Je ne vois rien à reprocher:
- extrapoler à partir d'un échantillon de 200 bugs où 90% sont avérés est un procédé valide. À supposer qu'il n'y a pas eu de cherry picking ou de biais de sélection évidemment
- bugs non exploités/exploitables: la publication d'un exploit est évidemment un signal fort de la criticité une faille, mais n'a jamais été un pré requis nécessaire pour tout projet sérieux. Les méthodes mentionnées dans le journal (ASLR et cie) sont toujours des bâtons dans les roues pour créer un exploit, mais avoir une faille qui permet de faire le premier pas est toujours un risque à combler.
- pas une faille, un bug fonctionnel: quand in voit les récentes CVE sur la version Rust de sudo, on se dit la même chose. Pourtant elles ont bien été considérées comme des failles de sécurité. Parce que rapportées par des humains?
Avant de chercher à tout prix à minimiser l'exploit, il faut se poser la question "que dirais-je si ça venait d'un humain ?". À noter qu'il y'a un an ou deux, si une IA n'avait trouvé ne serait-ce qu'une seule faille ça aurait été considéré un résultat sensationnel. Rien que ça montre à quel point nos attentes vis à vis de ces systèmes évoluent vite.
# Je ne vois rien à reprocher
Posté par Colin Pitrat (site web personnel) . En réponse au journal Modèle Mythos : Anthropic bluffe, en partie. Évalué à 9.
Je ne vois rien à reprocher:
- extrapoler à partir d'un échantillon de 200 bugs où 90% sont avérés est un procédé valide. À supposer qu'il n'y a pas eu de cherry picking ou de biais de sélection évidemment
- bugs non exploités/exploitables: la publication d'un exploit est évidemment un signal fort de la criticité une faille, mais n'a jamais été un pré requis nécessaire pour tout projet sérieux. Les méthodes mentionnées dans le journal (ASLR et cie) sont toujours des bâtons dans les roues pour créer un exploit, mais avoir une faille qui permet de faire le premier pas est toujours un risque à combler.
- pas une faille, un bug fonctionnel: quand in voit les récentes CVE sur la version Rust de sudo, on se dit la même chose. Pourtant elles ont bien été considérées comme des failles de sécurité. Parce que rapportées par des humains?
Avant de chercher à tout prix à minimiser l'exploit, il faut se poser la question "que dirais-je si ça venait d'un humain ?". À noter qu'il y'a un an ou deux, si une IA n'avait trouvé ne serait-ce qu'une seule faille ça aurait été considéré un résultat sensationnel. Rien que ça montre à quel point nos attentes vis à vis de ces systèmes évoluent vite.