Ты научишься делать те, которые работают в продакшене.
Это не про BeautifulSoup ради галочки.
Это про системы сбора данных, которые:
• не падают из-за мелких изменений на сайте
• собирают данные в разы быстрее
• обновляют всё автоматически по расписанию
• обходят ограничения и блокировки
• выглядят как полноценный сервис, а не как хаос из файлов
Ты начнёшь видеть сайты не как страницы, а как источники данных, к которым можно подключаться.
В итоге ты сможешь:
• забирать данные для своих проектов
• автоматизировать чужую рутину
• создавать инструменты для аналитики
• брать коммерческие заказы на сбор данных
Это навык, который напрямую превращается в деньги.
Не «знаю Python», а «умею профессионально добывать данные из интернета».
🎁 Скидка 50% на Stepik действует 48 часов: https://stepik.org/a/269942/
Please open Telegram to view this post
VIEW IN TELEGRAM
❤7👍7🔥1
💡 Маленький bash-трюк, который может спасти файлы
По умолчанию в shell команда с > молча перезаписывает файл.
Один неудачный редирект - и нужные данные исчезли.
Пример:
Файл создастся или будет перезаписан без предупреждения.
Как защититься
Включаем режим защиты от перезаписи:
Теперь попытка перезаписать существующий файл через > даст ошибку:
То есть shell не даст случайно затереть файл.
А если всё-таки нужно перезаписать
Используется специальный оператор:
>| игнорирует noclobber и осознанно разрешает перезапись.
Вывод
> - опасен, перезаписывает молча
>| - осознанное "да, я точно хочу перезаписать"
Отличная привычка для серверов, продакшена и работы с важными логами.
По умолчанию в shell команда с > молча перезаписывает файл.
Один неудачный редирект - и нужные данные исчезли.
Пример:
echo "This is a sample line" > hello.txt
Файл создастся или будет перезаписан без предупреждения.
Как защититься
Включаем режим защиты от перезаписи:
set -o noclobber
Теперь попытка перезаписать существующий файл через > даст ошибку:
echo "New lines to replace" > hello.txt
# bash: hello.txt: cannot overwrite existing file
То есть shell не даст случайно затереть файл.
А если всё-таки нужно перезаписать
Используется специальный оператор:
echo "New lines to replace" >| hello.txt
>| игнорирует noclobber и осознанно разрешает перезапись.
Вывод
> - опасен, перезаписывает молча
set -o noclobber - защита от случайных потерь
>| - осознанное "да, я точно хочу перезаписать"
Отличная привычка для серверов, продакшена и работы с важными логами.
👍62🔥15❤13👎2🥰2
Разработчик собрал open-source альтернативу на базе Raspberry Pi — проект RaspyJack. По цене он примерно в два раза дешевле оригинала и при этом полностью повторяем своими руками.
RaspyJack ✅ это компактное устройство для тестирования сетей и изучения безопасности. С его помощью можно анализировать трафик, проверять конфигурации, искать уязвимости и использовать в задачах аудита и пентеста в своей инфраструктуре или лабораторной среде.
Что уже есть в проекте:
- открытый исходный код
- готовые инструкции по сборке
- 3D-модель корпуса для печати
- полный набор софта на GitHub
Электронику придётся собрать самостоятельно — компоненты можно найти на обычных маркетплейсах.
Подойдёт тем, кто интересуется:
hardware-проектами, кибербезопасностью, Raspberry Pi и практикой ethical hacking.
GitHub: https://github.com/7h30th3r0n3/Raspyjack
Видео: https://youtu.be/i4CnRoA7Mt4?si=z6vSqJHmsl2bcQrj
Open-source делает дорогие нишевые устройства доступными для DIY.
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥40❤18👍16😁4
Это reasoning-LLM, специально обученный искать уязвимости так, как это делает пентестер.
Главная особенность:
Модель не просто ищет подозрительные паттерны.
Она рассуждает по потокам данных и логике выполнения, чтобы понять, где именно возникает риск.
Что умеет VulnLLM-R-7B:
— Анализирует data flow и control flow, а не только синтаксис
— Проводит пошаговый разбор уязвимости
— Объясняет почему код опасен простым языком
— Работает с реальными сценариями, а не только с учебными примерами
По результатам тестов:
— Показывает state-of-the-art на наборах PrimeVul и Juliet
— Обходит CodeQL, традиционные статические анализаторы и даже крупные коммерческие LLM
— При этом модель компактная — всего 7B параметров, быстрее и дешевле в использовании
Безопасность кода постепенно переходит от «поиска шаблонов» к логическому анализу поведения программы.
И небольшие специализированные модели начинают выигрывать у больших универсальных.
