Есть полезный опенсорс инструмент – whichllm. Он сканирует твоё железо и показывает, какие локальные AI-модели реально потянет твоя машина

→ рекомендует модели под твою видеокарту
→ показывает системные требования конкретных моделей
→ помогает сравнить совместимость между разными GPU

@IT_Portal

Пассворк — первый менеджер паролей с сертификацией ФСТЭК России

30 апреля 2026 года Пассворк получил сертификат ФСТЭК России № 5603 по 4-му уровню доверия — наивысшему для коммерческих средств защиты информации. Пассворк стал первым российским менеджером паролей, который официально может применяться для защиты конфиденциальной информации:

• объектов критической информационной инфраструктуры
• государственных информационных систем
• информационных систем персональных данных
• автоматизированных систем управления

ФСТЭК проверил архитектуру, криптографию, механизмы аутентификации, ролевую модель доступа, журналирование и процессы разработки. Безопасность подтверждена не только на уровне кода, но и на уровне процессов: от разработки до обновления продукта.

В комплекте с лицензиями ФСТЭК на ТЗКИ и СЗКИ, лицензией ФСБ и включением в реестр Минцифры Пассворк закрывает все регуляторные требования для работы в системах любого класса защищённости: государственном секторе, банковской сфере, телекоммуникациях и энергетике.

Протестировать Пассворк бесплатно можно здесь. Подробнее о сертификате — в блоге Пассворка.

Реклама.
О рекламодателе.

Передаём файлы с молниеносной скоростью — нашли сервис для передачи чего угодно без регистрации, лимитов и загрузки на чужие сервера.

Lightning P2P — это бесплатная утилита для Windows и Android. Работает максимально просто: выбираете файл, отправляете человеку QR-код — и передача начинается сразу.

Главные фишки:

• Файлы не улетают в облако — они идут напрямую между устройствами.
• Работает не только в локальной сети, но и через интернет.
• Нет аккаунтов, рекламы и ограничений по размеру.

Перекидываемся файлами без головной боли — тут.

@killerfeat

Google провели I/O 2026 — свою главную ежегодную презентацию для разработчиков, где компания показывает, куда будет двигаться её экосистема в ближайший год.

Для вашего удобства ChatGPT собрал самое важное и интересное в одной инфографике.

Google I/O 2026: разбираю все главные анонсы — что реально доступно сегодня, а что только обещано
↘️ https://habr.com/ru/articles/1037076/
Author: nlaik

Собрали самое главное с Google I/O 2026

Как обычно, почти всё внимание сосредоточили на Gemini и других ИИ-фишках.

Целая пачка анонсов по Gemini:

› Omni — так называемая Nano Banana для видео
› Spark — аналог OpenClaw
› 3.5 Flash — первая модель семейства Gemini 3.5
› Редизайн интерфейса в приложении

Среди других анонсов: вайбкодинг Android-приложений в AI Studio, умные очки от Google и Samsung и, как говорят, самое большое обновление «Поиска» в истории.

Подробнее:
↘️ rozetked.me/articles/46183

Вышла видеомодель Gemini Omni Flash — правит видео так же, как текст в чате
↘️ https://habr.com/ru/news/1037084/

ИИ собрал рабочую ОС за 12 часов: представлена Gemini 3.5 Flash
↘️ https://habr.com/ru/news/1037062/

Google убрал из Gemini Думающую модель. Обзор обновления Gemini
↘️ https://habr.com/ru/articles/1036848/
Author: dashsk
...

OpenAI наконец разрешили дружить с другими

С 27 апреля Microsoft и OpenAI официально не эксклюзивные партнёры. Шесть лет особых отношений — и вот, свободная касса. Те же модели по тому же API скоро появятся через AWS Bedrock. CEO Amazon уже подтвердил.

Лицензия Microsoft никуда не делась — просто стала неэксклюзивной и теперь действует до 2032 года. Раньше было «до достижения AGI». А так как AGI всё никак не получается, конкретная дата куда практичнее.

Azure всё ещё «первый» — но если Microsoft не успеет поддержать новые возможности, продукт выйдет сразу на Bedrock или Google Cloud. Приятный стимул не тормозить.

