Как сломанные OTP и открытые конечные точки могут превратить приложение для знакомств в кошмар
Прекрасное исследование безопасности одного модного приложения для знакомств. Началось все с того, что OTP-коды приходили в открытом виде вместе с ответом с сервера, а закончилось открытыми конечными точками со всеми персональными (включая паспортные) данными всех пользователей дейтинга.
Тут добавить, кроме как "не надо так делать", и нечего:
Прекрасное исследование безопасности одного модного приложения для знакомств. Началось все с того, что OTP-коды приходили в открытом виде вместе с ответом с сервера, а закончилось открытыми конечными точками со всеми персональными (включая паспортные) данными всех пользователей дейтинга.
Тут добавить, кроме как "не надо так делать", и нечего:
Невероятная утечка данных! У меня есть доступ к сексуальным предпочтениям, интимным сообщениям и всевозможным персональным данным от (по словам самих Cerca) десятков тысяч ничего не подозревающих пользователей. Cerca в своей политике конфиденциальности утверждает, что «мы используем шифрование и другие стандартные меры для защиты ваших данных», но это явно неправда. Это создает значительные риски для безопасности и конфиденциальности пользователей. Учитывая, что я всего лишь студент колледжа, случайно заглянувший в эту тему, вполне возможно, что существуют и другие критические уязвимости (хотя полный захват аккаунта уже устанавливает довольно высокую планку).
Новая робототехническая модель Hugging Face может работать на MacBook
Создавать сложные робототехнические проекты в домашних условиях становится немного проще.
В начале этой недели платформа для разработки искусственного интеллекта Hugging Face выпустила открытую модель искусственного интеллекта для робототехники под названием SmolVLA. По утверждению Hugging Face, SmolVLA, обученная на «совместимых лицензионных» наборах данных, которыми делится сообщество, превосходит гораздо более крупные модели для робототехники как в виртуальной, так и в реальной среде.
SmolVLA является частью быстро расширяющихся усилий Hugging Face по созданию экосистемы недорогого оборудования и программного обеспечения для робототехники. В прошлом году компания запустила LeRobot, коллекцию моделей, наборов данных и инструментов, ориентированных на робототехнику. Совсем недавно Hugging Face приобрела Pollen Robotics, стартап в области робототехники, базирующийся во Франции, и представила несколько недорогих робототехнических систем, в том числе гуманоидов, для покупки.
Hugging Face утверждает, что SmolVLA достаточно мала, чтобы работать на одном графическом процессоре потребительского класса — или даже на MacBook — и может быть протестирована и развернута на «доступном» оборудовании, включая собственные робототехнические системы компании.
Создавать сложные робототехнические проекты в домашних условиях становится немного проще.
В начале этой недели платформа для разработки искусственного интеллекта Hugging Face выпустила открытую модель искусственного интеллекта для робототехники под названием SmolVLA. По утверждению Hugging Face, SmolVLA, обученная на «совместимых лицензионных» наборах данных, которыми делится сообщество, превосходит гораздо более крупные модели для робототехники как в виртуальной, так и в реальной среде.
SmolVLA является частью быстро расширяющихся усилий Hugging Face по созданию экосистемы недорогого оборудования и программного обеспечения для робототехники. В прошлом году компания запустила LeRobot, коллекцию моделей, наборов данных и инструментов, ориентированных на робототехнику. Совсем недавно Hugging Face приобрела Pollen Robotics, стартап в области робототехники, базирующийся во Франции, и представила несколько недорогих робототехнических систем, в том числе гуманоидов, для покупки.
Hugging Face утверждает, что SmolVLA достаточно мала, чтобы работать на одном графическом процессоре потребительского класса — или даже на MacBook — и может быть протестирована и развернута на «доступном» оборудовании, включая собственные робототехнические системы компании.
🔥2
Резюме умирают, и ИИ ответственен за это
Работодатели тонут в заявлениях о приеме на работу, созданных с помощью ИИ, а LinkedIn теперь обрабатывает 11,000 откликов в минуту — на 45% больше, чем в прошлом году. The New York Times пишет, что из-за ИИ традиционный процесс найма перегружен автоматизированным шумом. Поток резюме, созданных с помощью ChatGPT, и откликов, отправленных ботами, вызвал гонку вооружений между соискателями и работодателями, причем обе стороны используют все более сложные ИИ-инструменты в противостоянии ботов, которое быстро выходит из-под контроля.
