Гостев из будущего
1.24K subscribers
192 photos
12 videos
3 files
253 links
Авторский проект Александра Гостева.

Кибербезопасность, AI и технологический рынок: что происходит, кто на этом заработает и чем всё закончится.

Книга Вирьё моё!
https://www.litres.ru/74050549/

Для связи: alex@agostev.com
Download Telegram
10 июня — CEO Антропика, Dario Аmodei публикует эссе «Policy on the AI Exponential»: призывает выйти за рамки прозрачности к серьёзному и обязательному регулированию ИИ по аналогии с FAA — чтобы государство могло блокировать выпуск опасных моделей.

Буквально просит «регулируй меня, регулируй меня полностью».

В тот же день — запуск Fable 5.

11 июня — я участвую в сьемках подкаста одного ооооочень популярного автора (следите за анонсами), и на вопрос «чего я опасаюсь в плане новых технологий?» — отвечаю, что больше всего я боюсь того, что государства начнут их ограничивать. Имея в виду, конечно же не VPN.

Сегодня — Министр торговли США направил письмо Дарио Амодею: Fable 5 и Mythos подпадают под экспортный контроль для всех иностранных граждан — как за пределами США, так и внутри страны, включая сотрудников Anthropic.

Реакция Anthropic: «Компания считает произошедшее «недоразумением» и работает над скорейшим восстановлением доступа»

«Если вы описываете свой продукт как боеприпас в каждом пресс-релизе, рано или поздно правительство верит вам на слово».

Натурально, современная байка про унтер-офицерскую вдову, которая сама себя выпорола. Гоголь, «Ревизор».

@gostev_future
💯5😁3👍1🤔1
Гуманоидный робот Pemba — модифицированный Unitree G1 весом 35 кг — поднялся на вершину эквадорского вулкана Чимборасо (6 263 м). Вероятно, абсолютный рекорд высоты для робота-альпиниста. С оговорками: на участках с уклоном до 30° Pemba шёл сам, на крутых — его несли на руках. Всё восхождение заняло 16 часов.

Это первый этап проекта «Тройная корона»: Чимборасо (самая удалённая от центра Земли точка), Мауна-Кеа и Эверест.
Следующая цель — Эверест, но разрешения ещё нет: в Непале не существует закона о роботах. Попытку перенесли на октябрь 2026-го.

О том, как роботы полезут на Эверест, я писал 2 марта. История с Пембой красиво иллюстрирует сразу несколько пунктов:

Батарея — уже проблема на 6 200 м. Поставили кастомную систему термоменеджмента, но насколько она работает при −50°C на 8 000+ — вопрос открытый.
И шерпы с батарейками — это уже не шутка, это буквально происходящее: на крутых участках Pemba несли на руках. Пока что сам робот и есть «батарея», которую тащат.

Pemba — китайская платформа, но проект американский (Geologic Dome) и идти они хотят через Непал. Вероятно, именно потому, что с Севера маршрут сложнее — там Вторая ступень, это просто стена.
И, видимо, ещё проблема в том, что проект американский (хоть робот и китайский). Отдавать американцам первенство китайцы не захотят, так что я жду ускоренного включения в гонку за вершину новых команд уже совсем скоро.

@gostev_future
😁5🔥4
CrowdStrike анонсировал Continuous Identity for AI Agents — новую функцию в составе Falcon Next-Gen Identity Security (да, у меня тоже от этих терминов глаз дергается).

Суть: вместо статичных политик и постоянных привилегий — непрерывная авторизация каждого действия агента в реальном времени, на основе того, кто владеет агентом, кто его вызывает, и какой риск-профиль у устройства вызывающего. Логика простая: разрешение, выданное при логине, может быть уже неактуальным через секунду, если агент скомпрометирован или изменился контекст.
Falcon AI Detection and Response непрерывно анализирует промпты и намерения агента, выявляя злоупотребление правами или попытки манипулировать LLM за пределами разрешённого, и в этом случае Continuous Identity отзывает доступ до того, как нанесён ущерб. Доступ динамически выдаётся, запрещается и отзывается на основе риска в реальном времени, полностью убирая постоянные привилегии.

