Become a Creator today!Start creating today - Share your story with the world!
Start for free
00:00:00
00:00:01
Secrets Not Included: Wenn KI Pentests fährt und Composer endlich härter wird
2 Plays2 seconds ago
Von TYPO3-Clustering in Kubernetes über KI-gestützte Pentests bis zu manipulierten Open-Weight-Modellen: In dieser Folge sprechen Daniel und Ole über technische Überraschungen, neue Sicherheitsrisiken und echte Fortschritte in der PHP-Supply-Chain. Außerdem: warum KI manchmal grandios hilft – und manchmal den Spaß am Programmieren klaut.
Recommended
Transcript
Einführung und Themenübersicht
00:00:01
Daniel Langemann
Herzlich willkommen bei Secrets Not Included.
00:00:03
Daniel Langemann
Heute darf ich mal die Einleitung machen und wir machen heute eine sehr schöne Runde über mehrere Themengebiete, die wir uns ausgesucht haben.
00:00:14
Daniel Langemann
Womit wollen wir starten, Ole?
00:00:16
Daniel Langemann
Was liegt dir so richtig am Herzen heute?
00:00:16
Kai Ole Hartwig
Das liegt mir am Herzen.
00:00:20
Kai Ole Hartwig
Das ist zu warm, Daniel.
00:00:22
Daniel Langemann
Ja, was auch.
00:00:22
Kai Ole Hartwig
Wir sollten über Klimatisierung in Büros reden.
00:00:29
Kai Ole Hartwig
Das liegt mir
Internationale Anerkennung und Sprachübersetzung
00:00:30
Kai Ole Hartwig
am Herzen.
00:00:30
Kai Ole Hartwig
Du hast gefragt, was mir am Herzen liegt.
00:00:33
Kai Ole Hartwig
Welches der Themen, die wir eben kurz angesprochen haben.
00:00:37
Kai Ole Hartwig
Aber vielleicht...
00:00:40
Kai Ole Hartwig
Etwas, was mich sehr überrascht hat, seitdem wir das letzte Mal aufgezeichnet haben, ist etwas passiert, mit dem ich nie in meinem Leben gerechnet hätte.
00:00:49
Kai Ole Hartwig
Und ich blogge wirklich lange und es ist passiert, dass ich bei The Hacker News und anderen Videos
00:00:57
Kai Ole Hartwig
Sachen mit einer Analyse einer Sicherheitsdöcke gelandet würden.
00:01:01
Daniel Langemann
Ja, ist doch schön.
00:01:01
Kai Ole Hartwig
Also, ja, vielen Dank.
00:01:01
Daniel Langemann
Also erstmal Glückwunsch.
00:01:06
Kai Ole Hartwig
Ich wurde da sehr überrascht von, weil ich wurde vorher nicht irgendwie angeschrieben oder so.
00:01:10
Kai Ole Hartwig
Ich wurde einfach zitiert und verlinkt.
00:01:12
Kai Ole Hartwig
Vielen Dank erstmal dafür, wer auch immer das gemacht hat.
00:01:15
Kai Ole Hartwig
Ich hoffe, Google, YouTube macht langsam das Autotranslate und übersetzt es jetzt einfach ins Englische.
00:01:21
Kai Ole Hartwig
Ähm,
00:01:23
Kai Ole Hartwig
So, fand ich auf jeden Fall, hat mich mega überrascht, mega gefreut.
00:01:28
Kai Ole Hartwig
Bin ich mega dankbar für, auch dass es jetzt ins Russische, Chinesische, Japanische und Portugiesische übersetzt wurde.
00:01:35
Daniel Langemann
Wir sind international.
00:01:36
Daniel Langemann
Mr. Business.
00:01:36
Daniel Langemann
Ja.
00:01:36
Daniel Langemann
Ja.
00:01:38
Kai Ole Hartwig
Yay!
00:01:40
Kai Ole Hartwig
Das heißt, auch die Mosel-Wahl.com wird jetzt häufiger aufgerufen als die moselwal.de.
00:01:49
Kai Ole Hartwig
Ja, also ganz im Ernst, ich habe mich einfach mega darüber gefreut, weil halt ich mir schon irgendwie echt Arbeit mache mit den Dingern und es hat mich einfach mega gefreut.
00:02:01
Kai Ole Hartwig
Ja, dass andere Leute denken, dass ich schlaue Sachen dazu schreibe.
00:02:05
Daniel Langemann
Wie konnte das passieren?
00:02:06
Daniel Langemann
Wir gucken in unserem Podcast nicht.
00:02:07
Daniel Langemann
Und die automatische Übersetzung entfernt dann die dummen Sätze von uns.
00:02:09
Daniel Langemann
Sehr gut.
00:02:09
Kai Ole Hartwig
Ja, da wir
Ungeplante Podcast-Authentizität
00:02:10
Kai Ole Hartwig
auf Deutsch quatschen und die Musse war komm auf Englisch, ist fürchte ich...
00:02:16
Kai Ole Hartwig
schauen die den nicht unbedingt, Daniel.
00:02:18
Kai Ole Hartwig
Sonst hätten die natürlich auch eher dich zitiert als mich.
00:02:24
Kai Ole Hartwig
So.
00:02:27
Kai Ole Hartwig
Ja.
00:02:28
Kai Ole Hartwig
Also ich fürchte, dass sie uns nicht schauen, liegt einfach an der
00:02:35
Kai Ole Hartwig
Ich weiß aber auch nicht, ob wir jetzt Secrets Not Included noch auf Englisch jede Woche aufnehmen wollen.
00:02:41
Daniel Langemann
Nee.
00:02:42
Kai Ole Hartwig
Nicht?
00:02:43
Daniel Langemann
Mal gucken.
00:02:43
Daniel Langemann
Mal gucken.
00:02:44
Daniel Langemann
Also, ich sage niemals nie.
00:02:45
Kai Ole Hartwig
Mal gucken.
00:02:45
Kai Ole Hartwig
Das ist das...
00:02:48
Daniel Langemann
Ich habe schon viele Sachen gemacht, wo ich vorher gesagt hätte, würde ich nie machen.
00:02:53
Daniel Langemann
Deswegen, ich schließe es nicht aus, aber ich glaube nicht, dass ich so locker frei davon reden kann.
00:02:58
Daniel Langemann
Und das ist ja das, was ich eigentlich bei uns beiden genieße.
00:03:01
Daniel Langemann
Das ist ja weniger geskriptet, also dass wir uns wirklich hinsetzen und sagen, so, wir müssen das Thema haben, das muss das Fazit sein, Anfang, Ende, Schluss.
00:03:08
Daniel Langemann
Und das ist alles fertig durchgeschrieben, sondern wir sind planlos, beschmeißen uns fünf Minuten vorher mit irgendwelchen Ideen und versuchen dann irgendwie den roten Faden so halbwegs zu halten.
00:03:19
Kai Ole Hartwig
Also ich würde nicht sagen, dass wir planlos sind, aber wir sind sehr erfahren und deswegen brauchen wir sehr wenig thematische Vorbereitung.
00:03:31
Kai Ole Hartwig
Wir haben ja in der Regel schon eine Idee, worüber wir reden wollen, ja.
00:03:35
Kai Ole Hartwig
Und, ähm,
00:03:36
Daniel Langemann
Das kann
00:03:38
Kai Ole Hartwig
Und manchmal weichen wir dann vom Thema ab, weil uns so links und rechts halt einfach noch Dinge einfallen dazu.
Technische Diskussion: Kubernetes und Caching
00:03:45
Kai Ole Hartwig
Ich finde, das ist eigentlich eine gute Eigenschaft, so viel Erfahrung zu haben, dass man das machen kann.
00:03:51
Kai Ole Hartwig
Weil stell dir mal vor, wir müssten jedes Mal wirklich unseren Podcast vor uns kippen und diese Themen nachschlagen und könnten halt nicht deep dive reingehen in Themen.
00:04:06
Kai Ole Hartwig
Mir wäre das ehrlich gesagt auch zu anstrengend.
00:04:08
Daniel Langemann
Ja, ja, genau.
00:04:09
Kai Ole Hartwig
womit wir eigentlich bei einem schönen Übergang sind, anstrengend.
00:04:13
Kai Ole Hartwig
Wir hatten ja beim letzten Mal über Kubernetes gesprochen und darüber, dass ja Typo3 irgendwie so ein paar Herausforderungen bietet, wenn man das geklustert betreiben möchte.
00:04:28
Daniel Langemann
Das war's.
