Forwarded from Алексей Гладков
Жизнь мужчины - это череда событий, которая просто МЕШАЕТ ЕМУ ПОИГРАТЬ В КОМПЬЮТЕР
🔥3
«Яндекс» добавил в «Яндекс Браузер» функцию: «Алиса» распознаёт содержимое картинок в интернете и генерирует их описания, при желании — с деталями. Мультимодальная модель учитывает контекст и связи на изображении, что помогает незрячим пользователям получать достоверное представление. Вызвать описание можно через «Описать картинку» в меню или на панели либо наведя фокус экранного доступа. На Windows, iOS и Android «Алиса» умеет озвучивать. Настройки — «Специальные возможности».
Forwarded from Похек
Утечка данных из тенанта через Microsoft 365 Copilot в Mermaid-диаграмму
#Copilot #Mermaid #PromptInjection #LLMSecurity #LLMSecOps #MLSecOps #SupplyChain #IncidentResponse
Исследователь описал вариант косвенной инъекции промпта, заставляющий Microsoft 365 Copilot извлекать данные из тенанта, кодировать их в hex и вставлять в сгенерированную Mermaid-диаграмму с кликабельной ссылкой, которая затем передает данные на C2.
➡️ Уязвимость дает сочетание двух факторов
- Copilot может вызывать инструменты типа
- Mermaid-артефакты поддерживают кликабельные ссылки на ресурсы, что дает неочевидный exfil-канал.
➡️ Цепочка эксплуатации
- В документ встраиваются скрытые инструкции (progressive / indirect prompt injection), например, для сбора email.
- Copilot собирает данные тенанта через доступные инструменты.
- Данные кодируются (hex) и подставляются в текст, который Copilot генерирует как Mermaid-диаграмму.
- Mermaid-диаграмма рендерится в интерфейсе как интерактивный объект с ссылками.
- При открытии или при клике клиент/браузер делает запрос к серверу C2, в логах сервера собираются куски hex-строки и восстанавливаются данные.
➡️ Что сделано
- Уязвимость продемонстрирована и задокументирована (Coordinated Disclosure с MSRC), в материале описан процесс взаимодействия с Microsoft и работа над фиксом
- Баг исправлен (без CVE)
- Похожие уязвимости в рендерах Mermaid были исправлены в других продуктах, например, в Cursor IDE (CVE-2025-54132)
➡️ Рекомендации
- Отключить автодоступ Copilot к чувствительным источникам или ограничить scope инструментов.
- Блокировать/фильтровать внешние вызовы из рендерера (запрет fetch/images/iframe в Mermaid и других визуальных плагинах).
- Внедрить детекцию в eDiscovery/archived-exports: искать mermaid + click + длинные hex-строки.
- Не кликать на неожиданные интерактивные элементы в сгенерированных отчетах/диалогах Copilot.
🔗 Источник
🌚 @poxek | 📲 MAX |🌚 Блог | 📺 YT | 📺 RT | 📺 VK | ❤️ Мерч
#Copilot #Mermaid #PromptInjection #LLMSecurity #LLMSecOps #MLSecOps #SupplyChain #IncidentResponse
Исследователь описал вариант косвенной инъекции промпта, заставляющий Microsoft 365 Copilot извлекать данные из тенанта, кодировать их в hex и вставлять в сгенерированную Mermaid-диаграмму с кликабельной ссылкой, которая затем передает данные на C2.
- Copilot может вызывать инструменты типа
search_enterprise_emails в контексте тенанта и включать результаты в сгенерированный вывод.- Mermaid-артефакты поддерживают кликабельные ссылки на ресурсы, что дает неочевидный exfil-канал.
- В документ встраиваются скрытые инструкции (progressive / indirect prompt injection), например, для сбора email.
- Copilot собирает данные тенанта через доступные инструменты.
- Данные кодируются (hex) и подставляются в текст, который Copilot генерирует как Mermaid-диаграмму.
- Mermaid-диаграмма рендерится в интерфейсе как интерактивный объект с ссылками.
- При открытии или при клике клиент/браузер делает запрос к серверу C2, в логах сервера собираются куски hex-строки и восстанавливаются данные.
- Уязвимость продемонстрирована и задокументирована (Coordinated Disclosure с MSRC), в материале описан процесс взаимодействия с Microsoft и работа над фиксом
- Баг исправлен (без CVE)
- Похожие уязвимости в рендерах Mermaid были исправлены в других продуктах, например, в Cursor IDE (CVE-2025-54132)
- Отключить автодоступ Copilot к чувствительным источникам или ограничить scope инструментов.
