По данным спецслужб Тайваня, Пекин атакует ИИ-сектор и производителей чипов, чтобы преодолеть технологическую блокаду. На острове фиксируют всплеск промышленного шпионажа: китайские компании используют теневые каналы, нелегально хантят инженеров, похищают интеллектуальную собственность и закупают оборудование в обход экспортного контроля.
Параллельно растет давление в киберпространстве. Только за первый квартал года ИТ-сети Тайваня зафиксировали свыше 170 млн попыток несанкционированного проникновения с целью сбора данных и слежки.
reuters.com
Please open Telegram to view this post
VIEW IN TELEGRAM
👍37😁12🤯8😢5🤬4❤3🔥3
🛡 В Steam появился симулятор хакера HackHub - игра, где можно почувствовать себя киберпанковским мятежником, но без визита людей в форме.
По сюжету ты лезешь в таинственные базы данных, вскрываешь цифровые заговоры и пытаешься сорвать глобальную систему слежки. Всё в лучших традициях «мы против системы», только в формате клавиатура + терминал.
Фишка в том, что миссии завязаны на инструментах, которые выглядят как настоящие:
• сетевые запросы
• сканирование узлов
• перебор уязвимостей
Звучит сурово, но это всё в рамках геймплея - учишься логике работы сетей и безопасности через механику игры, а не через скучные лекции.
Плюс есть русский язык, так что можно полностью погрузиться в роль цифрового диверсанта, не спотыкаясь о интерфейс.
Идеальный способ почувствовать себя хакером… легально, с ачивками и без уголовного кодекса ⌨️💻
https://store.steampowered.com/app/2980270/HackHub__Ultimate_Hacker_Simulator/
По сюжету ты лезешь в таинственные базы данных, вскрываешь цифровые заговоры и пытаешься сорвать глобальную систему слежки. Всё в лучших традициях «мы против системы», только в формате клавиатура + терминал.
Фишка в том, что миссии завязаны на инструментах, которые выглядят как настоящие:
• сетевые запросы
• сканирование узлов
• перебор уязвимостей
Звучит сурово, но это всё в рамках геймплея - учишься логике работы сетей и безопасности через механику игры, а не через скучные лекции.
Плюс есть русский язык, так что можно полностью погрузиться в роль цифрового диверсанта, не спотыкаясь о интерфейс.
Идеальный способ почувствовать себя хакером… легально, с ачивками и без уголовного кодекса ⌨️💻
https://store.steampowered.com/app/2980270/HackHub__Ultimate_Hacker_Simulator/
❤42🔥18👍13😁4👎3🥰2
Сисадмины, общий сбор 🗣️
Увидимся на Selectel Admin MeetUp — традиционном бесплатном мероприятии для системных администраторов, DevOps-инженеров и техлидов.
⏰ 23 апреля, 18:30
📍 Онлайн и офлайн в Санкт-Петербурге
В программе:
🔹 обзор на инструмент автоматического обновления зависимостей с открытым кодом от Андрея Ефремова, руководителя направления безопасности облака Selectel;
🔹 доклад про неочевидные проблемы контроля проектов от Артема Бердашкевича,
руководителя группы DevSecOps Positive Technologies.
И это не все. Вас ждет секретный доклад и нетворкинг: задавайте вопросы напрямую экспертам 💯
Регистрируйтесь по ссылке, чтобы принять участие: https://slc.tl/bkkh6
Больше технических мероприятий и вебинаров для сисадминов в канале @selectel_events. Следите за обновлениями 🔔
Реклама. АО "Селектел". erid:2W5zFHM9d2y
Увидимся на Selectel Admin MeetUp — традиционном бесплатном мероприятии для системных администраторов, DevOps-инженеров и техлидов.
⏰ 23 апреля, 18:30
📍 Онлайн и офлайн в Санкт-Петербурге
В программе:
🔹 обзор на инструмент автоматического обновления зависимостей с открытым кодом от Андрея Ефремова, руководителя направления безопасности облака Selectel;
🔹 доклад про неочевидные проблемы контроля проектов от Артема Бердашкевича,
руководителя группы DevSecOps Positive Technologies.
И это не все. Вас ждет секретный доклад и нетворкинг: задавайте вопросы напрямую экспертам 💯
Регистрируйтесь по ссылке, чтобы принять участие: https://slc.tl/bkkh6
Больше технических мероприятий и вебинаров для сисадминов в канале @selectel_events. Следите за обновлениями 🔔
Реклама. АО "Селектел". erid:2W5zFHM9d2y
👍8❤3
🚨 Франция уходит с Windows на Linux - это уже вопрос суверенитета
Франция официально делает Linux-десктопы частью государственной политики. Все министерства должны представить план миграции к осени 2026.
Причина простая и жёсткая - зависимость от американских технологий теперь рассматривается как риск для страны.
И речь не про отдельные сервисы, а про сам десктоп как элемент инфраструктуры.
В Европе это начинают осознавать всё сильнее. Слишком много критичных систем завязано на стек США.
Но технически это непростая история.
Windows в госструктурах - это не просто ОС. Это целая экосистема:
• Active Directory
• форматы Office
• системы безопасности
• управление устройствами
внутренние приложения
Переход на Linux - это фактически пересборка всего этого слоя с нуля.
Если проект доведут до конца, это может стать самым крупным отказом от Windows на уровне государства и задать тренд для всей Европы
linuxiac.com/france-launches-government-linux-desktop-plan-as-windows-exit-begins/
Франция официально делает Linux-десктопы частью государственной политики. Все министерства должны представить план миграции к осени 2026.
Причина простая и жёсткая - зависимость от американских технологий теперь рассматривается как риск для страны.
И речь не про отдельные сервисы, а про сам десктоп как элемент инфраструктуры.
В Европе это начинают осознавать всё сильнее. Слишком много критичных систем завязано на стек США.
Но технически это непростая история.
Windows в госструктурах - это не просто ОС. Это целая экосистема:
• Active Directory
• форматы Office
• системы безопасности
• управление устройствами
внутренние приложения
Переход на Linux - это фактически пересборка всего этого слоя с нуля.
Если проект доведут до конца, это может стать самым крупным отказом от Windows на уровне государства и задать тренд для всей Европы
linuxiac.com/france-launches-government-linux-desktop-plan-as-windows-exit-begins/
🔥77👍41😁17❤10👏6🤔5🤯2
🎓 GOOGLE СДЕЛАЛИ ЛУЧШИЙ WATERMARK ДЛЯ КАРТИНОК. И ОН ВСЁ РАВНО НЕ РЕШАЕТ ПРОБЛЕМУ ОБХОДА
В каждую картинку от Google вшит невидимый watermark SynthID. Он не в метаданных и не сверху. Он встроен в сами пиксели во время генерации.
Удалить его нельзя без разрушения изображения. Это подтвердили и исследователи.
Что произошло сейчас. Один пентестер сгенерировал полностью чёрные и белые картинки, где нет ничего кроме watermark. Через математику вытащил его “отпечаток”.
Он не удалил watermark. Он смог только иногда обмануть детектор. Лучший результат около 16 процентов обхода после большого количества экспериментов.
Этот watermark работает только для картинок от Google.
Любые изображения из Midjourney, DALL-E или open source моделей вообще без watermark.
То есть система видит только “свои” картинки и игнорирует всё остальное.
И при этом регуляции уже строятся вокруг watermark. После White House AI Commitments 2023 и в рамках EU AI Act это становится стандартом.
Есть сильная технология, которая хорошо работает внутри одной экосистемы.
Проблема не в том, что watermark можно запутать.
Проблема в том, что он не покрывает рынок целиком.
Команда из University of Waterloo сделала тулзу UnMarker. Да, она снижает вероятность обнаружения. Но требует мощного железа вроде NVIDIA A100 GPU и не даёт полного удаления.
Подход полностью black-box. Без доступа к детектору, без знания алгоритма, без спецданных.
Результат - детекция падает с 100 процентов до примерно 21. То есть большая часть watermark’ов просто перестаёт определяться.
Google не проигнорили. Заплатили багбаунти, признали проблему и ограничили доступ к API проверки SynthID. Фактически закрыли возможность массово тестировать атаки.
https://github.com/aloshdenny/reverse-SynthID
В каждую картинку от Google вшит невидимый watermark SynthID. Он не в метаданных и не сверху. Он встроен в сами пиксели во время генерации.
Удалить его нельзя без разрушения изображения. Это подтвердили и исследователи.
