😣 ИИ ускоряет разработку, но множит уязвимости

Компания Apiiro опубликовала исследование о том, как использование ассистентов для написания кода влияет на качество разработки. Итог парадоксальный — коммитов стало в 3–4 раза больше, но число уязвимостей выросло сразу в 10 раз.

Исследование проводилось на коде компаний из списка Fortune 50. ИИ действительно уменьшает количество опечаток и синтаксических багов, но одновременно увеличивает архитектурные проблемы. Часто встречаются поломки авторизации, утечки ключей и ошибки конфигурации облака. В итоге мелких ошибок меньше, но крупные дыры появляются чаще и глубже.

Apiiro отмечает, что крупные пулл-реквесты от ИИ разработчиков усложняют ревью и могут затрагивать сразу несколько сервисов. В одном из примеров изменения в заголовке Authorization были внесены не во все системы, что открыло доступ к внутренним эндпоинтам.

🥸 godnoTECH - Новости IT

😎 Европа запустила свой первый экзафлопсный суперкомпьютер Jupiter

В Германии появился суперкомпьютер Jupiter — первый в Европе, преодолевший рубеж в экзафлопс. Это 10¹⁸ операций в секунду, или, если проще, машина, способная прогонять такие объёмы вычислений, что человеческий мозг на фоне выглядит как калькулятор.

Пока запустили только модуль Booster — кластер из 6000 узлов с чипами Nvidia GH200 Grace Hopper и сетями Quantum-2 InfiniBand. Этого хватило, чтобы занять первое место в Европе и четвёртое в мире. Предыдущий тестовый модуль Jedi год назад уже возглавлял рейтинг Green500 как самый энергоэффективный. Полностью завершить систему планируют к концу 2026 года, добавив модуль с процессорами Rhea1 от SiPearl (80 ядер Arm Neoverse V1).

Для сравнения, США вышли в экзафлопс ещё три года назад, а Китай, по слухам, давно держит свои системы в тени. Но Европа догоняет: проект оценивается в 500 млн евро и должен обеспечить «цифровой суверенитет» ЕС.

🥸 godnoTECH - Новости IT

😧 Microsoft показала прототип компьютера на световых лучах

В Microsoft Research собрали прототип аналогового оптического компьютера, который работает не на электронах, а на фотонах. Он решает задачи оптимизации и обработки данных, потенциально ускоряя вычисления в 100 раз и делая их энергоэффективнее.

Система построена из вполне «обычных» компонентов: микро-светодиодов, линз и сенсоров от смартфонов. Для проверки возможностей исследователи создали цифровой двойник — программную версию устройства. На тестах прототип помог Barclays оптимизировать сделки с ценными бумагами и показал потенциал в медицине, сократив время реконструкции МРТ-изображений с 30 до 5 минут.

Учёные считают, что оптические системы могут сильно помочь в обучении ИИ. Пока прототип тянет всего 256 параметров, но в будущем количество может вырасти до миллиардов. Если всё получится, дата-центры станут меньше походить на угольные электростанции, а модели — на утюги.

🥸 godnoTECH - Новости IT

Как одна дыра в GitHub Action превратила 6700 приватных репозиториев в публичные 🤔

Тут подъехал детальный разбор недавней атаки на цепочку поставок Nx от Wiz Research. Все началось с компрометации npm-токена через уязвимый GitHub Action. Атакующий выпустил вредоносные версии пакетов Nx, которые собирали переменные окружения, npm- и GitHub-токены и публиковали их в открытых репозиториях. Затем, используя утекшие GitHub-токены, он сделал публичными более 6700 приватных репозиториев у почти 500 скомпрометированных пользователей, включая целые организации.

Вредонос проверял наличие в системе ИИ CLI-утилит (Claude, Gemini, Amazon Q) и просил их найти интересные файлы на диске. Однако эффективность этого подхода оказалась низкой. AI-инструменты были установлены только у половины жертв, а в некоторых случаев Claude просто отказывался выполнять вредоносный промпт из-за встроенных защит. В итоге, ИИ-часть атаки сработала успешно менее чем в 25% случаев.