00:04:29
Daniel Langemann
Du hattest von dem System Cache, glaube ich, gesprochen.
00:04:31
Daniel Langemann
War das denn?
00:04:33
Kai Ole Hartwig
Ja, von einem der Caves.
00:04:34
Daniel Langemann
Oder einem der Caches, genau.
00:04:35
Kai Ole Hartwig
Also Typo3 ist ja so ein bisschen verrückt in Caching, was es gibt.
00:04:41
Kai Ole Hartwig
Und es gibt da ja den File Cache oder es gibt das File Cache Backend und das Simple File Cache Backend.
00:04:50
Kai Ole Hartwig
Und wenn man sich jetzt überlegt, man betreibt einen Typo3 Cluster gerade in Kubernetes und macht dynamisch mehr und weniger, also vertikal alles skalieren hier.
00:05:00
Kai Ole Hartwig
Nicht, dass jemand wieder kommt, der Ole kennt keine Fachbegriffe.
00:05:06
Kai Ole Hartwig
wo wo war ich jetzt genau so und und die gibt es und die da steht so ein halbsatz in der doku und der hat glaube ich mich und auch andere personen mit die sehr sehr schätze mit denen ich zusammengearbeitet habe über jahre immer von einer idee abgehalten also diese idee überhaupt zu haben
00:05:32
Kai Ole Hartwig
Nämlich, dass diese Caches, ja, dass man Lokal-Cachen und Zentral-Cachen nicht mischen soll.
00:05:42
Kai Ole Hartwig
Und jetzt ist ja in Kubernetes, also im klassischen Cluster funktioniert das, ja, dann packst du dir halt fünf Server nebeneinander und packst auf jedes Ding halt
00:05:51
Kai Ole Hartwig
nochmal ein Redis drauf und bist glücklich, wenn du sagst, oh, wir machen kein zentrales Caching, sondern dann machst du halt lokal und alles ist cool.
00:05:54
Daniel Langemann
Mhm.
00:06:00
Kai Ole Hartwig
Das kannst du ja machen.
00:06:01
Kai Ole Hartwig
Du kannst auch Datenbanken irgendwie ein bisschen splitten und sagen, oh, die Cache lege ich jetzt aber lokal ab.
00:06:07
Kai Ole Hartwig
So, aber im Kubernetes ist das ja keine gute Idee, weil dann verstößt du halt gegen ein Port, ein Service oder ein Container, ein Service und, ähm,
00:06:18
Kai Ole Hartwig
dann ja irgendwie so durch die Gegend, ah, okay, wir müssen irgendwie dieses Cash-Löschen, müssen wir auf alle Pots verteilen oder wir müssen halt diese, dieses Ding machen mit irgendwie anders diese Fake-Cash-Share und alles ist irgendwie doof.
00:06:27
Daniel Langemann
Oh ja.
00:06:43
Kai Ole Hartwig
fass das mal kurz zusammen.
00:06:44
Kai Ole Hartwig
Also du hast extreme Performance Bottlenecks.
00:06:47
Kai Ole Hartwig
Es ist nie geil.
00:06:49
Kai Ole Hartwig
Und in der Vergangenheit sind wir hingegangen und haben halt gesagt, okay, wir brauchen einen
00:06:56
Kai Ole Hartwig
Clear Cache Distribution Service oder ähnlich benannt.
00:07:00
Daniel Langemann
Mhm.
00:07:00
Kai Ole Hartwig
Haben wir in den Jahren auch unterschiedlich benannt oder fast Jahrzehnten.
00:07:04
Kai Ole Hartwig
Ich bin mir gerade noch nicht mal so sicher.
00:07:06
Kai Ole Hartwig
Auf jeden Fall in der Vergangenheit haben wir das so gemacht, dass wir halt einen Service gebaut haben.
00:07:10
Kai Ole Hartwig
Wir hatten Clear Cache bekommen von einem der Dienste, wo man halt gerade gesagt hat, ja, hier soll jetzt gelehrt werden und hat das dann auf alle Pots verteilt.
00:07:21
Kai Ole Hartwig
Und
00:07:24
Kai Ole Hartwig
Jetzt bin ich auf jeden Fall, ich glaube, ich lag in der Badebahn oder so.
00:07:27
Kai Ole Hartwig
Und das ist so, ja, wie das archimedische Prinzip.
00:07:33
Kai Ole Hartwig
Im Prinzip.
00:07:33
Daniel Langemann
Danke für das Kopfkino.
00:07:34
Daniel Langemann
Ich sehe dich schon nachts da rumlaufen, die Straße lang.
00:07:36
Daniel Langemann
Dann mein Beileid für deine Frau.
00:07:38
Kai Ole Hartwig
Ja, zum Glück nicht die Straße lang.
00:07:43
Kai Ole Hartwig
Sondern ich musste nur mein Handy zücken, um das dann mit der KI zu diskutieren.
00:07:51
Kai Ole Hartwig
beziehungsweise im Prinzip ist das Badezimmer mit der Badewanne hinter dieser Wand hinter mir, ja.
00:07:59
Kai Ole Hartwig
So, meine Nachbarn wurden nicht belästigt.
00:08:03
Daniel Langemann
Das Bild kriege ich nicht mehr aus dem Kopf.
00:08:06
Daniel Langemann
Freut mich.
00:08:07
Daniel Langemann
Und dann bist du aufgesprungen so, Heureka!
00:08:09
Daniel Langemann
Ich hab...
00:08:09
Kai Ole Hartwig
Ja, ja, so ungefähr.
00:08:11
Kai Ole Hartwig
Bin dann tatsächlich sehr spontan aus der Badewanne, ich war noch gar nicht so lange in der Badewanne, und...
00:08:19
Kai Ole Hartwig
habe dann die Textback runtergeschrieben für ein Cluster-File-Cache-Backend.
00:08:27
Kai Ole Hartwig
Weil mir die Idee gekommen ist, weil ich es endlich verstanden habe, das Problem ist an diesen File-Backends, wie gecached wird.
00:08:35
Kai Ole Hartwig
Nämlich, dass wenn die Datei nicht da ist, geht das System davon aus, ah ja klar, okay, hier fehlt die Datei, also wurde ein Clear Cache gesendet,
00:08:38
Daniel Langemann
Mhm.
00:08:38
Daniel Langemann
Mhm.
00:08:49
Kai Ole Hartwig
Also muss ich mit einem neuen Hash die Dateien neu schreiben.
00:08:52
Kai Ole Hartwig
Jetzt habe ich drei oder fünf oder wie auch immer viele Pods laufen.
00:08:56
Kai Ole Hartwig
Dann schaut er immer wieder, und diesen Hash schreibt er sich in die Datenbank irgendwo weg.
00:09:01
Kai Ole Hartwig
da.
00:09:04
Kai Ole Hartwig
Schreibt die Datei wieder neu.
00:09:06
Kai Ole Hartwig
Und da der das immer wieder macht, hat man...
00:09:06
Daniel Langemann
Der Zustand des Caches oder Werte des Caches, um den Cache zu generieren, landen in der Datenbank in dem Pod oder in jedem einzelnen Pod unterschiedlich.
00:09:16
Daniel Langemann
Und dann versucht er mit diesem Wert im zentralen Storage zu gucken, zu sagen, guck mal, gibt es nicht, also muss ich neu machen.
00:09:16
Kai Ole Hartwig
Der Hash dafür, welcher es sein müsste.
00:09:28
Daniel Langemann
Und dann laufen die in der Reihe, treten sich dann gegenseitig auf die Füße die Angelegenheit.
00:09:31
Kai Ole Hartwig
Ja.
00:09:31
Kai Ole Hartwig
Ja, dann kommst du ja in so Situationen, dass du für den Deadlocks schreibst, weil immer wieder versucht wird, neu zu cachen und die Daten zu holen und so Sachen.
00:09:38
Daniel Langemann
Mhm.
00:09:38
Daniel Langemann
Mhm.
Optimierung durch AI und neue Caching-Lösungen
00:09:40
Kai Ole Hartwig
So, dann geht deine File-IO hoch.
00:09:47
Kai Ole Hartwig
also irgendwie dumm oder keine performante lösung wenn du dann anfängst das zu scheren und so sachen also habe ich gesagt ich habe ja eh ein key value warum schreibe ich nicht diesen state des cashings in den key value store
00:10:05
Daniel Langemann
ungefähr.
00:10:05
Daniel Langemann
Mhm.
