Có vẻ đây không phải kiểu bản dịch sát nghĩa, không diễn giải, như thứ người ta thường mong đợi ở một công cụ dịch.
Tôi đã thử đưa phần giới thiệu Claude Cowork vào. Kết quả là như bên dưới, xuất hiện thêm emoji và các dấu đầu dòng list.
(Bản gốc)
How is using Cowork different from a regular conversation? In Cowork, you give Claude access to a folder of your choosing on your computer. Claude can then read, edit, or create files in that folder. It can, for example, re-organize your downloads by sorting and renaming each file, create a new spreadsheet with a list of expenses from a pile of screenshots, or produce a first draft of a report from your scattered notes.
(Dịch bằng ChatGPT)
🧠 Điểm khác biệt giữa Cowork và cuộc trò chuyện thông thường
Trong Cowork, bạn cấp cho Claude quyền truy cập vào một thư mục cụ thể trên máy tính do bạn chọn. Claude sau đó có thể đọc, chỉnh sửa hoặc tạo mới tệp trong thư mục đó.
Ví dụ, Claude có thể
sắp xếp lại các tệp trong thư mục tải xuống và đổi tên từng tệp,
tạo một bảng tính mới với danh sách các khoản chi từ một loạt ảnh chụp màn hình, hoặc
soạn bản nháp đầu tiên của một báo cáo dựa trên các ghi chú rời rạc của bạn.
Tôi vẫn đang tiếp tục dùng Gemini; ngay sau khi ra mắt thì thực sự rất tốt, nhưng càng về sau trí thông minh của nó lại càng giảm.
Một trong những nguyên nhân chính là "tham chiếu cuộc trò chuyện trước đó", nên nếu còn bổ sung cả tính năng trí thông minh cá nhân hóa thì có lẽ sẽ còn tệ hơn nữa.
Thực ra, ngay cả khi viết lại toàn bộ mã mà muốn cải thiện 2~3 lần cũng đã là việc khó rồi, nên việc chỉ đổi vài dòng mà tăng hiệu năng tối đa tới 400 lần thực sự quá ấn tượng.
Nếu nhanh hơn 2 lần thì có thể là đã làm điều gì đó thông minh, còn nếu nhanh hơn 100 lần thì chỉ là đã ngừng làm điều ngu ngốc.
Tôi nghĩ câu này không hẳn là sai hoàn toàn, nhưng trong trường hợp có liên quan đến kernel thì ngay cả việc nhận ra nguyên nhân chậm cũng hẳn đã là chuyện thực sự khó khăn.
Hay là tách riêng một thiết bị chỉ để chơi game thì sao? Tôi gần như không chơi game nên không làm vậy, nhưng những người có chơi thì hầu như đều làm thế.
Ôi, tôi học chuyên ngành liên quan đến máy tính, tốt nghiệp vào tháng 2 năm nay và hiện vẫn chưa có việc làm. Tôi đã dùng Linux từ năm 2015, trước cả khi bắt đầu học phát triển!
Ừ thì rốt cuộc, dù bài này không trực tiếp nhắc đến, nhưng cũng có thể xem như Apple đã tự thừa nhận rằng chiến lược xây dựng môi trường AI ở mức độ họ mong muốn theo kiểu in-house trong hệ sinh thái Apple đã thất bại rồi... (sau Apple Car nữa). Cứ nghĩ giá mà họ nhanh hơn khoảng 2 năm thì đã khác thế nào.
Cảm ơn bạn vì tài liệu chi tiết và phần tóm tắt. Ban đầu tôi cứ nghĩ nó giống với Capabilities của Linux, nhưng hóa ra đây là một phương pháp còn bao gồm cả phân tích động.
Tôi đã nhờ Gemini giải thích thử. Tôi cũng không phụ trách riêng về bảo mật nên cũng không rõ lắm.
[Báo cáo chuyên sâu: 'Capability Analysis' - công nghệ bảo mật thế hệ mới mà PyPI và OpenSSF đang chú ý]
Khi các cuộc tấn công chuỗi cung ứng đe dọa hệ sinh thái mã nguồn mở ngày càng tinh vi hơn, PyPI (Python Package Index) và OpenSSF (Open Source Security Foundation) đang tăng tốc áp dụng 'Capability Analysis (phân tích năng lực/chức năng)' vượt ra ngoài cách đối sánh mẫu truyền thống.
Cốt lõi của công nghệ này là nhìn thấu không phải gói phần mềm "giả vờ là gì", mà là "thực sự có thể làm gì".
Capability Analysis (phân tích chức năng) là gì?
