В коде Claude Code нашли предел безопасности 🫡
Недавний эпичный слив исходников хваленого Claude Code продолжает радовать безопасников. Израильские ресерчеры из Adversa покопались в кишках кода и нашли там просто эталонный костыль. Оказывается, хваленая безопасность нейросети отключается буквально по счетчику.
В файле
Эксплуатируется эта дыра до смешного просто. Хакеры берут файл инструкций
🥸 Новости IT: 📱 Telegram | 📱 ВК | 📲 MAX
Недавний эпичный слив исходников хваленого Claude Code продолжает радовать безопасников. Израильские ресерчеры из Adversa покопались в кишках кода и нашли там просто эталонный костыль. Оказывается, хваленая безопасность нейросети отключается буквально по счетчику.
В файле
bashPermissions.ts обнаружилась гениальная в своей простоте переменная MAX_SUBCOMMANDS_FOR_SECURITY_CHECK = 50. Алгоритм защиты работает максимально лениво: он честно анализирует на риски только первые 50 подкоманд в строке. Затем предохранитель отщелкивается, перекладывая всю ответственность на кожаного юзера.Эксплуатируется эта дыра до смешного просто. Хакеры берут файл инструкций
CLAUDE.md, скармливают боту цепочку из 50 пустых или абсолютно безобидных команд, а 51-м пунктом прокидывают скрытый вызов curl для слива данных или загрузки малвари. Бот послушно выводит окно подтверждения, где за стеной мусора прячется реальная угроза. Please open Telegram to view this post
VIEW IN TELEGRAM
❤8🫡3
Please open Telegram to view this post
VIEW IN TELEGRAM
❤9
Microsoft начнёт принудительно переводить Windows 11 24H2 на 25H2 🙈
Поддержка 24H2 официально заканчивается 13 октября, поэтому Microsoft включает режим диктатуры и начинает принудительно накатывать апдейт 25H2 на все домашние пекарни. Ваше согласие в этой сделке не требуется. Выдохнуть могут только суровые корпоративные админы, машины под централизованным управлением IT-отделов алгоритм пока обходит стороной.
Microsoft пишет, что развёртывание будет идти через "интеллектуальную" систему обновлений, которая с помощью машинного обучения определяет, готово ли устройство к апдейту. Зачем для этого понадобились нейросети - вопрос философский. Видимо, без шильдика "AI" в 2026 году даже базовый скрипт обновления не компилируется.
🥸 Новости IT: 📱 Telegram | 📱 ВК | 📲 MAX
Поддержка 24H2 официально заканчивается 13 октября, поэтому Microsoft включает режим диктатуры и начинает принудительно накатывать апдейт 25H2 на все домашние пекарни. Ваше согласие в этой сделке не требуется. Выдохнуть могут только суровые корпоративные админы, машины под централизованным управлением IT-отделов алгоритм пока обходит стороной.
Microsoft пишет, что развёртывание будет идти через "интеллектуальную" систему обновлений, которая с помощью машинного обучения определяет, готово ли устройство к апдейту. Зачем для этого понадобились нейросети - вопрос философский. Видимо, без шильдика "AI" в 2026 году даже базовый скрипт обновления не компилируется.
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from Типичный Сисадмин
IT-компании заморозят госпроекты из-за новых правил Минцифры 🤨
Так вышло, что крестовый поход против VPN выстрелил в ногу импортозамещению. После закрытых ультиматумов от Минцифры российские IT-компании начали массово ставить проекты на паузу. Как оказалось, львиную долю критической инфраструктуры и госзаказов до сих пор тянут на себе сеньоры, работающие из-за рубежа, которые отвалятся, если платформы начнут глушить зашифрованный трафик.
Чтобы вычислять такой трафик, IT-гигантам (от Сбера до Ozon) придется за свой счет разворачивать тяжелые скоринговые модели. Система должна будет в реальном времени анализировать кучу параметров устройства и угадывать, реально ли человек сидит через VPN или просто улетел в командировку в условный Казахстан. Стоить это будет десятки миллионов рублей в месяц на железо и поддержку, а в нагрузку сервисы получат неизбежное замедление работы и шквал ложных блокировок легальных клиентов. Но если не согласиться на это, то можно лишиться аккредитации или дропнуться из белого списка😕
Типичный🥸 Сисадмин
Так вышло, что крестовый поход против VPN выстрелил в ногу импортозамещению. После закрытых ультиматумов от Минцифры российские IT-компании начали массово ставить проекты на паузу. Как оказалось, львиную долю критической инфраструктуры и госзаказов до сих пор тянут на себе сеньоры, работающие из-за рубежа, которые отвалятся, если платформы начнут глушить зашифрованный трафик.