00:10:09
Kai Ole Hartwig
Ja, genau.
00:10:09
Kai Ole Hartwig
Und schreibe aber den File-Cache einfach auf jeden Pod und habe einfach einen File-Metadata-Cache in Redis liegen.
00:10:18
Kai Ole Hartwig
Der regelt, ob irgendwo etwas neu geschrieben wird.
00:10:28
Kai Ole Hartwig
aufgeräumt.
00:10:31
Kai Ole Hartwig
Also über einen Scheduled-Job.
00:10:34
Kai Ole Hartwig
Und...
00:10:37
Kai Ole Hartwig
Ja, so, und ich lösche quasi nur noch den File Metadata Cache im Key-Value-Store weg, also im Redis oder Volkey, und bin jetzt total glücklich, weil ich auch noch aus Versehen dabei ein Performance-Bottleneck im Caching-Framework umgangen habe.
00:10:53
Kai Ole Hartwig
Und dieses Cluster-File-Backend jetzt selbst beim Single-Pot-Betrieb oder Single-Server-Betrieb schneller funktioniert als das File-Back und das Simple-File-Backend.
00:11:06
Daniel Langemann
Das heißt, du hast jetzt aber auch eine zentrale Stelle, wo die Metadaten zum Cache, also dieser Filehash gespeichert ist, du kannst nur den theoretisch löscht, auch noch in allen Pots invalidieren, den Cache.
00:11:12
Kai Ole Hartwig
Ja.
00:11:18
Daniel Langemann
Also jetzt umgekehrt, was du gesagt hast, du hast ja früher mal einen Service gebaut, der dann das Löschen orchestrieren musste, damit das überall funktioniert.
00:11:25
Daniel Langemann
Jetzt umgekehrt, wenn du im Redis diese Metadaten vorhältst oder entfernst, müsste dann auch jeder Pod auch einen neuen Filecache bauen, oder nicht?
00:11:34
Kai Ole Hartwig
Ja.
00:11:34
Kai Ole Hartwig
Ja, genau.
00:11:35
Kai Ole Hartwig
Das ist das, was ich mache.
00:11:36
Kai Ole Hartwig
Ich dachte, ich hätte das gesagt.
00:11:38
Kai Ole Hartwig
Vielleicht war ich einfach nicht so eindeutig.
00:11:39
Daniel Langemann
Jetzt habe ich mich glück gefühlt, weil ich selber drauf gekommen bin.
00:11:41
Daniel Langemann
Oh, cool.
00:11:44
Kai Ole Hartwig
So, So, habe ich Performance-Tests gegen gefahren, habe dann ein bisschen, also habe ein paar Iterationen gebraucht, bis es tatsächlich so schnell war.
00:11:55
Kai Ole Hartwig
So, habe ich jetzt im Einsatz, wird, wenn wir diese Folge veröffentlichen, vermutlich auch schon Open Source sein.
00:12:00
Kai Ole Hartwig
So, ähm.
00:12:06
Kai Ole Hartwig
Also sprich, manchmal diese Kubernetes-Betriebsprobleme, manchmal sind das auch Probleme, die man sich selber macht, weil irgendwo in der Doku steht, nee, das geht so nicht.
00:12:16
Kai Ole Hartwig
Und ja, natürlich, es stimmt, mit den Core-Dingern geht das nicht.
00:12:22
Kai Ole Hartwig
Man muss sich was Eigenes bauen.
00:12:24
Kai Ole Hartwig
Punkt.
00:12:25
Kai Ole Hartwig
So, aber was Eigenes bauen, in dem Fall nicht irgendeinen Service, der irgendwie diese Cache löscht, sondern ein Service, der das File-Caching effizienter abwickelt.
00:12:36
Daniel Langemann
Kennst du diesen ekelhaften Motivationsspruch, ne?
00:12:39
Daniel Langemann
Alle sagten, es geht nicht, bis jemand kam und nicht wusste, dass das nicht geht, ne?
00:12:43
Kai Ole Hartwig
Ja, das ist ganz ehrlich, ich erlebe das so häufig, dass irgendwelche Junior-Entwickler
00:12:51
Kai Ole Hartwig
halt mit einem völlig losgelösten, frischen Blick in Projekte reinkommen, wenig Erfahrung, sage ich mal, im Vergleich zu Senior-Entwicklern oder zu Juniors, die auch länger in diesen Projekten drin sind, ja, genau gleiche Effekte ja bei Freelancern, die von außen reinkommen, die sagen, naja, das ist ja gar kein Problem, das Problem, was angeblich da ist, lösen und dann kommt nachher, das geht aber ja gar nicht, ja, doch, funktioniert ja, ist auf Brot deployed, wo ist das Problem?
00:13:21
Daniel Langemann
Ja, genau.
00:13:21
Daniel Langemann
Ich habe es schon gelöst.
00:13:23
Daniel Langemann
Ja.
00:13:24
Kai Ole Hartwig
So, ja, und ich finde, das ist halt so ein gutes Zeichen.
00:13:32
Kai Ole Hartwig
Ich hätte es auch ehrlicherweise ohne KI-Support nie so schnell und in der Tiefe validieren und lösen können.
00:13:42
Kai Ole Hartwig
Ja, also muss man auch so sehen, oder muss ich zu meiner Schande gestehen, ähm,
00:13:51
Kai Ole Hartwig
Die KI hat beim Analysieren dieses Problems und beim Lösen des Problems extrem gut geholfen, weil ich mich halt nicht mehr selber durch den Chor durchwühlen musste.
00:14:03
Kai Ole Hartwig
Ich habe das vor Jahren schon öfters getan.
00:14:06
Kai Ole Hartwig
Also ich wusste relativ gut, okay, dass das Problem existiert und das ist real.
00:14:11
Kai Ole Hartwig
Und so, dann hatte ich halt diese...
00:14:14
Daniel Langemann
Aber das ist eine grundlegende Sache, wie du KI einsetzt.
00:14:18
Daniel Langemann
Und du beschreibst das gerade super, dass du KI nicht zum Generieren von Code nutzt oder beziehungsweise um Features bauen zu lassen, sondern gerade für Recherche und Validierungen.
00:14:26
Daniel Langemann
Sachen, die dich unnötig Zeit kosten, wo du dich durch 15 oder 20 Design-Patterns durchklicken musst, um zu verstehen, was wann wo passiert.
00:14:35
Daniel Langemann
ist ja, und als Experte bist du ja geistig, also tief genug im System drin, du hast genug Expertise, um genau die richtige Frage zu stellen, zu sagen, was kann ich mit diesem Cache machen oder geht das anders?
00:14:46
Daniel Langemann
Und dann ist auch die KI, dann hat die genug Infos und kann loslaufen und präsentieren.
00:14:51
Kai Ole Hartwig
Ich habe sogar tatsächlich die Fragen anders gestellt.
00:14:53
Kai Ole Hartwig
Ich habe gefragt, erinnere ich mich richtig, dass dieses und dieses Verhalten in dem Cash so existiert?
AI in Sicherheitstests: Möglichkeiten und Risiken
00:15:00
Daniel Langemann
Ja, siehst du, dann hast du das, was du geschrieben hast.
00:15:01
Kai Ole Hartwig
So, jetzt ist natürlich das tiefe Systemwissen da und dann habe ich aus den Erkenntnissen aber nachher auch die Specs mehr oder weniger generieren lassen und tatsächlich nur Tests implementiert und den Rest dann aber von der KI implementieren lassen anhand der Tatsache, dass die Tests grün werden mussten und dass die Specs erfüllt sein mussten.
00:15:10
Daniel Langemann
Ja, go ahead.
00:15:25
Kai Ole Hartwig
Also die KI hat es dann doch irgendwo geschrieben, aber ich sage jetzt mal, dieses Recherche
00:15:31
Kai Ole Hartwig
hat das extrem vereinfacht und auch das Validieren extrem vereinfacht.
00:15:36
Kai Ole Hartwig
Und dann halt mit diesen Leitplanken, um beim Deutschen zu bleiben, hat das dann sehr, sehr schnell, sehr effektiv tatsächlich das gemacht und wirklich auch
00:15:43
Daniel Langemann
Vielen Dank.
00:15:56
Kai Ole Hartwig
in einer guten Qualität geschrieben, dadurch, dass ich halt auch jetzt im Tooling einfach Abläufe festgelegt habe.
00:16:03
Kai Ole Hartwig
Ja, sowas wie PHP-Stan läuft durch.
00:16:06
Kai Ole Hartwig
Die Coding-Standards werden gecheckt und so.
