Kripto ve YZ çevrelerinde dolaşan yeni bir tez, uygulama çağının süreli olduğunu savunuyor. Argüman tanıdık bir tarihsel oyun planını ödünç alıyor — araç kullanmadan önce içmek, emniyet kemeri takmadan yolculuk etmek, kapalı alanda sigara içmek, keyfi binary dosyaları yüklemek — ve makinenizde opak üçüncü taraf kodu çalıştırmanın ne zaman aynı şekilde yeniden sınıflandırılacağını soruyor. YZ ajanları, yazılımı kullanıcı kontrollü bir ortamda inşa edip doğrulayıp kısıtlayabildiğinde, açıklama yükü tersine döner. Başkasının kodunu çalıştıran kişinin bir gerekçeye ihtiyacı olacak. Bir ajan üzerinden inşa eden kişi ise sadece daha güvenli varsayılanı kullanıyor olacak.
Neden önemli
Metin, mevcut yazılım güven modelinin yapısal başarısızlığını adım adım ele alıyor. SolarWinds, ele geçirilmiş bir derleme sürecinin normal güncellemeleri bir saldırı dağıtım altyapısına nasıl dönüştürdüğünü göstermişti. XZ Utils arka kapısı — Linux dağıtımlarında yaygın olan bir sıkıştırma kütüphanesinin 5.6.0 ve 5.6.1 sürümlerinin içinde Mart 2024'te CISA tarafından işaretlenen — aynı kalıbın rutin kanallardan geldiğini gösterdi. Kripto alanında DNS ele geçirmeleri ve npm JavaScript açıkları aynı dersi uygulama katmanında tekrarladı. NIST'in Güvenli Yazılım Geliştirme Çerçevesi ile SLSA kaynak doğrulama hattı gerekli yanıtlar, ancak modelin sınırını da açığa çıkarıyor: kuruluşlar hangi dış kodun güvene layık olduğuna karar verme yöntemini sürekli iyileştiriyor. Sonraki model ise güven gerektiren dış kodun miktarını azaltıyor.
Piyasa etkisi
Ticari okuma daha da keskin. OpenAI Codex, Anthropic'in Claude Code'u, GitHub'ın Copilot kodlama ajanı ve Google Jules — bugün için geliştirici araçları olarak çerçevelenen kodlama ajanları, OpenAI'ın geçen ay kod ve terminaller yerine sohbet ve çıktılar etrafında tasarlanmış bir kullanıcı arayüzü seçeneğini çoktan yayına aldığı bir zeminde ilerliyor. Bu kayış, yazılım üretimini bir pazardan seçilen ürün olmaktan çıkarıp kullanıcı kontrollü bir çalıştırma ortamında talep üzerine üretilen bir çıktıya dönüştürüyor. Değer, derlenmiş yapıttan kalıba göç ediyor; dağıtım ise çalıştırılabilir kod göndermekten niyet, tasarım, kanıt ve API beklentileri yayımlamaya kayıyor. Sıfır bilgi sistemleri doğrulama katmanından içeri giriyor: ZK toplama layeralarının zincir dışı durum geçişlerini kanıtlamak için kullandığı kalıp, bir uç noktanın onaylanmış kodu çalıştırdığını, veriyi tanımlı kısıtlar altında işlediğini ya da belirli bir denetlenmiş derlemeden bir sonuç ürettiğini kanıtlamaya kadar uzanabiliyor. Altyapı sağlayıcıları şimdi ticari bir sınavla karşı karşıya — iddiayı kanıtla, arayüzü yayımla, kısıt kümesini açığa çıkar ve kullanıcı tarafındaki ajanlar dahil edilmeye karar versin.
Sıkça sorulan sorular
-
Uygulama günleri sayılı tezinin temel iddiası nedir?
Argüman şu: kullanıcı kontrollü bir ortamda yazılımı inşa edebilen, doğrulayabilen ve kısıtlayabilen YZ ajanları, zamanla opak üçüncü taraf kodu çalıştırmayı toplumsal olarak pervasızlık olarak yeniden sınıflandıracak — kapalı alanda sigara içmenin ya da kemersiz araba kullanmanın daha güvenli bir varsayılan ucuz ve…
-
XZ Utils arka kapısı, yazılım güveni argümanını nasıl destekliyor?
CISA, Mart 2024'te Linux dağıtımlarında yaygın olan bir sıkıştırma kütüphanesinin 5.6.0 ve 5.6.1 sürümlerine kötü amaçlı kodun yerleştirildiğini uyardı. Gizlenmiş bir test dosyası ve derleme sürecinin manipülasyonu, bağlantılı yazılımlardaki veriyi kesebilen değiştirilmiş bir liblzma kütüphanesi üretti — tedarik…
-
Yeni yazılım modelinde ZK kanıtlarının rolü nedir?
ZK toplama layeraları zaten zincir dışı hesaplamayı özlü bir geçerlilik kanıtını zincir üstünde yayımlayarak kanıtlıyor. Bu tez aynı kalıbı işlem ölçeklendirmenin ötesine taşıyor — bir uç noktanın onaylanmış kodu çalıştırdığını, veriyi tanımlı kısıtlar altında işlediğini, gizlilik sınırlarını koruduğunu ya da belirli…
-
Bu kayışın arz tarafında hangi YZ kodlama ajanları anılıyor?
Metinde OpenAI Codex, Anthropic'in Claude Code'u, GitHub'ın Copilot kodlama ajanı ve Google Jules sayılıyor. OpenAI geçen ay kod ve terminaller yerine sohbet ve çıktılara dönük bir kullanıcı arayüzü seçeneği çoktan yayınladı — yazılım üretiminin geliştirici aracından kişisel temsile geçtiğinin erken bir işareti.
-
Yeni yazılım ekonomisindeki 'yönetilen kolaylık' riski nedir?
Kurumsal platformlar sübvanse edilen uygulamaları, kimliği, kredileri, ödemeleri, depolamayı, YZ erişimini ve varsayılan iş akışlarını paketleyebilir. YZ destekli bolluk YDY'ye yakın gelir, hesaplama kredileri ya da token dağıtımları üretirse, bu avantajlar yumuşak bir kilitlenme rayına dönüşebilir — katılım gönüllü…
CryptoSlate