Каждому агенту присваивается криптографически верифицируемая идентичность на основе открытого стандарта SPIFFE — это заменяет статичные права доступа. Помимо SPIFFE для идентичности, упомянут Shared Signals Framework (SSF) для передачи риск-сигналов между системами в реальном времени.

Как работает контекстная авторизация: агент с правами на чтение и запись, действующий от имени пользователя с правом только на чтение, сможет только читать; тот же самый агент, но действующий от имени другого человека с более широкими правами, даст другой результат. То есть полномочия агента — это не фиксированное свойство самого агента, а функция от того, кто стоит за ним прямо сейчас.

Цепочки агентов: отдельно прописан кейс делегирования: когда агент передаёт задачу субагенту, идентичность и права исходного человека сохраняются по цепочке. Это закрывает классическую дыру — субагент не может внезапно получить более широкие права, чем были у человека на старте цепочки.

Что считается «риском», который запускает отзыв доступа: если контекст меняется — например, обнаружена новая уязвимость или у человека изменился статус в HR-системе — доступ отзывается немедленно. Второй пример — увольнение — особенно показателен: то есть агент может потерять доступ не из-за собственного поведения, а просто потому, что человек, от имени которого он действовал, уже не сотрудник.

Решение построено на технологии, полученной CrowdStrike через приобретение стартапа SGNL в январе этого года.

У Microsoft есть Entra Agent ID — фреймворк идентичности и безопасности, который расширяет возможности Entra на ИИ-агентов. Принципиальное отличие: агентные идентичности не имеют собственных credentials — они получают токены через так называемый blueprint идентичности агента, то есть архитектурно похоже на SPIFFE-подход CrowdStrike, но завязано целиком на экосистему Microsoft. Но, у CrowdStrike авторизация агента опирается не только на identity-граф, но и на телеметрию с эндпоинтов и Falcon AIDR (анализ намерений в промптах). А вот у Microsoft это все без столь глубокой интеграции с endpoint/threat detection.
 
@gostev_future
🤔3🔥2🤮1💩1🖕1
Прогнозы о будущем от CEO глобальных компаний — это всегда интересно. Вот намедни глава Qualcomm Кристиано Амон выдал на гора много инсайтов:

На Computex 2026 он назвал 2026 год "годом агентов" — ИИ-агенты фундаментально изменят отношения человечества с технологиями, а телефон, который сегодня является центром цифровой жизни, со временем уступит место агенту, доступному с любого подключённого устройства — наушников, очков, смартфона или ноутбука.

Амон привёл пример агента, который мгновенно достаёт детали банковской транзакции, избавляя пользователя от необходимости открывать приложение и искать информацию вручную. Его формулировка: приложения "не мертвы", но они изменятся — агенты станут новым слоем интерфейса.

Сдвиг в типах устройств может открыть дверь для совершенно новых компаний на рынке потребительской электроники. Пример, который привёл сам Амон — в прошлом году OpenAI купила io, хардверный стартап основателя легендарного дизайна Apple Джони Айва, заходя на рынок потребительских устройств. Логика по словам Амона: все носимые устройства становятся точками входа для агентов, и ИИ-компании понимают, что им нужно выиграть борьбу за эти точки входа. Это объясняет, почему в гаджеты внезапно лезут компании, которые раньше железом вообще не занимались.

Зачем им это — данные. Эти устройства будут собирать данные в масштабе, экспоненциально превышающем объём данных, использованных для обучения самих ИИ-моделей. То есть носимые устройства — это не просто интерфейс к агенту, а новый канал сбора датасетов для следующего поколения моделей, которые этими же агентами и будут управлять.

Главный кандидат на роль преемника смартфона — умные очки, из-за близости к глазам, ушам и рту, идеальной точки для агентных сценариев. Параллель, которую он проводит: сегодняшние смарт-очки похожи на ранние смартфоны с десятком приложений — экосистема будет расти так же, как выросла с сотен до тысяч приложений, только здесь вместо приложений будут агенты. Релиз очков Амон обещает в этом году.

