Claude нашел 353 критические дыры 🙂
Ребята из Sansec решили не тратить годы на ручной аудит и натравили нейросеть Claude 4.5 на репозиторий Packagist. ИИ-конвейер просеял 5000 популярных расширений для Magento и выудил 353 подтвержденные уязвимости. Схема работы пугающе эффективна. Один агент ищет подозрительный код, второй поднимает Docker-контейнер и реально пытается его взломать эксплойтом. Точность детектирования 79%, а цена вопроса $2 за проверку одного плагина.
265 дыр с обходом авторизации (привет, бесплатные заказы), 50 SQL-инъекций и 15 случаев удаленного выполнения кода (RCE). И это в расширениях, которые скачали почти 6 миллионов раз. Получается, что огромная часть рынка e-commerce сидит на пороховой бочке, фитиль к которой теперь может подобрать любой, у кого есть подписка на Claude.
🥸 godnoTECH - Новости IT
Ребята из Sansec решили не тратить годы на ручной аудит и натравили нейросеть Claude 4.5 на репозиторий Packagist. ИИ-конвейер просеял 5000 популярных расширений для Magento и выудил 353 подтвержденные уязвимости. Схема работы пугающе эффективна. Один агент ищет подозрительный код, второй поднимает Docker-контейнер и реально пытается его взломать эксплойтом. Точность детектирования 79%, а цена вопроса $2 за проверку одного плагина.
265 дыр с обходом авторизации (привет, бесплатные заказы), 50 SQL-инъекций и 15 случаев удаленного выполнения кода (RCE). И это в расширениях, которые скачали почти 6 миллионов раз. Получается, что огромная часть рынка e-commerce сидит на пороховой бочке, фитиль к которой теперь может подобрать любой, у кого есть подписка на Claude.
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥6❤4🎉4
Всё ещё ищешь нейросети по разным ботам?🤖
Остановись. Всё уже собрано в одном месте.
В нашем боте собрано 20+ трендовых ИИ🚀
Что можно делать:
💬 Пиши тексты и анализируй файлы в ChatGPT
🌄 Создавай и улучшай фото в Midjourney, DALL·E 3 и Nano Banana
🎞 Генерируй видео в Sora 2, Veo, Kling
🎙 Делай музыку, озвучку и расшифровку аудио
Никаких сложных настроек — открыл и работаешь
👉Переходи по ссылке и пользуйся - t.iss.one/AI_MultiAssistantBot
erid: 2W5zFGt1Sbz
Остановись. Всё уже собрано в одном месте.
В нашем боте собрано 20+ трендовых ИИ🚀
Что можно делать:
💬 Пиши тексты и анализируй файлы в ChatGPT
🌄 Создавай и улучшай фото в Midjourney, DALL·E 3 и Nano Banana
🎞 Генерируй видео в Sora 2, Veo, Kling
🎙 Делай музыку, озвучку и расшифровку аудио
Никаких сложных настроек — открыл и работаешь
👉Переходи по ссылке и пользуйся - t.iss.one/AI_MultiAssistantBot
erid: 2W5zFGt1Sbz
Microsoft передала ФБР ключи BitLocker 🚪
Если вы наивно полагали, что BitLocker надежно защищает ваши данные от всех вокруг, то Microsoft спешит разочаровать. Forbes раскопали, что корпорация официально сливает ключи шифрования федералам. Проблема в дефолтных настройках: Windows заботливо выгружает ключи восстановления в вашу облачную учетку. Фактически это легальный бэкдор, ведь шифрование на диске есть, но ключи лежат под ковриком у Майков.
Прецедентом стал кейс на Гуаме, где ФБР расследовало кражу ковидных пособий. Агенты не стали ломать голову над брутфорсом ноутбуков подозреваемых, а просто запросили ключи у Microsoft. Это первый публично задокументированный случай в истории, когда ключи BitLocker слил сам разработчик. Теперь логи Telegram и WhatsApp, поднятые с расшифрованных дисков, лежат на столе судьи как прямые улики, доступа к которым без помощи корпорации не было бы.
