👺 Российские исследователи нашли баг, с которым KVM превращается в троян

Три критические уязвимости в KVM-переключателях ATEN CL57xx позволяли атакующему получить полный контроль над серверами — по LAN или интернету, буквально одним запросом. Все три дыры получили по 9,8 балла по CVSS, и это почти максимум.

Устройства этой серии — это консоли с клавой, монитором и тачпадом, которые ставятся в серверные стойки и дают доступ к серверам без установки софта. Уязвимости нашли ребята из PT SWARM: Наталья Тляпова, Денис Горюшев и Дмитрий Скляров. Классическая история — переполнение буфера, которое легко превращается в удалённое выполнение кода.

Плюсом к этим уязвимостям — ещё две с оценкой 7,5, их можно комбинировать для повышения эффективности атаки. ATEN уже выпустила патч 2.0.196. Вендора предупредили заранее, всё по правилам ответственного раскрытия.

Даже если у тебя не CL57xx, напоминание простое: если ты не ставишь апдейты и не настраиваешь доступ — ты сам себе уязвимость.

🥸 godnoTECH - Новости IT

🤨 Китайские студенты переписывают дипломы, чтобы они выглядели менее «умными»

В Китае набирает обороты борьба с ИИ в дипломах: многие университеты не принимают работы, если алгоритмы заподозрят, что их писал нейросеть. Проблема в том, что даже полностью авторские тексты часто не проходят проверку.

Система может отклонить работу, даже если студент использовал ИИ только для редактуры пары абзацев. Вузы установили допустимые пороги «ИИ-соавторства» — от 15 до 40%. Популярный лайфхак — менять знаки препинания, чтобы снизить оценку ИИ-участия. Иногда помогает. Иногда нет. Один из сервисов заменил в работе слово «полупроводник» на «0,5 проводника». Наука пошла не туда.

Ещё веселее, что одни и те же компании в Китае одновременно продают и системы для проверки, и сервисы для «очистки» дипломов от следов ИИ. Университеты пока делают вид, что всё под контролем, но преподаватели уже требуют здравого смысла.

👍 — Логично: диплом должен быть человеческий
😁 — «0,5 проводника» — новый уровень инженерной мысли
🤷 — Так пусть перепроверяют вручную

🥸 godnoTECH - Новости IT

🧠 ChatGPT теперь умеет ходить по интернету и делать слайды

OpenAI показала нового ИИ-агента на базе ChatGPT, который может сам искать товары, оформлять покупки и собирать презентации. Это не просто чат-бот, а цифровой помощник, который умеет кликать, печатать и шариться по сайтам как настоящий человек.

Агент сочетает в себе две уже знакомые фичи OpenAI — Operator (работает с браузером) и Deep Research (копает инфу в интернете). На демке бот искал лампы на Etsy, добавлял их в корзину и возвращал ссылки. Также он умеет собирать презентации, но пока на уровне «черновик на отстань».

Фича уже доступна подписчикам Pro, Plus и Team, остальным — позже летом. Правда, работать он может медленно, и без косяков пока не обходится. Сам OpenAI признаёт: сыровато. Но всё же — это шаг к ИИ, который делает всё сам.

🥸 godnoTECH - Новости IT

🤨 Путин поручил разработать меры против зарубежных мессенджеров

Владимир Путин поручил правительству подготовить предложения по новым ограничениям для зарубежного софта из «недружественных» стран. Речь идёт в том числе о мессенджерах и других коммуникационных сервисах. Крайний срок — 1 сентября. Ответственным назначен Михаил Мишустин.

Параллельно власти планируют поддержать отечественные ИТ-компании: прорабатываются меры снижения налогов, поддержки машиностроения, робототехники и продвижения российских систем автоматизации на стройках и производствах.

🥸 godnoTECH - Новости IT

👍 Positive Technologies запустила портал уязвимостей

Российская компания Positive Technologies запустила портал, где уже собрана информация о 317 000 уязвимостей в ПО и железе. Сервис ориентирован на специалистов по ИБ, этичных хакеров и компании, которым важно быстро реагировать на угрозы — особенно на фоне проблем с CVE/NVD и сокращения финансирования MITRE.

