Please open Telegram to view this post
VIEW IN TELEGRAM
А теперь к действительно важным для сообщества новостям.
Теледильдоника: как хакеры залезли туда, куда вы не ожидали
Запомните слово дня — «теледильдоника». Звучит как заклинание из фильма для взрослых, но на деле это вполне серьёзная отрасль, изучающая передачу тактильных ощущений на расстоянии с помощью технологий. Термин существует с 1975 года, но именно сейчас индустрия переживает бурный расцвет. Современные устройства напичканы BLE-модулями, акселерометрами, пьезоэлектрическими сенсорами давления и даже нейросетями для адаптивной обратной связи. На CES 2024 секс-теху впервые выделили полноценную категорию — рядом со складными телефонами и роботами-пылесосами. Прогресс неумолим.
Lovense — один из самых популярных брендов «умных» вибраторов. Поддержка Bluetooth LE, проприетарный протокол связи, мобильное приложение с чатом и дистанционным управлением. Обширная фанбаза среди создательниц контента на OnlyFans — подписчики за донат буквально контролируют интенсивность устройства в реальном времени. Звучит как победа инженерной мысли, пока не выяснилось, что приложение Lovense Remote тихонько записывало аудио с микрофона устройства, а собранную телеметрию — включая паттерны использования, временны́е метки и данные аккаунта — хранило с минимальной защитой. Связать аудиозапись с email пользователя и получить идеальный набор для шантажа мог любой мотивированный злоумышленник. Но вишенка в другом: исследователи обнаружили, что BLE-протокол Lovense не использовал аутентификацию при сопряжении. Любой человек с BLE-сниффером в радиусе десяти метров мог обнаружить устройство, подключиться к нему и отправлять команды управления. Теоретически ваш сосед через стену мог устроить вам незапланированный сеанс вибротерапии. Хотя, возможно, кто-то сочтёт это не багом, а социальной функцией.
Siime Eye. Это вибратор со встроенной камерой и Wi-Fi модулем для видеотрансляции из мест, куда обычно камеры не направляют. Инженерное решение для передачи видео было элегантным в своей наивности: устройство поднимало собственную Wi-Fi точку доступа с SSID вида «Siime Eye» и паролем по умолчанию «88888888». Без WPA2, без изоляции клиентов, без какого-либо шифрования трафика. Любой в радиусе действия сигнала мог подключиться и получить доступ к видеопотоку через стандартный HTTP-запрос на дефолтный IP. Более того — реверс-инжиниринг прошивки показал захардкоженные учётные данные root-доступа, что открывало возможность полного перехвата управления. Уязвимость просуществовала несколько лет, прежде чем её закрыли
Но абсолютный шедевр — история китайского стартапа Qiui и их продукта Cellmate. Это мужской пояс верности с электронным замком и управлением через REST API. Концепция: партнёрша удалённо блокирует и разблокирует устройство через мобильное приложение. Кибербез-компания Pen Test Partners провела аудит и обнаружила, что API не требовал никакой авторизации. Эндпоинты для управления замком принимали прямые HTTP-запросы без токенов. Данные о локации пользователей, приватные чаты и фотографии из приложения были доступны простым перебором идентификаторов. Через считанные дни после публикации отчёта неизвестный хакер начал массово блокировать устройства и требовать 0,02 BTC (около $300) за разблокировку — классический ransomware, только вместо файлов в заложниках оказалось кое-что более личное. Пикантность ситуации придавало полное отсутствие механизма аварийного отключения. Единственным способом освободиться оказались болторез или угловая шлифмашина в непосредственной близости от анатомических структур, которые очень не хочется повредить.
Перед покупкой умного интимного девайса проверьте, использует ли он шифрование при передаче данных, требует ли аутентификацию при BLE-сопряжении. Кстати «дилдак со сквозным шифрованием» — это, пожалуй, действительно незанятая ниша для стартапа.
@DevsRoot
В MAX
Теледильдоника: как хакеры залезли туда, куда вы не ожидали
Запомните слово дня — «теледильдоника». Звучит как заклинание из фильма для взрослых, но на деле это вполне серьёзная отрасль, изучающая передачу тактильных ощущений на расстоянии с помощью технологий. Термин существует с 1975 года, но именно сейчас индустрия переживает бурный расцвет. Современные устройства напичканы BLE-модулями, акселерометрами, пьезоэлектрическими сенсорами давления и даже нейросетями для адаптивной обратной связи. На CES 2024 секс-теху впервые выделили полноценную категорию — рядом со складными телефонами и роботами-пылесосами. Прогресс неумолим.
Lovense — один из самых популярных брендов «умных» вибраторов. Поддержка Bluetooth LE, проприетарный протокол связи, мобильное приложение с чатом и дистанционным управлением. Обширная фанбаза среди создательниц контента на OnlyFans — подписчики за донат буквально контролируют интенсивность устройства в реальном времени. Звучит как победа инженерной мысли, пока не выяснилось, что приложение Lovense Remote тихонько записывало аудио с микрофона устройства, а собранную телеметрию — включая паттерны использования, временны́е метки и данные аккаунта — хранило с минимальной защитой. Связать аудиозапись с email пользователя и получить идеальный набор для шантажа мог любой мотивированный злоумышленник. Но вишенка в другом: исследователи обнаружили, что BLE-протокол Lovense не использовал аутентификацию при сопряжении. Любой человек с BLE-сниффером в радиусе десяти метров мог обнаружить устройство, подключиться к нему и отправлять команды управления. Теоретически ваш сосед через стену мог устроить вам незапланированный сеанс вибротерапии. Хотя, возможно, кто-то сочтёт это не багом, а социальной функцией.
Siime Eye. Это вибратор со встроенной камерой и Wi-Fi модулем для видеотрансляции из мест, куда обычно камеры не направляют. Инженерное решение для передачи видео было элегантным в своей наивности: устройство поднимало собственную Wi-Fi точку доступа с SSID вида «Siime Eye» и паролем по умолчанию «88888888». Без WPA2, без изоляции клиентов, без какого-либо шифрования трафика. Любой в радиусе действия сигнала мог подключиться и получить доступ к видеопотоку через стандартный HTTP-запрос на дефолтный IP. Более того — реверс-инжиниринг прошивки показал захардкоженные учётные данные root-доступа, что открывало возможность полного перехвата управления. Уязвимость просуществовала несколько лет, прежде чем её закрыли
Но абсолютный шедевр — история китайского стартапа Qiui и их продукта Cellmate. Это мужской пояс верности с электронным замком и управлением через REST API. Концепция: партнёрша удалённо блокирует и разблокирует устройство через мобильное приложение. Кибербез-компания Pen Test Partners провела аудит и обнаружила, что API не требовал никакой авторизации. Эндпоинты для управления замком принимали прямые HTTP-запросы без токенов. Данные о локации пользователей, приватные чаты и фотографии из приложения были доступны простым перебором идентификаторов. Через считанные дни после публикации отчёта неизвестный хакер начал массово блокировать устройства и требовать 0,02 BTC (около $300) за разблокировку — классический ransomware, только вместо файлов в заложниках оказалось кое-что более личное. Пикантность ситуации придавало полное отсутствие механизма аварийного отключения. Единственным способом освободиться оказались болторез или угловая шлифмашина в непосредственной близости от анатомических структур, которые очень не хочется повредить.
