Sou alguém que começou a estudar Docker recentemente. Testei esta imagem com o trivy para verificar vulnerabilidades e apareceram 1.053 vulnerabilidades. Não parece que todas sejam importantes; parece mais que ele captura de tudo um pouco. Na prática, vocês poderiam me dar alguma orientação sobre como verificar e alcançar a segurança de uma imagem?
É como ver notificações publicitárias impossíveis de desativar aparecendo no Windows, a mesma sensação de quando a Samsung colocou anúncios nos apps padrão dos celulares Galaxy.
Acho que os dois pontos precisam ser bem considerados.
Para operar uma empresa, são necessários desenvolvedores, e me parece que este é um momento em que está difícil para desenvolvedores juniores conseguirem emprego. Publicamente, colocam a culpa na IA, mas, na prática, houve uma grande onda de contratações durante o período da pandemia e, em comparação com o sucesso obtido, o custo total de pessoal das empresas aumentou; por esse peso, elas também vêm reduzindo contratações. Nesse contexto, como o uso de LLMs passou a mostrar uma eficiência igual ou até superior à de atribuir certas tarefas a desenvolvedores juniores, acredito que o próprio mercado de trabalho encolheu ainda mais.
No entanto, como o texto também diz, é preciso haver desenvolvedores juniores para que eles eventualmente possam crescer e se tornar desenvolvedores seniores. Se não se contrata na fase júnior, não há como surgirem desenvolvedores seniores depois.
Ainda assim, acho que é necessário um ajuste considerável nesse processo. No caso das grandes empresas, isso tende a ser menos problemático porque elas já têm uma estrutura estabelecida, mas, quando entra um desenvolvedor júnior, em vez de colocá-lo diretamente nas atividades principais da empresa, ele costuma ser treinado com tarefas mais periféricas ou operacionais (trabalhos da empresa em que tudo bem falhar).
Porém, do ponto de vista de um desenvolvedor sênior, quanto menos estruturado for o ambiente, mais difícil é orientar um desenvolvedor júnior.
E, ironicamente, para usar LLMs de forma vantajosa, é melhor ter mais conhecimento relacionado; não é por ser um desenvolvedor iniciante que se obterá a mesma eficiência. Na verdade, é impossível substituir todo o trabalho de desenvolvimento por funcionários juniores. Pessoas muito brilhantes e geniais talvez consigam dar conta de tudo de alguma forma mesmo sem desenvolvedores seniores. Mas, se o trabalho começar a se concentrar nessa pessoa, será que ela vai conseguir aguentar?
Ou seja, tanto desenvolvedores seniores quanto juniores precisam ser contratados, e acredito que, nesse processo, deve haver uma contratação flexível que leve em conta produtividade, custos de pessoal da empresa e outros fatores.
Entendo a afirmação de que o hype em torno dos LLMs é exagerado, e também concordo que seu funcionamento não é um tipo de raciocínio como dedução ou indução. Além disso, inteligência artificial e inteligência não são sinônimos; o problema não está justamente nas pessoas que igualam as duas coisas ou as antropomorfizam?
Até onde eu sei, tanto no Windows quanto no Linux, o Chrome roda em modo sandbox. Ou seja... mesmo que alguém crie um exploit com JavaScript ou algo assim para atacar uma vulnerabilidade, isso não afeta o sistema operacional de fato.
Mas, no modo de contêiner, provavelmente é preciso ativar o modo privileged para habilitar essa função.
Claro, daria para orientar a ativarem esse modo, mas eu achava que o próprio contêiner já era o sandbox. Algo como um Windows que você liga e desliga facilmente, por assim dizer...
Por isso, o VS Code baseado em Chromium e Electron foi configurado para rodar em um modo sem sandbox.
Isso quer dizer apenas que, assumindo que existam vulnerabilidades no Chromium e no VS Code, e que um invasor consiga criar um exploit para explorá-las, pode haver risco.
Eu fiquei curioso por que o fato de o modo sandbox não estar aplicado é uma observação de segurança importante.
O Docker não fornece recursos de sandbox para os processos internos? Então, por causa disso, não tem jeito e ele acaba tendo que ser executado como root e, mesmo sendo um ambiente isolado por Docker, isso significa que ainda existe o risco de malware invadir volumes mapeados com o host? Ou isso quer dizer que os arquivos criados pelo usuário dentro do sistema de arquivos interno do Docker podem não ser seguros?
