dxdt.ru: занимательный интернет-журнал

Попалась интересная публикация о том, как насаждаемые везде и всюду ИИ/LLM реально повлияют на безопасность компьютерных систем, с примерами (англ.): AI will compromise your cybersecurity posture (“ИИ скомпрометирует ваш подход к обеспечению кибербезопасности”).

По ссылке – разобраны расхожие “хайп-заявления” про ИИ/LLM – типа, “ИИ взломает 51% паролей за секунды”, “ИИ самостоятельно успешно написал эксплоиты к 87% описаний CVE” и пр., – а потом, на примерах, показано, как ИИ-системы реально повлияют на процессы обеспечения информационной безопасности: неконтролируемый доступ через LLM-агентов, некотролируемый поток ошибок в коде, навязываемое встраивание внешних систем, про которые даже их разработчики не знают, как они устроены, ну и так далее.

Кстати, попался тут неплохой пример странностей современного “Хабра”, связанных с ИИ/LLM – статья под названием “Царский путь к пониманию комплексных чисел” (не ясно, есть ли тут аллюзия на известную максиму про отсутствие “царских путей” в математике). Текст, судя по всему, – а также, судя по комментариям автора статьи, – сгенерирован при помощи нескольких LLM, но потом поправлен и скомпилирован автором. (Такое сейчас прямо поощряется.) Теми же LLM сгенерированы картинки-иллюстрации в статье.

В статье полностью сохранена характерная для LLM-генераторов подача в стиле “успешный успех”. А “успешный успех” начисто скрывает за ложным пафосом минимальную содержательную часть, если она там и есть – читать это, к сожалению, очень и очень трудно, полезный выход минимален: “Рождение ереси”, “Приглашение к бунту”, “Понимание – не равно – умение решать” и т.д., думаю, заштампованность ясна без дальнейшего перевода.

На схемах к статье утверждается, например, что принятие “догмы”, которая там названа (цитата) “Корней из отрицательных чисел не существует”, приводит к потере “Квантовой механики и теории поля”, а также “Волн и колебаний в физике”. Каким таким образом это возможно? Нет объяснения. При этом, очевидно, что над действительными числами “корней из отрицательных чисел” не существует по определению, что бы там ни рисовали LLM на картинках. (Имеются в виду квадратные корни.) Именно на этом “несуществовании” и вводятся комплексные числа в математике, а не на признании самого “несуществования” “догмой” с последующим отрицанием, то есть, совсем не так, как написано у LLM. Собственно, это неверная трактовка, эквивалентная истории с параллельными прямыми, которые “пересекаются” – то есть, создание фиктивной восторженности, путём полного искажения определений, проводимого через ложное противоречие. И, как говорится, так далее, и тому подобное.

Так что, влияние LLM – очень и очень не хорошее.

Выпустил очередную, – ежегодную, – версию технического описания протоколов TLS, которое я поддерживаю вот уже десяток лет. Успел обновить – год 2025 ещё не закончился. В этом году существенных дополнений, вроде новых разделов, нет, но зато я тщательно актуализировал весь текст, включая приложения, дописал некоторые пояснения в целом ряде мест, исправил найденные опечатки (надеюсь, что не внёс много новых) и скорректировал терминологию. Это точно одно из самых подробных описаний TLS на русском языке, а я думаю, что это самое подробное, полное описание. Очень многие особенности рассмотрены, буквально, до отдельных байтов. Кроме TLS – охвачены и необходимые сопутствующие криптографические элементы: шифры, схемы подписи.

(Конечно, у меня есть планы по развитию этого описания. Например, планирую добавить подробный разбор схем согласования ключей, в том числе, с постквантовой криптосистемой ML-KEM. Примеры устройства хеш-функций. И так далее. Планы-то есть, а вот ресурсов – пока не хватает. Но посмотрим. Возможно, в следующем году.)

