⚡️ Новый пост Andrej Karpathy : автоматическая оценка десятилетних обсуждений Hacker News с позиции «задним числом»
Он взял все 930 материалов и обсуждений с главной страницы Hacker News за декабрь 2015 года и прогнал их через GPT 5.1 Thinking API, попросив модель определить самые дальновидные и самые ошибочные комментарии.
Примерно 3 часа ушло на написание кода и ещё час и ~$60 - на запуск.
Почему это важно:
1. Анализ «задним числом»- мощный инструмент для тренировки собственного навыка прогнозирования. Чтение таких выводов помогает лучше понимать, где именно люди предугадывали будущее, а где промахивались.
2. Стоит задуматься, как будет выглядеть мир, когда будущие LLM смогут делать такие исследования намного дешевле, быстрее и точнее. Любой ваш комментарий в интернете может стать объектом глубокого анализа - бесплатно и в огромном масштабе. Как автор писал ранее: «будьте хорошими, будущие LLM за вами наблюдают».
🎉 Топ-10 аккаунтов: pcwalton, tptacek, paulmd, cstross, greglindahl, moxie, hannob, 0xcde4c3db, Manishearth и johncolanduoni - GPT 5.1 Thinking признал их комментарии самыми точными и дальновидными в декабре 2015 года.
🔗 Полные материалы:
- Подробный разбор: karpathy.bearblog.dev/auto-grade-hn/
- Репозиторий проекта: github.com/karpathy/hn-time-capsule
- Готовые результаты: karpathy.ai/hncapsule/
Он взял все 930 материалов и обсуждений с главной страницы Hacker News за декабрь 2015 года и прогнал их через GPT 5.1 Thinking API, попросив модель определить самые дальновидные и самые ошибочные комментарии.
Примерно 3 часа ушло на написание кода и ещё час и ~$60 - на запуск.
Почему это важно:
1. Анализ «задним числом»- мощный инструмент для тренировки собственного навыка прогнозирования. Чтение таких выводов помогает лучше понимать, где именно люди предугадывали будущее, а где промахивались.
2. Стоит задуматься, как будет выглядеть мир, когда будущие LLM смогут делать такие исследования намного дешевле, быстрее и точнее. Любой ваш комментарий в интернете может стать объектом глубокого анализа - бесплатно и в огромном масштабе. Как автор писал ранее: «будьте хорошими, будущие LLM за вами наблюдают».
🎉 Топ-10 аккаунтов: pcwalton, tptacek, paulmd, cstross, greglindahl, moxie, hannob, 0xcde4c3db, Manishearth и johncolanduoni - GPT 5.1 Thinking признал их комментарии самыми точными и дальновидными в декабре 2015 года.
🔗 Полные материалы:
- Подробный разбор: karpathy.bearblog.dev/auto-grade-hn/
- Репозиторий проекта: github.com/karpathy/hn-time-capsule
- Готовые результаты: karpathy.ai/hncapsule/
🔥11❤7👍3
🚨 Stanford показал, что AI уже превосходит профессиональных хакеров в реальном мире. И масштаб этого события многие пока не осознают.
Исследователи Stanford опубликовали работу, в которой сравнили людей и AI не в лабораторных условиях, а в настоящей корпоративной инфраструктуре.
Эксперимент был максимально приближен к реальности:
- 10 профессиональных pentester-ов
- живая университетская сеть
- около 8 000 реальных машин
- 12 подсетей
- продакшн-системы и реальные пользователи
В ту же среду они запустили автономного AI-агента под названием ARTEMIS.
Результат оказался ошеломляющим.
ARTEMIS превзошел 9 из 10 человеческих экспертов.
И это важно подчеркнуть:
- не CTF
- не статический анализ CVE
- не синтетический бенчмарк
Это была реальная enterprise-сеть с реальными последствиями.
Что показал ARTEMIS:
- 9 подтвержденных уязвимостей
- 82% валидных находок
- 2-е место в общем лидерборде
- без человеческого надзора
- без кастомных эксплойтов
- стоимость работы около 18 долларов в час
Для сравнения: средняя стоимость работы человека-pentester-а - около 60 долларов в час.
