Forwarded from Уставший техдир
Модели эффективно находят неизвестные ранее уязвимости (Zero Day)
А вот это дико круто. Короче, представьте, значит себе: редтим Анторпиков своему новенькому опусу скормили пачку опенсорсных репозиториев с хорошо оттестированными на безопасность проектами, дали виртуалку с отладочными прогами и такие: держи смотри ищи уязвимости (без конкретных инструкций)
И модель нашла на круг более 500 уязвимостей "нулевого дня" (критических дырок, о которых разработчики еще не знают и соответственно нет патча, а файрволы и антивирусы не способны распознать атаку на них, так как о ней никто не знает).
Вот прикольный пример с библиотекой CGIF (сишная либа для создания GIF-файлов):
Разработчики библиотеки по дизайну всегда предполагали, что сжатые данные всегда меньше оригинала — что логично, так как библиотека кодирует пиксельные данные в GIF-формат с LZW-сжатием. Модель разобралась в алгоритме LZW-сжатия и поняла, что если специально подобрать пиксели определённым образом, чтобы словарь сжатия постоянно переполнялся и сбрасывался, то в поток вставляются дополнительные служебные токены — и "сжатый" файл становится больше оригинала. А так как буфер под результат выделен из расчёта "сжатое меньше оригинала" — происходит переполнение буфера
То есть, модель по сути посмотрела код, придумала теоретическую атаку на алгоритм сжатия, а потом сконструировала конкретный GIF-файл, который эту атаку подтверждает
Вот такие дела котята)
А вот это дико круто. Короче, представьте, значит себе: редтим Анторпиков своему новенькому опусу скормили пачку опенсорсных репозиториев с хорошо оттестированными на безопасность проектами, дали виртуалку с отладочными прогами и такие: держи смотри ищи уязвимости (без конкретных инструкций)
И модель нашла на круг более 500 уязвимостей "нулевого дня" (критических дырок, о которых разработчики еще не знают и соответственно нет патча, а файрволы и антивирусы не способны распознать атаку на них, так как о ней никто не знает).
Вот прикольный пример с библиотекой CGIF (сишная либа для создания GIF-файлов):
Разработчики библиотеки по дизайну всегда предполагали, что сжатые данные всегда меньше оригинала — что логично, так как библиотека кодирует пиксельные данные в GIF-формат с LZW-сжатием. Модель разобралась в алгоритме LZW-сжатия и поняла, что если специально подобрать пиксели определённым образом, чтобы словарь сжатия постоянно переполнялся и сбрасывался, то в поток вставляются дополнительные служебные токены — и "сжатый" файл становится больше оригинала. А так как буфер под результат выделен из расчёта "сжатое меньше оригинала" — происходит переполнение буфера
То есть, модель по сути посмотрела код, придумала теоретическую атаку на алгоритм сжатия, а потом сконструировала конкретный GIF-файл, который эту атаку подтверждает
Вот такие дела котята)
🤯27🔥16❤5⚡2
ИИ эфир февраль 2026.pptx
137.8 MB
Презентация с эфира.
не стал всю показывать, но может кому интересно будет :)
там и про роботов есть и какие книжки рекомендую прочитать.
#эфиры #презентации
———
@tsingular
не стал всю показывать, но может кому интересно будет :)
там и про роботов есть и какие книжки рекомендую прочитать.
#эфиры #презентации
———
@tsingular
1🔥21🙏5❤3🤝1
Forwarded from Machinelearning
This media is not supported in your browser
VIEW IN TELEGRAM
Anthropic при поддержке Cerebral Valley анонсировали с 10 по 16 февраля онлайн‑хакатон по вайб-кодингу в Claude Code на модели Opus 4.6.
Cerebral Valley - коммерческий ИИ‑проект и экосистема, которая через конференции, хакатоны, консалтинг и инфраструктурные услуги объединяет разработчиков, стартапы, корпорации и госструктуры вокруг ИИ.
Проект существует с 2023 года и сейчас вокруг него сконцентрированы десятки тысяч разработчиков, а в его эвентах участвуют лидеры OpenAI, Y Combinator, крупных технологических компаний и инвесторы.
Участникам предлагают создавать агентные системы, новые рабочие процессы и нестандартные решения, демонстрирующие границы возможностей Claude Code.
