Forwarded from notes.ml
Anthropic выпустили claude-code-security
upd: дополнил пост еще одним анонсом релиза
Возможности решения:
- обнаружение уязвимости
- верификация (триаж TP/FP)
- оценка серьезности (severity)
- оценка уверенности (confidence)
- предложение патча
Фокус на агентском подходе к обнаружению уязвимостей:
Также отмечают, что агент понимает бизнес-логику и анализирует поток данных проекта, чего не могут многие инструменты статического анализа.
Тем не менее, позволяют подключить SAST'ы для обнаружения уязвимостей, агент проведет триаж и предложит исправление, если не фолс:
Ответили на вопрос, с какими уязвимостями работают:
Свои размышления накину в комментарии)
upd: дополнил пост еще одним анонсом релиза
Возможности решения:
- обнаружение уязвимости
- верификация (триаж TP/FP)
- оценка серьезности (severity)
- оценка уверенности (confidence)
- предложение патча
Фокус на агентском подходе к обнаружению уязвимостей:
Rather than scanning for known patterns, Claude Code Security reads and reasons about your code the way a human security researcher would: understanding how components interact, tracing how data moves through your application, and catching complex vulnerabilities that rule-based tools miss.
Также отмечают, что агент понимает бизнес-логику и анализирует поток данных проекта, чего не могут многие инструменты статического анализа.
Тем не менее, позволяют подключить SAST'ы для обнаружения уязвимостей, агент проведет триаж и предложит исправление, если не фолс:
Claude Code Security complements your existing tools by catching what they might miss and closing the loop on remediation. You can export any findings to your existing security workflows.
Ответили на вопрос, с какими уязвимостями работают:
Claude Code Security focuses on high-severity vulnerabilities including memory corruption, injection flaws, authentication bypasses, and complex logic errors that pattern-matching tools typically miss.
Свои размышления накину в комментарии)
Anthropic
Making frontier cybersecurity capabilities available to defenders
Claude Code Security is one step towards our goal of more secure codebases and a higher security baseline across the industry.
Forwarded from AlexRedSec
А вот еще один фреймворк оценки зрелости AI SIEM/SOC➕
ARMM (AI Response Maturity Model) — фреймворк, призванный оценить насколько эффективно "ядро" ИИ в AI SOC позволяет выполнять функции автоматического реагирования на угрозы.
Всего оценивается чуть более 80 функций в 6 доменах (Identity, Network, Endpoint, Cloud, SaaS, General Options), а направлений оценки два:
🔗 Режим оценщика (Evaluator) — подходит для прямого сравнения продуктов "из коробки" с рынка, условно отвечая на вопрос, какой вендор дает больше возможностей за свои деньги.
Каждая функция оценивается с точки зрения автоматизации (от полного отсутствия функции до полной автоматизации), при этом детально расписан уровень автоматизации с участием человека.
🔗 Режим архитектора (Builder) — более технический уровень, здесь уже оценивается зрелость функционала, учитывая контекст (организации, команды SecOps, присущих рисков).
Здесь оценка ведется по трем направлениям — точность принятия решений и доверие к ним, сложность внедрения и сопровождения, а также операционное влияние и "радиус поражения" (последствия при ошибочном действии).
Методология оценки в фреймворке ARMM расписана очень подробно, а еще есть удобный онлайн-калькулятор с дашбордами оценки зрелости и возможностью выгрузки результатов в csv-формате.
#framework #maturity #soc #siem #ai
ARMM (AI Response Maturity Model) — фреймворк, призванный оценить насколько эффективно "ядро" ИИ в AI SOC позволяет выполнять функции автоматического реагирования на угрозы.
Всего оценивается чуть более 80 функций в 6 доменах (Identity, Network, Endpoint, Cloud, SaaS, General Options), а направлений оценки два:
Каждая функция оценивается с точки зрения автоматизации (от полного отсутствия функции до полной автоматизации), при этом детально расписан уровень автоматизации с участием человека.
Здесь оценка ведется по трем направлениям — точность принятия решений и доверие к ним, сложность внедрения и сопровождения, а также операционное влияние и "радиус поражения" (последствия при ошибочном действии).
Методология оценки в фреймворке ARMM расписана очень подробно, а еще есть удобный онлайн-калькулятор с дашбордами оценки зрелости и возможностью выгрузки результатов в csv-формате.