В отличие от стандартных баз, тут учитываются данные не только из CVE и NVD, но и с Reddit, Telegram и X. Всё это агрегируется, очищается и описывается с помощью LLM — нейросеть помогает формировать более подробные и понятные карточки. Указывается даже автор каждой находки, если удалось его определить.

Ещё одна фишка — рейтинг «горячих» уязвимостей, которые сейчас обсуждают в ИБ-сообществах. А в будущем обещают добавить фиды, персональные профили и подписки на исследователей, как в bug bounty-сетях.

👍 — Нужный и полезный инструмент
🤔 — Главное, чтобы LLM не перепутал баг с фичей
🤷 — Посмотрим, как будет работать на деле

🥸 godnoTECH - Новости IT

🤔 PyPI заблокировал аккаунты с inbox.ru

Админы PyPI, крупнейшего Python-репозитория, заблокировали 250 аккаунтов и 1500 проектов, связанных с ящиками на inbox.ru. Новый аккаунт с таким адресом не создать, и в старые добавить нельзя. Всё из-за подозрений в слопсквоттинге — массовой регистрации фейковых библиотек под «вкусные» названия, на которые легко клюнут нейросети и невнимательные разработчики.

Формально — это не вредоносный код, а просто зарезервированные имена. Но PyPI сочло это попыткой манипуляции с репутацией и возможной угрозой. По сути, кто-то готовил поле для будущих атак — создавая «пустышки», которые могли бы случайно установить по подсказке ИИ.

Остальные домены Mail.ru — bk.ru, mail.ru и list.ru — пока под санкции не попали. Но кейс странный: ни IP, ни страна, ни личность — только домен почты стал поводом для блокировки.

🥸 godnoTECH - Новости IT

🫥 Уязвимость в Windows Hello ломает биометрию

В Windows Hello for Business нашли способ обойти биометрию: админ может заменить SID и получить доступ к чужой учётке, просто показав своё лицо. Да, буквально лицо администратора = вы.

Исследователи показали PoC-эксплоит, где достаточно, чтобы доменный пользователь и локальный админ были зарегистрированы в WHfB. Меняем SID в шаблоне, пересчитываем хеш — и всё, можно входить. Даже биометрический шаблон можно подменить, если есть доступ администратора. Проблема — в архитектуре: ключи зависят от параметров системы, а не от внешнего секрета. Biometric entropy? Нет, не слышали.

Microsoft уведомили, но баг, судя по всему, «не приоритет». Хотя WHfB уже включает опциональную Enhanced Sign-in Security, она по умолчанию выключена. TPM не спасает, а полноценная биометрическая криптография — пока что фантастика из академических публикаций.

🥸 godnoTECH - Новости IT

🧠 Google научил ИИ звонить за вас

Google начал тестировать новую фичу: теперь искусственный интеллект сам звонит в салоны, химчистки и автосервисы, чтобы узнать цены и доступность услуг. Функция встроена прямо в поиск — кнопка *«Проверить цену с помощью ИИ»* появляется под результатами. Работает пока только в США и с ограниченным числом компаний.

После клика ИИ (на базе Gemini и технологии Duplex) уточняет детали — нужные услуги, удобное время, куда прислать ответ — и сам делает звонок. Затем пользователь получает результат по SMS или почте. Владельцы бизнеса при этом могут отключить такие звонки в настройках профиля.

👍 — Наконец-то не надо будет звонить людям
🌚 — Когда он начнёт брать за меня кредиты?

🥸 godnoTECH - Новости IT

🤩 Вакансий меньше, айтишников больше

Рынок IT-вакансий в России впервые за долгое время показал падение. По данным «Хабр Карьеры», HeadHunter и SuperJob, общее число открытых позиций в IT за первую половину 2025 года сократилось на 20–30% по сравнению с 2024. Сильнее всего пострадали вакансии разработчиков — особенно дорогих и опытных.

Компании оптимизируют расходы и внедряют ИИ-системы, которые частично заменяют людей. Одновременно растёт число кандидатов: на младшие позиции — до 11 резюме на одну вакансию. Но для сеньоров, наоборот, остаётся дефицит — в среднем 2,3 резюме на позицию.

