Gibt's hier: https://github.com/macgaver/zfsnas-chezmoi
Super einfach, alles drin. Das beste, was ich je hatte.
Onboard Sata Controller durchreichen, wo finde ich ihn?
- Thread starter tomtom45
- Start date
Super einfach, alles drin. Das beste, was ich je hatte.
Bemerkenswert, wo 6equj5 das doch so fleißig bewirbt 
Andere Communitymitglieder sind weniger begeistert von der Vorstellung ihre Daten ki-generierter Software anzuvertrauen:
Aber ok das ist natürlich Ansichtssache und eine ganz individuelle Entscheidung. 
Mal ein paar Monate abwarten ob und wie sich das dann so entwickelt.
VG Jim
Was du daraus macht, ist natürlich deine Sache
Andere Communitymitglieder sind weniger begeistert von der Vorstellung ihre Daten ki-generierter Software anzuvertrauen:
Hm - etwas was es jetzt seit rund 2 Wochen gibt und was wohl per Vibe Coding entwickelt wurde und wird, würde ich auf mein Produktivsystem jetzt nicht unbedingt loslassen.
Aber ok das ist natürlich Ansichtssache und eine ganz individuelle Entscheidung. Mal ein paar Monate abwarten ob und wie sich das dann so entwickelt.VG Jim
Was du daraus macht, ist natürlich deine Sache
Ja, guter Punkt. Für Produktivdaten würd ich da auch erstmal abwarten wie sich das entwickelt. Zum Rumspielen vielleicht mal interessant, aber vibe-coded ZFS-Management ist schon mutig
Läuft hier seit 10 Tagen tipptopp mit (fast) ungezählten Updates zwischendrin auf meinem PVE-NAS mit gegen 20 VMs, LXC, Docker-C und gut 8 TB Daten.
So richtig kann ich es nicht begreifen, warum man die Portabilität einer Virtualisierungslösung für schlappe 5%-10% Benchmarkleistung in die Tonne tritt.
Aber jedem Tierchen sein Pläsierchen.
Aber jedem Tierchen sein Pläsierchen.
Ich möchte dazu bemerken, dass beispielsweise im OpnSense-Forum aktuell immer wieder Postings von Newcomern auftauchen, die externe (!) Plugins auf Github anpreisen, die von Accounts stammen, die ebenfalls ganz frisch sind. Oft haben diese Tools dann reißerische Namen wie "os-netshield". Solche Postings werden auf Hinweis durch die Moderation gelöscht.
Es dürfte doch klar sein, dass selbst, falls so ein Plugin zuerst "irgendwie funktioniert" und etwas Sinnvolles tut, die Gefahr extrem groß ist, dass "down the line" dann auf einmal Malware eingebaut wird. Das Pattern wäre mir zu offensichtlich bei sicherheitskritischer Software wie einem Hypervisor oder einer Firewall-Appliance. Und es wird einem durch KI-Codegeneratoren ja auch sehr einfach gemacht.
Wenn es wirklich einen Bedarf für entsprechende Plugins gibt, kann ein Autor sie in Form eines PR bei den Projekt-Maintainern einreichen - dann ist (hoffentlich) gewährleistet, dass verantwortungsvolle Augen auf jede Iteration schauen.
Ich sage ausdrücklich "hoffentlich", weil: https://www.youtube.com/watch?v=aoag03mSuXQ
Es dürfte doch klar sein, dass selbst, falls so ein Plugin zuerst "irgendwie funktioniert" und etwas Sinnvolles tut, die Gefahr extrem groß ist, dass "down the line" dann auf einmal Malware eingebaut wird. Das Pattern wäre mir zu offensichtlich bei sicherheitskritischer Software wie einem Hypervisor oder einer Firewall-Appliance. Und es wird einem durch KI-Codegeneratoren ja auch sehr einfach gemacht.
Wenn es wirklich einen Bedarf für entsprechende Plugins gibt, kann ein Autor sie in Form eines PR bei den Projekt-Maintainern einreichen - dann ist (hoffentlich) gewährleistet, dass verantwortungsvolle Augen auf jede Iteration schauen.
Ich sage ausdrücklich "hoffentlich", weil: https://www.youtube.com/watch?v=aoag03mSuXQ
Last edited:
Umgekehrt ist ja AI sehr erfolgreich im Aufspüren von Schwachstellen. Siehe Anthropic. Müssen halt nur die Richtigen ran.
Bisher war das ja eher bei Bibliotheken der Fall, die schon Jahre unterwegs sind. Zieht also nicht so recht das Argument, alles Neues ist gefährlich.
Scheinbar haben noch nicht alle gemerkt, was sich da gerade den Weg bahnt. Das wird in Kürze alles gar nicht mehr zu bewältigen sein - von Menschen. Weder das Coding von nützlichen, fehlerfreien Anwendungen, und schon gar nicht die Abwehr von Cyberbedrohungen.
Wir sind letzens von Sophos MDR über einen Angriff informiert worden. Und natürlich nehmen sie AI-Tools dafür.
Klar. Und jeder Neugierige nutzt dann ein KI-Tool, bevor er ein solches Plugin herunterlädt. Die Realität ist, dass die bloße Ablage auf Github kein Qualitäts- oder Sicherheitskritierium ist und andererseits ist nicht jeder Anwender ein IT-Sicherheitsexperte. Besonders schlimm ist es, wenn dann auch noch Containerisierungen mit Auto-Updates genutzt werden - sehr bequem, aber hochgefährlich. Und das wird gerade bei wenig verbreiteten, frischen Paketen relevant, weil da noch weniger Leute draufgucken oder mal draufgesehen haben.
