The pressure
Daniel Stenberg, создатель curl, описывает беспрецедентное давление на проект из-за лавины правдоподобных отчётов об уязвимостях, сгенерированных с помощью ИИ. Частота поступления отчётов выросла в 4–5 раз по сравнению с 2024 годом — теперь команда получает более одного отчёта в день. Качество отчётов значительно выросло: они стали подробными и объёмными, что требует серьёзных усилий на обработку. Stenberg впервые столкнулся с тем, что жена высказала беспокойство из-за его рабочего графика и нарушенного баланса между работой и жизнью. Положительный момент — почти все обнаруженные за последние годы уязвимости в curl имеют низкий или средний уровень серьёзности, а последняя CVE с высоким уровнем была опубликована в октябре 2023 года.
26 мая 2026 — Линкблог
Давление (via) Daniel Stenberg — о беспрецедентном уровне давления, с которым команда curl сталкивается прямо сейчас из-за потока (правдоподобных) отчётов об уязвимостях, составленных с помощью ИИ.
Частота поступления отчётов о безопасности в 4–5 раз выше, чем в 2024 году, и вдвое выше, чем в 2025 — а это значит, что в среднем мы теперь получаем более одного отчёта в день. Качество намного выше, чем когда-либо. Отчёты, как правило, очень подробные и длинные. [...] Впервые в жизни моя жена высказала беспокойство по поводу моего рабочего графика и нарушенного баланса между работой и жизнью. Я работаю больше, чем когда-либо, но поток не прекращается. [...] Это давление на проект curl и его команду безопасности, которого мы никогда прежде не видели и не испытывали. Лавина высокоприоритетной работы, которая вытесняет всё остальное в проекте и которая носит преимущественно психологический характер — потому что мы, конечно, могли бы игнорировать всё это, но мы чувствуем ответственность, у нас есть совесть и мы гордимся своей работой.
Хорошая новость в том, что curl — очень надёжная программа, поэтому обнаруживаемые уязвимости, как правило, не являются критическими:
Ещё одна положительная тенденция: почти никто не находит ужасных уязвимостей. Все уязвимости, обнаруженные в curl за последние несколько лет, без исключения были оценены как LOW или MEDIUM по степени серьёзности. Я не утверждаю, что уровня HIGH больше никогда не будет, но по крайней мере они редки. Последняя CVE с высоким уровнем серьёзности в curl была опубликована в октябре 2023 года.
Недавние статьи
Заметки об энциклике Папы Льва XIV об ИИ — 25 мая 2026 Datasette Agent — 21 мая 2026 Gemini 3.5 Flash: дороже, но Google планирует использовать его для всего — 19 мая 2026
Это линк-пост Simon Willison, опубликованный 26 мая 2026.
Ежемесячный дайджест
Поддержите меня за $10/месяц и получайте кураторскую email-подборку самых важных событий в мире LLM за месяц.
Заплатите мне, чтобы получать меньше писем!