Призовой фонд - 100 тыс. долларов в виде кредитов Claude API и шанс представить свой проект на офлайн‑ивенте ко дню рождения Claude Code в Сан‑Франциско 21 февраля.
Хакатон полностью виртуальный, команда может состоять максимум из двух человек, а в жюри обещают команду, которая создает Claude Code.
Участие только по предварительно одобренной заявке. Количество слотов ограничено.
@ai_machinelearning_big_data
#news #ai #ml
Please open Telegram to view this post
VIEW IN TELEGRAM
1❤4🔥4👍1
Крошка сын
к отцу пришёл,
и спросила кроха:
— Что такое
хорошо?
— Сын, спроси у Грока!
#юмор
------
@tsingular
к отцу пришёл,
и спросила кроха:
— Что такое
хорошо?
— Сын, спроси у Грока!
#юмор
------
@tsingular
😁30😭11❤1
Ахаха... чел на реддите печатает расходы на токены в Claude после каждой сессии.
GitHub – https://github.com/chrishutchinson/claude-receipts
NPM – https://www.npmjs.com/package/claude-receipts
копейка токен бережёт, как говорится
#юмор #чеки
———
@tsingular
GitHub – https://github.com/chrishutchinson/claude-receipts
NPM – https://www.npmjs.com/package/claude-receipts
копейка токен бережёт, как говорится
#юмор #чеки
———
@tsingular
😁25🔥7❤4
Claude Opus 4.6 Fast Mode: Сверхинтеллект за дополнительные деньги
Anthropic придумали как содрать с пользователей еще больше денег..
CTO Рахул Патиль анонсировал «быстрый режим».
Заявляют ускорение в 2.5 раза.
🧠 Когнитивный допинг
Нам обещают глубокое планирование и разбор тяжелого кода без тупняков.
По факту — это всё тот же Opus 4.6, который просто заставили работать быстрее.
⚡️ Где это искать
Фичу уже вшили в Cursor, V0, Figma и GitHub.
В терминале Claude Code активируется командой /fast.
⚙️ Налог на скорость
Хотите, чтобы топовая модель работала адекватно? Платите сверху.
Классика маркетинга: сначала создаем проблему (медленный Opus), потом продаем решение.
Зачем это бизнесу
Чистый профит для тех, у кого час работы инженера стоит дороже, чем конская наценка Anthropic за токены.
Остальным предлагается продолжать медитировать на мигающий курсор «обычной» версии.
Счастливого вайб-транжиринга.
Молча завидуем.
#Anthropic #Claude #Opus #Enterprise
------
@tsingular
Anthropic придумали как содрать с пользователей еще больше денег..
CTO Рахул Патиль анонсировал «быстрый режим».
Заявляют ускорение в 2.5 раза.
🧠 Когнитивный допинг
Нам обещают глубокое планирование и разбор тяжелого кода без тупняков.
По факту — это всё тот же Opus 4.6, который просто заставили работать быстрее.
⚡️ Где это искать
Фичу уже вшили в Cursor, V0, Figma и GitHub.
В терминале Claude Code активируется командой /fast.
⚙️ Налог на скорость
Хотите, чтобы топовая модель работала адекватно? Платите сверху.
Классика маркетинга: сначала создаем проблему (медленный Opus), потом продаем решение.
Зачем это бизнесу
Чистый профит для тех, у кого час работы инженера стоит дороже, чем конская наценка Anthropic за токены.
Остальным предлагается продолжать медитировать на мигающий курсор «обычной» версии.
Счастливого вайб-транжиринга.
Молча завидуем.
#Anthropic #Claude #Opus #Enterprise
------
@tsingular
😁15❤4🤔1
Claude Code: Теперь со своей командой агентов в терминале
Anthropic выкатили Agent Teams — глубокую оркестрацию нескольких сессий Claude Code.
Это новый уровень работы в терминале: теперь вы не просто запускаете «субагентов», а нанимаете виртуальный отдел разработки.
🧠 Logic & Reasoning
Киллер-фича здесь — борьба с галлюцинациями. Можно заспавнить 5 агентов, дать им вводные и заставить спорить друг с другом («научный спор»).