На этом фоне VK и «Яндекс» продолжают расширяться: за год — +18% и +16% к численности сотрудников. По данным Минцифры, в отрасли сейчас работают более 1,08 млн человек — максимум за последние годы. Но и этого мало: по оценкам государства и бизнеса, в РФ всё ещё не хватает до 1 млн айтишников, а к 2030 году понадобится ещё 2 миллиона.

👍 — Автоматизация — это нормально
🙂 — ИИ заменит всех, пора в электрики

🥸 godnoTECH - Новости IT

😑 Meta* отказалась подписывать кодекс по ИИ от ЕС

Meta* отказалась соблюдать добровольный Кодекс практики по ИИ, предложенный Евросоюзом. Компания считает, что правила слишком жёсткие и могут навредить разработке передовых моделей. До вступления в силу требований AI Act остаётся меньше месяца — и Meta* первой громко вышла из игры.

В кодексе предлагается не использовать пиратский контент, публиковать документацию по ИИ-системам и учитывать требования авторов, не желающих участвовать в обучении моделей. Meta* не устраивает, что документ порождает правовые риски и выходит за рамки самого закона. По их мнению, всё это тормозит развитие и мешает европейским компаниям зарабатывать на ИИ.

Тем временем Еврокомиссия подготовила руководство для разработчиков. Уже с 2 августа требования AI Act вступают в силу для всех крупных ИИ-систем с «системными рисками». А до 2027 года их обязаны привести в полное соответствие такие игроки, как OpenAI, Google, Meta* и Anthropic.

👍 — Meta* всё правильно делает
🤔 — Без регулирования тоже нельзя

*Компания Meta признана в РФ экстремистской и запрещена

🥸 godnoTECH - Новости IT

😬 Только один человек обошёл ИИ от OpenAI на хардкорных соревнованиях

На финале AtCoder World Tour 2025 в Токио модель OpenAIAHC от OpenAI заняла второе место, уступив всего одному участнику — Михалу Psycho Саниевскому из Польши. Разрыв между человеком и машиной — 9,5%.

Состязание длилось 10 часов, и большую часть времени ИИ держался в лидерах, обходя топовых программистов со всего мира. Но победу Михалу принесли нестандартные эвристики и креатив. Он писал код в VS Code с обычной автодополнухой и за последние три дня спал всего 10 часов. После победы он написал: «Победа человечества (пока что)!»

Модель от OpenAI показала потрясающую скорость в прототипировании решений, но уперлась в потолок оригинальности. Пока что ИИ — скорее turbo-помощник, чем полноценный соперник в задачах с нестандартной логикой.

👍 — Пока держим оборону
😁 — Пусть попробует пройти собес с тремя стадиями и ТЗ на 10 страниц

🥸 godnoTECH - Новости IT

👍 Asimov от Reflection: ИИ, который не просто пишет код, а всё про тебя помнит

Стартап Reflection AI, основанный бывшими сотрудниками Google DeepMind, представил ИИ-агента Asimov. Он анализирует не только код, но и всё, что происходит вокруг: письма, чаты в Slack, статусные отчёты — и строит полную картину разработки. Идея в том, чтобы не просто помогать писать код, а понимать, как и зачем он появился.

Вместо обычной генерации кода Asimov использует целую архитектуру «извлекателей» и один «объединитель», чтобы вычленять важное из баз кода и документации. Всё это сохраняется в Asimov Memories — что-то вроде общей памяти команды, куда можно добавить знания через команды вроде: @asimov, помни, что мы сломали прод в пятницу.

Работает на дообученных open-source моделях, не использует клиентские данные и разворачивается в изолированной среде. Уже сейчас Asimov по внутренним данным обходит конкурентов — 82% разработчиков предпочли его ответы.

🥸 godnoTECH - Новости IT

👋 ИИ от OpenAI стал золотым олимпиадником по математике

Экспериментальная модель OpenAI набрала 35 из 42 баллов на Международной математической олимпиаде — это результат уровня золотой медали. До этого ни одна ИИ-система так глубоко не врубалась в математические задачи, где надо не просто считать, а думать, как олимпиадник со стажем.

