодобазе.
    Если такое дать в общее пользование, то в течении пеpвого
    же дня, неокpепшие умы подломают все сеpваки, соpцы котоpых
    есть на гитхабах. Пока доступ дают только пpовеpенным и
    своим людям.

    Если это пpименить к фидософту, то я для себя уже несколько
    лет назад выпpавил все воpнинги gcc пpи компиляции binkd,
    hpt, golded,.. ибо стpашно. Hо на случай таких вот взломов,
    я готов тем, что у меня всё собpано с:

    CFLAGS="-fstack-protector-strong -D_FORTIFY_SOURCE=2 -fstack-clash-protection -fPIE"
    LDFLAGS="-Wl,-z,relro,-z,now -Wl,-z,noexecstack -pie"

    И мне не так стpашно.

    Я pаспечатал и повесил на двеpь файл robots.txt и почти выучил "Дайте нам в pуке каменный гоpшок"

    Валентин

    --- WebFIDO/OS2 V0.16530l
    * Origin: Разум WebФИДО пpиветствует Вас pуганью с pоботами (2:5053/51.401)
  • From Nil A@2:5015/46 to Alexey Khromov on Thu Apr 9 20:53:54 2026
    Hello, Alexey!

    Thursday April 09 2026 20:18, from Alexey Khromov -> Nil A:

    Антропик у себя уже сделали супер-модель Мифос

    Ищет паттерны кривого кода почти так же, как это делают другие
    анализаторы кода (кроме cppcheck), то есть песочница и соблюдение формальных правил. ичего сверхъестественного ЛЛМка не сделает.

    Думаешь, чиста grep делает по коду? е думаю. Я по-работе плотно сижу на Claude Opus 4.6, ему в контекст можно загнать до мегабайта сорцов, сложного темплейтного c++ кода на кодревью, и он находит, из какого потока я читаю и пишу данные без мьютекса, и при каких обстоятельствах. и какой статический анализатор, типа Coverity такого не ловит.

    CFLAGS="-fstack-protector-strong -D_FORTIFY_SOURCE=2
    -fstack-clash-protection -fPIE" LDFLAGS="-Wl,-z,relro,-z,now
    -Wl,-z,noexecstack -pie"

    А это не панацея. Точнее, спасает от переполнения буфера, то есть
    самых частых ошибок в плюсах. Логику обработки входных данных оно исправить не в состоянии.

    у, нахаляву эксплоид не запустишь же.
    От логических ошибок, конечно же, не застраховано, тут надо код читать, чем современные ИИ уже хорошо начинают делать.

    стэк-протектор в связи с приходом стандарта C23 и запрета в нем
    кастить ссылки на функции без указания их полного прототипа тоже скоро будет неактуален)

    Дык никто не будет -std=c23 писать же, точнее там вылезут диприкейты разные, или из-за многочисленных UB вообще всё соптимизируется.

    КМК гораздо эффективнее контейнеризировать потенциально уязвимое приложение, сократив поверхность атаки, а критические системы выносить
    в виртуальные/отдельные физ. сервера,

    уда, чтобы дальше контейнера не сбежал.

    пуская через IDS/IPS. use Suriccata, bro!

    Сурикате надо паттерны писать, а там обычно какие-нибудь HTTP приколы только, и не как не бинковские.

    Best Regards, Nil
    --- GoldED+/LNX 1.1.5-b20260305
    * Origin: Gemini can make mistakes, so double-check it (2:5015/46)
  • From Nil A@2:5015/46 to Valentin Kuznetsov on Thu Apr 9 21:03:36 2026
    * Originally in ru.ftn.develop
    * Crossposted in ru.ai
    Hello, Valentin!

    Thursday April 09 2026 21:29, from Valentin Kuznetsov -> Nil A:

    И мне не так стpашно.
    Я pаспечатал и повесил на двеpь файл robots.txt и почти выучил "Дайте
    нам в pуке каменный гоpшок"

    robots.txt уже почил в бозе. и один ИИ при сканировании интернетов на него внимания не обращает. Ещё бы, ИИ не робот какой-нибудь, а интеллект!

    Best Regards, Nil
    --- GoldED+/LNX 1.1.5-b20260305
    * Origin: Gemini can make mistakes, so double-check it (2:5015/46)
  • From Rinat Sadretdinow@2:5020/620.1 to Valentin Kuznetsov on Thu Apr 9 22:41:44 2026
    Hello Valentin!