Перед покупкой умного интимного девайса проверьте, использует ли он шифрование при передаче данных, требует ли аутентификацию при BLE-сопряжении. Кстати «дилдак со сквозным шифрованием» — это, пожалуй, действительно незанятая ниша для стартапа.
@DevsRoot
В MAX
🔥1
ИИ Щит и Меч в IT
На конференции unprompted 2026 исследователь Anthropic Николас Карлини продемонстрировал, как Claude Opus 4.6 за 90 минут самостоятельно обнаружил критическую SQL-инъекцию в Ghost CMS — популярной системе с 50 000 звёзд на GitHub, у которой за всю историю не было ни одной критической уязвимости. Модель нашла брешь, извлекла API-ключ администратора и хеши паролей из базы данных без какой-либо аутентификации. Затем тот же подход был применён к ядру Linux: Claude обнаружил несколько удалённо эксплуатируемых heap buffer overflow в NFS-демоне, причём одна из уязвимостей существовала в коде с 2003 года — до появления Git. Ни один из существующих инструментов, включая фаззеры, годами прогонявшие миллионы часов CPU-времени на этих же кодовых базах, этого не нашёл.
Одновременно с релизом Opus 4.6 команда Anthropic опубликовала результаты масштабного аудита: более 500 подтверждённых уязвимостей высокой серьёзности в открытых проектах, 14 уязвимостей высокого и 7 среднего уровня — только в кодовой базе Mozilla. Ключевое отличие от фаззеров — модель рассуждает о коде как исследователь: читает историю коммитов, находит неполные патчи, выявляет логические ошибки, которые требуют понимания алгоритмов, а не просто перебора входных данных.
Масштаб сдвига виден по метрике мейнтейнеров ядра Linux: два года назад они получали 2–3 отчёта о безопасности в неделю, затем число выросло до 10, причём прирост составлял AI-генерированный мусор. С начала 2026 года поток вырос до 5–10 отчётов в день, и теперь большинство из них — по делу. Нагрузка настолько возросла, что пришлось привлекать дополнительных мейнтейнеров.
На этом фоне 31 марта произошла одна из крупнейших атак на цепочку поставок в истории npm. Северокорейская группировка UNC1069 скомпрометировала аккаунт ведущего мейнтейнера библиотеки Axios (~100 млн загрузок в неделю) и опубликовала две заражённые версии. Вредоносная зависимость plain-crypto-js через postinstall-хук автоматически устанавливала кроссплатформенный RAT на Windows, macOS и Linux. Вредоносные версии провисели около трёх часов, но за это время затронули CI/CD-пайплайны и рабочие станции разработчиков по всему миру. При этом малварь самоуничтожалась после установки, подменяя своё содержимое чистой копией — штатный npm audit не обнаруживал следов компрометации.
CEO Cognition (разработчик AI-агента Devin) Скотт Ву сообщил, что их агент обнаружил проблему у множества клиентов в течение часа — за несколько часов до первых публичных сообщений. Это наглядная демонстрация того, как AI-агенты работают и на стороне защиты: автоматический мониторинг зависимостей и изменений в коде способен сократить время реакции с часов до минут. Гонка между атакой и обороной в кибербезопасности вступает в новую фазу — и обе стороны теперь вооружены одними и теми же инструментами.
#AI #Нейросети #Моё
@DevsRoot
В MAX
На конференции unprompted 2026 исследователь Anthropic Николас Карлини продемонстрировал, как Claude Opus 4.6 за 90 минут самостоятельно обнаружил критическую SQL-инъекцию в Ghost CMS — популярной системе с 50 000 звёзд на GitHub, у которой за всю историю не было ни одной критической уязвимости. Модель нашла брешь, извлекла API-ключ администратора и хеши паролей из базы данных без какой-либо аутентификации. Затем тот же подход был применён к ядру Linux: Claude обнаружил несколько удалённо эксплуатируемых heap buffer overflow в NFS-демоне, причём одна из уязвимостей существовала в коде с 2003 года — до появления Git. Ни один из существующих инструментов, включая фаззеры, годами прогонявшие миллионы часов CPU-времени на этих же кодовых базах, этого не нашёл.
Одновременно с релизом Opus 4.6 команда Anthropic опубликовала результаты масштабного аудита: более 500 подтверждённых уязвимостей высокой серьёзности в открытых проектах, 14 уязвимостей высокого и 7 среднего уровня — только в кодовой базе Mozilla. Ключевое отличие от фаззеров — модель рассуждает о коде как исследователь: читает историю коммитов, находит неполные патчи, выявляет логические ошибки, которые требуют понимания алгоритмов, а не просто перебора входных данных.
Масштаб сдвига виден по метрике мейнтейнеров ядра Linux: два года назад они получали 2–3 отчёта о безопасности в неделю, затем число выросло до 10, причём прирост составлял AI-генерированный мусор. С начала 2026 года поток вырос до 5–10 отчётов в день, и теперь большинство из них — по делу. Нагрузка настолько возросла, что пришлось привлекать дополнительных мейнтейнеров.
На этом фоне 31 марта произошла одна из крупнейших атак на цепочку поставок в истории npm. Северокорейская группировка UNC1069 скомпрометировала аккаунт ведущего мейнтейнера библиотеки Axios (~100 млн загрузок в неделю) и опубликовала две заражённые версии. Вредоносная зависимость plain-crypto-js через postinstall-хук автоматически устанавливала кроссплатформенный RAT на Windows, macOS и Linux. Вредоносные версии провисели около трёх часов, но за это время затронули CI/CD-пайплайны и рабочие станции разработчиков по всему миру. При этом малварь самоуничтожалась после установки, подменяя своё содержимое чистой копией — штатный npm audit не обнаруживал следов компрометации.
CEO Cognition (разработчик AI-агента Devin) Скотт Ву сообщил, что их агент обнаружил проблему у множества клиентов в течение часа — за несколько часов до первых публичных сообщений. Это наглядная демонстрация того, как AI-агенты работают и на стороне защиты: автоматический мониторинг зависимостей и изменений в коде способен сократить время реакции с часов до минут. Гонка между атакой и обороной в кибербезопасности вступает в новую фазу — и обе стороны теперь вооружены одними и теми же инструментами.
#AI #Нейросети #Моё
@DevsRoot
В MAX
MAX
MAX – быстрое и легкое приложение для общения и решения пов…
Новинки LLM
Z.ai представила GLM-5.1 — флагманскую MoE-модель с 754 млрд параметров, которую, судя по бенчмаркам, особенно продвигают как инструмент для программистов и задач агентного кодинга.