E, se LLM não é inteligência artificial, então você precisa dizer o que é. Você diz que qualquer um que tenha feito só a graduação já sabe disso, não é?
Então, você acha mesmo que essas empresas, por falta de experiência, gastariam dezenas de bilhões recrutando talentos? O melhor conhecimento que você conhece provavelmente seria inútil para essas pessoas.
Se a meta de uma organização é elevar o piso, reconheço que faz sentido uma estrutura organizacional por função, como uma equipe formada apenas por desenvolvedores de frontend web ou uma equipe de desenvolvedores de apps.
Mas, em equipes ou organizações que buscam elevar o teto, estruturar-se por funções inevitavelmente tem limitações.
Como no texto principal, surge a dúvida: será mesmo necessário que planejadores, designers, PMs e engenheiros assumam cada um a sua parte e trabalhem como uma esteira de fábrica? Em vez do trabalho típico de "responsável por X", em que cada um cuida apenas de algumas tarefas específicas, o ideal é que pessoas com especialidades em diferentes áreas se reúnam, definam juntas um objetivo comum e que todos os membros deem suporte.
Muitas empresas montam organizações no formato de task force, com spin-offs ou formação de equipes, mas, como isso também acaba agrupando apenas pessoas (funções), surge o reforço negativo ineficaz — padrões como "estou tentando fazer algo, mas a empresa não me ajuda; então melhor desistir". Por isso, para não acabar perdendo apenas talentos importantes, como membros-chave, organizações orientadas por propósito também precisam necessariamente do suporte ativo de organizações por função.
LLM não é inteligência artificial
O fato de que LLM não é inteligência já é algo que se aprende estudando inteligência artificial só na graduação, mas o problema foi cair num golpe de marketing de um judeu sem diploma de ensino superior.
As coisas absurdas que estão acontecendo atualmente no setor de LLM lembram a Nikola, que enganou o mercado com caminhões a hidrogênio.
Assim como uma empresa que não conseguiu criar uma célula de combustível de hidrogênio, fez só a carcaça de um caminhão elétrico a hidrogênio e quebrou depois de aplicar golpe, esse sujeito sem diploma que não conseguiu criar inteligência, fez só um chatbot de LLM e faz um show dizendo que isso é inteligência está no mesmo nível.
Os Estados Unidos já não têm capacidade de garantir de fato tecnologia central em nenhuma área e afundaram ao ponto de se tornarem um país cuja razão de existir não passa de um esquema Ponzi no nível de Madoff, puxando dinheiro apenas com marketing via SBS.
A área de IA que vai dar dinheiro no futuro será, sem dúvida, a Computer Vision AI, e isso vai determinar as guerras e o poder militar do futuro.
Mas, na área de Computer Vision AI, a China comunista está subindo rapidamente para o 1º lugar do mundo e crescendo como potência hegemônica.
Se, como nos Estados Unidos, o investimento maciço de capital centrado em LLM explodir como bolha, há uma chance muito grande de os EUA perderem a liderança em IA para a China comunista.
O atual investimento em LLM por parte dos Wordcels, que formam a maioria nas sociedades ocidentais, já está batendo no muro; seus méritos e deméritos serão esmiuçados sem piedade por capitalistas que cobram resultados com rigor, e isso pode se espalhar para áreas relacionadas, como Computer Vision AI, levando a uma retração considerável da indústria de IA por um bom tempo.
Em comparação, a China comunista, onde o Estado conduz P&D, tem grande chance de estar relativamente segura dessa bolha de IA vinda dos Estados Unidos.
Portanto, é bem possível que este excesso de investimento em LLM se torne o gatilho para fixar os Estados Unidos como uma potência de segunda categoria.
Engenharia de contexto — como dar instruções de forma inteligente com What+Why!
Além disso, ele esclareceu de forma brilhante muitas coisas sobre as quais eu sempre tive curiosidade :)
Sinto até culpa e gratidão por poder ver informações tão valiosas de graça!!!!
Sou alguém que começou a estudar Docker recentemente. Testei esta imagem com o
trivypara verificar vulnerabilidades e apareceram 1.053 vulnerabilidades. Não parece que todas sejam importantes; parece mais que ele captura de tudo um pouco. Na prática, vocês poderiam me dar alguma orientação sobre como verificar e alcançar a segurança de uma imagem?Ah. Essa opção parece mais plausível.
