La verdad es que hay tantas formas de eliminar vulnerabilidades que no existe una respuesta correcta.
En mi caso, uso la versión más reciente que sea lo más estable posible y, cuando uso GitHub Actions, activo al máximo los bots de seguridad. De hecho, como podrán ver, esta imagen de XWindow no tiene ninguna parte programada, así que probablemente solo tenga las vulnerabilidades básicas propias de los programas instalados.
Últimamente he estado estudiando Docker. Probé escanear las vulnerabilidades de esta imagen con trivy y salieron 1053 vulnerabilidades. No parece que todas sean importantes, más bien da la impresión de que detecta de todo un poco, pero ¿podrían darme algún consejo sobre cómo se verifica y se logra en la práctica la seguridad de una imagen?
Se siente como cuando en Windows aparecen notificaciones publicitarias que no se pueden desactivar, o como cuando Samsung metió anuncios en las apps predeterminadas de los teléfonos Galaxy.
Para operar una empresa se necesitan desarrolladores, y me parece que ahora mismo es una época difícil para que los desarrolladores junior consigan empleo.
En público se le echa la culpa a la IA, pero también influye que durante la pandemia se contrató masivamente y, en comparación con el éxito obtenido, en muchas empresas aumentó el costo total de personal; por esa carga han reducido las contrataciones. En ese contexto, como usar LLM está mostrando una eficiencia igual o incluso superior a la de asignar ciertas tareas a desarrolladores junior, creo que el mercado laboral en sí se ha achicado aún más.
Sin embargo, como también se menciona en el artículo, tiene que haber desarrolladores junior para que eventualmente puedan crecer y convertirse en desarrolladores senior.
Si no se contrata en la etapa junior, es una estructura en la que no pueden surgir desarrolladores senior.
Aun así, creo que en todo este proceso hace falta una coordinación considerable.
En el caso de las grandes empresas, quizá sea menos problemático porque ya tienen procesos establecidos, pero cuando llega un desarrollador junior, normalmente se le forma asignándole tareas secundarias o trabajo menor (tareas de la empresa en las que no pasa nada si falla) en lugar de ponerlo directamente en el núcleo del trabajo.
Pero desde la perspectiva de un desarrollador senior, cuanto menos estructurado esté todo, más difícil es orientar a un desarrollador junior.
Y, de forma irónica, para aprovechar un LLM conviene tener más conocimiento relacionado; no es que un desarrollador principiante vaya a obtener la misma eficiencia.
De hecho, no es posible reemplazar todo el trabajo de desarrollo con personal junior. Personas muy brillantes y geniales quizá podrían arreglárselas de alguna manera incluso sin desarrolladores senior. Pero si el trabajo empieza a concentrarse en esa persona, ¿podrá sostenerlo?
En otras palabras, creo que deben contratarse tanto desarrolladores senior como junior, y que en ese proceso debe haber una contratación flexible que considere la productividad y los costos laborales de la empresa, entre otras cosas.
Entiendo el argumento de que el boom de los LLM es excesivo, y también coincido en que su funcionamiento no es un razonamiento como la deducción o la inducción. Además, inteligencia artificial e inteligencia no son sinónimos; ¿el problema no serían más bien quienes las equiparan o las antropomorfizan?
Hasta donde yo sé, tanto en Windows como en Linux, Chrome funciona en modo sandbox. O sea... incluso si alguien crea un exploit con JavaScript o algo así para atacar una vulnerabilidad, no afectaría al sistema operativo real.
Pero en modo contenedor, probablemente solo se puede activar esa función si se habilita el modo privileged.
Claro, también se podría indicar que activen ese modo, pero yo pensaba que el contenedor en sí ya era un sandbox. Algo así como una ventana que puedes abrir y cerrar fácilmente, por decirlo de alguna manera...
Por eso Chromium y VS Code basado en Electron están configurados para ejecutarse en un modo sin sandbox.
Lo que quiero decir es que, asumiendo que existan vulnerabilidades en Chromium y VS Code, y que un atacante pueda aprovecharlas para crear un exploit, sí podría ser riesgoso.
Me preguntaba por qué el hecho de que no se haya aplicado el modo sandbox es una consideración de seguridad.