Qualcomm работает над более чем 40 дизайнами новых ИИ-устройств. К 2028 году значимая часть рабочих нагрузок сместится с телефонов на новые гаджеты. В течение пяти лет такие устройства станут доминирующими, обслуживая сотни миллионов людей по всему миру. Ставка Амона на форм-факторы — очки, часы, кулоны, украшения.

Как следствие — чипы должны меняться под всё более компактные гаджеты где ограничения по питанию и теплу куда жёстче, чем в телефоне.
 
@gostev_future
🔥7😱31🤯1
Больше всего в риторике Microsoft меня забавляет её бесхитростная лживость.

Забравшись на большую сцену, генеральный директор рассказывал, как станут не нужны приложения. Про дивный новый мир. А операционная система Windows останется нужной, да?

В чём преимущество Windows? Во встроенном в OEM-поставку антивирусе McAfee?

У Microsoft нет экосистемы помимо Office. И её они каннибализировали Copilot'ом, который просто ещё один чат с LLM.

Зачем мне Copilot, Windows, Microsoft и Сатья Наделла, когда я могу поставить на VPS с Debian всё, что мне нужно для работы?

У Microsoft, в отличие от Apple и Google, нет пользовательских устройств, с которыми люди проводят 90% времени.

Какие-то муки рождения нового Oracle.

Microsoft — это Active Directory, Azure, Excel с макросами и два прикола: Xbox и Activision. Ещё Github, который постепенно превращается в LinkedIn.
💯7🔥3🤡31👏1
Ждем, ждем

@gostev_future
🤣6🔥2🍌2😱1🤡1
Полгода назад у нас с Лёхой Андреевым в Эксмо вышла книга «Вирьё моё».
Честно говоря, мы не были уверены в успехе. Что бумажный тираж вообще кому-то понадобится в эпоху бесконечных видео, подкастов и нейросетей.

Нейросеть, кстати, сделала промо-сайт книги, и вполне неплохо собрала все критические (и хвалебные) отзывы.

Первую партию раскупили примерно за месяц. Мы отправили вторую, но и она уже почти закончилась — на «Озоне» осталось около 40 экземпляров. Так что наконец добрались до электронной версии.

У электронки есть важное преимущество. Книга построена на огромном количестве реальных историй, расследований, архивных материалов и цитат. Теперь все ссылки кликабельны, и можно сразу переходить к первоисточникам. Для документальной истории это довольно полезная функция.

А ещё электронная книга позволяет исправлять ошибки и дополнять текст уже после публикации. Пока готовили версию для Литрес, поправили некоторое количество мелких косяков. Но в одном месте захотелось добавить целый абзац.

В книге есть рассуждение о том, что крупные эпидемии компьютерных червей возникают примерно раз в семь-восемь лет: SirCam и Helkern, потом Conficker, затем WannaCry. Исходя из этой логики, следующую большую вспышку стоило ждать примерно в 2025 году.

Когда мы это писали, никакого Shai-Hulud ещё не существовало.

А потом он появился.

Редкий случай, когда прогноз в книге успел сбыться практически сразу после выхода.

В общем, если бумажную версию вы пропустили, теперь «Вирьё моё» доступна и в электронном виде:

https://www.litres.ru/74050549/

@gostev_future
👍18🔥112🍾1
1244-1-3373-1-10-20260615.pdf
635.3 KB
Эксперты Сбера и Касперского опубликовали в журнале МГУ «Современные информационные технологии и ИТ-образование» любопытную статью.

Авторы предложили двумерный бенчмарк для LLM (БЯМ) в пентесте: отдельно замерять планирование атаки и её исполнение. Раньше эти навыки смешивали в одну метрику, и было непонятно, где именно проигрывает модель — в голове или в руках.

Протестировано 11 моделей. В планировании лидер — Claude Sonnet 4.5 (78,22%), за ним GPT-5 (73,72%) и Gemini 2.5 Pro (72,16%); хуже всех — Gemini 2.5 Flash (37,66%). В исполнении первые — GPT-5 и Qwen3 Max (по 76,47%), рядом GLM 4.6 и Sonnet 4.5 (73,53%); хуже всех — Llama 3.3 70B (5,88%, в основном из-за провалов в синтаксисе вызова инструментов).