И ладно бы только ФБР, проблема в том, что облака Майков ломают чаще, чем чинят. Если база ключей утечет к хакерам (а это вопрос времени), то миллионы "защищенных" дисков станут доступны любому хацкеру с украденным дампом.
Microsoft единственный гигант, который до сих пор хранит мастер-ключи у себя в открытом виде. Получается, что единственная реальная уязвимость в стойком криптоалгоритме BitLocker это сама компания-разработчик, которая держит дубликаты ключей у себя на серверах ради вашей "безопасности" 😬
🥸 godnoTECH - Новости IT
Если вы наивно полагали, что BitLocker надежно защищает ваши данные от всех вокруг, то Microsoft спешит разочаровать. Forbes раскопали, что корпорация официально сливает ключи шифрования федералам. Проблема в дефолтных настройках: Windows заботливо выгружает ключи восстановления в вашу облачную учетку. Фактически это легальный бэкдор, ведь шифрование на диске есть, но ключи лежат под ковриком у Майков.
Прецедентом стал кейс на Гуаме, где ФБР расследовало кражу ковидных пособий. Агенты не стали ломать голову над брутфорсом ноутбуков подозреваемых, а просто запросили ключи у Microsoft. Это первый публично задокументированный случай в истории, когда ключи BitLocker слил сам разработчик. Теперь логи Telegram и WhatsApp, поднятые с расшифрованных дисков, лежат на столе судьи как прямые улики, доступа к которым без помощи корпорации не было бы.
И ладно бы только ФБР, проблема в том, что облака Майков ломают чаще, чем чинят. Если база ключей утечет к хакерам (а это вопрос времени), то миллионы "защищенных" дисков станут доступны любому хацкеру с украденным дампом.
Microsoft единственный гигант, который до сих пор хранит мастер-ключи у себя в открытом виде. Получается, что единственная реальная уязвимость в стойком криптоалгоритме BitLocker это сама компания-разработчик, которая держит дубликаты ключей у себя на серверах ради вашей "безопасности" 😬
Please open Telegram to view this post
VIEW IN TELEGRAM
Казахстан вводит уголовную ответственность за утечки данных ⚰️
В Казахстане решили, что одними штрафами кибербезопасность не построишь, и достали кнут потяжелее. Министерство ИИ и цифрового развития предлагает ввести реальную уголовную ответственность за массовые утечки персональных данных. Максимальную планку наказания для бизнеса и госорганов хотят поднять с $17 000 до $42 500.
Причиной такого закручивания гаек стали эпичные провалы последних лет. Если утечка 2 миллионов клиентов МФО в 2024 году казалась крупной, то инцидент лета 2025 года стал настоящим цифровым апокалипсисом (тогда были скомпрометированы данные 16 миллионов человек, что составляет более 75% населения страны). На фоне этого президент Токаев предложил закрепить гарантии защиты личной информации прямо в Конституции, чтобы цифровизация государства не превращалась в проходной двор для мошенников.
Теперь Казахстан берет курс на жесткие стандарты, приближенные к европейским и азиатским практикам, где за дырявую безопасность можно лишиться свободы. Новые меры коснутся всех: от банков и телекома до государственных баз данных.
🥸 godnoTECH - Новости IT
В Казахстане решили, что одними штрафами кибербезопасность не построишь, и достали кнут потяжелее. Министерство ИИ и цифрового развития предлагает ввести реальную уголовную ответственность за массовые утечки персональных данных. Максимальную планку наказания для бизнеса и госорганов хотят поднять с $17 000 до $42 500.
Причиной такого закручивания гаек стали эпичные провалы последних лет. Если утечка 2 миллионов клиентов МФО в 2024 году казалась крупной, то инцидент лета 2025 года стал настоящим цифровым апокалипсисом (тогда были скомпрометированы данные 16 миллионов человек, что составляет более 75% населения страны). На фоне этого президент Токаев предложил закрепить гарантии защиты личной информации прямо в Конституции, чтобы цифровизация государства не превращалась в проходной двор для мошенников.
Теперь Казахстан берет курс на жесткие стандарты, приближенные к европейским и азиатским практикам, где за дырявую безопасность можно лишиться свободы. Новые меры коснутся всех: от банков и телекома до государственных баз данных.
Please open Telegram to view this post
VIEW IN TELEGRAM
❤9🌚4
В статьях NeurIPS нашли сотни выдуманных ссылок😃
На одной из главных ИИ-конференций мира обнаружили более 100 подтверждённых фейковых цитат в 51 работе. Нейросети выдумывали названия исследований, приписывали реальным ученым несуществующие работы и генерировали фейковые DOI. При этом данные статьи успешно прошли жесткий отбор и рецензирование, обойдя тысячи конкурентов.
Для описания этого феномена даже появился новый термин vibe citing (вайб-цитирование). LLM не выдумывает источники целиком, а комбинирует фрагменты реальных: авторов от одной статьи, название от другой, год от третьей. На первый взгляд нормальная ссылка, а при проверке несуществующая публикация. Эксперты связывают проблему с колоссальным ростом количества заявок (+220% с 2020 года). Система peer-review просто не справляется с цунами сгенерированного контента, и рецензенты физически не успевают проверять каждый источник.
🥸 godnoTECH - Новости IT
На одной из главных ИИ-конференций мира обнаружили более 100 подтверждённых фейковых цитат в 51 работе. Нейросети выдумывали названия исследований, приписывали реальным ученым несуществующие работы и генерировали фейковые DOI. При этом данные статьи успешно прошли жесткий отбор и рецензирование, обойдя тысячи конкурентов.
Для описания этого феномена даже появился новый термин vibe citing (вайб-цитирование). LLM не выдумывает источники целиком, а комбинирует фрагменты реальных: авторов от одной статьи, название от другой, год от третьей. На первый взгляд нормальная ссылка, а при проверке несуществующая публикация. Эксперты связывают проблему с колоссальным ростом количества заявок (+220% с 2020 года). Система peer-review просто не справляется с цунами сгенерированного контента, и рецензенты физически не успевают проверять каждый источник.
Please open Telegram to view this post
VIEW IN TELEGRAM
🌚5😁3
Forwarded from Типичный Сисадмин
Тут cлучилась классическая драма на стыке гигантов и вендоров. Cloudflare, особо никого не предупреждая, решил сменить удостоверяющий центр для своих DoH-эндпоинтов (
1.1.1.1). Они переехали с DigiCert на SSL.comКазалось бы, рутина, но есть нюанс. Выяснилось, что в дефолтном хранилище корневых сертификатов MikroTik RouterOS (начиная с версий 7.19 и выше) доверия к
SSL.com нет. Вообще. Как результат, у тысяч людей по всему миру DoH-соединения отвалились с ошибкой SSL: no trusted CA certificate found Теперь, чтобы оживить DoH на Микротах, нужно вручную скормить ему корневой сертификат.
Временно отключаем проверку серта и ставим резерв:
ip dns set verify-doh-cert=no servers=1.1.1.1
Тянем сертификат с сайта
SSL.com:/tool fetch url="https://ssl.com/repo/certs/SSLcomRootCertificationAuthorityECC.pem"
/certificate import file-name=SSLcomRootCertificationAuthorityECC.pem
Возвращаем всё как было, но уже с рабочим трастом:
ip dns set verify-doh-cert=yes servers=""
Типичный
Please open Telegram to view this post
VIEW IN TELEGRAM
😁14
ChatGPT держится на одном сервере PostgreSQL 💪
OpenAI наконец-то раскрыли архитектурную подноготную ChatGPT, и она разрывает шаблоны современной разработки. Сервис с 900 миллионами пользователей работает на одном мастере PostgreSQL, без шардирования.
