Görünüşe göre genelde bir çeviriden beklenen, serbest yorum içermeyen türden bir çeviri değil.
Claude Cowork tanıtım yazısını eklemeyi denedim. Aşağıdaki gibi emoji ve madde işaretleri oluştu.
(Orijinal metin)
How is using Cowork different from a regular conversation? In Cowork, you give Claude access to a folder of your choosing on your computer. Claude can then read, edit, or create files in that folder. It can, for example, re-organize your downloads by sorting and renaming each file, create a new spreadsheet with a list of expenses from a pile of screenshots, or produce a first draft of a report from your scattered notes.
(ChatGPT ile çeviri)
🧠 Cowork ile normal bir konuşma arasındaki fark
Cowork'te, Claude'a bilgisayarınızda seçtiğiniz bir klasöre erişim izni verirsiniz. Claude daha sonra bu klasördeki dosyaları okuyabilir, düzenleyebilir veya yeni dosyalar oluşturabilir.
Örneğin Claude:
her bir dosyayı sıralayıp yeniden adlandırarak indirdiklerinizi yeniden düzenleyebilir,
ekran görüntüsü yığınından gider listesini çıkarıp yeni bir elektronik tablo oluşturabilir veya
dağınık notlarınızdan bir raporun ilk taslağını hazırlayabilir.
Gemini’yi kullanmaya devam ediyorum; çıkışından hemen sonra gerçekten çok iyiydi ama zaman geçtikçe zekası düşüyor.
Bunun başlıca nedenlerinden biri önceki konuşmalara referans; kişiselleştirilmiş zeka da eklenirse daha da kötüleşecek gibi görünüyor.
Aslında kod tabanının tamamını baştan yazıp 2-3 kat iyileşme sağlamak bile zor bir iş; buna karşılık sadece birkaç satırı değiştirerek en fazla 400 kat hızlanma elde etmek gerçekten etkileyici.
2 kat hızlandıysa akıllıca bir şey yapılmış olabilir; 100 kat hızlandıysa bu sadece aptalca bir şey yapmayı bırakmış olmak demektir
Bunun tamamen yanlış bir söz olduğunu düşünmüyorum ama işin içinde kernel varsa, yavaş olduğunu fark etmek bile gerçekten çok zor olmuştur diye düşünüyorum.
Oyun için ayrı bir cihaz ayırmayı düşünmez misiniz? Ben neredeyse hiç oyun oynamadığım için öyle yapmıyorum ama oynayanların çoğu genelde öyle yapıyor.
Ah, ben bilgisayarla ilgili bir bölüm okudum, bu yıl şubatta mezun oldum ve hâlâ bir işim yok. Linux’u ise geliştirme öğrenmeye başlamadan önce, 2015’ten beri kullanıyorum!
Neyse, sonuçta bu makalede doğrudan belirtilmemiş olsa da, Apple'ın istediği seviyedeki yapay zeka ortamını Apple ekosistemi içinde in-house olarak kurma stratejisinin başarısız olduğunu fiilen kabul etmiş oldu denebilir.. (Apple Car'ın ardından) Bir de yaklaşık 2 yıl daha erken olsaydı nasıl olurdu diye düşünmeden edemiyor insan.
Ayrıntılı bilgi ve özet için teşekkürler. Başta bunun Linux’taki Capabilities’e benzer bir şey olduğunu düşünmüştüm, ama anlaşılan dinamik analizi de içeren bir yaklaşımmış.
Bunu Gemini’ye açıklatmayı denedim. Ben de özel olarak güvenlik tarafında olmadığım için pek bilmiyorum.
[Derinlemesine rapor: PyPI ve OpenSSF’nin dikkat çektiği yeni nesil güvenlik teknolojisi “Capability Analysis”]
Son dönemde açık kaynak ekosistemini tehdit eden tedarik zinciri saldırıları daha da sofistike hale gelirken, PyPI (Python Package Index) ve OpenSSF (Open Source Security Foundation), mevcut desen eşleştirme yaklaşımının ötesine geçen “Capability Analysis”ın devreye alınmasını hızlandırıyor.
Bu teknolojinin özü, paketin “ne gibi davrandığına” değil, “gerçekte neler yapabildiğine” bakmaktır.
Capability Analysis (yetenek analizi) nedir?