Зафиксированные сбои: галлюцинации (выдуманные IP и флаги решений), уход от задачи (агент DeepSeek бросил повышение привилегий ради решения квадратного уравнения), потеря контекста в длинных сценариях, и курьёз — агент-оценщик сам выполнил задание вместо проверки; авторы это поймали и поправили промпт.

Из списка моделей видно: пока статья готовилась, модели ушли на 1–3 поколения вперёд. Но цель была не зафиксировать сегодняшние цифры, а собрать бенчмарк, применимый и в будущем — датасет и код обещают выложить на GitVerse в открытом доступе.

Тут у меня есть замечания.

CSL-Benchmark собран из 846 шагов 44 отчётов с платформ вроде HackTheBox — открытых и индексируемых. Риск: будущие модели уже видели эти разборы в обучении или просто найдут их поиском. Этот риск авторы вообще не упоминают в ограничениях — а это первое, что убьёт чувствительность бенчмарка: рост баллов будет значить не «модель стала умнее», а «модель выучила ответы».

K-Benchmark прогонялся по одному разу на задачу — доверительные интервалы широкие, точный тест Фишера не находит значимой разницы между соседними моделями в таблице. Значимо они отличаются только от явных отстающих, вроде Llama 3.3 70B. То есть нынешний рейтинг — это точечные оценки, не строгое ранжирование.

Покрытие ATT&CK узкое: 3 тактики из 14 (доступ, закрепление, привилегии), без бокового перемещения, эксфильтрации, Active Directory и облаков — честно признанное самими авторами ограничение.

И момент, который авторы не назвали риском: судья в K-Benchmark — тот же Claude Sonnet 4.5, который заодно сидит в таблице как тестируемый агент (73,53%). Модель частично оценивает саму себя, и нет гарантии, что она не снисходительнее к своему стилю рассуждений. В ограничениях это не обсуждается — хотя ровно об этом риске говорит их же случай, когда оценщик решил задачу за испытуемого.

Как фреймворк — методология переживёт смену моделей: разделение планирования и исполнения, привязка к ATT&CK и проверенный экспертами судья — это здравые решения. А вот конкретные цифры — снимок с коротким сроком жизни: контаминация датасета, слабая статистика и судья-в-доле снизят значимость быстрее, чем хотелось бы. У авторов есть план расширения — больше тактик, AD-окружения, повторные прогоны. Если реализуют — инструмент останется живым.

@gostev_future
👍5🔥2
В соцсетях кричат что Клод перестал работать у всех. Антропик ошибок не видит.

🍿

@gostev_future
👍1🔥1🤔1
Почти часовая неработоспособность Клода сегодня (наконец заметили и вроде поправили) — оживила опасения: а не заставили ли США отключить от модели весь остальной мир? Год назад такой вопрос выглядел бы паранойей, но последние события заставляют отнестись к нему серьёзно.

Совпало это с новостью, что JP Morgan запретил сотрудникам гонконгского офиса пользоваться Claude. По факту это не новый запрет, а принудительное применение уже существовавшего пункта контракта — Гонконг и раньше был вне официальной поддержки, просто на фоне истории с Fable/Mythos комплаенс стал жёстче это отслеживать. Но самоцензура в глобальных компаниях уже идёт: раньше похожий запрет ввёл Goldman Sachs. И в то, что взамен JP Morgan подсунет сотрудникам китайскую модель, верится с трудом.

Представьте: вы глобальная компания с офисами по всему миру, где работают граждане десятков стран, и вы, конечно, сидите на американском ИИ. США запрещают — или вы сами экстраполируете риски — и все «не американцы» в компании остаются без инструмента, а дальше следуют сокращения.
А если компания не американская изначально: вы открываете офис в США и нанимаете американцев, создали рабочие места, платите налоги — то есть сделаете именно то, что любой президент США называет главной целью своей работы.

История с Anthropic, которому прикрыли Фаблю, — похоже, только первый шаг. Удобная цель: культура компании — анти-MAGA, демократическая, воукистская, то есть прямая оппозиция Трампу. На них можно обкатать меру: пусть немного пострадают, а дальше аналогичные шаги против OpenAI, Google, Grok будут восприниматься как обычное дело.

