Hacker News Digest

Cloudflare анонсировал технологию анонимных учетных данных (anonymous credentials) для управления AI-агентами без компрометации приватности. С ростом популярности AI-агентов, которые будут выполнять задачи от заказа пиццы до написания кода, традиционные методы защиты становятся неэффективными. Существующие инструменты слишком грубые - блокировка одного агента может затронуть всех пользователей платформы. Анонимные учетные данные позволяют применять политики безопасности, такие как rate-limiting, без идентификации или отслеживания пользователей.

Технология находится в разработке в IETF как стандарт для работы across websites, browsers и platforms. Cloudflare планирует внести вклад в этот процесс, считая его критически важным для сохранения безопасности и приватности в эпоху AI. Это решение поможет справиться с растущим трафиком от AI-платформ, который, по прогнозам, скоро превысит трафик от традиционных источников, таких как мобильные устройства.

• Cloudflare продвигает протокол ARC (Anonymous Rate-Limited Credentials) как «решение» для проблемы, которую, по сути, создаёт сама же Cloudflare, вызывая вопросы о том, действительно ли это решение проблемы, или просто способ монетизации доступа к API.
• Представленный подход требует, чтобы пользователю пришлось бы получать токены через кредитную карту, что вызывает вопросы о том, не является ли это просто способом взимать плату за доступ к открытым API.
• В то же время, Cloudflare продолжает обслуживать очевидно вредоносные сайты, что вызывает критику со стороны общественности и ставит под сомнение их мотивы.
• В обсуждении также поднимается вопрос о том, что если бы компании действительно хотела бы решить проблему злоупотребления API, они могли бы просто предоставить токены напрямую, вместо того чтобы требовать, чтобы пользователи проходили через их платформу.
• В конце концов, обсуждение приходит к выводу, что вместо того, чтобы решать проблему, Cloudflare просто создаёт еще одну проблему, которую они же и решают с помощью своего же продукта.

Cloudflare представляет сертификаты на основе деревьев Меркле для решения проблемы постквантовой криптографии. Квантовые компьютеры угрожают безопасности интернета, и уже около 50% трафика на сети Cloudflare защищено от угрозы "собери сейчас, расшифруй позже". Однако постквантовые алгоритмы для аутентификации в TLS имеют размеры в 20 раз больше традиционных: подписи ML-DSA-44 составляют 2,420 байт против 64 байт у ECDSA-P256, а открытые ключи - 1,312 байт против 64 байт. Это создает значительные накладные расходы на производительность TLS-рукопожатий.

Новые сертификаты Merkle Tree позволяют развертывать постквантовую криптографию сегодня без потери производительности. Решение, разработанное совместно с партнерами в IETF, не только устраняет проблему больших размеров ключей, но и может даже улучшить производительность. Это критически важно для безопасной миграции интернета на постквантовые стандарты до появления криптографически значимых квантовых компьютеров, так как переходы всегда занимают больше времени, чем ожидалось.

• Обсуждение в основном вращается вокруг трёх тем: пост-квантовая криптография, приватность и уязвимость квантовых компьютеров, и эволюция стандартов сертификатов.
• Участники обсуждают, какие именно алгоритмы подписи будут использоваться в будущем, и какие из них будут совместимы с пост-квантовыми сертификатами.
• Также обсуждается, какие именно сертификаты будут использоваться в будущем, и как они будут взаимодействовать с пост-квантовыми алгоритмами.
• Обсуждается, какие именно изменения в стандартах сертификатов будут необходимы для обеспечения безопасности в эпоху пост-квантовых компьютеров.
• Участники также обсуждают, какие именно изменения в стандартах сертификатов будут необходимы для обеспечения безопасности в эпоху пост-квантовых компьютеров.

Автор поднимает тревожный вопрос о возможности намеренного ослабления криптографических стандартов через процесс стандартизации в IETF. Он предполагает, что атакующие, включая государственные структуры вроде АНБ, могут лоббировать принятие уязвимых алгоритмов, маскируя это под законную стандартизацию. Это создаёт риски для безопасности данных, особенно в контексте постквантовой криптографии и гибридных схем.

В статье отмечается, что подобная практика может нарушать антимонопольное законодательство, если доминирующие игроки навязывают небезопасные решения. Автор призывает к повышенной бдительности и независимому аудиту предлагаемых стандартов, чтобы избежать повторения ошибок прошлого, таких как скандалы с Dual_EC_DRBG.

• DJB и другие критикуют предложение NSA отказаться от гибридного постквантового шифрования в пользу только PQ, видя в этом попытку ослабить стандарты безопасности.
• Участники выражают глубокое недоверие к NSA, ссылаясь на прошлые случаи ослабления стандартов (Dual EC, DES) и грязные методы агентства.
• Поднимаются вопросы о реальных целях NSA, поскольку технически подкованные цели и так используют гибриды, а за остальными можно следить через PRISM.
• Отмечается, что формальная жалоба DJB в IETF была отклонена, а процесс стандартизации подвергся критике за грубость и возможную ангажированность.
• Обсуждается, что даже частичное внедрение ослабленного стандарта выгодно разведке, так как увеличивает вероятность перехвата данных со временем.

SSH3 — это новая реализация SSH, построенная поверх HTTP/3 и QUIC вместо традиционного TCP. Она обещает значительно более низкую задержку установки соединения, многопоточность и встроенную поддержку мультиплексирования. Это позволяет ускорить интерактивные сессии, особенно в условиях нестабильных сетей.

