🦀Мейнтейнер OpenClaw из компании 🎩 Red Hat сделала корпоративные развертывания Claw намного безопаснее

Ведущий инженер-программист Red Hat Салли О'Мэлли выпустила новый инструмент с открытым исходным кодом под названием Tank OS, который значительно упрощает и делает более безопасным развертывание и управление агентами OpenClaw.

«Это был увлекательный проект, который я собрала на выходных, зная, что он отлично подойдет для ИИ и того направления, в котором мы движемся»

— рассказала Салли TechCrunch.

Решение ориентировано на ИТ-профессионалов и опытных пользователей, позволяя эффективно администрировать целые парки автономных агентов. Tank OS загружает OpenClaw в ОС Fedora Linux и упаковывает в изолированные загрузочные образы, которые автоматически запускаются при включении компьютера и способны самостоятельно управлять «состоянием» системы и API-ключами без постоянного контроля со стороны человека.

Ключевым преимуществом Tank OS является использование защищенных контейнеров Podman, которые изолируют ИИ-модели от основной операционной системы и исключают получение ими избыточных привилегий.

👆Ранее сообщалось, что 🇨🇳китайские власти приняли меры по ограничению использования OpenClaw в государственных компаниях и правительственных учреждениях.

🗳 Потестить: https://github.com/LobsterTrap/tank-os

✋ @Russian_OSINT

🇺🇸Хегсет уволил начальника отдела ⚠️ ядерной безопасности США за разглашение секретов незнакомке с сайта знакомств

Министр войны США Пит Хегсет во время пресс-конференции сообщил журналистам, что начальник отдела химической и ядерной безопасности в армии США был уволен за разглашение чувствительной информации, касающейся национальной безопасности страны. Эндрю Хагг оказался в центре крупного скандала после публикации расследования медиагруппы OMG.

Высокопоставленный чиновник Пентагона слил секретную информацию незнакомке с сайта знакомств (аля Tinder). Хаг в беседе с журналистом под прикрытием раскрыл ряд секретных сведений о национальной безопасности страны. Он подробно описал систему защиты от ядерных ударов с помощью космических спутников и радаров. Чиновник рассказал о протоколах запуска ракет и подчеркнул обязанность военных незамедлительно выполнить приказ при совпадении кодов даже при условии их доставки случайным курьером или девочкой-скаутом. Касаясь внешнеполитических вопросов, он отметил отсутствие планов ядерного удара по 🇮🇷Ирану, но сообщил о возможных намерениях американского руководства ликвидировать сына верховного лидера этой страны и проявил холодное равнодушие к гибели мирных школьников при ракетных атаках.

Бывший чиновник Эндрю Хаг также поделился деталями работы с нервно-паралитическим газом зарином в военной лаборатории в штате Мэриленд и рассказал о вопиющем нарушении техники безопасности легкомысленной лаборанткой.

👆Реакция властей после публикации последовала незамедлительно. Хагга вывели из здания Пентагона под охраной и отстранили от должности для проведения внутреннего расследования.

🫣В сети пользователи удивляются тому, как чиновник такого высокого ранга мог вот так запросто раскрыть секреты первой встречной с сайта знакомств в интернете, стремясь произвести на неё положительное впечатление.

✋ @Russian_OSINT

👩‍💻 Gizmodo: компания Сэма Альтмана по сканированию глазных яблок ложится в одну постель с Zoom и Tinder

Подъехали новости про детище Альтмана World (бывший Worldcoin — 1,2,3).

Gizmodo пишут, что Сэм Альтман делает ставку на то, что люди будут готовы предоставлять сканы своих 👁 глаз для прохождения аутентификации, и привлекает влиятельные ресурсы, чтобы подтолкнуть больше людей к участию в этой схеме. Tinder и Zoom объявили о партнерстве с World — компанией Альтмана, стоящей за жутковатой сферой для сканирования глазных яблок (Orb), которая призвана подтверждать, что пользователи действительно являются живыми людьми.

World уже сотрудничает с Tinder. Ранее они провели пилотный запуск процесса верификации в Японии. По всей видимости, он прошел достаточно успешно, поскольку Tinder планирует внедрить этот метод аутентификации по всему миру.