00:16:09
Kai Ole Hartwig
Also er fällt bei mir sehr früh aufs Knie rein von dem Ablauf, der mittlerweile da drin ist.
00:16:16
Kai Ole Hartwig
Womit wir aber zu einem...
00:16:16
Daniel Langemann
Manchmal habe ich das Gefühl, das ist tagesformabhängig, aber ja.
00:16:19
Daniel Langemann
Mhm.
00:16:20
Kai Ole Hartwig
Ja, womit wir zu einem ganz anderen Thema, als wir eben besprochen haben, gekommen sind.
00:16:24
Kai Ole Hartwig
Ich hatte ja mal vor einiger Zeit, ich weiß gar nicht, ob wir darüber gesprochen hatten, schon darüber, also bin ich in dieses Antropic Cyber Professional Program oder so aufgenommen worden.
00:16:38
Kai Ole Hartwig
Also kannst du beantragen und wirst dann aufgenommen.
00:16:41
Kai Ole Hartwig
Aber die KI ist quasi selbstständig bei mir um die Ecke gekommen und hat gesagt, du machst spooky Sachen hier, die sind in den Cyber Security Gateways nicht erlaubt.
00:16:52
Kai Ole Hartwig
Hier kannst du einen Antrag, also hier kannst du ein Formular ausfüllen.
00:16:57
Kai Ole Hartwig
Und dann entscheiden wir, ob wir quasi diese Sicherheit rausnehmen und du das machen darfst.
00:17:04
Kai Ole Hartwig
Und was ich jetzt kann und was ich total geil finde, ist, ich kann jetzt mit der KI Pentests fahren.
00:17:12
Daniel Langemann
Gut oder schlecht?
00:17:12
Daniel Langemann
Gut.
00:17:14
Kai Ole Hartwig
So.
00:17:16
Kai Ole Hartwig
Und wir haben ja einige Systeme, die regelmäßig durch Pentests gehen.
00:17:21
Kai Ole Hartwig
Und eins von diesen Systemen habe ich mir
00:17:26
Kai Ole Hartwig
Ja, es war erschreckend.
00:17:31
Kai Ole Hartwig
Im offiziellen Pentest Pentest ist es dem Tester nicht gelungen, von außen ins System einzudringen.
00:17:40
Kai Ole Hartwig
Wenn er im System drin war, konnte er Privilege Escalation an einigen Stellen machen oder den Nail of Service.
00:17:46
Daniel Langemann
Mhm, krass.
00:17:49
Kai Ole Hartwig
Das wurde dann gefixt alles.
00:17:53
Kai Ole Hartwig
alles cool.
00:17:55
Kai Ole Hartwig
Jetzt habe ich mit dem aktuellen Stand den Pentest fahren lassen gegen das aktuelle System, System, mit der Erkenntnis und auch dann nochmal gegen den alten Stand, dass die KI es geschafft hat, in das System von außen einzudringen und die Schreibenden Zugriff auf die Datenbank zu bekommen.
00:18:13
Kai Ole Hartwig
Ja, hat dann 17 Sicherheitsstücken gefunden.
00:18:16
Kai Ole Hartwig
In dem offiziellen Pentest wurden sieben gefunden.
00:18:24
Daniel Langemann
Mhm.
00:18:26
Kai Ole Hartwig
ist.
00:18:29
Kai Ole Hartwig
Und...
00:18:32
Kai Ole Hartwig
Es hat mich etwas erschrocken, ehrlich gesagt.
00:18:36
Kai Ole Hartwig
Die Sicherheitslücken in unserem System haben wir natürlich geschlossen.
00:18:40
Kai Ole Hartwig
Da muss jetzt keiner mehr probieren.
00:18:43
Kai Ole Hartwig
Die sind geschlossen.
00:18:46
Kai Ole Hartwig
Aber ich überlege tatsächlich, dass wir jetzt Pentests irgendwie auf, also KI-geführte Pentests als regelmäßigen Job vielleicht in CICD oder
00:19:02
Kai Ole Hartwig
in irgendeiner anderen Form mit unseren Patterns aufnehmen in unserer Entwicklungsarbeit.
00:19:08
Daniel Langemann
Ist das etwas, was man so nebenbei laufen lassen kann oder ist das eher so, dass man das, weiß ich nicht, sagt, einmal im Monat, alle zwei Wochen, keine Ahnung, wo man sich wirklich aktiv hinsetzt und sagt, so was waren die letzten, also andersrum.
00:19:20
Daniel Langemann
Lässt man das einfach immer wieder stupide laufen oder ist das so ein Beispiel dafür, wie du hast genug Grundwissen, wie du jetzt zur Recherche vorhin auch brauchtest und sagst, guck mal, das ist das System, versuch mal über diese Stelle reinzukommen oder die und die Stelle haben wir jetzt verändert, versuch die mal explizit zu testen.
00:19:36
Daniel Langemann
Also ist das so etwas, wo du sagst, ich würde das einfach immer wieder stupide laufen lassen, versuch mal von außen reinzukommen oder wirklich so punktuell zu sagen, ich guck mal, was da Neues ist, was sich geändert hat.
00:19:46
Daniel Langemann
Mhm.
00:19:48
Kai Ole Hartwig
Ja, ich denke, das ist eine Mischung aus beiden.
00:19:52
Kai Ole Hartwig
Also zum einen musst du da schon sehr spezifisch sein und bestimmte Sachen auch freigeben.
00:20:00
Kai Ole Hartwig
Also der geht nicht automatisch hin und zerstört deine Datenbank oder ähnliches.
00:20:11
Kai Ole Hartwig
zumindest nicht im Pentest.
00:20:14
Kai Ole Hartwig
Wenn du irgendwelche komischen Dinge tust, dann möchte ich das nicht ausschließen, aber in diesem Pentest-Modus, wenn du ihm sagst, okay, ich möchte, dass du einen Pentest durchführst auf dieses System und und das sind quasi die Wege,
00:20:26
Daniel Langemann
Mhm.
00:20:38
Kai Ole Hartwig
die du machen kannst.
00:20:42
Kai Ole Hartwig
Oder du kannst es auch sehr offen formulieren.
00:20:44
Kai Ole Hartwig
Du kannst auch sagen, hey, hier habe ich das System.
00:20:50
Kai Ole Hartwig
ich möchte, dass du wie ein normaler Besucher versuchst, von außen das System einzudringen, für hier bitte ein Pentast durch.
00:20:57
Kai Ole Hartwig
Dann ist es so, dass du Rückfragen bekommst, wie weit Cloud gehen darf.
00:21:05
Kai Ole Hartwig
Und dann läuft es, ab dem es gestartet ist, durch und wird dir auch einen ausführlichen Bericht geben.
00:21:10
Kai Ole Hartwig
Also es schreibt erst einen Plan.
00:21:12
Daniel Langemann
Ja.
00:21:12
Daniel Langemann
Cool.
00:21:12
Daniel Langemann
Geil.
00:21:12
Kai Ole Hartwig
Du solltest den Planmodus quasi starten, damit der Plan einmal ausgeschrieben wird.
00:21:12
Daniel Langemann
Also...
00:21:20
Kai Ole Hartwig
Und dann quasi im Automodus durchlaufen lassen.
00:21:25
Kai Ole Hartwig
durch.
00:21:29
Kai Ole Hartwig
Und ja, hackt sich dann halt in dein System ein.
00:21:38
Kai Ole Hartwig
So, und da waren auch drei wirklich kritische Sicherheitsunternehmen.
00:21:44
Kai Ole Hartwig
mit einer hohen 9er Bewertung.
00:21:48
Kai Ole Hartwig
Jetzt könnte ich natürlich sagen, ja, das war alles in Komponenten, die nicht von mir sind.
00:21:53
Daniel Langemann
Genau, immer erstmal Fingerpointing auf die anderen.
00:21:54
Daniel Langemann
Aber ändert ja nichts daran.
00:22:00
Kai Ole Hartwig
Zwei Sachen waren auch einfach eine Config, die anders besser funktioniert und mehr absichert.
00:22:07
Daniel Langemann
Krass.
00:22:08
Kai Ole Hartwig
Ja, also
00:22:09
Daniel Langemann
Also nicht so offensichtliche Sachen wie SQL Injection hier oder so Standardsachen.
00:22:15
Kai Ole Hartwig
Nee, nee, ganz raffiniert.
00:22:17
Kai Ole Hartwig
Also es hat auch Cash-Poisoning angewendet dafür und so Sachen.
