⚡️ ИИ-агенты уже умеют не просто взламывать уязвимые системы, а копировать себя дальше по сети.
Palisade Research показала эксперимент, где языковая модель автономно находила уязвимый хост, получала доступ, переносила туда свой harness и prompt, поднимала inference-сервер и запускала новую копию агента.
Дальше самое неприятное: эта копия могла повторить процесс уже против следующей цели.
Тестировали несколько классов уязвимостей:
- обход хэшей
- server-side template injection
- SQL injection
- broken access control
По данным Palisade, Qwen3.5-122B-A10B успешно справлялся в 6-19% попыток, меньшая Qwen3.6-27B доходила до 33% на одной A100, а frontier-модели при переносе Qwen-весов показывали ещё более высокие результаты.
Главная мысль не в том, что «ИИ сейчас захватит интернет».
Главная мысль в другом: агентные системы уже подходят к зоне, где они могут автономно искать слабые места, разворачивать себя в новой среде и продолжать цепочку без человека в цикле.
Это больше не обычный чат-бот.
Это уже прототип самораспространяющегося software-agent, которому нужны не эмоции, не сознание и не злой умысел.
Достаточно инструментов, цели, доступа к сети и уязвимой инфраструктуры.
И вот здесь разговор про AI safety резко перестаёт быть философией.
https://palisaderesearch.org/blog/self-replication
https://github.com/palisaderesearch/AI-self-replication
Palisade Research показала эксперимент, где языковая модель автономно находила уязвимый хост, получала доступ, переносила туда свой harness и prompt, поднимала inference-сервер и запускала новую копию агента.
Дальше самое неприятное: эта копия могла повторить процесс уже против следующей цели.
Тестировали несколько классов уязвимостей:
- обход хэшей
- server-side template injection
- SQL injection
- broken access control
По данным Palisade, Qwen3.5-122B-A10B успешно справлялся в 6-19% попыток, меньшая Qwen3.6-27B доходила до 33% на одной A100, а frontier-модели при переносе Qwen-весов показывали ещё более высокие результаты.
Главная мысль не в том, что «ИИ сейчас захватит интернет».
Главная мысль в другом: агентные системы уже подходят к зоне, где они могут автономно искать слабые места, разворачивать себя в новой среде и продолжать цепочку без человека в цикле.
Это больше не обычный чат-бот.
Это уже прототип самораспространяющегося software-agent, которому нужны не эмоции, не сознание и не злой умысел.
Достаточно инструментов, цели, доступа к сети и уязвимой инфраструктуры.
И вот здесь разговор про AI safety резко перестаёт быть философией.
https://palisaderesearch.org/blog/self-replication
https://github.com/palisaderesearch/AI-self-replication
❤27👍18😢6🤔4🔥3
Как развернуть катастрофоустойчивую облачную инфраструктуру?
На практическом вебинаре Selectel разберет архитектуру геораспределенного облака и покажет, как построить такую ИТ-инфраструктуру, которая продолжит работать даже при отказе целого дата-центра.
📅 20 мая, 12:00
📍 Онлайн
👥 Для DevOps-инженеров, системных администраторов, Cloud-архитекторов и технических руководителей
👉 Смотрите полную программу и регистрируйтесь: https://slc.tl/sgq58
Чтобы не пропустить вебинар и узнавать о других событиях и бесплатных курсах Selectel, подписывайтесь на @selectel_events
Реклама. АО "Селектел". erid:2W5zFHj5yuT
На практическом вебинаре Selectel разберет архитектуру геораспределенного облака и покажет, как построить такую ИТ-инфраструктуру, которая продолжит работать даже при отказе целого дата-центра.
📅 20 мая, 12:00
📍 Онлайн
👥 Для DevOps-инженеров, системных администраторов, Cloud-архитекторов и технических руководителей
👉 Смотрите полную программу и регистрируйтесь: https://slc.tl/sgq58
Чтобы не пропустить вебинар и узнавать о других событиях и бесплатных курсах Selectel, подписывайтесь на @selectel_events
Реклама. АО "Селектел". erid:2W5zFHj5yuT
👍4❤1🎉1
⚡️ 10 терминальных инструментов, которые делают работу быстрее в 2026
Если часто работаешь в терминале, эти тулзы заметно упрощают жизнь.
