Один символ положил GitHub на колени

Исследователи Wiz обнаружили, что добавление точки с запятой в push-опции git-команды давало полноценный shell на сервере GitHub. Не вредоносный репозиторий, не сложная цепочка уязвимостей — один лишний символ в строке параметров, и атакующий внутри.

CVE-2026-3854, CVSS 8.7. Затронуты github.com, Enterprise Cloud и Enterprise Server. То есть почти все, кто пользуется GitHub серьёзно.

Но вот где история становится красивой: репорт пришёл 4 марта, GitHub воспроизвёл за 40 минут. Фикс выкатили ещё через 35. Меньше двух часов от репорта до исправления. Следов эксплуатации в дикой природе не нашли.

GHES получил патчи только 28 апреля. Версии 3.14.25 и выше. Если у вас self-hosted, самое время проверить.

@tproger
Читайте также в VK, Max и Дзен

Визуальный граф git-веток прямо в VS Code — без терминала и отдельных клиентов

Стена символов из git log --oneline --graph, в которой пять минут разбираешься, что куда сливалось — оказывается, опциональный опыт. Interactive Git Log встраивает нормальный визуальный граф прямо в редактор: ветки, коммиты, связи — всё на одном экране.

Главная фича — drag-and-drop rebase: перетаскиваете ветку на нужный коммит, и Git переносит всю её историю туда. Обычно это несколько команд с флагами и мысленная модель дерева. Здесь — одно движение мышью. Плюс управление ветками и интеграция с пул-реквестами.

Расширение бесплатное, 12 700+ установок — смотрите на VS Code Marketplace.

@tproger
Читайте также в VK, Max и Дзен

Монтируем видео через ТЕКСТ — вышел видеоредактор CutScript, который позволяет вырезать из роликов лишнее, просто редактируя субтитры.

Главная фишка: удаляете слово или предложение из текста, и этот кусок автоматически вырезается из видео. Мусорные слова можно найти самому — или попросить ИИ убрать их автоматически.

Это полностью бесплатно и локально: все данные остаются на вашем компьютере.

Особенно вкусно для подкастов, интервью и обучающих роликов. Прощаемся с лишней инфой в любимых видосах — тут.

@killerfeat

Вышел лучший браузер для айтишников — он специально создан под ИИ-агентов, поиск информации и автоматизацию.

Для тех, кто гоняет агентов, парсеры и браузерную автоматизацию пачками, это жир: меньше памяти, быстрее старт.

Главное:

— Obscura занимает 30 МБ оперативки против 200+ МБ у Chrome.
— В браузере уже есть защита от обнаружения ботов: он умеет подменять отпечатки (fingerprinting) и маскировать нативные функции.
— Поставляется в виде бинарного файла весом 70 МБ.

Это полноценная замена Puppeteer и Playwright, которая работает в разы быстрее и потребляет смешное количество ресурсов. Забираем — тут.

@killerfeat

Принес годный инструмент с открытым исходным кодом для визуализации регулярных выражений

Он помогает изучать, создавать и проверять регулярные выражения: просто введите регэксп, и инструмент автоматически построит визуальную схему

Смотрим: https://regex-vis.com/

@IT_Portal

Принес годный кейс из мира робототехники: модель Сбера Green-VLA забрала золото на международном турнире AgiBot World Challenge

AgiBot World Challenge — это престижная международная площадка, где инженеры соревнуются в программировании и обучении человекоподобных роботов. Модель на базе ИИ-помощника ГигаЧат обошла 79 команд из России, Китая и Южной Кореи в треке Reasoning2Action.

На онлайн-этапе в симуляторе оценивали, как алгоритмы позволяют человекоподобным роботам сортировать товары, убираться и переносить предметы в сложных сценариях. Для инженеров и исследователей Сбер уже выкатил в открытый доступ технический отчет по архитектуре управления. Очный этап пройдет 1 июня в Вене.

@IT_Portal

Телеграм начал работать нестабильно, теперь используем эти 2 сервиса:

1) https://links.gemspace.com/join/eed458addce43c32d081dce910cd2d53

2) https://chat.lenzaos.com/auth?invitation=true&code=2b7VOb&domain=senatorovai&lang=ru&android=com.mailchat.clout&ios=1588741828

Собеседование Junior Data Scientist в 2026 году: частые вопросы и как на них отвечать

Большинство новичков идут на собеседование вслепую, КАК КОТЯТА!

Учат красивые слова, путаются в базовых вопросах и в итоге сливаются уже на первых минутах.

Я разобрал в статье:
— что реально спрашивают на Junior Data Scientist
— на каких вопросах чаще всего валятся кандидаты
— как отвечать сильнее, увереннее и профессиональнее
— что нужно понимать, чтобы тебя воспринимали как будущего специалиста, а не как очередного “прошедшего курс”

Junior Data Scientist:
https://senatorovai.com/sobesedovanie-junior-data-scientist-v-2026-godu-chastye-voprosy-i-kak-na-nikh-otvechat/

Собеседование по Python:
https://senatorovai.com/sobesedovanie-po-python-v-2026-godu-chastye-voprosy-i-kak-na-nikh-otvechat/

Зачем учить solvers в sklearn в 2026 году?