Нередко приходится слышать, в качестве ответа на критику очередного “опуса”, сгенерированного ИИ, что, мол, люди тоже публикуют всякие “бесполезные наборы слов”. Поэтому процитирую весьма занятный фрагмент из недавней публикации известного британского физика Джонотана Оппенгейма (Jonathan Oppenheim). Прямо по этой же теме. Контекст – рассуждения (англ.) о научной публикации в Physics Letters B, которая, как заявлено, основана на “идее, сформулированной ИИ Chat GPT-5”. (Сама работа, при ближайшем рассмотрении экспертом, оказывается и бесполезной по основной идее, и ошибочной по содержанию; однако выяснить это непросто, откуда и популярный нынче термин AI slop – “ИИ-помои”.)

Конечно, исследователи-люди тоже выпускают “помои” (slop): лишь небольшая доля публикаций интересна. Да, нам точно нужны более высокие стандарты публикации, и мы должны писать меньше работ. Однако разница между “помоями”, созданными человеком, и “помоями” ИИ состоит в том, что “помои” от людей помогают поддерживать исследовательское сообщество. И это сообщество исследователей нужно нам: оно позволяет обучать студентов, служит “институциональной памятью”, действует как распределённая сеть знаний и коллективного чувства стиля. Это то самое большее исследовательское сообщество, что создаёт и поддерживает (sustain) великих учёных. А у “помоев”, которые производит ИИ, нет никакой выгоды, насколько я вижу.

/Of course, human researchers also produce slop – only a small percentage of papers are interesting. And yes, we should definitely have higher standards for publication, and write fewer papers. But the difference between human slop and AI slop, is that human slop helps sustain a community of researchers. And we need this community of researchers, to train students, serve as institutional memory, and act as a distributed network of knowledge and collective taste. It is this wider community of researchers which sustain the great scientists. While the slop that AIs produce have no benefit as far as I can see./

Cloudflare опубликовали разбор ситуации, приведшей 18 ноября к глобальному падению сервисов. Оказалось, это не маршрутизация, как я предположил в прошлой записке, а просто – “слишком большой конфигурационный файл”.

То есть, система, которая используется для фильтрации HTTP-запросов, получила слишком большое обновление файла со списком признаков запросов ботов. Слишком большое обновление, как пишут, автоматически сформировалось из-за нескольких логических ошибок. Ошибки были и в коде, извлекающем набор значений из БД, и в коде, который обрабатывал получившийся файл. В общем, всё как обычно – меры борьбы с ботами привели к обрушению сервиса без участия каких бы то ни было ботов.

Вышел очередной номер журнала “Интернет изнутри”. Тема номера: “Зловреды в Интернете”. Помимо печатной версии, журнал полностью доступен на сайте, в том числе, в виде единого файла в формате PDF (или EPUB).

Воплощение известного советского анекдота в эпоху “ИИ-хайпа”. При помощи сервиса ChatGPT, используя его как поисковую систему по корпусу текстов, нашли научные публикации с решениями некоторых задач Эрдёша (Эрдёш поставил очень много интересных задач). То есть, задачи эти были давно решены, но составитель списка решений использовал ChatGPT, чтобы найти ссылки на работы – и сервис ChatGPT ссылки нашёл (кто бы сомневался – публикации по запросам на естественном языке эта штука находит неплохо). Однако вице-президент OpenAI, комментируя результат, сообщил, что это “ИИ ChatGPT решило десять открытых проблем Эрдёша“. То есть не нашли старые работы с решениями, а решили открытые проблемы.

После бурной реакции тех, кто оказался в теме, хайп-сообщения “про решение силами ChatGPT” – удалены. Более подробный разбор, со скриншотами удалённых уже “твитов”, есть на сайте The Decoder (англ.). Журналисты издания задаются резонным вопросом: как так могло получиться, что ведущие AI-исследователи из OpenAI публикуют подобные “сильные утверждения”, даже не проведя минимальную проверку фактов? И действительно – как? Риторический вопрос.

Опубликовал на “Хабре” небольшой обзор про монеты Великобритании и децимализацию (переход на 100-пенсовый фунт от старой системы из шиллингов).