Проект также включает улучшенные возможности, такие как передача файлов через HTTP и использование современных криптографических алгоритмов. Уже есть черновик IETF и техническая статья на arXiv, демонстрирующая производительность и совместимость. SSH3 может стать практичной альтернативой для DevOps и удалённого управления.

• Скептицизм по поводу заявлений о скорости: некоторые участники сомневаются в значительном преимуществе SSH3, отмечая, что основная задержка часто связана не с установкой соединения, а с настройкой сессии (PAM и т.д.).
• Критика имени "SSH3" и интеграции в HTTP: многие считают название неудачным и выражают сожаление по поводу поглощения прикладных протоколов HTTP, что увеличивает сложность и потенциальные риски безопасности.
• Обеспокоенность безопасностью и аудируемостью: новая, не испытанная в боях реализация вызывает опасения; участники подчеркивают необходимость тщательного аудита перед использованием в production.
• Вопросы к практической полезности и статусу проекта: обсуждается отсутствие commits за последний год, целесообразность поддержки OAuth для входа на сервер и необходимость таких функций, как миграция соединений.
• Технические аспекты и потенциальные преимущества: отмечается возможность решения проблемы head-of-line blocking за счёт мультиплексирования в QUIC/HTTP3, а также преимущества скрытия сервера за HTTP-прокси.

Электронная почта и почтовые рассылки остаются незаменимыми благодаря своей федеративной природе, асинхронности и лёгкости архивирования. Они не требуют одновременного присутствия онлайн, что отличает их от современных альтернатив вроде мессенджеров и соцсетей.

Ключевые преимущества включают отсутствие необходимости в специальном ПО — достаточно стандартного почтового клиента, простоту использования с едиными правилами, низкие риски безопасности и конфиденциальности по сравнению с веб-форумами, а также экономию трафика. Эти факторы делают почтовые рассылки устойчивым решением для технических и профессиональных сообществ.

• Обсуждаются преимущества почтовых рассылок: независимость от компаний, федеративность, архивируемость и доступность.
• Отмечаются проблемы рассылок: сложность модерации, уязвимость email-адресов, плохой UI/UX и отсутствие истории для новичков.
• Упоминаются альтернативы: NNTP (Usenet), ActivityPub, Matrix, IRC, RSS и форумы (Discourse), но у них есть свои ограничения.
• Подчёркивается ирония обсуждения рассылок на централизованном проприетарном форуме (Hacker News).
• Приводятся примеры успешного использования рассылок для HOA, профессиональных сообществ и длительных дискуссий.

• Слепые активно внедряют ИИ: Be My Eyes описывает картинки через ChatGPT, подкастеры хвалят LLM, а дикторы отдают голоса ElevenLabs.
• Я скептик: LLM даёт ошибки, но это всё же данные, которые зрячие нам не предоставляют.
• Парадокс: я не стану нанимать диктора, использующего синтез речи, но это может выглядеть как дискриминация.
• Когда хайп уляжется, слепые будут требовать доступности самих платформ и их вывода; веб-станет менее доступным, потому что ИИ пишет плохой код.
• Повторяется история OCR и беспилотников: обещаний много, прогресса мало.
• Сейчас LLM применяют, чтобы описывать персонажей, клипы и т. д.; точность не важна, важно хоть что-то получить.
• Сообщество верит, что технологии решат всё, потому что люди не хотят помогать.

• Слепые и слабовидящие активно используют LLM и мультимодальные ИИ для описания изображений, OCR и повседневных задач, считая технологию «меньшим злом», чем полное отсутствие помощи со стороны людей.
• Одновременно они предупреждают: чрезмерная вера в ИИ может стать оправданием для производителей не делать изначально доступные интерфейсы и снижать инвестиции в «настоящую» доступность.
• Участники отмечают, что ИИ-ответы часто содержат ошибки и галлюцинации, но даже 85 % правильной информации лучше, чем ничего; критично важно уметь оценивать доверие к результатам.
• Примеры вроде Be My Eyes показывают, что живое человеческое участие всё ещё востребовано, хотя объём звонков может падать после появления ИИ-функций.
• В дискуссии звучит тревога по поводу замены людей (дикторов, переводчиков) дешёвыми ИИ-«заглушками», что снижает качество контента.
• ИТ-стандарты (IETF) уже обсуждают, нужно ли явно разрешать обход «AI-предпочтений» ради вспомогательных технологий, сталкиваясь с сопротивлением правообладателей.

Сайт предлагает 15-недельный курс по сериалу Halt and Catch Fire (2014-2017) — вымышленной истории о людях в технологической индустрии 1980–90-х.
Цель — помочь небольшим группам устроить «клуб просмотра» и обсудить технологическое прошлое.

Структура каждого занятия

• Аперитивы — лёгкое видео «на разогрев» (необязательно).
• RFC как коан — документ IETF для размышлений.
• Эмуляция как коан — браузерная эмуляция старого компьютера.
• Темы, вопросы, чтения — что обсуждать и почитать.
• Описание — связь эпизодов с историей техники.
• Краткие содержания эпизодов — можно вместо просмотра; указаны триггеры.

Автор курса: Эшли Блюэр.
Исходники: GitHub.

• Halt and Catch Fire хвалят как «особенный» и один из лучших «техно»-сериалов, особенно за глубокие отношения и человечность.
• Отмечают реалистичность женщин в технике 80-х и точные детали Далласа того времени.
• Камерон вызывает полярные мнения: кто-то её ненавидит, кто-то считает ключевой.
• Некоторым не хватало технической точности и казалось, что драма «перегибает».
• Появилась идея устроить «книжный клуб»-просмотр с обсуждением по ходу серий.