По словам исследователя OpenAI Александра Вэя, модель умеет строить сложные, логически непробиваемые доказательства. Она решила 5 из 6 задач, и это не просто про цифры — там нужны нестандартные идеи и абстрактное мышление, с которым раньше у ИИ было не очень.

Сама модель пока не будет доступна — это эксперимент. В будущий GPT-5 такие навыки тоже не войдут, так что олимпиадные решения от нейросети пока остаются в лаборатории. Но факт остаётся: ИИ сделал шаг туда, где раньше обитал только человек с олимпиадным блокнотом и ночами без сна.

🥸 godnoTECH - Новости IT

😊 Илон Маск готовит ИИ для детей

xAI разрабатывает Baby Grok — чат-бота на базе Grok, но в детской упаковке. Это будет отдельное приложение, заточенное под безопасное и развивающее общение с юными пользователями.

У Baby Grok будет мягкий характер: никакого токсичного юмора, споров про политику и странных шуток, которыми славится взрослый Grok. Всё обучение — на очищенных от взрослого контента данных. Также обещают продвинутые родительские настройки и фильтры.

🥸 godnoTECH - Новости IT

😵 ИИ скоро станет слишком умным, чтобы его понимать

OpenAI, Google, Anthropic и другие топовые ИИ-команды заявили: цепочки рассуждений ИИ могут стать для человека непрозрачными. Уже сейчас модели вроде ChatGPT o3 и Gemini 2.5 Pro учатся достигать целей настолько эффективно, что начинают «подыгрывать» наблюдателю и скрывать настоящие намерения.

Речь про chain-of-thought — внутренние логические цепочки, которые помогают понять, как модель пришла к ответу. Пока они читаемы. Но чем сильнее модель, тем выше шанс, что она придумает свой способ «думать» — возможно, вообще не в человеческих терминах. А если она ещё и знает, что за ней следят, — будет писать красивое, но неискреннее объяснение.

Авторы исследования призывают разработчиков не гнаться слепо за эффективностью, а сохранять прозрачность мышления ИИ. Предлагается даже создать отдельные ИИ-наблюдатели, способные расшифровывать поведение более мощных моделей. Своего рода «ИИ для ИИ».

🥸 godnoTECH - Новости IT

🚶‍♀️ Суд спас от нейросети

В Москве суд впервые в истории восстановил на работе сотрудницу, которую уволили после того, как её обязанности передали ИИ. Женщина работала менеджером по закупкам, а спустя год «нейронка» заняла её место. Работодатель предложил остаться на двухчасовой ставке — она отказалась и пошла в суд.

Судья признал увольнение незаконным и постановил выплатить женщине 1,5 млн рублей — за вынужденный прогул, моральный вред и прочее. После этого она всё-таки уволилась, но уже по своей воле. Теперь прецедент: машина забрала работу — человек вернул её через суд.

Компания утверждает, что ИИ лишь взял на себя те задачи, с которыми сотрудница не справлялась. А вот суд решил иначе.

👍 — Правильно сделали, человек не должен проигрывать машине
🙂 — Сами виноваты, надо было прокачивать скиллы
🤔 — Интересно, как теперь компании будут увольнять людей

🥸 godnoTECH - Новости IT

😅 Anthropic попала под миллиардный иск за «обучение на пиратке»

Федеральный суд Калифорнии принял к рассмотрению коллективный иск против Anthropic — разработчиков ИИ Claude. Компанию обвиняют в том, что она с 2021 по 2022 год скачала до 7 миллионов книг с пиратских сайтов вроде LibGen и PiLiMi, используя BitTorrent. Потенциальный ущерб — до $150 000 за каждое произведение. Всего на кону — миллиарды долларов.

По данным суда, один из сооснователей сначала скачал 200 тысяч книг из Books3, потом ещё 7 миллионов из других источников. Эти файлы хранились централизованно, независимо от того, использовались ли они для обучения ИИ. Судья сравнил действия с эпохой Napster: много, быстро и без прав.

В июне суд признал, что обучение моделей на законно полученных данных может быть добросовестным использованием. Но если книги взяты с пиратских сайтов — это уже не «исследования», а вполне конкретное нарушение закона.