Некоторые начинают о чём-то догадываться – в отношении “использования ИИ”. Вот The Register пишет (англ.), со ссылкой на исследование из Стэнфорда, что бред, генерируемый ИИ, не так уж полезен в рабочем процессе, поскольку и разбор наукообразной чепухи отнимает много времени, и доверие к источникам подобного резко падает. Для обозначения сгенерированного “с рабочими целями” LLM-текста применяют занятный красочный термин – workslop, от work+slop, что означает: “рабочие (служебные) помои”.

Вообще, проблему с тем, что информационное пространство кругом быстро замусоривается сгенерированным бредом, уже заметили очень многие: восклицания, “что в Интернете невозможно ничего найти” и “постоянно приходится продираться сквозь наукообразную чепуху высшего порядка, сгенерированную LLM” – слышны всё чаще. Приведу свежий пример: я недавно попытался найти какие-то внятные описания того, как должна выглядеть буква “O” (латинская) на реверсе монеты в один пенни Великобритании за такой-то период. Вместо ссылок на внятные разборы (которые, очевидно, всё ещё есть в доступе – это же одна из основ практического исторического метода) – поиск Google выдал сгенерированный ИИ/LLM “ответ”, в котором, с первых же слов, буквально, утверждалось (на английском), что “никакой буквы O на реверсе таких монет нет, поскольку там написано ONE PENNY”. Вот так. Да, ONE – написано, но вот буквы “O” – нет. Отличный пример того, куда ведёт всё это использование “прорывных технологий ИИ” тут и там, навязываемое “с высоких трибун”. Но ничего уже не поделать: например, тот же ресурс “Хабр”, как я обнаружил, нынче просто затоплен подобным сгенерированным потоком.

Да, конечно, тут можно уточнять, что, мол, в примере про монету, данная “поисковая” система имела в виду, что нет отдельной буквы “O”, как обозначения монетного двора, серии или чего-то подобного. Но это всё будет выдумка, тщетная попытка придать содержательности продукту синонимайзера-переростка – потому что исходная система ничего в виду не имела, а просто сгенерировала текст, который совсем не попал в запрос; и всё вместо того, чтобы хотя бы попытаться правильно ранжировать источники.

В Cloudflare выпустили разбор ситуации с выпуском неавторизованных TLS-сертификатов для 1.1.1.1. Пишут, что в логах Certificate Transparency (CT) эти TLS-сертификаты не обнаружили потому, что не отслеживались сертификаты для IP-адресов, в мониторинг приходило слишком много сообщений из CT, а также и не для всех доменов/ресурсов настроили отслеживание сертификатов.

В общем – не следили за сертификатами в CT-логах, несмотря на наличие соответствующего собственного сервиса. Ситуация “сапожник без сапог” – не редка в корпорациях, и, к сожалению, настигла Cloudflare тоже. Но тут, как минимум, оперативно выпустили подробный разбор случившегося.

В свежей версии браузера Chrome (140) включен механизм сокрытия IP-адреса при помощи прокси-серверов. Пока что доступно только в режиме Incognito, и лишь для некоторых имён хостов (это важный аспект – см. ниже), которые, в контексте веб-страницы, являются “третьей стороной”: то есть с этих узлов загружаются какие-нибудь дополнительные ресурсы, а основной домен просматриваемого веб-узла при этом другой.

Проксирование предоставляет Google. Идея в том, чтобы помешать внешним веб-узлам отслеживать пользователей через подобные запросы (IP-адрес всё ещё остаётся важным источником меток для идентификации). Я писал об этой технологии Google пару лет назад – по сути, это наложенная сеть для доступа к вебу.

Интересно, что сейчас применение маскирования IP обещают по списку доменов, который доступен на Github; в этом списке, на момент написания записки, значится почти весь “официальный” веб от “Яндекса” (yandex.ru, mc.yandex.com, yandex.st и др.), а кроме того: vk.com, mail.ru и прочие, хорошо узнаваемые в Рунете, доменные имена.