Пока стартапы с сотней юзеров городят сложные распределенные системы, OpenAI просто подняли около 50 реплик для чтения и один царь-сервер для записи, который умудряется переваривать миллион запросов в секунду с минимальными задержками.
Чтобы мастер не лёг, инженерам приходится натурально выкручивать руки оптимизации: изменения схемы строго по таймеру (не успел за 5 секунд - откат), индексы создаются только в фоне, а любые блокирующие операции под строжайшим запретом. Чтение же просто размазывается по репликам, где критический трафик жестко отделен от тяжелого аналитического мусора, чтобы не тормозить ответы пользователям.
🥸 godnoTECH - Новости IT
OpenAI наконец-то раскрыли архитектурную подноготную ChatGPT, и она разрывает шаблоны современной разработки. Сервис с 900 миллионами пользователей работает на одном мастере PostgreSQL, без шардирования.
Пока стартапы с сотней юзеров городят сложные распределенные системы, OpenAI просто подняли около 50 реплик для чтения и один царь-сервер для записи, который умудряется переваривать миллион запросов в секунду с минимальными задержками.
Чтобы мастер не лёг, инженерам приходится натурально выкручивать руки оптимизации: изменения схемы строго по таймеру (не успел за 5 секунд - откат), индексы создаются только в фоне, а любые блокирующие операции под строжайшим запретом. Чтение же просто размазывается по репликам, где критический трафик жестко отделен от тяжелого аналитического мусора, чтобы не тормозить ответы пользователям.
Please open Telegram to view this post
VIEW IN TELEGRAM
В субботу у пользователей Gmail случился флешбэк в нулевые. Спам-фильтры корпорации внезапно прилегли отдохнуть. На форумах Google и Reddit появились сообщения о том, что сообщения промо-рассылки, которые годами тихо гнили во вкладке спам, хлынули прямиком в основной инбокс. Бонусом сверху прилетели баннеры "Будьте осторожны с этим сообщением", так Gmail честно признался, что не проверил письмо на спам и малварь.
Видимо у кого-то была хорошая пятница и он случайно дернул рубильник спама в субботу утром💥
🥸 godnoTECH - Новости IT
Видимо у кого-то была хорошая пятница и он случайно дернул рубильник спама в субботу утром
Please open Telegram to view this post
VIEW IN TELEGRAM
🌚10😁4❤1
Моддер пустил ледяную воду прямо через тепловые трубки видеокарты
Энтузиаст с говорящим ником TrashBench взял Asus Dual RTX 2060 и сделал с ней то, от чего инженеры Asus схватились бы за сердце. Он срезал болгаркой концы тепловых трубок кулера и подключил туда силиконовые шланги с водой. Зачем платить за кастомную СВО, если в кулере уже есть готовые каналы, по которым и так гоняется жидкость для фазового теплообмена🤑
В стоке карта грелась до 70°C на частоте 1935 МГц. После хирургического вмешательства и подключения обычной воды температура упала до 47°C. Но настоящий праздник начался, когда в систему полилась ледяная вода, GPU под полной нагрузкой показал 13°C и разогнался до 2025 МГц. Минус 57 градусов от штатного режима, просто добавь воды.
Конечно, практического смысла в этом ноль, ведь рядом с видеокартой нужно держать ведро со льдом и насос, а конденсат рано или поздно убьёт всю электронику. Но кого это волнует, когда можно написать в интернете "13 градусов под нагрузкой" и смотреть, как у людей отвисает челюсть😳
🥸 godnoTECH - Новости IT
Энтузиаст с говорящим ником TrashBench взял Asus Dual RTX 2060 и сделал с ней то, от чего инженеры Asus схватились бы за сердце. Он срезал болгаркой концы тепловых трубок кулера и подключил туда силиконовые шланги с водой. Зачем платить за кастомную СВО, если в кулере уже есть готовые каналы, по которым и так гоняется жидкость для фазового теплообмена
В стоке карта грелась до 70°C на частоте 1935 МГц. После хирургического вмешательства и подключения обычной воды температура упала до 47°C. Но настоящий праздник начался, когда в систему полилась ледяная вода, GPU под полной нагрузкой показал 13°C и разогнался до 2025 МГц. Минус 57 градусов от штатного режима, просто добавь воды.
