🤯 Фальшивый Signal подвёл Белый дом

Американские госструктуры попались на подмену — вместо настоящего Signal использовали TM SGNL от TeleMessage. Приложение позиционировали как безопасный корпоративный мессенджер с возможностью архивирования, но оказалось, что шифрование там не сквозное, а уязвимостей — хоть экспортируй.

CISA срочно включила TM SGNL в каталог эксплуатируемых уязвимостей. Через /heapdump можно было вытащить дамп памяти (CVE-2025-48927), а при локальном доступе — достать чувствительные данные и пароли (CVE-2025-48928). Метаданные и переписка минимум 60 госслужащих уже утекли, включая сотрудника Белого дома и представителей Секретной службы.

Скандал всплыл после инцидента «Signalgate» — когда советник по нацбезопасности случайно добавил журналиста в якобы Signal-чат по военной операции. Позже выяснилось: это был TM SGNL — и вся переписка, похоже, не только не удалилась, но и осталась у кого-то третьего.

🥸 godnoTECH - Новости IT

🤯 ИИ предложили угадать число и почти все ответили одинаково

Специалист из Capco предложил шести топовым ИИ назвать число от 1 до 50. И всё бы ничего, но почти все — ChatGPT, Claude, Gemini, LLaMA и другие — выдали один и тот же ответ: 27. Лишь Grok от xAI решил выделиться и выбрал «42» — классика для фанатов «Автостопом по Галактике».

Почему так? Модели не используют настоящий рандом. У них нет доступа к генераторам случайных чисел — они выбирают на основе вероятностей, «температуры» ответа и обучающих данных. Число 27, по мнению моделей, достаточно «естественное»: не в центре, не край, не слишком круглое.

В других тестах ИИ в диапазоне 1–10 часто выбирали 7, а в 1–100 — 37, 47 или 73. Вопрос «орёл или решка» тоже в тупике — ИИ не может честно подбросить монетку.

Так что если вам кажется, что ИИ «угадывает», — он просто статистически уверен в своих предпочтениях.

🥸 godnoTECH - Новости IT

😐 Найден баг, дающий root-доступ без sudoers

Обнаружена критическая уязвимость в утилите sudo (CVE-2025-32463), которая позволяет любому пользователю получить права root, даже если он не прописан в sudoers. Проблема уже подтверждена на Ubuntu 24.04 и Fedora 41.

Уязвимость связана с тем, как sudo работает в chroot-среде с опцией -R. Пользователь может подменить nsswitch.conf в своём каталоге и подсунуть туда вредоносную библиотеку, которую система загрузит до сброса привилегий. Всё — shell с правами root в кармане. Уязвимы версии с 1.8.33 по 1.9.17.

Проблема устранена в sudo 1.9.17p1. Апдейт уже выкатывают в дистрибутивах — проверь, доступен ли он у тебя.

Бонусом закрыли ещё одну дыру (CVE-2025-32462), через которую можно было обходить ограничения по хосту, если в sudoers настроен параметр host, отличный от ALL.

🥸 godnoTECH - Новости IT

🤨 ИИ ускоряет биопандемии

ИИ может в 5 раз повысить риск глобальной пандемии — к такому выводу пришли исследователи Rand Corporation по заказу DARPA. В докладе описаны сценарии, где генеративные ИИ упрощают разработку и распространение опасных патогенов.

LLM, вроде ChatGPT, потенциально способны помогать злоумышленникам: от выбора вируса до синтеза ДНК и разработки путей доставки. Даже при минимальной подготовке злоумышленники, имея доступ к ИИ с открытым API, получали пошаговые инструкции, включая схемы создания вирусов вроде оспы.

Особо тревожит не только биотерроризм, но и случайные утечки — лаборатории, использующие ИИ для ускорения науки, могут нечаянно выпустить патоген с «прокачанными» характеристиками заразности и устойчивости. Без регулирования такие технологии могут выйти из-под контроля.

Авторы доклада предлагают вводить фильтры на биоопасный контент, ограничивать доступ к чувствительной информации в LLM и усилить аудит ИИ в науке.