¿Eso significa que Docker no proporciona una función de sandbox para los procesos internos? ¿Por eso inevitablemente tiene que ejecutarse como root y, aunque sea un entorno aislado con Docker, existe el riesgo de que malware comprometa los volúmenes mapeados con el host? ¿O significa que los archivos creados por el usuario dentro del sistema de archivos interno de Docker podrían no ser seguros?
Parece que estás bastante equivocado desde el momento en que dices que los LLM no son inteligencia artificial.
Siento que estás metido en tu propio mundo.
Entonces, ¿crees que esas empresas, por falta de experiencia, van a gastar decenas de miles de millones en reclutar talento? El mejor conocimiento que tú conoces probablemente sea inútil para ellos.
Si la meta de una organización es elevar el piso, reconozco que una organización por roles, como un equipo compuesto solo por desarrolladores web frontend o un equipo de desarrolladores de apps, tiene sentido.
Sin embargo, en equipos u organizaciones que apuntan al techo más alto, estructurarse por roles inevitablemente tiene límites.
Tal como dice el texto, surge la duda de si realmente es necesario que planificadores, diseñadores, PM e ingenieros se repartan cada uno su trabajo y operen como la cinta transportadora de una fábrica. En lugar del típico trabajo de "encargado", donde cada quien se ocupa solo de unas pocas tareas asignadas, lo ideal es que personas con especialidades en cada área se reúnan, definan juntas un objetivo común y que todos los integrantes se apoyen mutuamente.
En muchas empresas se organizan estructuras tipo task force, como escisiones o formación de equipos, pero como también agrupan solo a las personas (roles), se produce un refuerzo negativo de tipo "estoy tratando de hacer algo, pero la empresa no me ayuda, mejor me rindo", y al final se corre el riesgo de perder solo a talentos clave, como los miembros más importantes. Por eso, incluso una organización orientada por objetivos necesita necesariamente el apoyo activo de una organización por roles.
Los LLM no son inteligencia artificial
Que los LLM no son inteligencia ya es algo que cualquiera sabe con solo haber estudiado inteligencia artificial a nivel de licenciatura, y el problema es que cayeron en un truco de marketing de un judío sin título de secundaria.
Lo absurdo que ocurre hoy en la industria de los LLM recuerda a Nikola, que estafó con camiones de hidrógeno.
Así como una empresa que no pudo fabricar celdas de combustible de hidrógeno hizo solo la carcasa de un camión eléctrico de hidrógeno y terminó quebrando por estafar, están al mismo nivel que un judío sin título de secundaria que no pudo crear inteligencia, hizo un chatbot LLM y anda montando un show diciendo que eso es inteligencia.
Estados Unidos ya no tiene capacidad para asegurar tecnologías clave en ningún campo y ha caído al nivel de un país cuya única razón de existir es una estafa Ponzi al estilo Madoff, atrayendo dinero solo con marketing a través de SBS.
El campo de la IA que dará dinero en el futuro será, sin ninguna duda, la Computer Vision AI, y eso determinará las guerras futuras y el poder militar.
Pero en el campo de la Computer Vision AI, la China comunista está emergiendo rápidamente como número uno del mundo y creciendo como potencia hegemónica.
Si en Estados Unidos estalla como burbuja la inversión masiva centrada en los LLM, existe una posibilidad muy alta de que ese país pierda el liderazgo en IA frente a la China comunista.
La actual inversión en LLM impulsada por los wordcel, que constituyen la mayoría en las sociedades occidentales, está chocando contra un muro, y sus méritos y fallas serán despedazados minuciosamente por capitalistas que lo evalúan todo con rigor; esto podría extenderse a campos relacionados como la Computer Vision AI y provocar una contracción considerable de la industria de la IA durante bastante tiempo.
En cambio, es probable que la China comunista, donde el Estado impulsa la investigación y el desarrollo, esté relativamente a salvo de esta burbuja de IA originada en Estados Unidos.
Por lo tanto, es muy probable que esta sobreinversión en LLM se convierta en un punto de inflexión que fije a Estados Unidos como una potencia de segundo nivel.
Traducción
https://rosettalens.com/s/ko/python-performance-myths-and-fairy-tales
La verdad es que hay tantas formas de eliminar vulnerabilidades que no existe una respuesta correcta.
En mi caso, uso la versión más reciente que sea lo más estable posible y, cuando uso GitHub Actions, activo al máximo los bots de seguridad. De hecho, como podrán ver, esta imagen de XWindow no tiene ninguna parte programada, así que probablemente solo tenga las vulnerabilidades básicas propias de los programas instalados.