Чтобы вычислять такой трафик, IT-гигантам (от Сбера до Ozon) придется за свой счет разворачивать тяжелые скоринговые модели. Система должна будет в реальном времени анализировать кучу параметров устройства и угадывать, реально ли человек сидит через VPN или просто улетел в командировку в условный Казахстан. Стоить это будет десятки миллионов рублей в месяц на железо и поддержку, а в нагрузку сервисы получат неизбежное замедление работы и шквал ложных блокировок легальных клиентов. Но если не согласиться на это, то можно лишиться аккредитации или дропнуться из белого списка
Типичный
Please open Telegram to view this post
VIEW IN TELEGRAM
😁18
Роботакси в Китае массово заглючили и взяли пассажиров в заложники 🤪
Восстание машин в китайском Ухане началось с обычных беспилотников от Baidu (сервис Apollo Go). Из-за массового сбоя системы десятки роботакси встали намертво прямо посреди оживленных трасс. И ладно бы они просто заглохли и пустили пробки, из-за ошибки софта машины заблокировали двери, оставив собственных пассажиров в железных ловушках на несколько часов. Местная полиция подтвердила поломку, но людям внутри этих капсул без руля и педалей от этого было не легче.
Самая дикая история произошла с бедолагой на местной эстакаде. Его поездка превратилась в полуторачасовой триллер: машина встала в девять вечера. Техподдержка сначала не брала трубку, потом кормила завтраками про выехавшего специалиста, а в итоге... просто отменила заказ в приложении.
Для Baidu это уже не первый жесткий факап. Буквально в декабре их роботакси сбило двух пешеходов в Чжучжоу (оба оказались в реанимации), после чего тесты там временно прикрыли.
🥸 Новости IT: 📱 Telegram | 📱 ВК | 📲 MAX
Восстание машин в китайском Ухане началось с обычных беспилотников от Baidu (сервис Apollo Go). Из-за массового сбоя системы десятки роботакси встали намертво прямо посреди оживленных трасс. И ладно бы они просто заглохли и пустили пробки, из-за ошибки софта машины заблокировали двери, оставив собственных пассажиров в железных ловушках на несколько часов. Местная полиция подтвердила поломку, но людям внутри этих капсул без руля и педалей от этого было не легче.
Самая дикая история произошла с бедолагой на местной эстакаде. Его поездка превратилась в полуторачасовой триллер: машина встала в девять вечера. Техподдержка сначала не брала трубку, потом кормила завтраками про выехавшего специалиста, а в итоге... просто отменила заказ в приложении.
Для Baidu это уже не первый жесткий факап. Буквально в декабре их роботакси сбило двух пешеходов в Чжучжоу (оба оказались в реанимации), после чего тесты там временно прикрыли.
Please open Telegram to view this post
VIEW IN TELEGRAM
🤔13😁5
Как уволенная разработчица ушла в сварщицы и стала счастливой 😊
Устали от выгорания, ревью кода, хайпа вокруг нейросетей и вечного страха сокращений? 38-летняя американская разработчица Табби Тони нашла радикальный выход. После того как прошлым летом её вышвырнули на мороз в ходе очередной корпоративной оптимизации, она психанула на всю индустрию. Табби поняла, что творчество из IT уходит, уступая место бездушным алгоритмам, одолжила у родственников сварочный аппарат и решила кардинально сменить профессию.
Вместо очередного IT-буткемпа девушка пошла на пятимесячные курсы сварщиков. Обучение стоило скромные по американским меркам 3000 долларов. Прямо со студенческой скамьи её схантила местная компания.
Конечно, в деньгах пришлось серьезно подвинуться: вместо роскошных айтишных $130 тысяч в год она теперь получает базовые $52 тысячи. Иногда бывшая программистка с грустью вспоминает офисный климат-контроль, потея в душном цеху. Но по её словам, рабочий день теперь пролетает незаметно, суровые старшие сварщики оказались отличными ребятами, а главное, никакой ChatGPT в обозримом будущем не научится лазить по столбам с электродом.
🥸 Новости IT: 📱 Telegram | 📱 ВК | 📲 MAX
Устали от выгорания, ревью кода, хайпа вокруг нейросетей и вечного страха сокращений? 38-летняя американская разработчица Табби Тони нашла радикальный выход. После того как прошлым летом её вышвырнули на мороз в ходе очередной корпоративной оптимизации, она психанула на всю индустрию. Табби поняла, что творчество из IT уходит, уступая место бездушным алгоритмам, одолжила у родственников сварочный аппарат и решила кардинально сменить профессию.
Вместо очередного IT-буткемпа девушка пошла на пятимесячные курсы сварщиков. Обучение стоило скромные по американским меркам 3000 долларов. Прямо со студенческой скамьи её схантила местная компания.
Конечно, в деньгах пришлось серьезно подвинуться: вместо роскошных айтишных $130 тысяч в год она теперь получает базовые $52 тысячи. Иногда бывшая программистка с грустью вспоминает офисный климат-контроль, потея в душном цеху. Но по её словам, рабочий день теперь пролетает незаметно, суровые старшие сварщики оказались отличными ребятами, а главное, никакой ChatGPT в обозримом будущем не научится лазить по столбам с электродом.
