Открыл папку

Исследователи обнаружили в AI-редакторе Cursor уязвимость, позволяющую выполнять произвольный код сразу после открытия репозитория.

Всему виной функция Workspace Trust, которую излюбленный вайбкодерами форк VS Code по умолчанию отключает. Злоумышленник может подготовить файл .vscode/tasks.json с параметром runOptions.runOn: "folderOpen", который автоматически запустит вредоносную команду при открытии папки проекта. Никаких предупреждений или запросов разрешений пользователь не увидит.

В отличие от VS Code, где Workspace Trust включён по умолчанию и блокирует подозрительные задачи до явного подтверждения пользователем, Cursor выполняет такие команды молча. Атакующий может украсть переменные окружения, токены доступа, API-ключи или выполнить любые команды от имени жертвы.

Особенно опасно это для разработчиков, чьи машины имеют доступ к облачным сервисам и CI/CD системам. Один заражённый репозиторий способен скомпрометировать всю инфраструктуру компании.

Cursor заявляет, что пользователи могут включить функцию самостоятельно, установив security.workspace.trust.enabled: true в настройках и обещает обновить рекомендации по безопасности в ближайшее время.

Пока что лучший способ защиты — перестать вайбкодить 😱

НеКасперский

Всем привет! 16 сентября на ODS начнется онлайн-курс по обработке естественного языка (Natural Language Processing). Регистрация уже открыта.

Для кого:

Для всех, кому интересна тема обработки естественного языка и хочется, чтобы этот интерес перерос в знания, полезные для карьеры.

Что мы будем проходить:

начнем, как всегда с классики - закон Ципфа, TF-IDF, потом перейдем к более близким вещам - RNN, CNN, Transformer - и закончим LLM, куда же без них (вообще будет довольно много про языковые модели и их применение);

познакомимся с основными задачами NLP: классификацией текста, тегированием и генерацией;

погрузимся в более специфичные области, вроде диалоговых систем или NLP для кода.

В этот раз будет задание на агентов!

Время проведения и сроки:

Встречаемся по вторникам в 18:35 (МСК) - онлайн.


Первое занятие уже 16 сентября. Присоединяйтесь!

Если есть вопросы, то приходите с ними в ODS Mattermost – там будут все ответы, время семинаров и ссылки.

Всем привет!

Встречайте десятый выпуск еженедельного подкаста "Капитанский мостик", в котором обсуждаем новости из мира ИИ за прошедшую неделю и не только. Ведущие выпуска - Дмитрий Колодезев и Валентин Малых.
Смотрите видео на каналах ⤵️

ODS VK Video

ODS YouTube

📩 Присылайте новости для обсуждения в канал "Дата-капитаны" в ODS Mattermost

Подводные камни ИИ-браузеров.

Как говорили в одном старом кинофильме, скоро ничего не будет. Ни кино, не театра, ни книг, ни газет, одно сплошное телевидение ИИ.

Вот и внутри браузеров сегодня активно растут и норовят вылупиться ИИ-модели, приблизительно как в другом кинофильме под названием «Чужой».

Замечу, что перерождение браузера в “продвинутого попугая” создаёт целый пласт, скажем так, сложностей в плане приватности и безопасности.

Особенно если этот браузер научили что-то делать из практического типа покупки картошки и новых носков (то есть если ему добавили “агентских функций”).

Можно смело ожидать, что влияние такой интеграции на онлайн-жизнь, а также неприкосновенность и безопасность личной информации будет многообразным и сложным.

Собрали большой обзор темы. Во-первых, почему ИИ-браузеры становятся реальностью. Если совсем коротко: они упрощают работу, автоматизируют рутинные задачи, от покупок до анализа контента.

А также – какова изнанка этого процесса с точки зрения безопасности, а там: серьёзные риски, так как у браузера полный доступ ко всему вашему веб-трафику, истории, файлам и платежным данным, и при этом в них случаются и уязвимости, а ИИ еще и подвержен социнженерным манипуляциям.

Работы в отрасли ИБ обещает быть много, и на долгие годы.

Друзья, на связи вновь Петр Ермаков.

27 сентября пройдет Practical ML Conf - лучшая практическая конференция по ML в России. За качество отвечаю лично.
Скоро мы закроем регистрацию на офлайн.

Регистрируйтесь на офлайн сейчас. А если не сможете быть в Москве, регистрируйтесь на онлайн (в этом году для онлайна делаем дополнительный трек).

Обещаю интересные доклады, мастер-классы и дискуссии, крутую экспозону и качественный нетворк.

Репосты приветствуются.

группа энтузиастов, которая включает людей из ODS, в частности Валентина Малых и Дмитрия Бабаева, сделала бенчмарк для агентного написания кода SWE-MERA

подробности про бенчмарк можно прочитать в статье на Habr; также бенчмарк будет представлен на конференции EMNLP в Китае в ноябре, научная статья тут

если вы интересуетесь ИИ-генерацией кода, присоединяйтесь к тестированию моделей, инструкция есть на сайте, будем рады вашему фидбеку!

👨‍🔬 В России зафиксирован мировой рекорд в квантовых вычислениях на ионах иттербия

Учёные в рамках национального «Квантового проекта» (ФИАН и Российский квантовый центр) установили новый мировой рекорд. Им удалось реализовать крупнейший в мире алгоритм на кудитах — многокубитную операцию на десяти ионах иттербия.

Почему это важно?

— Рекордная операция — «обобщенный гейт Тоффоли».

— Это прорыв в точности вычислений для решения практических задач: от логистики до создания новых материалов.
— Разработанный метод универсален и может быть применен к другим платформам (сверхпроводники, атомы, фотоны).

Как отметил директор ФИАН Николай Колачевский, этот результат является важным шагом на пути к созданию 50-кубитного квантового компьютера к 2030 году.