    09 Apr 26 21:29, you wrote to Nil A:

    Я pаспечатал и повесил на двеpь файл robots.txt и почти выучил "Дайте
    нам в pуке каменный гоpшок"

    Только вот так:

    http://pics.wfido.ru/img/human-coded.jpeg_ruqtu.jpg

    А все эти гпт лишь для мамкиных хацкеров. Хайп пройдёт и все опять поймут сколько про...фукали полимеров пока слепо восхищались и преклонялись перед тупыми и безмозглыми скоростными машинными перебирателями вариантов.

    Bye!

    --- GoldED+/LNX 1.1.5-b20250409
    * Origin: -= Thunder Bird @ home =- (2:5020/620.1)
  • From Nil A@2:5015/46 to Rinat Sadretdinow on Thu Apr 9 23:30:46 2026
    * Originally in ru.ftn.develop
    * Crossposted in ru.ai
    Hello, Rinat!

    Thursday April 09 2026 22:41, from Rinat Sadretdinow -> Valentin Kuznetsov:

    А все эти гпт лишь для мамкиных хацкеров. Хайп пройдёт и все опять
    поймут сколько про...фукали полимеров пока слепо восхищались и преклонялись перед тупыми и безмозглыми скоростными машинными перебирателями вариантов.

    Предлагаю перейти в профильную эху ru.ai для этого

    Мы наблюдаем явление дотнет бумов, как бы уже проходили в нулевых. Кратко: интернет был в зачатке, не было онлайн магазинов и доставки, и какой-нибудь pet.com стартап из двух человек мог получить лям инвестиций просто чтобы сделать сцайт, с доставкой собачего корма на дом. Понятно, что интернет никуда не делался, и он всё ещё с нами. о многие конторки таки подвымерли. Я только сходу могу вспомнить Альтависту, прям билборды тут в штатах висели на моём экзите с хайвея. И где сейчас Альтависта?

    Я привёл аналогию с дотнет бумом. Ровно тоже самое и с ИИ, т.е. генеративными ЛЛМками. Оно с нами на всегда уже останется. Это не так х@ета про блокчейны. Тут дох@ища баблосиков вливается, и.. я вангую, что OpenAI почит в бозе как Альтависта, ибо дох@я х@лиардов бабок, которые они прожигают, и только 5% платящих пользователей (~10% как только они $7 ценник сделали за почти то, что на халяву дают). Толи дело Антропик, баблосики на юрлицах стригут, и вояк выPi3дили, чтобы статистику не портили.

    Best Regards, Nil
    --- GoldED+/LNX 1.1.5-b20260305
    * Origin: Gemini can make mistakes, so double-check it (2:5015/46)
  • From Valentin Kuznetsov@2:5053/51.400 to Rinat Sadretdinow on Fri Apr 10 00:08:21 2026
    Пpивет, Rinat!
    Отвечаю на письмо от 09 Apr 26 22:41:44 (AREA:RU.FTN.DEVELOP)

    Я pаспечатал и повесил на двеpь файл robots.txt и почти выучил "Дайте
    нам в pуке каменный гоpшок"

    Только вот так:

    http://pics.wfido.ru/img/human-coded.jpeg_ruqtu.jpg

    А все эти гпт лишь для мамкиных хацкеpов. Хайп пpойдёт и
    все опять поймут сколько пpо...фукали полимеpов пока слепо
    восхищались и пpеклонялись пеpед тупыми и безмозглыми
    скоpостными машинными пеpебиpателями ваpиантов

    Поначалу нас искушает мудpость, но мы начинаем воспpинимать её совсем по-дpугому, когда ей начинают металлолом и лягушачюю икpу (Ц) Йон Тихий, довольно пpиблизительно

    Валентин

    --- WebFIDO/OS2 V0.16530km
    * Origin: Разум WebФИДО пpиветствует Вас пpо это!! (2:5053/51.400)
  • From Stas Mishchenkov@2:460/5858 to Rinat Sadretdinow on Sat Apr 11 11:16:36 2026
    Hi Rinat!

    09 Apr 26 22:41, Rinat Sadretdinow -> Valentin Kuznetsov:

    Я pаспечатал и повесил на двеpь файл robots.txt и почти выучил "Дайте
    нам в pуке каменный гоpшок"

    Только вот так:

    http://pics.wfido.ru/img/human-coded.jpeg_ruqtu.jpg

    https://brorabbit.g0x.ru/up/69da035a.jpg
    ;)

    Have nice nights.
    Stas Mishchenkov.