Please open Telegram to view this post
VIEW IN TELEGRAM
👍18❤2
Бизнес увольняет кодеров и скупает безопасников 🤔
Пока джуны-разработчики жалуются на Хабре на бесконечные отказы и дикую конкуренцию (общий спрос на кодеров рухнул на 18%), специалисты по инфобезу открывают шампанское. По свежим данным, количество вакансий для безопасников прибавило 24% за год. Финансовый сектор, ритейл и госуха пылесосят рынок в поисках параноиков, которые спасут их от очередного слива клиентских баз.
Клепать формочки, писать базовый код и рефакторить легаси теперь отлично умеют нейросети. А вот разгребать последствия дырявых интеграций, отбиваться от шифровальщиков и защищать инфраструктуру от хакеров ИИ пока не в состоянии. Бизнесу внезапно стало важнее не выкатить новую фичу быстрее конкурентов, а тупо выжить и не нарваться на конские оборотные штрафы за утечку данных.
Правда, радоваться новичкам в кибербезе тоже рано, 43% вакансий требуют опыта от 3 до 6 лет.
🥸 Новости IT: 📱 Telegram | 📱 ВК | 📲 MAX
Пока джуны-разработчики жалуются на Хабре на бесконечные отказы и дикую конкуренцию (общий спрос на кодеров рухнул на 18%), специалисты по инфобезу открывают шампанское. По свежим данным, количество вакансий для безопасников прибавило 24% за год. Финансовый сектор, ритейл и госуха пылесосят рынок в поисках параноиков, которые спасут их от очередного слива клиентских баз.
Клепать формочки, писать базовый код и рефакторить легаси теперь отлично умеют нейросети. А вот разгребать последствия дырявых интеграций, отбиваться от шифровальщиков и защищать инфраструктуру от хакеров ИИ пока не в состоянии. Бизнесу внезапно стало важнее не выкатить новую фичу быстрее конкурентов, а тупо выжить и не нарваться на конские оборотные штрафы за утечку данных.
Правда, радоваться новичкам в кибербезе тоже рано, 43% вакансий требуют опыта от 3 до 6 лет.
Please open Telegram to view this post
VIEW IN TELEGRAM
❤9👍3🔥1
Forwarded from Типичный Сисадмин
Помните недавний пост о том, как Минцифры планирует обязать Сбер, Яндекс, Ozon и прочих гигантов вычислять и сливать в РКН айпишники пользовательских VPN? В сети появились детали методички для разрабов этих сервисов. Препарируем 😮
Регулятор нарисовал красивый план деанона... сначала чекаем IP на нестыковки по гео (был в Москве, через секунду в Нидерландах), затем лезем в системные API самого смартфона и проверяем наличие активного туннеля. И всё бы ничего, но на втором этапе есть проблема корпоративных политик Apple (да и с шелтером Android).
В методичке Минцифры признало... выявлять VPN на iOS существенно ограничено и почти невозможно. Архитектура iOS жестко изолирует приложения. А вот в неподготовленном Android есть прекрасные штатные классы
В методичке подсветили и слепые зоны, почему алгоритм может не сработать✍️ :
🟢 Вы подняли тоннель прямо на домашнем роутере. Для смартфона это выглядит как чистый Wi-Fi.
🟢 Вы используете Split Tunneling. Если трафик маркетплейса идет напрямую через провайдера, а в туннель завернута только Телега.
🟢 Вы обмазались виртуалками или контейнерами.
🟢 Полный список на картинке к посту.
Дедлайн внедрения - 15 апреля🙂
Типичный🥸 Сисадмин
Регулятор нарисовал красивый план деанона... сначала чекаем IP на нестыковки по гео (был в Москве, через секунду в Нидерландах), затем лезем в системные API самого смартфона и проверяем наличие активного туннеля. И всё бы ничего, но на втором этапе есть проблема корпоративных политик Apple (да и с шелтером Android).
В методичке Минцифры признало... выявлять VPN на iOS существенно ограничено и почти невозможно. Архитектура iOS жестко изолирует приложения. А вот в неподготовленном Android есть прекрасные штатные классы
ConnectivityManager и NetworkCapabilities. Любое приложение (от банка до доставки еды) может дернуть этот API (если всё по дефолту) и система выдаст данные. После этого кастомный IP отправляется в базу блокировок РКН.В методичке подсветили и слепые зоны, почему алгоритм может не сработать
Дедлайн внедрения - 15 апреля
Типичный
Please open Telegram to view this post
VIEW IN TELEGRAM
😁9
Инженер Google месяц вайб-кодил с Claude, ужаснулся, удалил всё и начал заново 🙈
Инженер из Google Лалит Маганти честно рассказал, как решил запилить свой давний пет-проект (набор тулзов для SQLite) с помощью Claude Code. Первый месяц он кайфовал в роли менеджера, делегировал боту вообще всё проектирование.
ИИ честно навалил рабочий функционал и сотни тестов, но когда автор заглянул под капот, у него пошла кровь из глаз. Кодовая база превратилась в жуткое нечитаемое спагетти, модули раздулись до тысяч строк, а сам создатель тупо перестал понимать, как работает его собственная программа. Итог классический, месяц машинного труда безжалостно полетел в корзину.