Хаос нарастает и кандидаты все больше автоматизируют поиск работы, оплачивая услуги ИИ-агентов, которые самостоятельно находят работу и подают заявки от их имени. В ответ на это компании вводят системы поиска ИИ в откликах и все больше изменяют процессы, чтобы вообще абстрагироваться от резюме. Разочарование достигло той точки, когда сами ИИ-компании отступают от собственных технологий в процессе найма. Недавно Anthropic посоветовала соискателям не использовать LLM в своих заявках — поразительное признание от компании, чья бизнес-модель зависит от людей, использующих ИИ для всего остального.
На данный момент работодатели и соискатели остаются втянутыми в обостряющуюся технологическую гонку вооружений, где машины отслеживают результаты работы других машин, в то время как люди, которым они призваны служить, изо всех сил пытаются установить подлинные связи во все более неаутентичном мире.
Возможно, конечная цель — это роботы, которые будут проводить собеседования с другими роботами для работы, выполняемой роботами, в то время как люди будут сидеть на пляже, попивая дайкири и играя в винтажные видеоигры.
Работодатели тонут в заявлениях о приеме на работу, созданных с помощью ИИ, а LinkedIn теперь обрабатывает 11,000 откликов в минуту — на 45% больше, чем в прошлом году. The New York Times пишет, что из-за ИИ традиционный процесс найма перегружен автоматизированным шумом. Поток резюме, созданных с помощью ChatGPT, и откликов, отправленных ботами, вызвал гонку вооружений между соискателями и работодателями, причем обе стороны используют все более сложные ИИ-инструменты в противостоянии ботов, которое быстро выходит из-под контроля.
Хаос нарастает и кандидаты все больше автоматизируют поиск работы, оплачивая услуги ИИ-агентов, которые самостоятельно находят работу и подают заявки от их имени. В ответ на это компании вводят системы поиска ИИ в откликах и все больше изменяют процессы, чтобы вообще абстрагироваться от резюме. Разочарование достигло той точки, когда сами ИИ-компании отступают от собственных технологий в процессе найма. Недавно Anthropic посоветовала соискателям не использовать LLM в своих заявках — поразительное признание от компании, чья бизнес-модель зависит от людей, использующих ИИ для всего остального.
И, возможно, это нормально. Когда любой может генерировать сотни индивидуальных откликов с помощью нескольких подсказок, документ, который когда-то демонстрировал усилия и подлинный интерес к должности, превратился в шум.
На данный момент работодатели и соискатели остаются втянутыми в обостряющуюся технологическую гонку вооружений, где машины отслеживают результаты работы других машин, в то время как люди, которым они призваны служить, изо всех сил пытаются установить подлинные связи во все более неаутентичном мире.
Возможно, конечная цель — это роботы, которые будут проводить собеседования с другими роботами для работы, выполняемой роботами, в то время как люди будут сидеть на пляже, попивая дайкири и играя в винтажные видеоигры.
Новый навык в ИИ — не промпты, а контекст инжиниринг
Контекстная инженерия (контекст инжиниринг, Context Engineering) — это новый термин, набирающий популярность в мире ИИ. Разговор переходит от "промпт инжиниринга" к более широкой и мощной концепции - "контекст инжинирингу". Тоби Лютке описывает его как «искусство предоставления всего контекста для задачи, которая может быть правдоподобно решена LLM», и он прав.
С появлением агентов становится все более важным, какую информацию мы загружаем в «ограниченную рабочую память». Мы видим, что главное, что определяет, преуспеет ли агент или нет, — это качество контекста, который вы ему даете. Большинство сбоев агентов больше не являются сбоями модели, это сбои контекста.
Контекстная инженерия (контекст инжиниринг, Context Engineering) — это новый термин, набирающий популярность в мире ИИ. Разговор переходит от "промпт инжиниринга" к более широкой и мощной концепции - "контекст инжинирингу". Тоби Лютке описывает его как «искусство предоставления всего контекста для задачи, которая может быть правдоподобно решена LLM», и он прав.
