⚡️ Вредонос в PyPI превратил установку пакета в русскую рулетку
Microsoft расследует взлом популярного Python-пакета mistralai - официального клиента для работы с моделями Mistral AI.
По данным исследователей, злоумышленники внедрили вредонос прямо в библиотеку. Самое неприятное - код срабатывал уже при обычном import и пытался красть данные из окружения.
Но дальше история становится совсем абсурдной.
Вредонос проверял язык и регион системы, обходил русскоязычные окружения и включал геозависимую «лотерею» для остальных. Для некоторых стран поведение было особенно жёстким: с вероятностью 1 к 6 он мог запустить разрушительную команду удаления файлов.
В X после этого начали шутить, что лучший security-патч года - русский языковой пакет.
Шутки шутками, но кейс неприятный: это был не случайный левый пакет с тремя скачиваниями, а клиент для популярного AI-сервиса. То есть supply chain-атаки уже давно бьют не только по npm-мусору, а по нормальным инструментам, которые разработчики ставят почти на автомате.
Вывод простой: даже официальный пакет сегодня не гарантия безопасности.
Проверяйте версии, lock-файлы, хеши, changelog и окружение, где ставите зависимости. Особенно если это AI SDK, который по умолчанию получает доступ к токенам, ключам и рабочим данным.
https://x.com/lauriewired/status/2054231467744760131?s=46
@Python_Community_ru
Microsoft расследует взлом популярного Python-пакета mistralai - официального клиента для работы с моделями Mistral AI.
По данным исследователей, злоумышленники внедрили вредонос прямо в библиотеку. Самое неприятное - код срабатывал уже при обычном import и пытался красть данные из окружения.
Но дальше история становится совсем абсурдной.
Вредонос проверял язык и регион системы, обходил русскоязычные окружения и включал геозависимую «лотерею» для остальных. Для некоторых стран поведение было особенно жёстким: с вероятностью 1 к 6 он мог запустить разрушительную команду удаления файлов.
В X после этого начали шутить, что лучший security-патч года - русский языковой пакет.
Шутки шутками, но кейс неприятный: это был не случайный левый пакет с тремя скачиваниями, а клиент для популярного AI-сервиса. То есть supply chain-атаки уже давно бьют не только по npm-мусору, а по нормальным инструментам, которые разработчики ставят почти на автомате.
Вывод простой: даже официальный пакет сегодня не гарантия безопасности.
Проверяйте версии, lock-файлы, хеши, changelog и окружение, где ставите зависимости. Особенно если это AI SDK, который по умолчанию получает доступ к токенам, ключам и рабочим данным.
https://x.com/lauriewired/status/2054231467744760131?s=46
@Python_Community_ru
🤔1
🌐 МHR-CFW: MasterHttpRelay + Cloudflare Worker
MHR-CFW — это инструмент для создания анонимного прокси-сервера, использующего Google и Cloudflare для маскировки реального трафика. Он позволяет обойти сетевые фильтры, скрывая целевые сайты за обычным трафиком Google.
🚀 Основные моменты:
- Прокси-сервер, использующий Google и Cloudflare для анонимности.
- Подходит для образовательных и исследовательских целей.
- Не требует установки дополнительных зависимостей, кроме Python.
- Предоставляется без гарантии и ответственности.
📌 GitHub: https://github.com/denuitt1/mhr-cfw
@Python_Community_ru
MHR-CFW — это инструмент для создания анонимного прокси-сервера, использующего Google и Cloudflare для маскировки реального трафика. Он позволяет обойти сетевые фильтры, скрывая целевые сайты за обычным трафиком Google.
🚀 Основные моменты:
- Прокси-сервер, использующий Google и Cloudflare для анонимности.
- Подходит для образовательных и исследовательских целей.
- Не требует установки дополнительных зависимостей, кроме Python.
- Предоставляется без гарантии и ответственности.
📌 GitHub: https://github.com/denuitt1/mhr-cfw
@Python_Community_ru
🚀 Удобная система сборки для нескольких языков с rigx
rigx — это экспериментальная система сборки для C, C++, Go, Rust, Zig, Nim и Python, которая упрощает процесс разработки, обеспечивая изоляцию и кэширование. Все зависимости управляются автоматически, а сборки выполняются в песочнице, что исключает проблемы с "работает на моем компьютере".
🚀 Основные моменты:
- Простая декларативная конфигурация через rigx.toml.
- Поддержка многопоточности и интеграционных тестов.
- Кэширование выходных данных для ускорения сборок.
- Совместимость с Nix для управления зависимостями.