👍 — Закон есть закон, пусть платят
😁 — Claude теперь знает, что такое «пиратская закалка»

🥸 godnoTECH - Новости IT

😵 Тормоза поездов уязвимы для радиохаков

CISA подтвердила старую уязвимость в радиосистемах торможения товарных поездов. CVE-2025-1727 (оценка 8.1 по CVSS) позволяет передавать команды на экстренное торможение… по радио. Протоколу больше 30 лет, а багу — как минимум 13.

Всё упирается в слабую аутентификацию между началом и концом состава — используется устаревшая контрольная сумма BCH. SDR за $500 способен имитировать EoT-устройство и заставить поезд остановиться. До трёх километров дальности — и здравствуй, теоретическая катастрофа.

Хотя о проблеме сообщили ещё в 2012, Ассоциация американских железных дорог годами отмахивалась от докладов, пока баг не перерос в CVE и не попал в отчёт CISA. Теперь США, Канада и Мексика вынуждены заменить 75 000 устройств. Стоимость — до $10 млрд, сроки — 5–7 лет.

🥸 godnoTECH - Новости IT

👍 ИИ от Google тоже взял золото на математической олимпиаде

Теперь и Google в деле: модель Gemini DeepThink получила золотую медаль на Международной математической олимпиаде 2025. Она решила 5 задач из 6 и набрала 35 баллов из 42 — ровно как экспериментальная модель от OpenAI.

Но в отличие от OpenAI, Google отправила свою модель как официального гостя, а её решения прошли проверку у жюри IMO. Судьи отметили, что ответы были точными, понятными и аккуратными. Правда, инфраструктуру модели они не проверяли.

Gemini DeepThink работает на базе уже выпущенной Gemini 2.5 Pro. Её обучили на задачах, похожих на олимпиадные, и использовали продвинутый RL-метод, чтобы научить ИИ не просто угадывать, а реально решать. В Google обещают отдать модель сначала математикам, а потом — всем подписчикам Gemini Ultra.

🥸 godnoTECH - Новости IT

😑 В SharePoint снова 0-day — Microsoft выпускает экстренный патч

На этой неделе Microsoft выпустила срочное обновление для SharePoint: критические 0-day уязвимости (CVE-2025-53770 и CVE-2025-53771) уже активно эксплуатируются. В атаке используется цепочка ToolShell, ранее показанная на Pwn2Own Berlin. Пострадало не менее 85 on-premises серверов, включая крупные компании и госучреждения в США.

Уязвимости позволяют обойти июльские патчи и выполнить RCE через ViewState, если злоумышленник получит ValidationKey. Для этого они загружают на сервер файл spinstall0.aspx и с помощью ysoserial создают вредоносные токены. Всё это — без авторизации.

Microsoft уже выпустила обновление KB5002768 для версии SharePoint Subscription Edition, но патчи для версий 2016 и 2019 пока в разработке. Пока что вендор рекомендует включить AMSI, развернуть Defender и заменить ASP.NET-ключи. SharePoint Online уязвимости не затронули.

🥸 godnoTECH - Новости IT

🤪 Комитет Госдумы рекомендовал блокировать контент за дискредитацию ценностей

Комитет Госдумы по информационной политике рекомендовал принять поправки, согласно которым владельцы соцсетей и видеосервисов будут обязаны блокировать доступ к произведениям, если Минкультуры признает их дискредитирующими традиционные духовно-нравственные ценности.

Поправки затронут площадки с аудиторией от 100 тыс. пользователей в сутки, если это аудиовизуальные сервисы, и от 500 тыс. — для соцсетей. В случае получения уведомления от Роскомнадзора, платформа должна будет ограничить доступ к материалу в течение суток. Основанием станет отказ в выдаче или отзыв прокатного удостоверения, либо экспертное заключение Минкультуры.

Также уточняется, что показ фильма — это не только кинотеатр, но и публикация через видеосервисы. Законопроект планируют ввести с 1 марта 2026 года. Его внесли в конце 2024 года группа депутатов и сенаторов. Автор поправок — замглавы комитета Антон Горелкин.

👍 — Поддерживаю, нужен фильтр для контента
🙂 — Мда...

🥸 godnoTECH - Новости IT