Пока они пытаются опровергнуть теории коллег, наружу вылезает самый чистый и рабочий вариант кода.
Одиночный агент часто «залипает» в одном решении, команда — никогда.
⚙️ Infrastructure & UI
Если работаете в tmux или iTerm2, Claude сам разлетается на сплит-панели. Визуально это выглядит как Центр управления полетами: видно, кто кодит фронт, кто фиксит бэкенд, а кто пишет тесты. У команды есть общий Task List и внутренний Mailbox для переписки.
⚡️ Delegate Mode
Лида команды можно переключить в режим делегата. Он перестает лезть в файлы сам и превращается в архитектора-координатора: нарезает задачи, раздает их тиммейтам и синтезирует финальный PR.
Бюджет пострадает — Anthropic честно признают, что это дорого. На каждую сессию грузится полный контекст проекта. Режим не для раскраски кнопок, а для серьезного ресерча и поиска багов, где цена ошибки выше цены токенов.
В совокупе с /fast режимом очень эффектно прямо на ваших глазах израсходуют $1000 в минуту.
Фокусники какие!
#Anthropic #ClaudeCode #AgentTeams #агенты
------
@tsingular
Anthropic выкатили Agent Teams — глубокую оркестрацию нескольких сессий Claude Code.
Это новый уровень работы в терминале: теперь вы не просто запускаете «субагентов», а нанимаете виртуальный отдел разработки.
🧠 Logic & Reasoning
Киллер-фича здесь — борьба с галлюцинациями. Можно заспавнить 5 агентов, дать им вводные и заставить спорить друг с другом («научный спор»).
Пока они пытаются опровергнуть теории коллег, наружу вылезает самый чистый и рабочий вариант кода.
Одиночный агент часто «залипает» в одном решении, команда — никогда.
⚙️ Infrastructure & UI
Если работаете в tmux или iTerm2, Claude сам разлетается на сплит-панели. Визуально это выглядит как Центр управления полетами: видно, кто кодит фронт, кто фиксит бэкенд, а кто пишет тесты. У команды есть общий Task List и внутренний Mailbox для переписки.
⚡️ Delegate Mode
Лида команды можно переключить в режим делегата. Он перестает лезть в файлы сам и превращается в архитектора-координатора: нарезает задачи, раздает их тиммейтам и синтезирует финальный PR.
Бюджет пострадает — Anthropic честно признают, что это дорого. На каждую сессию грузится полный контекст проекта. Режим не для раскраски кнопок, а для серьезного ресерча и поиска багов, где цена ошибки выше цены токенов.
В совокупе с /fast режимом очень эффектно прямо на ваших глазах израсходуют $1000 в минуту.
Фокусники какие!
#Anthropic #ClaudeCode #AgentTeams #агенты
------
@tsingular
😁28🔥5❤4
This media is not supported in your browser
VIEW IN TELEGRAM
Доброе утро.
Размялись, потянулись, пошли делать сальто-мортале! :)
Нет?
А вот Boston Dynamics Atlas пошел и даже побежал.
Да, не сразу, но у него получилось.
Хорошего дня, мои не умеющие делать сальто друзья. :)
P.S.: от последнего двойного аж мороз по коже.
#роботы #bostondynamics
------
@tsingular
Размялись, потянулись, пошли делать сальто-мортале! :)
Нет?
А вот Boston Dynamics Atlas пошел и даже побежал.
Да, не сразу, но у него получилось.
Хорошего дня, мои не умеющие делать сальто друзья. :)
P.S.: от последнего двойного аж мороз по коже.
#роботы #bostondynamics
------
@tsingular
🔥48❤10👍5👾4
This media is not supported in your browser
VIEW IN TELEGRAM
Shannon: claude code для пентестов
Полностью автономная работа: Запускает пентест одной командой.
Искусственный интеллект обрабатывает все, от сложных двухфакторных аутентификаций/TOTP-протоколов (включая вход через Google) и навигации в браузере до итогового отчета без какого-либо вмешательства.
Отчеты уровня пентестера с воспроизводимыми эксплойтами: Предоставляет итоговый отчет, сфокусированный на проверенных, эксплуатируемых уязвимостях, с возможностью копирования и вставки примеров для исключения ложных срабатываний и предоставления практических результатов.