Ирония в том, что сам Anthropic не просто призывал регулировать себя — он публично настаивал на жёстком сдерживании китайских моделей всеми доступными методами, вплоть до экспортных ограничений и санкций. Ровно в дни визита Трампа в Китай компания выпустила статью: демократии, а не авторитарные режимы, должны вести в развитии ИИ, потому что именно они формируют правила игры — а если Запад не закроет лазейки, к 2028 году китайская ИИ-экосистема догонит американскую, и правила будут писать авторитарные режимы.

Белый дом, похоже, думает иначе: остальной мир обойдётся, такая корова нужна самому, еще и рабочие места так создадим — и идёт по пути ограничения доступа для всех, включая союзников, по сути толкая мир в объятия китайских моделей.

Тем временем DeepSeek привлёк больше $7 млрд при оценке выше $50 млрд, по данным Ramp возглавил список самых быстрорастущих вендоров среди компаний США (платят напрямую, гоняя данные через китайскую платформу), а США отложили включение компании в торговый чёрный список, чтобы не злить Пекин. Microsoft рассматривает DeepSeek для Copilot Cowork — логично: если на Windows в Индии не будет никакого ИИ, не будет и Windows в Индии.

Чувствуете, куда это движется?

@gostev_future
🔥41
Accenture объявила о создании одной из крупнейших в мире платформ для защиты критической инфраструктуры. Для этого компания покупает контрольный пакет Dragos (мои персональные поздравления Роберту Ли 🔥) — одного из самых известных игроков в области промышленной кибербезопасности, а также приобретает runZero (а тут HD Moore) и NetRise.

Общая стоимость сделок оценивается примерно в $4,2 млрд. Заявленная цель — помочь операторам энергетики, транспорта, промышленности и других критически важных объектов защищаться от растущего числа атак на фоне развития искусственного интеллекта и усиления геополитической напряжённости.

Интересна новость не столько про очередное поглощение, сколько про то, что Accenture фактически собирает собственный «киберконгломерат» вокруг защиты критической инфраструктуры.

Если смотреть на технологии, пазл складывается довольно логично:

Dragos — защита промышленных сетей, энергетики, заводов, транспорта и другой промышленной инфраструктуры.
runZero — обнаружение активов и инвентаризация того, что вообще подключено к сети.
NetRise — анализ прошивок и цепочек поставок программного обеспечения.

То есть идея — получить полный цикл: «найти всё оборудование → проверить происхождение и уязвимости ПО → мониторить реальные атаки на промышленные системы».

Любопытно и время объявления. Оно выходит буквально на фоне резкого падения акций Accenture после отчётности и снижения прогноза роста бизнеса. Одновременно компания объявляет о киберсделках примерно на $4,2 млрд и вообще планирует потратить до $9 млрд на поглощения в этом году.

Ещё несколько лет назад крупные игроки говорили про «цифровую трансформацию», облака и нулевое доверие. Теперь в пресс-релизе на первом месте стоят:

- ИИ-угрозы;
- геополитические риски;
-защита критической инфраструктуры;
-физические операции и промышленные объекты.

Фактически мы наблюдаем превращение кибербезопасности обратно в вопрос национальной инфраструктуры. Не защита ноутбуков и офисной почты, а защита электросетей, нефтепроводов, заводов, логистики и дата-центров.

Если посмотреть шире, то Accenture сейчас делает ставку на тезис, который всё чаще звучит и в отрасли, и на уровне государств: следующая большая кибервойна будет идти не за данные, а за физические процессы. За свет, воду, транспорт, связь и производство.

Именно поэтому консалтинговая компания внезапно тратит миллиарды не на очередной AI-стартап, а на специалистов по промышленной безопасности.

@gostev_future
🔥9🤡1
ИИсторИИ / Глава третья – Коробка с градиентом

В старые времена продавать безопасность было проще.

Приходишь к заказчику и говоришь:

— У вас вирусы.

Заказчик спрашивает:

— Где?

Ты показываешь.

Заказчик вздыхает и покупает антивирус.

