Štěpán Kovář

one of my all-time favorite plots

Software horror: litellm PyPI supply chain attack. Simple `pip install litellm` was enough to exfiltrate SSH keys, AWS/GCP/Azure creds, Kubernetes configs, git credentials, env vars (all your API keys), shell history, crypto wallets, SSL private keys, CI/CD secrets, database passwords. LiteLLM itself has 97 million downloads per month which is already terrible, but much worse, the contagion spreads to any project that depends on litellm. For example, if you did `pip install dspy` (which depended on litellm>=1.64.0), you'd also be pwnd. Same for any other large project that depended on litellm. Afaict the poisoned version was up for only less than ~1 hour. The attack had a bug which led to its discovery - Callum McMahon was using an MCP plugin inside Cursor that pulled in litellm as a transitive dependency. When litellm 1.82.8 installed, their machine ran out of RAM and crashed. So if the attacker didn't vibe code this attack it could have been undetected for many days or weeks. Supply chain attacks like this are basically the scariest thing imaginable in modern software. Every time you install any depedency you could be pulling in a poisoned package anywhere deep inside its entire depedency tree. This is especially risky with large projects that might have lots and lots of dependencies. The credentials that do get stolen in each attack can then be used to take over more accounts and compromise more packages. Classical software engineering would have you believe that dependencies are good (we're building pyramids from bricks), but imo this has to be re-evaluated, and it's why I've been so growingly averse to them, preferring to use LLMs to "yoink" functionality when it's simple enough and possible.

Codex laughs at your petty guardrails

Chtít demokracii a pak si stěžovat, že je u vlády Babiš, je jako chodit do bordelu a pak si stěžovat, že jsi chytil syfilis.

me after reading the anthropic blog post

My son asking me a lot of questions. It’s a distillation attack obviously.

@elonmusk And from Grok.

Claude does not like trains. Codex does. This explains everything

Nejrozumnějším závěrem celé téhle šarády by bylo konečně to Ministerstvo životního prostředí zrušit.

gradient descent navigating the loss landscape

Super článek na @inlistcz. Hanba, kterou si Evropa vybrala v kontextu války na Ukrajině, nás všechny bude stát hodně peněz. “Studie Europe’s choice: Military and economic scenarios for the War in Ukraine ukazuje, že Evropa nestojí před dilematem, zda pomáhat, ale jak draze zaplatí vlastní váhání. (…) Závěr studie je nepříjemný a jasný: pokračování současného přístupu – tedy pomoci tak akorát aby Ukrajina neprohrála, ale ani nevyhrála – povede s vysokou pravděpodobností k ruskému (částečnému) vítězství. A to bude pro Evropu výrazně dražší, nebezpečnější a politicky destruktivnější, než rozhodná podpora ukrajinského vítězství. (…) Studie odhaduje, že tento scénář bude Evropu stát 1,2–1,6 bilionu eur během čtyř let. A prosím, toto není cena za pomoc Ukrajině. To je cena za nepomoc. Studie dále ukazuje tvrdou realitu: největší migrační vlna teprve přijde, pokud Evropa dovolí ruské vítězství. (…) Pokud vládní politici chtějí v ČR méně Ukrajinců, tak je jejich jedinou možností dát Ukrajině zbraně. Mohou si být jisti, že sem další nepřijdou a naopak někteří odejdou domů, kde bude díky dostatku zbraní bezpečno. Z pohledu ekonomie jde o učebnicový příklad racionální investice: vyšší výdaje na začátku, ale výrazně nižší dlouhodobé náklady, menší bezpečnostní rizika a stabilnější makroekonomické prostředí. Ukrajinské (částečné) vítězství tak není geopolitickým hazardem, ale nejlevnější dostupnou strategií evropské bezpečnosti a prosperity. Evropa si tedy nevybírá mezi pomocí a šetřením. Vybírá si mezi nižšími náklady dnes a masivními náklady zítra. Jinými slovy, my si vítězství Ukrajiny musíme dovolit, musíme si dovolit vyzbrojit Ukrajinu a pomoci ji vyhrát.” inlist.cz/evropa-si-vybi…

BTW co rikate na to nejvic epicky demo? Jo vlastne…zadny nebylo.

software developers merging code written by Opus 4.5

1/6 PROOF: The DoJ just *DELETED* one of the files they released that contained Trump! Yesterday, file 468 was shown to have a picture of Trump that they missed. We know this because it was downloadable yesterday - as can be seen in my local copy.

My proof of the Riemann hypothesis. It’s time I finally release it

🎥 Jak se rodí dron. Od nápadu po prototyp. aerorozvedka.cz/ram1 Tohle video je pohled do dílny. Do hlav. Do momentů, kdy se kreslí, řeže, tiskne, měří, nadává, předělává… a pak znovu. A znovu. A ještě jednou. Ukazujeme vám, jak jsme vytvářeli a ladili konstrukci dronu než vznikl funkční prototyp. Žádná magie. Jen fyzika, zkušenosti, chyby a hodiny práce, které nejsou na první pohled vidět. 🛠️ Každý šroubek má důvod. 📐 Každý tvar prošel testem reality. 🧠 Každé rozhodnutí vzniklo z dat, ne pocitu. Sdílíme to proto, že věříme, že transparentnost je síla. A taky proto, že bez vaší podpory bychom se k tomuhle bodu nikdy nedostali. Díky, že v tom lítáte s náma. linktr.ee/aerorozvedka Tohle je teprve začátek. 🚀