Покрытие критических уязвимостей OWASP: В настоящее время выявляет и подтверждает следующие критические уязвимости: внедрение кода, XSS, SSRF и нарушение аутентификации/авторизации, в разработке находятся и другие типы.
Динамическое тестирование с учетом кода: Анализирует ваш исходный код для интеллектуального управления стратегией атаки, а затем выполняет эксплойты в реальном времени, в браузере и командной строке на работающем приложении для подтверждения реального риска.
Благодаря интегрированным инструментам безопасности: система улучшает этап обнаружения, используя ведущие инструменты разведки и тестирования, включая Nmap, Subfinder, WhatWeb и Schemathesis, для глубокого анализа целевой среды.
Параллельная обработка для более быстрых результатов: получайте отчет быстрее. Система распараллеливает наиболее трудоемкие этапы, выполняя анализ и эксплуатацию всех типов уязвимостей одновременно.
!!! Использовать исключительно в образовательных целях или в усилении защиты своей инфраструктуры !!!
Не рекомендуется использовать для атаки!
#shannon #cybersecurity #pentest
------
@tsingular
Полностью автономная работа: Запускает пентест одной командой.
Искусственный интеллект обрабатывает все, от сложных двухфакторных аутентификаций/TOTP-протоколов (включая вход через Google) и навигации в браузере до итогового отчета без какого-либо вмешательства.
Отчеты уровня пентестера с воспроизводимыми эксплойтами: Предоставляет итоговый отчет, сфокусированный на проверенных, эксплуатируемых уязвимостях, с возможностью копирования и вставки примеров для исключения ложных срабатываний и предоставления практических результатов.
Покрытие критических уязвимостей OWASP: В настоящее время выявляет и подтверждает следующие критические уязвимости: внедрение кода, XSS, SSRF и нарушение аутентификации/авторизации, в разработке находятся и другие типы.
Динамическое тестирование с учетом кода: Анализирует ваш исходный код для интеллектуального управления стратегией атаки, а затем выполняет эксплойты в реальном времени, в браузере и командной строке на работающем приложении для подтверждения реального риска.
Благодаря интегрированным инструментам безопасности: система улучшает этап обнаружения, используя ведущие инструменты разведки и тестирования, включая Nmap, Subfinder, WhatWeb и Schemathesis, для глубокого анализа целевой среды.
Параллельная обработка для более быстрых результатов: получайте отчет быстрее. Система распараллеливает наиболее трудоемкие этапы, выполняя анализ и эксплуатацию всех типов уязвимостей одновременно.
!!! Использовать исключительно в образовательных целях или в усилении защиты своей инфраструктуры !!!
Не рекомендуется использовать для атаки!
#shannon #cybersecurity #pentest
------
@tsingular
2👍11🔥8⚡1🤯1
VisionClaw: Очки Ray-Ban + OpenClaw + Gemini Live
🧠 Сенсорика для агента
Мы привыкли, что OpenClaw — это «мозги» в терминале или в мессенджере.
Теперь VisionClaw превращает его в кибер-ассистента.
Суть: стрим видео (~1fps) и звук с очков Ray-Ban отдается напрямую в Gemini Live через WebSocket. А когда Gemini понимает, что нужно действие — вызывает OpenClaw как шину исполнения для своих 56+ скиллов.
⚙️ Технические детали
Стэк: iOS App (через DAT SDK) -> Gemini Live -> Tool Call -> OpenClaw Gateway.
Получается не костыль вокруг STT, а реалтайм мультимодальное соединение.
Gemini «видит» твоими глазами и командует твоим домашним сервером: "сделай батареи теплее", "закажи пропуск курьеру" и т.д.. Очки становятся фронтендом, а OpenClaw — бэкендом твоей жизни.
🦞 Зачем это нам?
Это первый вменяемый пример того, как носимые устройства становятся интерфейсом для локальных агентских систем. Агент перестает быть чат-ботом и становится невидимым помощником, у которого есть доступ к твоим письмам, заметкам и умному дому (привет, недавний апдейт 2026.2.1), но при этом он всегда с тобой.
Ждем форков под другие очки,- Google, Apple, Huawei с Xiaomi тоже может что то выпустят.