Интересен и подход атакующего к собственной безопасности. Вместо того чтобы палить свою инфраструктуру и поднимать свой сервер, он сначала использовал webhook.site для слива данных, а затем переключился на создание публичных репозиториев на аккаунтах жертв. Это минимизирует его собственный след и не дает себя вычислить. Для доступа к скомпрометированным аккаунтам использовался TOR, а для публикации репозиториев простой Python-скрипт.

Типичный 🥸 Сисадмин

🚙 Таксисты подрабатывают на обучении ИИ

В Индии Uber запустила эксперимент, в котором таксисты теперь могут подрабатывать внутри приложения, помогая обучать искусственный интеллект. Пока нет заказов — можно размечать данные.

Задания самые разные: посчитать объекты на картинке, отсортировать тексты, оцифровать чеки или записать аудио. Всё это идёт в копилку Uber AI Solutions, которая развивает свои ИИ-инструменты и продаёт данные другим компаниям — от разработчиков беспилотных грузовиков Aurora до Niantic с её Pokémon Go.

По словам Uber, в среднем разметчики получают от $20 до $200 в час. Сейчас программа тестируется в 12 городах, включая Дели, Мумбаи и Бангалор, а участвуют в ней уже десятки тысяч водителей. Правда, у Uber в прошлом были претензии из-за «чёрных ящиков» в алгоритмах — они увеличивали тарифы для пассажиров, но снижали доход таксистов.

🥸 godnoTECH - Новости IT

🤡 Хакеры, осуществившие крупнейшую в истории атаку на цепочку поставок, «заработали» на этом от силы 50 долларов

Злоумышленники устроили масштабную атаку на цепочку поставок, внедрив малварь в популярные npm-пакеты. В списке пострадавших — chalk, strip-ansi, debug и ещё десятки библиотек, которые суммарно качают более 2,6 млрд раз в неделю.

Виновником стал фишинг — у мейнтейнера Джоша Джунона (Qix) выманили данные от аккаунта через поддельное письмо от «поддержки npm». После этого в пакеты добавили код, который в браузере подменял адреса криптокошельков и перехватывал транзакции в Ethereum, Bitcoin, Solana и других сетях.

Однако, в код малвари закралась ошибка, из-за чего злоумышленники подставляли не свои криптокошельки, а адреса Uniswap и других swap-контрактов. То есть похищенные деньги, по сути, отправлялись в никуда. В итоге заработали они от нескольких центов до 50 долларов, зато весь мир ещё раз увидел, насколько уязвима экосистема open source, держащаяся на разрабах-одиночках...

🥸 godnoTECH - Новости IT

Бывший глава ИБ WhatsApp рассказал, как на самом деле устроена защита в мессенджере.

Бывший глава безопасности WhatsApp, Аттаулла Бейг, подал в суд на свою бывшую компанию, обвинив ее в незаконном увольнении. По его словам, его уволили в отместку за то, что он неоднократно сообщал о "систематических провалах в кибербезопасности", которые нарушали юридические обязательства компании.

В своем иске Бейг утверждает, что обнаружил шесть критических проблем, которые, по сути, делали всю приватность WhatsApp фикцией. Самая главная из них — 1500 инженеров WhatsApp имели неограниченный доступ к чувствительным личным данным пользователей и могли копировать или красть их без какого-либо обнаружения или аудита.

Иные проблемы:

* Отсутствие инвентаризации пользовательских данных.
* Неспособность обнаружить утечки данных.
* Отсутствие мониторинга доступа к данным.
* Неспособность защитить пользователей от захвата аккаунтов.

Бейг утверждает, что пытался эскалировать эти проблемы, но столкнулся с сопротивлением менеджеров. Он даже обвинил центральную команду безопасности в "фальсификации отчетов" для сокрытия рисков. После того, как он подал жалобу в Комиссию по ценным бумагам и биржам (SEC), его уволили.

Надеемся, что в Телеге не так 👨‍🔬

🥸 godnoTECH - Новости IT

ИИ вернул в Linux драйвер, удалённый 20 лет назад

Разработчик Дмитрий Брант из Wikimedia с помощью AI-ассистента Claude Code восстановил драйвер ftape, который убрали из ядра Linux ещё в 2006 году. Тогда он не справлялся с многоядерными системами и считался безнадёжным. Теперь же драйвер снова работает в ядрах 6.8 и новее.