Что произошло сейчас. Один пентестер сгенерировал полностью чёрные и белые картинки, где нет ничего кроме watermark. Через математику вытащил его “отпечаток”.
Он не удалил watermark. Он смог только иногда обмануть детектор. Лучший результат около 16 процентов обхода после большого количества экспериментов.
Этот watermark работает только для картинок от Google.
Любые изображения из Midjourney, DALL-E или open source моделей вообще без watermark.
То есть система видит только “свои” картинки и игнорирует всё остальное.
И при этом регуляции уже строятся вокруг watermark. После White House AI Commitments 2023 и в рамках EU AI Act это становится стандартом.
Есть сильная технология, которая хорошо работает внутри одной экосистемы.
Проблема не в том, что watermark можно запутать.
Проблема в том, что он не покрывает рынок целиком.
Команда из University of Waterloo сделала тулзу UnMarker. Да, она снижает вероятность обнаружения. Но требует мощного железа вроде NVIDIA A100 GPU и не даёт полного удаления.
Подход полностью black-box. Без доступа к детектору, без знания алгоритма, без спецданных.
Результат - детекция падает с 100 процентов до примерно 21. То есть большая часть watermark’ов просто перестаёт определяться.
Google не проигнорили. Заплатили багбаунти, признали проблему и ограничили доступ к API проверки SynthID. Фактически закрыли возможность массово тестировать атаки.
https://github.com/aloshdenny/reverse-SynthID
👍25🔥9❤7
🔥 Linux сказал “да” ИИ-коду. Но теперь ты отвечаешь за всё
На этой неделе в проекте Linux kernel впервые официально разрешили использовать ИИ при написании кода. Но с важным условием - вся ответственность теперь полностью на разработчике.
Позиция Линуса Торвальдса максимально простая: ИИ - это просто инструмент. Если разработчик приносит плохой код, проблема не в инструменте, а в нём самом. Поэтому вместо запретов решили ужесточить правила ответственности.
Ключевой момент - подпись в коммите. Строка Signed-off-by теперь ещё жёстче закрепляет правило: только человек имеет право её ставить. Это юридическое подтверждение того, что именно ты отвечаешь за код. Никакие AI-агенты не могут это делать.
Если, например, Claude сгенерировал race condition в block layer, а ты это пропустил - это твой баг. В истории останется твоя подпись, не модели.
Контекст важен. Open-source сейчас буквально захлёбывается от AI-кода сомнительного качества. Уже есть последствия:
создатель cURL закрыл bug bounty из-за потока галлюцинированных патчей
tldraw начал автоматически закрывать внешние PR
Node.js и OCaml ловят гигантские AI-патчи на 10k+ строк
Linux выбрал самый прагматичный путь - не запрещать, а заставить отвечать.
ИИ можно использовать. Но теперь без иллюзий: написал ты. Проверил ты. Отвечаешь тоже ты.
🖥 Полезные Linux ресурсы 🚀 Max
@linuxkalii
На этой неделе в проекте Linux kernel впервые официально разрешили использовать ИИ при написании кода. Но с важным условием - вся ответственность теперь полностью на разработчике.
Позиция Линуса Торвальдса максимально простая: ИИ - это просто инструмент. Если разработчик приносит плохой код, проблема не в инструменте, а в нём самом. Поэтому вместо запретов решили ужесточить правила ответственности.
Ключевой момент - подпись в коммите. Строка Signed-off-by теперь ещё жёстче закрепляет правило: только человек имеет право её ставить. Это юридическое подтверждение того, что именно ты отвечаешь за код. Никакие AI-агенты не могут это делать.
Если, например, Claude сгенерировал race condition в block layer, а ты это пропустил - это твой баг. В истории останется твоя подпись, не модели.
Контекст важен. Open-source сейчас буквально захлёбывается от AI-кода сомнительного качества. Уже есть последствия:
создатель cURL закрыл bug bounty из-за потока галлюцинированных патчей
tldraw начал автоматически закрывать внешние PR
Node.js и OCaml ловят гигантские AI-патчи на 10k+ строк
Linux выбрал самый прагматичный путь - не запрещать, а заставить отвечать.
ИИ можно использовать. Но теперь без иллюзий: написал ты. Проверил ты. Отвечаешь тоже ты.