#framework #maturity #soc #siem #ai
Please open Telegram to view this post
VIEW IN TELEGRAM
❤1🔥1
VP Cybersecurity Brief
Я не могу не высказать мысль, что в 2026 начался процесс комодитизации безопасной разработки на рынке. ФСТЭК и ИСП РАН удалось подготовить типовые рабочие документы, стандарты, рекомендуемые инструменты. Большинство организаций на рынке уже прошли 0 и первый…
Есть перед безопасной разработкой сильный вызов который может отправить начавшуюся стандартизацию и унификацию процессов на этап "0".
Это начало активного использования средств ИИ при написании кода.
Я в ходе круглого стола РБПО на ТБ форуме задал вопрос - "Используют ли в своей разработке ИИ ваши организации и если да, то какие практики безопасности используют коллеги". В явном виде использование ИИ признал только представитель Лаборатории Касперского. При этом каких либо новых вызовом участники круглого стола в этой практики не увидели. Оценку участников можно свести к позиции - "Инструменты те же, правила те же, будет больше сработок". Но при этом в прогнозе "О чем будем говорить через год", 2 участника обозначили тему ИИ.
На мой взгляд есть, как минимум, 2 системные проблемы с безопасностью разработки с использованием ИИ:
1. Защита инфраструктуры разработки. Это и Shadow AI - облачные GPT/Opus в который ваши разработчики отдают ваши части исходного кода и идеи. Это и вопросы изоляции - сгенерированный ИИ код запускается на рабочих местах разработчиков, хорошо, если в докере или не на рабочем устройстве. С вайбкодингом сильно изменяется и привычный конвейер\pipeline разработки.
2. Ручное ревью кода может резко снизить свою эффективность. ИИ часто генерирует код, в котором очень сложно разобраться. Для него даже ввели отдельный термин Нейрослоп в переводе это дословно помои/отходы. У части экспертов к коду ИИ отношение как легаси коду - никто не знает как он работает и не рискует вносить в него какие либо правки. Отдельно придется оценивать эффективность анализа кода от ИИ текущими сканерами.
Про вызовы связанные с вайбкодингом на ТБ форуме рассказывали коллеги из Appsec Solutions. Прилагаю их презентацию.
Это начало активного использования средств ИИ при написании кода.
Я в ходе круглого стола РБПО на ТБ форуме задал вопрос - "Используют ли в своей разработке ИИ ваши организации и если да, то какие практики безопасности используют коллеги". В явном виде использование ИИ признал только представитель Лаборатории Касперского. При этом каких либо новых вызовом участники круглого стола в этой практики не увидели. Оценку участников можно свести к позиции - "Инструменты те же, правила те же, будет больше сработок". Но при этом в прогнозе "О чем будем говорить через год", 2 участника обозначили тему ИИ.
На мой взгляд есть, как минимум, 2 системные проблемы с безопасностью разработки с использованием ИИ:
1. Защита инфраструктуры разработки. Это и Shadow AI - облачные GPT/Opus в который ваши разработчики отдают ваши части исходного кода и идеи. Это и вопросы изоляции - сгенерированный ИИ код запускается на рабочих местах разработчиков, хорошо, если в докере или не на рабочем устройстве. С вайбкодингом сильно изменяется и привычный конвейер\pipeline разработки.
2. Ручное ревью кода может резко снизить свою эффективность. ИИ часто генерирует код, в котором очень сложно разобраться. Для него даже ввели отдельный термин Нейрослоп в переводе это дословно помои/отходы. У части экспертов к коду ИИ отношение как легаси коду - никто не знает как он работает и не рискует вносить в него какие либо правки. Отдельно придется оценивать эффективность анализа кода от ИИ текущими сканерами.
Про вызовы связанные с вайбкодингом на ТБ форуме рассказывали коллеги из Appsec Solutions. Прилагаю их презентацию.
Криптонит. Разработка, наука, шифрование
Почему переход на постквантовое шифрование начинается уже сегодня? Об этом Иван Чижов, наш заместитель руководителя лаборатории криптографии по научной работе, расскажет на лекции «Как устроен мир сегодня: главные тренды науки и технологий». ✖️ Когда: 21…
В эту субботу получилось посетить отличную открытую лекцию Ивана Чижова про постквантовую криптографию.
Ивану удалось просто и доступно объяснить математические элементы лежащие в основе методов посквантовой криптографии, и в целом мне очень понравилась лекция.
Вот несколько инсайтов которые я для себя сделал:
1. Кому нужно беспокоится о применении постквантовой криптографии?