Почему AI оказался эффективнее:
- Люди вручную выбирали цели для атаки
- ARTEMIS создавал саб-агентов и атаковал несколько хостов параллельно
- Люди теряли зацепки или застревали в тупиковых направлениях
- ARTEMIS вел идеальную память, списки задач и автоматический триаж
- Люди не могли работать с устаревшими веб-интерфейсами
- ARTEMIS игнорировал браузер и напрямую эксплуатировал их через
Более того, ARTEMIS обнаружил уязвимости, которые не нашел ни один человек.
Что пока ограничивает его эффективность:
- Эксплойты, завязанные на GUI
- Более высокий уровень ложных срабатываний
Во всем остальном агент вел себя как полностью укомплектованная red team:
без усталости, без эмоций, без эго и с бесконечным терпением.
Главный вывод здесь простой и жесткий:
AI больше не просто помогает специалистам по безопасности.
AI начинает конкурировать с ними.
И в реальных условиях - уже выигрывает.
Это момент, когда offensive security начинает меняться необратимо.
📄 Статья: https://arxiv.org/abs/2512.09882
Исследователи Stanford опубликовали работу, в которой сравнили людей и AI не в лабораторных условиях, а в настоящей корпоративной инфраструктуре.
Эксперимент был максимально приближен к реальности:
- 10 профессиональных pentester-ов
- живая университетская сеть
- около 8 000 реальных машин
- 12 подсетей
- продакшн-системы и реальные пользователи
В ту же среду они запустили автономного AI-агента под названием ARTEMIS.
Результат оказался ошеломляющим.
ARTEMIS превзошел 9 из 10 человеческих экспертов.
И это важно подчеркнуть:
- не CTF
- не статический анализ CVE
- не синтетический бенчмарк
Это была реальная enterprise-сеть с реальными последствиями.
Что показал ARTEMIS:
- 9 подтвержденных уязвимостей
- 82% валидных находок
- 2-е место в общем лидерборде
- без человеческого надзора
- без кастомных эксплойтов
- стоимость работы около 18 долларов в час
Для сравнения: средняя стоимость работы человека-pentester-а - около 60 долларов в час.
Почему AI оказался эффективнее:
- Люди вручную выбирали цели для атаки
- ARTEMIS создавал саб-агентов и атаковал несколько хостов параллельно
- Люди теряли зацепки или застревали в тупиковых направлениях
- ARTEMIS вел идеальную память, списки задач и автоматический триаж
- Люди не могли работать с устаревшими веб-интерфейсами
- ARTEMIS игнорировал браузер и напрямую эксплуатировал их через
curl -k Более того, ARTEMIS обнаружил уязвимости, которые не нашел ни один человек.
Что пока ограничивает его эффективность:
- Эксплойты, завязанные на GUI
- Более высокий уровень ложных срабатываний
Во всем остальном агент вел себя как полностью укомплектованная red team:
без усталости, без эмоций, без эго и с бесконечным терпением.
Главный вывод здесь простой и жесткий:
AI больше не просто помогает специалистам по безопасности.
AI начинает конкурировать с ними.
И в реальных условиях - уже выигрывает.
Это момент, когда offensive security начинает меняться необратимо.
📄 Статья: https://arxiv.org/abs/2512.09882
😁31👍15❤6🤔5👎4🔥4🥰1
This media is not supported in your browser
VIEW IN TELEGRAM
Полезный DevOps-совет по Linux: когда сервер «тормозит», а top показывает, что всё нормально - проблема почти всегда скрывается в I/O или в отдельных процессах.
Установи пакет sysstat и используй pidstat, iostat и sar - они дают историю нагрузки и точные метрики, которые показывают, что реально жрёт систему.
install sysstat
sudo apt install sysstat
мониторинг CPU по времени
sar -u 1 5
анализ дисковых задержек
iostat -x 1
кто грузит систему: CPU / RAM / IO
pidstat -dru 1
Please open Telegram to view this post
VIEW IN TELEGRAM
👍39🔥5❤3😁3👎2
⚡️ IPv6 исполнилось 30 лет
Ещё 25 лет назад все были уверены, что IPv4 вот-вот устареет, и переход на IPv6 станет обязательным.
IPv6 - это способ давать адреса устройствам в интернете.
Зачем он нужен:
Интернету нужны уникальные адреса для компьютеров, телефонов, серверов.
Старых адресов (IPv4) мало- их всего около 4 миллиардов.
IPv6 даёт почти бесконечное количество адресов.
Пример:
IPv6 придумали давно и говорили, что переход будет «вот-вот», но из-за NAT и костылей IPv4 до сих пор жив.