No estoy seguro de por qué en Hacker News lo dejaron con un enlace a old reddit, pero la ruta de la interfaz actual de Reddit está aquí.
Últimamente he estado estudiando Docker. Probé escanear las vulnerabilidades de esta imagen con trivy y salieron 1053 vulnerabilidades. No parece que todas sean importantes, más bien da la impresión de que detecta de todo un poco, pero ¿podrían darme algún consejo sobre cómo se verifica y se logra en la práctica la seguridad de una imagen?
Ah. Eso suena más plausible.
Se siente como cuando en Windows aparecen notificaciones publicitarias que no se pueden desactivar, o como cuando Samsung metió anuncios en las apps predeterminadas de los teléfonos Galaxy.
No, para nada tiene que disculparse... jaja. Muchas gracias por sus palabras, son demasiado amables.
Creo que ambas cosas deben analizarse bien.
Para operar una empresa se necesitan desarrolladores, y me parece que ahora mismo es una época difícil para que los desarrolladores junior consigan empleo.
En público se le echa la culpa a la IA, pero también influye que durante la pandemia se contrató masivamente y, en comparación con el éxito obtenido, en muchas empresas aumentó el costo total de personal; por esa carga han reducido las contrataciones. En ese contexto, como usar LLM está mostrando una eficiencia igual o incluso superior a la de asignar ciertas tareas a desarrolladores junior, creo que el mercado laboral en sí se ha achicado aún más.
Sin embargo, como también se menciona en el artículo, tiene que haber desarrolladores junior para que eventualmente puedan crecer y convertirse en desarrolladores senior.
Si no se contrata en la etapa junior, es una estructura en la que no pueden surgir desarrolladores senior.
Aun así, creo que en todo este proceso hace falta una coordinación considerable.
En el caso de las grandes empresas, quizá sea menos problemático porque ya tienen procesos establecidos, pero cuando llega un desarrollador junior, normalmente se le forma asignándole tareas secundarias o trabajo menor (tareas de la empresa en las que no pasa nada si falla) en lugar de ponerlo directamente en el núcleo del trabajo.
Pero desde la perspectiva de un desarrollador senior, cuanto menos estructurado esté todo, más difícil es orientar a un desarrollador junior.
Y, de forma irónica, para aprovechar un LLM conviene tener más conocimiento relacionado; no es que un desarrollador principiante vaya a obtener la misma eficiencia.
De hecho, no es posible reemplazar todo el trabajo de desarrollo con personal junior. Personas muy brillantes y geniales quizá podrían arreglárselas de alguna manera incluso sin desarrolladores senior. Pero si el trabajo empieza a concentrarse en esa persona, ¿podrá sostenerlo?
En otras palabras, creo que deben contratarse tanto desarrolladores senior como junior, y que en ese proceso debe haber una contratación flexible que considere la productividad y los costos laborales de la empresa, entre otras cosas.
Entiendo el argumento de que el boom de los LLM es excesivo, y también coincido en que su funcionamiento no es un razonamiento como la deducción o la inducción. Además, inteligencia artificial e inteligencia no son sinónimos; ¿el problema no serían más bien quienes las equiparan o las antropomorfizan?
Eliza con un dataset más grande
Hasta donde yo sé, tanto en Windows como en Linux, Chrome funciona en modo sandbox. O sea... incluso si alguien crea un exploit con JavaScript o algo así para atacar una vulnerabilidad, no afectaría al sistema operativo real.
Pero en modo contenedor, probablemente solo se puede activar esa función si se habilita el modo
privileged.Claro, también se podría indicar que activen ese modo, pero yo pensaba que el contenedor en sí ya era un sandbox. Algo así como una ventana que puedes abrir y cerrar fácilmente, por decirlo de alguna manera...
Por eso Chromium y VS Code basado en Electron están configurados para ejecutarse en un modo sin sandbox.
Lo que quiero decir es que, asumiendo que existan vulnerabilidades en Chromium y VS Code, y que un atacante pueda aprovecharlas para crear un exploit, sí podría ser riesgoso.
Me preguntaba por qué el hecho de que no se haya aplicado el modo sandbox es una consideración de seguridad.