Как модели на самом деле находят коэффициенты (веса)?

solver — это способ, которым модель ищет коэффициенты. Если понимать solvers, становится яснее, почему модель не сходится, когда нужны SVD, Cholesky, SAG, SAGA, LBFGS, и почему иногда проблема не в модели, а в данных, масштабе признаков или регуляризации.

Это знание превращает .fit() из магической кнопки в понятный инженерный процесс.

Читать статьи:
👉https://senatorovai.com/zachem-uchit-solvers-v-sklearn-kak-modeli-nakhodyat-koeffitsienty/ (Что такое солверы)

👉 https://senatorovai.com/solvery-gladkikh-vypuklykh-funktsiy-kak-klyuch-k-ponimaniyu-data-science/ (Что внутри солверов)

#stepikfree
Бесплатный курс по Machine Learning с нуля до Junior.

Хочешь разобраться в машинном обучении и начать строить свои первые ML-модели?

В этом курсе ты пройдёшь путь от базовых понятий до практики с Scikit-learn:

- что такое Machine Learning
- как готовить данные
- обучение и тестирование моделей
- классификация и регрессия
- метрики качества
- Random Forest, Linear Regression, SVM и другие модели
- первые ML-проекты для портфолио

Курс подойдёт для новичков, ВСЕ СТРОКИ НА Python ПРОКОММЕНТИРОВАНЫ!

Стартуй бесплатно и прокачайся до уровня Junior ML.

ОГРОМНЫЙ ПЛЮС КУРСА - ССЫЛКИ НА ИСХОДНИКИ!👀

➡ https://stepik.org/course/286253 (Открытый курс)

145 материалов по:

- Data Science
- ML
- Python
- SQL
- MLOps
- карьере
- метрикам
- деплою
- валидации
- Kaggle
- портфолио
- работе в индустрии

👉Забирай тут

Написал 145 статей по Data Science!

От первых шагов и Python до ML, математики, solvers, MLOps, production, собеседований и работы в команде.

Теперь можно идти по материалам как по roadmap:

1. Старт в Data Science
2. Python, SQL, GitHub, Kaggle
3. Анализ данных и статистика
4. База Machine Learning
5. Математика, регуляризация и solvers
6. Feature engineering
7. Классические модели и ансамбли
8. NLP, рекомендации, временные ряды
9. Production и MLOps
10. Карьера и зрелость специалиста

Ссылка:
👉 Забрать Roadmap: https://SenatorovAI.com/marshruty/

Copy Fail: ядро Linux заботливо открывает root через криптосокет

В Linux с 2017 года живёт модуль algif_aead — он позволяет работать с криптоAPI ядра прямо из страниц page-cache, без лишних копий. Оптимизация разумная. Последствия — предсказуемые в ретроспективе.

CVE-2026-31431 «Copy Fail»: открываете AF_ALG-сокет (никаких прав не нужно), дёргаете splice(), получаете 4-байтовую запись в page-cache, тихо подменяете несколько байт в /usr/bin/su — и вот у вас root shell. Рабочий PoC уже опубликован.

Затронуты Ubuntu 24.04, RHEL 10.1, SUSE 16, Amazon Linux 2023. Mainline-патч влили 1 апреля, но до пакетов дистрибутивов он так и не добрался. Пока — отключайте algif_aead через modprobe.d, в контейнерах блокируйте AF_ALG через seccomp.

@your_tech (теперь ещё в VK и Max)

Edge держит все ваши пароли в RAM — на всякий случай

Microsoft Edge при запуске загружает в память все сохранённые пароли сразу — и держит их там открытым текстом всю сессию. Не когда вы заходите на сайт, не при автозаполнении. Просто запустили браузер — и всё, пароли уже в памяти. Хотите достать? Дамп процесса + утилита strings. Без прав администратора.

Chrome, для сравнения, расшифровывает пароль только в момент автозаполнения и сразу выгружает. Норвежский исследователь проверил несколько Chromium-браузеров — Edge оказался единственным с таким поведением.

Microsoft объяснили: это не баг, это дизайн. Баланс между производительностью и безопасностью. Удобная функция, ничего не скажешь.

Особенно живописно выглядит на терминальных серверах: администратор снимает дамп памяти — и получает пароли всех вошедших пользователей разом.

@your_tech (теперь ещё в VK и Max)

ИИ тормозит не потому что нет видеокарт, а потому что ест мусор

Пока индустрия переживала за дефицит чипов, главная проблема оказалась в другом. Исследователи из Мичигана и Bessemer написали в Fortune: следующее поколение AI упирается не в вычисления, а в данные.

«Больше данных — умнее модель» работало, пока можно было пылесосить интернет. Для физического AI — роботов, автономного транспорта — это уже не вариант: физику не скачаешь.

Данные бывают формально валидными, но бесполезными — junk data. Именно поэтому OpenAI Sora тихо отправили в архив: world model просто не понимала физику.

Авторы предлагают переключить гонку: с объёма — на инструменты чистки данных. Похоже, следующий дефицит будет не в чипах, а в нормальных наборах данных.

@your_tech (теперь ещё в VK и Max)