По заявленным результатам, модель показывает сильные показатели в прикладных тестах:
SWE-Bench Pro — 58,4, что выше Claude Opus 4.6, GPT-5.4 и Gemini 3.1 Pro.
Terminal-Bench 2.0 — 63,5, немного уступая Claude Code с 66,5.
CyberGym — 68,7 против 48,3 у GLM-5.
BrowseComp — 68,0 без внешнего менеджера контекста.
При этом в более общих и академических тестах вроде HLE, AIME 2026 и GPQA-Diamond модель, по словам разработчиков, находится примерно на уровне конкурентов, а в ряде случаев впереди остаются Gemini 3.1 Pro и GPT-5.4.
Параллельно Anthropic показала Claude Mythos Preview — модель общего назначения, в которой сделали упор на программирование и логическое мышление. Несмотря на то, что модель не создавалась специально под кибербезопасность, в этой сфере она тоже оказалась очень сильной.
По данным Anthropic, Mythos Preview нашли настолько мощной, что компания не выпустила ее в открытый доступ. Вместо этого модель предоставят только ограниченному кругу организаций, чтобы они могли искать и исправлять уязвимости в критически важном ПО. В проекте участвуют 40 компаний, а сама Anthropic выделяет до 100 миллионов долларов в виде кредитов на использование Mythos Preview.
В компании утверждают, что модель уже помогла обнаружить тысячи серьезных уязвимостей, включая проблемы в OpenBSD, FFmpeg и ядре Linux. Часть найденных багов уже исправлена, но работа продолжается еще над тысячами других случаев.
Anthropic отдельно подчеркивает, что в ближайшем будущем выйдет новая версия Opus с усиленными мерами безопасности. Параллельно компания консультируется с представителями правительства США по поводу наступательных и оборонительных возможностей Claude Mythos Preview в киберсфере.
ТТХ
Z.ai GLM-5.1: MoE-модель,
754
754 млрд параметров, акцент на кодинг и агентные задачи.
Anthropic Claude Mythos Preview: модель общего назначения, усилена в программировании, логике и кибербезопасности.
Формат релиза Mythos Preview: закрытый доступ для партнерских компаний, а не публичный запуск.
Масштаб программы Anthropic:
40 компаний-участников, до
100 млн долларов в виде кредитов.
#AI #LLM #ZAI #Anthropic #Новости #Нейросети #Моё
@DevsRoot
В MAX
Z.ai представила GLM-5.1 — флагманскую MoE-модель с 754 млрд параметров, которую, судя по бенчмаркам, особенно продвигают как инструмент для программистов и задач агентного кодинга.
По заявленным результатам, модель показывает сильные показатели в прикладных тестах:
SWE-Bench Pro — 58,4, что выше Claude Opus 4.6, GPT-5.4 и Gemini 3.1 Pro.
Terminal-Bench 2.0 — 63,5, немного уступая Claude Code с 66,5.
CyberGym — 68,7 против 48,3 у GLM-5.
BrowseComp — 68,0 без внешнего менеджера контекста.
При этом в более общих и академических тестах вроде HLE, AIME 2026 и GPQA-Diamond модель, по словам разработчиков, находится примерно на уровне конкурентов, а в ряде случаев впереди остаются Gemini 3.1 Pro и GPT-5.4.
Параллельно Anthropic показала Claude Mythos Preview — модель общего назначения, в которой сделали упор на программирование и логическое мышление. Несмотря на то, что модель не создавалась специально под кибербезопасность, в этой сфере она тоже оказалась очень сильной.
По данным Anthropic, Mythos Preview нашли настолько мощной, что компания не выпустила ее в открытый доступ. Вместо этого модель предоставят только ограниченному кругу организаций, чтобы они могли искать и исправлять уязвимости в критически важном ПО. В проекте участвуют 40 компаний, а сама Anthropic выделяет до 100 миллионов долларов в виде кредитов на использование Mythos Preview.
В компании утверждают, что модель уже помогла обнаружить тысячи серьезных уязвимостей, включая проблемы в OpenBSD, FFmpeg и ядре Linux. Часть найденных багов уже исправлена, но работа продолжается еще над тысячами других случаев.
Anthropic отдельно подчеркивает, что в ближайшем будущем выйдет новая версия Opus с усиленными мерами безопасности. Параллельно компания консультируется с представителями правительства США по поводу наступательных и оборонительных возможностей Claude Mythos Preview в киберсфере.
ТТХ
Z.ai GLM-5.1: MoE-модель,
754
754 млрд параметров, акцент на кодинг и агентные задачи.
Anthropic Claude Mythos Preview: модель общего назначения, усилена в программировании, логике и кибербезопасности.
Формат релиза Mythos Preview: закрытый доступ для партнерских компаний, а не публичный запуск.
Масштаб программы Anthropic:
40 компаний-участников, до
100 млн долларов в виде кредитов.
#AI #LLM #ZAI #Anthropic #Новости #Нейросети #Моё
@DevsRoot
В MAX
AI не для всех
Как бы Антропик чтоль намекает, супер-умные модели вроде Claude Mythos Preview от Anthropic уже не для всех.
Почему? Якобы безопасность превыше всего. Mythos Preview нашла тысячи уязвимостей в OpenBSD, FFmpeg и Linux -автономно, без подсказок. Anthropic не рискует: модель только для 40 компаний с кредитами на $100 млн. Дальше - платный доступ.
Раньше ИИ был игрушкой: ChatGPT для чатов, Midjourney для картинок. Теперь - оружие. Правительства вмешиваются: Anthropic консультируется с США. Скоро супер-АИ станут как ядерная технология - под контролем элит?
Печально.
#AI #LLM #ZAI #Anthropic #Новости #Нейросети #Моё
@DevsRoot
В MAX
Как бы Антропик чтоль намекает, супер-умные модели вроде Claude Mythos Preview от Anthropic уже не для всех.
Почему? Якобы безопасность превыше всего. Mythos Preview нашла тысячи уязвимостей в OpenBSD, FFmpeg и Linux -автономно, без подсказок. Anthropic не рискует: модель только для 40 компаний с кредитами на $100 млн. Дальше - платный доступ.
Раньше ИИ был игрушкой: ChatGPT для чатов, Midjourney для картинок. Теперь - оружие. Правительства вмешиваются: Anthropic консультируется с США. Скоро супер-АИ станут как ядерная технология - под контролем элит?
Печально.
#AI #LLM #ZAI #Anthropic #Новости #Нейросети #Моё
@DevsRoot
В MAX
Через 17 дней, 27 апреля 2026 года, в суде Окленда (Калифорния) присяжные рассмотрят иск Илона Маска против OpenAI и Сэма Альтмана. Дело касается перехода компании от некоммерческой модели к for-profit, что может подорвать фундамент всей ИИ-индустрии.