С появлением агентов становится все более важным, какую информацию мы загружаем в «ограниченную рабочую память». Мы видим, что главное, что определяет, преуспеет ли агент или нет, — это качество контекста, который вы ему даете. Большинство сбоев агентов больше не являются сбоями модели, это сбои контекста.
Чистая архитектура — это большая ложь, в которую мы продолжаем верить
Чистая архитектура, как ее проповедуют в каждой второй статье на Medium и в руководствах на YouTube, часто является скорее религией, чем разумным подходом. Особенно во Flutter, где разработчики тратят недели на настройку «идеальных слоев» только для того, чтобы создавать TODO-приложения. Пришло время поговорить о мифе чистой архитектуры и о том, почему слепое следование ей может навредить вашему коду, вашей команде и вашему продукту
Чистая архитектура, как ее проповедуют в каждой второй статье на Medium и в руководствах на YouTube, часто является скорее религией, чем разумным подходом. Особенно во Flutter, где разработчики тратят недели на настройку «идеальных слоев» только для того, чтобы создавать TODO-приложения. Пришло время поговорить о мифе чистой архитектуры и о том, почему слепое следование ей может навредить вашему коду, вашей команде и вашему продукту
👍1
Теперь мы все CTO
По мере того как вы начнете чаще использовать агентов искусственного интеллекта, вы будете лучше объяснять им задачи. Вы научитесь разбивать работу на подходящие фрагменты, выделять определенные качества, которые вам больше нужны, по сравнению с другими, и понимать их ограничения. Возможно, вы станете лучше обучать их и предоставлять им необходимые ресурсы. Подсказка: точно так же, как управлять людьми.
И с этими новыми навыками ваши старые навыки начнут атрофироваться. Навыки, которые вы используете, - это те навыки, которые вы поддерживаете. Конечно, у вас будет мышечная память - разработчик всегда остается разработчиком, точно так же, как бывшие спортсмены могут сохранять хорошую форму, — но вы уже не будете таким опытным, каким были, когда все писали сами.
Одно это делает роль “парашютиста” особенно трудной. Это одна из причин, по которой сложно быть даже техническим директором, потому что, почти по определению, все проблемы, с которыми я сталкиваюсь, - это сложные проблемы с незнакомым мне кодом и навыками, которые я не оттачиваю.
Добро пожаловать на вашу новую должность. Я надеюсь, вы будете счастливы.
По мере того как вы начнете чаще использовать агентов искусственного интеллекта, вы будете лучше объяснять им задачи. Вы научитесь разбивать работу на подходящие фрагменты, выделять определенные качества, которые вам больше нужны, по сравнению с другими, и понимать их ограничения. Возможно, вы станете лучше обучать их и предоставлять им необходимые ресурсы. Подсказка: точно так же, как управлять людьми.
И с этими новыми навыками ваши старые навыки начнут атрофироваться. Навыки, которые вы используете, - это те навыки, которые вы поддерживаете. Конечно, у вас будет мышечная память - разработчик всегда остается разработчиком, точно так же, как бывшие спортсмены могут сохранять хорошую форму, — но вы уже не будете таким опытным, каким были, когда все писали сами.
Одно это делает роль “парашютиста” особенно трудной. Это одна из причин, по которой сложно быть даже техническим директором, потому что, почти по определению, все проблемы, с которыми я сталкиваюсь, - это сложные проблемы с незнакомым мне кодом и навыками, которые я не оттачиваю.
Добро пожаловать на вашу новую должность. Я надеюсь, вы будете счастливы.
Gemini CLI от Google — самый мощный инструмент разработки
Самый революционный инструмент разработки, который я использовал в этом году, не сопровождался громким запуском или многомиллиардной инвестицией.
Он представлял собой простой CLI: Gemini CLI — терминальный ИИ-агент, созданный на базе модели Google Gemini 2.5 Pro.
На первый взгляд, это выглядит как лёгкая альтернатива Claude Code. Но всего через 10 минут использования стало ясно: это не просто удобная утилита. Это мощный локальный ИИ-помощник по разработке, способный анализировать, автоматизировать и ускорять практически любой этап вашего рабочего процесса.
Самый революционный инструмент разработки, который я использовал в этом году, не сопровождался громким запуском или многомиллиардной инвестицией.