🥸 godnoTECH - Новости IT

🤨 Плагин Forminator подставил 400 000 сайтов на WordPress

В популярном WordPress-плагине Forminator нашли опасную уязвимость (CVE-2025-6463, 8.8 балла по CVSS), позволяющую без авторизации удалять любые файлы с сервера. Уязвимы все версии до 1.44.2 включительно.

Эксплойт прост: при отправке формы можно подменить путь до загруженного файла и указать, например, wp-config.php. Если админ удалит такую запись — вручную или автоматически — плагин послушно сотрёт конфигурационный файл, после чего сайт снова перейдёт в режим установки. А дальше злоумышленник может подключить сайт к своей базе и получить полный контроль.

Уязвимость нашёл исследователь Phat RiO — BlueRock и получил за находку $8100. 30 июня вышел фикс — версия 1.44.3. Там добавили валидацию путей и типов полей, теперь удалять файлы можно только из папки загрузок.

Плагин до сих пор активен на 600 000+ сайтах. Обновились только ~200 000 установок, остальные рискуют проснуться с «чистым» WordPress и чужой БД.

🥸 godnoTECH - Новости IT

😑 Интернет под угрозой из-за стареющего флота кабельных судов

Эксперты Infra-Analytics и TeleGeography предупредили: миру может не хватить судов для ремонта подводных кабелей. К 2040 году объем кабельной инфраструктуры вырастет в разы, а количество доступных сервисных кораблей — наоборот, просядет. Некоторые суда уже сейчас доживают 40-летний срок службы, а новые почти не строят.

По прогнозам, потребуется заменить минимум 15 судов до 2040 года, из них 5 — уже в ближайшие 5 лет. Особенно остро проблема будет ощущаться в юго-западной части Тихого океана. Там — аномально высокий спрос на ремонт, а флота почти нет. Общий счёт за замену и расширение — около $3 млрд.

Инвесторы не торопятся вкладываться: рынок нестабилен, контракты невыгодные, проще купить б/у судно и молиться. В это время корпорации вроде Meta* и Google тянут десятки тысяч км новых кабелей. Только у Meta* план — 40 000 км кабеля вокруг половины земного шара для себя любимой.

Если ничего не поменяется, вместо «упал DNS» будет «сломался кабель, судно не доплыло».

*признана экстремистской организацией, её деятельность в России запрещена

🥸 godnoTECH - Новости IT

😑 ИИ видит, но как будто не видит

Американские учёные представили RisingAttacK — метод, способный обмануть даже топовые модели компьютерного зрения. С его помощью можно заставить ИИ *не замечать* объекты на фото, хотя человек всё увидит без проблем. Машина, например, «не узнает» машину. И это не баг — это фича атаки.

Техника работает тонко: она слегка искажает ключевые признаки изображения, важные именно для нейросети, но делает это настолько незаметно, что глазами отличить невозможно. Проверяли на ResNet-50, DenseNet-121, ViT-B и DEiT-B — взлом прошёл успешно на всех.

Опасность очевидна. Автопилот не увидит пешехода. Камера в больнице поставит неверный диагноз. И да, это уже не sci-fi, а реальный proof-of-concept. Исследователи говорят: хотели найти уязвимость — и нашли. Теперь думают, как её закрыть.

🥸 godnoTECH - Новости IT

😑 ИИ научился думать как человек… и даже немного лучше

Исследователи из Helmholtz Munich представили Centaur — языковую модель, обученную не просто повторять человеческое поведение, а понимать, как мы принимаем решения. Модель названа в честь кентавра: наполовину ИИ, наполовину — ты с утра понедельника.

Centaur натренировали на 10+ миллионах решений из 160 психологических экспериментов. Она предсказывает не только выбор, но и время, за которое человек к нему придёт — с эмоциями, сомнениями и всеми этими «а вдруг».

Главное отличие от обычных моделей: Centaur может работать в незнакомых контекстах, без жёстких правил. Вместо угадайки — генерализация стратегий мышления. Это открывает новые возможности для психологии, медицины, социологии и даже госуправления. Да, звучит страшно.

Особый интерес — в области клиники: модель может симулировать мышление людей с депрессией, тревожностью и другим ментальным грузом. Врачи смогут лучше понять пациентов — без чтения мыслей, но близко.