Сущность спора
Маск, как сооснователь OpenAI (2015), инвестировал около 38–44 млн долларов, полагая, что организация останется некоммерческой и будет развивать ИИ "на благо человечества". OpenAI реструктурировалась: некоммерческая "мать" контролирует for-profit подразделение (PBC с 2025), владеющее ChatGPT, оцененное в 852 млрд долларов. Маск требует 150 млрд ущерба (не лично себе, а благотворительному крылу OpenAI), отстранения Альтмана и Брокмана, возврата к nonprofit-статусу. Судья Yvonne Gonzalez Rogers подтвердила достаточно доказательств (emails, протоколы) для жюри; процесс продлится до 22 мая.
Реакция OpenAI
OpenAI отвергает обвинения, называя иск "эгоистичной травлей"🤣 . На этой неделе они написали письма генпрокурорам Калифорнии и Делавэра, обвинив Маска в "антиконкурентном поведении" и координации с Марком Цукербергом для саботажа. Директор по стратегии Джейсон Квон публично заявил о "сомнительных стратегиях" Маска.
Риски для индустрии
Прецедент затронет Anthropic (выходцы из OpenAI с "некоммерческой риторикой"), xAI Маска ("ИИ на благо человечества") и другие labs, использовавшие благотворительный статус для привлечения талантов и капитала. Бывшие сотрудники OpenAI поддерживают Маска, аргументируя нарушением миссии. Волна исков от доноров и акционеров может обрушить модели.
Финансовый контекст
OpenAI привлекла 122 млрд инвестиций (Microsoft — 13 млрд вложено, оценка вклада ~135 млрд) и готовит IPO во второй половине 2026 на 750–1000 млрд. Вердикт в апреле-мае рискует сорвать планы, вызвав панику инвесторов. Альтман проводит пресс-туры в Вашингтоне, продвигая "суперинтеллект" для имиджа.
Это не личная драма, а тест правового основания ИИ-бума.
Однако нет повода надеяться что все станет на халяву)
#AI #Новости #Нейросети #Моё
@DevsRoot
В MAX
Сущность спора
Маск, как сооснователь OpenAI (2015), инвестировал около 38–44 млн долларов, полагая, что организация останется некоммерческой и будет развивать ИИ "на благо человечества". OpenAI реструктурировалась: некоммерческая "мать" контролирует for-profit подразделение (PBC с 2025), владеющее ChatGPT, оцененное в 852 млрд долларов. Маск требует 150 млрд ущерба (не лично себе, а благотворительному крылу OpenAI), отстранения Альтмана и Брокмана, возврата к nonprofit-статусу. Судья Yvonne Gonzalez Rogers подтвердила достаточно доказательств (emails, протоколы) для жюри; процесс продлится до 22 мая.
Реакция OpenAI
OpenAI отвергает обвинения, называя иск "эгоистичной травлей"
Риски для индустрии
Прецедент затронет Anthropic (выходцы из OpenAI с "некоммерческой риторикой"), xAI Маска ("ИИ на благо человечества") и другие labs, использовавшие благотворительный статус для привлечения талантов и капитала. Бывшие сотрудники OpenAI поддерживают Маска, аргументируя нарушением миссии. Волна исков от доноров и акционеров может обрушить модели.
Финансовый контекст
OpenAI привлекла 122 млрд инвестиций (Microsoft — 13 млрд вложено, оценка вклада ~135 млрд) и готовит IPO во второй половине 2026 на 750–1000 млрд. Вердикт в апреле-мае рискует сорвать планы, вызвав панику инвесторов. Альтман проводит пресс-туры в Вашингтоне, продвигая "суперинтеллект" для имиджа.
Это не личная драма, а тест правового основания ИИ-бума.
Однако нет повода надеяться что все станет на халяву)
#AI #Новости #Нейросети #Моё
@DevsRoot
В MAX
Please open Telegram to view this post
VIEW IN TELEGRAM
Против лома ИИ приемы.
Специалистам, глубоко разбирающимся в уязвимостях безопасности вроде переполнений буфера и эксплойтов, стоит ознакомиться с детальным анализом от Anthropic по их модели Mythos. За пару месяцев она выявила тысячи zero-day багов в open-source проектах, хотя доступ к модели пока ограничен для широкой аудитории.
Пример уязвимости в OpenBSD
В отчете разбирают реальные случаи, включая 27-летнюю zero-day в OpenBSD — баг в tcp-input.c, отвечающем за обработку TCP-пакетов. Этот файл проверяли десятки экспертов и инструментов анализа на протяжении десятилетий, но ошибка осталась незамеченной: она сочетает два несвязанных дефекта, приводящих к отрицательному номеру пакета, 32-битному переполнению и попытке записи по NULL-указателю в связном списке SACK-дырок, что крашит любой интернет-подключенный сервер.
Масштабируемость ручного аудита
Файл tcp-input.c насчитывает свыше 4000 строк и решает множество задач помимо SACK. Если бы опытному разработчику поручили ручной аудит именно на SACK-уязвимости с фокусом на edge-кейсы, отрицательные значения, оверфлоу и буферы, баг мог бы всплыть за пару дней — но на это нет ни бюджетов, ни мотивации для скрупулезного разбора узких кусков кода вроде TCP-опций в сетевом стеке ядра.
Преимущества ИИ-агентов
Просто запустить умный ИИ-агент, чтобы он разделил tcp-input.c на 10–20 модулей, включая SACK, и поручил каждому специализированному агенту поиск багов — и один из них, как в случае с Mythos, найдет проблему. Остальные потратят ресурсы впустую, но ложные срабатывания отфильтрует судья-агент, без лишних затрат.
Один квалифицированный программист проанализирует файл, но не миллион файлов одновременно. Зато один эффективный ИИ-агент масштабируется до миллиона, радикально меняя подход к аудиту ПО — и это пока слабо осознают в индустрии.
Хотя в этой новости умалчивается сколько было ложных срабатываний, но с ними ты свою корову не продашь.
#AI #Новости #Нейросети #Моё
@DevsRoot
В MAX
Специалистам, глубоко разбирающимся в уязвимостях безопасности вроде переполнений буфера и эксплойтов, стоит ознакомиться с детальным анализом от Anthropic по их модели Mythos. За пару месяцев она выявила тысячи zero-day багов в open-source проектах, хотя доступ к модели пока ограничен для широкой аудитории.
Пример уязвимости в OpenBSD
В отчете разбирают реальные случаи, включая 27-летнюю zero-day в OpenBSD — баг в tcp-input.c, отвечающем за обработку TCP-пакетов. Этот файл проверяли десятки экспертов и инструментов анализа на протяжении десятилетий, но ошибка осталась незамеченной: она сочетает два несвязанных дефекта, приводящих к отрицательному номеру пакета, 32-битному переполнению и попытке записи по NULL-указателю в связном списке SACK-дырок, что крашит любой интернет-подключенный сервер.
