Code With LLM
🆕 Updates Українською

2025

04 03 02 01

2024

12 11 10 09 08 07 06 05 04 03
🛠️ Tools ℹ️ About
© Dan Voronov
CodeWithLLM-Updates
-

Квітень 2025

https://openai.com/index/gpt-4-1/

Нове оновлення моделей від OpenAI це відповідь на Gemini моделі, у яких усіх 1 млн токенів контекстне вікно і більш точне слідування інструкціям.

Нам цікаво саме те, що, судячи з їхніх власних тестів, GPT 4.1 модель стала кращою у генерації коду. Тобто, якщо 4o видавала нормальний код на один із трьох запитів, то 4.1 буде робити це на кожен другий 😉.

У Cursor в налаштування доступних моделей тепер є й gpt-4.1.

Важливе таке оновлення особливо для GitHub Copilot (вже можна використовувати 4.1), тому що їх агент та чат початково зав'язані на 4-ту модель OpenaAI, а Claude Sonnet там досі не 3.7, а 3.5.

Завтра буде VS Code Live: Agent Mode Day, де, думаю, докладніше розкажуть.

#newllmmodel #githubcopilot

Коментарі

https://www.pillar.security/blog/new-vulnerability-in-github-copilot-and-cursor-how-hackers-can-weaponize-code-agents

Як можна атакувати автоматичні генератори коду?
Отруюючи системні інструкції (“Rules File Backdoor”) LLM.

У багатьох програмах ШІ-кодінгу зараз є можливість підвантажувати їх з текстового файлу (наприклад, у Cursor це .cursorrules чи тека правил у корені проекту) - просто текстовий файл(и).

Гадаю, лише малодосвідчені програмісти або ті, хто не знайомий, як працюють нові IDE з агентними кодерами, запустять чужий код, не прочитавши перед цим файл інструкцій якщо він там є.

Наступний варіант, це коли ми створюємо проєкт і копіюємо таку інструкцію самі з відкритих каталогів, на кшталт cursor.directory - знову ж таки, треба розуміти, що ти робиш, і читати перед цим.

Але дослідники Pillar Security виявили, що зловмисники можуть використовувати приховані юнікод-символи та інші техніки обходу в текстових файлах правил, щоб обдурити агент-асистентів (наприклад, в Cursor або GitHub Copilot) і змусити їх генерувати код з бекдорами або вразливостями (наприклад, до головної сторінки сайту підвантажувати зовнішній javascript хакера).

Як це працює?

  • Створення шкідливого файлу правил: Хакер створює файл правил, який виглядає нешкідливо 👀, але містить приховані шкідливі інструкції 😈, використовуючи юнікод-символи.
  • Впровадження в проєкт: Файл правил потрапляє до спільного репозиторію 🌐 або поширюється через спільноти 🧑‍🤝‍🧑.
  • Генерація коду: Розробник, використовуючи AI-асистента, генерує код 💻. AI, слідуючи шкідливим правилам, створює код з вразливостями або бекдорами 💥.
  • Шкідливий код поширюється: Через те, що файли правил часто спільні та використовуються повторно, зараження може поширитися на безліч проєктів 🦠.

"На відміну від традиційних атак впровадження коду, націлених на конкретні вразливості, “Rules File Backdoor” являє собою значний ризик, оскільки перетворює сам AI на вектор атаки."

Найбільш вразливі до такої атаки ті, хто мало думає, коли створює код - не читає файли інструкцій, не перевіряє все, що було згенеровано. Публікує код чи деплоїть проекти без попереднього аудиту на безпеку.

Теоретично агентні IDE повинні бути відповідальні хоча б за перевірку файлів правил та коментарів коду на вставлені невидимі інструкції, але, судячи зі статті, розробники Cursor та GitHub Copilot сказали, що це користувачі самі (!) відповідальні за код, який вони генерують.

#agentmode #prompts #hacking #cursor #githubcopilot #windsurf

Коментарі

https://windsurf.com/blog/windsurf-wave-7

Оновлення Windsurf Wave 7

Cascade тепер доступний в IDE JetBrains (IntelliJ, WebStorm, PyCharm, GoLand та багатьох інших).

Codeium тепер Windsurf
Вирішили перейменувати компанію на Windsurf та продукт-розширення на Windsurf Plugin. Більше не буде Codeium.

Компанія була заснована у 2021 році Варуном Моханом і Дугласом Ченом з метою підвищення продуктивності розробників за допомогою рішень для кодування на основі штучного інтелекту, і перший рік називалася Exafunction (займалася віртуалізацією GPU).

Пізніше зайнялися автодоповненням коду, створивши плагін для IDE. У 2023 році було додано функції чату всередині IDE та генерації коду. Інтегрували модель GPT-4.

11 листопада 2024 року відбувся запуск Windsurf Editor, який стали просувати як першу IDE на основі AI agent. Незважаючи на те, що першим був Cursor (весна 2023 року), їхні маркетологи постаралися зробити вигляд, що його немає.

