🚨 Обнаружено, что релиз LiteLLM на PyPI версии 1.82.8 содержит вредоносный код.
Стандартная команда `
SSH-ключей, учётных данных AWS/GCP/Azure, Kubernetes-конфигов, git-доступов, всех API-ключей из переменных окружения, истории команд, SSL-ключей, CI/CD-секретов и паролей к базам данных.
И это не нишевая библиотека, у LiteLLM около 97 млн скачиваний в месяц.
Даже без прямой установки
Скомпрометированную версию пакета обнаружили случайно: при установке пакета у разработчика произошёл сбой из-за утечки памяти.
Без этого сбоя атака могла оставаться незамеченной долгое время .
Supply chain атаки становятся одним из самых серьёзных рисков в современной разработке.
Подход «использовать как можно больше готовых библиотек» требует некоторого переосмысления.
Andrej Karpathy: https://x.com/karpathy/status/2036488892443140551
1. Первичный разбор (issue на GitHub): https://github.com/BerriAI/litellm/issues/24512
- подробное техническое описание вредоносного кода: что именно крадёт и как работает
2. Официальный issue от BerriAI: https://github.com/BerriAI/litellm/issues/24518
— реакция команды и обновления по ситуации
3. Блог FutureSearch (обнаружили атаку): https://futuresearch.ai/blog/litellm-pypi-supply-chain-attack/
• как баг с fork bomb в вредоносном коде уронил машину и помог выявить атаку
4. Полный таймлайн TeamPCP от ramimac: https://ramimac.me/teampcp/
— вся цепочка атаки: Trivy → Checkmarx → litellm, с точными временными метками и IOC
5. Тред на Hacker News (основной): https://news.ycombinator.com/item?id=47501729
- обсуждение в реальном времени, включая ответы от Krrish (maintainer litellm)
6. Разбор от GitGuardian:
https://blog.gitguardian.com/trivys-march-supply-chain-attack-shows-where-secret-exposure-hurts-most/
- анализ того, как утечка CI/CD-секретов запустила всю цепочку атаки
@ai_machinelearning_big_data
#llm #ml #cybersecurity
Стандартная команда `
pip install litellm` могла привести к утечке:SSH-ключей, учётных данных AWS/GCP/Azure, Kubernetes-конфигов, git-доступов, всех API-ключей из переменных окружения, истории команд, SSL-ключей, CI/CD-секретов и паролей к базам данных.
И это не нишевая библиотека, у LiteLLM около 97 млн скачиваний в месяц.
Даже без прямой установки
litellm вредоносный код мог попасть к пользователям через другие пакеты (например, `dspy`).Скомпрометированную версию пакета обнаружили случайно: при установке пакета у разработчика произошёл сбой из-за утечки памяти.
Без этого сбоя атака могла оставаться незамеченной долгое время .
Supply chain атаки становятся одним из самых серьёзных рисков в современной разработке.
Подход «использовать как можно больше готовых библиотек» требует некоторого переосмысления.
Andrej Karpathy: https://x.com/karpathy/status/2036488892443140551
1. Первичный разбор (issue на GitHub): https://github.com/BerriAI/litellm/issues/24512
- подробное техническое описание вредоносного кода: что именно крадёт и как работает
2. Официальный issue от BerriAI: https://github.com/BerriAI/litellm/issues/24518
— реакция команды и обновления по ситуации
3. Блог FutureSearch (обнаружили атаку): https://futuresearch.ai/blog/litellm-pypi-supply-chain-attack/
• как баг с fork bomb в вредоносном коде уронил машину и помог выявить атаку
4. Полный таймлайн TeamPCP от ramimac: https://ramimac.me/teampcp/
— вся цепочка атаки: Trivy → Checkmarx → litellm, с точными временными метками и IOC
5. Тред на Hacker News (основной): https://news.ycombinator.com/item?id=47501729
- обсуждение в реальном времени, включая ответы от Krrish (maintainer litellm)
6. Разбор от GitGuardian:
https://blog.gitguardian.com/trivys-march-supply-chain-attack-shows-where-secret-exposure-hurts-most/
- анализ того, как утечка CI/CD-секретов запустила всю цепочку атаки
@ai_machinelearning_big_data
#llm #ml #cybersecurity
2🤔92🤬30👀17🔥16❤12😨8👍7😢7💔2🗿1
Хотя Anthropic изначально делала ставку на корпоративный сегмент, им удалось уверенно выйти и на массовый рынок.