Geleneksel virüs taraması “arananlar listesi”ni (bilinen kötü amaçlı yazılım imzaları) karşılaştırıyorsa, Capability Analysis paketin “davranış yeteneklerini” doğrulayan bir yöntemdir.
Ne kadar normal bir yardımcı araç gibi gizlenmiş olursa olsun, sistemi ele geçirmek ya da bilgi çalmak için işletim sisteminin belirli kaynaklarını (ağ, dosya, süreç) mutlaka kullanması gerekir. Bu analiz tekniği, paket kod çalıştırırken aşağıdaki gibi “hassas yetkileri (Capabilities)” kullanıp kullanmadığını izler.
Ağ (Network): Kurulum betiği gizlice harici bir IP’ye veri sızdırmaya (Exfiltration) ya da iletişim kurmaya çalışıyor mu?
Dosya sistemi (FileSystem): SSH anahtarları, AWS kimlik bilgileri, /etc/passwd gibi hassas dosyalara erişmeye ya da bunları değiştirmeye çalışıyor mu?
Süreç çalıştırma (Execution): Shell komutları çalıştırıyor ya da dinamik olarak kod üretip (eval, exec) alt süreçler oluşturuyor mu?
Gerçek kullanım ve temel olduğu düşünülen güvenlik araçları
Şu anda OpenSSF projeleri ve güvenlik araştırma grupları, bu analizi gerçekleştirmek için aşağıdaki araçları geliştirip boru hatlarına uyguluyor.
A. OpenSSF Package Analysis (resmî proje)
- Genel bakış: OpenSSF’nin öncülük ettiği bu proje, PyPI veya NPM’e yüklenen paketleri izole edilmiş bir sandbox ortamında gerçekten kurup çalıştırıyor.
- Çalışma mantığı: Paket çalışırken oluşan sistem çağrılarını (System Calls) çekirdek seviyesinde yakalayarak, “bu paket kurulum sırasında 192.168.x.x adresine bağlanmayı denedi” gibi davranış verilerini topluyor.
- Teknoloji yığını: gVisor (sandbox), Strace (sistem çağrısı izleme) gibi araçlardan yararlanıyor.
B. Packj
- Genel bakış: Akademik araştırmalara (Georgia Tech vb.) dayanılarak geliştirilen bu araç, paketin “riskli yeteneklerini (Risky Capabilities)” etiketlemeye odaklanıyor.
- Çalışma mantığı: Statik analiz ile dinamik analizi birlikte kullanıyor. Kaynak kod içinde hassas API çağrılarını tespit ediyor ve paket meta verisini analiz ederek bunun “terk edilmiş bir paket” mi, “typosquatting (isim taklidi)” mi olduğunu belirliyor.
- Özellik: “Bu paket bir ses kütüphanesi ama ağ iletişimi ve adres defterine erişim işlevleri var” gibi anormal yetki kombinasyonlarını algılıyor.
C. GuardDog
- Genel bakış: Datadog tarafından açıklanan bir CLI aracı; Semgrep (statik analiz motoru) kullanarak kötü amaçlı örüntüleri buluyor.
- Çalışma mantığı: Paket içinde gizlenmiş obfuscation kodları, madenci betikleri, çalıştırılabilir dosya indiricileri gibi “kötü amaçlı işlevlerin” uygulanmış olduğu kod örüntülerini (Heuristics) tespit ediyor.
D. Falco & Sysdig
- Genel bakış: Bulut yerel ortamlara yönelik çalışma zamanı güvenlik araçlarıdır.
- Rol: Paketin container içinde çalışması sırasında ortaya çıkan anormal davranışları (ör. beklenmeyen shell erişimi, hassas dosya okuma) gerçek zamanlı tespit eden bir motor olarak kullanılır.
İlgili başvuru materyalleri ve bağlantılar
Bu teknolojiyi daha derinlemesine anlamak için orijinal proje ve blog yazılarına bakabilirsiniz.
Sanırım paketi indirip kodu çalıştırarak, açarak ya da statik analiz ve dinamik analiz gibi yöntemlerle kodun ne yaptığını inceliyorlar. Kötü amaçlı yazılımlar genelde bu şekilde yayılıyor.
Architecture ve QA Engineer'ın ayakta kalacağı bir dönem olacak. Bunun doğru olup olmadığını değerlendiren....
Görünüşe göre genelde bir çeviriden beklenen, serbest yorum içermeyen türden bir çeviri değil.