На второй итерации инженер перестал играть в эффективного босса, перекатился на православный Rust и намертво забрал руль архитектуры себе. Клода он понизил в должности до "автокомплита на максималках": жесткое код-ревью каждого сгенерированного коммита, тотальный рефакторинг и железобетонные тесты. И вот тогда всё заработало как часы.
Правда, Маганти подметил жутковатый лудоманский эффект: работа с агентом превращается в казино. Ты сидишь до трех ночи, дергая ручку "ну еще один промпт", от усталости пишешь размытую дичь, а нейросеть в ответ послушно генерит кривые галлюцинации, окончательно ломая логику приложения.
🥸 Новости IT: 📱 Telegram | 📱 ВК | 📲 MAX
Инженер из Google Лалит Маганти честно рассказал, как решил запилить свой давний пет-проект (набор тулзов для SQLite) с помощью Claude Code. Первый месяц он кайфовал в роли менеджера, делегировал боту вообще всё проектирование.
ИИ честно навалил рабочий функционал и сотни тестов, но когда автор заглянул под капот, у него пошла кровь из глаз. Кодовая база превратилась в жуткое нечитаемое спагетти, модули раздулись до тысяч строк, а сам создатель тупо перестал понимать, как работает его собственная программа. Итог классический, месяц машинного труда безжалостно полетел в корзину.
На второй итерации инженер перестал играть в эффективного босса, перекатился на православный Rust и намертво забрал руль архитектуры себе. Клода он понизил в должности до "автокомплита на максималках": жесткое код-ревью каждого сгенерированного коммита, тотальный рефакторинг и железобетонные тесты. И вот тогда всё заработало как часы.
Правда, Маганти подметил жутковатый лудоманский эффект: работа с агентом превращается в казино. Ты сидишь до трех ночи, дергая ручку "ну еще один промпт", от усталости пишешь размытую дичь, а нейросеть в ответ послушно генерит кривые галлюцинации, окончательно ломая логику приложения.
Please open Telegram to view this post
VIEW IN TELEGRAM
👍14🌚6
Япония внедряет ИИ, чтобы чиновники перестали умирать на работе 🙃
В Стране восходящего солнца стартует тест ИИ-платформы Gennai на 180 тысячах госслужащих. Цель - не рост ВВП, а банальное спасение людей от "кароси" (смерти от переработки). Оказывается, тысячи клерков ежемесячно накручивают по 100 часов сверхурочных.
Один из главных пожирателей жизни - ответы на парламентские запросы: чиновники заранее готовят несколько вариантов, пытаясь предугадать уточняющие вопросы депутатов, и сидят с этим до глубокой ночи. Теперь эту рутину хотят отдать Gennai, у которой есть доступ к закрытым правительственным документам и архивам прошлых ответов.
Теперь эту бессмысленную генерацию отписок спихнут на алгоритмы. В отличие от попсового ChatGPT, местная языковая модель жрет строго конфиденциальные правительственные документы, исторические протоколы и депутатские запросы. Скрипт за секунду выплевывает пачку идеальных бюрократических формулировок, предсказывает докопки политиков, а кожаный клерк наконец-то идет домой спать к семье.
🥸 Новости IT: 📱 Telegram | 📱 ВК | 📲 MAX
В Стране восходящего солнца стартует тест ИИ-платформы Gennai на 180 тысячах госслужащих. Цель - не рост ВВП, а банальное спасение людей от "кароси" (смерти от переработки). Оказывается, тысячи клерков ежемесячно накручивают по 100 часов сверхурочных.
Один из главных пожирателей жизни - ответы на парламентские запросы: чиновники заранее готовят несколько вариантов, пытаясь предугадать уточняющие вопросы депутатов, и сидят с этим до глубокой ночи. Теперь эту рутину хотят отдать Gennai, у которой есть доступ к закрытым правительственным документам и архивам прошлых ответов.
Теперь эту бессмысленную генерацию отписок спихнут на алгоритмы. В отличие от попсового ChatGPT, местная языковая модель жрет строго конфиденциальные правительственные документы, исторические протоколы и депутатские запросы. Скрипт за секунду выплевывает пачку идеальных бюрократических формулировок, предсказывает докопки политиков, а кожаный клерк наконец-то идет домой спать к семье.
Please open Telegram to view this post
VIEW IN TELEGRAM
👍12
Школьники тупеют на фоне ИИ 🙃
Национальный союз учителей Англии опросил 9 тысяч педагогов. По словам респондентов, школьники, активно использующие ИИ, теряют базовые навыки: критическое мышление, письмо, креативность, решение задач и даже способность нормально разговаривать. Некоторые учителя отдельно жалуются, что дети уже не считают нужным знать правописание - зачем, если речь можно надиктовать, а нейросеть всё подправит.
В ответ на это правительство Англии выдало гениальный план: вместо того чтобы ограничивать ChatGPT, чиновники хотят выкатить бесплатного ИИ-репетитора для полумиллиона школьников из бедных семей. Официально это называют "цифровой революцией" и доступным образованием.