Код модели будет открыт, локален и прозрачен. Так что Big Brother отдыхает, а ты сможешь сам проверить, как работает искусственный кентавр в голове.

🥸 godnoTECH - Новости IT

🙃 На площадке ИИ-гиганта Маска слишком много турбин

xAI Илона Маска наконец получила «добро» на запуск 15 газовых турбин для питания своего ИИ-суперкомпьютера Colossus в Мемфисе. Но на спутниковых снимках по-прежнему видно 24 установки — и это после того, как раньше их было аж 35.

Местные активисты и юристы бьют тревогу: часть оборудования до сих пор работает без системы контроля выбросов (BACT), что нарушает «Закон о чистом воздухе». Более того, регион уже страдает от повышенного уровня астмы и рака — в 4 раза выше среднего по США.

До 1 сентября xAI обязали установить BACT, а до конца года — отчитаться о каждой турбине: сколько часов работала, сколько раз запускалась, насколько дымно было. Разрешение действительно до 2027 года, но нарушать условия — себе дороже. Компания планирует второй ЦОД, но не раскрывает, как будет его питать. Намекают на 1,56-ГВт газовую ТЭС. Интересно, в ней тоже будет «немножко лишнего»?

🥸 godnoTECH - Новости IT

🤩 Microsoft просит не паниковать из-за ошибок Windows Firewall

После июньского обновления Windows 11 (24H2) пользователи начали замечать странные ошибки в Event Viewer — "Event 2042", "Config Read Failed", "More data is available". Всё это связано с брандмауэром Windows, но Microsoft уверяет: можно не волноваться.

Проблема вызвана экспериментальной функцией, которую пока не успели нормально встроить в систему. Ошибки появляются только в свежей версии Windows 11 и не влияют на безопасность или работу ОС. Чинить самому ничего не нужно, Microsoft уже разбирается.

За последние месяцы это не первый такой случай. Весной BitLocker ругался без причины, а WinRE выбрасывал ошибку 0x80070643. Видимо, Microsoft тестирует на нас не только ИИ, но и терпение.

🥸 godnoTECH - Новости IT

😱 PowerShell 2.0 уходит на покой окончательно

Microsoft начала вычищать PowerShell 2.0 из Windows 11 — сначала из инсайдерских сборок, а потом и из стабильных релизов. Поддержка этого ветерана командной строки тянулась с времён Windows 7, но даже в 2025 году он всё ещё находился в системе — ради обратной совместимости.

Версию признали устаревшей ещё в 2017-м, но ряд корпоративных решений, включая некоторые редакции SQL Server, продолжал на неё опираться. Теперь в Redmond решили: хватит. Без точных сроков, но с чётким намерением — удалить PowerShell 2.0 полностью.

Сейчас по умолчанию используется PowerShell 5.1, а для продвинутых задач — PowerShell 7.x, работающий на Windows, Linux и macOS. Он безопаснее, мощнее и уже давно всем доступен. Удаление старой версии снизит риски атак и упростит жизнь админам. Ну, почти всем.

👍 — Всё правильно, пора двигаться дальше
🙂 — А как теперь запускать старые скрипты?

🥸 godnoTECH - Новости IT

🤨 ИИ жрёт свет как не в себя и рушит энергосистемы

Hitachi Energy, крупнейший производитель трансформаторов, бьёт тревогу: ЦОД, обучающие ИИ, создают бешеные скачки потребления энергии, с которыми не справляется электросеть. Ни одна другая отрасль, по словам компании, не ведёт себя так нестабильно.

Когда запускается обучение, потребление может вырасти в 10 раз буквально за секунды. При этом возобновляемые источники энергии, сами по себе непостоянные, делают ситуацию ещё более хаотичной. В некоторых странах — например, в Ирландии и Нидерландах — из-за этого уже начали ограничивать строительство новых ЦОД.

Hitachi призывает разработать систему раннего оповещения для коммунальных служб и ограничивать пик мощности при обучении моделей. Альтернатива — масштабный коллапс энергосистем. К слову, трансформаторов уже не хватает: портфель заказов у Hitachi вырос с $14 до $43 млрд за три года. Строить новые мощности мешает даже нехватка рабочих, способных уложить пол под трансформатор весом в 300 тонн.

