Чем больше я работаю с агентными системами, тем отчётливее понимаю, что пытаться применять к ним классические AppSec-подходы - брехня. Агент - это не очередной микросервис и не "LLM с ручками". Это автономный субъект, который принимает решения, меняет состояние, мутирует память и вызывает инструменты, иногда с правами, которые человек бы не получил (все помним истории с удаление БД)
И вот, OWASP наконец-то оформил это в +- нормальный документ - Agentic Top 10. Не маркетинговую брошюру, не "памятку про промпт-инъекции", а живую таксономию реальных угроз. И да, документ пока сырой, но - впервые за долгое время - честный
Если у вас есть продовый агент, будь то ассистент разработчика, внутренняя автоматизация или пет-проект, вы уже сталкивались с тем, что:
OWASP наконец-то нам говорит:
проблема не в LLM - проблема в автономии, состоянии и цепочках действий
Когда я строил всё эту ai лабуду, я видел это каждый день. И да, это было одной из причин, что вдохновило меня завести своё радио - как антистресс от всех этих архитектурных перекосов. Иногда спасает больше, чем кофе
Этот документ - наконец-то база, которую можно положить:
Он закрывает ту самую дыру, которую мы ощущали, но не могли формализовать агенты - это не продукт, не библиотека и не API. Это новый класс систем, который ломается по-другому.
Please open Telegram to view this post
VIEW IN TELEGRAM
OWASP Gen AI Security Project
OWASP Top 10 for Agentic Applications for 2026
The OWASP Top 10 for Agentic Applications 2026 is a globally peer-reviewed framework that identifies the most critical security risks facing autonomous and agentic AI systems. Developed through extensive collaboration with more than 100 industry experts,…
🔥9❤1
Разговоры о важном
Ну, наверное, это самое долгое преодоление круглой отметки на канале. В частности, это из-за меня, но а кто спрашивает или обвиняет меня в чём-то? Мне даже не хотелось писать лонгрид, т.к. его чтение будет вызывать либо скуку, либо понимание, что у меня какой-то вид затянувшейся депрессии. Но раз я снова расчехляю перо не по технической теме, то пора высказываться про что-то такое, что всех тронет (не по голове)
Поговорим про успех, синдром самозванца и то, как всех бесят успешные успехи и как не стать говорящей головой
Хм, давайте с вами начнём путешествие в начало этого канала - 2023 год. За спиной ничего, идея сделать что-то прикольное и "не как у всех". 2 года и 3000 человек (100 человек и 2900 ботов) - вроде успех, но чувство незаслуженности или несправедливости с каждой из сторон. У вас - "что за фигня, видел, знаю, опять ллм…", от меня - "и нафига я это делал, опять 30 часов впустую, лучше б блечил…". И вроде это базовая ситуация, которая знакома каждому из админ-каналов, но всё ещё неприятно. Может, я был большего мнения о своих писательских способностях, о своих знаниях или интересах, может, нужно было вообще завести канал о музыке… Вот такое меня преследует каждый раз, возвращаясь к написанию поста в канал. Я вас всех ценю, но руки опускаются делать контент, который не будет принят/понят/обсуждён аудиторией уже, повторюсь, в три тысячи человек. Да, проблема во мне, как принято говорить парням, которые нравятся как друзья, и решать её тоже мне. Буду решать тем, что мне нравится, и так, чтобы нравилось мне: побуду эту 1000 человек эгоистом, который делает контент для себя
А с чего начать - наверное, с чего-то нового: музыка, коллекции и чуть меньше технического материала, который и так читают. Разве вам не понравится иногда отвлекаться от нудной работы, дедлайнов, задач на квартал и подобной шушеры, которой мы себя окружили, чтобы не чувствовать себя бездарями, которые тыкают по клавиатуре, изображая гениев индустрии? Материал останется на канале, как и мемы - куда же без них в этом сером мире, где никто не смеётся со слова "фуфырник". Но он будет разбавлен авторскими постами, рассказами об обыденности и проблемах, о которых не принято говорить синьорами-помидорами и подобными специалистами
Так что теперь абзац про поговорить о таком. А что будет первой темой… Собесы?! Дааа, давайте про них. Особенно про то, как чатгпт собесит "чатгпт, невидимый для собеседующего". Ну да, все собесы, не записанные ради чего-то, - это соревнование по типу "Что? Где? Когда?" ради удобного места под солнышком и зп побольше. Это уже не интересный разговор об интересных победах или сражениях, а обычное описание похода в бордель с мамзелями из низшего общества. Искусственный интеллект составляет вопросы, а потом в другом диалоге отвечает на них - дожили)))
И вроде окей, да, рыночек порешал, но я стал за собой замечать, что забываю базу. Может, я, конечно, глуп и стар (относительно массы современной ибешечки), но это массовость, от которой становится страшно. Почему люди боятся прямо на собесе сказать: "Я не помню" или "я в душе не чаю"? Вместо быстрого тыканья по клавишам я лучше бы услышал фразу и задал немного другой вопрос, чтобы привести человека к ответу, но сталкиваюсь с определением или ответом от нейронки. Спасибо, насобесился такого. Ну и обратная тема, со стороны собеседуемого: "а чего вас тут 5 человек?". Бывало же, что вас собесят не 1–2 человека, а будто весь отдел пришёл посмотреть на попаданца? У меня - да, впечатления не очень: я и так человек достаточно закрытый, но это уже перебор. А ситуация, когда начинают спрашивать аппсека про внутрянку винды, что меня приводит в смех. Знаешь, как вытащить ключи, кукисы и т.п. - собесь пентестеров, чего ты тут со мной забыл. Простите, но будет грустно видеть, что за система сейчас развивается. Главная задача со стороны кандидата - наебать HR, а там "прорвёмся", задача собеседующего - найти человека-оркестра, чтоб и жнец, и дудец, и певец, и чтоб не блечил в свободное время