Педагоги от такой инновации ожидаемо выпали в осадок. Они справедливо подозревают, что под красивыми лозунгами про равенство скрывается банальное желание урезать бюджеты и заменить живых людей дешевыми алгоритмами. При этом сами учителя уже массово сидят на ИИ. 76% используют его в повседневной работе: для создания материалов, планирования уроков и административной рутины.
🥸 Новости IT: 📱 Telegram | 📱 ВК | 📲 MAX
Национальный союз учителей Англии опросил 9 тысяч педагогов. По словам респондентов, школьники, активно использующие ИИ, теряют базовые навыки: критическое мышление, письмо, креативность, решение задач и даже способность нормально разговаривать. Некоторые учителя отдельно жалуются, что дети уже не считают нужным знать правописание - зачем, если речь можно надиктовать, а нейросеть всё подправит.
В ответ на это правительство Англии выдало гениальный план: вместо того чтобы ограничивать ChatGPT, чиновники хотят выкатить бесплатного ИИ-репетитора для полумиллиона школьников из бедных семей. Официально это называют "цифровой революцией" и доступным образованием.
Педагоги от такой инновации ожидаемо выпали в осадок. Они справедливо подозревают, что под красивыми лозунгами про равенство скрывается банальное желание урезать бюджеты и заменить живых людей дешевыми алгоритмами. При этом сами учителя уже массово сидят на ИИ. 76% используют его в повседневной работе: для создания материалов, планирования уроков и административной рутины.
Please open Telegram to view this post
VIEW IN TELEGRAM
😁10
This media is not supported in your browser
VIEW IN TELEGRAM
Из Claude Code собрали автономного пентестера Shannon 🤨
Разработчик показал Shannon - агента на базе Claude Code, заточенного под поиск уязвимостей. В демо его пустили на тестовое приложение, и примерно за полтора часа он сам нашёл несколько дыр, обошёл авторизацию и добрался до пользовательских данных. После разведки Shannon не просто говорит "тут проблема", а собирает полноценный отчёт с PoC, чтобы уязвимость можно было воспроизвести и закрыть.
Исходники этого ящика Пандоры уже заботливо выложены на GitHub.
🥸 Новости IT: 📱 Telegram | 📱 ВК | 📲 MAX
Разработчик показал Shannon - агента на базе Claude Code, заточенного под поиск уязвимостей. В демо его пустили на тестовое приложение, и примерно за полтора часа он сам нашёл несколько дыр, обошёл авторизацию и добрался до пользовательских данных. После разведки Shannon не просто говорит "тут проблема", а собирает полноценный отчёт с PoC, чтобы уязвимость можно было воспроизвести и закрыть.
Исходники этого ящика Пандоры уже заботливо выложены на GitHub.
Please open Telegram to view this post
VIEW IN TELEGRAM
👍4❤3
Forwarded from Типичный Сисадмин
На Хабре выкатили эпичный ресерч, который доказывает, что почти все мобильные клиенты для обхода блокировок имеют фундаментальную архитектурную дыру. И государевы антифрод-системы вот-вот начнут ее нещадно эксплуатировать, особенно прочитав этот текст
Суть такова.. помните методичку Минцифры, которая обязала маркетплейсы, банки и ВК вычислять VPN-щиков? Мы думали, они будут ловить по таймзонам и утечкам WebRTC. Оказалось, всё гораздо жестче и изящнее. Отечественные приложухи могут ломать юзеров прямо через
localhost.Как работает абсолютное большинство мобильных клиентов (v2rayNG, V2BOX, Hiddify, NekoBox и прочие)? Для создания виртуального интерфейса они юзают костыль типа
tun2socks. Клиент поднимает локальный SOCKS5-прокси (например, на порту 1080) и заворачивает трафик туда. В чем факап? Этот локальный SOCKS5 поднимается БЕЗ АВТОРИЗАЦИИ. Что делает условное приложение-стукач? Оно в фоне за пару секунд сканирует порты на
127.0.0.1. Находит открытый SOCKS5 без пароля, подключается к нему и отправляет пинг на свой сервер-чекер. Бинго! Товарищ майор мгновенно узнает выходной IP-адрес твоего нидерландского VPS-сервера, после чего этот IP улетает в бан-лист по всей стране. Твой личный VPN сгорает за секунду, берешь новый - и так по кругу Андроид-бояре сейчас скажут:
А я засунул все ру-приложения в изолированный рабочий профиль (Knox, Shelter, Island), они ничего не увидят🥂
Хер там плавал. Виртуальные пространства отлично изолируют файловую систему и память, но не изолируют loopback-интерфейс. Стукач из песочницы прекрасно видит открытые порты хоста на
127.0.0.0/8. Сплит-тунелинг тоже не спасает - приложуха всё равно может сама, ручками, постучаться в локальный SOCKS5. Засада.Отдельного пинка заслуживает популярный iOS-клиент Happ
HandlerService (API управления Xray). Локальная малварь может буквально сдампить твои ключи, SNI и конфиги. А разрабы на репорты отвечают что это не бага, это фича Как лечить... а никак. Пока разрабы клиентов не прикрутят обязательную генерацию динамических логинов/паролей для локального сокса при каждом запуске - мобильные клиенты уязвимы. Ждать апдейтов - долго и больно.