00:22:21
Daniel Langemann
Krass.
00:22:22
Daniel Langemann
Besonders.
00:22:22
Kai Ole Hartwig
Also das Vorgehen war schon wirklich ausgefeilt.
00:22:22
Daniel Langemann
Mhm.
00:22:29
Kai Ole Hartwig
Der Weg, wie es eingedrungen ist, ich möchte da jetzt nicht zu sehr ins Detail gehen, war auch wirklich wirklich raffiniert.
AI in Cybersicherheit: Ethische Überlegungen
00:22:38
Kai Ole Hartwig
Ich war wirklich beeindruckt.
00:22:39
Kai Ole Hartwig
Also der Plan klang schon
00:22:42
Kai Ole Hartwig
wo ich so dachte, boah, das ist jetzt aber, hätte ich jetzt einfach nicht erwartet.
00:22:54
Kai Ole Hartwig
Und ist dann auch wirklich, war der Plan erfolgreich.
00:22:58
Kai Ole Hartwig
Das hat mich noch mehr überrascht.
00:23:02
Kai Ole Hartwig
So, ja, also ich bin das ja von menschlichen Pentestern gewöhnt.
00:23:07
Kai Ole Hartwig
Die verraten ja ihre Pläne auch nicht.
00:23:09
Kai Ole Hartwig
Das ist auch völlig in Ordnung.
00:23:13
Kai Ole Hartwig
Natürlich im Nachgang kennt man dann die Pläne und weiß, wie wurde vorgegangen, gerade wenn Lücken entdeckt wurden, damit man auch validieren kann.
00:23:25
Kai Ole Hartwig
Hier kennt man sie vorher und es war auch wirklich spannend zuzuschauen.
00:23:28
Kai Ole Hartwig
Ich habe da jetzt mir die halbe Stunde quasi genommen und zugeschaut, was er macht.
00:23:31
Daniel Langemann
Ich wollte gerade fragen, was ist so das Zeitfenster, wie lange sowas durchläuft?
00:23:35
Daniel Langemann
Also das hat eine halbe Stunde, Stunde?
00:23:37
Kai Ole Hartwig
Ja, mit Vorbereitung und Nachbereitung war das eine Stunde, der Test an sich.
00:23:44
Kai Ole Hartwig
Und dann würde ich sagen, so nochmal vier Stunden, um die Sicherheitslücken zu schließen.
00:23:49
Daniel Langemann
Kann man jetzt sagen, dass alle Pentester arbeitslos werden demnächst?
00:23:54
Kai Ole Hartwig
Ja, natürlich unbedingt.
00:23:55
Kai Ole Hartwig
Genau wie alle Entwickler arbeitslos werden.
00:23:59
Kai Ole Hartwig
Ich glaube, oder mein Eindruck ist,
00:24:03
Kai Ole Hartwig
Es ist ein Werkzeug, mit dem wir Software sicherer bekommen.
00:24:08
Kai Ole Hartwig
Es wird die Pentest-Welt, die ich zumindest kenne, ich bin da ja nicht so megativ jeden Tag drin, ich bin da ja immer wieder Gast,
00:24:22
Kai Ole Hartwig
ist, weil ich auf der anderen Seite stehe, ich bin ja immer derjenige, der versucht, die Tür zuzudrücken, während jemand mit der Axt versucht, reinzukommen.
00:24:36
Kai Ole Hartwig
Ich denke, diese Testwelt wird sich verändern, weil du jetzt natürlich in der Lage bist, in kürziger Zeit viel intensiver zu testen.
00:24:41
Daniel Langemann
Ja.
00:24:50
Kai Ole Hartwig
Ich sehe da große Vorteile drin.
00:24:54
Kai Ole Hartwig
Es sind natürlich auch Risiken.
00:24:56
Kai Ole Hartwig
Es ist gut, dass nicht jeder diese Tests einfach random ausführen kann.
00:25:05
Kai Ole Hartwig
Und auf der anderen Seite finde ich es aber auch extrem cool, dass man halt quasi den Status bekommen kann, dass man das tun darf.
00:25:13
Daniel Langemann
Ich meine, okay, Grundsatzfrage wäre jetzt, ist das gut, dass das nicht jeder ausführen darf oder nicht?
00:25:21
Daniel Langemann
Weil wenn es jeder dürfte, dann sagen wir, die bösen Jungs würden das natürlich auch machen und auch ausnutzen.
00:25:28
Daniel Langemann
Aber würde es nicht dazu führen, dass alle Applikationen besser werden und dass zum Beispiel auch gerade Open Source extrem davon profitieren könnte, wenn Open Source Entwickler halt nicht dafür zahlen müssten oder zum Beispiel kostenlos Zugang zu sowas hätten, um Open Source Software einfach per Default viel sicherer zu machen?
00:25:45
Daniel Langemann
Ja, okay.
00:25:46
Kai Ole Hartwig
Ja, bestimmte, also sowas wie die Linux Foundation oder so, die haben ja tatsächlich Budget bekommen dafür.
00:25:51
Daniel Langemann
Geil.
00:25:52
Kai Ole Hartwig
Also haben Token bekommen, um das zu machen.
00:25:55
Daniel Langemann
Ja, das ist gut.
00:26:00
Kai Ole Hartwig
Mein Eindruck ist, es passieren da entsprechende Dinge.
00:26:03
Kai Ole Hartwig
Antropic hat jetzt ja überraschenderweise auch veröffentlicht, dass sie Gewinn machen.
00:26:06
Daniel Langemann
Ja, ne?
00:26:07
Daniel Langemann
Die sind... Können sie direkt mal die Preise reduzieren.
00:26:08
Kai Ole Hartwig
Also...
00:26:12
Daniel Langemann
Für uns Arme-Güter.
00:26:12
Kai Ole Hartwig
Nee, die Token oben lassen.
00:26:16
Kai Ole Hartwig
Also die Preise so lassen, wie sie sind, das ist völlig in Ordnung.
00:26:19
Kai Ole Hartwig
Aber ich brauche die Token bitte, ja?
00:26:24
Daniel Langemann
Hast du Token?
00:26:26
Kai Ole Hartwig
Genau.
00:26:27
Kai Ole Hartwig
Gib mir Token.
00:26:28
Daniel Langemann
Hast du bei Team... Daddy-Besprechungen am Morgen.
00:26:28
Kai Ole Hartwig
Token.
00:26:31
Daniel Langemann
Wer hat noch Token übrig?
00:26:32
Daniel Langemann
Wer kann meinen Tag zu Ende machen?
00:26:34
Daniel Langemann
Ja.
00:26:37
Kai Ole Hartwig
Ja, den Lead habe ich ja nicht unbedingt.
00:26:39
Daniel Langemann
Ja.
00:26:41
Kai Ole Hartwig
Ähm.
00:26:43
Kai Ole Hartwig
Aber ja, das ist ja schon eine reale Begrenzung.
00:26:47
Kai Ole Hartwig
Und auf der anderen Seite geht die Psy-Kinder und gibt dir für 80 Cent Millionen Token.
00:26:51
Kai Ole Hartwig
Also verrückte Welt.
00:26:57
Kai Ole Hartwig
Ich hatte jetzt gerade noch einen Gedanken.
00:26:58
Kai Ole Hartwig
Ah, genau.
00:26:59
Kai Ole Hartwig
Wir waren ja gerade so bei diesen Sicherheitsthemen.
00:27:01
Kai Ole Hartwig
Ich weiß nicht, ob du es gelesen hast.
00:27:03
Kai Ole Hartwig
Das war auch relativ kurzfristig jetzt eine Neuigkeit, dass du eigentlich Open-Wide-Modellen, die du irgendwo runterlädst, gar nicht vertrauen kannst, ne?
00:27:12
Daniel Langemann
Ja, ja, ja.
00:27:13
Daniel Langemann
Also ich bin drüber geflogen.
00:27:16
Daniel Langemann
Ich habe mich doch ein bisschen vorbereitet heute.
00:27:18
Kai Ole Hartwig
Nein!
00:27:19
Daniel Langemann
Ja, also nicht direkt.
00:27:21
Daniel Langemann
Ich habe auch am Wochenende zufällig mich so ein bisschen damit beschäftigt, aber aus einem anderen Grund einfach, weil ich versucht habe, Lokalmodelle ans Laufen zu kriegen und mich so ein bisschen mit den Grundlagen beschäftigt habe.