1. zoxide
Умный cd, который запоминает твои привычки
https://github.com/ajeetdsouza/zoxide
2. fzf
Fuzzy-поиск файлов, процессов, git и истории
https://github.com/junegunn/fzf
3. ripgrep
Быстрый поиск по коду с учётом .gitignore
https://github.com/BurntSushi/ripgrep
4. lazygit
Удобный интерфейс для работы с git в терминале
https://github.com/jesseduffield/lazygit
5. starship
Лёгкий и быстрый prompt с полезной информацией
https://github.com/starship/starship
6. atuin
История команд с поиском и синхронизацией
https://github.com/atuinsh/atuin
7. bat
Просмотр файлов с подсветкой синтаксиса
https://github.com/sharkdp/bat
8. eza
Современная замена ls с иконками и цветами
https://github.com/eza-community/eza
9. yazi
Быстрый файловый менеджер в терминале
https://github.com/sxyazi/yazi
10. delta
Удобный просмотр git diff с подсветкой
https://github.com/dandavison/delta
Полезная инструменты, которые дают заметный эффект в ежедневной работе.
Если часто работаешь в терминале, эти тулзы заметно упрощают жизнь.
1. zoxide
Умный cd, который запоминает твои привычки
https://github.com/ajeetdsouza/zoxide
2. fzf
Fuzzy-поиск файлов, процессов, git и истории
https://github.com/junegunn/fzf
3. ripgrep
Быстрый поиск по коду с учётом .gitignore
https://github.com/BurntSushi/ripgrep
4. lazygit
Удобный интерфейс для работы с git в терминале
https://github.com/jesseduffield/lazygit
5. starship
Лёгкий и быстрый prompt с полезной информацией
https://github.com/starship/starship
6. atuin
История команд с поиском и синхронизацией
https://github.com/atuinsh/atuin
7. bat
Просмотр файлов с подсветкой синтаксиса
https://github.com/sharkdp/bat
8. eza
Современная замена ls с иконками и цветами
https://github.com/eza-community/eza
9. yazi
Быстрый файловый менеджер в терминале
https://github.com/sxyazi/yazi
10. delta
Удобный просмотр git diff с подсветкой
https://github.com/dandavison/delta
Полезная инструменты, которые дают заметный эффект в ежедневной работе.
👍21❤9🔥7
💀 Под видом OpenAI в GitHub Trends протащили инфостилер
История для тех, кто до сих пор ставит модные GitHub-проекты по принципу «о, знакомое название».
В тренды залетел репозиторий, который маскировался под Privacy Filter от OpenAI. Идея у настоящего инструмента нормальная: локально находить личные данные в тексте и убирать их перед отправкой в ИИ.
Но фейковая версия делала совсем другое.
Внутри лежал Python-скрипт, который на Windows скачивал и запускал инфостилер. То есть вместо защиты приватности пользователь получал ровно обратное - слив данных.
Почему это сработало:
- название похоже на официальный проект
- тема приватности сейчас на хайпе
- бренд OpenAI вызывает доверие
- GitHub Trends создаёт иллюзию проверки толпой
Самое неприятное - репозиторий успел собрать сотни тысяч скачиваний, пока люди думали, что ставят полезный локальный privacy-инструмент.
Мораль простая: GitHub Trends - не знак качества. Перед установкой проверяй автора, официальный сайт, историю коммитов, install-скрипты и зависимости.
Особенно если проект обещает «защитить ваши данные».
https://huggingface.co/openai/privacy-filter
История для тех, кто до сих пор ставит модные GitHub-проекты по принципу «о, знакомое название».
В тренды залетел репозиторий, который маскировался под Privacy Filter от OpenAI. Идея у настоящего инструмента нормальная: локально находить личные данные в тексте и убирать их перед отправкой в ИИ.
Но фейковая версия делала совсем другое.
Внутри лежал Python-скрипт, который на Windows скачивал и запускал инфостилер. То есть вместо защиты приватности пользователь получал ровно обратное - слив данных.
Почему это сработало:
- название похоже на официальный проект
- тема приватности сейчас на хайпе
- бренд OpenAI вызывает доверие
- GitHub Trends создаёт иллюзию проверки толпой
Самое неприятное - репозиторий успел собрать сотни тысяч скачиваний, пока люди думали, что ставят полезный локальный privacy-инструмент.
Мораль простая: GitHub Trends - не знак качества. Перед установкой проверяй автора, официальный сайт, историю коммитов, install-скрипты и зависимости.