Уже сейчас эксперты говорят, об атаке "собирай сейчас, расшифруй потом" Т.е. риск, что трафик записывают и хранят, в надежде его расшифровать в момент появления квантовых компьютеров с необходимым количеством кубитов. Такой риск, на мой взгляд, актуален в первую очередь для задачи защиты личной переписка топ менеджеров и высших руководителей. Отдельно такая проблема стоит в случае необходимости обеспечения подлинности средств электронной подписи для документов собственности, важных нормативных актов.
2. Сроки появления квантовых компьютеров с нужным количеством логических кубитов для практических задач криптоанализа.
Четкого прогноза пока никто не может дать. По оценке Ивана для подобных задач требуются квантовые компьютеры с 20 млн. физических кубитов. Для контекста - IBM планирует достичь 2000 логических кубитов к 2033+ году.
3. Сообщество и американский институт стандартизации NIST не обладают полной уверенностью в стандартизованных постквантовых алгоритмах, поэтому на каждый тип операции (обмен ключами, подпись) стандартизовано несколько криптоалгоритмов на разных принципах. Т.е. если вдруг окажется, что один алгоритм не криптостойкий, то нужно использовать запасной.
4. На фоне не полной уверенности в криптостойкости стандартизованных постквантовых алгоритмов эксперты предлагаю использование гибридных схем. Когда используются "классические" и постквантовые алгоритмы шифрования. Что заметно повышает стоимость такого шифрования и создает возможность новых атак на реализацию гибридных схем.
5. Какие криптоалгоритмы - в зоне риска при появлении квантовых компьютеров?
В зоне риска находятся в первую очередь алгоритмы ассиметричной криптографии. Т.е. это алгоритмы обмена ключами и электронной подписи. Вызвано это тем, что квантовые компьютеры смогу эффективно решать математически задачи (дискретные логарифмы) на которых построены современные алгоритмы, например Диффи-Хелмана. Для симметричных алгоритмов ожидается падение криптоустойчивости на порядок степени двойки. Т.е. Если вы используете AES 256, то для квантового компьютера по сложности он будет примерно как AES 128.
6.Одним из наиболее старых квантовоустойчивых алгоритмов являтся Classic McEliece 1978 года. Однако он не был стандартизован NIST, но рекомендован Германией, Нидерландами и Чехией.
7. А что в России?
Прогноз Ивана: в этом году есть вероятность выхода методических рекомендаций по постквантовому шифрованию от ТК 26. Срок стандартизации постквантового алгоритма - ещё, примерно, 2 года.
Вероятный первый криптостандарт в России будет носить имя Земляника.
Земляника будет базироваться как и большинство стандартизованных NIST стандартов на "решетках" (Lattice-based).
8. Что почитать тем кого увлекает тема квантовых вычислений ?
Иван порекомендовал вот такую книгу Алексей Китаев, Александр Шень, Михаил Вялый. "Классические и квантовые вычисления." М.: МЦНМО 1999. Вот краткий обзор книги от любимого в прошлом журнала Компьютерра.
Ниже прилагаю саму презентацию Ивана. Позднее музей криптографии обещал разместить и запись самой лекции на Rutube.
Ивану удалось просто и доступно объяснить математические элементы лежащие в основе методов посквантовой криптографии, и в целом мне очень понравилась лекция.
Вот несколько инсайтов которые я для себя сделал:
1. Кому нужно беспокоится о применении постквантовой криптографии?
Уже сейчас эксперты говорят, об атаке "собирай сейчас, расшифруй потом" Т.е. риск, что трафик записывают и хранят, в надежде его расшифровать в момент появления квантовых компьютеров с необходимым количеством кубитов. Такой риск, на мой взгляд, актуален в первую очередь для задачи защиты личной переписка топ менеджеров и высших руководителей. Отдельно такая проблема стоит в случае необходимости обеспечения подлинности средств электронной подписи для документов собственности, важных нормативных актов.
2. Сроки появления квантовых компьютеров с нужным количеством логических кубитов для практических задач криптоанализа.
Четкого прогноза пока никто не может дать. По оценке Ивана для подобных задач требуются квантовые компьютеры с 20 млн. физических кубитов. Для контекста - IBM планирует достичь 2000 логических кубитов к 2033+ году.
3. Сообщество и американский институт стандартизации NIST не обладают полной уверенностью в стандартизованных постквантовых алгоритмах, поэтому на каждый тип операции (обмен ключами, подпись) стандартизовано несколько криптоалгоритмов на разных принципах. Т.е. если вдруг окажется, что один алгоритм не криптостойкий, то нужно использовать запасной.