Обновления выходят почти каждый день.
Anthropic смогли стереть границу между «бизнес-инструментом» и «продуктом для всех».
А последние релизы показывают: они не просто догоняют тренды, а начинают их задавать.
Пользуетесь ли вы Claude?
Какое из последних обновлений зашло больше всего? 👇
@ai_machinelearning_big_data
#Claude
Please open Telegram to view this post
VIEW IN TELEGRAM
1❤184🤔77👍47🔥22🎉16💯11🥰7😐3👀1🙊1
Подразделение Research анонсировало TurboQuant, алгоритм векторного квантования, объединяющий 2 других метода - QJL и PolarQuant, который решает проблему увеличения KV-кэша при работе с длинным контекстом.
TurboQuant будет представлен на ICLR 2026, PolarQuant - на AISTATS 2026.
KV-кэш хранит промежуточные представления токенов, чтобы модель не пересчитывала их на каждом шаге генерации. С ростом контекста он превращается в узкое место по памяти.
Обычное векторное квантование сжимает эти данные, но вносит накладные расходы: для каждого блока нужно хранить константы квантования в полной точности, а это плюс 1–2 бита на элемент, что частично обесценивает само сжатие.
Сначала PolarQuant: случайный поворот выравнивает геометрию векторов, после чего они переводятся из декартовых координат в полярные (радиус и угол). Распределение углов оказывается предсказуемым и сконцентрированным, поэтому нормализация и хранение дополнительных констант становятся больше не нужны.
На втором этапе подключается QJL, метод на основе преобразования Джонсона-Линденштраусса, который кодирует остаточную ошибку первого этапа всего одним знаковым битом и через встроенную оценочную функцию сочетает высокоточный запрос с низкоточными сжатыми данными, корректно вычисляя attention score.
Ни один из методов не требует обучения или дообучения и работает в режиме "без предварительного анализа набора данных".
Алгоритмы тестили на бенчмарках для длинного контекста: LongBench, Needle In A Haystack, ZeroSCROLLS, RULER и L-Eval с моделями Gemma и Mistral.
При квантовании KV-кэша до 3 бит TurboQuant показал нулевую деградацию точности на всех задачах: поиск «иголки в стоге сена», QA, генерация кода, суммаризация.
Объем KV-кэша при этом сократился в 6 раз. На H100 четырехбитный TurboQuant ускорил вычисление attention-логитов до 8 раз по сравнению с 32-битными ключами.
Область применения не ограничивается KV-кэшем. В экспериментах с высокоразмерным векторным поиском TurboQuant стабильно превзошел по recall методы PQ и RaBitQ несмотря на то, что те использовали крупные код-буки и подстройку под конкретный датасет.
@ai_machinelearning_big_data
🎯Полезные Мл-ресурсы 🚀 Max
#AI #ML #LLM #TurboQuant #Google
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
❤120🔥44🎉32👨💻11👍9👏7🤩7🥰2
Media is too big
VIEW IN TELEGRAM
Спустя всего 6 месяцев после релиза, OpenAI приняла решение закрыть сервис, который стал вирусным почти сразу: после запуска в конце сентября он набрал миллион скачиваний менее чем за 5 дней.
Несмотря на популярность, поддержка проекта оказалась слишком дорогой. Сейчас компания активно урезает издержки, чтобы подготовить финансовую базу для выхода на биржу.
В ближайшее время компания обещает опубликовать точные сроки отключения приложения и API, а также выпустить инструкции, которые помогут безопасно выгрузить и сохранить созданный контент.