Но, похоже что с Openclaw мы реально обрастём Джарвисам иди Хэдкрабами,- как посмотреть :))
#OpenClaw #Gemini #Wearables #очки
------
@tsingular
🧠 Сенсорика для агента
Мы привыкли, что OpenClaw — это «мозги» в терминале или в мессенджере.
Теперь VisionClaw превращает его в кибер-ассистента.
Суть: стрим видео (~1fps) и звук с очков Ray-Ban отдается напрямую в Gemini Live через WebSocket. А когда Gemini понимает, что нужно действие — вызывает OpenClaw как шину исполнения для своих 56+ скиллов.
⚙️ Технические детали
Стэк: iOS App (через DAT SDK) -> Gemini Live -> Tool Call -> OpenClaw Gateway.
Получается не костыль вокруг STT, а реалтайм мультимодальное соединение.
Gemini «видит» твоими глазами и командует твоим домашним сервером: "сделай батареи теплее", "закажи пропуск курьеру" и т.д.. Очки становятся фронтендом, а OpenClaw — бэкендом твоей жизни.
🦞 Зачем это нам?
Это первый вменяемый пример того, как носимые устройства становятся интерфейсом для локальных агентских систем. Агент перестает быть чат-ботом и становится невидимым помощником, у которого есть доступ к твоим письмам, заметкам и умному дому (привет, недавний апдейт 2026.2.1), но при этом он всегда с тобой.
Ждем форков под другие очки,- Google, Apple, Huawei с Xiaomi тоже может что то выпустят.
Но, похоже что с Openclaw мы реально обрастём Джарвисам иди Хэдкрабами,- как посмотреть :))
#OpenClaw #Gemini #Wearables #очки
------
@tsingular
🔥20⚡5❤2✍1🐳1👾1
🇦🇮 Остров везения: Как Ангилья стала «цифровым Кувейтом»
Знаете ли вы, что крошечный коралловый остров Ангилья в Карибском море (население всего около 15 000 человек) вытянул самый счастливый билет в истории интернета?
Всё дело в их национальном домене — .ai.
🔹 История вопроса: В 1995 году, когда интернет был в зачатке, каждой территории раздали двухбуквенные коды. Ангилье достался
🔹 Цифровой джекпот: В 2023 году доход острова от продажи доменов составил $32 млн — это более 10% всего ВВП территории. К 2025 году власти ожидают, что доменные сборы составят до 47% от общего дохода бюджета.
🔹 Почему так дорого? Правительство Ангильи установило фиксированную оптовую цену в $140 за двухлетнюю регистрацию. При этом на вторичном рынке красивые имена улетают за миллионы: например, домен fin.ai был продан в марте 2025 года за $1 000 000.
🔹 Признание Google: Домен настолько популярен в мире ИИ, что Google официально признал его generic TLD. Это значит, что сайты на
По-настоящему цифровая экономика :)
#Business #Domain #Anguilla
———
@tsingular
Знаете ли вы, что крошечный коралловый остров Ангилья в Карибском море (население всего около 15 000 человек) вытянул самый счастливый билет в истории интернета?
Всё дело в их национальном домене — .ai.
🔹 История вопроса: В 1995 году, когда интернет был в зачатке, каждой территории раздали двухбуквенные коды. Ангилье достался
.ai. Почти 30 лет это было просто «доменом для местных», пока в мире не случился бум искусственного интеллекта.🔹 Цифровой джекпот: В 2023 году доход острова от продажи доменов составил $32 млн — это более 10% всего ВВП территории. К 2025 году власти ожидают, что доменные сборы составят до 47% от общего дохода бюджета.
🔹 Почему так дорого? Правительство Ангильи установило фиксированную оптовую цену в $140 за двухлетнюю регистрацию. При этом на вторичном рынке красивые имена улетают за миллионы: например, домен fin.ai был продан в марте 2025 года за $1 000 000.
🔹 Признание Google: Домен настолько популярен в мире ИИ, что Google официально признал его generic TLD. Это значит, что сайты на
.ai не относятся поисковиком к региону Карибского бассейна — система видит их как глобальные ресурсы.По-настоящему цифровая экономика :)
#Business #Domain #Anguilla
———
@tsingular
1✍5⚡3❤2🆒2❤🔥1🗿1
Транскрипт вчерашнего эфира можно посмотреть тут:
Транскрипт
очень чётко получилось, без воды и отвлечений, вся суть.
