Názory k článku
Yandex vydal open source nástroj Perforator pro zlepšení výkonu serverů

Instalovat na servery výtvory sovětských soudruhů? Děkuji, raději ne.

Píšou, že je to open source. Takže otevřený soft z východní země vam nevoní, ale uzavřený ze západu ano? To samé AI z Číny.. A co jako ze má pár informací zcenzurovaných? Taky jde o open source. Čili prospěšnou věc.

Je trošku taká geopolitická situácia, ktorá dáva dôvod na paranoju.

Paranoia je vždycky nemoc. A pokud je někdo obezřetný jenom jedním směrem, je to krátkozraké.

Jojo, taky jsem dost koukal, když se pod příspěvkem o úniku citlivých dat z DeepSeeku (AFAIK komplet konverzace) objevily pouze tři komentáře, které to navíc všechny banalizovaly. Přitom pod články o únicicích ze "západních" služeb je vždycky spousta rozzlobených příspěvků, nehledě na to, jak často různí diskutující vnáší i do nepříliš souvisejích témat jak Google, Facebook atp. šmírují. Ta jednostrannost je fakt děsivá.

Je paranoia a paranoia. Jedno je jev, druhé diagnóza. Ne, nemoc to vždycky opravdu není.

A budeš to kontrolovat, jestli to je fakt OK a následně každou další verzi? Máš na to schopnosti a čas? Pokud to časem skončí v repozitářích Debianu, RH a podobně, kteří se pod to podepíšou, že ten kód je nezávadný, tak asi proč ne, ale určitě to není něco, co bych chtěl teď někam nasazovat a slepě věřil tomu, že kdyby tam byl problém tak už to přece komunita našla, když je to open source.

Nepředpokládám, že by ze strany Yandexu tam byla nějaká prasárna, už jen proto, že v podstatě všechno ruské je teď pod takovým drobnohledem, že se pravděpodobně opravdu hodně lidí vrhlo na analýzu toho kódu, aby mohli hrdě ukázat, jací to jsou šmejdi, ale riskovat to nehodlám.

Ano, přesně tak. A je to tak naprosto v pořádku.

Mě software z východu nevadí. Ale rozhodně bych si netroufnul nainstalovat na server software od firmy, která je částečně ovládána Ruským státem. I když je to open source, tak by kód musel projít nějakým nezávislým auditem a musel by se někdo zavázat, že bude kód průběžně kontrolovat, aby se nestalo např. to co s XZ.

1. 2. 2025, 09:17 editováno autorem komentáře

Klasik by řekl, že jde i o vyšší princip mravní. Navíc je SW z RU už nějaký ten pátek považován na potenciálně nebezpečný i jinými, než amatérskými správci.
Scénář: vybudování důvěry a pak útok. Nerozumíte? Tak jinak: Věnujete spoustu času analýze otevřeného kódu, vyhodnotite, že je OK. Nainstalujete a co uděláte, až přijde update? Opravdu věnujete zase spoustu času analýze? A víte určitě, že dokážete vyhodnotit všechny možné vektory útoku a xhování SW? A nebyla tady náhodou před nedávnem pořádná aféra podobného typu? Takže klidně instalujte. Hlavně nemyslet.

1. 2. 2025, 09:37 editováno autorem komentáře

Security by obscurity. Tohle by fungovalo jen ve svete, kde by kazdy ne-rusky vyvojar mel silne overenou identitu, ze neni rusak, prosel testovani na polygrafu, ze nepracuje pro rusaka, a navic hlavne nikdo jiny nez rusak nemel spatne umysly.

Hlavne nemyslet.

Ne, to neni security by (through) obscurity - tedy cesky o bezpecnosti skrze neznalost, pouzivate termin, kteremu viditelne moc nerozumite :-) A neni to o identite (jednoho) vyvojare - ale o tom, kdo projekt zastresuje. Naopak, pokud mate znalost o tom, ze zastresujici subjekt prichazi z koncin, odkud nic dobreho neprislo, je dobre s tou informaci odpovidajicim zpusobem pracovat. Riziko rozhodne snizim, pokud se takovemu software vyhnu - zvlast pokud nejsou kapacity na to, aby se dany kod proveril.

Nebo vy uz jste stacil ten kod proverit a date hlavu na spalek s tvrzenim, ze ten kod je bezpecny? :-) A budete poctive kontrolovat kazdy commit, jestli se tam nahodou nepropasovaly nejaka zadni vratka, s tim ze komunitu samozrejme upozornite na prusvih...? U firmy ze zeme, ktera nas ma oficialne na svem seznamu nepratel... fakt verite, ze firma ze zeme tam usazene se o to nepokusi? Treba i na neci pokyn? Ne ted hned, treba za par mesicu... az ta faze "lovu" skonci. Takze... nechcete sve tvrzeni o security by obscurity malinko korigovat? :-) Kde v tom mate ten prvek neznalosti ci nejasnosti? Ano, mate ho tam... ale na strane autora software. Mozna uz zacnete myslet :-)

Jde o potenciální rizika. Ale nemusíte se vztekat. Klidně si na servery, za které jste zodpovědný, nainstalujte, co chcete. At už z Číny, nebo RU. A hlavně tam flákněte každou neprověrenou novinku, když vám prevence a management rizik nic neříká.