Масштабируемость ручного аудита
Файл tcp-input.c насчитывает свыше 4000 строк и решает множество задач помимо SACK. Если бы опытному разработчику поручили ручной аудит именно на SACK-уязвимости с фокусом на edge-кейсы, отрицательные значения, оверфлоу и буферы, баг мог бы всплыть за пару дней — но на это нет ни бюджетов, ни мотивации для скрупулезного разбора узких кусков кода вроде TCP-опций в сетевом стеке ядра.
Преимущества ИИ-агентов
Просто запустить умный ИИ-агент, чтобы он разделил tcp-input.c на 10–20 модулей, включая SACK, и поручил каждому специализированному агенту поиск багов — и один из них, как в случае с Mythos, найдет проблему. Остальные потратят ресурсы впустую, но ложные срабатывания отфильтрует судья-агент, без лишних затрат.
Один квалифицированный программист проанализирует файл, но не миллион файлов одновременно. Зато один эффективный ИИ-агент масштабируется до миллиона, радикально меняя подход к аудиту ПО — и это пока слабо осознают в индустрии.
Хотя в этой новости умалчивается сколько было ложных срабатываний, но с ними ты свою корову не продашь.
#AI #Новости #Нейросети #Моё
@DevsRoot
В MAX
ИИ антибезопасность.
Gartner опубликовал первый подробный отчет о внедрении ИИ-агентов в бизнес, и его выводы заставляют по-новому взглянуть на риски. Компании в спешке разворачивают автономных агентов — программ, способных самостоятельно принимать решения, выполнять задачи и взаимодействовать с системами, — часто предоставляя им права суперадминистратора без должного контроля. Согласно отчету "Market Guide for Agentic AI", датированному 2025 годом, 42% организаций планируют внедрить такие агенты в ближайшие 12 месяцев, а к 2028 году они станут неотъемлемой частью 33% корпоративных приложений. ИИ-агенты эволюционировали от простых ассистентов: теперь они генерируют до 40% кода в проектах, а 80% разработческих команд активно используют инструменты вроде GitHub Copilot или аналогичные. Уровень принятия кода, написанного ИИ, вырос с 20% до 60%, что делает нейросети лидерами разработки, а не подручными инструментами.
Безопасность отстает катастрофически. 86% главных специалистов по информационной безопасности (CISO) сообщили, что у них отсутствуют политики контроля доступа для ИИ-агентов -нет четких правил, кто и как может предоставлять агентам привилегии, мониторить их действия или отзывать права. Еще хуже: 95% безопасников честно признались, что в случае компрометации — будь то взлом, сбой или вредоносное поведение - они не смогут эффективно локализовать и нейтрализовать проблемного агента. Отчет подчеркивает, что агенты часто интегрируются в критические системы, включая облачные сервисы и production-среды, где один сбой может привести к утечкам данных или полному параличу операций. Gartner прогнозирует: к концу 2027 года более 40% проектов с ИИ-агентами потерпят неудачу из-за двух факторов - взрывных расходов на масштабирование (до 30% выше ожиданий) и уязвимостей безопасности, которые хакеры уже эксплуатируют в proof-of-concept атаках.
Эксперты Gartner рекомендуют внедрять строгие рамки: принцип наименьших привилегий (least privilege), постоянный аудит действий агентов через логи и AI Governance платформы, а также "красные кнопки" — механизмы экстренного отключения. Победителями выйдут те компании, которые применят к ИИ такие же правила, как к сотрудникам: многофакторную аутентификацию, ротацию ключей и сегментацию доступа. Пока же мир живет в реальности, где корпорации доверяют нейросетям ключи от продакшена, но без надежных тормозов. Если завтра стартап случайно сотрет базу данных или сольет пароли - знайте, виноват не хакер, а бесконтролируемый ИИ-агент. Время строить защиту, пока гонка не обернулась хаосом.
#AI #Новости #Нейросети
@DevsRoot
В MAX
Gartner опубликовал первый подробный отчет о внедрении ИИ-агентов в бизнес, и его выводы заставляют по-новому взглянуть на риски. Компании в спешке разворачивают автономных агентов — программ, способных самостоятельно принимать решения, выполнять задачи и взаимодействовать с системами, — часто предоставляя им права суперадминистратора без должного контроля. Согласно отчету "Market Guide for Agentic AI", датированному 2025 годом, 42% организаций планируют внедрить такие агенты в ближайшие 12 месяцев, а к 2028 году они станут неотъемлемой частью 33% корпоративных приложений. ИИ-агенты эволюционировали от простых ассистентов: теперь они генерируют до 40% кода в проектах, а 80% разработческих команд активно используют инструменты вроде GitHub Copilot или аналогичные. Уровень принятия кода, написанного ИИ, вырос с 20% до 60%, что делает нейросети лидерами разработки, а не подручными инструментами.
Безопасность отстает катастрофически. 86% главных специалистов по информационной безопасности (CISO) сообщили, что у них отсутствуют политики контроля доступа для ИИ-агентов -нет четких правил, кто и как может предоставлять агентам привилегии, мониторить их действия или отзывать права. Еще хуже: 95% безопасников честно признались, что в случае компрометации — будь то взлом, сбой или вредоносное поведение - они не смогут эффективно локализовать и нейтрализовать проблемного агента. Отчет подчеркивает, что агенты часто интегрируются в критические системы, включая облачные сервисы и production-среды, где один сбой может привести к утечкам данных или полному параличу операций. Gartner прогнозирует: к концу 2027 года более 40% проектов с ИИ-агентами потерпят неудачу из-за двух факторов - взрывных расходов на масштабирование (до 30% выше ожиданий) и уязвимостей безопасности, которые хакеры уже эксплуатируют в proof-of-concept атаках.
Эксперты Gartner рекомендуют внедрять строгие рамки: принцип наименьших привилегий (least privilege), постоянный аудит действий агентов через логи и AI Governance платформы, а также "красные кнопки" — механизмы экстренного отключения. Победителями выйдут те компании, которые применят к ИИ такие же правила, как к сотрудникам: многофакторную аутентификацию, ротацию ключей и сегментацию доступа. Пока же мир живет в реальности, где корпорации доверяют нейросетям ключи от продакшена, но без надежных тормозов. Если завтра стартап случайно сотрет базу данных или сольет пароли - знайте, виноват не хакер, а бесконтролируемый ИИ-агент. Время строить защиту, пока гонка не обернулась хаосом.
#AI #Новости #Нейросети
@DevsRoot
В MAX
За последний год из Кремниевой долины в Китай вернулось более тридцати топовых ИИ‑исследователей, включая таких признанных звёзд, как У Юнхуэй из Google DeepMind и Яо Шунью из OpenAI. Раньше подобные переходы были редкими единичными случаями, а теперь они превратились в устойчивый тренд, который некоторые СМИ уже называют «обратной миграцией мозгов». В том числе в Китай переезжают бывшие сотрудники Google, Microsoft и Princeton, укрепляя ИИ‑направления крупнейших компаний вроде ByteDance, Tencent и Alibaba, а также собственные стартапы в Шэньчжэне и других хабах.