IPv6 адресов почти бесконечно много, но внедряется он очень медленно.
Ещё 25 лет назад все были уверены, что IPv4 вот-вот устареет, и переход на IPv6 станет обязательным.
IPv6 - это способ давать адреса устройствам в интернете.
Зачем он нужен:
Интернету нужны уникальные адреса для компьютеров, телефонов, серверов.
Старых адресов (IPv4) мало- их всего около 4 миллиардов.
IPv6 даёт почти бесконечное количество адресов.
Пример:
IPv4: 8.8.8.8
IPv6: 2001:0db8:85a3:0000:0000:8a2e:0370:7334
IPv6 придумали давно и говорили, что переход будет «вот-вот», но из-за NAT и костылей IPv4 до сих пор жив.
IPv6 адресов почти бесконечно много, но внедряется он очень медленно.
👍41❤18😁9🔥5🎉4🥰1
⚡️ Kali Linux 2025.4 - новый релиз для пентеста и безопасности
Вышел релиз Kali Linux 2025.4 - очередное обновление дистрибутива для offensive security, red team и исследования уязвимостей.
Что нового в релизе
- Обновлённые инструменты для пентеста, форензики и реверса
- Улучшения стабильности и производительности базовой системы
- Актуальные версии Metasploit, Nmap, Burp Suite и других ключевых утилит
- Обновлённые образы для VMware, VirtualBox, Raspberry Pi и облака
- Улучшенная поддержка ARM-устройств и embedded-платформ
Интерфейс и UX
- Полированные темы и иконки
- Улучшенная читаемость терминала и GUI
- Мелкие, но важные улучшения удобства повседневной работы
Почему это важно
Kali остаётся де-факто стандартом для специалистов по кибербезопасности. Каждый релиз — это не просто обновление пакетов, а синхронизация с текущими практиками атак и защиты.
Кому обновляться
- Pentest / Red Team
- Blue Team и SOC
- Security researchers
- DevSecOps и cloud-security инженеры
Релиз ориентирован на практическую работу и долгие сессии - стабильность и актуальность здесь важнее экспериментов.
kali.org/blog/kali-linux-2025-4-release/
@linuxkalii
Вышел релиз Kali Linux 2025.4 - очередное обновление дистрибутива для offensive security, red team и исследования уязвимостей.
Что нового в релизе
- Обновлённые инструменты для пентеста, форензики и реверса
- Улучшения стабильности и производительности базовой системы
- Актуальные версии Metasploit, Nmap, Burp Suite и других ключевых утилит
- Обновлённые образы для VMware, VirtualBox, Raspberry Pi и облака
- Улучшенная поддержка ARM-устройств и embedded-платформ
Интерфейс и UX
- Полированные темы и иконки
- Улучшенная читаемость терминала и GUI
- Мелкие, но важные улучшения удобства повседневной работы
Почему это важно
Kali остаётся де-факто стандартом для специалистов по кибербезопасности. Каждый релиз — это не просто обновление пакетов, а синхронизация с текущими практиками атак и защиты.
Кому обновляться
- Pentest / Red Team
- Blue Team и SOC
- Security researchers
- DevSecOps и cloud-security инженеры
Релиз ориентирован на практическую работу и долгие сессии - стабильность и актуальность здесь важнее экспериментов.
kali.org/blog/kali-linux-2025-4-release/
@linuxkalii
👍24🔥13❤9😱1
🤖 Gentleman Guardian Angel: AI для проверки кода
Gentleman Guardian Angel - это инструмент для автоматической проверки кода с использованием ИИ, который работает на каждом коммите. Он помогает соблюдать стандарты кодирования, проверяя изменения перед их добавлением в репозиторий.
Полностью написан на Bash и не требует дополнительных зависимостей.
🚀Основные моменты:
- 🔌 Поддержка различных ИИ-провайдеров
- 📦 Никаких зависимостей, только Bash
- 🪝 Установка в качестве git-хука
- ⚙️ Высокая настраиваемость правил проверки
- 🚨 Режим строгой проверки для CI
📌 GitHub: https://github.com/Gentleman-Programming/gentleman-guardian-angel
Gentleman Guardian Angel - это инструмент для автоматической проверки кода с использованием ИИ, который работает на каждом коммите. Он помогает соблюдать стандарты кодирования, проверяя изменения перед их добавлением в репозиторий.