Inertní AI blob kterej si dám do svýho klidně plně auditovanýho "přehrávače" a kterej se nechce bavit o některých tématech je o dost jinej level než "tady máš 9800 C++ souborů, pusť to pod rootem a nech to sahat na eBPF".

Ten penetrátor má 4x víc souborů než kolik mají funkční minimální LLM inference enginy řádků :-D

1. kolik lidí, co tomu rozumí potvrdilo, že ten kód je bezpečný? To že je OSS neznamená, že je automaticky bezpečný, pokud je z takového nebepečného zdroje.
2. To že mu voní uzavřený software vidíte v původním příspěvku kde přesně? Nebo jen faulujete slaměným panákem?
3. Open source != automaticky prospěšná věc, pletete si pojmy

Termínu open source bych se v tomto případě opravdu vyhýbal. Že je něco k dispozici k volnému použití, ještě neznamená, že je to open source. Až otevřou techniky, jak se ten model učil, a až si člověk bude moct na základě toho dělat vlastní varianty, budu to považovat za open source AI.

Jinak samotný model může být neškodný, ale ta aplikace, kterou si lidi instalují do mobilu, aby s ním mohli pracovat, už zdaleka neškodná být nemusí. Nikdo ani pořádně neví, jaká data sbírá a kam je posílá.

Ja to mam presne naopak, neverim nikomu, pod heslem duveruj, ale proveruj ;-) nadto Rusky SW je vetsinove genialni, zacalo to Tetrisem, RAR, VolcovCommander (UA - tam tez ziji geneticky Rusove), Veeam a kupa jinych SW.

Obecne jsou rusti programatori velice dobri, poradili si napr. ve vesmirnem programu, kde napsali genilne modularni OS s minimalnimi HW naroky.

Jako 1. zvladli s Holandanama vyrobu CPU z NitriduBaria - nedokazali to ani v USA !! - radary s frekvnecemi 250 a 350GHz maji nenseno nitrid-barium na antene + je treba mit ultra rychly CPU - bohuzel se to prozatim dosatalo spise do spotrebni el. a silove polovodicove prvky - kazdopadne Rusko ma svuj very long instruction CPU co je zameren na super security a pak nejaky jednoddusi o vysoke frekvneci - nad 350GHz pro analyzu dat z vojenskych radaru - jednou tyhle CPU dostaneme i mi uzivatele.

Cili me zajima jedine, zda ten SW funguje dobre ;-)

Nj vymenované retro aplikácie, bariový procesor, nejake kozmické asseblerové bastle v sojuze, to sú skvelé dôvody, aby som zbúral hradby a dotiahol si dnu skvelého dreveného koníka plného ploštíc. Prosím pekne, v tom sojuze používali klon dosu.

Pred rokem jsem v praci udelal osobni audit co pouzivame s koreny v rusky. Moc toho nebylo a vsechno to letelo pryc. Neco jsme nahradili.
To neni o politice nebo nejakem anti... jenom preventivni opatrnost.

PS: Jo Kaspersky letel prvni.

Perforator? Nebo spíš Penetrator?

Však to je Perforator, a ne Performator.

Yandex?
Proc?

Ja by som povedal, že z rovnakého dôvodu, ako rôzne technológie vznikali kedysi v Československu. Majú tam rôzne embargá a šetriť procesorovým časom potrebujú. Toto je od Rusov pre Rusov. A kľudne to mohla platiť ruská vláda aby mohla efektivnejšie čokoľvek [doplň niečo evil].

Naprosto souhlasím. Včetně důležitého bodu "od Rusů pro Rusy".
Rusáci jsou pověstní víceúčelovými akcemi, kde od jedné akce může být více "užitku". Takže v tomto kontextu vidím jako možné, že je to zároveň honeypot na nepozorné správce ze Západu. Je to pouze hypotéza, ale opatrnosti na serveru, zvlášť u utility s přístupem ke "všemu" nikdy není dost.

Arkady Volozh z Yandexu přepad Ukrajiny kritizoval.
Nicméně, dobře promyšlená zadní vrátka byť v OSS se špatně hledají ať je tam udělá někdo z ru, il nebo jiné oblasti. To je spíš falešný pocit bezpečí, že jinde je to OK. Je pravda že kód z některých oblastí/firem konstatně vykazuje větší míru "bordýlku" a tedy i potenciálních problémů.

Ale když už tady máme GenAI, můžete ty zdrojáky předhodit třeba, aktuálně slavné, Čínské DeepSeek, ať to zkontroluje. Když z toho vypadne něco ve stylu:

„Pardon, nejsem si jistý, jak teď přistoupit k tomuto úkolu. Pojďme si místo toho popovídat o matematice, kódování nebo logických otázkách.“

tak ty zdrojáky nebrat.

Yandex teraz a Yandex kedysi, to nie je tá istá spoločnosť. Zo strategických spoločností boli ľudia dobrovolne odídení, ak neboli dostatočne konformní.