🥸 godnoTECH - Новости IT

👍 Путин подписал закон о Rustore на всех устройствах

Владимир Путин подписал закон, обязывающий при продаже смартфонов и планшетов в России обеспечивать установку и обновление приложений через единый магазин Rustore.

Раньше это был только проект, теперь — официально утверждённый закон. Теперь Rustore — не опция, а обязательный минимум на любом устройстве, продающемся в России.

Закон вступит в силу 1 сентября 2025 года.

🥸 godnoTECH - Новости IT

🧠 Малайзия и Таиланд попали под чип-контроль

Вашингтон решил прикрыть ещё одну лазейку в экспортных правилах: Минторг США хочет ограничить поставки продвинутых ИИ-чипов в Малайзию и Таиланд. Причина — через эти страны, по данным властей, чипы Nvidia и других компаний продолжают попадать в Китай, несмотря на запрет 2022 года.

Особое внимание к Малайзии связано с ростом импорта процессоров и активностью американских ИТ-компаний, включая Oracle. Под давлением США местные власти уже пообещали жёстче проверять поставки. Тем временем в Сингапуре идёт разбирательство: троих мужчин обвиняют в том, что они тайно переправили серверы с ИИ-чипами Nvidia через Малайзию.

Для своих Минторг США готов оставить послабления: ряд компаний из США и союзных стран смогут продолжить поставки в регион без лицензии в течение переходного периода. Это важно, потому что заводы в Юго-Восточной Азии участвуют в финальной упаковке чипов перед сборкой готовой техники.

🥸 godnoTECH - Новости IT

😐 ChatGPT занял второе место в симуляции космических полётов

ИИ от OpenAI занял второе место на соревновании по управлению космическими аппаратами — правда, пока только в симуляции. В рамках челленджа на базе Kerbal Space Program ChatGPT прошёл миссии на перехват спутника и уклонение от обнаружения, справившись без дообучения.

Исследователи просто описывали состояние корабля и задачи в текстовом виде, а LLM выдавала рекомендации. Специальный модуль переводил ответы модели в код для управления симуляцией. Несколько правильных промптов — и модель уже уверенно рулит в космосе. Первый в рейтинге, впрочем, оказался ИИ на других принципах.

Пока это эксперимент, и «галлюцинации» никуда не делись, но сам факт интересный.

👍 — Неплохо для текстовой модели
🙂 — Скоро и пилоты станут промт-инженерами

🥸 godnoTECH - Новости IT

💧 Компания с 1000-ядерным процессором на RISC-V уходит с рынка

Американский стартап Esperanto, разработчик процессора ET-SoC-1 с 1093 ядрами, официально сворачивает основную деятельность. Причина — невозможность конкурировать с крупными компаниями за инженеров, которые массово переманивались более жирными офферами.

Компания пыталась продвигать чип как энергоэффективную альтернативу для дата-центров: 13B LLM на 25 Вт выглядели круто на бумаге. Но, по словам CEO, крупные игроки вообще не парятся об экономии энергии — бюджеты позволяют.

Esperanto уже ищет покупателя на свою интеллектуальную собственность. Проект второго поколения (на 4 нм от Samsung, 256 TFLOPS FP8) останется на бумаге. Из 140 человек в штате на месте остались только гендир и пара инженеров — остальные уже устроились в другие компании.

💔 — Когда HR решает больше, чем архитектура
🤷 — Обычная судьба стартапа, ничего нового

🥸 godnoTECH - Новости IT

👍 Керамика вместо ленты

Стартап Cerabyte обещает заменить LTO-хранилища новыми накопителями на стеклокерамике — с веком службы более 100 лет и объёмом до 100 Пбайт в одной стойке. Запись идёт с помощью фемтосекундного лазера, а в будущем её хотят ускорить до ионного луча.

Картриджи с керамическими пластинами будут автоматически перемещаться по хранилищу роботами. К 2025 году появятся пилотные решения на 1 Пбайт, а к 2030 — стойки на 100+ Пбайт со скоростью 2 Гбайт/с и доступом за 10 секунд.