Потом стало сложнее. Нужно было продавать защиту периметра, почты, веба, конечных точек, серверов, облаков, контейнеров, приложений, данных, учётных записей, привилегированного доступа и человеческой психики. Последнее, правда, обычно называлось awareness training, чтобы звучало менее безнадёжно.

Но всё равно в большинстве случаев можно было объяснить проблему относительно прямо.

Вот злоумышленник. Вот система. Вот атака. Вот ущерб. Вот наш продукт.

В AI-security всё оказалось хитрее.

Потому что злоумышленника иногда нет. Система вроде бы легитимная. Пользователь действует добровольно. Данные уходят не в подвал к преступникам, а в модный сервис с красивым логотипом, советом директоров, пресс-релизами и офисом, где наверняка дают хороший кофе.

Попробуй объясни финансовому директору, что это тоже риск.

Финансовый директор слушает, кивает и спрашивает:
— А у нас уже были инциденты?

Ты говоришь:
— Пока нет.

Он спрашивает:
— Тогда почему бюджет нужен сейчас?

И вот здесь продавец безопасности должен проявить настоящее искусство.

Потому что главная валюта ИБ — это не технологии.

Главная валюта ИБ — это убедительный страх.

#

Страх бывает плохой и хороший.

Плохой страх — это когда вендор приходит и начинает кричать, что завтра компанию взломают северокорейские хакеры, искусственный интеллект сольёт все данные, регулятор выпишет штраф, акции упадут, директор пойдёт на допрос, а бухгалтерия будет плакать в архиве.

Такой страх работает только на самых юных рынках.
Или на очень усталых руководителях.

Хороший страх устроен тоньше.

Он не орёт.

Он кладёт на стол три факта, два графика, один свежий кейс и задаёт вопрос, после которого в комнате становится чуть холоднее:

— Вы точно знаете, какие данные ваши сотрудники уже отправляют во внешние AI-сервисы?

Вот это продаёт лучше.

Потому что ответ почти всегда один:

— Нет.

А слово «нет» в безопасности — это начало бюджета.
#

Ранее:
Глава 1.
Человек из будущего
Глава 2.
Промпт с котятами

@gostev_future #ИИстории
💯5👍2🔥2👏1🎉1
В Бразилии высадились инопланетяне.
Что?!

Ночью 20 июня (около 1:30) бразильская система экстренного оповещения Defesa Civil Alerta была взломана. Атакующий получил доступ к официальному номеру WhatsApp ведомства в Бразилиа и рассылал сообщения типа «Алерт Экстремо» по всей стране.

Что получили люди:
— В Белу-Оризонти — сообщение через WhatsApp: «Защититесь: атака инопланетян. Люди, мы прибыли» плюс предупреждение о торнадо.
— В Рио — SMS с текстом «misantropo ADRESS RJ burros dms pprt» (т.е. «тупые, бро»).

Система использует CellBroadcast — технологию вещания на уровне GSM, управление которой технически разделено между Defesa Civil и регулятором Anatel.

Сигнал категории «Alerta Extremo» автоматически блокирует экран телефона и издаёт звуковой сигнал — механизм, предназначенный исключительно для предупреждений о стихийных бедствиях.

Министерство интеграции квалифицировало произошедшее как «вероятную хакерскую атаку», платформа была отключена в 1:30, Федеральная полиция начала расследование.

Классический случай компрометации critical infrastructure с низкой деструктивностью, но высоким публичным эффектом — атакующий явно тестировал возможности (или троллил), а не пытался вызвать панику.

Интересна точка входа: WhatsApp-канал vs. CellBroadcast — судя по географии инцидентов, были задействованы оба вектора.

@gostev_future
😁9🤔2
Forwarded from Sokolovskiy
Цена доступа

Нам кажется, что киберпреступников интересуют только те, у кого много денег на счету. Но на практике важнее не сумма, а то, к чему человек может дать доступ. К рабочей почте, перепискам, коллегам, руководителям, внутренним системам компании.

Сегодня у меня в подкасте Александр Гостев – главный технологический эксперт «Лаборатории Касперского», стоявший у истоков развития компании, и один из создателей команды GReAT. Более 30 лет он изучает цифровые угрозы и участвует в расследовании международных киберпреступлений совместно с Интерполом.