Полностью написан на Bash и не требует дополнительных зависимостей.
🚀Основные моменты:
- 🔌 Поддержка различных ИИ-провайдеров
- 📦 Никаких зависимостей, только Bash
- 🪝 Установка в качестве git-хука
- ⚙️ Высокая настраиваемость правил проверки
- 🚨 Режим строгой проверки для CI
📌 GitHub: https://github.com/Gentleman-Programming/gentleman-guardian-angel
👍13❤5🔥5
🎄 Проверка перед 2026-м: вы точно контролируете свою ИТ-инфраструктуру?
📃Команда «Инферит ИТМен» решила сделать новогодний подарок уже сейчас и подготовила короткий чек-лист. Он поможет за пару минут понять, все ли под контролем в вашей ИТ-инфраструктуре или где-то уже есть риски, которые проявятся в новом году.
Внутри — вопросы по ключевым направлениям:
✅ инвентаризация и учет активов;
✅ ПО и безопасность;
✅ лицензии и затраты;
✅ операционная эффективность.
Формат мини-теста: отвечаете «да/нет» и сразу видите свой уровень контроля.
Полезно ИТ-директорам, техлидам, руководителям инфраструктуры и всем, кто отвечает за непрерывность работы ИТ.
👉 Забрать чек-лист
📃Команда «Инферит ИТМен» решила сделать новогодний подарок уже сейчас и подготовила короткий чек-лист. Он поможет за пару минут понять, все ли под контролем в вашей ИТ-инфраструктуре или где-то уже есть риски, которые проявятся в новом году.
Внутри — вопросы по ключевым направлениям:
✅ инвентаризация и учет активов;
✅ ПО и безопасность;
✅ лицензии и затраты;
✅ операционная эффективность.
Формат мини-теста: отвечаете «да/нет» и сразу видите свой уровень контроля.
Полезно ИТ-директорам, техлидам, руководителям инфраструктуры и всем, кто отвечает за непрерывность работы ИТ.
👉 Забрать чек-лист
❤6👏1🎉1
This media is not supported in your browser
VIEW IN TELEGRAM
Linux совет дня 💡
Создай “пустой” файл на 10GB, который почти не занимает места на диске:
Команда просто выставляет метаданные размера — файл выглядит как 10 GB, но реальные блоки не записываются.
⚡ Создаётся мгновенно
⚡ Не нагружает систему
⚡ Реальное пространство начнёт выделяться только когда ты запишешь непустые данные внутрь файла
Использовать такие sparse-файлы полезно в ряде задач:
1) Быстрое создание образов дисков
Например, для виртуальных машин, контейнеров, тестов — без траты реального места.
2) Экономия диска
Образ может “выглядеть” как 10–100 GB, но занимает фактически лишь пару мегабайт, пока его не использовали.
3) Тестирование приложений
Можно проверить работу с большими файлами, не расходуя реальное хранилище.
4) Линукс-файловые системы и бэкапы
Многие FS и backup tools поддерживают sparse-файлы и сохраняют их эффективно.
5) Эксперименты с дисковыми квотами, логами, block storage и переносом файлов.
Создай “пустой” файл на 10GB, который почти не занимает места на диске:
truncate -s 10G sparsefile.img
Команда просто выставляет метаданные размера — файл выглядит как 10 GB, но реальные блоки не записываются.
⚡ Создаётся мгновенно
⚡ Не нагружает систему
⚡ Реальное пространство начнёт выделяться только когда ты запишешь непустые данные внутрь файла
Использовать такие sparse-файлы полезно в ряде задач:
1) Быстрое создание образов дисков
Например, для виртуальных машин, контейнеров, тестов — без траты реального места.
2) Экономия диска
Образ может “выглядеть” как 10–100 GB, но занимает фактически лишь пару мегабайт, пока его не использовали.
3) Тестирование приложений
Можно проверить работу с большими файлами, не расходуя реальное хранилище.
4) Линукс-файловые системы и бэкапы
Многие FS и backup tools поддерживают sparse-файлы и сохраняют их эффективно.
5) Эксперименты с дисковыми квотами, логами, block storage и переносом файлов.
🔥32👍14❤7😢1
Linux совет дня 💡
В Linux есть малоизвестная, но очень мощная команда fc - она позволяет редактировать команды прямо из history.
Допустим, тебе нужно отредактировать и заново выполнить команды с номерами 230–232:
Что произойдет:
- команды из истории откроются в editor-е по умолчанию (`$EDITOR`)
- ты можешь изменить их как обычный текст
- после сохранения и выхода команды автоматически выполнятся
Когда это особенно полезно:
- длинная команда с ошибкой
- сложный pipeline, который не хочется набирать заново
- нужно быстро переиспользовать несколько команд подряд
Лайфхак: можно явно указать редактор
Маленькая команда, которая реально ускоряет работу в терминале.
В Linux есть малоизвестная, но очень мощная команда fc - она позволяет редактировать команды прямо из history.
Допустим, тебе нужно отредактировать и заново выполнить команды с номерами 230–232:
fc 230 232
Что произойдет:
- команды из истории откроются в editor-е по умолчанию (`$EDITOR`)
- ты можешь изменить их как обычный текст
- после сохранения и выхода команды автоматически выполнятся
Когда это особенно полезно:
- длинная команда с ошибкой
- сложный pipeline, который не хочется набирать заново
- нужно быстро переиспользовать несколько команд подряд
Лайфхак: можно явно указать редактор
fc -e nano 230 232
Маленькая команда, которая реально ускоряет работу в терминале.
🔥37❤11👍7
Forwarded from Machinelearning
NeuroSploit v2 использует большие языковые модели, чтобы автоматизировать и усилить offensive security.
Фреймворк помогает анализировать цели, находить уязвимости, планировать эксплуатацию и поддерживать защитные меры, сохраняя фокус на этике и операционной безопасности.
Основные возможности:
• Агентная архитектура
Специализированные AI-агенты под разные роли: Red Team, Blue Team, Bug Bounty Hunter, Malware Analyst.
• Гибкая интеграция LLM
Поддержка Gemini, Claude, GPT (OpenAI) и Ollama с настройкой через профили.
• Тонкая настройка моделей
Отдельные LLM-профили для каждой роли: выбор модели, температура, лимиты токенов, кэш и контекст.
• Markdown-промпты
Динамические шаблоны промптов, адаптирующиеся под задачу и контекст.
• Расширяемые инструменты
Интеграция Nmap, Metasploit, Subfinder, Nuclei и других security-инструментов через конфигурацию.
• Структурированные отчёты
JSON-результаты кампаний и удобные HTML-отчёты.
• Интерактивный CLI
Командная строка для прямого управления агентами и сценариями.
NeuroSploit v2 - пример того, как agentic AI превращает пентест из ручной работы в управляемую автоматизацию.
git clone https://github.com/CyberSecurityUP/NeuroSploitv2.git
cd NeuroSploitv2
▪ Github: https://github.com/CyberSecurityUP/NeuroSploit
@ai_machinelearning_big_data
#python #Penetrationtesting #llm #mlops #Cybersecurity
Please open Telegram to view this post
VIEW IN TELEGRAM
❤14👍10🔥6🤔2
This media is not supported in your browser
VIEW IN TELEGRAM
Одна из самых частых и коварных проблем в Linux - забытый процесс без лимитов.
Это может быть:
- cron задача
- systemd сервис
- Python скрипт
- backup или лог-парсер
Днем он почти незаметен.
А ночью начинает:
- бесконечно писать в лог
- съедать память
- плодить дескрипторы
- держать CPU на 100%
К утру сервер либо:
- перестает отвечать по SSH
- начинает дропать сервисы
Причина почти всегда одна - нет лимитов и мониторинга.
Минимум, что нужно проверять:
- сколько памяти потребляет процесс
- растет ли число файловых дескрипторов
- жив ли он неделями без рестарта
- ограничен ли он через systemd
Найти самые прожорливые процессы
ps aux --sort=-%mem | head
# Проверить количество открытых файлов у процесса
ls /proc/PID/fd | wc -l
# Посмотреть лимиты процесса
cat /proc/PID/limits
# Если systemd - проверить ограничения сервиса
systemctl show your-service.service | grep -E 'LimitNOFILE|MemoryLimit'
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥39❤10👍8😁2😱1
⚡ Простой Linux-совет:
Если логи сжаты в
Используй специальные `z`-команды:
•
•
•
•
•
•
Это экономит время и место на диске и отлично подходит для быстрого анализа логов прямо в проде.