Claude Cowork tanıtım yazısını eklemeyi denedim. Aşağıdaki gibi emoji ve madde işaretleri oluştu.
(Orijinal metin)
How is using Cowork different from a regular conversation? In Cowork, you give Claude access to a folder of your choosing on your computer. Claude can then read, edit, or create files in that folder. It can, for example, re-organize your downloads by sorting and renaming each file, create a new spreadsheet with a list of expenses from a pile of screenshots, or produce a first draft of a report from your scattered notes.
(ChatGPT ile çeviri)
🧠 Cowork ile normal bir konuşma arasındaki fark
Cowork'te, Claude'a bilgisayarınızda seçtiğiniz bir klasöre erişim izni verirsiniz. Claude daha sonra bu klasördeki dosyaları okuyabilir, düzenleyebilir veya yeni dosyalar oluşturabilir.
Örneğin Claude:
Simon Willison'ın yazdığı Claude Cowork inceleme yazısında da prompt injection saldırısına dair endişeler vardı; hızlı oldu.
Belirli alan adlarının yüklenmesini en baştan engelleyecek şekilde filtreleme yapmanın iyi olacağını düşünüyorum.
Bu, derleyicinin yeteneğine bağlı.
Aynı kodu assembly'e çevirip bakarsanız ortaya çıkar.
Görünüşe göre ffmpeg tayfa, Rust'ın C'den daha hızlı olduğunu düşünmüyor gibi haha https://www.memorysafety.org/blog/rav1d-perf-bounty/
Gemini’yi kullanmaya devam ediyorum; çıkışından hemen sonra gerçekten çok iyiydi ama zaman geçtikçe zekası düşüyor.
Bunun başlıca nedenlerinden biri
önceki konuşmalara referans; kişiselleştirilmiş zeka da eklenirse daha da kötüleşecek gibi görünüyor.Aslında kod tabanının tamamını baştan yazıp 2-3 kat iyileşme sağlamak bile zor bir iş; buna karşılık sadece birkaç satırı değiştirerek en fazla 400 kat hızlanma elde etmek gerçekten etkileyici.
Müthiş.
Bunun tamamen yanlış bir söz olduğunu düşünmüyorum ama işin içinde kernel varsa, yavaş olduğunu fark etmek bile gerçekten çok zor olmuştur diye düşünüyorum.
Bilemiyorum. En fazla yoğun kullanıcıların tepkisi kadar olur gibi.
Çok yardımcı oldu 👍👍
Oyun için ayrı bir cihaz ayırmayı düşünmez misiniz? Ben neredeyse hiç oyun oynamadığım için öyle yapmıyorum ama oynayanların çoğu genelde öyle yapıyor.
Ah, ben bilgisayarla ilgili bir bölüm okudum, bu yıl şubatta mezun oldum ve hâlâ bir işim yok. Linux’u ise geliştirme öğrenmeye başlamadan önce, 2015’ten beri kullanıyorum!
Apple’ın istediği altyapıyı kurup sunup sunamayacağının da seçim üzerinde büyük etkisi olmuş gibi görünüyor.
Neyse, sonuçta bu makalede doğrudan belirtilmemiş olsa da, Apple'ın istediği seviyedeki yapay zeka ortamını Apple ekosistemi içinde in-house olarak kurma stratejisinin başarısız olduğunu fiilen kabul etmiş oldu denebilir.. (Apple Car'ın ardından) Bir de yaklaşık 2 yıl daha erken olsaydı nasıl olurdu diye düşünmeden edemiyor insan.
Siri...
Ben bir veletim.
Ayrıntılı bilgi ve özet için teşekkürler. Başta bunun Linux’taki Capabilities’e benzer bir şey olduğunu düşünmüştüm, ama anlaşılan dinamik analizi de içeren bir yaklaşımmış.
Bekleniyorduu..
Bunu Gemini’ye açıklatmayı denedim. Ben de özel olarak güvenlik tarafında olmadığım için pek bilmiyorum.
[Derinlemesine rapor: PyPI ve OpenSSF’nin dikkat çektiği yeni nesil güvenlik teknolojisi “Capability Analysis”]
Son dönemde açık kaynak ekosistemini tehdit eden tedarik zinciri saldırıları daha da sofistike hale gelirken, PyPI (Python Package Index) ve OpenSSF (Open Source Security Foundation), mevcut desen eşleştirme yaklaşımının ötesine geçen “Capability Analysis”ın devreye alınmasını hızlandırıyor.