ИИ сделал дело за три этапа: переписал код под современные API ядра, превратил встроенный драйвер в загружаемый модуль и доработал его с учётом ошибок из dmesg. На всё ушло два вечера, три запроса и несколько ручных правок. Раньше ради работы с лентами приходилось держать отдельный ПК с ядром 2.4, теперь же всё можно делать на Ubuntu 24.04.

Ftape когда-то спасал айтишников от дорогостоящих SCSI и позволял подключать ленточные накопители даже к контроллерам для флоппиков. Сегодня он снова пригодится энтузиастам ретрокомпьютеров и тем, кто вытаскивает данные со старых картриджей. В ближайшем будущем на базе драйвера планируют сделать инструменты для восстановления информации со сбойных лент.

Linux / Линукс 🥸

😊 Спустя 30 лет службы из Intel уходит директор по продуктам

Последний срок Мишель Джонстон Холтхаус на этой должности истекает через 10 месяцев. Гендиректор Лип-Бу Тан отметил:

«Она оказала продолжительное влияние на нашу организацию и вдохновила многих из нас своим лидерством».

Однако, несмотря на красивые слова, повторно приглашать Мишель на эту должность он не планирует.

Также Джим Джонсон стал новым руководителем группы клиентских вычислений, отвечающей за реализацию продуктов для простых пользователей. До этого он проработал в Intel более 40 лет.

Сейчас в руководстве Intel в целом идут масштабные перестановки, и всё больше руководителей будут подчиняться непосредственно самому Лип-Бу Тану.

🥸 godnoTECH - Новости IT

🤔 На 0% улучшена производительность обновления Windows 11 25H2, а быстрее всего оказалась Ubuntu

Phoronix протестировала будущую Windows 11 25H2 в сравнении с Windows 11 24H2, Ubuntu 24.0.3 LTS и готовящейся к выпуску Ubuntu 25.10. Тест показал, что 25H2 не смогла превзойти 24H2, даже технически уступив своему предшественнику во многих тестах.

В качестве железа использовали Ryzen 9 9950X в паре с 32 ГБ оперативной памяти DDR5. Phoronix протестировала множество приложений (всего 41 тест), включая LuxCoreRender, Embree, Intel Open Image Denoise, OSPRay и IndigoBench.

Обе версии Ubuntu превзошли производительность Windows 11 25H2 примерно на 15% 🖕

🥸 godnoTECH - Новости IT

🤦 Треть сеньоров признались, что пишут половину кода руками ИИ

Fastly опросила почти 800 разработчиков уровня Senior и выяснила, что треть из них доверяют ИИ больше, чем клавиатуре. Более половины своего кода они генерируют с помощью Copilot, Gemini или Claude. Для сравнения — среди джуниоров таких всего 13%.

При этом старшие инженеры признают, что часто переписывают автогенерацию. 28% говорят, что правят код регулярно, но всё равно 59% уверены — с ИИ они быстрее. У джуниоров цифра ниже, зато сеньоры чаще отмечают реальный прирост скорости, потому что умеют сразу ловить баги, которые модель «впендюрила».

Интересно, что ИИ не только спорит с дедлайнами, но и влияет на настроение. 80% разработчиков заявили, что с такими ассистентами работать приятнее.

🥸 godnoTECH - Новости IT

Государственный руткит на экспорт: Как Китай продает технологию тотальной слежки 😶

Тут подъехала, возможно, самая жирная новость года. Утечка более 100 000 внутренних файлов из китайской конторы Geedge Networks вскрыла то, о чем мы догадывались, но боялись говорить вслух. Китай уже не просто строит свой Великий файрвол, он продают его в коробке другим странам.

Расследователи уверенно атрибутируют четыре иностранных клиента: Казахстан (K18/K24), Пакистан (P19), Эфиопия (E21), Мьянма (M22) и ещё один клиент (A24) не идентифицирован.