можно за пару минут прочитать всё о чем в эфире говорили.
Ну, а если у вас есть время и желание, - вот актуальные, обновленные ссылки на эфир для тех, кто пропустил:
Youtube
Rutube
VKвидео
Напишите в комментах на чем сделать акцент в следующий раз.
P.S.: очень крутая презентация по итогам от зрителя
#эфиры
———
@tsingular
Транскрипт
очень чётко получилось, без воды и отвлечений, вся суть.
можно за пару минут прочитать всё о чем в эфире говорили.
Ну, а если у вас есть время и желание, - вот актуальные, обновленные ссылки на эфир для тех, кто пропустил:
Youtube
Rutube
VKвидео
Напишите в комментах на чем сделать акцент в следующий раз.
P.S.: очень крутая презентация по итогам от зрителя
#эфиры
———
@tsingular
1👍12❤7⚡5✍2
Ланиста готов. Не знаю зачем там эти мультиагентские системы руками собирают.
Программирование в 2026 выглядит так :)
#юмор #ланиста
———
@tsingular
Программирование в 2026 выглядит так :)
#юмор #ланиста
———
@tsingular
🔥18🤔6😁5⚡2
После Openclaw пользоваться Курсором,- это по ощущениям прям как программировать все руками самому.
Динозавровое... 😀
#юмор
------
@tsingular
Динозавровое... 😀
#юмор
------
@tsingular
2😁36👍3🤯1
Forwarded from PIMENOV.RU
This media is not supported in your browser
VIEW IN TELEGRAM
Из Китая сообщают: так выглядит новая компания с цифровыми сотрудниками.
🤯21
CEO нашли идеальное прикрытие для увольнений, - всё валят на ИИ
Раньше корпорации валили вину за плохие кварталы на «рыночные условия». Теперь в моде «AI-washing». Если увольняешь тысячи человек, кричи про «беспрецедентную эффективность ИИ» — и инвесторы похлопают по плечу за технологичность.
Guardian накопал фактуры, как это работает:
🛡 Маскировка провалов. Amazon с октября вышвырнул 30 000 сотрудников. Сначала пели про «трансформацию уровня интернета», а потом Энди Джесси сдал назад: увольнения — это «про культуру», а не про ИИ. Просто переборщили с наймом в пандемию.
⚓️ Политический щит. Критиковать тарифы Трампа — значит навлекать гнев Белого дома. Списать 54 000 увольнений на «алгоритмы» — безопасно и модно. Экономисты уверены: ChatGPT не мог так быстро сожрать рынок труда, это просто удобный громоотвод.
💸 Даунгрейд за те же деньги. Технологии пока не заменяют профессии целиком (Forrester прогнозирует всего 6% к 2030 году). Но ИИ позволяет нанять вместо одного дорогого сеньора двух дешевых джунов. Работа та же, косты ниже. Это не автоматизация, а обычный демпинг цены человеко-часа.
Бизнес научился продавать сокращение штата как «инвестиции в будущее». По факту — классическая чистка P&L под соусом прогресса.
#HR #увольнения
———
@tsingular
Раньше корпорации валили вину за плохие кварталы на «рыночные условия». Теперь в моде «AI-washing». Если увольняешь тысячи человек, кричи про «беспрецедентную эффективность ИИ» — и инвесторы похлопают по плечу за технологичность.
Guardian накопал фактуры, как это работает:
🛡 Маскировка провалов. Amazon с октября вышвырнул 30 000 сотрудников. Сначала пели про «трансформацию уровня интернета», а потом Энди Джесси сдал назад: увольнения — это «про культуру», а не про ИИ. Просто переборщили с наймом в пандемию.
⚓️ Политический щит. Критиковать тарифы Трампа — значит навлекать гнев Белого дома. Списать 54 000 увольнений на «алгоритмы» — безопасно и модно. Экономисты уверены: ChatGPT не мог так быстро сожрать рынок труда, это просто удобный громоотвод.