4. На фоне не полной уверенности в криптостойкости стандартизованных постквантовых алгоритмов эксперты предлагаю использование гибридных схем. Когда используются "классические" и постквантовые алгоритмы шифрования. Что заметно повышает стоимость такого шифрования и создает возможность новых атак на реализацию гибридных схем.
5. Какие криптоалгоритмы - в зоне риска при появлении квантовых компьютеров?
В зоне риска находятся в первую очередь алгоритмы ассиметричной криптографии. Т.е. это алгоритмы обмена ключами и электронной подписи. Вызвано это тем, что квантовые компьютеры смогу эффективно решать математически задачи (дискретные логарифмы) на которых построены современные алгоритмы, например Диффи-Хелмана. Для симметричных алгоритмов ожидается падение криптоустойчивости на порядок степени двойки. Т.е. Если вы используете AES 256, то для квантового компьютера по сложности он будет примерно как AES 128.
6.Одним из наиболее старых квантовоустойчивых алгоритмов являтся Classic McEliece 1978 года. Однако он не был стандартизован NIST, но рекомендован Германией, Нидерландами и Чехией.
7. А что в России?
Прогноз Ивана: в этом году есть вероятность выхода методических рекомендаций по постквантовому шифрованию от ТК 26. Срок стандартизации постквантового алгоритма - ещё, примерно, 2 года.
Вероятный первый криптостандарт в России будет носить имя Земляника.
Земляника будет базироваться как и большинство стандартизованных NIST стандартов на "решетках" (Lattice-based).
8. Что почитать тем кого увлекает тема квантовых вычислений ?
Иван порекомендовал вот такую книгу Алексей Китаев, Александр Шень, Михаил Вялый. "Классические и квантовые вычисления." М.: МЦНМО 1999. Вот краткий обзор книги от любимого в прошлом журнала Компьютерра.
Ниже прилагаю саму презентацию Ивана. Позднее музей криптографии обещал разместить и запись самой лекции на Rutube.
old.computerra.ru
Алексей Китаев, Александр Шень, Михаил Вялый. Классические и квантовые вычисления.
У вайб кодинга есть и положительное влияние на процессы безопасной разработки.
Например, вайбкодинг позволяет писать кастомные небольшие программы которые позволяют замахиваться на "программируемый фаззинг".
Например вот так https://docs.rs/chaos_theory/latest/chaos_theory/
Другим очевидным примером вайбкодинга является подготовка кастомных эксплоитов для сложных случаев триажа крит уязвимостей и как ультимативный аргумент для апсека со скромным навыком пентеста.
Например, вайбкодинг позволяет писать кастомные небольшие программы которые позволяют замахиваться на "программируемый фаззинг".
Например вот так https://docs.rs/chaos_theory/latest/chaos_theory/
Другим очевидным примером вайбкодинга является подготовка кастомных эксплоитов для сложных случаев триажа крит уязвимостей и как ультимативный аргумент для апсека со скромным навыком пентеста.
docs.rs
chaos_theory - Rust
`chaos_theory` is a modern property-based testing and structure-aware fuzzing library.
На прошлой неделе вышло очередное обновление 7ой версии фреймворка от Инфосистем Джет по безопасности контейнеризации. JCSF один из наиболее популярных и качественных фреймворков на рынке. Авторы открыты к предложениям со стороны сообщества.
В фреймворке JCSF есть уровни зрелости, мапинги на стандарты CIS и приказ 118 и БДУ ФСТЭК.
K8s остается одной технологией с высоким порогом входа, без использования фреймворков очень легко неэффективно потратить ресурсы на hardening своей организации.
В фреймворке JCSF есть уровни зрелости, мапинги на стандарты CIS и приказ 118 и БДУ ФСТЭК.
K8s остается одной технологией с высоким порогом входа, без использования фреймворков очень легко неэффективно потратить ресурсы на hardening своей организации.
Forwarded from k8s (in)security (Дмитрий Евдокимов)
Вышло очередное обновление фреймворка Jet Container Security Framework (JCSF) от наших друзей.
Если вы не знаете, что это, для чего это и как с этим работать, то мы еще в феврале прошлого года проводили совместный вебинар "Фреймворк безопасности контейнеров JCSF" (слайды, видео), где это все обсуждали и обсуждали как его можно улучшить и поправить.
Если вы не знаете, что это, для чего это и как с этим работать, то мы еще в феврале прошлого года проводили совместный вебинар "Фреймворк безопасности контейнеров JCSF" (слайды, видео), где это все обсуждали и обсуждали как его можно улучшить и поправить.