Tatsächlich war der von mir verlinkte Angriff auf XZ ein von offensichtlich staatlichen Akteuren eingefädelter Angriff auf ein alteingesessenen Tool, dass aufgrund seiner Komplexität einer KI entgangen wäre - dort ist es, wie ich schrieb "trotz" der Kontrolle durchgerutscht. Bei ganz frischen Tools ist oft überhaupt keine Kontrolle vorhanden.
Übrigens: Wenn Du Recht hast, muss ich ja solche externen Tools, die weder meiner noch der Kontrolle von Anbietern, denen ich vertraue, unterliegen, gar nicht nutzen. Stattdessen kann ich Claude anweisen, das Gewünschte zu produzieren. Allerdings kann von "fehlerfreien Anwendungen" bei den KI-Generatoren, die ich bislang ausprobiert habe, nicht die Rede sein. Da braucht es schon Expertise, um die Dinger richtig zu steuern.
Und Firmen wie Sophos und andere "Sicherheitsberater" sind nach meiner Erfahrung immer genau diejenigen, die entweder:
a. Punkte sammeln wollen, indem sie massenhaft CVEs veröffentlichen, die Ihnen Ruhm und Ehre und damit neue Kunden bringen - obwohl sie oft genug überhaupt nicht relevant sind. Das sind dann die CVEs, nach denen genauso stupide im OpnSense-Forum danach gefragt wird, wann die denn beseitigt werden, weil ein armer Wicht bei einem Fortune-500-Unternehmen aufgrund seiner Sicherheitsregeln jeden CVE innerhalb von einer Woche fixen muss.
b. Sogar bei kleineren Unternehmen wie meinem anfragen, weil sie angebliche Schwachstellen gefunden haben und im Rahmen von "sensible Disclosure" nach Bug-Bounty-Programmen fragen. Wenn man das verneint, hört man nie wieder von denen.
Beide Typen machen das, indem sie stupide (früher) günstige IT-Neulinge oder (heute) KI-Tools darauf ansetzen, automatisiert auffindbare Schwachstellen zu suchen.
Ich bezweifele auch stark, dass eine KI einem richtig gut eingefädelten Angriff wie dem verlinkten auf die Spur gekommen wäre.
P.S.: Der einzige Grund, wieso ich solche wie sauer Bier angebotenen Tools nicht gleich selbst untersuche oder von KI untersuchen lasse, ist meine Überzeugung, dass anfangs dort sowieso keine Malware zu finden wäre - zumindest, wenn der Akteur nicht mit einem Klammersack gepudert ist.
Nur ist das leider weder ein Indiz für gute noch für böse Absichten. Da ich den Aufwand scheue, solche Werkzeuge dann immer wieder selbst zu kontrollieren, verzichte ich lieber, aus reinen Vorsichtsgründen. Genau darauf wollte ich hinweisen, das kann aber natürlich jeder halten wie ein Dachdecker.
Tatsächlich war der von mir verlinkte Angriff auf XZ ein von offensichtlich staatlichen Akteuren eingefädelter Angriff auf ein alteingesessenen Tool, dass aufgrund seiner Komplexität einer KI entgangen wäre - dort ist es, wie ich schrieb "trotz" der Kontrolle durchgerutscht. Bei ganz frischen Tools ist oft überhaupt keine Kontrolle vorhanden.
Übrigens: Wenn Du Recht hast, muss ich ja solche externen Tools, die weder meiner noch der Kontrolle von Anbietern, denen ich vertraue, unterliegen, gar nicht nutzen. Stattdessen kann ich Claude anweisen, das Gewünschte zu produzieren. Allerdings kann von "fehlerfreien Anwendungen" bei den KI-Generatoren, die ich bislang ausprobiert habe, nicht die Rede sein. Da braucht es schon Expertise, um die Dinger richtig zu steuern.
Und Firmen wie Sophos und andere "Sicherheitsberater" sind nach meiner Erfahrung immer genau diejenigen, die entweder:
a. Punkte sammeln wollen, indem sie massenhaft CVEs veröffentlichen, die Ihnen Ruhm und Ehre und damit neue Kunden bringen - obwohl sie oft genug überhaupt nicht relevant sind. Das sind dann die CVEs, nach denen genauso stupide im OpnSense-Forum danach gefragt wird, wann die denn beseitigt werden, weil ein armer Wicht bei einem Fortune-500-Unternehmen aufgrund seiner Sicherheitsregeln jeden CVE innerhalb von einer Woche fixen muss.
b. Sogar bei kleineren Unternehmen wie meinem anfragen, weil sie angebliche Schwachstellen gefunden haben und im Rahmen von "sensible Disclosure" nach Bug-Bounty-Programmen fragen. Wenn man das verneint, hört man nie wieder von denen.
Beide Typen machen das, indem sie stupide (früher) günstige IT-Neulinge oder (heute) KI-Tools darauf ansetzen, automatisiert auffindbare Schwachstellen zu suchen.
Ich bezweifele auch stark, dass eine KI einem richtig gut eingefädelten Angriff wie dem verlinkten auf die Spur gekommen wäre.
P.S.: Der einzige Grund, wieso ich solche wie sauer Bier angebotenen Tools nicht gleich selbst untersuche oder von KI untersuchen lasse, ist meine Überzeugung, dass anfangs dort sowieso keine Malware zu finden wäre - zumindest, wenn der Akteur nicht mit einem Klammersack gepudert ist.
Nur ist das leider weder ein Indiz für gute noch für böse Absichten. Da ich den Aufwand scheue, solche Werkzeuge dann immer wieder selbst zu kontrollieren, verzichte ich lieber, aus reinen Vorsichtsgründen. Genau darauf wollte ich hinweisen, das kann aber natürlich jeder halten wie ein Dachdecker.
Last edited: