Разговоры о важном

Всем привет, я опять ненадолго пропал с постами и ресерчами. На это было достаточно много причин: и понимание, что делаю что-то бесполезное, и объём работы, и синдром самозванца (да, такое тоже бывает), и LLM уже всех конкретно заебал, хотя он действительно может упростить жизнь. Ну ладно, можно перестать ныть, ведь у меня сегодня мини-праздник - День Рождения🥳

Тут бы стоило поделиться ресерчами или чем-то интересным, но мне прям грустно вести канал, который нужен, кажется, только второму админу (где мемы, Лебовски?!)

Я хочу показать вам мою частичку души и отдушину от работы. То, что помогает мне сосредоточиться, отвлечься или просто хорошо провести время. Музыка. Да, именно музыка следует за мной всю мою сознательную жизнь и всегда сопровождает меня в любых ситуациях (возможно, не во всех, но вы меня поняли) И вот, давно было интернет-радио 44.wave, которое дарило мне эмоции, но по стечению обстоятельств было закрыто...

Поэтому я немного отойду от формата и представлю свой мааааленький пет-проект - интернет-радио. Да, радио, где нельзя переключать песни, которые не нравятся, где нет рекомендательных технологий и прочего ИИ-шлака (кроме UI, каюсь, навайбкодил херню, но это было моей мечтой, и вы не в праве судить меня!). Я придерживаюсь концепции, что практически каждая песня достойна внимания, какой херовой она бы ни была для большинства. Если бы не подобный подход, мы, может, никогда не услышали бы Tardigrade Inferno, Lead Horizon, Lida и подобные группы.


Ссылка на частичку моей души — ТЫК


Прочитать о проекте и стать частью — ТЫК


Да, в нём будут баги, проблемы, перезапуски, но я старался, наверно, как никогда за свои годики.


Проблемы, о которых я знаю:

🔵 Переключение качества вызывает проблемы (из-за особенностей Icecast и фронта)

🔵 FLAC не воспроизводится на мобильных с iOS (проблема с айфонами; узнаю, как решить проблему - решу)

🔵 FLAC урезается HTML5, так что пока только часть песен в данном формате

🔵 Долгая загрузка потока (китайские боты и отсутствие распределенных CDN вызывают проблемки)

🔵Некоторые песни не попадают в тематику плейлистов и время относительно (бывают задержки 2-6 минут перед переходом в некст тематику)


Мне правда приятно, что есть 300–400 человек, которые читают мои посты. Пожалуйста, пришлите в комментариях вашу любимую или самую запоминающуюся песню, или ту, которая вызывает больше всего эмоций - соберу для вас отдельный плейлист

В заключение хочется сказать вам спасибо, что читаете и поддерживаете ❤️

🧠 Агенты - это микросервисы на максималках, только без TLS и совести

Чем больше я работаю с агентными системами, тем отчётливее понимаю, что пытаться применять к ним классические AppSec-подходы - брехня. Агент - это не очередной микросервис и не "LLM с ручками". Это автономный субъект, который принимает решения, меняет состояние, мутирует память и вызывает инструменты, иногда с правами, которые человек бы не получил (все помним истории с удаление БД)

И вот, OWASP наконец-то оформил это в +- нормальный документ - Agentic Top 10. Не маркетинговую брошюру, не "памятку про промпт-инъекции", а живую таксономию реальных угроз. И да, документ пока сырой, но - впервые за долгое время - честный (ПОМИМО МОЕГО ДОКУМЕНТА)

👀 Почему этот стандарт вообще важен

Если у вас есть продовый агент, будь то ассистент разработчика, внутренняя автоматизация или пет-проект, вы уже сталкивались с тем, что:
🔵 агент "дрейфует" из-за случайной записи в память
🔵 инструменты живут своей жизнью
🔵 planner принимает решения, которых в требованиях нет
🔵 RAG превращается в новый источник атак
🔵 цепочки действий ломают IAM быстрее, чем обычные уязвимости

OWASP наконец-то нам говорит:

проблема не в LLM - проблема в автономии, состоянии и цепочках действий

Когда я строил всё эту ai лабуду, я видел это каждый день. И да, это было одной из причин, что вдохновило меня завести своё радио - как антистресс от всех этих архитектурных перекосов. Иногда спасает больше, чем кофе ☕️

💎 Главные положения Agentic Top 10

1️⃣ Агент - это автономный исполнитель со своим состоянием и правами, поэтому его нужно защищать как полноценный сервис, а не как чат-интерфейс

2️⃣ Основная угроза - Action Injection, когда атакуют не текст, а действия, добиваясь выполнения нежелательных операций от имени агента

3️⃣ У агента собственный supply chain, где инструменты, схемы и внешние источники становятся такими же точками компрометации, как зависимости backend

4️⃣ Коммуникация между агентами - новый канал атак, в котором подмена намерений и семантический spoofing возможны из-за отсутствия криптографической верификации

5️⃣ Intent Firewall обязателен, потому что агент может генерировать любые планы, но выполнять он должен только разрешённые политикой действия