Отличный и полезный формат - учебное видео по безопасности ИИ Агентов от лектора-практика.
Вот темы основные в кратком выступлении (47 минут):
Введение в безопасность ИИ
Проблемы с генерацией кода
Примеры атак на чат-ботов
Защита данных в чат-ботах
Ограничения гардрейл моделей
Методы защиты моделей
Защита через системный промт
Коммерческие сервисы для защиты
Заключение
Риски использования моделей
Особенности моделей и их настройки
Процесс обучения моделей
Проблемы информационной безопасности
Роль фреймворков в безопасности
Фреймворк Cyber Security Validation
Некоммерческие фреймворки
Безопасность агентных систем
Критика документа
Обновление документа
Риски агентных систем
Пример атаки на систему «Джеминай»
Анализ атаки
Будущие вызовы
Новые термины
Проблемы агентных систем
Проблемы памяти и контекста
Работа группы безопасности
Пример инцидента со сплайчейном
Контроль трафика и фиксированные правила
Инструменты для агентных систем
Рекомендации Gartner и концепция «сэндвича безопасности»
Вопросы о защитных механизмах моделей
Вот темы основные в кратком выступлении (47 минут):
Введение в безопасность ИИ
Проблемы с генерацией кода
Примеры атак на чат-ботов
Защита данных в чат-ботах
Ограничения гардрейл моделей
Методы защиты моделей
Защита через системный промт
Коммерческие сервисы для защиты
Заключение
Риски использования моделей
Особенности моделей и их настройки
Процесс обучения моделей
Проблемы информационной безопасности
Роль фреймворков в безопасности
Фреймворк Cyber Security Validation
Некоммерческие фреймворки
Безопасность агентных систем
Критика документа
Обновление документа
Риски агентных систем
Пример атаки на систему «Джеминай»
Анализ атаки
Будущие вызовы
Новые термины
Проблемы агентных систем
Проблемы памяти и контекста
Работа группы безопасности
Пример инцидента со сплайчейном
Контроль трафика и фиксированные правила
Инструменты для агентных систем
Рекомендации Gartner и концепция «сэндвича безопасности»
Вопросы о защитных механизмах моделей
👍1
Forwarded from Al Talent Hub
Погружаемся в более сложные темы
Разбираем методы оценки и тестирования агентов.
Строим сложные workflows и Curriculum Builder.
Учимся защищать агентов и строить Secure Code Review Agent.
Приятного просмотра!
😎 — если уже посмотрел первые лекции
🧡 — спикеры
@aitalenthubnews
#ITMO #NapoleonIT
Please open Telegram to view this post
VIEW IN TELEGRAM
Изоляция агентов постепенно становится базовой практикой безопасности в крупных компаниях. Пример от Microsoft на базе нашумевшего OpenClaw.
https://www.microsoft.com/en-us/security/blog/2026/02/19/running-openclaw-safely-identity-isolation-runtime-risk/
https://www.microsoft.com/en-us/security/blog/2026/02/19/running-openclaw-safely-identity-isolation-runtime-risk/
Microsoft News
Running OpenClaw safely: identity, isolation, and runtime risk
Self-hosted agents execute code with durable credentials and process untrusted input. This creates dual supply chain risk, where skills and external instructions converge in the same runtime. As OpenClaw-like systems enter enterprises, governance and runtime…
Forwarded from AlexRedSec
Удивила статистика (и тенденция?) о подотчетности директоров по ИБ в ежегодном исследовании крупной рекрутинговой фирмы Hitch Partners, специализирующейся на поиске и найме ИБ/ИТ-руководителей.
Если верить статистике, то с 2024 года доля компаний, где директор по ИБ подчиняется техническому директору или директору по информационным технологиям, стабильно растет😳 .
Да, рост небольшой (в пределах 5%), но подотчетность генеральному директору падает, причем чем крупнее компания, тем заметнее падение: в небольших компаниях (до 500 сотрудников) 32% CISO подчиняются напрямую CEO, однако в крупных предприятиях (свыше 10 000 сотрудников) этот показатель падает до 3%, а подотчетность CIO/CTO возрастает до 47% (см. рис.2).
Авторы исследования смело заявляют о переориентации ИБ от управления рисками в сторону технического исполнения и безопасной разработки продуктов: возможно сказывается давление бизнеса на скорость разработки, а также бум вайб-кодинга и ИИ, за которым ИБ пока пытается только угнаться🏃 .