Пользователям необходимо будет пройти процедуру верификации от World, которая требует сканирования глазных яблок с помощью проприетарного устройства в физическом пункте, чтобы доказать свою человеческую природу.

После этого они получат специальный значок в своем профиле, подтверждающий статус верифицированного человека. Tinder также будет завлекать людей к участию, предлагая пять бесплатных «бустов» — функцию, которая временно поднимает профиль человека на первое место для других пользователей.

Zoom также присоединится к инициативе по «доказательству человечности» (proof-of-humanhood), но выберет несколько иной подход. Как сообщается в пресс-релизе, платформа для видеоконференций начнет интеграцию технологии World ID Deep Face. Технология сопоставляет снимок пользователя, сделанный в момент верификации личности на устройстве World Orb, с целью подтверждения личности, а затем проводит проверку лица человека в режиме реального времени с его собственного устройства и сканирует кадр из живого видео, который видят на экране другие участники. Если все три метода дадут совпадение, человек получит значок «Верифицированный человек».

И на этом World останавливаться не планирует. Компания позиционирует себя как потенциальное решение проблемы спекуляции билетами и объявила о создании программного обеспечения под названием Concert Kit. Продавцы могут использовать его для гарантии того, что билеты покупают только реальные люди, а не боты-перекупщики. И снова для прохождения аутентификации от людей требуется предоставить биометрический скан.

По сути, каждая версия подхода World к верификации требует от людей согласия на инвазивное биометрическое сканирование. На данный момент неясно, есть ли у World хотя бы близкая к необходимой инфраструктура для поддержки этой схемы в таких масштабах. В прошлом году компания заявляла, что планирует разместить 7500 устройств Orb в США, но так и не предоставила отчетов по этой цифре. Сообщается, что на сегодняшний день у компании около 18 миллионов верифицированных пользователей, однако многие из них — жители развивающихся стран, которые зарегистрировались из-за обещаний получить Worldcoin (криптовалюту, которая, судя по всему, выпала из планов World).

Проекту World с трудом удается заручиться поддержкой широкой общественности, и это вполне справедливо. Доверять свои биометрические данные любой третьей стороне нельзя, а уж тем более — компании, которой управляет человек, откровенно говоря, не слишком высокого мнения о человечестве.

Сотрудники компании характеризовали Альтмана как абсолютно 👹хладнокровного и расчетливого человека без какой-либо человеческой эмпатии, обладающего выраженными нарциссическими чертами.
--------------------------

👆Отдельно стоит отметить, что Альтман в одном из недавних своих интервью заявил, что техэлите (ИИ-компании) не удалось внятно объяснить общественности, как именно появление AGI отразится на жизни людей.

Общения про лекарство от рака или несметные блага не сработали. Теперь нужна новая тактика...нарративы будут сосредоточены вокруг того, что люди хотят видеть благополучие вокруг, свободу действий и осмысленную жизнь для себя и своих детей.

✋ @Russian_OSINT

🦆 Иностранцы по всему миру🇪🇸🥺🫶благодарят 🇷🇺российских пользователей за то, что те бесплатно делятся книгами, фильмами и играми через торренты. Посты набирают миллионы просмотров и тысячи лайков.

В комментариях российские пользователи показывают интересную 📊статистику.

✋ @Russian_OSINT

🐍 Пакет PyPI с 1,1 млн скачиваний в месяц был взломан для распространения инфостилера

24 апреля 2026 года злоумышленники скомпрометировали популярный инструмент наблюдения за данными elementary-data в репозитории PyPI. Этот пакет ежемесячно скачивают более 1,1 миллиона раз. Атакующие эксплуатировали уязвимость внедрения скриптов в рабочем процессе GitHub Actions через вредоносный комментарий к пулл-реквесту. Это позволило им перехватить токен GITHUB_TOKEN и опубликовать зараженную версию 0.23.3 на платформах PyPI и GitHub Container Registry. Вредоносный релиз выглядел как официальное обновление и содержал файл elementary.pth.

Файл автоматически запускал инфостилер для кражи конфиденциальной информации разработчиков. Под угрозой оказались ключи SSH, учетные данные облачных платформ AWS, GCP и Azure, секреты Kubernetes и Docker, а также файлы криптовалютных кошельков. Проблема затронула исключительно тех пользователей инструмента, которые скачали конкретную версию 0.23.3 или соответствующий образ Docker в период до 25 апреля 2026 года.