📌 GitHub: https://github.com/unofficialtools/rigx
#python
@Python_Community_ru
rigx — это экспериментальная система сборки для C, C++, Go, Rust, Zig, Nim и Python, которая упрощает процесс разработки, обеспечивая изоляцию и кэширование. Все зависимости управляются автоматически, а сборки выполняются в песочнице, что исключает проблемы с "работает на моем компьютере".
🚀 Основные моменты:
- Простая декларативная конфигурация через rigx.toml.
- Поддержка многопоточности и интеграционных тестов.
- Кэширование выходных данных для ускорения сборок.
- Совместимость с Nix для управления зависимостями.
📌 GitHub: https://github.com/unofficialtools/rigx
#python
@Python_Community_ru
This media is not supported in your browser
VIEW IN TELEGRAM
Python-скрипт, который автоматически «понимает» PDF-книги: AI Reads Books.
Достаточно предоставить PDF, запустить скрипт — и он будет анализировать содержимое по страницам, извлекать ключевые знания и генерировать структурированное резюме в формате Markdown.
GitHub: https://github.com/echohive42/AI-reads-books-page-by-page
@Python_Community_ru
Достаточно предоставить PDF, запустить скрипт — и он будет анализировать содержимое по страницам, извлекать ключевые знания и генерировать структурированное резюме в формате Markdown.
GitHub: https://github.com/echohive42/AI-reads-books-page-by-page
@Python_Community_ru
✔️ Machine Learning Roadmap: нормальная карта входа в ML без сказок про «выучить нейросети за месяц»
Большой русскоязычный roadmap по машинному обучению: от первого import numpy до LLM, RAG, fine-tuning, AI-агентов и MLOps.
Внутри нормальная структура: что учить, в каком порядке, зачем это нужно и какой практический артефакт должен появиться после каждого этапа.
Roadmap разбит на 7 треков:
- фундамент: Python, математика, статистика, инструменты
- классический ML: scikit-learn, табличные данные, метрики, валидация
- Deep Learning: PyTorch, CNN, RNN, training loop
- LLM и трансформеры: attention, KV-cache, RAG, LoRA, агенты
- Generative AI: изображения, видео, аудио, мультимодальность
- MLOps и прод: Docker, Kubernetes, CI/CD, мониторинг, serving
- специализация: CV, NLP, RecSys, RL, Safety
Самое полезное - там честно написано, что ML это не только «обучить модель». В реальности большая часть работы живёт вокруг данных, метрик, деплоя, мониторинга, воспроизводимости и понимания, почему модель вообще ошибается.
Хорошая мысль из roadmap: LLM не делает джуна сениором. Она ускоряет того, кто понимает базу. Без базы человек просто превращается в оператора Copilot, который не может объяснить, почему модель сломалась.
По времени тоже без инфоцыганства:
- 0-3 месяца: Python, математика, классический ML
- 3-6 месяцев: Deep Learning и PyTorch
- 6-12 месяцев: LLM, RAG, fine-tuning, AI-агенты
- 12+ месяцев: MLOps, прод, масштабирование, специализация
Короче, если давно хотели системно зайти в ML, а не прыгать между роликами про ChatGPT, Stable Diffusion и «топ-10 библиотек», это хороший ориентир.
https://github.com/justxor/MachineLearningRoadmap/tree/main
@Python_Community_ru
Большой русскоязычный roadmap по машинному обучению: от первого import numpy до LLM, RAG, fine-tuning, AI-агентов и MLOps.
Внутри нормальная структура: что учить, в каком порядке, зачем это нужно и какой практический артефакт должен появиться после каждого этапа.
Roadmap разбит на 7 треков:
- фундамент: Python, математика, статистика, инструменты
- классический ML: scikit-learn, табличные данные, метрики, валидация
- Deep Learning: PyTorch, CNN, RNN, training loop
- LLM и трансформеры: attention, KV-cache, RAG, LoRA, агенты
- Generative AI: изображения, видео, аудио, мультимодальность
- MLOps и прод: Docker, Kubernetes, CI/CD, мониторинг, serving
- специализация: CV, NLP, RecSys, RL, Safety
Самое полезное - там честно написано, что ML это не только «обучить модель». В реальности большая часть работы живёт вокруг данных, метрик, деплоя, мониторинга, воспроизводимости и понимания, почему модель вообще ошибается.
Хорошая мысль из roadmap: LLM не делает джуна сениором. Она ускоряет того, кто понимает базу. Без базы человек просто превращается в оператора Copilot, который не может объяснить, почему модель сломалась.