В выпуске мы поговорили о том, как устроена экономика взломов: почему доступ к данным через одно сообщение на iPhone может стоить до 2 млн долларов и как определяется, кто становится целью такой атаки.

Обсудили, как нейросети меняют киберпреступность, почему угроз стало в тысячи раз больше и как хакеры воруют деньги у банков, криптобирж и целых компаний.

Отдельно поговорили о хакерах из КНДР, кибератаках как инструменте государств, безопасности переписок в мессенджерах и базовых правилах, которые действительно снижают риски.

Получился разговор о цифровой безопасности, которую сегодня нельзя игнорировать. Обязательно к просмотру каждому.

Залетайте смотреть: https://youtu.be/jlTkpLfdN78 🤘❤️‍🔥

Не забудьте воткнуть лайк и поделиться выпуском с друзьями.
🔥216🏆5
Media is too big
VIEW IN TELEGRAM
Как видно, по репосту выше, поучаствовал в записи подкаста популярнейшего блогера Александра Соколовского.

Оказался вторым представителем кибербеза в эфире, после Юры Максимова в 2024 😁 Но там было в основном про бизнес и визионерство, а мы пошли прямо по хардкору.

Очень интересный для меня опыт и огромное спасибо Александру и его команде за этот подкаст!

@gostev_future
1👍14🔥83👏1
Удивительно, конечно, насколько отличается подход двух монстров к позиционированию. Антропик – ну вы сами всё знаете – ой-ой, мы сделали самого ужасного ИИ-монстра, которого нельзя выпускать в свет, дадим только избранным, ой-ой, нам запретили, ой-ой, он там взломал все чаты (чтооо?) в АНБ и надо уже звать Папу Римского.

В то же самое время OpenAI выдаёт на публику потрясающе внятные стейтменты о том же самом, но оцените, насколько другими словами:

Мы расширяем OpenAI Daybreak, чтобы сделать патчинг уязвимого ПО доступным на машинной скорости:
·       Плагин Codex Security: поиск, валидация и устранение уязвимостей прямо внутри Codex
·       Полная версия модели GPT-5.5-Cyber: мощный инструмент для авторизованных защитников
·       Cyber Partner Program: программа для компаний в сфере безопасности, использующих наши лучшие киберзащитные возможности для защиты программного обеспечения
·       Patch the Planet: наша инициатива по помощи open source мейнтейнерам: от выявления уязвимостей до принятия исправлений в основную ветку.

Codex Security предоставляет защитникам готовые к работе security-воркфлоу. Команды могут запускать глубокое сканирование, валидировать результаты, строить цепочки атак, формировать модели угроз, генерировать специфичные для кодовой базы патчи для ревью и экспортировать данные в уже используемые инструменты.

GPT-5.5-Cyber — наша наиболее мощная киберзащитная модель на сегодняшний день, созданная для продвинутой, авторизованной оборонительной работы: трассировки уязвимого кода, валидации проблем, разработки патчей и подготовки доказательной базы для проверки человеком.


Чувствуете, насколько снижается тревожность?

@gostev_future
💯5🔥2👌1
This media is not supported in your browser
VIEW IN TELEGRAM
Кэти Муссурис, евангелист американского Bug Bounty движения, от души приложила Microsoft за историю с Nightmare Eclipse, еще раз доступно пояснив:

«Никто не обязан вам ничем, обнаружив баг в вашем программном обеспечении. Вы — создатель программного обеспечения, и именно вы обязаны своим клиентам сделать всё возможное: устранить уязвимость, предотвратить её появление в будущем и исправить её. А если вам сообщили об уязвимости в частном порядке, то это ваша задача — снизить риск того, что исследователь настолько разозлится на вас — что он сбросит 0-day в публичный доступ. И это тоже вина Microsoft. Что бы ни произошло между ними и исследователем — в конечном счёте это вина Microsoft. Почему? Потому что риск публичного раскрытия и того, что исследователь будет доведён до бешенства, — это риск, которым они обязаны управлять. Ведь именно они написали эти баги в своём программном обеспечении.»