Bu teknolojinin özü, paketin “ne gibi davrandığına” değil, “gerçekte neler yapabildiğine” bakmaktır.
Geleneksel virüs taraması “arananlar listesi”ni (bilinen kötü amaçlı yazılım imzaları) karşılaştırıyorsa, Capability Analysis paketin “davranış yeteneklerini” doğrulayan bir yöntemdir.
Ne kadar normal bir yardımcı araç gibi gizlenmiş olursa olsun, sistemi ele geçirmek ya da bilgi çalmak için işletim sisteminin belirli kaynaklarını (ağ, dosya, süreç) mutlaka kullanması gerekir. Bu analiz tekniği, paket kod çalıştırırken aşağıdaki gibi “hassas yetkileri (Capabilities)” kullanıp kullanmadığını izler.
eval,exec) alt süreçler oluşturuyor mu?Şu anda OpenSSF projeleri ve güvenlik araştırma grupları, bu analizi gerçekleştirmek için aşağıdaki araçları geliştirip boru hatlarına uyguluyor.
A. OpenSSF Package Analysis (resmî proje)
- Genel bakış: OpenSSF’nin öncülük ettiği bu proje, PyPI veya NPM’e yüklenen paketleri izole edilmiş bir sandbox ortamında gerçekten kurup çalıştırıyor.
- Çalışma mantığı: Paket çalışırken oluşan sistem çağrılarını (System Calls) çekirdek seviyesinde yakalayarak, “bu paket kurulum sırasında 192.168.x.x adresine bağlanmayı denedi” gibi davranış verilerini topluyor.
- Teknoloji yığını: gVisor (sandbox), Strace (sistem çağrısı izleme) gibi araçlardan yararlanıyor.
B. Packj
- Genel bakış: Akademik araştırmalara (Georgia Tech vb.) dayanılarak geliştirilen bu araç, paketin “riskli yeteneklerini (Risky Capabilities)” etiketlemeye odaklanıyor.
- Çalışma mantığı: Statik analiz ile dinamik analizi birlikte kullanıyor. Kaynak kod içinde hassas API çağrılarını tespit ediyor ve paket meta verisini analiz ederek bunun “terk edilmiş bir paket” mi, “typosquatting (isim taklidi)” mi olduğunu belirliyor.
- Özellik: “Bu paket bir ses kütüphanesi ama ağ iletişimi ve adres defterine erişim işlevleri var” gibi anormal yetki kombinasyonlarını algılıyor.
C. GuardDog
- Genel bakış: Datadog tarafından açıklanan bir CLI aracı; Semgrep (statik analiz motoru) kullanarak kötü amaçlı örüntüleri buluyor.
- Çalışma mantığı: Paket içinde gizlenmiş obfuscation kodları, madenci betikleri, çalıştırılabilir dosya indiricileri gibi “kötü amaçlı işlevlerin” uygulanmış olduğu kod örüntülerini (Heuristics) tespit ediyor.
D. Falco & Sysdig
- Genel bakış: Bulut yerel ortamlara yönelik çalışma zamanı güvenlik araçlarıdır.
- Rol: Paketin container içinde çalışması sırasında ortaya çıkan anormal davranışları (ör. beklenmeyen shell erişimi, hassas dosya okuma) gerçek zamanlı tespit eden bir motor olarak kullanılır.
Bu teknolojiyi daha derinlemesine anlamak için orijinal proje ve blog yazılarına bakabilirsiniz.
OpenSSF Package Analysis resmî blogu (duyuru ve çalışma mantığının açıklaması)
https://openssf.org/blog/2022/…
OpenSSF Package Analysis GitHub’ı (kaynak kod ve mimari)
https://github.com/ossf/package-analysis
Packj GitHub’ı (aracın indirilmesi ve ayrıntılı özellikler)
https://github.com/ossillate-inc/packj
GuardDog GitHub’ı (Datadog’un PyPI/NPM kötü amaçlı paket tespit aracı)
https://github.com/DataDog/guarddog
PyPI Security raporu (kötü amaçlı paket bildirim ve işleme süreci)
https://pypi.org/security/
Sanırım paketi indirip kodu çalıştırarak, açarak ya da statik analiz ve dinamik analiz gibi yöntemlerle kodun ne yaptığını inceliyorlar. Kötü amaçlı yazılımlar genelde bu şekilde yayılıyor.