SoraOfficialApp в сети Х
В Claude Cowork и Claude Code появилась функция прямого контроля десктопа. Теперь Claude может перехватывать управление: перемещать курсор, кликать по интерфейсу, набирать текст и запускать инструменты разработчика напрямую.
Новая возможность раскрывается в связке с свежей функцией Dispatch. Например, можно отправить задачу со смартфона, находясь в пути, а запущенный десктопный клиент Claude на компьютере самостоятельно протестирует код, внесет изменения в IDE и подготовит PR.
Новая функция в стадии Research Preview и доступна подписчикам тарифов Pro и Max. На данный момент поддерживается исключительно macOS.
claude.com
На конференции RSA 2026 Google выкатила обновление инструментов кибербезопасности. В платформу Security Operations добавили агентов на базе Gemini: они умеют сами копаться в инцидентах, собирать цифровые улики и выносить вердикт с подробным разбором полетов.
Этих же агентов прикрутили к системе Google Threat Intelligence - теперь они мониторят даркнет. Корпорация заявляет, что алгоритм переваривает миллионы событий ежедневно с точностью 98% и подсвечивает только те риски, которые касаются конкретной компании.
Параллельно Google подтвердила покупку компании Wiz. Ее технологии будут применятся для создания единой системы защиты мультиоблачных инфраструктур.
cloud.google.com
Инструмент построен на базе моделей Molmo 2 с 4В и 8В параметров. Он смотрит на веб глазами пользователя: анализирует скриншот страницы и сам решает, куда кликнуть, что написать, где проскроллить или открыть новую вкладку.
Создатели не стали приукрашивать реальность: агент может тупить при чтении текста, ломается после случайного клика не туда и теряется от нечетких инструкций. Заодно ради безопасности его специально отрезали от работы с паролями и деньгами.
MolmoWeb установил новый SOTA среди открытых решений в 4 бенчмарках для веб-агентов, обошел визуальных агентов на базе GPT-4o и превзошел OpenAI CUA в 3 тестах из 4.
Проект полностью открыт: веса, код и датасет MolmoWebMix доступны по лицензии Apache 2.0.
allenai.org
Бретт Адкок официально представил свой новый проект - ИИ-лабораторию Hark. Компания находилась в скрытом режиме 8 месяцев, собирая сильную команду инженеров в области программного и аппаратного обеспечения.
Адкок считает, что LLM-чатботы слишком примитивны. По его видению, настоящий AGI должен обладать долговременной памятью, глубокой персонализацией и способностью взаимодействовать с физическим миром. Hark будет создавать именно такой персональный интеллект. Система будет перенимать образ мышления пользователя, чтобы забирать на себя когнитивную нагрузку и действовать на опережение.
Несмотря на амбициозные цели, конкретных продуктов Hark пока не показал. На данный момент опубликован только концептуальный манифест и открыт список ожидания.
Brett Adcock в сети Х
@ai_machinelearning_big_data
#news #ai #ml
Please open Telegram to view this post
VIEW IN TELEGRAM
1🔥44❤27🤔18👍11👏6😢5🤣5🥰1
Yandex B2B Tech запускает гранты на ИИ-разработку
Программа поддерживает компании, разрабатывающие цифровые продукты с ИИ для внешнего рынка. Участники могут получить грант до 1 млн рублей на создание ИИ-агентов и приложений с использованием Yandex AI Studio в течение полугода.
Компании получают экспертную и маркетинговую поддержку, а после завершения программы — скидку до 70% на платформу до 6 месяцев.
Среди первых участников: R77.ai ускоряет проверку документов для банков и страховых с помощью ML-моделей, Noumy.ai внедряет инструменты анализа кандидатов и их поведения на интервью, а GO2AI создает ИИ-агентов для стратегического планирования, сокращая цикл принятия решений с нескольких дней до часа.
Участники также могут получить софинансирование маркетинговых активностей и разместить решения на маркетплейсе Yandex Cloud. В рамках Cloud Boost стартапы уже получили 625 млн рублей на облачную инфраструктуру.