💻 Команда проекта удалила зараженный релиз и выпустила безопасную версию ✅0.23.4. Специалисты отозвали скомпрометированные токены и совместно с экспертами по кибербезопасности из компании Wiz начали расследование инцидента. Всем пострадавшим пользователям настоятельно рекомендуется удалить вредоносный пакет, обновить систему до безопасной версии и обязательно сменить все потенциально скомпрометированные пароли и ключи доступа.

😘 https://github.com/elementary-data/elementary/issues/2205
😘 https://www.elementary-data.com/post/security-incident-report-malicious-release-of-elementary-oss-python-cli-v0-23-3

✋ @Russian_OSINT

Как пишут Forbes, Правительство внесло в Госдуму законопроект, который фактически отменяет банковскую тайну в отношении счетов физических лиц в тех случаях, когда речь заходит о налоговом контроле. Документ наделяет ФНС правом получать от Банка России детализированные сведения о переводах граждан вне рамок каких-либо проверок. Это означает, что автоматизированная система контроля за доходами физических лиц (АСК «ДФЛ») начнет в реальном времени 🕵️🖥анализировать транзакции, которые раньше считались приватными и были недоступны для мониторинга со стороны налоговиков.

Поводом для столь радикальных мер стала распространенная практика, когда доходы от предпринимательской деятельности, например, репетиторства, сдачи квартир, продажи товаров через маркетплейсы успешно маскируются под обычные переводы между друзьями или родственниками.

Новый механизм нацелен именно на выявление систематического получения денег, указывающего на незаконный бизнес. Банки будут обязаны по указанию Центробанка выявлять с помощью 🖥внутренних алгоритмов операции, присущие предпринимательской деятельности у лиц, которые не имеют статуса самозанятого или ИП.

При этом законопроект прямо обязывает ЦБ передавать в ФНС информацию о владельцах счетов с их ИНН, что устраняет существовавший пробел, когда банки открывали счета без ИНН по любым удостоверяющим личность документам. Теперь у ФНС будет реальная возможность систематизировать все платежи граждан по личному ИНН каждого из нас.

✋💬Порогом для автоматического попадания в «красную зону» станет сумма в 2,4 млн рублей в год.

✋ @Russian_OSINT

😅 Миллионы пользователей под угрозой: ❗️ GitHub выплатит крупнейшую награду в истории Bug Bounty за уязвимость

Исследовательская группа Wiz Research (в лице Саги Цадика) обнаружила критическую уязвимость ↔️CVE-2026-3854 (CVSS 8.7), которая позволяла осуществить удаленное выполнение кода (RCE) на GitHub.com и GitHub Enterprise Server (GHES). Для взлома требовалась всего одна стандартная команда git push: злоумышленники использовали опции отправки (git push -o) для внедрения вредоносных данных во внутренний заголовок X-Stat. Из-за отсутствия экранирования разделителей это позволяло выйти из защищенной песочницы и выполнить произвольный код от имени системного пользователя git. Для сложного реверс-инжиниринга закрытых бинарных файлов и выявления этой цепочки применялись 💻ИИ-модели в связке с инструментом IDA MCP.

⚠️Исследователи подтвердили, что миллионы публичных и приватных репозиториев, принадлежащих другим пользователям и организациям, оказались потенциально доступны на уязвимых узлах (🔎при этом сами эксперты не стали ничего с ними делать, соблюдая этику).

❗️ Компания GitHub отреагировала мгновенно, устранив уязвимость на облачном GitHub.com всего за 6 часов после получения отчета 4 марта 2026 г. Однако на момент публичного раскрытия информации 28 апреля 2026 г. статистика Wiz показывала, что 88% частных корпоративных серверов (инстансов GHES) все еще оставались уязвимыми для атак.

Главный технический вывод исследования: мультисервисные архитектуры крайне уязвимы, если внутренние компоненты слепо доверяют данным из общих протоколов без строгой очистки пользовательского ввода. В то время как пользователям GitHub.com ничего делать не нужно, 🛡 администраторам GitHub Enterprise Server требуется немедленно обновить свои системы до версии 3.19.3 или выше. Успех этого исследования также доказывает, что ИИ-модели кардинально меняют ландшафт кибербезопасности, позволяя находить глубокие структурные ошибки, которые ранее было невозможно выявить вручную.