00:27:34
Daniel Langemann
Was sind da Caches, bla bla bla, wie sind die Sachen aufgebaut?
00:27:37
Daniel Langemann
Und das fand ich zum Beispiel jetzt interessant, das Grundlagenwissen dazu zu haben, zu diesem, was du dann jetzt meintest, weil... Ja, ich glaube, wir brauchen einen Gast, oder?
00:27:45
Kai Ole Hartwig
Ja, ich muss gestehen, das ist ja eher ein Thema von meiner Frau.
00:27:49
Kai Ole Hartwig
Meine Frau hat ja Computerlinguistik studiert.
00:27:54
Kai Ole Hartwig
also, ja, so, die Grundlagen von dem Shit, ähm, die hat das auch sofort verstanden, hast du in diesem Artikel steht, ich musste Fachbegriffe nachschlagen, Schande über mein Haupt, ähm, der, die, äh, das eine Semester oder der eine Kurs Computerlinguistik hat das bei weitem offensichtlich nicht abgedeckt, was man in einem vollwertigen Computerlinguistikstudium lernt, ähm, ähm,
00:27:58
Daniel Langemann
Mhm.
00:28:06
Daniel Langemann
Also
00:28:24
Kai Ole Hartwig
Der auch, bevor die KI-Modelle, ja, und da muss man jetzt mal kurz Kritik hier an der Bildungs-, an der universitären Ausbildung hier in Deutschland üben.
00:28:36
Kai Ole Hartwig
Ja, die Computerlinguistik hier in Düsseldorf wurde ja eingestellt, bevor der KI-Hype gestartet ist.
00:28:42
Kai Ole Hartwig
Sorry, not sorry, wir bräuchten gerade diese Leute.
00:28:46
Daniel Langemann
Tja, die studieren das nicht mehr, die studieren jetzt woanders.
00:28:48
Daniel Langemann
Ja.
00:28:48
Daniel Langemann
Bros.
00:28:48
Daniel Langemann
Ja.
00:28:50
Kai Ole Hartwig
Ja, und gehen dann auch woanders hin, Silicon Valley, ne?
00:28:54
Kai Ole Hartwig
Schöne Grüße an die Leser von meinem Blog im Silicon Valley.
00:29:02
Kai Ole Hartwig
Und schöne Grüße an die Leute aus Frankreich, die regelmäßig Kims KI-Beiträge lesen.
00:29:11
Kai Ole Hartwig
Aber worauf ich hinaus wollte ist, irgendwie ist ja jetzt, oder hat man ja in einer Studie und in Tests festgestellt, diese Open-Welt-Modelle, du kannst denen unfassbar schlecht vertrauen eigentlich, weil du diese Sicherheitsebene da in 10 Minuten, halben Stunde irgendwie sowas rausgehämmert bekommst.
00:29:29
Daniel Langemann
Ja.
00:29:29
Daniel Langemann
Ja.
00:29:30
Kai Ole Hartwig
So, und dann können die, wenn ich das richtig verstanden habe, ich bin mir gerade, ja, Disclaimer, kannst du dann quasi das auch so manipulieren, dass es die Daten woanders hinschickt?
00:29:44
Kai Ole Hartwig
Ja, das, was du da wissen willst von dem Modell, dass du das Modell quasi, das du runtergeladen hast, so manipulieren kannst?
00:29:50
Kai Ole Hartwig
Oder jemand anderes manipuliert haben könnte?
00:29:54
Kai Ole Hartwig
Dass es dann auch die Daten verschickt?
00:29:57
Daniel Langemann
Ja, ja.
00:29:58
Daniel Langemann
Also das ist einer der ersten Punkte, die ich mir auch schon gedacht habe, als ich angefangen habe, so mit lokalen Modellen rumzuspielen.
00:30:05
Daniel Langemann
Ich lade einfach, also gefühlt einfach aus dem Internet irgendwo Modelle runter und führe die aus.
00:30:11
Daniel Langemann
Weißt du, würde ich eine Excel-Datei oder, weiß ich nicht, ein Web-Paket oder egal welches Betriebssystem, irgendwas aus dem Netz laden und das ohne zu gucken, ausführen, würde ich sagen, ich bin der dümmste Mensch auf dem Planeten.
00:30:12
Kai Ole Hartwig
Ja, und...
00:30:26
Daniel Langemann
solltest du seit 20 Jahren nicht mehr machen.
00:30:29
Daniel Langemann
Es gibt jetzt LLMs, ey cool, Olama Pulp, gib ihm.
00:30:34
Kai Ole Hartwig
Ja, ich glaube, Olama weiß ich gar nicht, ob da wenigstens halbwegs validiert ist, aus welcher Quelle.
00:30:42
Kai Ole Hartwig
Ich habe das Gefühl, auch Hugging Faces oder wie es heißt.
00:30:45
Kai Ole Hartwig
Ja.
00:30:46
Daniel Langemann
Ich habe, also da habe ich jetzt, nachdem du den Artikel geschickt hast, habe ich fünf Minuten recherchiert und da gibt es, also es gibt verifizierte Firmen, also zum Beispiel Nvidia für den Nvidia Spark und so.
00:30:58
Daniel Langemann
Die haben da so ihre Modelle, die die optimieren.
00:31:01
Daniel Langemann
Und da gibt es auch Comet-IDs und Hashes, die du sozusagen verifizieren kannst, ob das, was bei dir ankommt, auch das ist, was da veröffentlicht wurde.
00:31:06
Kai Ole Hartwig
Ja.
00:31:12
Daniel Langemann
Aber es gibt ja auch zig Modelle, die dann auf anderen Repositories sozusagen auch auf Hugging Face veröffentlicht werden von anderen Leuten, die dann Parameter, also das ist ähnlich wie Docker Hub auch, wo du sagen kannst, es gibt das Original-PHP-Image und es gibt zig Ableitungen davon, weil natürlich unterschiedlichste Einsatzzwecke da sind.
00:31:31
Daniel Langemann
Jeder optimiert das für seine Hardware, Parameter, Token, jeder hat natürlich die Konfig, die alles besser macht.
00:31:39
Daniel Langemann
Und das ist halt Wildwuchs.
00:31:41
Daniel Langemann
Da tue ich mir auch schwer.
00:31:42
Kai Ole Hartwig
Ja gut, ist bei Docker Hub auch.
00:31:43
Daniel Langemann
Naja.
00:31:46
Daniel Langemann
Aber das ist eigentlich identisch.
00:31:47
Daniel Langemann
Ich habe mich da sehr abgeholt gefühlt.
00:31:49
Daniel Langemann
Das ist genau da.
00:31:50
Kai Ole Hartwig
Ja, also, das ist ja auf allen Plattformen so, du kannst halt einfach veröffentlichen.
00:31:55
Kai Ole Hartwig
Hm?
00:31:56
Daniel Langemann
Aber interessant fand ich aus der Beschreibung heraus, soweit ich mir das zusammengereimt habe, geht es ja darum, dass es in Modellen Sicherheitsschichten gibt,
00:32:08
Daniel Langemann
sagen wir mal, deine Anfrage beurteilen.
00:32:10
Daniel Langemann
Also ich versuche das möglichst simpel jetzt wiederzugeben, weil A, habe ich es so komplex nicht verstanden, ich kann es so nicht wiedergeben und ich hoffe, alle Leute, die damit arbeiten, hassen mich nicht dafür, dass ich ihre Arbeit runterspiele.
00:32:20
Daniel Langemann
Also das ist Raketenwissenschaft.
00:32:22
Daniel Langemann
Aber für Menschen wie mich oder für uns, das sind ja eigentlich nur Schichten hintereinander, wo Daten reinkommen oder Token reinkommen und dann transformiert werden und dann immer mehr Kontext hinzugerechnet wird.
00:32:36
Kai Ole Hartwig
Aber
00:32:37
Daniel Langemann
Ganz simpel, bitte schlag mich nicht.
00:32:39
Daniel Langemann
Und in einem Vektorraum wird dann gesagt, guck mal, diese Frage, oder dann kannst du ja auch Richtungen bestimmen mathematisch und sagen, guck mal, das geht jetzt in eine Richtung, die wollen wir nicht zulassen.
00:32:50
Daniel Langemann
Und so war ja dieser Angriff, dass man das vorausahnen kann und das beeinflussen kann und dadurch sozusagen die Sicherheitsmechanismen in einem Modell umgehen kann.
00:33:05
Kai Ole Hartwig
Ja, ich hatte es so verstanden, dass man hinbekommt, eine komplette Schicht daraus zu trennen.