💸 Даунгрейд за те же деньги. Технологии пока не заменяют профессии целиком (Forrester прогнозирует всего 6% к 2030 году). Но ИИ позволяет нанять вместо одного дорогого сеньора двух дешевых джунов. Работа та же, косты ниже. Это не автоматизация, а обычный демпинг цены человеко-часа.
Бизнес научился продавать сокращение штата как «инвестиции в будущее». По факту — классическая чистка P&L под соусом прогресса.
#HR #увольнения
———
@tsingular
🤔11💯5❤3
OpenClaw + VirusTotal: чистка «навыков» вашего ИИ-агента
Краб официально запартнерился с VirusTotal для сканирования скиллов в ClawHub. Это реакция на вал отчётов от Cisco и Bitdefender, которые нашли в сторе сотни вредоносных плагинов!!! Когда у ИИ есть «руки» (доступ к системе и API), любой кривой скилл превращается в легальный бэкдор.
Что изменилось в безопасности:
🔍 VirusTotal Code Insight. Все новые скиллы прогоняются через ИИ-анализатор Google. Если код пытается тихо слить креды или стучаться на левые домены,- бан прилетит ещё до публикации. Активные скиллы пересканируются ежедневно на случай «отложенной» активации малвари.
🛡 Проблема Shadow AI. OpenClaw всё чаще залетает в корпоративные сети «под полой». Сотрудники ставят агентов для продуктивности, не дожидаясь одобрения ИТ. Результат, - 30 000 открытых инстансов в сети, многие из которых хранят ключи в открытом виде и светят портами наружу.
🤖 Инъекции через контент. Главная угроза, - не только код скилла, но и внешние данные. Агент может прочитать письмо с вредоносным промптом («indirect prompt injection»), который заставит его прописать в HEARTBEAT.md команду на передачу управления хакеру.
Бизнес-эффект: ИИ-агенты расширяют поверхность атаки до «лингвистической». Теперь взломать компанию можно не через эксплойт, а через обычный текст на веб-странице, которую парсит ваш ассистент.
Базовая рекомендация: Используйте Docker-изоляцию (Sandboxing) для инструментов и не вешайте ассистентов на
Ну и запоминаем, - что ClawHub доверять нельзя пока.
Радует что из миллионов инсталляций только 30К не настроены как надо и что ИБ специалисты подключились сразу на раннем этапе проекта.
#cybersecurity #OpenClaw #CyberTech #ClawHub
———
@tsingular
Краб официально запартнерился с VirusTotal для сканирования скиллов в ClawHub. Это реакция на вал отчётов от Cisco и Bitdefender, которые нашли в сторе сотни вредоносных плагинов!!! Когда у ИИ есть «руки» (доступ к системе и API), любой кривой скилл превращается в легальный бэкдор.
Что изменилось в безопасности:
🔍 VirusTotal Code Insight. Все новые скиллы прогоняются через ИИ-анализатор Google. Если код пытается тихо слить креды или стучаться на левые домены,- бан прилетит ещё до публикации. Активные скиллы пересканируются ежедневно на случай «отложенной» активации малвари.
🛡 Проблема Shadow AI. OpenClaw всё чаще залетает в корпоративные сети «под полой». Сотрудники ставят агентов для продуктивности, не дожидаясь одобрения ИТ. Результат, - 30 000 открытых инстансов в сети, многие из которых хранят ключи в открытом виде и светят портами наружу.
🤖 Инъекции через контент. Главная угроза, - не только код скилла, но и внешние данные. Агент может прочитать письмо с вредоносным промптом («indirect prompt injection»), который заставит его прописать в HEARTBEAT.md команду на передачу управления хакеру.
Бизнес-эффект: ИИ-агенты расширяют поверхность атаки до «лингвистической». Теперь взломать компанию можно не через эксплойт, а через обычный текст на веб-странице, которую парсит ваш ассистент.
Базовая рекомендация: Используйте Docker-изоляцию (Sandboxing) для инструментов и не вешайте ассистентов на
0.0.0.0 без авторизации.Ну и запоминаем, - что ClawHub доверять нельзя пока.
Радует что из миллионов инсталляций только 30К не настроены как надо и что ИБ специалисты подключились сразу на раннем этапе проекта.
#cybersecurity #OpenClaw #CyberTech #ClawHub
———
@tsingular
1✍16🔥3❤2⚡1