Ребята молодцы, пощупали LLM, прикрутили к существующему продукту, наверняка всем понравилось обсуждать разные AI-приколяхи в курилке. Но этож какой-то франкенштейн получился?! Тут работаю, а тут — нет.
Цікаво, які ще варіанти були, окрім мейнстірімної OpenAI? HugginFace начебто ще даними постачає деякі моделі. Працювати з лише доступними промтами це плюс, дяка за думку
Тре парсити кверю, та чекати, щоб userID/tenantID був того ж юзера щонайменьше. А ще тiльки select дозовляти, та ще з LIMIT 100 чи щось таке, щоб не було ддос. А якщо щось таке пiдозрiле є, то reject’ати.
Добре підмітили. Та думаю що використати конкешен з іншим юзером що має урізані права не має бути складно. Тут найбільш веселе це усілякі injection з хитровимаханими read квері 🙂
Те що ви зробили це велика проблема для безпеки, бо prompt injection ще ніхто не відміняв. Що буде якщо ллм сгенерує щось тупу DROP TABLE або DELETE, або отримає доступ до данних другого тенанта або юзера?
Дякую за статтю. А ви дивились у сторону якогось MCP сервера для Postgres щоб не треба було писати щось кастомне ? Умовно MCP дати права на read schema + read data і бізнес юзерам дати готову юайку з чатом ?
Угу, роботи на чотири місяці, в контракті написали рік, але скоріше ніж за три не впораємося. Так, кожен middle+ може сказати термін виконання. Але це дуже часто маніпуляція.
Якщо саме для написання коду, то звісно Windsurf. Але в процесі роботи та експериментів з ним, я побачив що це не межа. Він, як агент, точно вміє більше, ніж писати код.
Кожен розробник рівня middle+ володіє такою навичкою як «естімація» — оцінка майбутнього часу на розробку функціоналу. Будь який розробник може дати оцінку скільки йому потрібно часу на будь який функціонал в межах його робочого домену.
Євген Воронюк
Дарія Подвишенна
Oleksandr Mamzurenko
Максим Уйманов
Maksym Trushevych
Anton Kalakutskyi
Serhii Kalinets
Volodymyr Sendiuk
Pavlo Trepytion
Vsevolod Ievgiienko
Andrew Mykytyn
Artem Dorokhin
Vitalii Bretsko
Aboba Code
Viacheslav Potapkin
Valentyn Vivcharyk
Andrii Korkoshko
Коментарі