@linuxkalii
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
👍68🔥16❤14🤔1
Forwarded from Linux Academy
🔥 Linux 7.0 - вычистили десятилетия легаси и стало реально быстрее
Линус Торвальдс наконец пошёл на радикальный шаг и начал массовую зачистку старого кода. То, что копилось годами, просто выкинули. Итог - система стала заметно проще, чище и быстрее.
Что изменилось по факту:
XFS сильно прокачали - файловая система стала надёжнее, меньше рисков потери данных и лучше ведёт себя под нагрузкой
Работа с памятью ускорилась примерно на 20%, плюс подтянули сетевой стек - соединения стабильнее при высоких нагрузках
Контейнеры теперь стартуют быстрее за счёт улучшений в open_tree - меньше оверхеда при разворачивании
В Kconfig наконец дали больше свободы кастомизации - можно заменить Tux на свой логотип
Поддержка железа тоже прокачана - AMD и Intel работают эффективнее без ручных оптимизаций
Главное здесь не список фич, а тренд. Ядро постепенно избавляется от исторического балласта и становится более предсказуемым и удобным для современных нагрузок.
https://github.com/torvalds/linux/releases/tag/v7.0
@linuxacademiya
Линус Торвальдс наконец пошёл на радикальный шаг и начал массовую зачистку старого кода. То, что копилось годами, просто выкинули. Итог - система стала заметно проще, чище и быстрее.
Что изменилось по факту:
XFS сильно прокачали - файловая система стала надёжнее, меньше рисков потери данных и лучше ведёт себя под нагрузкой
Работа с памятью ускорилась примерно на 20%, плюс подтянули сетевой стек - соединения стабильнее при высоких нагрузках
Контейнеры теперь стартуют быстрее за счёт улучшений в open_tree - меньше оверхеда при разворачивании
В Kconfig наконец дали больше свободы кастомизации - можно заменить Tux на свой логотип
Поддержка железа тоже прокачана - AMD и Intel работают эффективнее без ручных оптимизаций
Главное здесь не список фич, а тренд. Ядро постепенно избавляется от исторического балласта и становится более предсказуемым и удобным для современных нагрузок.
https://github.com/torvalds/linux/releases/tag/v7.0
@linuxacademiya
👍72🔥14❤7🤔2👎1
This media is not supported in your browser
VIEW IN TELEGRAM
🔧 Вышел «Claude Code для хакеров» - Decepticon. И это уже не игрушка, а полноценный боевой агент, который может заменить команду пентестеров.
ИИ строит цепочки атак и ломает бизнес-логику систем. По сути, ты получаешь симуляцию настоящего противника у себя под рукой.
Главное отличие от подобных решений - автономность.
Агент сам принимает решения, двигается по системе и подбирает стратегии под задачу. Тебе не нужно вручную вести каждый шаг, достаточно задать цель.
Под каждую задачу поднимается отдельный агент, чтобы не было каши в контексте и лишней нагрузки. Управление через консоль - без перегруза, всё быстро и понятно.
Разворачивается через Docker, а вся активность остаётся внутри изолированной среды. Можно спокойно тестировать сценарии атак и прокачивать навыки без риска.
Фактически это твой персональный red team в коробке.
https://github.com/PurpleAILAB/Decepticon
ИИ строит цепочки атак и ломает бизнес-логику систем. По сути, ты получаешь симуляцию настоящего противника у себя под рукой.
Главное отличие от подобных решений - автономность.
Агент сам принимает решения, двигается по системе и подбирает стратегии под задачу. Тебе не нужно вручную вести каждый шаг, достаточно задать цель.
Под каждую задачу поднимается отдельный агент, чтобы не было каши в контексте и лишней нагрузки. Управление через консоль - без перегруза, всё быстро и понятно.
Разворачивается через Docker, а вся активность остаётся внутри изолированной среды. Можно спокойно тестировать сценарии атак и прокачивать навыки без риска.
Фактически это твой персональный red team в коробке.
https://github.com/PurpleAILAB/Decepticon
❤24🔥14🤔9👍2👎1
Переезд с Windows без кнопки «боль» разблокирован — всё на вебинаре по Astra Migration!
«Группа Астра» анонсирует свой новый продукт, который автоматизирует переезд с Windows на Astra Linux.
В программе вебинара:
✔️ Какие задачи решает Astra Migration.