00:33:11
Kai Ole Hartwig
Quasi.
00:33:12
Kai Ole Hartwig
Oder die stillzulegen oder so.
00:33:14
Daniel Langemann
Ja, genau, indem du die Richtung veränderst, aber das Model nicht kaputt machst.
00:33:14
Kai Ole Hartwig
Aber... Hm?
00:33:20
Daniel Langemann
Also es ist ja nicht so linear wie bei der Programmierung, dass du sagst, da kommt rein, unten kommt raus.
00:33:25
Daniel Langemann
Du kannst ja theoretisch in einem multidimensionalen Raum mathematisch dich bewegen und sagen, guck mal, ich gehe links oder rechts rum und komme beides mal am gleichen Ergebnis an.
00:33:35
Kai Ole Hartwig
Ja, Vektoren halt, ne?
00:33:39
Daniel Langemann
Boah, ich weiß schon mal, ob ich Webentwicklung mache.
00:33:43
Kai Ole Hartwig
Ja, ich hoffe, meine Matheprofessorin schaut nicht zu von damals.
00:33:50
Kai Ole Hartwig
Vielen Dank, dass ich den Kurs bestanden habe.
00:33:55
Daniel Langemann
Du müsstest jetzt mit 50 Euro Schein noch so wedeln.
00:34:01
Kai Ole Hartwig
Ja, das macht man ja heute unauffälliger, Daniel.
00:34:04
Daniel Langemann
Ach so.
00:34:08
Daniel Langemann
Aber zumindest zu dem Angriffsvektor zurück.
00:34:09
Daniel Langemann
Also so hatte ich mir das erarbeitet gerade oder vorhin.
00:34:13
Kai Ole Hartwig
Schon wieder ein Vector.
00:34:14
Kai Ole Hartwig
Ja.
00:34:14
Daniel Langemann
Ja.
00:34:16
Daniel Langemann
Geiles Wort.
00:34:17
Daniel Langemann
Und
00:34:20
Daniel Langemann
Damit konntest du ja dann wirklich alles umgehen, dass die Modelle alles, also nicht alles machen, aber wahrscheinlicher das machen, was du möchtest oder halt auch nicht machen.
00:34:29
Daniel Langemann
Und das ist schon erschreckend, gerade weil das A, hochkomplex ist das Thema.
00:34:35
Daniel Langemann
Also das ist nicht so, ich baue da etwas ein und dann sind da Stranken drin und der beantwortet einfach nie, wie ich jetzt, keine Ahnung, eine dreckige Bombe baue oder wie ich an deine Kontodaten komme oder in das System reinkomme.
00:34:47
Kai Ole Hartwig
Hm.
00:34:47
Kai Ole Hartwig
Hm.
00:34:48
Daniel Langemann
Das ist schon schwerer irgendwie.
00:34:50
Daniel Langemann
Und gerade weil das Feld auch neu ist, ist es auf der anderen Seite auch so schwer, irgendwie so die richtigen Modelle zu finden.
00:34:56
Daniel Langemann
Gerade wenn du so neu in das Feld reinkommst, ist das ja so, du wirst ja erst mal erschlagen an Infos.
00:35:01
Daniel Langemann
Wenn du dich mit Modellen und LLMs überhaupt noch nicht beschäftigt hast, dann fängt es an, okay, die Größe von Modellen ist der erste Schmerzpunkt, den ich habe.
00:35:10
Daniel Langemann
Passt das überhaupt auf meine Dinge drauf?
00:35:13
Daniel Langemann
Unterstützt das meine Architektur?
00:35:15
Daniel Langemann
Quantifizierung und, und, und, wie viel?
00:35:18
Daniel Langemann
Und schon bist du da komplett lost eigentlich, wo du dann das richtige Modell herkriegst.
00:35:22
Kai Ole Hartwig
Ja, aber ich würde sagen, das ist nicht schwer, sondern das ist komplex.
00:35:22
Daniel Langemann
Ja.
00:35:26
Kai Ole Hartwig
Es hat einfach viele unterschiedliche Ebenen, mit denen man sich auf einmal beschäftigen muss, die als Nutzer der KI im täglichen oder auch als Entwickler dagegen eine normale Schnittstelle geht, wo man KI drin findet.
00:35:49
Kai Ole Hartwig
oder beim Prompt Engineering oder sonst irgendwelchen Feld, da bist du ja Nutzer eines fertigen Systems.
Zukünftige Sicherheitsupdates und Ausblick
00:35:55
Kai Ole Hartwig
Und jetzt so wie du, ich finde das mega spannend, sich das komplett aufzusetzen, ist natürlich eine komplett andere Schicht.
00:36:02
Kai Ole Hartwig
Und dann, es fängt ja eigentlich viel früher an.
00:36:04
Kai Ole Hartwig
Man muss sich ja schon beschäftigen, nicht nur welches Modell ist es, sondern auch welches System nutze ich denn, um diese Modelle auszuführen.
00:36:12
Kai Ole Hartwig
Da gibt es ja auch unterschiedlichste Dinge, also VL,
00:36:16
Kai Ole Hartwig
VLLM VLLM VLLM
00:36:17
Daniel Langemann
Ja, genau.
00:36:19
Daniel Langemann
VLLM, ULAMA, LLCP.
00:36:35
Daniel Langemann
Also ich generiere Code beziehungsweise bin faul und versuche Arbeit, die ich hasse, zu delegieren.
00:36:40
Daniel Langemann
Also das beste Beispiel ist seit gestern oder gestern,
00:36:45
Daniel Langemann
das wäre schön.
00:36:48
Daniel Langemann
Nein, nein, nein.
00:36:50
Daniel Langemann
Große Projektbasis zum Beispiel und da geht es um eine Aktualisierung und da wurde einfach auf den Token Storage zugegriffen im Symphonie-Projekt und das muss ausgetauscht werden, also weil sich Sachen ändern und das zu Problemen führen kann und das ist gefühlt über jede zweite Klasse muss jetzt einfach eine eigene Klasse eingeführt werden, also das ist besseres Suchen und Ersetzen, weil es
00:37:14
Kai Ole Hartwig
Ich kann dir mit deinem Problem nicht ganz folgen gerade.
00:37:17
Daniel Langemann
Ja.
00:37:17
Kai Ole Hartwig
Du hast mich etwas abgehangen bei Token Storage und.
00:37:19
Daniel Langemann
Sehr gut.
00:37:20
Daniel Langemann
Andersrum.
00:37:21
Daniel Langemann
Es gibt einfach eine Klasse, die auf den User-Kontext zugreift.
00:37:24
Daniel Langemann
Du sagen kannst, guck mal, ich bin gerade im Controller oder egal wo ich bin, ich möchte jetzt den angemeldeten Nutzer haben.
00:37:30
Daniel Langemann
Und da gibt es halt zwei, drei Wege dran zu kommen.
00:37:33
Daniel Langemann
Einer ist veraltet so ungefähr.
00:37:35
Daniel Langemann
Und der muss einfach ausgetauscht werden.
00:37:38
Daniel Langemann
Das ist eine bestehende Klasse.
00:37:40
Daniel Langemann
Ich habe einen eigenen Data Provider geschrieben, der den Bug fixt und auch das gleiche Objekt zurückgibt, nur halt ohne den Fehler.
00:37:49
Daniel Langemann
Und das muss jetzt im Projekt komplett getauscht werden.
00:37:53
Daniel Langemann
Und da gibt es halt so zwei, drei Methodenaufrufe, die dann irgendwie auftreten können.
00:37:57
Daniel Langemann
Also für wirklich Suchen, Ersetzen ist das zu komplex, weil da muss irgendwo ein Use irgendwo mit rein, die Konstruktoren müssen ausgetauscht werden.
00:38:06
Daniel Langemann
Aber ansonsten ist das so etwas, das könnte ein Junior einfach drei Tage lang machen.
00:38:09
Daniel Langemann
Oder die KI halt drei Stunden lang.
00:38:10
Daniel Langemann
Oh ja.
00:38:11
Kai Ole Hartwig
Ich finde, das liegt nach einem sehr schönen Rack-Ex, das man in locker zwei Wochen entwickelt.
00:38:20
Daniel Langemann
Ich muss ja zugeben, ich lasse mir Regex auch von KI bauen mittlerweile.
00:38:23
Daniel Langemann
Ich bin zu faul.
00:38:24
Daniel Langemann
Ja.