Он представлял собой простой CLI: Gemini CLI — терминальный ИИ-агент, созданный на базе модели Google Gemini 2.5 Pro.
На первый взгляд, это выглядит как лёгкая альтернатива Claude Code. Но всего через 10 минут использования стало ясно: это не просто удобная утилита. Это мощный локальный ИИ-помощник по разработке, способный анализировать, автоматизировать и ускорять практически любой этап вашего рабочего процесса.
🤡2
Как [iOS] разработчику сделать хорошее резюме (которое действительно привлечет внимание ведущих компаний)
Возможно, вы отличный iOS-разработчик. Вы создавали приложения, исправляли сбои, работали над фичами и оптимизировали экраны. Но все равно… никто не звонит.
Я прошел через это. Я отправил более 30 откликов и получил, может быть, один ответ — отказ.
А сейчас? Я получаю приглашения на собеседования от FANG команд, ведущих транснациональных корпораций и некоторых довольно классных компаний-разработчиков продуктов.
Я прошел собеседования в Walmart, Amazon и даже попал в базы талантов компаний, которые раньше казались мне недостижимыми.
И нет, я не создал приложение на миллиард долларов.
Но я создал резюме, которое обращается как к людям, так и к машинам.
Возможно, вы отличный iOS-разработчик. Вы создавали приложения, исправляли сбои, работали над фичами и оптимизировали экраны. Но все равно… никто не звонит.
Я прошел через это. Я отправил более 30 откликов и получил, может быть, один ответ — отказ.
А сейчас? Я получаю приглашения на собеседования от FANG команд, ведущих транснациональных корпораций и некоторых довольно классных компаний-разработчиков продуктов.
Я прошел собеседования в Walmart, Amazon и даже попал в базы талантов компаний, которые раньше казались мне недостижимыми.
И нет, я не создал приложение на миллиард долларов.
Но я создал резюме, которое обращается как к людям, так и к машинам.
ИИ замедляет работу разработчиков - я могу объяснить почему
Когда мы пишем программное обеспечение, реальным продуктом является наша ментальная модель созданной нами программы. Именно эта модель позволила нам создать программное обеспечение, и в будущем она позволит нам понимать систему, диагностировать проблемы в ней и эффективно работать с ней. Если вы согласны с этой теорией, как и я, то она объясняет такие вещи, как то, почему все ненавидят устаревший код, почему небольшие команды могут превосходить по производительности более крупные, почему аутсорсинг обычно заканчивается плохо и т.д.
Мы знаем, что программисты, участвовавшие в исследовании Metr, — это люди с чрезвычайно хорошо развитыми ментальными моделями проектов, над которыми они работают. И мы также знаем, что LLM, которые они использовали, не имели реального доступа к этим ментальным моделям. Разработчики могли предоставить части этой ментальной модели своим инструментам искусственного интеллекта, но это медленный и неэффективный процесс, который никогда не сможет полностью отразить теорию программы, существующую в их умах. Передав свою работу по разработке программного обеспечения LLM, они ограничили свою уникальную способность эффективно работать с кодовой базой.
Когда мы пишем программное обеспечение, реальным продуктом является наша ментальная модель созданной нами программы. Именно эта модель позволила нам создать программное обеспечение, и в будущем она позволит нам понимать систему, диагностировать проблемы в ней и эффективно работать с ней. Если вы согласны с этой теорией, как и я, то она объясняет такие вещи, как то, почему все ненавидят устаревший код, почему небольшие команды могут превосходить по производительности более крупные, почему аутсорсинг обычно заканчивается плохо и т.д.
Мы знаем, что программисты, участвовавшие в исследовании Metr, — это люди с чрезвычайно хорошо развитыми ментальными моделями проектов, над которыми они работают. И мы также знаем, что LLM, которые они использовали, не имели реального доступа к этим ментальным моделям. Разработчики могли предоставить части этой ментальной модели своим инструментам искусственного интеллекта, но это медленный и неэффективный процесс, который никогда не сможет полностью отразить теорию программы, существующую в их умах. Передав свою работу по разработке программного обеспечения LLM, они ограничили свою уникальную способность эффективно работать с кодовой базой.