Помимо неожиданной статистики о подотчетности CISO, есть информация о подходах к обоснованию бюджета ИБ перед руководством.
Директоры по ИБ все чаще отходят от использования регуляторных требований в качестве аргумента для выбивания бюджетов:
🟠 69% опрошенных обосновывают бюджет через влияние на бизнес, демонстрируя как безопасность способствует достижению бизнес-результатов.
🟠 58% приводят как аргумент расширение поверхности атаки —количественную оценку рисков, связанных с растущим цифровым следом и подверженностью угрозам.
🟠 На третьем месте идет соблюдение регуляторных требований и избежание штрафов.
🟠 Финансовые показатели/рентабельность инвестиций расположились на четвертом месте и лишь небольшое количество опрошенных используют модели, основанные на расчете процента от выручки.
#ciso #board #report #accountability #budget #risk
Если верить статистике, то с 2024 года доля компаний, где директор по ИБ подчиняется техническому директору или директору по информационным технологиям, стабильно растет
Да, рост небольшой (в пределах 5%), но подотчетность генеральному директору падает, причем чем крупнее компания, тем заметнее падение: в небольших компаниях (до 500 сотрудников) 32% CISO подчиняются напрямую CEO, однако в крупных предприятиях (свыше 10 000 сотрудников) этот показатель падает до 3%, а подотчетность CIO/CTO возрастает до 47% (см. рис.2).
Авторы исследования смело заявляют о переориентации ИБ от управления рисками в сторону технического исполнения и безопасной разработки продуктов: возможно сказывается давление бизнеса на скорость разработки, а также бум вайб-кодинга и ИИ, за которым ИБ пока пытается только угнаться
Помимо неожиданной статистики о подотчетности CISO, есть информация о подходах к обоснованию бюджета ИБ перед руководством.
Директоры по ИБ все чаще отходят от использования регуляторных требований в качестве аргумента для выбивания бюджетов:
#ciso #board #report #accountability #budget #risk
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
Тем кто ещё находится в стадии планирования календаря мероприятий на 2026 год для развития или пиара себя и коллег, могу посоветовать вот такие публичные календари:
1. ICT2GO Интерфейс не самый современный, но покрытие по разнообразию событий у него одно из самых хороших. Можно искать мероприятия и по отдельным направлениям ИТ.
2. Security Vision У ICT2GO нет в календаре крупных событий типа PHD или ТЕРРИТОРИЯ БЕЗОПАСНОСТИ, нет крупных иностранных событий. У календарика Security Vision таких проблем нет.
Иногда в этих каналах публикуются мероприятия которых нет в 2 источниках выше:
https://t.iss.one/InfoBezEvents
https://t.iss.one/event_security
https://t.iss.one/secwebinars
p.s. Раньше ещё был календарь по знаковым событиям от Алексея Викторовича Лукацкого, он велся более 10 лет. Сейчас этот календарь перешел на другую сторону Калинова моста =). Вот версия календарика образца 2023 года с другого берега реки Смородины.
1. ICT2GO Интерфейс не самый современный, но покрытие по разнообразию событий у него одно из самых хороших. Можно искать мероприятия и по отдельным направлениям ИТ.
2. Security Vision У ICT2GO нет в календаре крупных событий типа PHD или ТЕРРИТОРИЯ БЕЗОПАСНОСТИ, нет крупных иностранных событий. У календарика Security Vision таких проблем нет.
Иногда в этих каналах публикуются мероприятия которых нет в 2 источниках выше:
https://t.iss.one/InfoBezEvents
https://t.iss.one/event_security
https://t.iss.one/secwebinars
p.s. Раньше ещё был календарь по знаковым событиям от Алексея Викторовича Лукацкого, он велся более 10 лет. Сейчас этот календарь перешел на другую сторону Калинова моста =). Вот версия календарика образца 2023 года с другого берега реки Смородины.
ict2go.ru
ИТ-конференции и мероприятия в 2026 году | ICT2Go.ru
Календарь предстоящих и прошедших ИТ-мероприятий в Москве, Санкт-Петербурге, регионах и онлайн. Поиск событий по городам и тематикам.
На рынке LLM новый лидер по последним общим тестам - Gemini 3.1 Pro Preview.
Ну и в целом дайджест у Рефата весьма полезный.
Рынок ждет релиза новой опенсорс версии Deepseek. Ну а пока самая умная модель опенсорс по версии бенча https://artificialanalysis.ai/ GLM-5.