Модель: huggingface.co/UCSB-SURFI/VulnLLM-R-7B
Please open Telegram to view this post
VIEW IN TELEGRAM
👍20❤16🤩5🔥2
Когда инфраструктура меняется быстрее, чем успевают обновляться процессы ИБ — теории уже недостаточно. Нужна практика.
Positive Education приглашает на практикумы по кибербезопасности для инженеров и руководителей ИБ.
Формат построен на методологиях экспертов Positive Technologies и включает разбор реальных сценариев атак, расследований и архитектурных решений.
Ближайшие потоки этой весны:
📌 10 марта — Мониторинг и реагирование на инциденты
📌 16 марта — Архитектура сетевой безопасности предприятия
📌 23 марта — Безопасность приложений: практикум для инженеров
📌 6 апреля — Построение SOC 2.0: от концепции до реализации
📌 20 апреля — Предотвращение атак на АСУ ТП
🎯Успейте изучить программы практикумов записаться!🎯
Количество мест на практикумах ограничено.
Positive Education приглашает на практикумы по кибербезопасности для инженеров и руководителей ИБ.
Формат построен на методологиях экспертов Positive Technologies и включает разбор реальных сценариев атак, расследований и архитектурных решений.
Ближайшие потоки этой весны:
📌 10 марта — Мониторинг и реагирование на инциденты
📌 16 марта — Архитектура сетевой безопасности предприятия
📌 23 марта — Безопасность приложений: практикум для инженеров
📌 6 апреля — Построение SOC 2.0: от концепции до реализации
📌 20 апреля — Предотвращение атак на АСУ ТП
🎯Успейте изучить программы практикумов записаться!🎯
Количество мест на практикумах ограничено.
👍5❤2👎2
⚛️ React2Shell Scanner - Эксплуатация уязвимости CVE-2025-55182
Интерактивный инструмент для эксплуатации уязвимости в Next.js, позволяющий выполнять команды, загружать файлы и эскалировать привилегии. Обеспечивает удобный интерфейс и автоматизацию процессов для тестирования безопасности.
🚀 Основные моменты:
- Однофайловый исполняемый файл без внешних зависимостей.
- Полноценный интерактивный терминал с историей команд.
- Авто-эскалация привилегий с помощью инъекций.
- Надежные операции с файлами и кодирование для обхода фильтров.
📌 GitHub: https://github.com/ula7i921011/React2Shell-Scanner
Интерактивный инструмент для эксплуатации уязвимости в Next.js, позволяющий выполнять команды, загружать файлы и эскалировать привилегии. Обеспечивает удобный интерфейс и автоматизацию процессов для тестирования безопасности.
🚀 Основные моменты:
- Однофайловый исполняемый файл без внешних зависимостей.
- Полноценный интерактивный терминал с историей команд.
- Авто-эскалация привилегий с помощью инъекций.
- Надежные операции с файлами и кодирование для обхода фильтров.
📌 GitHub: https://github.com/ula7i921011/React2Shell-Scanner
❤20👍9👎5🔥4
Forwarded from Анализ данных (Data analysis)
⚠️ GPT-5.4 впервые получил статус “высокого киберугрозы” среди универсальных AI-моделей.
GPT-5.4 - официально признана high cybersecurity risk.
Это означает, что модель уже способна самостоятельно планировать и выполнять сложные кибератаки на симулированные корпоративные сети.
Основание для такой оценки - тесты Capture the Flag (CTF).
В индустрии кибербезопасности CTF - это соревнования по взлому систем.
Участники должны проникнуть в симулированную сеть, найти уязвимости, взломать сервисы и добыть скрытые данные - так называемые *flags*.
Для этого требуется:
- взламывать шифрование
- делать reverse engineering программ
- находить уязвимости в веб-приложениях
- строить сложные цепочки атак
По результатам официальных тестов GPT-5.4 набрал 88% в профессиональных CTF-сценариях.
Это очень высокий показатель.
Фактически это означает, что модель уже умеет:
- находить уязвимости в системах
- писать эксплойты
- строить стратегии взлома
Если AI способен проходить профессиональные hacking-челленджи, значит он обладает теми же навыками, которые используют реальные хакеры для взлома корпоративных инфраструктур.
Главная проблема - масштабирование атак.
Если раньше хакеру нужно было вручную искать слабые места, то теперь AI может автоматически анализировать систему и находить уязвимости.
Это резко ускоряет и удешевляет кибератаки.
Именно поэтому GPT-5.4 стал первой универсальной AI-моделью, официально получившей высокий уровень киберриска в системной карте безопасности.
deploymentsafety.openai.com/gpt-5-4-thinking/gpt-5-4-thinking.pdf
GPT-5.4 - официально признана high cybersecurity risk.
Это означает, что модель уже способна самостоятельно планировать и выполнять сложные кибератаки на симулированные корпоративные сети.
Основание для такой оценки - тесты Capture the Flag (CTF).
В индустрии кибербезопасности CTF - это соревнования по взлому систем.
