[240528] git 漏洞 CVE-2024-32002 | ChatGPT Plus vs API 成本比较

目录

    • [git 漏洞概述 | CVE-2024-32002](#git 漏洞概述 | CVE-2024-32002)
    • [ChatGPT Plus vs API: 成本比较](#ChatGPT Plus vs API: 成本比较)

git 漏洞概述 | CVE-2024-32002

  1. 漏洞描述
  • Git 在处理包含子模块的仓库时存在漏洞,可能被诱导将文件写入 .git/ 目录而非子模块的工作目录。
  • 攻击者可利用此漏洞写入恶意钩子,在克隆操作期间执行,从而在用户无法检查代码的情况下执行恶意代码。
  1. 受影响版本
  • Git 版本低于 2.45.1、2.44.1、2.43.4、2.42.2、2.41.1、2.40.2 和 2.39.4。
  1. 漏洞修复
  • Git 已发布修复版本,请升级至 2.45.1、2.44.1、2.43.4、2.42.2、2.41.1、2.40.2 或 2.39.4。
  1. 缓解措施
  • 禁用 Git 中的符号链接支持(例如,通过 git config --global core.symlinks false)。

  • 避免克隆来自不受信任来源的仓库。

上述文章 由 如下命令 生成:

bash 复制代码
x osv vuln --yml CVE-2024-32002 \
  | @gemini -t 0 '以大纲方式,用中文简练介绍这个漏洞'

值得注意的是,受限于 osv 的官方来源信息,上述文章并无提到该漏洞需要的两个依赖:

  1. 该漏洞依赖 git clone --recursive 这种方式

  2. 该漏洞依赖 mac 和 windows 的文件系统中文件名大小写不敏感这个特性

  3. 该漏洞的严重程序是 评分是 9.1分( 满分是 10分 ),请大家尽快采取相应的举措进行风险规避。

可以参考以下文章了解更多的技术细节:

CVE-2024-32002--git rce的分析与复现

ChatGPT Plus vs API: 成本比较

核心问题: 针对代码生成任务,ChatGPT Plus 订阅和 GPT-4o API 哪种方式更划算?

成本分析:

  • GPT-4o API:

    • 输入: $5.00 / 百万 tokens

    • 输出: $15.00 / 百万 tokens

  • ChatGPT Plus:

    • $20 / 月,无限使用

使用场景:

  • 每日编程:

    • 假设每天 5 个任务,每个任务 200 行 Python 代码 (约 1700 tokens),每次任务与 ChatGPT 交互 3 次。

    • 每月 API 成本约为 $10.20,远低于 ChatGPT Plus 的 $20。

  • 偶尔编程:

    • 假设每周 1 个任务,每个任务 200 行 React 代码 (约 1500 tokens),每次任务与 ChatGPT 交互 3 次。

    • 每月 API 成本约为 $0.36,远低于 ChatGPT Plus 的 $20。

结论:

  • GPT-4o API 在成本上更具优势,无论是日常编程还是偶尔编程。

  • ChatGPT Plus 的优势在于无限使用和移动端支持,适合非编程场景下的快速问答和头脑风暴。

以上 的文章 由 如下命令生成 ( Gemini 1.5 Pro,Temperature 为 0 ):

bash 复制代码
x jina 'https://prompt.16x.engineer/blog/chatgpt-plus-vs-api-cost' \
  | @gemini -t 0 '用大纲方式总结要点 用中文'

原文带有很强的目标性 -- 论证采用该软件使用 GPT-4o 的 API 要比直接购买 ChatGPT Plus 订阅更划算。文中所谈 "偶尔编程" 的场景假设我无法理解;因此仅讨论每日编程这个场景的成本。

文章假设每天 5 个任务,而每个任务 Input/Output 皆是 1700 Token,每个任务交互三次。采用 GPT-4o 的成本是每个月 10.2 美元。

这个假设未免过于乐观。实际上,如果要完成好任务,需要采用 Agent 和 RAG 、 Memory 等 Prompt 技巧,预设的 Agent Prompt 和附带的参考内容的长度至少达到 1.7K Token。我们先让单次完成任务成本翻一番。

而每天 5 个任务,如果重度依赖进行任务解决,5个任务是远远不够 -- 我们就假设每天工作与 AI 共同完成 50 个问题的解决( 5个小时 x 10个问题/小时 )。

在上述粗糙的假设下,成本会变成 20 倍。相当于 200美元/月。

然而,这里的成本未来还有两个优化:

  1. 本地模型和更便宜的云上模型来分担任务,实现降本;例如我经常使用 GPT-3.5 和 Gemini 1.5 Flash 来完成一些总结工作;效果不错。x-cmd 上的当前 Agent 设计和开发也是往这个联动多个模型的角度来进行的。
  2. 按照最近一年的趋势,GPT-4o 层次的 AI 也会降价;最近一年,GPT-3.5 就降了 75% (输入 Token );未来两年内,这个成本变 1/10,这是可以期待的。

不过虽然成本在降,但随着更多使用潜力的挖掘,使用的频率和用量都会激增。我们最终每个月在上面会花费多少预算,未可知。ChatGPT Plus 的定价考虑的大概是用户的心理价位,以及市场当前的接受程度。

每月额外支出 200美元 看似很高,其实换个角度,也并不难接受:

  1. AI 能够如此深度加入到工作 所带来的价值
  2. 节省了在搜索引擎和页面的广告注意力成本
  3. 知识在团队内部的流动成本,节省了成员之间的交流成本( 当面交流的时间成本、编写文档的成本,等等 )

如果这些成本最终能让我们每天因此少工作一小时,那绝对物有所值。

反之,如果 LLM 给人类带来的价值也仅配得上额外的 200 美元月成本支出,那么就枉称新一轮科技革命了。

现在,对于生逢其时的我们,更需思考的是,如何在这个成本上,物尽其用,创造更大的价值。

更多内容请查阅 : blog-240528


关注微信官方公众号 : oh my x

获取开源软件和 x-cmd 最新用法

相关推荐
晓理紫6 小时前
使用git lfs向huggingface提交较大的数据或者权重
git
我不是程序猿儿7 小时前
【GIT】sourceTree的“当前分支“,“合并分支“与“检出分支的区别
git
ToToBe8 小时前
L1G3000 提示工程(Prompt Engineering)
chatgpt·prompt
龙的爹23338 小时前
论文 | Legal Prompt Engineering for Multilingual Legal Judgement Prediction
人工智能·语言模型·自然语言处理·chatgpt·prompt
bytebeats10 小时前
我用 Spring AI 集成 OpenAI ChatGPT API 创建了一个 Spring Boot 小程序
spring boot·chatgpt·openai
&永恒的星河&14 小时前
Hunyuan-Large:推动AI技术进步的下一代语言模型
人工智能·语言模型·自然语言处理·chatgpt·moe·llms
_OLi_14 小时前
IDEA中新建与切换Git分支
java·spring boot·git
PyAIGCMaster18 小时前
ubuntu下安装 git 及部署cosyvoice(1)
git
维__kxs766719 小时前
小程序 + AI 自动直播:一部手机开启抖音挂载小程序流量主变现之旅
git·eclipse
我爱学Python!21 小时前
AI Prompt如何帮你提升论文中的逻辑推理部分?
人工智能·程序人生·自然语言处理·chatgpt·llm·prompt·提示词