¿Eso significa que Docker no proporciona una función de sandbox para los procesos internos? ¿Por eso inevitablemente tiene que ejecutarse como root y, aunque sea un entorno aislado con Docker, existe el riesgo de que malware comprometa los volúmenes mapeados con el host? ¿O significa que los archivos creados por el usuario dentro del sistema de archivos interno de Docker podrían no ser seguros?
Parece que estás bastante equivocado desde el momento en que dices que los LLM no son inteligencia artificial.
Siento que estás metido en tu propio mundo.
Y, si los LLM no son inteligencia artificial, entonces tienen que decir qué son. Se supone que con solo estudiar la carrera ya lo sabes, ¿no?
Entonces, ¿crees que esas empresas, por falta de experiencia, van a gastar decenas de miles de millones en reclutar talento? El mejor conocimiento que tú conoces probablemente sea inútil para ellos.
Vaya, realmente ha cambiado muchísimo.
No sé si el enfoque de git-review sea bueno, pero sí coincido en que las revisiones de PR basadas en GitHub son terribles..
¿Por qué siempre este tipo de comentarios los escribe una cuenta desechable?
Si la meta de una organización es elevar el piso, reconozco que una organización por roles, como un equipo compuesto solo por desarrolladores web frontend o un equipo de desarrolladores de apps, tiene sentido.
Sin embargo, en equipos u organizaciones que apuntan al techo más alto, estructurarse por roles inevitablemente tiene límites.
Tal como dice el texto, surge la duda de si realmente es necesario que planificadores, diseñadores, PM e ingenieros se repartan cada uno su trabajo y operen como la cinta transportadora de una fábrica. En lugar del típico trabajo de "encargado", donde cada quien se ocupa solo de unas pocas tareas asignadas, lo ideal es que personas con especialidades en cada área se reúnan, definan juntas un objetivo común y que todos los integrantes se apoyen mutuamente.
En muchas empresas se organizan estructuras tipo task force, como escisiones o formación de equipos, pero como también agrupan solo a las personas (roles), se produce un refuerzo negativo de tipo "estoy tratando de hacer algo, pero la empresa no me ayuda, mejor me rindo", y al final se corre el riesgo de perder solo a talentos clave, como los miembros más importantes. Por eso, incluso una organización orientada por objetivos necesita necesariamente el apoyo activo de una organización por roles.
Los LLM no son inteligencia artificial
Que los LLM no son inteligencia ya es algo que cualquiera sabe con solo haber estudiado inteligencia artificial a nivel de licenciatura, y el problema es que cayeron en un truco de marketing de un judío sin título de secundaria.
Lo absurdo que ocurre hoy en la industria de los LLM recuerda a Nikola, que estafó con camiones de hidrógeno.
Así como una empresa que no pudo fabricar celdas de combustible de hidrógeno hizo solo la carcasa de un camión eléctrico de hidrógeno y terminó quebrando por estafar, están al mismo nivel que un judío sin título de secundaria que no pudo crear inteligencia, hizo un chatbot LLM y anda montando un show diciendo que eso es inteligencia.
Estados Unidos ya no tiene capacidad para asegurar tecnologías clave en ningún campo y ha caído al nivel de un país cuya única razón de existir es una estafa Ponzi al estilo Madoff, atrayendo dinero solo con marketing a través de SBS.
El campo de la IA que dará dinero en el futuro será, sin ninguna duda, la Computer Vision AI, y eso determinará las guerras futuras y el poder militar.
Pero en el campo de la Computer Vision AI, la China comunista está emergiendo rápidamente como número uno del mundo y creciendo como potencia hegemónica.
Si en Estados Unidos estalla como burbuja la inversión masiva centrada en los LLM, existe una posibilidad muy alta de que ese país pierda el liderazgo en IA frente a la China comunista.
La actual inversión en LLM impulsada por los wordcel, que constituyen la mayoría en las sociedades occidentales, está chocando contra un muro, y sus méritos y fallas serán despedazados minuciosamente por capitalistas que lo evalúan todo con rigor; esto podría extenderse a campos relacionados como la Computer Vision AI y provocar una contracción considerable de la industria de la IA durante bastante tiempo.
En cambio, es probable que la China comunista, donde el Estado impulsa la investigación y el desarrollo, esté relativamente a salvo de esta burbuja de IA originada en Estados Unidos.
Por lo tanto, es muy probable que esta sobreinversión en LLM se convierta en un punto de inflexión que fije a Estados Unidos como una potencia de segundo nivel.