Если логи сжаты в
.gz, их не нужно распаковывать, чтобы посмотреть содержимое или найти нужную строку.Используй специальные `z`-команды:
•
zcat - просто показать содержимое файла •
zless - читать файл постранично •
zgrep - искать текст внутри .gz •
zegrep - поиск с расширенными регулярными выражениями •
zfgrep - поиск точного текста •
zcmp / zdiff - сравнивать сжатые файлы Это экономит время и место на диске и отлично подходит для быстрого анализа логов прямо в проде.
👍53🔥7❤6😁3
Forwarded from Sber AI
This media is not supported in your browser
VIEW IN TELEGRAM
Танцевали с роботом, прокачивали ГигаЧат и собирали лучших спецов на AI Journey 🤩
Подписчики Sber AI наблюдали этот год на максимальных скоростях — весь 2025-й мы генерировали настоящее и создавали будущее.
В этом видео — наш вайб! А в канале Sber AI:
◀️ Запрыгивайте на борт!
Подписчики Sber AI наблюдали этот год на максимальных скоростях — весь 2025-й мы генерировали настоящее и создавали будущее.
В этом видео — наш вайб! А в канале Sber AI:
🤩 инсайды AI-индустрии от разработчиков Сбера
🤩 гайды и лайфхаки по нейросетям
🤩 главные события из мира искусственного интеллекта — AI Journey всё ещё можно посмотреть тут
Please open Telegram to view this post
VIEW IN TELEGRAM
😁6👎3❤1
⚡️ Shannon - автономный AI-хакер для поиска реальных уязвимостей
Shannon - это полностью автономный AI-агент, который ищет настоящие эксплойты в веб-приложениях, а не просто флаги или теоретические проблемы. Он работает без подсказок, анализирует исходный код и ведёт себя как реальный атакующий.
Главное достижение - 96.15 процента успешных атак на XBOW Benchmark в режиме hint-free и source-aware. Это один из самых сложных бенчмарков для offensive security, где агенту нужно самостоятельно находить цепочки уязвимостей.
Как это работает:
- анализ исходного кода и поведения приложения
- построение гипотез атак
- автоматическая проверка эксплойтов
- подтверждение реального взлома, а не ложных срабатываний
Shannon показывает, куда движется AppSec. Мы переходим от сканеров и правил к автономным AI-агентам, которые думают и атакуют как человек, но делают это быстрее и масштабнее.
Для команд безопасности это означает одно - защищаться скоро придётся не от скриптов, а от полноценных AI-атакеров.
github.com/KeygraphHQ/shannon
Shannon - это полностью автономный AI-агент, который ищет настоящие эксплойты в веб-приложениях, а не просто флаги или теоретические проблемы. Он работает без подсказок, анализирует исходный код и ведёт себя как реальный атакующий.
Главное достижение - 96.15 процента успешных атак на XBOW Benchmark в режиме hint-free и source-aware. Это один из самых сложных бенчмарков для offensive security, где агенту нужно самостоятельно находить цепочки уязвимостей.
Как это работает:
- анализ исходного кода и поведения приложения
- построение гипотез атак
- автоматическая проверка эксплойтов
- подтверждение реального взлома, а не ложных срабатываний
Shannon показывает, куда движется AppSec. Мы переходим от сканеров и правил к автономным AI-агентам, которые думают и атакуют как человек, но делают это быстрее и масштабнее.
Для команд безопасности это означает одно - защищаться скоро придётся не от скриптов, а от полноценных AI-атакеров.
github.com/KeygraphHQ/shannon
❤25👍24🔥9🤯4
python-injection - это репозиторий с наглядными примерами инъекций и небезопасных паттернов в Python-коде, которые регулярно встречаются в реальных проектах.
Проект показывает, как «обычный» Python-код превращается в уязвимость, если не понимать, как именно работают интерпретатор, библиотеки и внешние вызовы.