6️⃣ Инструменты должны быть доверенными и ограниченными, иначе они превращаются в открытый вектор supply-chain-компрометации

7️⃣ Память агента должна быть управляемой - без аудита, версий и изоляции невозможно предотвратить дрейф состояния и отравление контекста

8️⃣ Kill Switch и rollback - обязательная функция, потому что агент без контролируемой остановки и отката неизбежно приводит к инцидентам уровня P1

❓ Чем это полезно лично мне и вам

Этот документ - наконец-то база, которую можно положить:
🟢 в архитектурное ревью новых ai-фич
🟢 в appsec-требования
🟢 в threat modeling
🟢 в MSP/MCP-дорожную карту
🟢 в обучение разработчиков

Он закрывает ту самую дыру, которую мы ощущали, но не могли формализовать агенты - это не продукт, не библиотека и не API. Это новый класс систем, который ломается по-другому.

Разговоры о важном

Ну, наверное, это самое долгое преодоление круглой отметки на канале. В частности, это из-за меня, но а кто спрашивает или обвиняет меня в чём-то? Мне даже не хотелось писать лонгрид, т.к. его чтение будет вызывать либо скуку, либо понимание, что у меня какой-то вид затянувшейся депрессии. Но раз я снова расчехляю перо не по технической теме, то пора высказываться про что-то такое, что всех тронет (не по голове)

Поговорим про успех, синдром самозванца и то, как всех бесят успешные успехи и как не стать говорящей головой

Хм, давайте с вами начнём путешествие в начало этого канала - 2023 год. За спиной ничего, идея сделать что-то прикольное и "не как у всех". 2 года и 3000 человек (100 человек и 2900 ботов) - вроде успех, но чувство незаслуженности или несправедливости с каждой из сторон. У вас - "что за фигня, видел, знаю, опять ллм…", от меня - "и нафига я это делал, опять 30 часов впустую, лучше б блечил…". И вроде это базовая ситуация, которая знакома каждому из админ-каналов, но всё ещё неприятно. Может, я был большего мнения о своих писательских способностях, о своих знаниях или интересах, может, нужно было вообще завести канал о музыке… Вот такое меня преследует каждый раз, возвращаясь к написанию поста в канал. Я вас всех ценю, но руки опускаются делать контент, который не будет принят/понят/обсуждён аудиторией уже, повторюсь, в три тысячи человек. Да, проблема во мне, как принято говорить парням, которые нравятся как друзья, и решать её тоже мне. Буду решать тем, что мне нравится, и так, чтобы нравилось мне: побуду эту 1000 человек эгоистом, который делает контент для себя

А с чего начать - наверное, с чего-то нового: музыка, коллекции и чуть меньше технического материала, который и так читают. Разве вам не понравится иногда отвлекаться от нудной работы, дедлайнов, задач на квартал и подобной шушеры, которой мы себя окружили, чтобы не чувствовать себя бездарями, которые тыкают по клавиатуре, изображая гениев индустрии? Материал останется на канале, как и мемы - куда же без них в этом сером мире, где никто не смеётся со слова "фуфырник". Но он будет разбавлен авторскими постами, рассказами об обыденности и проблемах, о которых не принято говорить синьорами-помидорами и подобными специалистами

Так что теперь абзац про поговорить о таком. А что будет первой темой… Собесы?! Дааа, давайте про них. Особенно про то, как чатгпт собесит "чатгпт, невидимый для собеседующего". Ну да, все собесы, не записанные ради чего-то, - это соревнование по типу "Что? Где? Когда?" ради удобного места под солнышком и зп побольше. Это уже не интересный разговор об интересных победах или сражениях, а обычное описание похода в бордель с мамзелями из низшего общества. Искусственный интеллект составляет вопросы, а потом в другом диалоге отвечает на них - дожили)))

И вроде окей, да, рыночек порешал, но я стал за собой замечать, что забываю базу. Может, я, конечно, глуп и стар (относительно массы современной ибешечки), но это массовость, от которой становится страшно. Почему люди боятся прямо на собесе сказать: "Я не помню" или "я в душе не чаю"? Вместо быстрого тыканья по клавишам я лучше бы услышал фразу и задал немного другой вопрос, чтобы привести человека к ответу, но сталкиваюсь с определением или ответом от нейронки. Спасибо, насобесился такого. Ну и обратная тема, со стороны собеседуемого: "а чего вас тут 5 человек?". Бывало же, что вас собесят не 1–2 человека, а будто весь отдел пришёл посмотреть на попаданца? У меня - да, впечатления не очень: я и так человек достаточно закрытый, но это уже перебор. А ситуация, когда начинают спрашивать аппсека про внутрянку винды, что меня приводит в смех. Знаешь, как вытащить ключи, кукисы и т.п. - собесь пентестеров, чего ты тут со мной забыл. Простите, но будет грустно видеть, что за система сейчас развивается. Главная задача со стороны кандидата - наебать HR, а там "прорвёмся", задача собеседующего - найти человека-оркестра, чтоб и жнец, и дудец, и певец, и чтоб не блечил в свободное время