É como ver notificações publicitárias impossíveis de desativar aparecendo no Windows, a mesma sensação de quando a Samsung colocou anúncios nos apps padrão dos celulares Galaxy.
Não, não precisa se desculpar por isso... haha. Muito obrigado pelas palavras gentis, é gentileza sua.
Acho que os dois pontos precisam ser bem considerados.
Para operar uma empresa, são necessários desenvolvedores, e me parece que este é um momento em que está difícil para desenvolvedores juniores conseguirem emprego. Publicamente, colocam a culpa na IA, mas, na prática, houve uma grande onda de contratações durante o período da pandemia e, em comparação com o sucesso obtido, o custo total de pessoal das empresas aumentou; por esse peso, elas também vêm reduzindo contratações. Nesse contexto, como o uso de LLMs passou a mostrar uma eficiência igual ou até superior à de atribuir certas tarefas a desenvolvedores juniores, acredito que o próprio mercado de trabalho encolheu ainda mais.
No entanto, como o texto também diz, é preciso haver desenvolvedores juniores para que eles eventualmente possam crescer e se tornar desenvolvedores seniores. Se não se contrata na fase júnior, não há como surgirem desenvolvedores seniores depois.
Ainda assim, acho que é necessário um ajuste considerável nesse processo. No caso das grandes empresas, isso tende a ser menos problemático porque elas já têm uma estrutura estabelecida, mas, quando entra um desenvolvedor júnior, em vez de colocá-lo diretamente nas atividades principais da empresa, ele costuma ser treinado com tarefas mais periféricas ou operacionais (trabalhos da empresa em que tudo bem falhar).
Porém, do ponto de vista de um desenvolvedor sênior, quanto menos estruturado for o ambiente, mais difícil é orientar um desenvolvedor júnior.
E, ironicamente, para usar LLMs de forma vantajosa, é melhor ter mais conhecimento relacionado; não é por ser um desenvolvedor iniciante que se obterá a mesma eficiência. Na verdade, é impossível substituir todo o trabalho de desenvolvimento por funcionários juniores. Pessoas muito brilhantes e geniais talvez consigam dar conta de tudo de alguma forma mesmo sem desenvolvedores seniores. Mas, se o trabalho começar a se concentrar nessa pessoa, será que ela vai conseguir aguentar?
Ou seja, tanto desenvolvedores seniores quanto juniores precisam ser contratados, e acredito que, nesse processo, deve haver uma contratação flexível que leve em conta produtividade, custos de pessoal da empresa e outros fatores.
Entendo a afirmação de que o hype em torno dos LLMs é exagerado, e também concordo que seu funcionamento não é um tipo de raciocínio como dedução ou indução. Além disso, inteligência artificial e inteligência não são sinônimos; o problema não está justamente nas pessoas que igualam as duas coisas ou as antropomorfizam?
Eliza com um dataset maior
Até onde eu sei, tanto no Windows quanto no Linux, o Chrome roda em modo sandbox. Ou seja... mesmo que alguém crie um exploit com JavaScript ou algo assim para atacar uma vulnerabilidade, isso não afeta o sistema operacional de fato.
Mas, no modo de contêiner, provavelmente é preciso ativar o modo
privilegedpara habilitar essa função.Claro, daria para orientar a ativarem esse modo, mas eu achava que o próprio contêiner já era o sandbox. Algo como um Windows que você liga e desliga facilmente, por assim dizer...
Por isso, o VS Code baseado em Chromium e Electron foi configurado para rodar em um modo sem sandbox.
Isso quer dizer apenas que, assumindo que existam vulnerabilidades no Chromium e no VS Code, e que um invasor consiga criar um exploit para explorá-las, pode haver risco.
Eu fiquei curioso por que o fato de o modo sandbox não estar aplicado é uma observação de segurança importante.
O Docker não fornece recursos de sandbox para os processos internos? Então, por causa disso, não tem jeito e ele acaba tendo que ser executado como root e, mesmo sendo um ambiente isolado por Docker, isso significa que ainda existe o risco de malware invadir volumes mapeados com o host? Ou isso quer dizer que os arquivos criados pelo usuário dentro do sistema de arquivos interno do Docker podem não ser seguros?
Parece que você está enganado já a partir da afirmação de que LLM não é inteligência artificial.