Конечно, практического смысла в этом ноль, ведь рядом с видеокартой нужно держать ведро со льдом и насос, а конденсат рано или поздно убьёт всю электронику. Но кого это волнует, когда можно написать в интернете "13 градусов под нагрузкой" и смотреть, как у людей отвисает челюсть
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
👍9🌚5😁1
Как Дженсен Хуанг сжег миллиард на подарок родителям 😳
На экономическом форуме глава Nvidia Дженсен Хуанг поделился своей главной инвестиционной болью. В далеком 1999 году, сразу после IPO компании, он решил сделать широкий жест и купил родителям топовый Mercedes S-Class. Чтобы оплатить немецкий люкс (примерно $135 000 за версию с V12), ему пришлось обналичить часть акций. Тогда Nvidia оценивалась всего в 300 миллионов, и это казалось отличной сделкой.
Математика задним числом штука жестокая. С учетом всех сплитов (дроблений акций), тот пакет ценных бумаг сегодня превратился бы в 5,4 миллиона акций. По текущему курсу этот Мерседес обошелся семье Хуанга примерно в 1 миллиард долларов. Дженсен признался, что родители до сих пор хранят машину, но о сделке жалеют, ведь это делает их старенький S-Class технически самым дорогим автомобилем в мире.
Впрочем, для человека с состоянием в $123 миллиарда это просто забавный анекдот для вечеринки в Давосе. Мораль сей басни такова: если ваш ребёнок основал стартап - требуйте акции, а не подарки🤡
🥸 godnoTECH - Новости IT
На экономическом форуме глава Nvidia Дженсен Хуанг поделился своей главной инвестиционной болью. В далеком 1999 году, сразу после IPO компании, он решил сделать широкий жест и купил родителям топовый Mercedes S-Class. Чтобы оплатить немецкий люкс (примерно $135 000 за версию с V12), ему пришлось обналичить часть акций. Тогда Nvidia оценивалась всего в 300 миллионов, и это казалось отличной сделкой.
Математика задним числом штука жестокая. С учетом всех сплитов (дроблений акций), тот пакет ценных бумаг сегодня превратился бы в 5,4 миллиона акций. По текущему курсу этот Мерседес обошелся семье Хуанга примерно в 1 миллиард долларов. Дженсен признался, что родители до сих пор хранят машину, но о сделке жалеют, ведь это делает их старенький S-Class технически самым дорогим автомобилем в мире.
Впрочем, для человека с состоянием в $123 миллиарда это просто забавный анекдот для вечеринки в Давосе. Мораль сей басни такова: если ваш ребёнок основал стартап - требуйте акции, а не подарки
Please open Telegram to view this post
VIEW IN TELEGRAM
🌚15❤3😁3👍2
Microsoft выкатила санитарный апдейт для Windows Terminal 🐶
Разработчики наконец-то заглянули под ковер, ужаснулись количеству заметеного туда мусора и решили немного прибраться перед релизом версии 1.25.
Кнопки заголовка окна теперь научились тускнеть, когда окно не в фокусе. Технологии отрисовки интерфейса в Редмонде наконец-то достигли уровня Windows Vista. Потребовалось всего несколько лет, чтобы понять, что активное и неактивное окно должны визуально отличаться.
Попутно из дистрибутива молча выпилили TerminalAzBridge. Судя по всему, это был какой-то рудимент или забытый эксперимент, который просто занимал место на диске. Знаете это чувство, когда удаляешь папку "Новая папка (2)" с рабочего стола? Вот инженеры MS испытали то же самое.
