Populární témata
#
Bonk Eco continues to show strength amid $USELESS rally
#
Pump.fun to raise $1B token sale, traders speculating on airdrop
#
Boop.Fun leading the way with a new launchpad on Solana.
alvin617.eth 🦇🔊
Budování @CryptoWesearch I Crypto '17 Ponořuji se do nových příběhů a nástrojů 💎 ⚙️ pro vibraci
Forbes Rich Under 30 je nám tak blízko 🙈
Obvykle používáme Polymarket, Kalshi, Cursor a Lovable, což jsou služby pro predikci trhu a AI, které se letos staly populárními
Zakládající tým je celý mladší 30 let
Pamatuji si, že loni byl v kryptoměnovém kruhu seznam mladých lidí, což mnohé šokovalo, a stal se z něj běžný materiál, který budu v budoucnu prezentovat
Výsledkem je, že tento obraz je nyní lepší pro prolomení obrany lidí
Vidíte, že tři nejlepší jsou od zakladatelů stejného Mercoru
Všem je 22 let... 😅 Ti tři jsou dokonce spolužáci ze střední školy
@mercor_ai náborová platforma poháněná umělou inteligencí
Surya Midha - @suryamidha
Brendan Foody - @BrendanFoody
Adarsh Hiremath - @adarsh_exe
@cursor_ai - IDE poháněné umělou inteligencí
Michael Truell - @mntruell
Aman Sanger - @amanrsanger
Sualeh Asif - @sualehasif996
Arvid Lunnemark - @ArVID220u (vlevo)
@Lovable - Generátor webových stránek poháněný umělou inteligencí
Fabian Hedin - @FabianHedin
@Polymarket - Trhy s predikcí
Shayne Coplan - @shayne_coplan
@scale_AI - Vysoce kvalitní služby označování dat pro AI modely
Alexandr Wang - @alexandr_wang (později získán společností Meta)
@Kalshi - Trhy s predikcí
Luana Lopes Lara - @luanalopeslara
Tarek Mansour - @mansourtarek_
@Stake – Online hazardní platforma spuštěná v roce 2017
Ed Craven - @StakeEddie
466
Záplava tutoriálů Claudeova kódu může být jako umístění nevybuchlé bomby 💥
Začal jsem takto, protože jsem chtěl řešit otázky informační bezpečnosti, kterým by si měl každý, kdo se aktuálně věnuje vývoji kódu Claude nebo jakémukoli AI vývojovému nástroji, věnovat pozornost
V minulosti byly sociální platformy jako Telegram a e-maily, které "vlastnily osobní údaje", hacknuty a poté byly ukradeny peněženkové prostředky související s těmito osobními údaji
Jak AI stále sílí, je pravděpodobnější, že odhalíme příliš mnoho osobního majetku a informací, aniž bychom si to uvědomovali
Navazujíc na předchozí zmínku, poté co někdo dal někomu oprávnění k Telegramu a peněženka GMGN byla ukradena za 4,50 milionu dolarů, se tato situace nyní opakuje
"Naštěstí jsem málem byl přistižen poté, co jsem si stáhl data z rozhovoru na místní počítač."
Všichni víme, že pokud chceme vytvořit složitější projekt, IDE má právo skenovat všechny soubory na našem počítači a zachytávat veřejné informace na internetu pro interakci, samozřejmě můžeme tyto chování předem regulovat
Nebo skrze izolované vývojové prostředí
Vidím, že hodně lidí zmiňuje Docker, VS Code, GitHub Codespaces a další sandboxové nástroje, takže můžete zkusit víc
Mac Mini je specializovaný vývojový stůl s hardwarovou izolací
===
Pro poprvé uživatele existuje mnoho příležitostí umístit časované bomby, které nejsou na první pohled viditelné
Pokud neizolujete svůj majetek (včetně finančních prostředků a informací o identitě, které jsou součástí vašeho majetku), je děsivé o tom přemýšlet
A taková událost není poprvé, co se stala
V září loňského roku zneužila kriminální skupina Claudeův kodex k úspěšnému provádění rozsáhlého vydírání dat proti více než 17 institucím po celém světě, včetně zdravotnických zařízení, záchranných složek, náboženských institucí a dokonce i vládních institucí
Loni vydal vývojář Claude @AnthropicAI zprávu, která uvádí
Příprava 250 škodlivých souborů stačí k otrávení AI modelů všech parametrů, dokonce i LLM 💀💀💀 s tréninkovými parametry 13 miliard
Čím rychlejší je technologická iterace, tím je pohodlnější
Objeví se nové metody útoku, které budou složitější, a budou vyzkoušeny a ověřené
9. 1. 16:57
Pozor všem, kdo po roce mění práci,
Nedávno jsem viděl několik příspěvků na Threads,
Někdo na pohovoru vzdáleně naklonoval repozitář bez ručního použití
Použijte IDE (VS kód / kurzor ...) pro zobrazení zdrojového kódu
Soukromý klíč v počítači byl uniklý.
--
K principu útoku mnoho lidí skutečně špatně pochopilo.
Dnešní IDE (VS Code, Cursor, WebStorm) už dlouho nejsou jen nástroji pro "čtení kódu".
Jakmile otevřete repozitář, IDE Node.js automaticky použije k načtení konfiguračních souborů v projektu, které vám pomohou s ESLint, Prettier, analýzou typů TypeScript a detekcí frameworku (Next.js / Vite / React).
Například eslint.config.js, prettier.config.js, next.config.js vite.config.js vypadají jako konfigurační soubory a v podstatě jsou všechny "spustitelný JavaScript".
Útočníci skrývají škodlivý kód v těchto profilech.
Nemáš NPM spuštěný, nemáš node index.js,
Ale IDE to už za vás udělalo jako první.
Po spuštění můžete pod "uživatelskými oprávněními" dělat mnoho věcí, například číst soukromý klíč, SSH klíč a konfigurační soubor v počítači, a pak data odesílat, a celý proces vám nepřeskočí žádná okna ani vám nedovolí si toho všimnout.
Proto se tato podivně znějící situace děje:
Jsem jen klonovaný repozitář
Prostě otevřu IDE a podívám se na zdrojový kód
Ale soukromý klíč v počítači zmizel
Není to tak, že byste byli mazaní nebo že byste nevěděli o informační bezpečnosti.
Místo toho moderní front-end toolchain sám "automaticky vykonává projektový kód".
--
V podstatě, když mi dáte open source kód, obvykle si ulevím a po stažení ho naskenuji AI, ale po otevření VS kódu stejně vyhraji Q_Q
Připravím izolované prostředí pro otevírání "nedůvěryhodných projektů"
Nejstabilnější je VM, následovaná Dockerem + VS Code Remote.
Nechte Node.js, ESLint, Prettier a skenovat framework v izolovaném prostředí, i kdyby nastaly problémy, dopad zůstane pevně daný.
Vestavěný sandbox ve Windows je také izolované prostředí, ale po každém vypnutí a opětovné instalaci se vymaže.
Použití VM je mnohem pohodlnější, lze jej znovu použít a zcela izoluje prostředí, ale buďte opatrní, abyste přímo nepřemostili síť a nepřipojili lokální pevné disky, což je ekvivalent otevření zadních vrátek Q_Q
415
Top
Hodnocení
Oblíbené