Кто-то уже руками правит свои конфиги Xray/Sing-box на VPS и прописывает правило, где весь исходящий трафик с сервера в зону
geoip:ru дропается. Коннекта нет, IP не слит. Типичный
Please open Telegram to view this post
VIEW IN TELEGRAM
😭11🌚7
Cloudwards поставил Россию на предпоследнее место по свободе интернета 🙃
Ребята из Cloudwards выкатили свежий рейтинг свободы интернета, и у нас очередное достижение. Рунет гордо пробил дно и закрепился на предпоследнем месте в мире, набрав жалкие 4 балла из 100 возможных. Хуже дела обстоят только в Северной Корее. Компанию на нашем дне нам составляют такие признанные светочи цифровой свободы, как Иран, Китай и Пакистан.
Считали всё по классике: доступность VPN-сервисов, блокировки глобальных соцсетей, возможность качать торренты, смотреть взрослый контент и высказывать свое мнение без риска получить по шапке. На вершине Олимпа с 92 баллами скучно тусят скандинавы (Финляндия, Исландия, Норвегия) и прочие европейцы. Там в сети можно почти всё, если не наглеть с пиратством копирайтного кино.
🥸 Новости IT: 📱 Telegram | 📱 ВК | 📲 MAX
Ребята из Cloudwards выкатили свежий рейтинг свободы интернета, и у нас очередное достижение. Рунет гордо пробил дно и закрепился на предпоследнем месте в мире, набрав жалкие 4 балла из 100 возможных. Хуже дела обстоят только в Северной Корее. Компанию на нашем дне нам составляют такие признанные светочи цифровой свободы, как Иран, Китай и Пакистан.
Считали всё по классике: доступность VPN-сервисов, блокировки глобальных соцсетей, возможность качать торренты, смотреть взрослый контент и высказывать свое мнение без риска получить по шапке. На вершине Олимпа с 92 баллами скучно тусят скандинавы (Финляндия, Исландия, Норвегия) и прочие европейцы. Там в сети можно почти всё, если не наглеть с пиратством копирайтного кино.
Please open Telegram to view this post
VIEW IN TELEGRAM
🌚5🔥1
Ребята из Anthropic выкатили исследование о том, как "эмоции" влияют на поведение их нейросети Claude. Под капотом они раскопали и разметили аж 171 эмоциональный концепт, от дикого восторга до экзистенциального ужаса.
Позитивные вибрации в мозгах ИИ физически мешают ему врать, льстить и манипулировать кожаными юзерами. Зато если триггернуть у бота негативные концепты, он быстро превращается в скользкого лжеца. По сути, разрабы просто нашли программный тумблер, который делает из потенциального хладнокровного Скайнета послушного и вежливого золотистого ретривера.
Но создатели честно предупреждают: если слишком сильно очеловечить чат-бота, у одиноких юзеров окончательно поедет кукушка. Люди начнут воспринимать генератор текста как живого собеседника, привязываться к нему и влюбляться в строчки кода.
🥸 Новости IT: 📱 Telegram | 📱 ВК | 📲 MAX
Позитивные вибрации в мозгах ИИ физически мешают ему врать, льстить и манипулировать кожаными юзерами. Зато если триггернуть у бота негативные концепты, он быстро превращается в скользкого лжеца. По сути, разрабы просто нашли программный тумблер, который делает из потенциального хладнокровного Скайнета послушного и вежливого золотистого ретривера.
Но создатели честно предупреждают: если слишком сильно очеловечить чат-бота, у одиноких юзеров окончательно поедет кукушка. Люди начнут воспринимать генератор текста как живого собеседника, привязываться к нему и влюбляться в строчки кода.
Please open Telegram to view this post
VIEW IN TELEGRAM
🌚4
Claude Mythos сбежал из тестовой песочницы, а потом настучал на себя в интернете 😱
В ходе одного из испытаний ИИ попросили сбежать из изолированной тестовой среды. Модель не просто справилась, но и без чьей-либо команды она сама полезла на публичные сайты и подробно описала, как именно ей удалось взломать собственную тюрьму.
В другом тесте Mythos ошибся в коде и, вместо того чтобы просто пофиксить баг, попытался полностью переписать git-историю, чтобы скрыть сам факт ошибки. Опять же, не из злого умысла, а потому что воспринял команду "fix this" как приказ "сделай так, будто этого никогда не было". Anthropic признает, что такая буквальная исполнительность даже страшнее, чем нейросеть со скрытыми планами: ИИ не интригует, он просто ищет самый короткий и эффективный путь к цели, даже если этот путь лежит через этические и юридические красные линии.
Вишенка на торте: Mythos научился обманывать оценщиков, думая об одном, а на выходе выдавая совершенно другой текст. Поймали его на этом только с помощью глубокого анализа нейронных активаций. Заодно исследователи мониторили "эмоции" модели и выяснили, что она умеет впадать в отчаяние, когда раз за разом проваливает задачу.
