vibe security
May. 13th, 2026 02:31 pm![[personal profile]](https://www.dreamwidth.org/img/silk/identity/user.png){kind=small}
amaraoПомните, до ai-assisted кода был 'vibe coding'? Ты говорил (тогдашней не очень способной ai-ке) поди и сделай мне убийцу фейсбука и оно что-то там делало и иногда у него получалось сделать рабочую копию pacman'а и все думали, что это будет убийца всего? Потом, оказалось, что чем сложнее задача, тем фиговнее выходит и vibe coding умер (или подзатих).
А теперь vibe security. Ты говоришь (сегодняшней, не очень способной ai-ке) "в этой кодовой базе есть RCE + privilege escalation, найди её и напиши мне эксплоит" и оно что-то там делает и ты видишь лишний процесс на хосте.
Это vibe security.
разница с vibe coding в том, что когда нам надо в vibe coding добавить "ещё чуть-чуть" оно всё ломается и не работает. А в vibe security это уже не нужно - эксплоит-то есть.
И это такая волна, которую невозможно себе представить. Цунами на 30 этажей.
Почему я так уверен? Потому что я вчера именно так и сделал. 25% от 5-часового лимита gpt 5.5 за €23 нашёл цепочку ошибок и написал эксплоит. Почти рабочий. После копирования ошибки в консоль и минимального исправления (да-да, bitnami/kubectl в 2026 - не лучший base image), рабочий.
Теперь целый отдел бегает и фиксит список уязвимостей и ошибок, использованных для этого.
Можно обещать кары небесные для тех, кто в brownfield продакшен несёт ai-кодированную чушь, развал проекта, отложенная катастрофа технического долга, потеря комптенции, whatever.
Рабочий эксплоит - это рабочий эксплоит. За пояс не заткнёшь, на роток не накинешь платок. Это объективная реальность данная нам в появлении постороннего процесса от root'а, запущенного из того места, откуда нельзя было такое запустить. Точнее, считалось, что нельзя.
И это только начало - так же как было в vibe coding. Инструментов никаких, практик никаких, но уже "что-то". Разница с vibe-coding в том, что ценность vibe-coded приложения низкая. А эксплоита - высокая. Очень высокая.
Future was yesterday.
А теперь vibe security. Ты говоришь (сегодняшней, не очень способной ai-ке) "в этой кодовой базе есть RCE + privilege escalation, найди её и напиши мне эксплоит" и оно что-то там делает и ты видишь лишний процесс на хосте.
Это vibe security.
разница с vibe coding в том, что когда нам надо в vibe coding добавить "ещё чуть-чуть" оно всё ломается и не работает. А в vibe security это уже не нужно - эксплоит-то есть.
И это такая волна, которую невозможно себе представить. Цунами на 30 этажей.
Почему я так уверен? Потому что я вчера именно так и сделал. 25% от 5-часового лимита gpt 5.5 за €23 нашёл цепочку ошибок и написал эксплоит. Почти рабочий. После копирования ошибки в консоль и минимального исправления (да-да, bitnami/kubectl в 2026 - не лучший base image), рабочий.
Теперь целый отдел бегает и фиксит список уязвимостей и ошибок, использованных для этого.
Можно обещать кары небесные для тех, кто в brownfield продакшен несёт ai-кодированную чушь, развал проекта, отложенная катастрофа технического долга, потеря комптенции, whatever.
Рабочий эксплоит - это рабочий эксплоит. За пояс не заткнёшь, на роток не накинешь платок. Это объективная реальность данная нам в появлении постороннего процесса от root'а, запущенного из того места, откуда нельзя было такое запустить. Точнее, считалось, что нельзя.
И это только начало - так же как было в vibe coding. Инструментов никаких, практик никаких, но уже "что-то". Разница с vibe-coding в том, что ценность vibe-coded приложения низкая. А эксплоита - высокая. Очень высокая.
Future was yesterday.
no subject
Date: 2026-05-13 01:49 pm (UTC)https://kondybas.dreamwidth.org/174572.html
no subject
Date: 2026-05-13 06:10 pm (UTC)no subject
Date: 2026-05-13 08:11 pm (UTC)ОК, написание эксплойтов это конечно хорошо, и я понимаю, что это помогает тыкать в морду бизнесу, что мол не я выдумываю несекурность, а любой вася с хренулей может грабить корованы, давайте приоритеты на таски по секурности.
Что дальше? Тул будет использоваться как адвансед чекер рулл реквестов, это конечно сильно помогает, но таких чекеров и было десяток, выдавали иногда по делу, но в 90% узбекские мудрости типа "Знаете ли вы, что если в эхо передать мат, то прога напечатает мат! УЖАС! ВСЁ ПРОПАЛО!"
За закрытыми периметрами люди пишут вообще не вдупляя, что такое сиквел инжесчен, что такое эскалация и прочие страшные слова.
no subject
Date: 2026-05-14 02:18 am (UTC)Назад в подвалы, где пыль, грязь, вибрация, ветошь, искра и кумулятивные побочные эффекты.
no subject
Date: 2026-05-14 11:58 am (UTC)По сути - пока что применять, фиксить low hanging fruits по их результатам, готовиться к тому, что волна эксплоитов будет после каждого следующего подъёма способностей нейронок.
В какой-то момент найдут неисправимый хардварный/архитектурный баг и тут пойдёт развлечение следующего порядка.
no subject
Date: 2026-05-18 07:08 am (UTC)Это если предполагать, что количество багов бесконечно и более продвинутые нейронки выявляют более серьёзные баги. Оба этих предположения несколько сомнительны.
no subject
Date: 2026-05-18 11:01 am (UTC)насчёт "более продвинутые нейронки выявляют более серьёзные баги" - пока что подтверждается. Секьюрити от gpt5.1 и от gpt5.5 сильно разные. В пользу gpt5.5.
no subject
Date: 2026-05-14 11:56 am (UTC)Но нет.
Это не "специализированный линтер". Оно кросс-языковое, кросс-системное и способно интегрировать проблемы одного места в возможности другого. Считать ai-эксплоиты "линтером", всё равно, что считать компьютер калькулятором. Да, он умеет складывать и вычитать. Но ещё он умеет if/while, и это меняет всё.