В официальном заявлении представители GitHub отметили:

Менее чем за два часа мы подтвердили наличие уязвимости, развернули исправление на github.com и начали криминалистическое расследование, которое подтвердило отсутствие фактов эксплуатации. В этой статье мы хотим рассказать о том, что произошло, как мы отреагировали и что мы делаем для предотвращения подобных проблем в будущем.

Когда пользователь отправляет код на GitHub, эта операция проходит через несколько внутренних сервисов. В рамках этого процесса метаданные об отправке (такие как тип репозитория и среда, в которой она должна обрабатываться) передаются между сервисами с использованием внутреннего протокола.

Уязвимость заключалась в том, как предоставленные пользователем параметры git push обрабатывались в этих метаданных. Параметры отправки — это штатная функция git, которая позволяет клиентам передавать на сервер строки в формате «ключ-значение» во время выполнения команды push. Однако значения, предоставленные пользователем, включались во внутренние метаданные без надлежащей очистки (санитизации).

Объединив несколько внедренных значений, исследователи продемонстрировали, что злоумышленник может переопределить среду, в которой обрабатывалась отправка (push), обойти защиту песочницы, которая обычно ограничивает выполнение хуков, и в конечном итоге выполнить произвольные команды на сервере.

Для GitHub Enterprise Server мы подготовили патчи для всех поддерживаемых версий (3.14.25, 3.15.20, 3.16.16, 3.17.13, 3.18.8, 3.19.4, 3.20.0 или новее) и опубликовали CVE-2026-3854. Они уже доступны, и мы настоятельно рекомендуем всем клиентам GHES немедленно выполнить обновление.

За эту уязвимость [Wiz] получит одно из самых крупных вознаграждений за всю историю нашей программы Bug Bounty, которая уже более десяти лет является краеугольным камнем нашей системы безопасности.

— сообщается в блоге Github.

👆Точная сумма выплаты Wiz не раскрыта. Обращая внимание на цифры и прошлый рекорд в $75 000, Wiz получат выше стандартных $30 000 и, скорее всего, сумма будет в районе $50 000–$100 000.

✋ @Russian_OSINT

🇬🇷В Греции хотят полностью запретить 🥷анонимность в социальных сетях

Правительство Греции активно продвигает план по тотальному запрету анонимности в социальных сетях. Инициатива направлена на борьбу с растущей токсичностью в интернете. Об этом сообщил министр цифрового управления Димитрис Папастергиу.

По словам министра, этот исторический пример должен вдохновлять общество при формировании новой цифровой демократии, где не будет анонимности от слова совсем.

Министр указал на необходимость обязать платформы верифицировать личности владельцев аккаунтов. Он добавил, что для достижения этой цели существует множество технических решений.

Заместитель премьер-министра Павлос Маринакис не исключил распространения подобных мер на весь интернет, включая авторские онлайн-статьи.

✋ @Russian_OSINT

Хорошие отзывы о новых моделях 🇨🇳Kimi K2.6 и deepseek-v4. Некоторые даже отменяют подписки 🈁Claude Max.

✋ @Russian_OSINT

👩‍💻 Глава OpenAI Сэм Альтман, называемый 😎Илоном Маском "Скам Альтман", сегодня анонсировал деплой специализированной передовой ИИ-модели для кибербезопасности под названием GPT-5.5-Cyber, которая является главным конкурентом Mythos.

✋ @Russian_OSINT

🤔 Удивительное происходит в ЕС.

В Европе всё чаще говорят о независимости и создании платформ на базе суверенных ИИ-моделей по типу Mistral, однако, представитель 🇩🇪Бундесбанка заявил, что 🇪🇺Европейским банкам необходимо получить доступ к новейшей ИИ-модели 🇺🇸Mythos от 🈁Anthropic, если ЕС хотят защитить себя от современных угроз и кибератак.

Парадокс в том, что немецкий Бундесбанк фактически признаёт, что без доступа к американской модели Mythos европейские банки окажутся в уязвимом положении.

Член правления Бундесбанка Михаэль Тойрер призвал власти Европейского союза запросить доступ к Mythos у Anthropic или у администрации Дональда Трампа.

✋ @Russian_OSINT