Nếu cách quét virus truyền thống là đối chiếu với 'danh sách truy nã (chữ ký mã độc đã biết)', thì Capability Analysis là cách xác minh 'năng lực hành vi' của gói phần mềm.
Dù có ngụy trang thành một tiện ích bình thường đến đâu, để chiếm quyền hệ thống hoặc đánh cắp thông tin thì cuối cùng vẫn buộc phải sử dụng các tài nguyên cụ thể của hệ điều hành (mạng, tệp, tiến trình). Kỹ thuật phân tích này theo dõi xem khi gói phần mềm chạy mã, nó có thực thi các 'quyền năng nhạy cảm (Capabilities)' như sau hay không.
Mạng (Network): Script cài đặt có lén gửi dữ liệu ra IP bên ngoài (Exfiltration) hoặc cố gắng thiết lập liên lạc hay không?
Hệ thống tệp (FileSystem): Có cố truy cập hoặc chỉnh sửa các tệp nhạy cảm như SSH key, thông tin xác thực AWS, /etc/passwd hay không?
Thực thi tiến trình (Execution): Có chạy lệnh shell, hoặc tạo mã động (eval, exec) để sinh tiến trình con hay không?
Các công cụ bảo mật cốt lõi đang được dùng hoặc được suy đoán là đang dùng
Hiện tại, trong các dự án của OpenSSF và các nhóm nghiên cứu bảo mật, các công cụ sau đang được phát triển và đưa vào pipeline để thực hiện kiểu phân tích này.
A. OpenSSF Package Analysis (dự án chính thức)
- Tổng quan: Đây là dự án do OpenSSF dẫn dắt, thực sự cài đặt và chạy các gói được đăng lên PyPI hoặc NPM trong môi trường sandbox cô lập.
- Nguyên lý hoạt động: Ở cấp độ kernel, hệ thống chặn các system call phát sinh khi gói chạy để thu thập dữ liệu hành vi, ví dụ như "gói này đã cố kết nối tới 192.168.x.x trong lúc cài đặt".
- Stack công nghệ: Sử dụng gVisor (sandbox), Strace (theo dõi system call), v.v.
B. Packj
- Tổng quan: Đây là công cụ được phát triển dựa trên nghiên cứu học thuật (Georgia Tech, v.v.), chuyên gắn nhãn các 'khả năng rủi ro (Risky Capabilities)' của gói.
- Nguyên lý hoạt động: Kết hợp cả phân tích tĩnh và phân tích động. Công cụ tìm các lệnh gọi API nhạy cảm trong mã nguồn, đồng thời phân tích metadata của gói để xác định đó có phải là 'gói bị bỏ hoang' hay 'typosquatting (mạo danh tên gọi)' hay không.
- Đặc điểm: Có thể phát hiện các tổ hợp quyền bất thường như "gói này là thư viện audio nhưng lại có chức năng giao tiếp mạng và truy cập danh bạ".
C. GuardDog
- Tổng quan: Đây là công cụ CLI do Datadog công bố, sử dụng Semgrep (engine phân tích tĩnh) để tìm các mẫu độc hại.
- Nguyên lý hoạt động: Xác định các mẫu mã (heuristics) triển khai 'chức năng độc hại' như mã bị làm rối ẩn trong gói, script đào coin, trình tải tệp thực thi, v.v.
D. Falco & Sysdig
- Tổng quan: Đây là các công cụ bảo mật runtime cho môi trường cloud-native.
- Vai trò: Được dùng như engine phát hiện theo thời gian thực các hành vi bất thường xảy ra khi gói chạy trong container (ví dụ: truy cập shell ngoài dự kiến, đọc tệp nhạy cảm).
Tài liệu tham khảo và liên kết liên quan
Để hiểu sâu hơn về công nghệ này, bạn có thể tham khảo dự án gốc và các bài blog sau.
Mình nghĩ là họ sẽ tải gói đó về rồi chạy mã, giải nén hoặc thực hiện phân tích tĩnh, phân tích động kiểu như vậy để xem đoạn mã đó làm gì. Chủ yếu là vì mã độc thường lây lan theo cách đó.
Tôi cũng thỉnh thoảng nghĩ như vậy. Không có hồi kết.
"Đôi khi tôi tự hỏi liệu việc chọn phát triển phần mềm có phải là một quyết định sai lầm không
Dù đã trở thành senior vẫn vẫn bị đòi hỏi phải tiếp tục học và làm dự án side project
Không biết đến bao giờ mới có thể có sở thích riêng hay đời sống xã hội nữa"
Sẽ là thời đại mà Architecture, QA Engineer sống sót. Việc đánh giá xem điều này có đúng hay không....
Có vẻ đây không phải kiểu bản dịch sát nghĩa, không diễn giải, như thứ người ta thường mong đợi ở một công cụ dịch.