    --- Вечеринка - это как утренник, только ты не зайчик, а свинья.
    * Origin: Lame Users Breeding. Simferopol, Crimea. (2:460/5858)
  • From Rinat Sadretdinow@2:5020/620.1 to Stas Mishchenkov on Sat Apr 11 16:32:44 2026
    Hello Stas!

    11 Apr 26 11:16, you wrote to me:

    Я pаспечатал и повесил на двеpь файл robots.txt и почти выучил
    "Дайте нам в pуке каменный гоpшок"
    Только вот так:
    http://pics.wfido.ru/img/human-coded.jpeg_ruqtu.jpg

    https://brorabbit.g0x.ru/up/69da035a.jpg
    ;)

    Это проблемы индейцев. У шерифа (меня) всё открывается! :-F

    Bye!

    --- GoldED+/LNX 1.1.5-b20250409
    * Origin: -= Thunder Bird @ home =- (2:5020/620.1)
  • From Valentin Kuznetsov@2:5053/51.401 to Rinat Sadretdinow on Sat Apr 11 17:40:16 2026
    Пpивет, Rinat!
    Отвечаю на письмо от 11 Apr 26 16:32:44 (AREA:RU.FTN.DEVELOP)

    Я pаспечатал и повесил на двеpь файл robots.txt и почти выучил
    "Дайте нам в pуки каменный гоpшок"
    Только вот так:
    http://pics.wfido.ru/img/human-coded.jpeg_ruqtu.jpg

    https://brorabbit.g0x.ru/up/69da035a.jpg
    ;)

    Это пpоблемы индейцев. У шеpифа (меня) всё откpывается! :-F

    ДА!!

    Валентин

    --- WebFIDO/OS2 V0.16530l
    * Origin: Разум WebФИДО пpиветствует Вас консеpвооткpывалко (2:5053/51.401)
  • From Alexey Khromov@2:5030/723 to Nil A on Sun Apr 12 12:58:51 2026

    Думаешь, чиста grep делает по коду? е думаю. Я по-работе плотно сижу
    на Claude Opus 4.6, ему в контекст можно загнать до мегабайта сорцов, сложного темплейтного c++ кода на кодревью, и он находит, из какого
    потока я читаю и пишу данные без мьютекса, и при каких
    обстоятельствах. и какой статический анализатор, типа Coverity такого
    не ловит.

    е, грепит по паттернам только lint. Другие анализаторы минимально отслеживают граф переходов. Это зависит от глубины погружения анализатора в код. Отслеживание потоков выполнения вроде есть в PVS-Studio.

    Дык никто не будет -std=c23 писать же, точнее там вылезут диприкейты разные, или из-за многочисленных UB вообще всё соптимизируется.

    гцц в арче подложил многим проектам свинью, с 15й версии он по-умолчанию -std=c23, ломаются переопределения типа bool и ссылки на функции. и это уже не варнинг "deprecated" - в ошибку вываливается.
    не во всех проектах используется жесткое прибитие гвоздями -std=whatever.

    с другой стороны, на то он и арч, чтобы понаступать на эти грабли и в стабильных дистрах на них не наступать.

    Alexey Khromov
    --- GoldED+/LNX 1.1.5-b20250409
    * Origin: - Вы в опасности! Вы окружены роботами! - (2:5030/723)
  • From Nil A@2:5015/46 to Alexey Khromov on Sun Apr 12 23:05:22 2026
    Hello, Alexey!

    Sunday April 12 2026 12:58, from Alexey Khromov -> Nil A:

    е, грепит по паттернам только lint. Другие анализаторы минимально отслеживают граф переходов. Это зависит от глубины погружения
    анализатора в код. Отслеживание потоков выполнения вроде есть в PVS-Studio.

    Да, ты описываешь работу статических анализаторов. В Си/Си++ можно передавать указатели как-то хитро, в разных структурках, с кастами, и статические анализаторы потеряют это. Короче да, ловят но только какие-то классы ошибок. Приходится гонять ASan и TSan билды.

    Best Regards, Nil
    --- GoldED+/LNX 1.1.5-b20260305
    * Origin: Gemini can make mistakes, so double-check it (2:5015/46)