vibe security
Помните, до ai-assisted кода был 'vibe coding'? Ты говорил (тогдашней не очень способной ai-ке) поди и сделай мне убийцу фейсбука и оно что-то там делало и иногда у него получалось сделать рабочую копию pacman'а и все думали, что это будет убийца всего? Потом, оказалось, что чем сложнее задача, тем фиговнее выходит и vibe coding умер (или подзатих).
А теперь vibe security. Ты говоришь (сегодняшней, не очень способной ai-ке) "в этой кодовой базе есть RCE + privilege escalation, найди её и напиши мне эксплоит" и оно что-то там делает и ты видишь лишний процесс на хосте.
Это vibe security.
разница с vibe coding в том, что когда нам надо в vibe coding добавить "ещё чуть-чуть" оно всё ломается и не работает. А в vibe security это уже не нужно - эксплоит-то есть.
И это такая волна, которую невозможно себе представить. Цунами на 30 этажей.
Почему я так уверен? Потому что я вчера именно так и сделал. 25% от 5-часового лимита gpt 5.5 за €23 нашёл цепочку ошибок и написал эксплоит. Почти рабочий. После копирования ошибки в консоль и минимального исправления (да-да, bitnami/kubectl в 2026 - не лучший base image), рабочий.
Теперь целый отдел бегает и фиксит список уязвимостей и ошибок, использованных для этого.
Можно обещать кары небесные для тех, кто в brownfield продакшен несёт ai-кодированную чушь, развал проекта, отложенная катастрофа технического долга, потеря комптенции, whatever.
Рабочий эксплоит - это рабочий эксплоит. За пояс не заткнёшь, на роток не накинешь платок. Это объективная реальность данная нам в появлении постороннего процесса от root'а, запущенного из того места, откуда нельзя было такое запустить. Точнее, считалось, что нельзя.
И это только начало - так же как было в vibe coding. Инструментов никаких, практик никаких, но уже "что-то". Разница с vibe-coding в том, что ценность vibe-coded приложения низкая. А эксплоита - высокая. Очень высокая.
Future was yesterday.
https://www.dreamwidth.org/tools/commentcount?user=amarao&ditemid=123488
comments
https://amarao.dreamwidth.org/123488.html
amarao (RSS Feed)
npub1cs…mdp3u
2026-05-13 11:43:35 UTC
Author Public Key
npub1cstcjahwxww9zrqkqgx4pvznhjacujhjj8hx6nutwuwfkcvksf3qtmdp3uSeen on
wss://nos.lolPublished at
2026-05-13 11:43:35 UTCEvent JSON
{
"id": "c5658708c67fb543e61e96b2b113d90f20c83ac1f07985572cac85517283da61",
"pubkey": "c4178976ee339c510c16020d50b053bcbb8e4af291ee6d4f8b771c9b61968262",
"created_at": 1778672615,
"kind": 1,
"tags": [
[
"t",
"ai"
],
[
"d",
"atomstr:https://amarao.dreamwidth.org/123488.html"
],
[
"proxy",
"https://amarao.dreamwidth.org/data/rss#https%3A%2F%2Famarao.dreamwidth.org%2F123488.html",
"rss"
]
],
"content": "vibe security\n\nПомните, до ai-assisted кода был 'vibe coding'? Ты говорил (тогдашней не очень способной ai-ке) поди и сделай мне убийцу фейсбука и оно что-то там делало и иногда у него получалось сделать рабочую копию pacman'а и все думали, что это будет убийца всего? Потом, оказалось, что чем сложнее задача, тем фиговнее выходит и vibe coding умер (или подзатих).\n\nА теперь vibe security. Ты говоришь (сегодняшней, не очень способной ai-ке) \"в этой кодовой базе есть RCE + privilege escalation, найди её и напиши мне эксплоит\" и оно что-то там делает и ты видишь лишний процесс на хосте.\n\nЭто vibe security.\n\nразница с vibe coding в том, что когда нам надо в vibe coding добавить \"ещё чуть-чуть\" оно всё ломается и не работает. А в vibe security это уже не нужно - эксплоит-то есть.\n\nИ это такая волна, которую невозможно себе представить. Цунами на 30 этажей.\n\nПочему я так уверен? Потому что я вчера именно так и сделал. 25% от 5-часового лимита gpt 5.5 за €23 нашёл цепочку ошибок и написал эксплоит. Почти рабочий. После копирования ошибки в консоль и минимального исправления (да-да, bitnami/kubectl в 2026 - не лучший base image), рабочий.\n\nТеперь целый отдел бегает и фиксит список уязвимостей и ошибок, использованных для этого.\n\nМожно обещать кары небесные для тех, кто в brownfield продакшен несёт ai-кодированную чушь, развал проекта, отложенная катастрофа технического долга, потеря комптенции, whatever.\n\nРабочий эксплоит - это рабочий эксплоит. За пояс не заткнёшь, на роток не накинешь платок. Это объективная реальность данная нам в появлении постороннего процесса от root'а, запущенного из того места, откуда нельзя было такое запустить. Точнее, считалось, что нельзя.\n\nИ это только начало - так же как было в vibe coding. Инструментов никаких, практик никаких, но уже \"что-то\". Разница с vibe-coding в том, что ценность vibe-coded приложения низкая. А эксплоита - высокая. Очень высокая.\n\nFuture was yesterday.\n\nhttps://www.dreamwidth.org/tools/commentcount?user=amarao\u0026ditemid=123488\n comments\n\nhttps://amarao.dreamwidth.org/123488.html",
"sig": "060c99bff4b8aa6dfeca1ee42033353a5f0cf6db5f9fca5823ad8f5ff7cb59cae5a1925762ad857d3f210159609e682fec1446cf5026fc86d04bc417c855d50d"
}