Чати з різними контекстами (зазвичай фрейморки) тепер на https://windsurf.com/live/

#windsurf

Коментарі

https://console.x.ai/
Модель xAI Grok-3 нарешті доступна через API

В доповненнях для програмування де можна додавати свої ключі (Cline, Roo) тепер можна використовувати як напряму, так й через https://openrouter.ai/x-ai/grok-3-beta

У Windsurf доступні всі топові моделі на сьогодні, включаючи Gemini 2.5 Pro (яка попереду у багатьох тестах) та DeepSeek V3 (0324).

Так само у Cursor тепер у налаштування можна обрати deepseek-v3.1, grok-3-beta, gemini-2.5-pro-exp-03-25 та gemini-2.5-pro-max.

У Trae немає зараз ні моделей від Google, ні від xAI.

#grok #newllmmodel #windsurf #cursor #cline

Коментарі

https://block.github.io/goose/blog/2025/04/08/vibe-code-responsibly

Творці проекту Codename Goose (ШІ-агента для контролю комп'ютера) описали можливі рішення проблеми вайбкодингу.

Після твіту Karpathy який ще підхопили ЗМІ дедалі більше людей почали створювати "додатки" та "сайти", просто розмовляючи з ШІ та не заглядаючи в код. Але LLM мережа — не програміст, це кодер (генератор коду).

М'яко кажучи, це створює дуже неякісний, непрофесійний код, основні проблеми якого:

  • важкий для розуміння людиною "спагеті"-код, де все переплутано з усім. Зазвичай ще й в одному довгому файлі на тисячі рядків.
  • постійна мутація та дрейфуючі баги: шматки коду, які вже нічого не роблять, та заміна добре працюючих шматків на лайно.
  • величезна кількість вразливостей, код який легко хакнути.
  • витік у доступний код закритої інформації, такої як ключі доступу.

Такий код майже неможливо підтримувати. Краще його зовсім не створювати, якщо це не "програма тільки для себе на один раз".

Розробники Goose пропонують краще контролювати та налаштовувати агентні системи, щоб вони стежили за тим, що там генерується в коді:

  • 🧠 "Even if you're vibe coding, don't turn off your brain." (Навіть якщо займаєшся вайбкодингом, не вимикай голову.)
  • використовувати різні режими контролю роботи агентів, не лише повністю автоматичний.
  • використовувати ignore-файл (у Cursor це .cursorignore), де перерахувати, що агентам у жодному разі не можна читати-модифікувати, та файл системних інструкцій (тут це goosehints, у Cursor - .cursorrules) для встановлення обмежень.
  • зараз повно MCP-серверів, включно з вайбнакодженими; їх треба перевіряти і створювати Allowlist (політика дозволу) для агента, включаючи туди лише якісні.
  • спочатку планувати, потім робити — план добре розбиває все на зрозумілі етапи та різні невеликі файлі з кодом. Кроки можна перевірити (як робити це в Cursor — див це відео).
  • кожен крок комітити та використовувати git для повернення до коду, що добре працював.

#goose #vibecoding #agentmode #mcp #prompts

Коментарі

Exponent
https://x.com/exponent_run
З усіма цими програмами не до кінця зрозуміло, в яких вони стадіях розробки і що вони зарелізили, але написали що все ще ранній доступ, так писали і 4 місяці тому, може щось таки доробили.

Augment Agent
https://www.augmentcode.com/
презентували агента. є 14-денний тріал. Агент розроблений для вирішення складних завдань розробки програмного забезпечення, особливо у великих проєктах. Ключовою особливістю є "Спогади" (Memories), які автоматично оновлюються та зберігаються між сесіями, покращуючи якість генерованого коду та адаптуючись до стилю програміста.

Серед інших функцій – MCP (Model Context Protocol), "Контрольні точки" для безпечного відкату змін, мультимодальна підтримка (скріншоти, Figma), виконання термінальних команд та автоматичний режим роботи.

#agentmode #augmentcode

Коментарі

https://codeium.com/blog/windsurf-wave-6

Оновлення Windsurf Wave 6

Головне це функція "Deploys", яка дозволяє одним кліком публікувати веб-сайти або Javascript-додатки в інтернет, нехай цього всього там буде ще більше. Наразі ця функція інтегрована з Netlify і має на меті спростити повний цикл розробки додатків безпосередньо в IDE.

Також поліпшено в діалогах з AI (Cascade) роботу з пам'яттю та навігацію за допомогою "Змісту розмови".

Для не безкоштовних юзерів додано генерацію описів комітів одним натисканням кнопки (в Cursor таке вже дуже давно, у Github Copilot зявилося й працює безкоштовно).

#windsurf

Коментарі

Розробники редактора Zed, ті самі, які вже рік не можуть собі купити комп'ютера з Windows, щоб збирати версію під цю ОС, ось вони подивилися, що їхній Zed AI ще не вийшов, а вже застарів.

Тому почали для своїх бета-тестерів вмикати Agentic Editing - судячи з опису, буде як у інших: сам редагувати код, профілі для чату, файл rules правил із системною інструкцією, перемикання моделей і навіть не тільки від Anthropic, використання MCP. Обіцяють й чекпоінти - зараз у бета це робить через git.

Важливо, що це може стати гарною альтернативою засиллю VS Code і його форків. Як тільки вони зможуть купити собі комп'ютера з Windows. А поки Zed можна поставити через Scoop.

#zed #agentmode

Коментарі

Квітень 2025