Tôi đã thử đưa phần giới thiệu Claude Cowork vào. Kết quả là như bên dưới, xuất hiện thêm emoji và các dấu đầu dòng list.
(Bản gốc)
How is using Cowork different from a regular conversation? In Cowork, you give Claude access to a folder of your choosing on your computer. Claude can then read, edit, or create files in that folder. It can, for example, re-organize your downloads by sorting and renaming each file, create a new spreadsheet with a list of expenses from a pile of screenshots, or produce a first draft of a report from your scattered notes.
(Dịch bằng ChatGPT)
🧠 Điểm khác biệt giữa Cowork và cuộc trò chuyện thông thường
Trong Cowork, bạn cấp cho Claude quyền truy cập vào một thư mục cụ thể trên máy tính do bạn chọn. Claude sau đó có thể đọc, chỉnh sửa hoặc tạo mới tệp trong thư mục đó.
Ví dụ, Claude có thể
Trong bài viết đánh giá về Claude Cowork do Simon Willison viết cũng đã có lo ngại về tấn công prompt injection, đúng là đến nhanh thật.
Tôi nghĩ tốt hơn là nên lọc để chặn hoàn toàn việc đăng một số tên miền nhất định.
Điều đó phụ thuộc vào năng lực của trình biên dịch.
Nếu lắp ráp cùng một đoạn mã thì sẽ ra ngay thôi.
Tôi vẫn đang tiếp tục dùng Gemini; ngay sau khi ra mắt thì thực sự rất tốt, nhưng càng về sau trí thông minh của nó lại càng giảm.
Một trong những nguyên nhân chính là "tham chiếu cuộc trò chuyện trước đó", nên nếu còn bổ sung cả tính năng trí thông minh cá nhân hóa thì có lẽ sẽ còn tệ hơn nữa.
Thực ra, ngay cả khi viết lại toàn bộ mã mà muốn cải thiện 2~3 lần cũng đã là việc khó rồi, nên việc chỉ đổi vài dòng mà tăng hiệu năng tối đa tới 400 lần thực sự quá ấn tượng.
Thật ấn tượng.
Tôi nghĩ câu này không hẳn là sai hoàn toàn, nhưng trong trường hợp có liên quan đến kernel thì ngay cả việc nhận ra nguyên nhân chậm cũng hẳn đã là chuyện thực sự khó khăn.
Ừm. Có lẽ chỉ ở mức phản ứng dữ dội từ những người dùng nặng thôi.
Rất hữu ích 👍👍
Hay là tách riêng một thiết bị chỉ để chơi game thì sao? Tôi gần như không chơi game nên không làm vậy, nhưng những người có chơi thì hầu như đều làm thế.
Ôi, tôi học chuyên ngành liên quan đến máy tính, tốt nghiệp vào tháng 2 năm nay và hiện vẫn chưa có việc làm. Tôi đã dùng Linux từ năm 2015, trước cả khi bắt đầu học phát triển!
Có lẽ việc liệu Google có thể xây dựng và cung cấp hạ tầng mà Apple mong muốn hay không cũng đã ảnh hưởng rất lớn đến quyết định lựa chọn.
Ừ thì rốt cuộc, dù bài này không trực tiếp nhắc đến, nhưng cũng có thể xem như Apple đã tự thừa nhận rằng chiến lược xây dựng môi trường AI ở mức độ họ mong muốn theo kiểu in-house trong hệ sinh thái Apple đã thất bại rồi... (sau Apple Car nữa). Cứ nghĩ giá mà họ nhanh hơn khoảng 2 năm thì đã khác thế nào.
Siri à...
Mình là nhóc ranh đây.
Cảm ơn bạn vì tài liệu chi tiết và phần tóm tắt. Ban đầu tôi cứ nghĩ nó giống với Capabilities của Linux, nhưng hóa ra đây là một phương pháp còn bao gồm cả phân tích động.
Hóng quá..
Tôi đã nhờ Gemini giải thích thử. Tôi cũng không phụ trách riêng về bảo mật nên cũng không rõ lắm.
[Báo cáo chuyên sâu: 'Capability Analysis' - công nghệ bảo mật thế hệ mới mà PyPI và OpenSSF đang chú ý]
Khi các cuộc tấn công chuỗi cung ứng đe dọa hệ sinh thái mã nguồn mở ngày càng tinh vi hơn, PyPI (Python Package Index) và OpenSSF (Open Source Security Foundation) đang tăng tốc áp dụng 'Capability Analysis (phân tích năng lực/chức năng)' vượt ra ngoài cách đối sánh mẫu truyền thống.