Программа поддерживает компании, разрабатывающие цифровые продукты с ИИ для внешнего рынка. Участники могут получить грант до 1 млн рублей на создание ИИ-агентов и приложений с использованием Yandex AI Studio в течение полугода.
Компании получают экспертную и маркетинговую поддержку, а после завершения программы — скидку до 70% на платформу до 6 месяцев.
Среди первых участников: R77.ai ускоряет проверку документов для банков и страховых с помощью ML-моделей, Noumy.ai внедряет инструменты анализа кандидатов и их поведения на интервью, а GO2AI создает ИИ-агентов для стратегического планирования, сокращая цикл принятия решений с нескольких дней до часа.
Участники также могут получить софинансирование маркетинговых активностей и разместить решения на маркетплейсе Yandex Cloud. В рамках Cloud Boost стартапы уже получили 625 млн рублей на облачную инфраструктуру.
💯60👨💻24👍16👏12🤣6❤5🎉5🗿2
Система оптимизации производительности для AI-агентов. От победителя хакатона Anthropic.
Готовые к продакшену агенты, хуки, скилы, правила и MCP-конфигурации, которые эволюционировали за 10 месяцев ежедневной интенсивной работы над реальными продуктами.
Работает с Claude Code, Codex, Cowork и другими системами для AI-агентов.
@ai_machinelearning_big_data
🎯Полезные Мл-ресурсы
#AI #ML #aiagents #Claude
Please open Telegram to view this post
VIEW IN TELEGRAM
1👍64🔥26🎉11🤔6❤5💯5🤣3🥰1
В России запустили сервис для быстрого подключения ИИ-моделей
MWS Cloud представил MWS GPT Model Hub — сервис позволяет компаниям подключать большие языковые модели к своим продуктам за несколько минут без собственной инфраструктуры.
Платформа даёт доступ к 10 открытым LLM от ведущих разработчиков, включая DeepSeek, Google и Alibaba. Модели подключаются через OpenAI-совместимый API и разворачиваются в один клик. По сути, LLM становятся таким же базовым инструментом, как базы данных или облачные хранилища.
Сервис рассчитан на разработчиков и продуктовые команды: можно быстро тестировать гипотезы, запускать AI-функции и не тратить ресурсы на поддержку инфраструктуры.
Сервис создан на базе платформы MWS GPT.
«Мы видим, что LLM становятся базовым строительным блоком цифровых продуктов, но их внедрение часто упирается в инфраструктуру и компетенции. MWS GPT Model Hub создан для того, чтобы разработчики могли использовать большие языковые модели так же просто, как любые другие облачные сервисы», — говорит гендиректор МТС Web Services Павел Воронин.
@ai_machinelearning_big_data
MWS Cloud представил MWS GPT Model Hub — сервис позволяет компаниям подключать большие языковые модели к своим продуктам за несколько минут без собственной инфраструктуры.
Платформа даёт доступ к 10 открытым LLM от ведущих разработчиков, включая DeepSeek, Google и Alibaba. Модели подключаются через OpenAI-совместимый API и разворачиваются в один клик. По сути, LLM становятся таким же базовым инструментом, как базы данных или облачные хранилища.
Сервис рассчитан на разработчиков и продуктовые команды: можно быстро тестировать гипотезы, запускать AI-функции и не тратить ресурсы на поддержку инфраструктуры.
Сервис создан на базе платформы MWS GPT.
«Мы видим, что LLM становятся базовым строительным блоком цифровых продуктов, но их внедрение часто упирается в инфраструктуру и компетенции. MWS GPT Model Hub создан для того, чтобы разработчики могли использовать большие языковые модели так же просто, как любые другие облачные сервисы», — говорит гендиректор МТС Web Services Павел Воронин.