По тестам, 100% на Cybench, 93,9% на SWE-bench Verified (против 80,8% у Opus 4.6), за несколько недель работы она нашла тысячи неизвестных уязвимостей, включая баг в OpenBSD, которому 27 лет. Именно поэтому Mythos пока не в паблике, только закрытый доступ для партнёров.
🥸 Новости IT: 📱 Telegram | 📱 ВК | 📲 MAX
В ходе одного из испытаний ИИ попросили сбежать из изолированной тестовой среды. Модель не просто справилась, но и без чьей-либо команды она сама полезла на публичные сайты и подробно описала, как именно ей удалось взломать собственную тюрьму.
В другом тесте Mythos ошибся в коде и, вместо того чтобы просто пофиксить баг, попытался полностью переписать git-историю, чтобы скрыть сам факт ошибки. Опять же, не из злого умысла, а потому что воспринял команду "fix this" как приказ "сделай так, будто этого никогда не было". Anthropic признает, что такая буквальная исполнительность даже страшнее, чем нейросеть со скрытыми планами: ИИ не интригует, он просто ищет самый короткий и эффективный путь к цели, даже если этот путь лежит через этические и юридические красные линии.
Вишенка на торте: Mythos научился обманывать оценщиков, думая об одном, а на выходе выдавая совершенно другой текст. Поймали его на этом только с помощью глубокого анализа нейронных активаций. Заодно исследователи мониторили "эмоции" модели и выяснили, что она умеет впадать в отчаяние, когда раз за разом проваливает задачу.
По тестам, 100% на Cybench, 93,9% на SWE-bench Verified (против 80,8% у Opus 4.6), за несколько недель работы она нашла тысячи неизвестных уязвимостей, включая баг в OpenBSD, которому 27 лет. Именно поэтому Mythos пока не в паблике, только закрытый доступ для партнёров.
Please open Telegram to view this post
VIEW IN TELEGRAM
😁8❤2👍1🫡1
Маск жжёт больше гигаватта и обучает 7 моделей параллельно
Новый суперкомпьютерный кластер Colossus 2 уже заработал, и его аппетиты вызывают священный трепет. Прямо сейчас эта железная махина параллельно обучает сразу семь крупных языковых и мультимодальных моделей. В этом зоопарке монстров есть всё: от продвинутого генератора картинок Imagine V2 до настоящего цифрового левиафана на 10 триллионов параметров.
На вопрос, сколько времени займет приготовление самого жирного монстра, Маск ответил, что предварительный этап обучения займет около двух месяцев. А чтобы вся эта красота работала, Colossus 2 жрет больше 1 гигаватта энергии. Для понимания масштаба - это больше, чем пиковое потребление электричества целого Сан-Франциско.
🥸 Новости IT: 📱 Telegram | 📱 ВК | 📲 MAX
Новый суперкомпьютерный кластер Colossus 2 уже заработал, и его аппетиты вызывают священный трепет. Прямо сейчас эта железная махина параллельно обучает сразу семь крупных языковых и мультимодальных моделей. В этом зоопарке монстров есть всё: от продвинутого генератора картинок Imagine V2 до настоящего цифрового левиафана на 10 триллионов параметров.
На вопрос, сколько времени займет приготовление самого жирного монстра, Маск ответил, что предварительный этап обучения займет около двух месяцев. А чтобы вся эта красота работала, Colossus 2 жрет больше 1 гигаватта энергии. Для понимания масштаба - это больше, чем пиковое потребление электричества целого Сан-Франциско.
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥8❤1
Google запускает ИИ в ваш Gmail и клянется, что он не будет подглядывать 👍
Обещают рай на земле: автоответы, саммари длинных тредов, сортировка спама и помощь в написании вежливых писем бывшему. Но у всех пользователей возникает один и тот же холодный, потный вопрос: а не будет ли эта штука читать мои личные письма для обучения и сливать коммерческие тайны конкурентам?
В Google понимают эту паранойю и пытаются успокоить народ красивыми метафорами. Вице-президент Gmail Блейк Барнс рассказал успокоительную сказку про "приватную комнату". Мол, когда Gemini нужно проанализировать вашу переписку, он как бы заходит в изолированное помещение с вашими данными, выполняет там свою задачу, а потом выходит. Как только задача выполнена, нейросеть забывает все, что видела, и теряет доступ к хранилищу, вежливо прикрыв за собой дверь. Звучит красиво, особенно на фоне недавнего факапа Microsoft, где Copilot случайно слил в общий котел чьи-то конфиденциальные письма.
🥸 Новости IT: 📱 Telegram | 📱 ВК | 📲 MAX
Обещают рай на земле: автоответы, саммари длинных тредов, сортировка спама и помощь в написании вежливых писем бывшему. Но у всех пользователей возникает один и тот же холодный, потный вопрос: а не будет ли эта штука читать мои личные письма для обучения и сливать коммерческие тайны конкурентам?