Cốt lõi của công nghệ này là nhìn thấu không phải gói phần mềm "giả vờ là gì", mà là "thực sự có thể làm gì".
Nếu cách quét virus truyền thống là đối chiếu với 'danh sách truy nã (chữ ký mã độc đã biết)', thì Capability Analysis là cách xác minh 'năng lực hành vi' của gói phần mềm.
Dù có ngụy trang thành một tiện ích bình thường đến đâu, để chiếm quyền hệ thống hoặc đánh cắp thông tin thì cuối cùng vẫn buộc phải sử dụng các tài nguyên cụ thể của hệ điều hành (mạng, tệp, tiến trình). Kỹ thuật phân tích này theo dõi xem khi gói phần mềm chạy mã, nó có thực thi các 'quyền năng nhạy cảm (Capabilities)' như sau hay không.
eval,exec) để sinh tiến trình con hay không?Hiện tại, trong các dự án của OpenSSF và các nhóm nghiên cứu bảo mật, các công cụ sau đang được phát triển và đưa vào pipeline để thực hiện kiểu phân tích này.
A. OpenSSF Package Analysis (dự án chính thức)
- Tổng quan: Đây là dự án do OpenSSF dẫn dắt, thực sự cài đặt và chạy các gói được đăng lên PyPI hoặc NPM trong môi trường sandbox cô lập.
- Nguyên lý hoạt động: Ở cấp độ kernel, hệ thống chặn các system call phát sinh khi gói chạy để thu thập dữ liệu hành vi, ví dụ như "gói này đã cố kết nối tới 192.168.x.x trong lúc cài đặt".
- Stack công nghệ: Sử dụng gVisor (sandbox), Strace (theo dõi system call), v.v.
B. Packj
- Tổng quan: Đây là công cụ được phát triển dựa trên nghiên cứu học thuật (Georgia Tech, v.v.), chuyên gắn nhãn các 'khả năng rủi ro (Risky Capabilities)' của gói.
- Nguyên lý hoạt động: Kết hợp cả phân tích tĩnh và phân tích động. Công cụ tìm các lệnh gọi API nhạy cảm trong mã nguồn, đồng thời phân tích metadata của gói để xác định đó có phải là 'gói bị bỏ hoang' hay 'typosquatting (mạo danh tên gọi)' hay không.
- Đặc điểm: Có thể phát hiện các tổ hợp quyền bất thường như "gói này là thư viện audio nhưng lại có chức năng giao tiếp mạng và truy cập danh bạ".
C. GuardDog
- Tổng quan: Đây là công cụ CLI do Datadog công bố, sử dụng Semgrep (engine phân tích tĩnh) để tìm các mẫu độc hại.
- Nguyên lý hoạt động: Xác định các mẫu mã (heuristics) triển khai 'chức năng độc hại' như mã bị làm rối ẩn trong gói, script đào coin, trình tải tệp thực thi, v.v.
D. Falco & Sysdig
- Tổng quan: Đây là các công cụ bảo mật runtime cho môi trường cloud-native.
- Vai trò: Được dùng như engine phát hiện theo thời gian thực các hành vi bất thường xảy ra khi gói chạy trong container (ví dụ: truy cập shell ngoài dự kiến, đọc tệp nhạy cảm).
Để hiểu sâu hơn về công nghệ này, bạn có thể tham khảo dự án gốc và các bài blog sau.
Blog chính thức của OpenSSF Package Analysis (giới thiệu và giải thích nguyên lý)
https://openssf.org/blog/2022/…
GitHub OpenSSF Package Analysis (mã nguồn và kiến trúc)
https://github.com/ossf/package-analysis
GitHub Packj (tải công cụ và tính năng chi tiết)
https://github.com/ossillate-inc/packj
GitHub GuardDog (công cụ phát hiện gói độc hại PyPI/NPM của Datadog)
https://github.com/DataDog/guarddog
Báo cáo bảo mật PyPI (quy trình báo cáo và xử lý gói độc hại)
https://pypi.org/security/
Mình nghĩ là họ sẽ tải gói đó về rồi chạy mã, giải nén hoặc thực hiện phân tích tĩnh, phân tích động kiểu như vậy để xem đoạn mã đó làm gì. Chủ yếu là vì mã độc thường lây lan theo cách đó.
Tôi cũng thỉnh thoảng nghĩ như vậy. Không có hồi kết.
"Đôi khi tôi tự hỏi liệu việc chọn phát triển phần mềm có phải là một quyết định sai lầm không
Dù đã trở thành senior vẫn vẫn bị đòi hỏi phải tiếp tục học và làm dự án side project
Không biết đến bao giờ mới có thể có sở thích riêng hay đời sống xã hội nữa"