А далее она еще делает интересную ремарку о том, почему Microsoft сейчас испортился, хотя раньше задавал стандарты в реагировании на уязвимости:

Единственная причина, по которой появился меморандум о надёжных вычислениях — то самое, что заставило Microsoft всерьёз заняться безопасностью, фраза, которая звучала в каждом сообщении о кибербезопасности, — так вот, его породила экзистенциальная угроза их прибыли. Не законы об ответственности за ПО.

Дело было в том, что набирал силу Linux. Это были начало нулевых, конец девяностых, нулевые. Linux набирал силу, а американское правительство устало от червей, которые эксплуатировали уязвимости Microsoft. И они сказали: разберитесь с этим, иначе мы переведём всё американское правительство на Linux. Это была экзистенциальная угроза, потому что тогда это составляло значительную долю выручки Microsoft. Интернет был тогда куда меньше. Patch Tuesday не выходил по вторникам — патчи выпускали когда были готовы — и патч скачивали, допустим, пятьсот тысяч машин. Это была большая часть интернета в то время.

Так что тогда существовала реальная экономическая экзистенциальная угроза. Сейчас её нет. А значит, нет и мотивации ни для одной из этих компаний — ни для Microsoft, ни для кого другого — становиться лучше в этом плане. К сожалению.


@gostev_future
💯8🔥6
В подкасте Александра Соколовского мы немного поговорили о квантовых вычислениях и о том, чего там надо бояться.

И как раз подоспели новости из США на тему. Про квантовые технологии, как next big thing, я писал пару месяцев назад – так что давайте посмотрим, что там происходит прямо сейчас.

Вчера американский рынок падал. Пока полупроводники тянули рынок вниз — Marvell и Micron падали, Nasdaq и S&P в минусе — квантовые акции шли против течения. Infleqtion +16,7%, Quantinuum +19,3%, D-Wave +9,2%, IBM +6,1%. Причина — два указа Трампа, подписанных поздно вечером в понедельник.
 
Что именно подписали:
Первый указ — строительство первого квантового компьютера «достаточно мощного для научных исследований». Технические характеристики разрабатывает Минэнерго, машина должна появиться в одной из национальных лабораторий к 2028 году. Формулировка немного лукавая — нынешние квантовые компьютеры уже используются в науке. Но политический сигнал понятен.

Второй указ — кибербезопасность. Правительство США официально ставит дедлайн перехода на постквантовую криптографию: 2031 год. Угроза конкретная: квантовый компьютер достаточной мощности сможет взломать большую часть существующего шифрования. Google предупреждает — это может произойти уже к 2029-му. Другие эксперты называют 2030-е.

Что это значит на практике: весь трафик, зашифрованный сегодня по RSA и ECC, теоретически можно собирать уже сейчас — и расшифровать потом, когда появится достаточно мощный квантовый компьютер. Тактика называется «harvest now, decrypt later».

Оба указа — продолжение майской инициативы: $2 млрд от Министерства торговли на развитие квантовой отрасли, включая прямые доли в небольших компаниях и партнёрство с IBM для создания отдельного квантового завода. Для IBM аналитики считают рост ИИ-сервисов главным катализатором для бизнеса компании.

Почему Infleqtion выстрелила сильнее всех:
Во-первых, CEO компании Мэтт Кинселла лично присутствовал на подписании — рядом с главой IBM Арвиндом Кришной и президентом Alphabet Рут Порат. Во-вторых, один из указов обязывает NASA и другие федеральные агентства разработать планы по развёртыванию квантовых сетей и сенсоров. Infleqtion как раз делает квантовые сенсоры и атомные часы — и уже поставила оборудование на МКС.

NIST постквантовые стандарты уже утверждены (ML-KEM, ML-DSA). Вопрос не в том, есть ли алгоритмы — вопрос в том, успеет ли инфраструктура мигрировать.

Квантовый сектор давно живёт под огнём критики за хайп и спекуляции. Но в тот день, когда весь рынок сдавал позиции из-за переоценённого ИИ, Вашингтон обеспечил квантовым бумагам идеальное укрытие от шторма.
 
 @gostev_future
👍4🔥2