По времени тоже без инфоцыганства:
- 0-3 месяца: Python, математика, классический ML
- 3-6 месяцев: Deep Learning и PyTorch
- 6-12 месяцев: LLM, RAG, fine-tuning, AI-агенты
- 12+ месяцев: MLOps, прод, масштабирование, специализация
Короче, если давно хотели системно зайти в ML, а не прыгать между роликами про ChatGPT, Stable Diffusion и «топ-10 библиотек», это хороший ориентир.
https://github.com/justxor/MachineLearningRoadmap/tree/main
@Python_Community_ru
🔒🌐 Awesome Privacy: Your Guide to Online Privacy Tools
Этот репозиторий собрал лучшие ресурсы и инструменты для обеспечения вашей конфиденциальности в интернете. Здесь вы найдете полезные ссылки на программы, сервисы и советы по защите личных данных.
🚀Основные моменты:
- Обширный список инструментов для защиты конфиденциальности
- Ресурсы по анонимности и безопасности в сети
- Регулярные обновления и новые добавления
- Полезные советы по улучшению личной безопасности
📌 GitHub:
#markdown
@Python_Community_ru
https://github.com/Lissy93/awesome-privacy
Этот репозиторий собрал лучшие ресурсы и инструменты для обеспечения вашей конфиденциальности в интернете. Здесь вы найдете полезные ссылки на программы, сервисы и советы по защите личных данных.
🚀Основные моменты:
- Обширный список инструментов для защиты конфиденциальности
- Ресурсы по анонимности и безопасности в сети
- Регулярные обновления и новые добавления
- Полезные советы по улучшению личной безопасности
📌 GitHub:
#markdown
@Python_Community_ru
https://github.com/Lissy93/awesome-privacy
GitHub
GitHub - lissy93/awesome-privacy: 🦄 A curated list of privacy & security-focused software and services
🦄 A curated list of privacy & security-focused software and services - lissy93/awesome-privacy
Вышел Codex CLI 0.133.0.
Goals теперь работают по умолчанию. У них появилось отдельное хранилище, прогресс трекается сквозь активные ходы, так что агент держит цель в фокусе между шагами и не забывает, куда шёл.
Заметно прокачали Permission profiles: API для списков, наследование настроек, поддержка managed requirements.toml, обновление прав в рантайме без перезапуска и усиленный сэндбокс под Windows.
Расширения получили доступ к событиям подагентов (старт, стоп), вызовам инструментов, метаданным хода и асинхронной обработке аппрувов. Можно строить нормальные обвязки вокруг Codex.
Плагины: discovery теперь учитывает маркетплейсы, показывает установленные версии, видимые корни и умеет работать с удалёнными коллекциями.
https://github.com/openai/codex/releases/tag/rust-v0.133.0
@Python_Community_ru
Goals теперь работают по умолчанию. У них появилось отдельное хранилище, прогресс трекается сквозь активные ходы, так что агент держит цель в фокусе между шагами и не забывает, куда шёл.
Заметно прокачали Permission profiles: API для списков, наследование настроек, поддержка managed requirements.toml, обновление прав в рантайме без перезапуска и усиленный сэндбокс под Windows.
Расширения получили доступ к событиям подагентов (старт, стоп), вызовам инструментов, метаданным хода и асинхронной обработке аппрувов. Можно строить нормальные обвязки вокруг Codex.
Плагины: discovery теперь учитывает маркетплейсы, показывает установленные версии, видимые корни и умеет работать с удалёнными коллекциями.
https://github.com/openai/codex/releases/tag/rust-v0.133.0
@Python_Community_ru
Kronos - open-source модель, которая читает финансовые свечи как язык
Это не обычная LLM, которую натянули на финансы. Kronos изначально обучали на K-line данных: open, high, low, close, volume и рыночных паттернах.
Что умеет:
- прогнозировать цену по свечам;
- оценивать будущую волатильность;
- работать zero-shot без дообучения;
- запускаться в разных размерах - от 4.1M до 499M параметров;
- делать прогнозы через несколько строк Python.
Модель обучали на данных с 45+ бирж, есть live demo для BTC/USDT, модели выложены на Hugging Face, код открыт под MIT.
Главная идея сильная: финансовые данные наконец начали обрабатывать не как обычный временной ряд, а как отдельный язык рынка.
GitHub: github.com/shiyu-coder/Kronos
@Python_Community_ru
Это не обычная LLM, которую натянули на финансы. Kronos изначально обучали на K-line данных: open, high, low, close, volume и рыночных паттернах.
Что умеет:
- прогнозировать цену по свечам;
- оценивать будущую волатильность;
- работать zero-shot без дообучения;
- запускаться в разных размерах - от 4.1M до 499M параметров;
- делать прогнозы через несколько строк Python.
Модель обучали на данных с 45+ бирж, есть live demo для BTC/USDT, модели выложены на Hugging Face, код открыт под MIT.
Главная идея сильная: финансовые данные наконец начали обрабатывать не как обычный временной ряд, а как отдельный язык рынка.
GitHub: github.com/shiyu-coder/Kronos
@Python_Community_ru