@ai_machinelearning_big_data
👍53🥱38🤣17👏16🎉13❤8🤓6🎃5🔥3🥰2😐2
This media is not supported in your browser
VIEW IN TELEGRAM
😁118🤣49❤13💯10👨💻9😴8❤🔥4🤔1😨1
компания может привлечь более $75 млрд уже в ближайшее время.
По данным источников, SpaceX может подать документы регуляторам уже на этой неделе,
официально запустив процесс выхода на биржу в июне.
Это размещение может стать крупнейшим IPO в истории США.
Советники сделки ожидают, что компания привлечёт свыше $75 млрд
(ранее прогнозировали около $50 млрд),
но финальный объём и оценка будут определены ближе к размещению.
https://www.theinformation.com/articles/spacex-aims-file-ipo-soon-week
@ai_machinelearning_big_data
#spacex
Please open Telegram to view this post
VIEW IN TELEGRAM
🎉46🔥25👍14👏5🤩5❤2😁2❤🔥1🥰1🙏1
Forwarded from Bogatyrev Aleksei
Как я стал дата инженером с ЗП 800к
Без удачи и связей
💀 💀 💀
После очередной пьянки я понял, что надо что-то менять. Я решил стать дата инженером
Составил резюме на коленке. Чудом получил свою первую работу с зп 50к в месяц😎
Отработал 4 месяца и захотел больше. Ну и погнал дальше: собесы, отказы, новые офферы
В прошлом году я пробил 800к рублей за один месяц
Я выгорал, увольнялся, снова загорался и опять шел на собесы
Задумался над своими ошибками...
Как можно избежать их? Снял на эту тему видео, в котором рассказал:
Это разбор реального пути: как с нуля дойти до первой работы дата инженером с хорошей зарплатой.
Без булшита по типу "вкатись в ДЕ за месяц"😏
👉 Смотри видео в закрепе моего канала
Без удачи и связей
5 лет назад я работал в техподдержке с графиком 2/2 и жестко бухал
После очередной пьянки я понял, что надо что-то менять. Я решил стать дата инженером
Составил резюме на коленке. Чудом получил свою первую работу с зп 50к в месяц
Отработал 4 месяца и захотел больше. Ну и погнал дальше: собесы, отказы, новые офферы
В прошлом году я пробил 800к рублей за один месяц
Я выгорал, увольнялся, снова загорался и опять шел на собесы
Задумался над своими ошибками...
Как можно избежать их? Снял на эту тему видео, в котором рассказал:
- мой путь из техподдержки до техлида с зп 800к
- какие ошибки я совершил и как их обойти
- как выглядит типичный день ДЕ
Это разбор реального пути: как с нуля дойти до первой работы дата инженером с хорошей зарплатой.
Без булшита по типу "вкатись в ДЕ за месяц"
👉 Смотри видео в закрепе моего канала
Please open Telegram to view this post
VIEW IN TELEGRAM
🤣137🤬55🔥24👏10🥱7🗿6👍4🍓3🦄3❤🔥2🏆1
Media is too big
VIEW IN TELEGRAM
Первая леди встречается с первым роботом.
«Figure F.03 вошёл в историю как первый человекоподобный робот в Белом доме»
@ai_machinelearning_big_data
#ai #robots
«Figure F.03 вошёл в историю как первый человекоподобный робот в Белом доме»
@ai_machinelearning_big_data
#ai #robots
🤔28❤🔥14😎11🤷9❤4🔥4👍3👏3🌭2🎃2🤗2
This media is not supported in your browser
VIEW IN TELEGRAM
🎧 Google выпустила Lyria 3 Pro - обновлённую музыкальную модель,способную генерировать треки длиной до 3 минут.
Модель позволяет задавать интро, куплеты, припевы и бриджии создавать композиции с сложными переходами».
Доступна для всех подписчиков в Gemini.
@ai_machinelearning_big_data
Модель позволяет задавать интро, куплеты, припевы и бриджии создавать композиции с сложными переходами».
Доступна для всех подписчиков в Gemini.
@ai_machinelearning_big_data
👍12❤6🔥4🗿3😎3