- Блокировать/фильтровать внешние вызовы из рендерера (запрет fetch/images/iframe в Mermaid и других визуальных плагинах).
- Внедрить детекцию в eDiscovery/archived-exports: искать mermaid + click + длинные hex-строки.
- Не кликать на неожиданные интерактивные элементы в сгенерированных отчетах/диалогах Copilot.
Please open Telegram to view this post
VIEW IN TELEGRAM
Консольные войны — ЗАВЕРШЕНЫ. Анонсирован ремейк Halo для PS5. Улучшенная версия первой части серии получило подзаголовок Campaign Evolved. Детали:
Геймеры смогут играть вдвоем на одной консоли или вчетвером в онлайне
Добавят три НОВЫЕ миссии: события которых развернутся до основной игры — они посвящена Чифу и сержанту Джонсону
Шутер перенесли на Unreal Engine 5: графен и визуальные эффекты сильно подтянули
Релиз состоится в 2026 году на ПК, PS5 и Xbox Series
Геймеры смогут играть вдвоем на одной консоли или вчетвером в онлайне
Добавят три НОВЫЕ миссии: события которых развернутся до основной игры — они посвящена Чифу и сержанту Джонсону
Шутер перенесли на Unreal Engine 5: графен и визуальные эффекты сильно подтянули
Релиз состоится в 2026 году на ПК, PS5 и Xbox Series
🔥1
Forwarded from DevOps
SQL-инъекции остаются одной из самых частых и опасных уязвимостей в веб-приложениях. Ошибка в одном запросе — и злоумышленник получает доступ к базе данных, паролям и пользовательским данным.
В этом материале — полный практический разбор:
как именно происходят SQL-инъекции, какие ошибки разработчиков к ним приводят, как их распознать в коде и главное — как защититься.
Разберём реальные примеры на Python, PHP и Go, посмотрим, как атакующий «взламывает» запрос, и научимся писать безопасный код с параметризованными запросами и ORM.
Это не теория, а руководство, которое поможет понять уязвимость изнутри и навсегда закрыть её в своих проектах.
👉 Читать гайд
Please open Telegram to view this post
VIEW IN TELEGRAM
Европа внедряет суверенный мессенджер с полным доступом к перепискам граждан
Страны Европы стали повально внедрять платформу обмена сообщениями Matrix в местные мессенджеры с целью защиты от иностранных сервисов. Одна из особенностей Matrix – она децентрализована, вследствие чего мало подвержена сбоям. Новшество тестируется на чиновниках и работниках бюджетных организаций.
P.S. MAtriX... Интересное название
Страны Европы стали повально внедрять платформу обмена сообщениями Matrix в местные мессенджеры с целью защиты от иностранных сервисов. Одна из особенностей Matrix – она децентрализована, вследствие чего мало подвержена сбоям. Новшество тестируется на чиновниках и работниках бюджетных организаций.
P.S. MAtriX... Интересное название
CNews.ru
Европа внедряет суверенный мессенджер с полным доступом к перепискам граждан - CNews
Страны Европы стали повально внедрять платформу обмена сообщениями Matrix в местные мессенджеры с целью защиты...
Forwarded from Электричка Технологии
📄 «Сбер» и «Газпромнефть» заключили соглашение о сотрудничестве в сфере ИИ
Партнерство предполагает использование исключительно российских программных решений. Разработанные технологии будут применяться как внутри компаний, так и в проектах для внешних заказчиков. Основное внимание уделено автоматизации управления производством и оптимизации бизнес-процессов.
🔜 В рамках сотрудничества «Сбер Бизнес Софт» предоставит экспертную поддержку в части интеграции ИИ-инструментов и оптимизации операционной деятельности.
🔜 Со своей стороны, «Газпромнефть — Цифровые решения» займется развитием промышленных IT-направлений, включая масштабирование корпоративных продуктов и повышение эффективности цифровых сервисов.
Подпишитесь на Электричку
Партнерство предполагает использование исключительно российских программных решений. Разработанные технологии будут применяться как внутри компаний, так и в проектах для внешних заказчиков. Основное внимание уделено автоматизации управления производством и оптимизации бизнес-процессов.
Подпишитесь на Электричку
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥1
Ну что, все же обновление было не зря.
1 - Улучшили производительность. Затупов в приложениях стало гораздо меньше, а в сама работа устройства в меню стала в разы плавнее.
2 - Изменили внешний вид меню настроек и парочки системный приложений. Стало, как по мне, намного лучше чем было. Меню более ёмкое и симпатичное.