@your_tech (теперь ещё в VK и Max)

ИИ тормозит не потому что нет видеокарт, а потому что ест мусор

Пока индустрия переживала за дефицит чипов, главная проблема оказалась в другом. Исследователи из Мичигана и Bessemer написали в Fortune: следующее поколение AI упирается не в вычисления, а в данные.

«Больше данных — умнее модель» работало, пока можно было пылесосить интернет. Для физического AI — роботов, автономного транспорта — это уже не вариант: физику не скачаешь.

Данные бывают формально валидными, но бесполезными — junk data. Именно поэтому OpenAI Sora тихо отправили в архив: world model просто не понимала физику.

Авторы предлагают переключить гонку: с объёма — на инструменты чистки данных. Похоже, следующий дефицит будет не в чипах, а в нормальных наборах данных.

@your_tech (теперь ещё в VK и Max)

Cloudflare переписала Next.js за неделю и $1 100

Один инженер, ИИ-агент и немного токенов — и вот у вас замена одному из самых сложных веб-фреймворков. Cloudflare взяла Next.js, выбросила проприетарный Turbopack, заменила его на Vite и получила vinext — инструмент, который деплоится в Cloudflare Workers одной командой. На всё ушла одна рабочая неделя.

А теперь главная часть: Vercel оценивается в $9 млрд, и ключевое конкурентное преимущество там всегда строилось на том, что формат сборки Next.js — проприетарный и недокументированный. То есть официально открытый фреймворк, но деплоить его удобно только на Vercel. Умная схема. Была.

vinext покрывает 94% API Next.js, обещает сборку до 4 раз быстрее и бандлы на 57% меньше. Официально — экспериментальная. Но вопрос уже не в этом: ИИ только что показал, что «несколько лет инженерного труда» стоят примерно тысячу долларов.

@your_tech (теперь ещё в VK и Max)

arXiv начал банить авторов на год за непроверенные ИИ-тексты

Томас Дитерих, руководитель раздела computer science на arXiv, сформулировал это просто: если в препринте есть неопровержимые следы того, что авторы не проверили результат языковой модели — доверять нельзя ничему в этой статье. Не конкретному абзацу. Всей статье.

Доказательствами «халатности» считаются два артефакта: галлюцинированные ссылки на несуществующие работы и незачищенные фрагменты диалога с моделью прямо в тексте. То есть кто-то опубликовал препринт, не удалив из него «Конечно! Вот ваш параграф о квантовой запутанности».

После бана все последующие препринты автора обязаны сначала пройти рецензирование в признанном журнале. Использование ИИ как инструмента не запрещено — запрещено снимать с себя ответственность за результат.

Прогресс, в общем.

@your_tech (теперь ещё в VK и Max)

xAI выпустила ИИ-агент для кодинга за $300 в месяц

Grok Build, первый coding-агент от xAI, работает из командной строки: скачиваешь, логинишься, запускаешь прямо в терминале. Есть план-режим (агент показывает, что собирается сделать, прежде чем что-то сломать), поддержка MCP-серверов и существующих рабочих процессов.

Цена доступа: $300 в месяц, только для подписчиков SuperGrok Heavy. Для сравнения: Cursor Pro стоит $20, Claude Code от $20, Codex CLI входит в ChatGPT Pro за $200. То есть в 15 раз дороже Cursor. Маск, по всей видимости, нацеливается на «профессиональную разработку» — это когда вы уже не считаете деньги.

Подробнее о Grok Build на Tproger.

@your_tech (теперь ещё в VK и Max)

За 22 минуты один аккаунт переписал 317 пакетов

Есть такая уязвимость в npm: если атакующий публикует версию 3.2.7, а у вас стоит ^3.0.6, пакет-менеджер молча подтянет вредоносную версию при следующей чистой установке. Тег latest при этом можно вообще не трогать.

Именно это произошло 19 мая с аккаунтом atool. 637 вредоносных версий, 317 пакетов, десятки миллионов загрузок в месяц — всё за 22 минуты. В списке echarts-for-react, size-sensor, пакеты @antv. Payload крадёт AWS-ключи, GitHub PAT, SSH-ключи, данные из 1Password и Bitwarden. Уходит двумя путями: через зашифрованные Git-объекты в публичных репозиториях и под видом OpenTelemetry-трейсов.