$1M+ ARR → $0 за одну ночь… Как я потерял свою ИИ-платформу с 6 млн пользователей
На Reddit занятная история ИИ-платформы Moemate. Начиналось все как ИИ-компаньон для десктопов, потом превратилось в подобие Character.AI с (судя по всему) изрядной долей NSFW, ну а затем Google продал свой доменный бизнес компании Squarespac и
К моменту, когда все прояснилось, всё уже было кончено. 6 миллионов пользователей, более миллиона MAU, $1 млн ARR — всё исчезло.
Глубинные проблемы, о которых говорит автор:
1. Бесконечное добавление новых функций вместо концентрации: всё время добавляли новые фичи (память, больше моделей, навыки, AR/VR), вместо того чтобы улучшать ключевые вещи — скорость работы и глубину взаимодействия.
2. Кризис идентичности: застряли между тремя группами:
• NSFW-пользователи (мы этого не хотели, но не могли от этого уйти)
• Любители фентези/ролевых игр (наша целевая аудитория)
• Те, кто искал полезность/продуктивность (их привлекали технические возможности)
3. Проблемы с приложениями: просто адаптировали веб-приложение под мобильные устройства, вместо создания нативного решения. Не было нормального сценария конверсии пользователей, перегруженный интерфейс, плохой UX.
4. Разрыв между ростом и продуктом: мы развивали рост отдельно от работы над продуктом, а не интегрировали их друг в друга.
Ну а выводы - в статье.
На Reddit занятная история ИИ-платформы Moemate. Начиналось все как ИИ-компаньон для десктопов, потом превратилось в подобие Character.AI с (судя по всему) изрядной долей NSFW, ну а затем Google продал свой доменный бизнес компании Squarespac и
moemate.io заблокировали. После 3 недель бюрократического ада выяснилось, что настоящая причина блокировки — как раз «неприемлемый пользовательский контент».К моменту, когда все прояснилось, всё уже было кончено. 6 миллионов пользователей, более миллиона MAU, $1 млн ARR — всё исчезло.
Глубинные проблемы, о которых говорит автор:
1. Бесконечное добавление новых функций вместо концентрации: всё время добавляли новые фичи (память, больше моделей, навыки, AR/VR), вместо того чтобы улучшать ключевые вещи — скорость работы и глубину взаимодействия.
2. Кризис идентичности: застряли между тремя группами:
• NSFW-пользователи (мы этого не хотели, но не могли от этого уйти)
• Любители фентези/ролевых игр (наша целевая аудитория)
• Те, кто искал полезность/продуктивность (их привлекали технические возможности)
3. Проблемы с приложениями: просто адаптировали веб-приложение под мобильные устройства, вместо создания нативного решения. Не было нормального сценария конверсии пользователей, перегруженный интерфейс, плохой UX.
4. Разрыв между ростом и продуктом: мы развивали рост отдельно от работы над продуктом, а не интегрировали их друг в друга.
Ну а выводы - в статье.
👍2
Кто такой Mobile Platform Engineer
Mobile Platform Engineer — это инженер, который создает и поддерживает внутренние инструменты, библиотеки и архитектуры, позволяя мобильным командам быстрее и стабильнее выпускать продукт. Его «пользователи» — это другие разработчики, а задачей становится автоматизация процессов, стандартизация инфраструктуры и управление качеством, чтобы избавить команду от рутинных технических проблем.
Такая роль особенно востребована в больших командах, когда хаос, конфликты и технический долг замедляют релизы. Платформенный инженер не только пишет код, но и выстраивает коммуникации между командами, отвечает за безопасность, релизы, внедрение стандартов и успешные миграции — помогая всей организации развиваться быстрее и эффективнее.
Mobile Platform Engineer — это инженер, который создает и поддерживает внутренние инструменты, библиотеки и архитектуры, позволяя мобильным командам быстрее и стабильнее выпускать продукт. Его «пользователи» — это другие разработчики, а задачей становится автоматизация процессов, стандартизация инфраструктуры и управление качеством, чтобы избавить команду от рутинных технических проблем.
Такая роль особенно востребована в больших командах, когда хаос, конфликты и технический долг замедляют релизы. Платформенный инженер не только пишет код, но и выстраивает коммуникации между командами, отвечает за безопасность, релизы, внедрение стандартов и успешные миграции — помогая всей организации развиваться быстрее и эффективнее.