Рекрутёры и аналитики отмечают, что ключевой причиной переезда становится сочетание зарплат, условий работы и возможностей для реального внедрения технологий. Покупательная способность зарплат в китайских технологических центрах уже превзошла ту, что предлагается в Кремниевой долине, особенно если учитывать стоимость жизни и жилья в Калифорнии. В Шэньчжэне и Шанхае инженеры получают не только высокий доход, но и уверенность, что их разработки быстро попадают в массовое производство и интегрируются в реальную экономику, а не остаются на уровне прототипов.
Шэньчжэнь за последние годы стал фактической мировой столицей робототехники и «аппаратного ИИ», где есть мощная производственная база, цепочки электроники и готовые инфраструктуры для быстрого прототипирования. В этом городе можно за один год собрать робота, провести полевые испытания и организовать серийный выпуск, тогда как в Кремниевой долине за тот же период часто уходит время на оформление виз, продление рабочих разрешений и переговоры с юристами и инвесторами. Это создаёт ощущение, что Китай предлагает не только деньги, но и уникальную «живую лабораторию», где инженеры могут сразу видеть масштабное применение своих моделей — от автономного транспорта до производственных систем и роботов, работающих в промышленности и логистике.
#AI #Новости #Нейросети
@DevsRoot
В MAX
Рекрутёры и аналитики отмечают, что ключевой причиной переезда становится сочетание зарплат, условий работы и возможностей для реального внедрения технологий. Покупательная способность зарплат в китайских технологических центрах уже превзошла ту, что предлагается в Кремниевой долине, особенно если учитывать стоимость жизни и жилья в Калифорнии. В Шэньчжэне и Шанхае инженеры получают не только высокий доход, но и уверенность, что их разработки быстро попадают в массовое производство и интегрируются в реальную экономику, а не остаются на уровне прототипов.
Шэньчжэнь за последние годы стал фактической мировой столицей робототехники и «аппаратного ИИ», где есть мощная производственная база, цепочки электроники и готовые инфраструктуры для быстрого прототипирования. В этом городе можно за один год собрать робота, провести полевые испытания и организовать серийный выпуск, тогда как в Кремниевой долине за тот же период часто уходит время на оформление виз, продление рабочих разрешений и переговоры с юристами и инвесторами. Это создаёт ощущение, что Китай предлагает не только деньги, но и уникальную «живую лабораторию», где инженеры могут сразу видеть масштабное применение своих моделей — от автономного транспорта до производственных систем и роботов, работающих в промышленности и логистике.
#AI #Новости #Нейросети
@DevsRoot
В MAX
Если кажется, что Claude Code стал хуже работать, это из-за оптимизаций Anthropic: адаптивное мышление и пониженный effort для Pro/Max. Качество упало, но фикс простой:
Поднимите бюджет размышлений. Используйте /effort high или /effort max. Токенов уйдет больше, но анализ станет глубоким на сложных задачах. /effort max — только для Opus 4.6, не сохраняется между сессиями.
Чтобы зафиксировать навсегда — добавьте в переменные окружения CLAUDE_CODE_EFFORT_LEVEL=high.
Отключите ленивую адаптивность. В переменных окружения пропишите CLAUDE_CODE_DISABLE_ADAPTIVE_THINKING=1. Это вернет фиксированный бюджет вместо динамического.
Выставляйте максимум и работайте.
#AI #Нейросети
@DevsRoot
В MAX
Поднимите бюджет размышлений. Используйте /effort high или /effort max. Токенов уйдет больше, но анализ станет глубоким на сложных задачах. /effort max — только для Opus 4.6, не сохраняется между сессиями.
Чтобы зафиксировать навсегда — добавьте в переменные окружения CLAUDE_CODE_EFFORT_LEVEL=high.
Отключите ленивую адаптивность. В переменных окружения пропишите CLAUDE_CODE_DISABLE_ADAPTIVE_THINKING=1. Это вернет фиксированный бюджет вместо динамического.
Выставляйте максимум и работайте.
#AI #Нейросети
@DevsRoot
В MAX
Как подключить GLM к Claude Code через API
Тут пишут что Антропик подключил проверку паспорта при подозрениях (На что?)
Но клод коду можно и GLM подключить с которым проблем пока нет.
Claude Code — это официальный CLI‑ассистент от Anthropic, который качается через их официальный сайт / репозиторий, а не через npm.
Зайди на страницу продукта:
https://claude.com/product/claude-code
Следуй инструкциям по установке:
Для каждой ОС (macOS, Linux, Windows) они дают прямую ссылку на бинарный executables / deb / rpm.
После установки ты запускаешь его командой в терминале:
claude
По документации, Z.ai (GLM‑AI) предоставляет Anthropic‑совместимый API, поэтому Claude Code без проблем может работать через их эндпоинт.
Шаг 1. Получить API‑ключ GLM
Зарегистрируйся на Z.ai / Zhipu или через промежуточный провайдер (Novita, AITUNNEL и т.п.).
В кабинете получи API‑ключ. Для примера: площадки вроде AITUNNEL или Novita дают один ключ и базовый URL.
Шаг 2. Настроить Claude Code через переменные окружения
Claude Code читает стандартные переменные Anthropic‑формата.
Пример для Linux/macOS:
Для Windows в PowerShell:
Эти переменные перенаправляют Claude Code на API Z.ai, где он начинает использовать GLM‑модели вместо настоящих Opus/Sonnet/Haiku
Альтернатива — через settings.json
Некоторые пользователи редактируют файл конфигурации Claude Code:
Открой файл:
Внутри прописывают:
#AI #Нейросети
@DevsRoot
В MAX
Тут пишут что Антропик подключил проверку паспорта при подозрениях (На что?)
Но клод коду можно и GLM подключить с которым проблем пока нет.
Claude Code — это официальный CLI‑ассистент от Anthropic, который качается через их официальный сайт / репозиторий, а не через npm.
Зайди на страницу продукта:
https://claude.com/product/claude-code
Следуй инструкциям по установке:
Для каждой ОС (macOS, Linux, Windows) они дают прямую ссылку на бинарный executables / deb / rpm.
После установки ты запускаешь его командой в терминале:
claude
По документации, Z.ai (GLM‑AI) предоставляет Anthropic‑совместимый API, поэтому Claude Code без проблем может работать через их эндпоинт.
Шаг 1. Получить API‑ключ GLM
Зарегистрируйся на Z.ai / Zhipu или через промежуточный провайдер (Novita, AITUNNEL и т.п.).
В кабинете получи API‑ключ. Для примера: площадки вроде AITUNNEL или Novita дают один ключ и базовый URL.
Шаг 2. Настроить Claude Code через переменные окружения
Claude Code читает стандартные переменные Anthropic‑формата.
