Ещё прикол: по запросу c# roslyn mcp server находится репа https://github.com/carquiza/RoslynMCP. Есть во всяких подборках, выглядит прилично, хорошее описание.
Вот только этот код даже не компилируется. И никогда не компилировался, часть файлов битая, а некоторых файлов вообще нет. Хотя эти файлы упоминаются в test-installation.bat.
Для меня это был новый опыт, что за красивым фасадом ничего нет. Обычно авторы делают код, а на документацию и прочее оформление забивают.
Ну так и есть, ещё таблица с лайками, всё остальное - оптимизация под нагрузки, реклама, аналитика, модерация и прочее что не относится к основному функционалу с точки зрения пользователя функционал.
Основная логика автора в том, что ценность современных AI-бизнесов заключается не в создании “умных” моделей, а в решении задач, которые невозможно измерить стандартными тестами и, следовательно, обучить им большую языковую модель. Работа, поддающаяся легкой и дешевой проверке (например, написание кода, проверяемого компилятором), быстро становится товаром и обесценивается, уходя к самым дешевым моделям. Настоящая, защищенная ценность находится в “неподдающейся обучению” зоне, куда LLM не может дотянуться: это работа, требующая глубокого погружения в уникальные, закрытые данные конкретной компании, многолетнего доверия, выстраивания сложных человеческих процессов и ответственности за результат в реальной, нестандартизированной среде (например, в корпоративных IT-системах, юриспруденции или медицине). Успешные компании создают ценность не как “обёртка” вокруг модели, а как “переводчик” между её возможностями и сложной реальностью клиента, постепенно становясь стандартом того, что в этой области считается “хорошей работой”.
Это же вариант для приложения, там рефреш - норм. А вот если в браузере, то рефреш никак не защитить: всё что можно передать из js будет повторено нападающим.
Можно привязяться к TLS-сессии, но это до первого сброса соединения
Со своей стороны добавлю: если можно не очищать таблицы в тесте, то лучше не очищать. Скажем, если все объекты завязаны на пользователя, можно создать нового пользователя на каждый тест. Мусор в бд даже хорошо, т.к. мы не должны его видеть.
Блокчейн помнишь? Тоже в каждую дырку пихали, пока не разобрались для чего подходит, а для чего нет. Ничего не поменялось, ИИ закончится, начнётся что-то другое
Ещё прикол: по запросу
c# roslyn mcp serverнаходится репа https://github.com/carquiza/RoslynMCP. Есть во всяких подборках, выглядит прилично, хорошее описание.Вот только этот код даже не компилируется. И никогда не компилировался, часть файлов битая, а некоторых файлов вообще нет. Хотя эти файлы упоминаются в test-installation.bat.
Для меня это был новый опыт, что за красивым фасадом ничего нет. Обычно авторы делают код, а на документацию и прочее оформление забивают.
Это хорошо, что только вы пользуетесь, претензий никаких.
Но мне, как пользователю, не нравится тестирование не пользователях :)
https://github.com/the-open-agent/openagent - детище вайбокдинга, делает вид что работает, но с ходу влетел в 3 бага:
Для локального эмебдинга игнорируется указанное название модели
В настройках mcp не сохраняется ключ
Джоба удаления пустых чатов удаляет чат с двумя сообщениями
Если третий случай можно назвать "хитрым" и его можно было не заметить, то первые 2 просто никто никогда не проверял ): Зато куча функционала.
К слову, если ИИ напишет, компетенции тоже не растут
Ну так и есть, ещё таблица с лайками, всё остальное - оптимизация под нагрузки, реклама, аналитика, модерация и прочее что не относится к основному функционалу с точки зрения пользователя функционал.
Сначала дают больше денег если AI в названии, а потом удивляются, чего это кругом один AI в названии
Присматривался к ним и не понравилось: обновление по требованию и очень долго на большом объёме
От deepseek, мне нравится:
Тут 2 стула: если токен, то могут увести с помощью xss, если кука, то можно влететь на межсайтовую подделку запросов.
Я решил собрать грабли из двух миров: короткоживущий токен для доступа к апи, и долгоживущая http-only кука для выпуска токена.
Плюс политики работы с контентом, чтобы снизить вероятность XSS (запрет inline-скриптов и т.д.) и другие полезные заголовки, которые можно проверить здесь: https://developer.mozilla.org/en-US/observatory/analyze?host=habr.com
У меня, кстати 105 из 100
Это же вариант для приложения, там рефреш - норм. А вот если в браузере, то рефреш никак не защитить: всё что можно передать из js будет повторено нападающим.
Можно привязяться к TLS-сессии, но это до первого сброса соединения
Со своей стороны добавлю: если можно не очищать таблицы в тесте, то лучше не очищать.
Скажем, если все объекты завязаны на пользователя, можно создать нового пользователя на каждый тест. Мусор в бд даже хорошо, т.к. мы не должны его видеть.
За 10 секунд набить js скрипт и запомнить строку с ключом :)
А рефреш токен тоже в локал-стородже, шучу. Вообще использовать рефреш токен на сайте - не очень правильно. Тут лучше кука подходит.
Ожидал что для браузера будут использовать httpOnly куку, а токен будет работать временно. В случае XSS смогут увести только временный токен.
Все делают свою сбрую и всех получается. В чём подвох?
Не нужно заглядывать в стекрейс, просто приходишь с утра и читаешь ПР с описанием проблемы, фиксом и т.д.
Если ошибка в логике, то пофиг на все слои абстракции. Именно логику я контроллирую и за её работу отвечаю.
И мне без разницы как именно оно там внутри работает, если работает именно так как я ожидаю.
Спасибо за статью, мне как человеку-бэкендеру было интересно узнать как формально управлять процессами и что вообще такое процессы :)
Это боль, через которую придётся пройти
Блокчейн помнишь? Тоже в каждую дырку пихали, пока не разобрались для чего подходит, а для чего нет. Ничего не поменялось, ИИ закончится, начнётся что-то другое
Сначала не хотят участвовать в принятии решений, потому удивляются, что за фигню нарешали, а им делать.