👍1
Курс "Генеративный ИИ для начинающих с JavaScript" от Microsoft
Microsoft уже выпустила несколько обучающих курсов по ИИ, таких как "AI Agents for Beginners", "Copilot Adventures" и "Generative AI for Beginners". В этом курсе "Генеративный ИИ для начинающих с JavaScript", размещенном на GitHub, вы научитесь создавать приложения GenAI с использованием JavaScript.
Это новое предложение можно рассматривать как продолжение общего курса "ИИ-агенты для начинающих", но посвящённого JavaScript. Курс также заимствует повествовательный стиль исследования из курса "Copilot Adventures", оформленного в виде приключения с путешествием во времени. Суть курса заключается в том, что вы выбираете задачу, или так называемое приключение, и затем пишете код для его выполнения.
Таким образом, вы отправитесь в захватывающее приключение, путешествуя во времени и сотрудничая с величайшими умами истории. Вместе вы будете решать сложные задачи и изучать, как генеративный ИИ может произвести революцию в ваших JavaScript-приложениях.
Microsoft уже выпустила несколько обучающих курсов по ИИ, таких как "AI Agents for Beginners", "Copilot Adventures" и "Generative AI for Beginners". В этом курсе "Генеративный ИИ для начинающих с JavaScript", размещенном на GitHub, вы научитесь создавать приложения GenAI с использованием JavaScript.
Это новое предложение можно рассматривать как продолжение общего курса "ИИ-агенты для начинающих", но посвящённого JavaScript. Курс также заимствует повествовательный стиль исследования из курса "Copilot Adventures", оформленного в виде приключения с путешествием во времени. Суть курса заключается в том, что вы выбираете задачу, или так называемое приключение, и затем пишете код для его выполнения.
Таким образом, вы отправитесь в захватывающее приключение, путешествуя во времени и сотрудничая с величайшими умами истории. Вместе вы будете решать сложные задачи и изучать, как генеративный ИИ может произвести революцию в ваших JavaScript-приложениях.
Я сделал $100K на iOS-приложении. Apple забрала 30%. Остальное ушло на исправление ошибок и выгорание.
100 тысяч долларов дохода от приложения — это звучит заманчиво в твите.
Но в реальной жизни это означает бессонные ночи, постоянную поддержку и непредвиденные расходы. Это означает баланс между ростом и психологическим здоровьем и умением говорить «нет» — даже собственным идеям новых функций.
Я рад, что сделал это. Но я бы не назвал это лёгкими деньгами.
Если вы планируете запустить что-то самостоятельно, убедитесь, что вы готовы не только разрабатывать, но и поддерживать, чинить, общаться с пользователями и улучшать.
Вот это и есть настоящая работа. И вот где настоящие затраты.
100 тысяч долларов дохода от приложения — это звучит заманчиво в твите.
Но в реальной жизни это означает бессонные ночи, постоянную поддержку и непредвиденные расходы. Это означает баланс между ростом и психологическим здоровьем и умением говорить «нет» — даже собственным идеям новых функций.
Я рад, что сделал это. Но я бы не назвал это лёгкими деньгами.
Если вы планируете запустить что-то самостоятельно, убедитесь, что вы готовы не только разрабатывать, но и поддерживать, чинить, общаться с пользователями и улучшать.
Вот это и есть настоящая работа. И вот где настоящие затраты.
❤4
10 простых внутренних инструментов, которые любой разработчик может создать менее чем за 2 часа
Автор утверждает, что современные инструменты (особенно AI) позволяют инженерам-менеджерам (Engineering Managers, EM) создавать полезные внутренние приложения буквально за пару часов между встречами. В статье предлагается 10 идей таких быстрых инструментов, которые решают реальные рабочие задачи, повышают эффективность команды и дают менеджеру возможность продолжать активно создавать решения, а не только руководить.
Автор утверждает, что современные инструменты (особенно AI) позволяют инженерам-менеджерам (Engineering Managers, EM) создавать полезные внутренние приложения буквально за пару часов между встречами. В статье предлагается 10 идей таких быстрых инструментов, которые решают реальные рабочие задачи, повышают эффективность команды и дают менеджеру возможность продолжать активно создавать решения, а не только руководить.