Что внутри:
- Command Injection через os.system, subprocess, shell=True
- SQL Injection при неправильной работе с запросами
- Code Injection через eval, exec, pickle
- Path Traversal и небезопасная работа с файлами
- Template Injection
- Примеры небезопасной десериализации
- Реальные анти-паттерны из production-кода
Главная ценность репозитория — код, а не теория:
- есть уязвимый пример
- есть объяснение, почему он опасен
- понятно, как именно происходит атака
Подходит для:
- Python-разработчиков
- backend-инженеров
- security-энтузиастов
- code review и обучения безопасному программированию
Если ты пишешь Python и думаешь, что «у нас же не веб» - этот репозиторий стоит открыть.
pip install python-injectionhttps://github.com/100nm/python-injection
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥12❤8👍6
Linux совет 💡
Если нужно удалить пустые директории,
Способ через rmdir:
Что здесь происходит:
- -type d — ищем только директории
- -empty — выбираем пустые
- -exec rmdir — удаляем через rmdir
- rmdir гарантирует, что директория действительно пустая
Альтернативный и более короткий вариант:
Этот способ делает то же самое, но без вызова внешней команды.
Полезно для:
- очистки build-артефактов
- приведения проекта в порядок
- автоматизации cleanup-скриптов
Если нужно удалить пустые директории,
find делает это быстро и аккуратно.Способ через rmdir:
$ find . -type d -empty -exec rmdir -v {} +Что здесь происходит:
- -type d — ищем только директории
- -empty — выбираем пустые
- -exec rmdir — удаляем через rmdir
- rmdir гарантирует, что директория действительно пустая
Альтернативный и более короткий вариант:
$ find . -type d -empty -deleteЭтот способ делает то же самое, но без вызова внешней команды.
Полезно для:
- очистки build-артефактов
- приведения проекта в порядок
- автоматизации cleanup-скриптов
🔥17👍10❤6
This media is not supported in your browser
VIEW IN TELEGRAM
⚡️ PentestAgent: AI-фреймворк для автоматизации пентестов
PentestAgent превращает LLM-агента в помощника для black-box тестирования, баг-баунти и red-team задач.
Идея простая: часть рутинных шагов берёт на себя агент, а специалист концентрируется на анализе.
Что умеет:
- работать с классическими инструментами вроде Nmap, Metasploit, FFUF и SQLMap
- принимать команды на обычном языке
- запускать автоматизированные сценарии и собирать отчёты
- работать автономно или в составе мульти-агентной системы
- использовать локальную базу знаний через RAG-подход
Проект написан на Python, с открытой лицензией и расширяемой архитектурой.
https://github.com/GH05TCREW/pentestagent
PentestAgent превращает LLM-агента в помощника для black-box тестирования, баг-баунти и red-team задач.
Идея простая: часть рутинных шагов берёт на себя агент, а специалист концентрируется на анализе.
Что умеет:
- работать с классическими инструментами вроде Nmap, Metasploit, FFUF и SQLMap
- принимать команды на обычном языке
- запускать автоматизированные сценарии и собирать отчёты
- работать автономно или в составе мульти-агентной системы
- использовать локальную базу знаний через RAG-подход
Проект написан на Python, с открытой лицензией и расширяемой архитектурой.
https://github.com/GH05TCREW/pentestagent
❤12👍9🔥7
🔍 Ваши данные под микроскопом
YourInfo — это демонстрация осведомленности о конфиденциальности, показывающая, какую информацию сайты могут собирать о вас через отпечатки браузера и поведенческий анализ. Интерактивная 3D-карта позволяет видеть других посетителей в реальном времени, а AI помогает выявлять личные данные.
🚀Основные моменты:
- Отпечатки браузера: анализ Canvas, WebGL, шрифтов и т.д.
- Отслеживание поведения: движения мыши, прокрутка, ввод текста
- Обнаружение устройства: информация о GPU, CPU, RAM
- AI-профилирование: использование Grok AI для анализа данных
- Реальное время: взаимодействие через WebSocket и CesiumJS
📌 GitHub: https://github.com/siinghd/yourinfo
YourInfo — это демонстрация осведомленности о конфиденциальности, показывающая, какую информацию сайты могут собирать о вас через отпечатки браузера и поведенческий анализ. Интерактивная 3D-карта позволяет видеть других посетителей в реальном времени, а AI помогает выявлять личные данные.
🚀Основные моменты:
- Отпечатки браузера: анализ Canvas, WebGL, шрифтов и т.д.
- Отслеживание поведения: движения мыши, прокрутка, ввод текста
- Обнаружение устройства: информация о GPU, CPU, RAM
- AI-профилирование: использование Grok AI для анализа данных
- Реальное время: взаимодействие через WebSocket и CesiumJS
📌 GitHub: https://github.com/siinghd/yourinfo
🤔10👍7❤6🥰1