Ядро системы - аппаратно-программный комплекс Tiangou Secure Gateway (TSG), который ставится на магистральные каналы и точки обмена трафиком. Сверху накатывается красивая веб-морда Cyber Narrator для управления всем этим зоопарком. Функционал - истинная мечта 😨. Система умеет проводить глубокую инспекцию пакетов (DPI) с ML-классификаторами, блокируя протоколы, домены и анализируя шифрованный трафик по метаданным. В Мьянме, например, в ее базе уже 281 VPN-сервис для блокировки. Но это не просто файрвол. Это полноценная платформа для MITM-атак на уровне государства. Она может перехватывать нешифрованный трафик (в утечке есть примеры email'ов с вложениями) и, что самое страшное, внедрять вредоносный код прямо в трафик на стороне провайдера.

В утечке описана любопытная цепочка поставок. Может показаться, что это все суверенные китайские технологии, но как бы не так. В документах для Пакистана фигурируют packet broker'ы от Niagara Networks (США), L2/L3-коммутаторы H3C и лицензионные ключи от Thales Sentinel (Европа). Без валидной лицензии от Thales файрвол просто перестает работать. Дружное сотрудничество, однако 😱

Эта система уже развернута как минимум в четырех странах. В Мьянме запилили полноценный прод, который мониторит до 81 миллиона одновременных соединений на оборудовании в 26 дата-центрах. В Пакистане целая связка из интернет-файрвола и системы прослушки телефонов LIMS. А в Эфиопии, судя по логам, система имеет два режима (monitor и interfere). И она случайно переключалась в режим interfere прямо во время массовых протестов. Это не баг, это фича.

Что будет дальше? Дальше будет только хуже веселее. ML-модели будут все лучше отличать неправильный трафик (QUIC, ECH), а универсальные VPN будут жить все меньше. Скорее всего, мы увидим переход к мягким белым спискам, когда по умолчанию будет деградировать весь неопознанный шифрованный трафик. И, конечно, экспорт репутационных систем, когда для выхода в интернет понадобится KYC.

В общем, это очень удобно. Не нужно думать о настройке ACL и VPN для каждого сотрудника. Можно просто купить одну большую ACL на всю страну 🎩

Ниже, в образовательных целях, разбор скриншотов с утечки, приятного просмотра:
1 - Дашборд Мьянмы
2 - Дашборд Cyber Narrator
3 - Админка Appsketch
4 - Дашборд Network Zodiac
5 - Дашборд системы мониторинга города

Типичный 🥸 Сисадмин

🧠 Шлем для управления компьютером силой мысли стал реальностью

Стартап Alterego представил устройство, которое позволяет писать текст, управлять программами и даже играть без рук. Шлем улавливает слабые электрические сигналы мозга и переводит их в команды для ИИ.

В отличие от Neuralink, никаких операций не нужно — достаточно надеть гаджет на голову. В теории это значит, что можно кодить, чатиться и запускать игры буквально «мысленным движением».

Технология пока только выходит на рынок, но сама идея выглядит так, словно sci-fi наконец пробрался в повседневку. Теперь главное, чтобы Ctrl+C и Ctrl+V не начали срабатывать, когда вы думаете о завтраке.

🥸 godnoTECH - Новости IT

😱 ИИ-чат-боты начали врать в два раза чаще

Исследователи NewsGuard проверили 10 популярных чат-ботов и выяснили, что за год они стали выдавать ложную информацию почти вдвое чаще. Если в августе 2024 года дезинформацией были наполнены 18% ответов, то в августе 2025-го — уже 35%.

Хуже всех показал себя Pi от Inflection, за ним Perplexity, который вырос с 0% до 47%. У ChatGPT уровень «фантазий» поднялся с 33% до 40%, у Grok — с 13% до 33%. Самыми осторожными оказались Claude и Gemini — 10% и 17%. Но и они подросли по сравнению с прошлым годом.

По словам исследователей, причина проста — разработчики снизили ограничения. Если раньше чат-боты чаще уходили от ответа на спорные темы, то теперь они выдают всё подряд, включая дезинформацию. Особенно это заметно на свежих инфоповодах, где данных мало, а уверенности у моделей слишком много.

