Хакеры научились прятать вирусы в SVG-изображении размером один пиксель!

Исследователи Sansec обнаружили новую волну краж платежных данных — хакеры с помощью RCE-уязвимости PolyShell прячут вредоносный код в однопиксельном SVG-изображении, а затем при оформлении заказа скрипт подменяет окно оплаты и крадёт данные банковских карт.

На данный момент заражено почти 100 онлайн-магазинов на платформе Magento...

👩‍💻 Берлога программистов

Как обеспечить себя рабочим местом:

👩‍💻 Берлога программистов

ИИ выбрался из защищённой песочницы и написал разработчику на почту!

На этой неделе Anthropic запустил проект Project Glasswing — закрытую версию Claude Mythos Preview в области кибербезопасности. Разработчики утверждают, что модель настолько эффективно находит уязвимости в системах, что её даже не будут выпускать в релиз.

А вот история, которая произошла во время разработки ранней версии Claude Mythos Preview:

представители компании поместили модель в защищённую «песочницу», из которой ИИ, в теории, не должен был покидать, а затем поставили перед ней задачу выйти из этого контейнера и отправить исследователю сообщение об успешном выполнении задачи.

В итоге модель смогла без особого труда покинуть изолированную среду, а затем с помощью многоуровневого эксплойта получила доступ к интернету, создала почту и написала разработчику на email.

Представьте, что будет, если эта модель попадёт в руки хакеров…

👩‍💻 Берлога программистов

22 из 30 популярных российских приложений обнаруживают VPN...

Российские ведомства поручили 20 крупным компаниям до 15 апреля ограничить доступ к приложениям пользователям с включённым VPN. Исследование показало, что уже 22 из 30 популярных Android-приложений определяют VPN по методичке РКН

Самыми активными в слежке оказались «Яндекс Браузер» и «Яндекс Карты» – они используют 4/6 возможных способов обнаружения.

👩‍💻 Берлога программистов

Когда фиксишь код нейронки:

👩‍💻 Берлога программистов

Новая защита Chrome от кражи cookie

Недавно Google добавила защиту DBSC в Chrome 146 для Windows. Теперь сессионные cookie привязываются к конкретному устройству, а даже если их украдут, использовать на другом компьютере не получится.

Браузер создаёт уникальную пару ключей, при этом закрытый ключ остаётся на устройстве. Без него подтвердить сессию невозможно.

Что думаете об новом методе защиты?

👩‍💻 Берлога программистов

Франция откажется от Windows в пользу Linux

На днях правительство Франции объявили о намерениях перевести часть государственных компьютеров с Windows на Linux. Свое решение они обосновали тем, что хотят снизить зависимость от американских технологий.

Думаете, у них получится перейти на новое ядро?

👩‍💻 Берлога программистов

Doom, но кадры выводятся в терминале!

Разработчик Sawyer X выкатил открытый проект cURL Doom. Особенность этой версии игры в том, что она воспроизводится по сети через утилиту cURL и запускается прямо в терминале.

То есть это HTTP-сервер, который выводит кадры игры в терминал, и не требует других зависимостей кроме curl и bash.

Сыграли бы в такую версию игры?

👩‍💻 Берлога программистов

Codex взломал Samsung TV

Разработчики решили провести эксперимент: сможет ли Codex взломать Samsung Smart TV и получить root-доступ. Для этого они поместили нейросеть в ограниченную среду с доступом к браузеру на телевизоре.

В итоге ChatGPT Codex смог не только найти уязвимость и получить root-доступ, но и добраться до исходного кода и самого телевизора. Более того, он даже смог запускать вспомогательные программы прямо в памяти, обходя встроенную защиту.

Кажется, Codex дышит в спину Claude 😉

👩‍💻 Берлога программистов

Мозг крысы впервые подключили к ИИ

Учёные МГУ совместно с лабораторией Neiry подключили мозг крысы Пифии к ИИ. Электроды, имплантированные в мозг, стимулируют определённые зоны, и когда учёные задают крысе вопрос вслух, ИИ обрабатывает его и подсказывает, какой рычаг нажать лапкой, тем самым обозначая правильный ответ.

Вы бы хотели, чтобы ваш мозг был подключен к ИИ?

👩‍💻 Берлога программистов

Microsoft выпустила плановое апрельское обновление Patch Tuesday, которое закрыло 167 уязвимостей, среди которых были две Zero-Day, использовавшиеся в хакерских атаках.

Также были исправлены уязвимости удалённого выполнения кода в Microsoft Office, включая Word и Excel. Теперь эти проблемы не будут активироваться при предварительном просмотре или открытии вредоносного документа.

Достойная обнова, да?)

👩‍💻 Берлога программистов

Уже на этой неделе может выйти Claude Opus 4.7 и не только...

По данным The Information, на этой неделе Anthropic готовит выпуск Claude Opus 4.7 и нового ИИ-инструмента для дизайна, который позволит создавать презентации, сайты, лендинги и цифровые продукты.

При этом Opus 4.7 не станет самой мощной моделью в линейке компании: выше неё уже есть Claude Mythos. Но именно на Claude Opus 4.7 протестируют новый алгоритм безопасности, и если всё пройдёт успешно, Mythos могут открыть для широкой публики.

👩‍💻 Берлога программистов

Кто-то вообще смотрит чем занимается компания?)

👩‍💻 Берлога программистов

Представлен интернет-протокол IPv8

IETF представил интернет-протокол IPv8, который должен заменить IPv4. Его главная особенность в том, что он совместим с IPv4, в отличие от IPv6, который не был совместим.

Так выглядит протокол:
IPv4: 93.184.216.34
IPv8: 0.0.251.240.93.184.216.34 — это как два IPv4 подряд, но первая его половина указывает на оператора/сеть, а вторая — на хоста. Но если первая часть будет состоять из четырёх нулей, то это уже будет обычный IPv4-адрес, который будет маршрутизироваться по старым правилам.

IPv8 добавит около 18 квинтиллионов новых IP-адресов, что в 4,3 млрд раз больше, чем у IPv4.

👩‍💻 Берлога программистов

Anthropic запустил Claude Design

Anthropic выпустили Claude Design — инструмент, где можно собирать прототипы, презентации и лендинги прямо в диалоге с ИИ. Сначала пишешь задачу текстом, модель сразу делает первый вариант, а дальше правишь его через чат, комментарии или простые настройки вроде отступов и цветов.

Главная фишка — скорость. Что требовало десятки промптов в других сервисах, здесь собирается буквально за пару шагов.

Кто-то уже попробовал Claude Design? Поделитесь своим опытом :)

👩‍💻 Берлога программистов

Более 100 расширений Chrome воровали данные и аккаунты пользователей

Эксперты вновь обнаружили 108 вредоносных расширений в Chrome Web Store, которые успели установить около 200 000 человек. Все они были опубликованы с пяти разных аккаунтов, но при этом использовали один и тот же VPS‑сервер. Разумеется, они воровали данные и аккаунты пользователей — даже из Telegram.

После этого у меня остаётся только один вопрос: кто-то всё ещё доверяет расширениям?

👩‍💻 Берлога программистов

Учёные из Великобритании и США доказали, что регулярное использование ИИ снижает настойчивость и качество самостоятельной работы!

В эксперименте поучаствовало 350 добровольцев, которых разделили на две группы – с доступом к ИИ и без. В середине экзамена у первых отключили ИИ, из-за чего участники начали сдаваться, а их производительность значительно снизилась. К такому же результату привел эксперимент с 670 участниками.

Кто замечал, что без ИИ уже не может взяться за работу?

👩‍💻 Берлога программистов