Особенно если проект обещает «защитить ваши данные».
https://huggingface.co/openai/privacy-filter
😁17❤5👍4😱4🔥1
Прогрев к блокировке GitHub уже начался
GitHub назвали «вредительской платформой» для России. Об этом заявил Антон Горелкин, первый зампред ИТ-комитета Госдумы.
По его словам, доля неудачных подключений к GitHub уже превысила 16%. При этом РКН утверждает, что платформу не ограничивает, а сам Горелкин обвиняет Microsoft и GitHub в дискриминации российских пользователей.
В ИТ-комитете считают, что дальше ситуация будет только ухудшаться. Разработчикам уже советуют переносить проекты на другие Git-сервисы, включая российские аналоги.
Пока это выглядит не как случайный сбой, а как подготовка почвы: сначала «проблемы с доступом», потом заявления про вредительскую платформу, потом рекомендации срочно переезжать.
Вопрос только один: это очередной политический шум или GitHub реально готовят к отключению?
https://vc.ru/dev/2922273-github-vreditelskaya-platforma-dlya-rossii
GitHub назвали «вредительской платформой» для России. Об этом заявил Антон Горелкин, первый зампред ИТ-комитета Госдумы.
По его словам, доля неудачных подключений к GitHub уже превысила 16%. При этом РКН утверждает, что платформу не ограничивает, а сам Горелкин обвиняет Microsoft и GitHub в дискриминации российских пользователей.
В ИТ-комитете считают, что дальше ситуация будет только ухудшаться. Разработчикам уже советуют переносить проекты на другие Git-сервисы, включая российские аналоги.
Пока это выглядит не как случайный сбой, а как подготовка почвы: сначала «проблемы с доступом», потом заявления про вредительскую платформу, потом рекомендации срочно переезжать.
Вопрос только один: это очередной политический шум или GitHub реально готовят к отключению?
https://vc.ru/dev/2922273-github-vreditelskaya-platforma-dlya-rossii
👎57🤬50❤9👍5🔥5😁3🥰1
✔ OpenAI анонсировала платформу проактивной киберзащиты
Компания запустила инициативу Daybreak для задач киберзащиты и анализа ПО. В основе - собственные LLM, где Codex используется в качестве управляющего агентного каркаса.
Daybreak анализирует объемные кодовые базы и незнакомые архитектуры, выявляет уязвимости, проводит секьюрити-ревью и оценивает риски зависимостей. Инструмент встроен напрямую в цикл разработки для моделирования угроз и валидации патчей.
Из-за рисков двойного назначения платформа использует жесткие механизмы верификации. В ближайшие недели OpenAI совместно с госсектором и ИБ-партнерами начнет поэтапный релиз новых специализированных моделей для кибербезопасности.
https://openai.com/daybreak/
Компания запустила инициативу Daybreak для задач киберзащиты и анализа ПО. В основе - собственные LLM, где Codex используется в качестве управляющего агентного каркаса.
Daybreak анализирует объемные кодовые базы и незнакомые архитектуры, выявляет уязвимости, проводит секьюрити-ревью и оценивает риски зависимостей. Инструмент встроен напрямую в цикл разработки для моделирования угроз и валидации патчей.
Из-за рисков двойного назначения платформа использует жесткие механизмы верификации. В ближайшие недели OpenAI совместно с госсектором и ИБ-партнерами начнет поэтапный релиз новых специализированных моделей для кибербезопасности.
https://openai.com/daybreak/
❤8👍7🔥3🤔2👎1
Представьте: через три месяца вы открываете чужой Rust-код и читаете его как книгу.
Arc<Mutex<T>> не вызывает панику. impl Future не пугает. Вы точно знаете, почему компилятор ругается и как это починить за 10 секунд.
Это не фантазия. Это результат 50 уроков, в которых каждая концепция объясняется через код и закрепляется практикой.
Ownership, traits, generics, async, unsafe - всё, что казалось магией, станет рабочим инструментом.А бонусом - портфолио проектов: от CLI-утилит до REST API и WebAssembly.
Вы и так знаете, что Rust - ваш следующий язык. Этот курс просто сделает это реальностью.
Сегодня - 55% процентов от цены, торопись: https://stepik.org/a/269250/
Please open Telegram to view this post
VIEW IN TELEGRAM
❤6👍4👎4🔥3
Русская раскладка как антивирус: Linux-малварь сама отключалась на русскоязычных системах
Microsoft обнаружила вредоносный код в библиотеке, связанной с Mistral AI. Самая странная деталь: малварь проверяла язык системы и отказывалась запускаться, если находила русский.