Ну и в целом дайджест у Рефата весьма полезный.
Рынок ждет релиза новой опенсорс версии Deepseek. Ну а пока самая умная модель опенсорс по версии бенча https://artificialanalysis.ai/ GLM-5.
Forwarded from Refat Talks: Tech & AI
#ReDigest
Продолжаем субботнюю рубрику, тут я кратко рассказываю про новости из мира технологий и AI, которые привлекли мое внимание.
Дайджест недели:
- Google выпустила Gemini 3.1 Pro - серьезный скачок по бенчам, трехуровневый thinking, контекст 1M токенов.
- Anthropic выпустила Claude Sonnet 4.6 - апгрейд кодинга, computer use и long-context reasoning. На 40% дешевле Opus.
- Alibaba выпустила Qwen 3.5 - MoE на 397B параметров. 201 язык, Apache 2.0. По бенчам на уровне фронтирных моделей.
- xAI выпустила Grok 4.20 в бете - мультиагентная архитектура из 4 специализированных агентов, работающих параллельно.
- OpenAI поглотила OpenClaw. Создатель Питер Штайнбергер возглавит направление personal agents. Проект остается опенсорсным, переезжает в независимый фонд.
- OpenAI привлекает рекордный раунд ~$100B при оценке ~$830-850B. Крупнейшая сделка в истории частного финансирования. Среди инвесторов SoftBank, Nvidia, Amazon, Microsoft.
- Anthropic выпустила Claude Code Security - инструмент с multi-stage self-verification. Нашли 500+ уязвимостей в опенсорс-проектах, некоторые существовали десятилетиями. После анонса акции cybersecurity-компаний просели (JFrog -24.6%).
- Пентагон использовал Claude через Palantir для планирования операции в Венесуэле.
- Seedance 2.0 от ByteDance вызвал крупнейший copyright-скандал в AI-видео. Disney, Paramount, Netflix, Warner Bros потребовали прекратить нарушения. ByteDance частично откатились и пообещали safeguards.
- Figma выпустила интеграцию с Claude Code ("Code to Canvas") - можно перенести работающий UI из Claude Code в редактируемые Figma-слои через MCP. Работает в обе стороны.
- Anthropic обновила политику использования - подписку Claude теперь нельзя использовать через сторонние инструменты (Cline, Roo Code, OpenClaw). Начались баны аккаунтов злоупотребляющих этим, что вызвало негативную реакцию сообщества.
- OpenAI тихо обновила миссию, убрав слова про безопасность и отсутствие финансового мотива. Было: "Build AI that safely benefits humanity, unconstrained by need to generate financial return". Стало: "Ensure AGI benefits all of humanity".
- Google добавила в Gemini генерацию музыки через Lyria 3 - треки до 30 секунд из текста или изображений. SynthID маркировка.
- GitHub Agentic Workflows вышел в technical preview - автоматизация репозиториев через AI-агентов в GitHub Actions. Описываешь желаемый результат в Markdown, агент выполняет.
- Cohere Labs выпустила TinyAya - открытые мультиязычные модели (3.35B) для 67+ языков. Работает на устройствах без интернета.
- Kitten TTS V0.8 - сверхмаленькая TTS-модель, самая маленькая версия всего 14M параметров (25 МБ), работает на CPU. Apache 2.0.
- World Labs (Fei-Fei Li) привлекла $1B при оценке ~$5B. Продукт MARBLE создает 3D-миры из текста, изображений и видео.
- Manus (Meta) запустил AI-агентов в Telegram - полноценный Manus с reasoning, tools и multi-step задачами прямо в мессенджере.
- Cursor запустил Marketplace - плагины для полного цикла разработки: skills, MCPs, субагенты, хуки.
- ARC-AGI-3 - новый интерактивный бенчмарк reasoning для AI-агентов. Полный запуск 25 марта.
- Anthropic опубликовала исследование работы людей с AI-агентами на основе миллионов взаимодействий в Claude Code. Много интересного.
- Исследование влияния LLM на книжный рынок: за 3 года количество новых книг утроилось, среднее качество снизилось. Но топ-1000 книг по категориям стали лучше - опытные авторы выиграли, новые проиграли.
- React вайб-кодерам на заметку: React Doctor - новый, но быстро набирающий популярность инструмент для диагностики React-кода.
Продолжаем субботнюю рубрику, тут я кратко рассказываю про новости из мира технологий и AI, которые привлекли мое внимание.
Дайджест недели:
- Google выпустила Gemini 3.1 Pro - серьезный скачок по бенчам, трехуровневый thinking, контекст 1M токенов.