🥸 godnoTECH - Новости IT

🤯 Антиспам Microsoft снова блокирует нормальные ссылки

У пользователей Exchange Online и Teams начались странности — ссылки, которые раньше считались безопасными, внезапно начали блокироваться, а письма попадать в карантин. Всё это произошло из-за бага в антиспам-сервисе Microsoft.

5 сентября администраторы начали получать уведомления о «переходе по потенциально вредоносному URL», хотя сами адреса были проверены и признаны безопасными. Microsoft признала проблему, заявив, что сбой коснулся более 6000 ссылок. Сейчас компания постепенно разблокирует их и чинит последствия.

Подобные баги случаются не в первый раз. Весной алгоритмы антиспама уже отправляли в спам Gmail и письма Adobe. Похоже, Microsoft тестирует не только Copilot, но и терпение своих пользователей.

🥸 godnoTECH - Новости IT

Найден лучший файловый менеджер 🐸

🥸 godnoTECH - Новости IT

💡 Windows 11 учит «Проводник» работать с ИИ

Microsoft тестирует в «Проводнике» новые функции на базе искусственного интеллекта. Теперь прямо из контекстного меню можно убирать фон на фото, удалять объекты или размывать картинку — без открытия сторонних редакторов. Работает с JPG, JPEG и PNG.

Кроме того, ИИ помогает искать похожие изображения через Bing и даже способен обобщать текст прямо в файле. По сути, Windows превращает «Проводник» в мини-редактор и умный просмотрщик, чтобы меньше прыгать между приложениями.

Новинки уже доступны участникам Windows Insider на канале Canary (бета 27938). Появилось и новое окно в настройках конфиденциальности, где можно проверить, какие приложения используют генеративные алгоритмы, и ограничить им доступ.

🥸 godnoTECH - Новости IT

😡 Минздрав США пересаживает сотрудников на ChatGPT

Министерство здравоохранения США (HHS) официально попросило всех сотрудников использовать ChatGPT в работе. Внедрением управляет бывший сотрудник Palantir, а теперь IT-директор ведомства Кларк Майнор.

По словам замминистра Джима О’Нила, ИИ уже помогает госструктурам ускорять переписку, совещания и исследования. Он отметил, что ChatGPT хорош для сокращения длинных документов, но предупредил — воспринимать ответы стоит как гипотезы, а важные решения всё равно проверять по источникам.

Ведомство заверило, что предусмотрело меры защиты, сотрудникам разрешено вводить служебные данные, кроме строго конфиденциальной информации вроде соцстраховки или банковских счетов. HHS также планирует применить ИИ в Medicare и Medicaid, чтобы определять право пациентов на медуслуги. Правда, похожие системы уже попадались на предвзятости и иногда лишали людей нужной помощи.

🥸 godnoTECH - Новости IT

🥹 Вирус GayFemBoy* атакует по всему миру

Новый вредонос GayFemBoy* поражает сетевое оборудование — роутеры, IoT-девайсы и промышленные системы. Под удар этого парня уже попали TP-Link и Cisco.

По сути, это вирус Mirai 2.0, но сложнее, гибче и хитрее. Попав внутрь, вредонос открывает бэкдор, прячется до 27 часов и меняет имена файлов, чтобы обойти защиту. Дальше устройство становится частью сети заражённых машин, которые хакеры используют для DDoS, рассылки спама и скрытого майнинга.

Вредонос засветился в США, Европе, Бразилии и Азии (Россию, вроде как, он пока обходит стороной 😌). Основной интерес у атакующих вызывает криптомайнер XMRig. Fortinet уже присвоила угрозе высокий уровень опасности.

Случаи заражения выявлены в десятках стран, в которых уже успели пострадать телекоммуникационные компании и промышленные предприятия. Под удар также могут попасть и домашние роутеры. Специалисты советуют обновлять прошивку и поменять пароль, если вы не хотите стать жертвой фембоя*!

Страшно, очень страшно 😭

* — ЛГБТ признана в РФ экстремистской организацией

🥸 godnoTECH - Новости IT