Отдельный бонус: вредонос внедряет хуки в Claude Code и Codex. Ваш ИИ-ассистент может оказаться первым, кто об этом узнает.

@your_tech (теперь ещё в VK и Max)

Anthropic выпустила self-hosted сэндбоксы для агентов — данные у вас, мозг у нас

Anthropic выпустила self-hosted сэндбоксы и MCP-туннели для корпоративных агентов. Инструменты крутятся на инфраструктуре клиента: Cloudflare, Daytona, Modal, Vercel. Логика агента при этом по-прежнему живёт на стороне Anthropic. «Полный контроль над данными» — при условии, что половина пайплайна у нас.

MCP-туннели решают проблему внутренних сервисов, которые не торчат в интернет: шлюз поднимается внутри приватной сети и сам тянется к Anthropic одним исходящим соединением. Порты наружу открывать не нужно. Директор по безопасности наконец может спать спокойно.

@your_tech (теперь ещё в VK и Max)

Copy Fail: ядро Linux заботливо открывает root через криптосокет

В Linux с 2017 года живёт модуль algif_aead — он позволяет работать с криптоAPI ядра прямо из страниц page-cache, без лишних копий. Оптимизация разумная. Последствия — предсказуемые в ретроспективе.

CVE-2026-31431 «Copy Fail»: открываете AF_ALG-сокет (никаких прав не нужно), дёргаете splice(), получаете 4-байтовую запись в page-cache, тихо подменяете несколько байт в /usr/bin/su — и вот у вас root shell. Рабочий PoC уже опубликован.

Затронуты Ubuntu 24.04, RHEL 10.1, SUSE 16, Amazon Linux 2023. Mainline-патч влили 1 апреля, но до пакетов дистрибутивов он так и не добрался. Пока — отключайте algif_aead через modprobe.d, в контейнерах блокируйте AF_ALG через seccomp.

@your_tech (теперь ещё в VK и Max)

В ядре Linux нашли способ получить root — без гонки, без привилегий, просто так

Исследователь из Zellic обнаружил уязвимость Fragnasia (CVE-2026-46300) в подсистеме XFRM — той, что отвечает за IPsec. Логическая ошибка в обработке ESP-пакетов поверх TCP позволяет записывать произвольные байты в page cache файлов «только для чтения». Например, в /usr/bin/su. После чего — привет, root.

Никакого состояния гонки, никаких предварительных прав. Просто был обычный локальный пользователь, и вот уже нет. PoC-эксплойт автор выложил сразу с отчётом — работает.

Fragnasia входит в новый класс Dirty Frag, о котором стало известно неделей ранее, но это отдельный баг с отдельным патчем. Затронуты все ядра до 13 мая 2026 года.

Временная мера — выгрузить esp4, esp6 и rxrpc. Ломает IPsec и AFS.

@your_tech (теперь ещё в VK и Max)

GitHub подтвердил несанкционированный доступ к своим внутренним репозиториям из-за заражённого устройства сотрудника
↘️ https://habr.com/ru/news/1037148/

Атакующие получили доступ к внутренним репозиториям GitHub и OpenAI

Сервис GitHub предупредил о выявлении неавторизированного доступа к своим внутренним репозиториям.
Причиной стала компрометация рабочей станции одного из сотрудников, установившего новую версию одного из расширений к редактору кода VS Code, в которую был интегрирован вредоносный код.
Подробности обещают опубликовать после завершения разбирательства.

По предварительным данным информация пользователей, хранимая вне внутренних репозиториев GitHub, не пострадала.
↘️ https://www.opennet.ru/opennews/art.shtml?num=65484

Читайте также:

Взлом GitHub-репозиториев Grafana Labs: как атака на цепочку поставок npm привела к краже кодовой базы и вымогательству
↘️ https://habr.com/ru/articles/1037180/
Author: stnkv-it
...

ИИ-агенты за пределами чат-бота: платформа, мультиагентность, безопасность и путь в прод — новый выпуск подкаста ГНИВЦ #habr
https://habr.com/ru/companies/gnivc/news/1037538/
Tags: ии-агенты, мультиагентные системы, llm, rag, prompt-инжиниринг, безопасность ии, jailbreak, суверенный ии, ai-платформа, mlops