Пример для Linux/macOS:
export ANTHROPIC_API_KEY="твой_ключ_от_zai_или_посредника"
export ANTHROPIC_BASE_URL="https://api.z.ai/api/anthropic"
export ANTHROPIC_DEFAULT_OPUS_MODEL="glm-5.1"
export ANTHROPIC_DEFAULT_SONNET_MODEL="glm-4.7"
Для Windows в PowerShell:
$env:ANTHROPIC_API_KEY = "твой_ключ"
$env:ANTHROPIC_BASE_URL = "https://api.z.ai/api/anthropic"
$env:ANTHROPIC_DEFAULT_OPUS_MODEL = "glm-5.1"
$env:ANTHROPIC_DEFAULT_SONNET_MODEL = "glm-4.7"
Эти переменные перенаправляют Claude Code на API Z.ai, где он начинает использовать GLM‑модели вместо настоящих Opus/Sonnet/Haiku
Альтернатива — через settings.json
Некоторые пользователи редактируют файл конфигурации Claude Code:
Открой файл:
open ~/.claude/settings.json
Внутри прописывают:
json
{
"env": {
"ANTHROPIC_AUTH_TOKEN": "твой_ключ",
"ANTHROPIC_BASE_URL": "https://api.z.ai/api/anthropic",
"API_TIMEOUT_MS": "3000000",
"ANTHROPIC_DEFAULT_HAIKU_MODEL": "glm-4.5-air",
"ANTHROPIC_DEFAULT_SONNET_MODEL": "glm-4.7",
"ANTHROPIC_DEFAULT_OPUS_MODEL": "glm-5.1"
}
}
#AI #Нейросети
@DevsRoot
В MAX
👍1🔥1
Forwarded from Dadim
С пятого раза, через мат и угрозы, Opus таки написал мне плагин для фотошопа по выделению хромакея (хз почему в фотошопе нет)
#target photoshop
function applyImageFromComponent(channelCharID, blendCharID) {
// Apply Image: active_channel blend= source_channel (из merged visible)
var d = new ActionDescriptor();
var src = new ActionDescriptor();
var srcRef = new ActionReference();
srcRef.putEnumerated(charIDToTypeID('Chnl'), charIDToTypeID('Chnl'), charIDToTypeID(channelCharID));
srcRef.putEnumerated(charIDToTypeID('Lyr '), charIDToTypeID('Ordn'), charIDToTypeID('Mrgd'));
srcRef.putIdentifier(charIDToTypeID('Dcmn'), app.activeDocument.id);
src.putReference(charIDToTypeID('T '), srcRef);
src.putEnumerated(charIDToTypeID('Clcl'), charIDToTypeID('Clcn'), charIDToTypeID(blendCharID));
src.putDouble(charIDToTypeID('Scl '), 1);
src.putInteger(charIDToTypeID('Ofst'), 0);
d.putObject(charIDToTypeID('With'), charIDToTypeID('Clcl'), src);
executeAction(charIDToTypeID('AppI'), d, DialogModes.NO);
}
function applyImageFromAlpha(alphaName, blendCharID) {
var d = new ActionDescriptor();
var src = new ActionDescriptor();
var srcRef = new ActionReference();
srcRef.putName(charIDToTypeID('Chnl'), alphaName);
srcRef.putIdentifier(charIDToTypeID('Dcmn'), app.activeDocument.id);
src.putReference(charIDToTypeID('T '), srcRef);
src.putEnumerated(charIDToTypeID('Clcl'), charIDToTypeID('Clcn'), charIDToTypeID(blendCharID));
src.putDouble(charIDToTypeID('Scl '), 1);
src.putInteger(charIDToTypeID('Ofst'), 0);
d.putObject(charIDToTypeID('With'), charIDToTypeID('Clcl'), src);
executeAction(charIDToTypeID('AppI'), d, DialogModes.NO);
}
function threshold(level) {
var d = new ActionDescriptor();
d.putInteger(charIDToTypeID('Lvl '), level);
executeAction(charIDToTypeID('Thrs'), d, DialogModes.NO);
}
function selectCompositeRGB() {
var d = new ActionDescriptor();
var r = new ActionReference();
r.putEnumerated(charIDToTypeID('Chnl'), charIDToTypeID('Chnl'), charIDToTypeID('RGB '));
d.putReference(charIDToTypeID('null'), r);
executeAction(charIDToTypeID('slct'), d, DialogModes.NO);
}
(function () {
var doc = app.activeDocument;
if (doc.mode !== DocumentMode.RGB) { alert("Нужен RGB"); return; }
if (doc.bitsPerChannel !== BitsPerChannelType.EIGHT) { alert("Нужен 8 бит на канал"); return; }
// === НАСТРОЙКА ===
var DOM_INDEX = 2; // 0=R, 1=G, 2=B
var DOM_CHAR = 'Bl '; // charID доминирующего
var OTHER1_CHAR = 'Rd '; // charID первого подчинённого
var OTHER2_CHAR = 'Grn '; // charID второго подчинённого
// 1. alpha1 = clamp(B − R)
var alpha1 = doc.channels[DOM_INDEX].duplicate();
alpha1.name = "_DOM_minus_A";
doc.activeChannels = [alpha1];
applyImageFromComponent(OTHER1_CHAR, 'Sbtr');
// 2. alpha2 = clamp(B − G)
var alpha2 = doc.channels[DOM_INDEX].duplicate();
alpha2.name = "_DOM_minus_B";
doc.activeChannels = [alpha2];
applyImageFromComponent(OTHER2_CHAR, 'Sbtr');
// 3. alpha1 = min(alpha1, alpha2) через Darken
doc.activeChannels = [alpha1];
applyImageFromAlpha(alpha2.name, 'Drkn');
// 4. Threshold 1: любой ненулевой → белый (строгая булевая маска)
threshold(1);
// 5. Загружаем как выделение
doc.selection.load(alpha1, SelectionType.REPLACE);
// 6. Cleanup
alpha2.remove();
alpha1.remove();
selectCompositeRGB();
})();
Антропик выпустили Опус 4.7
Гонял несколько часов. толи обновление криво, толи что. Пространные простыни рассуждений, задачу не решил. Вернулся на 4.6 с той же задачей. За час решил.
Странно, очень странно или 4.7 не для кода. Не понятно пока.
#AI #Нейросети
@DevsRoot
В MAX
Гонял несколько часов. толи обновление криво, толи что. Пространные простыни рассуждений, задачу не решил. Вернулся на 4.6 с той же задачей. За час решил.
Странно, очень странно или 4.7 не для кода. Не понятно пока.
#AI #Нейросети
@DevsRoot
В MAX
forrestchang/andrej-karpathy-skills (+37.4K): Файл
Имхо полезно тем, кто еще не погружался в эту тему. У меня правила проекта куда больше разрослись за столько лет наблюдений, а тут чисто общее поведение.
#AI #Нейросети
@DevsRoot
В MAX
CLAUDE.md для улучшения Claude Code на основе наблюдений Андрея Карпатого.Имхо полезно тем, кто еще не погружался в эту тему. У меня правила проекта куда больше разрослись за столько лет наблюдений, а тут чисто общее поведение.