✔️ Как администратору запланировать переход, настроить сценарии и волны миграции, отслеживать результаты.
✔️ Как уведомить работника о предстоящей миграции, чтобы не прервать бизнес-процессы.
Самый большой блок посвящен живой демонстрации работы решения. Вы сможете сразу оценить Astra Migration в деле.
Когда: 23 апреля в 11:00 МСК
🔵 ЗАРЕГИСТРИРОВАТЬСЯ
«Группа Астра» анонсирует свой новый продукт, который автоматизирует переезд с Windows на Astra Linux.
В программе вебинара:
Самый большой блок посвящен живой демонстрации работы решения. Вы сможете сразу оценить Astra Migration в деле.
Пользователи спокойно переезжают на Astra Linux. Администраторы — выдыхают.
Когда: 23 апреля в 11:00 МСК
Please open Telegram to view this post
VIEW IN TELEGRAM
👎40😁12🤬4👍3❤2
🚨 В открытом GitHub утекло 29 миллионов секретов за прошлый год
Пароли. API-ключи. Токены.
И почти всегда это происходит по одной причине, разработчик просто не заметил.
Есть бесплатный инструмент, который ловит такие вещи ДО релиза.
Называется Trivy.
Одна команда и он проверяет весь твой стек:
контейнеры, код, Kubernetes, cloud - всё сразу.
• Без платных тарифов
• Без продажников
• Без “enterprise only”
Просто запускаешь и получаешь отчёт.
Что он находит:
→ уязвимости во всех зависимостях и пакетах
→ пароли, API-ключи и секреты в коде
→ ошибки конфигурации в cloud и контейнерах
→ проблемы с лицензиями
→ полный список всего, что ты деплоишь
Две строки и у тебя полный security-аудит.
https://github.com/aquasecurity/trivy
Пароли. API-ключи. Токены.
И почти всегда это происходит по одной причине, разработчик просто не заметил.
Есть бесплатный инструмент, который ловит такие вещи ДО релиза.
Называется Trivy.
Одна команда и он проверяет весь твой стек:
контейнеры, код, Kubernetes, cloud - всё сразу.
• Без платных тарифов
• Без продажников
• Без “enterprise only”
Просто запускаешь и получаешь отчёт.
Что он находит:
→ уязвимости во всех зависимостях и пакетах
→ пароли, API-ключи и секреты в коде
→ ошибки конфигурации в cloud и контейнерах
→ проблемы с лицензиями
→ полный список всего, что ты деплоишь
brew install trivy
trivy image your-app:latest
Две строки и у тебя полный security-аудит.
https://github.com/aquasecurity/trivy
👍17❤6😁6
Selectel работает — вы зарабатываете до 20% от чека клиентов
Становитесь партнером ведущего независимого провайдера ИТ-инфраструктуры, рекомендуйте качественный сервис и получайте пассивный доход от реферальной программы. Партнером может стать как юридическое, так и физическое лицо.
При регистрации в программе до 31 мая вы получите повышенную ставку 20% на 3 месяца. А после этого срока — от 10 до 15% от чека с ежемесячными выплаты без лимитов по сумме и сроку.
Ваши рефералы будут довольны. В Selectel 50+ инфраструктурных продуктов, большой выбор комплектующих для серверов и бесплатная техподдержка.
Регистрируйтесь в партнерской программе Selectel до 31 мая и получайте 20% от чека ваших рефералов первые 3 месяца: https://slc.tl/oghcw
Реклама. АО "Селектел". erid:2W5zFHbokp1
Становитесь партнером ведущего независимого провайдера ИТ-инфраструктуры, рекомендуйте качественный сервис и получайте пассивный доход от реферальной программы. Партнером может стать как юридическое, так и физическое лицо.
При регистрации в программе до 31 мая вы получите повышенную ставку 20% на 3 месяца. А после этого срока — от 10 до 15% от чека с ежемесячными выплаты без лимитов по сумме и сроку.
Ваши рефералы будут довольны. В Selectel 50+ инфраструктурных продуктов, большой выбор комплектующих для серверов и бесплатная техподдержка.