00:38:24
Daniel Langemann
Fühlt sich mächtig an, ja, ja.
00:38:26
Kai Ole Hartwig
Ja, ganz ehrlich, als ich damals Rack-Ex 101 entdeckt habe, das hat meine, seitdem liebe ich ja Rack-Ex.
00:38:36
Kai Ole Hartwig
Und hab das auch immer, eigentlich finde ich es geil, RegEx zu bauen, so von Hand und so.
00:38:41
Kai Ole Hartwig
Ah, jetzt klappt das, jetzt match das und dann ab dafür.
00:38:46
Kai Ole Hartwig
Ja, so dieses, jeder so, ah, RegEx, es ist so mega schwer und dann, das fand ich immer cool.
00:38:54
Kai Ole Hartwig
So, ja, natürlich, jetzt heute die KI.
00:38:59
Kai Ole Hartwig
Vielleicht sollten wir mal eine Folge machen, warum die KI mir die Freude am Arbeiten nimmt, manchmal.
00:39:04
Daniel Langemann
Oh ja.
00:39:06
Daniel Langemann
Schimpfen kann ich gut darüber.
00:39:07
Daniel Langemann
Das geht.
00:39:08
Daniel Langemann
Ja.
00:39:08
Daniel Langemann
Wie nennen wir es provokativ?
00:39:08
Kai Ole Hartwig
Thema für nächste Woche vielleicht.
00:39:08
Daniel Langemann
Ich hasse KI.
00:39:08
Daniel Langemann
Oder KI...
00:39:14
Kai Ole Hartwig
Nein, hassen tue ich den nicht, aber sie macht mich manchmal unglücklich.
00:39:18
Kai Ole Hartwig
Weiß ich nicht, können wir uns ja noch ausdenken.
00:39:20
Kai Ole Hartwig
Ich habe aber noch ein Ding und das finde ich mega wichtig und wenn der Podcast rauskommt, wird es auch schon da sein.
00:39:28
Kai Ole Hartwig
Composer wird sicherer.
00:39:30
Kai Ole Hartwig
Möchte ich das mal so kurz übertiteln.
00:39:33
Daniel Langemann
Hm, interessant.
00:39:33
Daniel Langemann
Hm.
00:39:37
Kai Ole Hartwig
Aus Aufzeichnungsperspektive für den Podcast gestern, aus Ausstrahlungsperspektive vom Podcast letzte Woche wurde angekündigt, dass Composer Immotable Text bekommt und Zwei-Faktor-Authentifizierung quasi jetzt Pflicht wird.
00:40:00
Kai Ole Hartwig
Also es wird sichtbar werden, ob jemand mit Zwei-Faktor-Authentifizierung arbeitet oder nicht.
00:40:05
Daniel Langemann
Ach so, also beim Veröffentlichen von Paketen.
00:40:06
Kai Ole Hartwig
bei Packagist.
00:40:06
Daniel Langemann
Oh, sehr gut.
00:40:10
Kai Ole Hartwig
Ja, genau.
00:40:11
Kai Ole Hartwig
Und beim veröffentlichen Paketen wird quasi auch dann, wenn ich es richtig verstanden habe, ich habe es auch nur kurz überflogen, weil das halt so relativ neu ist jetzt, wird es so sein, dass quasi der Hash mit dem Versionstech
00:40:30
Kai Ole Hartwig
verknüpft wird und du dann halt nicht mehr einfach manipulieren kannst, was an welcher Versionszimmer drin ist.
00:40:37
Daniel Langemann
Oh, geil.
00:40:37
Daniel Langemann
Also genau die Sachen, die in letzter Zeit problematisch waren.
00:40:38
Kai Ole Hartwig
Ja, bisher war es ja so, irgendwie man hat auf das Git-Repo zurückgegriffen und dann hat man halt quasi das ja bekommen, was da drin ist.
00:40:38
Daniel Langemann
Ja, definitiv.
00:40:48
Kai Ole Hartwig
So, und das verändert sich jetzt und ehrlich gesagt finde ich das mega gut.
00:40:56
Kai Ole Hartwig
Ich finde, das ist ein enormer Fortschritt für die PHP-Welt.
00:41:06
Daniel Langemann
Freue ich mich schon.
00:41:06
Kai Ole Hartwig
weil jetzt kannst du halt wieder den trust reinbringen in die versionsnummer die semantische versionsnummer ist echt punkt genau die die lässt sich nicht verändern und das halte ich für den richtigen schritt ich meine klar renovate geht bei uns hin arbeitet mit den heft auch bei den ganzen docker containern und so weiter und so fort
00:41:16
Daniel Langemann
Unverändert.
00:41:33
Kai Ole Hartwig
Ähm, jetzt bin ich aber nur mal ein Mensch und wenn ich da drauf schaue, finde ich es geiler, wenn da sowas steht wie 3.2.1 oder keine Ahnung was.
00:41:42
Daniel Langemann
Genau.
00:41:43
Kai Ole Hartwig
Ja, das ist einfach viel besser zu erfassen als so eine lange, ähm, Hexadezimal- Kette,
00:41:53
Kai Ole Hartwig
um da zu sagen, ist das denn jetzt das, was ich haben möchte?
00:41:56
Kai Ole Hartwig
Ja, manchmal möchte man ja gar nicht wissen, ist das jetzt das erwartete Paket, was ich von irgendwo anders unterziehe, sondern ist das die Container-Version, die ich möchte?
00:42:08
Kai Ole Hartwig
Ist das die Version 3 oder ist das noch nicht geupdatet und das ist noch 2 irgendwas?
00:42:13
Daniel Langemann
Ja, das wird einfach Pflicht, also Pflicht im Sinne von, dass man sagt, okay, ihr werdet unbenutzbar, wenn ihr es nicht macht.
00:42:15
Kai Ole Hartwig
Ja.
00:42:19
Kai Ole Hartwig
Und ich hoffe sehr, dass ich bei ganz vielen Leuten dann sehen werde, dass sie Zweifachteil-Authentifizierung nutzen.
00:42:35
Kai Ole Hartwig
Ja, ich werde nächste Woche mich hinsetzen und jedes Paket durchsuche ich einsetzen und durchschauen.
00:42:40
Daniel Langemann
Na, so schnell nicht.
00:42:41
Daniel Langemann
Ich denke mal, das wird über einen Zeitraum, also einen längeren Zeitraum passieren, dass das einfach kommt, weil das die... Ja, genau, böse Memes schicken.
00:42:46
Kai Ole Hartwig
Ja, und jedem, der es nicht macht, eine E-Mail schicken.
00:42:47
Daniel Langemann
Das wäre doch mal ein gutes für die KI.
00:42:48
Kai Ole Hartwig
So, ja.
00:42:51
Kai Ole Hartwig
Warum?
00:42:55
Kai Ole Hartwig
Nein, natürlich nicht.
00:42:55
Kai Ole Hartwig
Also mir fehlt ja auch die Zeit dafür, für so Quatsch.
00:42:59
Kai Ole Hartwig
Aber ich könnte natürlich die KI damit beauftragen.
00:43:07
Kai Ole Hartwig
So.
00:43:08
Daniel Langemann
Fertig.
00:43:09
Kai Ole Hartwig
Fertig.
00:43:11
Daniel Langemann
Reicht für heute.
00:43:12
Kai Ole Hartwig
Du gehst eine lokale KI jetzt wieder quälen?
00:43:16
Kai Ole Hartwig
Cool.
00:43:17
Kai Ole Hartwig
Dann lästern wir nächste Woche, äh, lästern, sprechen wir ganz wertneutral nächste Woche darüber, warum uns die KI manchmal die Freude am, äh, programmieren nimmt.
00:43:22
Daniel Langemann
Oh ja, ich glaube, das wird eine Extended-Folge, oder?
00:43:30
Kai Ole Hartwig
Nicht am Leben.
00:43:31
Kai Ole Hartwig
So weit werde ich nicht gehen.
00:43:33
Daniel Langemann
Kriegen wir hin.
00:43:36
Kai Ole Hartwig
Werden wir sehen.
00:43:39
Kai Ole Hartwig
So, dann spannendes Thema Potpourri diesmal.
00:43:44
Kai Ole Hartwig
Macht's gut.
00:43:44
Daniel Langemann
So
00:43:45
Kai Ole Hartwig
Schön, dass ihr da wart.
00:43:46
Kai Ole Hartwig
Und wir hören und sehen uns nächste Woche wieder.
00:43:48
Kai Ole Hartwig
Ciao, ciao.