#AI #Нейросети
@DevsRoot
В MAX
Интересная статья про инфляцию гитхаб звезд, а я думаю че это всякое говно лайкают🤣
https://habr.com/ru/articles/1025032/
@DevsRoot
В MAX
https://habr.com/ru/articles/1025032/
@DevsRoot
В MAX
Please open Telegram to view this post
VIEW IN TELEGRAM
Хабр
Теневой рынок GitHub звезд
Многие венчурные фаундеры замечают, что последние 2-3 года происходит "инфляция гитхаб-звезд": их нужно все больше и больше, чтобы производить впечатление. И это на удивление важный параметр для...
❤1🤔1
Forwarded from Dimitrij Gorodeckij
взломали самое популярное облако у вайбкодеров. вчера внутреннюю базу vercel выставили на breachforums за $2M (официально)
пару месяцев назад мне пришёл очередной чек на $100 за пачку хобби-проектов от верселя, и я собрался и переехал на свой VPS. тогда казалось, что возможно это ту мач и лучше платить за удобство. а вчера vercel официально подтвердил большой взлом и сомнений стало меньше
так что все-таки случилось?
0/ vercel был взломан через уязвимость в сервисе context ai по цепочке oauth приложения → google workspace. ceo Guillermo Rauch пишет что атака была "highly sophisticated, possibly using AI". то есть ai-платформу вскрыли через ai-сервис, возможно с помощью ai. и это еще не вышли модели уровня mythos
1/ дамп продают shinyhunters — те самые, что ломали ticketmaster и другие крупные сервисы. если твой прод на vercel, его внутрянка (код, энвы, ключи) сейчас лежит на breachforums с ценником $2M
2/ в дампе npm tokens и github tokens. если ты публиковал пакеты через vercel или давал им scope в своём github, эти ключи сейчас у третьих лиц. через такие ключи как раз совершали самые большие suppy chain взломы последнего времени
3/ vercel контролирует next.js, а next — это 6 миллионов установок в неделю. компрометация на стороне вендора раздаёт риск всей цепочке. если заденет пакет, то прилететь может даже тому, кто хостится у себя и тут мой VPS не поможет
4/ vercel буквально писали хакерам в telegram и просили остановиться. немного смущает, когда уровень работы с инцидентами у вендора, которому ты доверил прод — это переписка в мессенджере, потому что других рычагов не осталось
если вы на vercel, то стоит пойти и перегенировать env variables прямо сейчас (страйп ключи, сервисные ключи и прочее), в первом комменте оставлю больше деталей
пару месяцев назад мне пришёл очередной чек на $100 за пачку хобби-проектов от верселя, и я собрался и переехал на свой VPS. тогда казалось, что возможно это ту мач и лучше платить за удобство. а вчера vercel официально подтвердил большой взлом и сомнений стало меньше
так что все-таки случилось?
0/ vercel был взломан через уязвимость в сервисе context ai по цепочке oauth приложения → google workspace. ceo Guillermo Rauch пишет что атака была "highly sophisticated, possibly using AI". то есть ai-платформу вскрыли через ai-сервис, возможно с помощью ai. и это еще не вышли модели уровня mythos
1/ дамп продают shinyhunters — те самые, что ломали ticketmaster и другие крупные сервисы. если твой прод на vercel, его внутрянка (код, энвы, ключи) сейчас лежит на breachforums с ценником $2M
2/ в дампе npm tokens и github tokens. если ты публиковал пакеты через vercel или давал им scope в своём github, эти ключи сейчас у третьих лиц. через такие ключи как раз совершали самые большие suppy chain взломы последнего времени
3/ vercel контролирует next.js, а next — это 6 миллионов установок в неделю. компрометация на стороне вендора раздаёт риск всей цепочке. если заденет пакет, то прилететь может даже тому, кто хостится у себя и тут мой VPS не поможет
4/ vercel буквально писали хакерам в telegram и просили остановиться. немного смущает, когда уровень работы с инцидентами у вендора, которому ты доверил прод — это переписка в мессенджере, потому что других рычагов не осталось
если вы на vercel, то стоит пойти и перегенировать env variables прямо сейчас (страйп ключи, сервисные ключи и прочее), в первом комменте оставлю больше деталей
👍1
Программирование в эпоху серых ящиков (1/12)
Почему AI не ускорил программирование, а сменил эпоху — и что с этим делать
Вступление. Не ускорение, а смена эпохи
За последние два года мы все стали немного быстрее. Гораздо меньше людей заметили, что мы стали делать не то же самое — быстрее, а нечто совсем другое. Разница между этими двумя утверждениями — это разница между эволюцией инструмента и сменой эпохи.
Почти всё, что сегодня говорят про искусственный интеллект в разработке, крутится вокруг скорости. Быстрее писать, быстрее проверять, быстрее выкатывать. Всё это правда — и всё это мимо главного.
Главный сдвиг лежит не в скорости, а в структуре. Код стал дешёвым. Настолько дешёвым, что его перестало иметь смысл считать штуками. Но вместе с ценой исчезла и определённость: откуда этот кусок, насколько ему можно верить, что у него внутри. Мы больше не строим из прозрачных деталей. Мы строим из деталей полупрозрачных. И это меняет профессию сильнее, чем любое ускорение.
Сказать «AI пишет код» — это как сказать, что печатный станок ускорил переписывание книг. Формально — да. По сути — нет: станок не ускорил переписчиков, он сделал переписчиков ненужными, а на их месте появились издатели, редакторы и читающая публика. Сдвиг такого же масштаба происходит сейчас с нами.
автор Георгий · telegram @OkjaGG
#AI #Нейросети
@DevsRoot
В MAX
Почему AI не ускорил программирование, а сменил эпоху — и что с этим делать
Вступление. Не ускорение, а смена эпохи
За последние два года мы все стали немного быстрее. Гораздо меньше людей заметили, что мы стали делать не то же самое — быстрее, а нечто совсем другое. Разница между этими двумя утверждениями — это разница между эволюцией инструмента и сменой эпохи.
Почти всё, что сегодня говорят про искусственный интеллект в разработке, крутится вокруг скорости. Быстрее писать, быстрее проверять, быстрее выкатывать. Всё это правда — и всё это мимо главного.
Главный сдвиг лежит не в скорости, а в структуре. Код стал дешёвым. Настолько дешёвым, что его перестало иметь смысл считать штуками. Но вместе с ценой исчезла и определённость: откуда этот кусок, насколько ему можно верить, что у него внутри. Мы больше не строим из прозрачных деталей. Мы строим из деталей полупрозрачных. И это меняет профессию сильнее, чем любое ускорение.
Сказать «AI пишет код» — это как сказать, что печатный станок ускорил переписывание книг. Формально — да. По сути — нет: станок не ускорил переписчиков, он сделал переписчиков ненужными, а на их месте появились издатели, редакторы и читающая публика. Сдвиг такого же масштаба происходит сейчас с нами.
автор Георгий · telegram @OkjaGG
#AI #Нейросети
@DevsRoot
В MAX