Регистрируйтесь в партнерской программе Selectel до 31 мая и получайте 20% от чека ваших рефералов первые 3 месяца: https://slc.tl/oghcw
Реклама. АО "Селектел". erid:2W5zFHbokp1
❤2👍2😢1
⚡️ Девушка нашла баг в Linux, который существовал дольше неё самой
21-летняя разработчица просто готовилась к лекции. Открыла PDF - и система зависла. Не первый раз, но в этот раз она решила не перезапускать, а разобраться.
Оказалось, проблема сидит в оконном менеджере Enlightenment E16. Это код из 90-х. Баг, судя по всему, жил там больше 20 лет. И всё это время его никто не трогал.
Enlightenment E16 распространяется с открытым исходным кодом и до сих пор относительно активно поддерживается сообществом разработчиков, к числу которых себя причисляет и Камилла. Самая последняя его версия на момент выхода статьи датирована августом 2024 г. и имеет индекс 1.0.30.
cal gao / UnsplashКлассическое ПО для Linux содержит баги, которые могут скрываться десятилетиями
Enlightenment E16 не стоит путать с более современным оконным менеджером Enlightenment E25. Е16 можно установить на многие современные дистрибутивы Linux, например, на Ubuntu, Debian, Fedora, Mandriva и OpenSUSE.
В своем блоге 21-летняя Камилла написала, что внезапно столкнулась с зависаниями Е16. «У меня было несколько PDF-файлов со слайдами лекций и листом с упражнениями, набранными в LaTeX. В какой-то момент я открыла один из них в Atril (просмотрщик документов в графической среде MATE – прим. CNews), и весь рабочий стол завис», – написала она.
По ее словам, в дальнейшем проблема проявила себя еще несколько раз, но поначалу Камилле не удалось установить причину ее возникновения.
Однако в итоге источник сбоя был выявлен. Оказалось, что E16 зависал лишь в моменты, когда пытался сократить слишком длинное имя файла, с которым работала Камилла.
Она нашла причину, разобралась в старом коде и исправила ошибку, которую десятилетиями обходили стороной.
Первое нововведение - это ограничение количества итераций. Камилла посчитала, что 32 будет достаточно. Второе – она предотвратила возникновение вырожденного перекрытия из-за отрицательных исправлений. Наконец, третье изменение в коде – это защита от ошибки деления на ноль.
Можно иметь огромный open source проект, миллионы пользователей и длинную историю, но внутри всё равно будут жить старые баги, до которых просто никто не добрался.
И в какой-то момент приходит один человек, без команды и ресурсов, и закрывает этот вопрос.
Вот так на самом деле работает open source. Не за счёт корпораций и масштаба, а за счёт людей, которые готовы копаться в системе до конца.
Иногда баг живёт десятилетиями не потому что его сложно исправить. А потому что никто всерьёз не пытался это сделать.
https://www.cnews.ru/news/top/2026-04-16_yunaya_devushka_izbavila_linux
21-летняя разработчица просто готовилась к лекции. Открыла PDF - и система зависла. Не первый раз, но в этот раз она решила не перезапускать, а разобраться.
Оказалось, проблема сидит в оконном менеджере Enlightenment E16. Это код из 90-х. Баг, судя по всему, жил там больше 20 лет. И всё это время его никто не трогал.
Enlightenment E16 распространяется с открытым исходным кодом и до сих пор относительно активно поддерживается сообществом разработчиков, к числу которых себя причисляет и Камилла. Самая последняя его версия на момент выхода статьи датирована августом 2024 г. и имеет индекс 1.0.30.
cal gao / UnsplashКлассическое ПО для Linux содержит баги, которые могут скрываться десятилетиями
Enlightenment E16 не стоит путать с более современным оконным менеджером Enlightenment E25. Е16 можно установить на многие современные дистрибутивы Linux, например, на Ubuntu, Debian, Fedora, Mandriva и OpenSUSE.
В своем блоге 21-летняя Камилла написала, что внезапно столкнулась с зависаниями Е16. «У меня было несколько PDF-файлов со слайдами лекций и листом с упражнениями, набранными в LaTeX. В какой-то момент я открыла один из них в Atril (просмотрщик документов в графической среде MATE – прим. CNews), и весь рабочий стол завис», – написала она.
По ее словам, в дальнейшем проблема проявила себя еще несколько раз, но поначалу Камилле не удалось установить причину ее возникновения.