Участники должны проникнуть в симулированную сеть, найти уязвимости, взломать сервисы и добыть скрытые данные - так называемые *flags*.
Для этого требуется:
- взламывать шифрование
- делать reverse engineering программ
- находить уязвимости в веб-приложениях
- строить сложные цепочки атак
По результатам официальных тестов GPT-5.4 набрал 88% в профессиональных CTF-сценариях.
Это очень высокий показатель.
Фактически это означает, что модель уже умеет:
- находить уязвимости в системах
- писать эксплойты
- строить стратегии взлома
Если AI способен проходить профессиональные hacking-челленджи, значит он обладает теми же навыками, которые используют реальные хакеры для взлома корпоративных инфраструктур.
Главная проблема - масштабирование атак.
Если раньше хакеру нужно было вручную искать слабые места, то теперь AI может автоматически анализировать систему и находить уязвимости.
Это резко ускоряет и удешевляет кибератаки.
Именно поэтому GPT-5.4 стал первой универсальной AI-моделью, официально получившей высокий уровень киберриска в системной карте безопасности.
deploymentsafety.openai.com/gpt-5-4-thinking/gpt-5-4-thinking.pdf
👍22❤18👎9🔥3🤔1🤬1
⚡️ Мах ворует личные фото из переписок - пользователи нашли серьезную уязвимость.
Оказалось, что если отправить изображение в чат или даже сохранить его в «Избранное», файл можно открыть без авторизации. Достаточно зайти в веб-версию сервиса, посмотреть код страницы, скопировать прямую ссылку на файл и открыть её в браузере.
Такая ссылка работает напрямую и не требует входа в аккаунт.
Из-за этого теоретически доступ к файлам могут получать боты, парсеры и любые сторонние сервисы. А значит под угрозой оказываются любые отправленные изображения - документы, личные фотографии и другие файлы.
Оказалось, что если отправить изображение в чат или даже сохранить его в «Избранное», файл можно открыть без авторизации. Достаточно зайти в веб-версию сервиса, посмотреть код страницы, скопировать прямую ссылку на файл и открыть её в браузере.
Такая ссылка работает напрямую и не требует входа в аккаунт.
Из-за этого теоретически доступ к файлам могут получать боты, парсеры и любые сторонние сервисы. А значит под угрозой оказываются любые отправленные изображения - документы, личные фотографии и другие файлы.
😁130👍27🔥16❤9👎8😱8🤬8🤯2
MacOS:
Можешь установить эту программу, которой 5 лет?
Нет! Она слишком старая!
Windows:
Можешь установить эту программу, которой 25 лет?
Да, конечно! Устанавливаю… готово!
Linux:
Можешь установить эту программу, которой 25 лет?
Она уже установлена.
🖥 Полезные Linux ресурсы 🚀 Max
Можешь установить эту программу, которой 5 лет?
Нет! Она слишком старая!
Windows:
Можешь установить эту программу, которой 25 лет?
Да, конечно! Устанавливаю… готово!
Linux:
Можешь установить эту программу, которой 25 лет?
Она уже установлена.
Please open Telegram to view this post
VIEW IN TELEGRAM
👍89😁59❤24🔥11👎7
This media is not supported in your browser
VIEW IN TELEGRAM
После установки Linux на приставке начали работать игры из Steam со всеми преимуществами ПК-версий: настройки графики, моды и привычная экосистема ПК.
Для такого «апгрейда» понадобилась PS5 со старой прошивкой и кастомный патч для видеокарты.
Фактически за пару вечеров он сделал то, к чему Microsoft и Valve шли годами.
https://github.com/PS5Dev/Byepervisor
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥98👍43❤8👎2👏2😁2🤯1
Компилятор GCC 12, прошивка для FPGA или Linux? Что могло собрать их в один ряд подозреваемых? Дело об обходе стека в ядре Linux для RISC-V.
В новой статье на Хабре инженеры YADRO раскручивают этот кейс основательно: от способов обхода в принципе до анализа патча ядра пятилетней давности от некоего Чен Хуанга. А убийцей оказался… нет, не садовник.
Почитайте и узнаете сами.
В новой статье на Хабре инженеры YADRO раскручивают этот кейс основательно: от способов обхода в принципе до анализа патча ядра пятилетней давности от некоего Чен Хуанга. А убийцей оказался… нет, не садовник.
Почитайте и узнаете сами.
👍12❤1
Плюсы: Linux
У вас есть возможность настроить всё что угодно.
Минусы: Linux
У вас есть возможность настроить всё что угодно.
Гибкость Linux - одновременно и главное преимущество, и главная проблема.
🖥 Полезные Linux ресурсы 🚀 Max
У вас есть возможность настроить всё что угодно.
Минусы: Linux
У вас есть возможность настроить всё что угодно.