Acho que você está meio preso no seu próprio mundo
E, se LLM não é inteligência artificial, então você precisa dizer o que é. Você diz que qualquer um que tenha feito só a graduação já sabe disso, não é?
Então, você acha mesmo que essas empresas, por falta de experiência, gastariam dezenas de bilhões recrutando talentos? O melhor conhecimento que você conhece provavelmente seria inútil para essas pessoas.
Uau, mudou muito mesmo
Não sei se a abordagem do
git-reviewé boa, mas concordo que review de PR baseado em GitHub é horrível..Por que é sempre uma conta descartável que escreve comentários como este?
Se a meta de uma organização é elevar o piso, reconheço que faz sentido uma estrutura organizacional por função, como uma equipe formada apenas por desenvolvedores de frontend web ou uma equipe de desenvolvedores de apps.
Mas, em equipes ou organizações que buscam elevar o teto, estruturar-se por funções inevitavelmente tem limitações.
Como no texto principal, surge a dúvida: será mesmo necessário que planejadores, designers, PMs e engenheiros assumam cada um a sua parte e trabalhem como uma esteira de fábrica? Em vez do trabalho típico de "responsável por X", em que cada um cuida apenas de algumas tarefas específicas, o ideal é que pessoas com especialidades em diferentes áreas se reúnam, definam juntas um objetivo comum e que todos os membros deem suporte.
Muitas empresas montam organizações no formato de task force, com spin-offs ou formação de equipes, mas, como isso também acaba agrupando apenas pessoas (funções), surge o reforço negativo ineficaz — padrões como "estou tentando fazer algo, mas a empresa não me ajuda; então melhor desistir". Por isso, para não acabar perdendo apenas talentos importantes, como membros-chave, organizações orientadas por propósito também precisam necessariamente do suporte ativo de organizações por função.
LLM não é inteligência artificial
O fato de que LLM não é inteligência já é algo que se aprende estudando inteligência artificial só na graduação, mas o problema foi cair num golpe de marketing de um judeu sem diploma de ensino superior.
As coisas absurdas que estão acontecendo atualmente no setor de LLM lembram a Nikola, que enganou o mercado com caminhões a hidrogênio.
Assim como uma empresa que não conseguiu criar uma célula de combustível de hidrogênio, fez só a carcaça de um caminhão elétrico a hidrogênio e quebrou depois de aplicar golpe, esse sujeito sem diploma que não conseguiu criar inteligência, fez só um chatbot de LLM e faz um show dizendo que isso é inteligência está no mesmo nível.
Os Estados Unidos já não têm capacidade de garantir de fato tecnologia central em nenhuma área e afundaram ao ponto de se tornarem um país cuja razão de existir não passa de um esquema Ponzi no nível de Madoff, puxando dinheiro apenas com marketing via SBS.
A área de IA que vai dar dinheiro no futuro será, sem dúvida, a Computer Vision AI, e isso vai determinar as guerras e o poder militar do futuro.
Mas, na área de Computer Vision AI, a China comunista está subindo rapidamente para o 1º lugar do mundo e crescendo como potência hegemônica.
Se, como nos Estados Unidos, o investimento maciço de capital centrado em LLM explodir como bolha, há uma chance muito grande de os EUA perderem a liderança em IA para a China comunista.
O atual investimento em LLM por parte dos Wordcels, que formam a maioria nas sociedades ocidentais, já está batendo no muro; seus méritos e deméritos serão esmiuçados sem piedade por capitalistas que cobram resultados com rigor, e isso pode se espalhar para áreas relacionadas, como Computer Vision AI, levando a uma retração considerável da indústria de IA por um bom tempo.
Em comparação, a China comunista, onde o Estado conduz P&D, tem grande chance de estar relativamente segura dessa bolha de IA vinda dos Estados Unidos.
Portanto, é bem possível que este excesso de investimento em LLM se torne o gatilho para fixar os Estados Unidos como uma potência de segunda categoria.
Engenharia de contexto — como dar instruções de forma inteligente com What+Why!
Além disso, ele esclareceu de forma brilhante muitas coisas sobre as quais eu sempre tive curiosidade :)
Sinto até culpa e gratidão por poder ver informações tão valiosas de graça!!!!
O nome do Docker é
lancard/xwindow-korean.Como é Wayland, alterei o nome do repositório para https://github.com/lancard/xwindow-korean ~