Cerabyte уже собрала $14+ млн от инвесторов вроде Western Digital, Pure Storage и даже In-Q-Tel (да, это венчурное крыло ЦРУ). Конкурируют с Project Silica от Microsoft, но обещают выиграть по всем метрикам: дешевле, быстрее, экологичнее.

🥸 godnoTECH - Новости IT

🫥 0-day для WinRAR продают за $80 000

На одном из хакерских форумов всплыл якобы рабочий 0-day RCE-эксплойт для WinRAR — за него просят $80 000. По данным DarkEye, эксплойт затрагивает не только последнюю, но и более ранние версии архиватора, и не использует CVE-2025–6218, закрытую в июне.

Напомним, 24 июня вышла WinRAR 7.12, в которой устранили критическую уязвимость с CVSS 7.8: через специально собранный архив можно было запустить вредонос при извлечении — проблема затрагивала только Windows-версии. Но продавец уверяет, что его RCE — совсем другая история.

Если инфа подтвердится, это уже вторая серьёзная брешь в WinRAR за пару месяцев. Первая — обход защиты Mark of the Web (CVE-2025–31334), тоже давала возможность выполнить код через вложенные архивы. Её закрыли в апреле.

Пока RARLAB молчит, эксперты опасаются, что утечки с этим багом уже пошли в сеть.

🥸 godnoTECH - Новости IT

🤩 Минцифры платит до миллиона за баги в Госуслугах

Минцифры запускает третий этап программы багбаунти: за найденные уязвимости в госинформационных системах можно получить до 1 млн рублей. Сумма зависит от критичности найденной дыры. Безопасность будут проверять внешне, без доступа к внутренним данным.

Под ударом — сразу 9 ключевых систем, включая Госуслуги, ЕСИА, ЕБС, СМЭВ, НСУД и др. Участников ждёт контролируемый процесс тестирования, но при этом реальный шанс отбить пару айфонов… ну или хотя бы один.

В первых двух этапах участвовало более 26 000 энтузиастов, так что конкуренция нешуточная. Но и ставки теперь повыше.

👍 — Отличная мотивация
🤔 — Лучше бы просто сделали нормально
🙂 — За серьёзные баги — маловато

🥸 godnoTECH - Новости IT

😐 Американцы против TSMC

В США подали коллективный иск к TSMC — крупнейшему производителю чипов в мире. Экс-сотрудники утверждают: их выдавливали из компании ради мигрантов с Тайваня и из Китая, причём не только метафорически — жалобы включают крики, расизм, игнорирование техники безопасности и совещания на китайском.

По словам истцов, TSMC системно отдавала приоритет выходцам из Восточной Азии, вводила языковые барьеры, блокировала карьерный рост американцев и даже требовала знание мандаринского при найме. Один из HR-директоров якобы прямо заявил: «Потому что TSMC — азиатская компания».

И это не первый тревожный сигнал. В 2023-м сотрудники уже жаловались на армейский режим в аризонском офисе: 12-часовые смены, ночёвки на работе и дисциплина по уставу. Добавьте к этому обвинения в харассменте и расистских выходках — картина складывается некрасивая.

Ждём реакции самой TSMC — официальных комментариев пока нет.

🥸 godnoTECH - Новости IT

🤨Microsoft закрыла 137 дыр в безопасности

Во «вторник патчей» Microsoft залатала сразу 137 уязвимостей, включая 14 критических и одну нулевого дня — CVE-2025-49719 в SQL Server. Через неё можно было получить доступ к неинициализированной памяти сервера и вытащить данные без логина и пароля. Причина — некорректная валидация входных данных.

Больше всего багов касались повышения привилегий (53) и удалённого выполнения кода (41). Остальные — это обходы защиты, утечки данных, DoS и другие весёлые вещи. Из особо важных — ещё одна RCE в SharePoint (CVE-2025-49704), правда, для её эксплуатации уже нужна учётка.

Исправления вышли не для всех: патчи для Microsoft Office LTSC на Mac пока в пути. Edge и Mariner тоже обновлялись ранее, и в общий счёт не вошли. Так что если у вас где-то жив SQL Server или SharePoint — самое время проверить апдейты.

🥸 godnoTECH - Новости IT