Для вредоносов из СНГ это не такая уж редкость. В код часто добавляют проверку локали, чтобы не заражать пользователей из России и соседних стран. Логика простая: меньше шума дома, меньше риска привлечь внимание местных силовиков.
Но дальше начинается совсем абсурд.
Если заражённая система определялась как из Израиля или Ирана, код запускал цифровую русскую рулетку: с шансом 1 к 6 он пытался полностью уничтожить данные на машине.
Получается почти карикатура на современную киберреальность: вредонос в AI-библиотеке, геополитика внутри кода и русская раскладка как случайный защитный механизм.
https://x.com/MsftSecIntel/status/2054041471280423424?s=20
Microsoft обнаружила вредоносный код в библиотеке, связанной с Mistral AI. Самая странная деталь: малварь проверяла язык системы и отказывалась запускаться, если находила русский.
Для вредоносов из СНГ это не такая уж редкость. В код часто добавляют проверку локали, чтобы не заражать пользователей из России и соседних стран. Логика простая: меньше шума дома, меньше риска привлечь внимание местных силовиков.
Но дальше начинается совсем абсурд.
Если заражённая система определялась как из Израиля или Ирана, код запускал цифровую русскую рулетку: с шансом 1 к 6 он пытался полностью уничтожить данные на машине.
Получается почти карикатура на современную киберреальность: вредонос в AI-библиотеке, геополитика внутри кода и русская раскладка как случайный защитный механизм.
https://x.com/MsftSecIntel/status/2054041471280423424?s=20
🔥44👍14😁14❤7
This media is not supported in your browser
VIEW IN TELEGRAM
Линуксоиды, уговаривающие своих друзей слезть с macOS — чтобы те получили незабываемый опыт: разобраться, что такое модуль ядра, только ради того, чтобы у них заработал Wi-Fi.
😁114❤14🔥5👍2
Pointer tagging: как рантаймы прячут данные прямо внутри указателя
В x86-64 Linux пользовательские процессы обычно используют не все 64 бита адреса. На практике адреса занимают около 48 бит, а верхние биты часто остаются свободными.
И вот тут начинается низкоуровневая магия.
Некоторые рантаймы кладут в эти верхние биты служебную информацию: тип объекта, флаги, состояние GC, короткий идентификатор или другой metadata-tag. Перед разыменованием указатель очищается маской, и процессор снова видит обычный валидный адрес.
Это называется pointer tagging.
Зачем это нужно:
- можно хранить метаданные без отдельной структуры
- меньше аллокаций
- лучше cache locality
- быстрее проверка типа или состояния объекта
- меньше overhead в рантайме
Такой подход используют Lisp-рантаймы, garbage collectors, JavaScript-движки и VM, где каждый байт и каждый лишний переход по памяти имеют значение.
Идея простая: если часть битов в указателе всё равно не участвует в адресации, почему бы не заставить их работать.
В x86-64 Linux пользовательские процессы обычно используют не все 64 бита адреса. На практике адреса занимают около 48 бит, а верхние биты часто остаются свободными.
И вот тут начинается низкоуровневая магия.
Некоторые рантаймы кладут в эти верхние биты служебную информацию: тип объекта, флаги, состояние GC, короткий идентификатор или другой metadata-tag. Перед разыменованием указатель очищается маской, и процессор снова видит обычный валидный адрес.
Это называется pointer tagging.
Зачем это нужно:
- можно хранить метаданные без отдельной структуры
- меньше аллокаций
- лучше cache locality
- быстрее проверка типа или состояния объекта
- меньше overhead в рантайме
Такой подход используют Lisp-рантаймы, garbage collectors, JavaScript-движки и VM, где каждый байт и каждый лишний переход по памяти имеют значение.
Идея простая: если часть битов в указателе всё равно не участвует в адресации, почему бы не заставить их работать.
👍24🔥8❤7
This media is not supported in your browser
VIEW IN TELEGRAM
Mythos обошёл защиту, в которую Apple вложила 5 лет и миллиарды
Три исследователя использовали Anthropic Mythos, чтобы собрать рабочий exploit для macOS kernel. По их словам, он обходит Apple M5 Memory Integrity Enforcement - систему защиты, которую Apple строила годами и продвигала как один из главных барьеров против memory corruption атак.