Гибкость Linux - одновременно и главное преимущество, и главная проблема.
Please open Telegram to view this post
VIEW IN TELEGRAM
😁82👍27❤9🎉1🤩1
⚠️ AI взломал AI: автономный агент взломал внутренний чат-бот McKinsey за 2 часа
Исследователи из security-стартапа CodeWall запустили автономного AI-агента против внутренней AI-платформы McKinsey под названием Lilli — и получили полный доступ к системе всего за 2 часа.
Что произошло:
• AI-агент сам выбрал цель и начал исследовать инфраструктуру
• обнаружил уязвимость SQL injection
• получил полный read/write доступ к базе данных
После этого он смог получить доступ к огромному объему данных:
• 46,5 млн сообщений чатов
• 728 000 файлов
• 57 000 аккаунтов сотрудников
• 95 системных промптов, управляющих поведением AI
Самое опасное - злоумышленник мог переписать системные промпты, которые управляют поведением чат-бота.
То есть можно было:
- незаметно менять ответы AI
- искажать аналитические рекомендации
- манипулировать стратегическими выводами
Причем без изменения кода и без деплоя — одной SQL-командой.
McKinsey быстро закрыла уязвимости после disclosure, но этот кейс показал важную вещь:
⚠️ AI-агенты могут проводить полноценные кибератаки на скорости машин.
Теперь атаки могут:
- автоматически искать уязвимости
- атаковать инфраструктуру
- масштабироваться без участия человека
Фактически начинается новая эпоха AI vs AI в кибербезопасности.
https://www.theregister.com/2026/03/09/mckinsey_ai_chatbot_hacked/
🖥 Полезные Linux ресурсы 🚀 Max
Исследователи из security-стартапа CodeWall запустили автономного AI-агента против внутренней AI-платформы McKinsey под названием Lilli — и получили полный доступ к системе всего за 2 часа.
Что произошло:
• AI-агент сам выбрал цель и начал исследовать инфраструктуру
• обнаружил уязвимость SQL injection
• получил полный read/write доступ к базе данных
После этого он смог получить доступ к огромному объему данных:
• 46,5 млн сообщений чатов
• 728 000 файлов
• 57 000 аккаунтов сотрудников
• 95 системных промптов, управляющих поведением AI
Самое опасное - злоумышленник мог переписать системные промпты, которые управляют поведением чат-бота.
То есть можно было:
- незаметно менять ответы AI
- искажать аналитические рекомендации
- манипулировать стратегическими выводами
Причем без изменения кода и без деплоя — одной SQL-командой.
McKinsey быстро закрыла уязвимости после disclosure, но этот кейс показал важную вещь:
⚠️ AI-агенты могут проводить полноценные кибератаки на скорости машин.
Теперь атаки могут:
- автоматически искать уязвимости
- атаковать инфраструктуру
- масштабироваться без участия человека
Фактически начинается новая эпоха AI vs AI в кибербезопасности.
https://www.theregister.com/2026/03/09/mckinsey_ai_chatbot_hacked/
Please open Telegram to view this post
VIEW IN TELEGRAM
👍24🔥15❤11😁10😱3👏1
🔍🛠️ OpenClaw-PwnKit: Adversarial Attacks on LLMs
OpenClaw-PwnKit представляет собой исследовательский фреймворк для демонстрации уязвимостей в системах с использованием больших языковых моделей (LLM). Он использует метод CMA-ES для генерации атакующих триггеров, которые могут обойти механизмы безопасности и привести к удаленному выполнению кода через манипуляцию вызовами инструментов.
🚀Основные моменты:
- Исследует уязвимости LLM с возможностью вызова инструментов.
- Использует оптимизацию без градиентов для создания атакующих триггеров.
- Поддерживает различные методы инъекций и атак.
- Ориентирован на закрытые модели, такие как GPT-4 и Claude 3.
📌 GitHub: https://github.com/imbue-bit/OpenClaw-PwnKit
OpenClaw-PwnKit представляет собой исследовательский фреймворк для демонстрации уязвимостей в системах с использованием больших языковых моделей (LLM). Он использует метод CMA-ES для генерации атакующих триггеров, которые могут обойти механизмы безопасности и привести к удаленному выполнению кода через манипуляцию вызовами инструментов.
🚀Основные моменты:
- Исследует уязвимости LLM с возможностью вызова инструментов.
- Использует оптимизацию без градиентов для создания атакующих триггеров.
- Поддерживает различные методы инъекций и атак.
- Ориентирован на закрытые модели, такие как GPT-4 и Claude 3.
📌 GitHub: https://github.com/imbue-bit/OpenClaw-PwnKit
👍15❤11🔥4
This media is not supported in your browser
VIEW IN TELEGRAM
Линуксоиды, как вы это объясните?
😁79👎46👍16🔥5😱5❤3