FARIN: Jo, ale ja mluvim o tom ze to pomuze na openssl a ne na moltbook…a YOLO moltbookaru je nejak na svete furt moc

ALMAD: to považuji za dobrý a úspěšný prillad oblasti kde jsou LLM fakt prinos..

a nechci to shazovat, akorát můj pocit z OpenSSL je, že to je velký bordel, hrozně napsaný a že věci které jsou mainstreamove pouzvane jsou prohledané skeznaskrz, ale s temnými zákoutími obskurních protokolu a šifer se nikdo nechce babrat..

ANT_39: Nicmene meli nedavno celkem zarez s openssl

AISLE Discovered 12 out of 12 OpenSSL Vulnerabilities | AISLE
https://aisle.com/blog/aisle-discovered-12-out-of-12-openssl-vulnerabilities

ANT_39: Nemam, jenom tam znam lidi (a ty brzo taky :) ).

A ten zbytek, no, ono je to o kontextu kde a jak se to pouziva a to ovlivnit zavani slovama, po kterejch to z kazdy praskliny vyleze aspon jeden libertarian :)

JANFROG: 2011, srsly? :) nema si kam sahnout je relativni pojem, proste attack surface je vyrazne mensi..

naproti tomu, jen za poslednich 12 mesicu jsem nasel 2 tezky zranitelnosti v V8, vesmes exploitovany.

CVE-2025-5419 - V8 out-of-bounds read/write
CVE-2026-1862 - V8 type confusion

a 2 sandbox escapy

CVE-2025-2783 (Mojo) — sandbox escape
CVE-2025-6558 (ANGLE/GPU) — sandbox escape

A to jen v Chrome. Oproti jednotkam VM escape / hypervisor RCE za poslednich 15 let na vsech moznych virtualizacnich platformach..

No nic, pokud to nevidis ani ted, ze toho je o rad vic a ze ten attack surface je vetsi, kdyz procesujes neco co je untrusted _code_, oproti hardwarem dany izolaci, tak uz te asi nepresvedci nic. :)

E2E4:

VM si nema kam si sahnout.

Fakt ne? CVE-2011-1751, CVE-2017-4901, CVE-2021-29657, CVE-2022-31705, ...

JANFROG: Z principu, ze VM izolace je vic tvrda a hardwarova. VM si nema kam si sahnout. (ty BMC apod z VM nejsou dostupne.) Zatimco u JS engine jakejkoliv kod co to spusti se ty izolace muze dotknout, je tam spousta predpokladu..

CPU uArch zranitelnosti.. to je dost rana pod pas. :) Ty nikdo necekal a hlavne rozbijeji zakladni predpoklady typu "do cizi pameti nevidim".. Navic se nastesti pomerne tezko exploatujou (ve srovnani s tema browserovejma unikama ze sandboxu). A krome toho, fungujou i z browseru - Spectre 1 fungovala, dokud nezakazali v browserech ultrajemny hodiny :)

Samozrejme tam taky nejakou correctness mit musis mit u VM taky a jsou v tom diry, ale u JS engine / JIT kompilatoru ty korektnosti musis mit velky mnozstvi.. Kdyz ti .. Taky tech der je o rad dva vice. :)

ANT_39: Jen je to víc vidět, protože ANT_39: Když dojde na chrlení šlichty, je počítač nepřekonatelný. To už jsme si ostatně ověřili u spamu.

(ale ano, celkem rozumím, že když to obrácení v prdel probíhá bezobslužně, tak je to mnohem otravnější, právě jen tím masivním objemem)

JANFROG: No, to taky neříkám, sorry, asi to tak ode mě vyznělo.

Spíš jsem chtěl říct, že letos budeme opět vynalézat The Mythical Man-Month, nebo hůř, ptát se Charlese Babbage, jestli ze stroje vyleze správná odpověď, když ho nakrmím brajglem. Tohle se dosud nezměnilo, jen se zvětšuje počet lidí, kteří k tomu krmení strojů mají přístup...