Однако в итоге источник сбоя был выявлен. Оказалось, что E16 зависал лишь в моменты, когда пытался сократить слишком длинное имя файла, с которым работала Камилла.
Она нашла причину, разобралась в старом коде и исправила ошибку, которую десятилетиями обходили стороной.
Первое нововведение - это ограничение количества итераций. Камилла посчитала, что 32 будет достаточно. Второе – она предотвратила возникновение вырожденного перекрытия из-за отрицательных исправлений. Наконец, третье изменение в коде – это защита от ошибки деления на ноль.
Можно иметь огромный open source проект, миллионы пользователей и длинную историю, но внутри всё равно будут жить старые баги, до которых просто никто не добрался.
И в какой-то момент приходит один человек, без команды и ресурсов, и закрывает этот вопрос.
Вот так на самом деле работает open source. Не за счёт корпораций и масштаба, а за счёт людей, которые готовы копаться в системе до конца.
Иногда баг живёт десятилетиями не потому что его сложно исправить. А потому что никто всерьёз не пытался это сделать.
https://www.cnews.ru/news/top/2026-04-16_yunaya_devushka_izbavila_linux
❤64👍41🔥16👏7😁5🎉2🤩1
Как русский хакер одурачил рекламный рынок на 5 миллионов долларов в день при помощи ботов
Коллеги, у меня для вас кейс, который стоит добавить в обучающие материалы по антифроду и детекции ботов. Это не синтетический датасет и не учебный пример, а реальная схема, которая несколько лет крутилась прямо под носом у крупнейших рекламных платформ мира и приносила автору около пяти миллионов долларов в день.
Главный герой истории, Александр Жуков, управлял компанией Media Methane из квартиры в Болгарии. На бумаге это было обычное рекламное агентство, которое размещало видеорекламу для Nestle, Comcast и The New York Times. Проблема только в том, что рекламу он нигде по-настоящему не размещал.
Вместо этого Жуков построил около шести тысяч поддельных сайтов, визуально неотличимых от ESPN, CNN, Vogue и Fox News. Параллельно он арендовал две тысячи серверов в Далласе и Амстердаме, купил 650 тысяч IP-адресов и зарегистрировал их на Verizon и Comcast, чтобы трафик выглядел как обычные пользователи из американских квартир, а не как дата-центр в Европе.
Самая интересная часть для тех, кто занимается ML и поведенческой аналитикой, это клиентская сторона схемы. Жуков написал собственный поддельный браузер, который вёл себя как живой человек. Он прокручивал страницы, двигал мышью по правдоподобным траекториям, кликал по рекламе, подгружал соцсети, имитировал авторизованные сессии в Facebook и решал CAPTCHA. Каждый бот выглядел для систем детекции как обычный американский зритель с нормальным профилем поведения.
В пике эта ферма накручивала около 300 миллионов просмотров видеорекламы в сутки. Рекламодатели платили примерно 13 долларов за тысячу показов, и пока Жуков спал, касса приносила порядка пяти миллионов долларов в день. Никакой магии, только правильно собранный прокси-пул, качественная эмуляция устройства и поведение, которое не отличалось от нормального распределения реальных пользователей.
Здесь и зарыт полезный урок для всех, кто строит модели детекции фрода. Классические сигналы вроде user-agent, IP из подозрительных диапазонов, частоты кликов и базовых heuristic rules в этой схеме были закрыты полностью. Бот проходил любые правила уровня if-then, потому что был специально обучен их обходить. Поймать такую активность можно было только на уровне поведенческой аналитики в больших объёмах трафика, где статистические аномалии становятся видны только при сравнении огромных массивов сессий между собой.
Интересно и то, как Жуков в итоге попался. Это тоже классика для ML-инженеров. Он поссорился с одним из клиентов и из мести начал агрессивно спамить его инвентарь фейковым трафиком. Объём оказался настолько большим, что в кибербезопасной фирме, анализирующей рекламный трафик, сработали все возможные антифрод-алармы одновременно. Именно выброс, резко выделяющийся на фоне нормального распределения, и стал точкой входа для расследования.
Дальше сценарий уже не технический. ФБР задержало Жукова в Болгарии, экстрадировало в США и суд назначил ему десять лет федеральной тюрьмы. На одном из заседаний он произнёс фразу, которая запомнилась журналистам: сказал, что чувствует себя безоружным солдатом перед танком с надписью ФБР на броне.