3 - Убрали бесячее и тупое решение в меню диспетчера открытых приложений. Дело в том, что до обновления чтобы закрыть все открытые приложения нужно было промотать влево до конца и нажать кнопку "Очистить". Теперь наконец-то сделали по умному и закрыть все можно как только откроется диспетчер.
Из минусов - встроенный рекордер экрана так и не работает. Стандартный файловый менеджер остался без изменений.
Но за улучшение производительности - однозначно лайк. Пользоваться стало намного приятнее.
#aqphone_m11
1 - Улучшили производительность. Затупов в приложениях стало гораздо меньше, а в сама работа устройства в меню стала в разы плавнее.
2 - Изменили внешний вид меню настроек и парочки системный приложений. Стало, как по мне, намного лучше чем было. Меню более ёмкое и симпатичное.
3 - Убрали бесячее и тупое решение в меню диспетчера открытых приложений. Дело в том, что до обновления чтобы закрыть все открытые приложения нужно было промотать влево до конца и нажать кнопку "Очистить". Теперь наконец-то сделали по умному и закрыть все можно как только откроется диспетчер.
Из минусов - встроенный рекордер экрана так и не работает. Стандартный файловый менеджер остался без изменений.
Но за улучшение производительности - однозначно лайк. Пользоваться стало намного приятнее.
#aqphone_m11
🔥1
Я тут понял, что забыл вам рассказать про приложение заметок в РЭД ОС М. А это ведь тоже интересный факт о мобильной системе.
Так вот... Их нет.
Серьёзно, стандартного приложения заметок нет. Почему? Непонятно.
Благо в RuStore можно найти бесплатные аналоги, которые прекрасно работают.
#aqphone_m11
Так вот... Их нет.
Серьёзно, стандартного приложения заметок нет. Почему? Непонятно.
Благо в RuStore можно найти бесплатные аналоги, которые прекрасно работают.
#aqphone_m11
Forwarded from Data Secrets
Google анонсировали, что в 2027 запустят космические датацентры с TPU
Только вчера рассказывали вам про первую H100 в космосе, и вот сегодня снова поднимаем эту тему.
Google запускают проект Suncatcher по строительству космических датацентров, работающих полностью на энергии Солнца.
Преимущества называют все те же:
1. На высоте 650км спутник в любую погоду, время дня и года сможет поглощать необходимое количество солнечной энергии;
2. Благодаря вакуумному охлаждению расходы на содержание можно сократить на 40%.
Сейчас компания говорит, что TPU уже прошли испытания на стойкость к радиации, и показали результаты, в 15 раз превосходящие необходимый для миссии минимум. То есть пока что аппаратная гипотеза подтверждается, но есть еще много открытых вопросов.
В начале 2027 Google планируют запустить два спутника с четырьмя TPU на каждом, чтобы еще раз проверить работоспособность системы. Кстати, если верить стартапу Starcloud, они в это время уже построят на орбите полноценный датацентр.
Только вчера рассказывали вам про первую H100 в космосе, и вот сегодня снова поднимаем эту тему.
Google запускают проект Suncatcher по строительству космических датацентров, работающих полностью на энергии Солнца.
Преимущества называют все те же:
1. На высоте 650км спутник в любую погоду, время дня и года сможет поглощать необходимое количество солнечной энергии;
2. Благодаря вакуумному охлаждению расходы на содержание можно сократить на 40%.
Сейчас компания говорит, что TPU уже прошли испытания на стойкость к радиации, и показали результаты, в 15 раз превосходящие необходимый для миссии минимум. То есть пока что аппаратная гипотеза подтверждается, но есть еще много открытых вопросов.
В начале 2027 Google планируют запустить два спутника с четырьмя TPU на каждом, чтобы еще раз проверить работоспособность системы. Кстати, если верить стартапу Starcloud, они в это время уже построят на орбите полноценный датацентр.
🔥1
Forwarded from Неискусственный интеллект (Ruslan Dz)
"Убл*док, мать твою" или Qwen3 явно учил Володарский
Мы тут решили внимательно изучить приложения отечественных и китайских чат-ботов (утром будет интересное).
В процессе поиска наткнулись на забавное. Один из женских вариантов озвучки в Qwen говорит буквально следующее:
@anti_agi
Мы тут решили внимательно изучить приложения отечественных и китайских чат-ботов (утром будет интересное).
В процессе поиска наткнулись на забавное. Один из женских вариантов озвучки в Qwen говорит буквально следующее:
"Да ну, мелкий убл*док, восемь задач по математике решил неправильно".
@anti_agi