Таймлайн выглядит жёстко:
- 25 апреля нашли баг
- 1 мая уже был рабочий exploit
- отчёт понесли лично в Apple Park
MIE была флагманской security-фичей для M5 и A19. Apple описывала её как защиту, которая должна резко усложнить целый класс атак на память. По их же исследованиям, MIE ломала все известные публичные exploit chains против современных iOS-устройств.
Исследователи не «сломали» MIE напрямую. Они её обошли. По описанию, атака была data-only: без манипуляций с указателями, через стандартные syscalls, от обычного непривилегированного пользователя до root.
Проблема уже не только в том, что уязвимости всё ещё находятся. Проблема в том, что frontier-модели начинают ускорять самую сложную часть offensive security: связывать баги, проверять гипотезы, искать обходные маршруты и собирать рабочую цепочку быстрее, чем это делала бы обычная команда вручную.
55-страничный технический отчёт обещают выпустить после патча Apple.
Если всё подтвердится, это одна из самых важных cybersecurity-историй года.
https://blog.calif.io/p/first-public-kernel-memory-corruption
Три исследователя использовали Anthropic Mythos, чтобы собрать рабочий exploit для macOS kernel. По их словам, он обходит Apple M5 Memory Integrity Enforcement - систему защиты, которую Apple строила годами и продвигала как один из главных барьеров против memory corruption атак.
Таймлайн выглядит жёстко:
- 25 апреля нашли баг
- 1 мая уже был рабочий exploit
- отчёт понесли лично в Apple Park
MIE была флагманской security-фичей для M5 и A19. Apple описывала её как защиту, которая должна резко усложнить целый класс атак на память. По их же исследованиям, MIE ломала все известные публичные exploit chains против современных iOS-устройств.
Исследователи не «сломали» MIE напрямую. Они её обошли. По описанию, атака была data-only: без манипуляций с указателями, через стандартные syscalls, от обычного непривилегированного пользователя до root.
Проблема уже не только в том, что уязвимости всё ещё находятся. Проблема в том, что frontier-модели начинают ускорять самую сложную часть offensive security: связывать баги, проверять гипотезы, искать обходные маршруты и собирать рабочую цепочку быстрее, чем это делала бы обычная команда вручную.
55-страничный технический отчёт обещают выпустить после патча Apple.
Если всё подтвердится, это одна из самых важных cybersecurity-историй года.
https://blog.calif.io/p/first-public-kernel-memory-corruption
👍37❤20🔥12👎1
This media is not supported in your browser
VIEW IN TELEGRAM
🧾 Shellfirm — защита от случайных или вредоносных команд в терминале.
Shellfirm — это оболочка безопасности, которая перехватывает опасные команды перед их выполнением. Она помогает избежать случайных удалений, перезаписей и других разрушительных операций. Вместо того чтобы полагаться только на
Поддерживаемые команды:
Примеры использования:
Shellfirm умеет:
- Перехватывать опасные команды до их выполнения.
- Показывать, что именно будет сделано (например, какие файлы будут удалены).
- Работать в интерактивном режиме с подтверждением.
- Настраиваться под себя.
- Поддерживать различные оболочки (`bash`,
Установка через
Проект с открытым исходным кодом, написан на Go.
https://github.com/kaplanelad/shellfirm
Shellfirm — это оболочка безопасности, которая перехватывает опасные команды перед их выполнением. Она помогает избежать случайных удалений, перезаписей и других разрушительных операций. Вместо того чтобы полагаться только на
alias или ручные проверки, Shellfirm добавляет дополнительный уровень безопасности — требует подтверждение на понятном языке, прежде чем выполнить потенциально опасную команду.Поддерживаемые команды:
rm, mv, chmod, chown, scp, rsync, dd, mkfs, shutdown, reboot, curl, wget, kill, и другие.Примеры использования:
$ rm -rf /
🚨 Вы уверены, что хотите удалить / ? [y/N]
Shellfirm умеет:
- Перехватывать опасные команды до их выполнения.
- Показывать, что именно будет сделано (например, какие файлы будут удалены).
- Работать в интерактивном режиме с подтверждением.
- Настраиваться под себя.
- Поддерживать различные оболочки (`bash`,
zsh, fish, xonsh и т.д.).Установка через
brew, go install, pipx и другие.Проект с открытым исходным кодом, написан на Go.
https://github.com/kaplanelad/shellfirm
❤6🔥6👍3😁3