Отмена засеров: 4000 символов - предел, спасибо за 3000, увидимся совсем скоро 🐾

🎸 Давай-те отвлечемся на музыку

Думаю, это название поста идеально подойдет под ту самую рубрику, которая сможет вас расслабить и отодвинуть от рабочих задач в мир музыки, где не нужно много думать или принимать решения, как важные дяди в пиджаках

Я долго думал, что может подойти на роль первого произведения для разбора - такое, чтобы многие знали или хотя бы слышали, но почти никто не задумывался, про что оно на самом деле и откуда взялось. И вот - одно из золота, про которое оказалось неожиданно приятно копаться и читать

Never Fade Away - это песня, которая ощущается больше, чем объясняется. Формально она часть cyberpunk 2077, но по факту она существует отдельно от игры, сюжета и персонажей. Её можно вытащить из контекста - и она всё равно будет работать. Потому что это не саундтрек под сцену, а состояние любого из нас

Эта песня появилась задолго до релиза игры и изначально была частью лора Cyberpunk ещё времён настольных систем. В ней с самого начала не было надежды, не было героизма и не было победы. Было только ощущение, что тебя могут стереть - не убить, не сломать, а сделать так, будто тебя никогда не существовало, что может быть знакомо многим, кто пытается построить что-то своё

В этом и есть её замысел. Never Fade Away не про бунт, как может показаться на первый взгляд. Она про страх исчезновения и про желание оставить хоть какой-то след - шумный, грязный, неудобный, со слезами, но свой. Поэтому она звучит так грубо и неопрятно, а не красиво и вылизано, как привыкло большинство слушающих чарт

Акустическая версия, которую многие слышат ближе к финалу, делает с этой идеей что-то странное и очень точное. Она не смягчает песню - она лишает её последнего сопротивления. Там уже нет протеста, нет злости и напора. Остаётся только текст и усталость. Музыка как будто не хочет завершаться, зависает, не ставит точку. И это ощущение работает сильнее любого клифхэнгера или убийства ключевого персонажа

Never Fade Away цепляет именно потому, что не даёт утешения. Она не говорит, что всё будет хорошо, и не обещает, что тебя вспомнят. Она просто фиксирует одно чувство - "страх быть забытым и упрямое нежелание с этим смириться"

Иногда такие песни оказываются честнее любых диалогов и катсцен. Они не объясняют, а просто остаются рядом. И, кажется, именно поэтому Never Fade Away до сих пор звучит так, будто её написали не для игры, а для кого-то конкретного.

В самые тяжелые моменты своей жизни можно по разному её воспринимать, как это показано во всем киберпанке, но главное понять, что останется после тебя...

Извините за такой тяжелый словестно пост, но включив песню на повтор и перебирая роящиеся в голове мысли хотелось писать так, чтобы задавать тон данного произведения

🔄 Никто не знает, зачем эта библиотека, но она в проде

Есть иллюзия, что безопасность - это про код, который вы написали сами. На практике же большая часть вашего приложения - это чужой код, который вы просто регулярно тянете к себе в прод и надеетесь, что "там всё нормально". Зависимости стареют тихо. Без алертов. Без инцидентов. Пока в какой-то момент не выясняется, что библиотека, которую никто не трогал два года с говницой, тот же shai-hulud

И вот тут начинается классическая игра в пинг-понг:

- "А почему не обновляли?"
- "Потому что страшно было трогать"

🧠 Что это за класс решений и зачем он вообще нужен

Инструменты вроде Renovate решают не техническую, а организационную проблему - никто не хочет вручную заниматься зависимостями. Это скучно, долго и неблагодарно

Renovate берёт на себя ровно ту часть работы, которую люди постоянно откладывают:
🔵 регулярно смотрит, что устарело
🔵 понимает, откуда это пришло и чем обновляется
🔵 и превращает апдейт в обычный pull request, а не в "героический подвиг раз в квартал"

Он ничего не "чинит сам". Он просто делает проблему видимой и повторяемой

⚙️ Почему Renovate - не очередной бот, а полезный инструмент

Он:
🔵 работает с кодом, контейнерами, CI, Helm, GitHub Actions - со всем тем, что обычно забывают обновлять
🔵 умеет группировать обновления, а не устраивать PR-DDoS
🔵 живёт по правилам, которые вы ему задали, а не "как получится"
🔵 не ломает процесс - он встраивается в него


🧩 Где он вскрывает реальные проблемы

Renovate особенно хорошо показывает реальное состояние проекта:
🔘 если нет тестов - pr-ы будут падать
🔘 если версии фиксировались "на удачу" - обновления будут больными
🔘 если никто не понимает, зачем та или иная либа - это быстро станет очевидно


💥 Выводсы

Если у вас нет автоматизированного процесса обновления зависимостей, значит у вас есть технический долг, уязвимости и доля везения, что вы быстро найдете проблемные пакеты при проблемах

Мне понравилась фраза одного из коллег "Renovate делает одну важную вещь - перестаёт позволять вам об этом не думать"