Для практиков, которые работают с моделями детекции аномалий, рекомендательными системами или анализом поведенческих паттернов, история Methbot отлично иллюстрирует несколько вещей сразу. Статичные правила проигрывают мотивированному противнику, который моделирует их обход. Честные метрики, такие как видимость, досматриваемость и поведенческие сигналы, нельзя считать корректными без независимой верификации. И отдельно стоит помнить, что современные LLM и генеративные модели делают создание подобных ботов ещё дешевле, а значит требования к антифрод-инфраструктуре будут только расти.
@linuxkalii
Коллеги, у меня для вас кейс, который стоит добавить в обучающие материалы по антифроду и детекции ботов. Это не синтетический датасет и не учебный пример, а реальная схема, которая несколько лет крутилась прямо под носом у крупнейших рекламных платформ мира и приносила автору около пяти миллионов долларов в день.
Главный герой истории, Александр Жуков, управлял компанией Media Methane из квартиры в Болгарии. На бумаге это было обычное рекламное агентство, которое размещало видеорекламу для Nestle, Comcast и The New York Times. Проблема только в том, что рекламу он нигде по-настоящему не размещал.
Вместо этого Жуков построил около шести тысяч поддельных сайтов, визуально неотличимых от ESPN, CNN, Vogue и Fox News. Параллельно он арендовал две тысячи серверов в Далласе и Амстердаме, купил 650 тысяч IP-адресов и зарегистрировал их на Verizon и Comcast, чтобы трафик выглядел как обычные пользователи из американских квартир, а не как дата-центр в Европе.
Самая интересная часть для тех, кто занимается ML и поведенческой аналитикой, это клиентская сторона схемы. Жуков написал собственный поддельный браузер, который вёл себя как живой человек. Он прокручивал страницы, двигал мышью по правдоподобным траекториям, кликал по рекламе, подгружал соцсети, имитировал авторизованные сессии в Facebook и решал CAPTCHA. Каждый бот выглядел для систем детекции как обычный американский зритель с нормальным профилем поведения.
В пике эта ферма накручивала около 300 миллионов просмотров видеорекламы в сутки. Рекламодатели платили примерно 13 долларов за тысячу показов, и пока Жуков спал, касса приносила порядка пяти миллионов долларов в день. Никакой магии, только правильно собранный прокси-пул, качественная эмуляция устройства и поведение, которое не отличалось от нормального распределения реальных пользователей.
Здесь и зарыт полезный урок для всех, кто строит модели детекции фрода. Классические сигналы вроде user-agent, IP из подозрительных диапазонов, частоты кликов и базовых heuristic rules в этой схеме были закрыты полностью. Бот проходил любые правила уровня if-then, потому что был специально обучен их обходить. Поймать такую активность можно было только на уровне поведенческой аналитики в больших объёмах трафика, где статистические аномалии становятся видны только при сравнении огромных массивов сессий между собой.
Интересно и то, как Жуков в итоге попался. Это тоже классика для ML-инженеров. Он поссорился с одним из клиентов и из мести начал агрессивно спамить его инвентарь фейковым трафиком. Объём оказался настолько большим, что в кибербезопасной фирме, анализирующей рекламный трафик, сработали все возможные антифрод-алармы одновременно. Именно выброс, резко выделяющийся на фоне нормального распределения, и стал точкой входа для расследования.
Дальше сценарий уже не технический. ФБР задержало Жукова в Болгарии, экстрадировало в США и суд назначил ему десять лет федеральной тюрьмы. На одном из заседаний он произнёс фразу, которая запомнилась журналистам: сказал, что чувствует себя безоружным солдатом перед танком с надписью ФБР на броне.
Для практиков, которые работают с моделями детекции аномалий, рекомендательными системами или анализом поведенческих паттернов, история Methbot отлично иллюстрирует несколько вещей сразу. Статичные правила проигрывают мотивированному противнику, который моделирует их обход. Честные метрики, такие как видимость, досматриваемость и поведенческие сигналы, нельзя считать корректными без независимой верификации. И отдельно стоит помнить, что современные LLM и генеративные модели делают создание подобных ботов ещё дешевле, а значит требования к антифрод-инфраструктуре будут только расти.
@linuxkalii
👍52🔥18❤13👎2🤯1