Но есть и реально полезные фиксы для тех, кто использует Терминал не только для
Во-первых, починили баг с зависанием при вставке огромных кусков текста. Раньше, если у вас было включено предупреждение, терминал мог уйти в глубокую кому. Теперь он должен переваривать буфер обмена без истерик.
Во-вторых, залатали кучу дыр с многопоточностью и use-after-free ошибками. Переводя на человеческий: программа станет реже падать с таинственными ошибками просто потому, что вы слишком быстро кликали или скрипт выплюнул слишком много логов.
Отдельный приз зрительских симпатий уходит за фикс DLL. Портативная версия больше не крашится, если у вас в системном
Обновляется само через Microsoft Store. Или можете сходить на GitHub, если вы из тех людей, которые принципиально качают всё вручную.
🥸 godnoTECH - Новости IT
Разработчики наконец-то заглянули под ковер, ужаснулись количеству заметеного туда мусора и решили немного прибраться перед релизом версии 1.25.
Кнопки заголовка окна теперь научились тускнеть, когда окно не в фокусе. Технологии отрисовки интерфейса в Редмонде наконец-то достигли уровня Windows Vista. Потребовалось всего несколько лет, чтобы понять, что активное и неактивное окно должны визуально отличаться.
Попутно из дистрибутива молча выпилили TerminalAzBridge. Судя по всему, это был какой-то рудимент или забытый эксперимент, который просто занимал место на диске. Знаете это чувство, когда удаляешь папку "Новая папка (2)" с рабочего стола? Вот инженеры MS испытали то же самое.
Но есть и реально полезные фиксы для тех, кто использует Терминал не только для
ping google.com.Во-первых, починили баг с зависанием при вставке огромных кусков текста. Раньше, если у вас было включено предупреждение, терминал мог уйти в глубокую кому. Теперь он должен переваривать буфер обмена без истерик.
Во-вторых, залатали кучу дыр с многопоточностью и use-after-free ошибками. Переводя на человеческий: программа станет реже падать с таинственными ошибками просто потому, что вы слишком быстро кликали или скрипт выплюнул слишком много логов.
Отдельный приз зрительских симпатий уходит за фикс DLL. Портативная версия больше не крашится, если у вас в системном
%PATH% валяется какая-то левая, бесхозная копия Microsoft.UI.Xaml.dllОбновляется само через Microsoft Store. Или можете сходить на GitHub, если вы из тех людей, которые принципиально качают всё вручную.
Please open Telegram to view this post
VIEW IN TELEGRAM
❤4
Британия объявила войну школьникам с VPN 🧑⚖️
Палата лордов приняла поправки, запрещающие несовершеннолетним использовать VPN. До этого они приняли закон об обязательной проверке возраста на сайтах 18+, потом обнаружили, что подростки обходят это через VPN, и теперь решили запретить сам инструмент обхода. Заодно и запретили соцсети для лиц до 16 лет.
Технически реализация выглядит туманно. Провайдеры должны будут как-то определять возраст пользователя перед подключением к VPN-серверу. У правительства есть 12 месяцев на разработку правил после принятия закона.
Политики пытаются лечить социальные проблемы технологическими костылями, но по факту лишь растят поколение юных хакеров.
🥸 godnoTECH - Новости IT
Палата лордов приняла поправки, запрещающие несовершеннолетним использовать VPN. До этого они приняли закон об обязательной проверке возраста на сайтах 18+, потом обнаружили, что подростки обходят это через VPN, и теперь решили запретить сам инструмент обхода. Заодно и запретили соцсети для лиц до 16 лет.
Технически реализация выглядит туманно. Провайдеры должны будут как-то определять возраст пользователя перед подключением к VPN-серверу. У правительства есть 12 месяцев на разработку правил после принятия закона.
Политики пытаются лечить социальные проблемы технологическими костылями, но по факту лишь растят поколение юных хакеров.
Please open Telegram to view this post
VIEW IN TELEGRAM
😁16