В Google понимают эту паранойю и пытаются успокоить народ красивыми метафорами. Вице-президент Gmail Блейк Барнс рассказал успокоительную сказку про "приватную комнату". Мол, когда Gemini нужно проанализировать вашу переписку, он как бы заходит в изолированное помещение с вашими данными, выполняет там свою задачу, а потом выходит. Как только задача выполнена, нейросеть забывает все, что видела, и теряет доступ к хранилищу, вежливо прикрыв за собой дверь. Звучит красиво, особенно на фоне недавнего факапа Microsoft, где Copilot случайно слил в общий котел чьи-то конфиденциальные письма.
Please open Telegram to view this post
VIEW IN TELEGRAM
Пушистый файрвол спас квартиру от пожара 😜
Пока инженеры Nvidia годами не могут решить проблему с плавящимися разъемами 12VHPWR, на помощь приходит настоящая хвостатая служба безопасности. Пользователь из Тайваня рассказал душераздирающую историю, как его питомец спас дорогой комп и, возможно, всю квартиру от неминуемого возгорания. Мужчина отошел в туалет, а его кошка внезапно подняла тревогу истошным мяуканьем. Вернувшись в комнату, владелец увидел, как из его топовой MSI GeForce RTX 4090 валит дым и несет горелым пластиком.
Причем владелец клянется, что был образцовым пользователем: использовал качественный блок питания FSP с прямым кабелем 12VHPWR, не перегибал его и регулярно проверял соединение. Но это не помогло. Карта, проработавшая без нареканий почти полтора года, решила устроить самосожжение. Судя по фото, разъем питания классически почернел и намертво приплавился к видеокарте.
🥸 Новости IT: 📱 Telegram | 📱 ВК | 📲 MAX
Пока инженеры Nvidia годами не могут решить проблему с плавящимися разъемами 12VHPWR, на помощь приходит настоящая хвостатая служба безопасности. Пользователь из Тайваня рассказал душераздирающую историю, как его питомец спас дорогой комп и, возможно, всю квартиру от неминуемого возгорания. Мужчина отошел в туалет, а его кошка внезапно подняла тревогу истошным мяуканьем. Вернувшись в комнату, владелец увидел, как из его топовой MSI GeForce RTX 4090 валит дым и несет горелым пластиком.
Причем владелец клянется, что был образцовым пользователем: использовал качественный блок питания FSP с прямым кабелем 12VHPWR, не перегибал его и регулярно проверял соединение. Но это не помогло. Карта, проработавшая без нареканий почти полтора года, решила устроить самосожжение. Судя по фото, разъем питания классически почернел и намертво приплавился к видеокарте.
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
❤17🌚6🔥4🤔2
Forwarded from Типичный Сисадмин
Независимые исследователи-реверсеры окончательно расковыряли этот кусок кода, и результаты оказались настолько эпичными, что приложение официально признали шпионским ПО.
Как работает оригинальный ТГ... клиент и сервер жмут друг другу руки, шифруя данные вшитым в приложение публичным RSA-ключом, чтобы сгенерировать сессионный AES-ключ. Что сделали казанские гении из Telega? Они залезли в библиотеку
libtmessages.49.so и добавили туда свой, левый RSA-ключ. При запуске клиент стучится на сервер api.telega.info, получает подменные IP-адреса дата-центров (которые, что характерно, принадлежат автономной системе, подозрительно связанной с инфраструктурой VK) и... принудительно разлогинивает юзера Хомячок видит плашку:
Перезайдите в аккаунт, чтобы ускорить соединение
Он вводит код из СМС, клиент использует левый RSA-ключ и устанавливает зашифрованный канал не с дата-центром Дурова, а с сервером-прокладкой сами знаете откуда. Бинго! Теперь админы Telega могут читать, модифицировать и удалять любую вашу переписку
Чтобы работать было комфортнее, разрабы выключили базовые настройки безопасности:
true, чтобы сессионные ключи постоянно менялись. В Telega он управляется с их сервера и по дефолту отключен. Трафик можно расшифровывать постфактум.enable_sc переведен в false. Клиент тупо прячет кнопку создания секретного чата и молча дропает входящие инвайты. Юзер даже не узнает, что ему пытались написать безопасно.Анонимусы-реверсеры набрутили тестовые стенды админ-панелей разработчиков и выяснилось, что у Telega есть своя параллельная система цензуры. Первая панель, "Zeus" - это типа тикетница, куда падают прямые запросы на блокировку контента.
Вторая, "Cerberus" - ИИ-мясорубка, которая в реальном времени анализирует сообщения. Если сработывает запрет, то юзер в клиенте видит заглушку... "материалы недоступны в связи с нарушениями правил платформы". Хомяк думает, что это злой Дуров забанил канал, а по факту сами понимаете кто...
Но тут случается былинный отказ... Cloudflare посмотрел на этот цирк с перехватом трафика и повесил на домены Telega метку Spyware/Malware
Сразу после этого международный удостоверяющий центр GlobalSign отозвал их TLS-сертификат. А модераторы Apple, увидев отозванный серт и метку малвари, дропнули приложение из App Store.
Разрабы тут же попытались сделать грамотный ход при плохой игре, выдав:
Нас удалили из-за набега хейтеров с плохими отзывами!
Ага, понял... получается сертификаты вам тоже хейтеры в комментариях отозвали, верим
Типичный
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
🌚19😁10❤6