- Anthropic выпустила Claude Sonnet 4.6 - апгрейд кодинга, computer use и long-context reasoning. На 40% дешевле Opus.
- Alibaba выпустила Qwen 3.5 - MoE на 397B параметров. 201 язык, Apache 2.0. По бенчам на уровне фронтирных моделей.
- xAI выпустила Grok 4.20 в бете - мультиагентная архитектура из 4 специализированных агентов, работающих параллельно.
- OpenAI поглотила OpenClaw. Создатель Питер Штайнбергер возглавит направление personal agents. Проект остается опенсорсным, переезжает в независимый фонд.
- OpenAI привлекает рекордный раунд ~$100B при оценке ~$830-850B. Крупнейшая сделка в истории частного финансирования. Среди инвесторов SoftBank, Nvidia, Amazon, Microsoft.
- Anthropic выпустила Claude Code Security - инструмент с multi-stage self-verification. Нашли 500+ уязвимостей в опенсорс-проектах, некоторые существовали десятилетиями. После анонса акции cybersecurity-компаний просели (JFrog -24.6%).
- Пентагон использовал Claude через Palantir для планирования операции в Венесуэле.
- Seedance 2.0 от ByteDance вызвал крупнейший copyright-скандал в AI-видео. Disney, Paramount, Netflix, Warner Bros потребовали прекратить нарушения. ByteDance частично откатились и пообещали safeguards.
- Figma выпустила интеграцию с Claude Code ("Code to Canvas") - можно перенести работающий UI из Claude Code в редактируемые Figma-слои через MCP. Работает в обе стороны.
- Anthropic обновила политику использования - подписку Claude теперь нельзя использовать через сторонние инструменты (Cline, Roo Code, OpenClaw). Начались баны аккаунтов злоупотребляющих этим, что вызвало негативную реакцию сообщества.
- OpenAI тихо обновила миссию, убрав слова про безопасность и отсутствие финансового мотива. Было: "Build AI that safely benefits humanity, unconstrained by need to generate financial return". Стало: "Ensure AGI benefits all of humanity".
- Google добавила в Gemini генерацию музыки через Lyria 3 - треки до 30 секунд из текста или изображений. SynthID маркировка.
- GitHub Agentic Workflows вышел в technical preview - автоматизация репозиториев через AI-агентов в GitHub Actions. Описываешь желаемый результат в Markdown, агент выполняет.
- Cohere Labs выпустила TinyAya - открытые мультиязычные модели (3.35B) для 67+ языков. Работает на устройствах без интернета.
- Kitten TTS V0.8 - сверхмаленькая TTS-модель, самая маленькая версия всего 14M параметров (25 МБ), работает на CPU. Apache 2.0.
- World Labs (Fei-Fei Li) привлекла $1B при оценке ~$5B. Продукт MARBLE создает 3D-миры из текста, изображений и видео.
- Manus (Meta) запустил AI-агентов в Telegram - полноценный Manus с reasoning, tools и multi-step задачами прямо в мессенджере.
- Cursor запустил Marketplace - плагины для полного цикла разработки: skills, MCPs, субагенты, хуки.
- ARC-AGI-3 - новый интерактивный бенчмарк reasoning для AI-агентов. Полный запуск 25 марта.
- Anthropic опубликовала исследование работы людей с AI-агентами на основе миллионов взаимодействий в Claude Code. Много интересного.
- Исследование влияния LLM на книжный рынок: за 3 года количество новых книг утроилось, среднее качество снизилось. Но топ-1000 книг по категориям стали лучше - опытные авторы выиграли, новые проиграли.
- React вайб-кодерам на заметку: React Doctor - новый, но быстро набирающий популярность инструмент для диагностики React-кода.
Когда читаешь отчёт от какой либо компании важно понимать что это за компания и какие ключевые особенности у компании. И оценивать на сколько сильно отчет подсвечивает нужные для продуктов компании нюансы.
Например у продуктов крауд страйк нет сигнатурного анализа исторически. Они полагались изначально на поведенческий анализ и ИИ. Поэтому к выводам, что основные детекты это поведенческое индикаторы нужно относиться как к факту требующему доп проверки в других источниках.
Например у продуктов крауд страйк нет сигнатурного анализа исторически. Они полагались изначально на поведенческий анализ и ИИ. Поэтому к выводам, что основные детекты это поведенческое индикаторы нужно относиться как к факту требующему доп проверки в других источниках.