Отмена засеров: 4000 символов - предел, спасибо за 3000, увидимся совсем скоро🐾
Ну, наверное, это самое долгое преодоление круглой отметки на канале. В частности, это из-за меня, но а кто спрашивает или обвиняет меня в чём-то? Мне даже не хотелось писать лонгрид, т.к. его чтение будет вызывать либо скуку, либо понимание, что у меня какой-то вид затянувшейся депрессии. Но раз я снова расчехляю перо не по технической теме, то пора высказываться про что-то такое, что всех тронет (не по голове)
Поговорим про успех, синдром самозванца и то, как всех бесят успешные успехи и как не стать говорящей головой
Хм, давайте с вами начнём путешествие в начало этого канала - 2023 год. За спиной ничего, идея сделать что-то прикольное и "не как у всех". 2 года и 3000 человек (100 человек и 2900 ботов) - вроде успех, но чувство незаслуженности или несправедливости с каждой из сторон. У вас - "что за фигня, видел, знаю, опять ллм…", от меня - "и нафига я это делал, опять 30 часов впустую, лучше б блечил…". И вроде это базовая ситуация, которая знакома каждому из админ-каналов, но всё ещё неприятно. Может, я был большего мнения о своих писательских способностях, о своих знаниях или интересах, может, нужно было вообще завести канал о музыке… Вот такое меня преследует каждый раз, возвращаясь к написанию поста в канал. Я вас всех ценю, но руки опускаются делать контент, который не будет принят/понят/обсуждён аудиторией уже, повторюсь, в три тысячи человек. Да, проблема во мне, как принято говорить парням, которые нравятся как друзья, и решать её тоже мне. Буду решать тем, что мне нравится, и так, чтобы нравилось мне: побуду эту 1000 человек эгоистом, который делает контент для себя
А с чего начать - наверное, с чего-то нового: музыка, коллекции и чуть меньше технического материала, который и так читают. Разве вам не понравится иногда отвлекаться от нудной работы, дедлайнов, задач на квартал и подобной шушеры, которой мы себя окружили, чтобы не чувствовать себя бездарями, которые тыкают по клавиатуре, изображая гениев индустрии? Материал останется на канале, как и мемы - куда же без них в этом сером мире, где никто не смеётся со слова "фуфырник". Но он будет разбавлен авторскими постами, рассказами об обыденности и проблемах, о которых не принято говорить синьорами-помидорами и подобными специалистами
Так что теперь абзац про поговорить о таком. А что будет первой темой… Собесы?! Дааа, давайте про них. Особенно про то, как чатгпт собесит "чатгпт, невидимый для собеседующего". Ну да, все собесы, не записанные ради чего-то, - это соревнование по типу "Что? Где? Когда?" ради удобного места под солнышком и зп побольше. Это уже не интересный разговор об интересных победах или сражениях, а обычное описание похода в бордель с мамзелями из низшего общества. Искусственный интеллект составляет вопросы, а потом в другом диалоге отвечает на них - дожили)))
И вроде окей, да, рыночек порешал, но я стал за собой замечать, что забываю базу. Может, я, конечно, глуп и стар (относительно массы современной ибешечки), но это массовость, от которой становится страшно. Почему люди боятся прямо на собесе сказать: "Я не помню" или "я в душе не чаю"? Вместо быстрого тыканья по клавишам я лучше бы услышал фразу и задал немного другой вопрос, чтобы привести человека к ответу, но сталкиваюсь с определением или ответом от нейронки. Спасибо, насобесился такого. Ну и обратная тема, со стороны собеседуемого: "а чего вас тут 5 человек?". Бывало же, что вас собесят не 1–2 человека, а будто весь отдел пришёл посмотреть на попаданца? У меня - да, впечатления не очень: я и так человек достаточно закрытый, но это уже перебор. А ситуация, когда начинают спрашивать аппсека про внутрянку винды, что меня приводит в смех. Знаешь, как вытащить ключи, кукисы и т.п. - собесь пентестеров, чего ты тут со мной забыл. Простите, но будет грустно видеть, что за система сейчас развивается. Главная задача со стороны кандидата - наебать HR, а там "прорвёмся", задача собеседующего - найти человека-оркестра, чтоб и жнец, и дудец, и певец, и чтоб не блечил в свободное время
Отмена засеров: 4000 символов - предел, спасибо за 3000, увидимся совсем скоро
Please open Telegram to view this post
VIEW IN TELEGRAM
39❤26🤔5🔥1😁1
Never Fade Away (SAMURAI Cover)
P.T. Adamczyk;Olga Jankowska
Думаю, это название поста идеально подойдет под ту самую рубрику, которая сможет вас расслабить и отодвинуть от рабочих задач в мир музыки, где не нужно много думать или принимать решения, как важные дяди в пиджаках
Я долго думал, что может подойти на роль первого произведения для разбора - такое, чтобы многие знали или хотя бы слышали, но почти никто не задумывался, про что оно на самом деле и откуда взялось. И вот - одно из золота, про которое оказалось неожиданно приятно копаться и читать
Never Fade Away - это песня, которая ощущается больше, чем объясняется. Формально она часть cyberpunk 2077, но по факту она существует отдельно от игры, сюжета и персонажей. Её можно вытащить из контекста - и она всё равно будет работать. Потому что это не саундтрек под сцену, а состояние любого из нас
Эта песня появилась задолго до релиза игры и изначально была частью лора Cyberpunk ещё времён настольных систем. В ней с самого начала не было надежды, не было героизма и не было победы. Было только ощущение, что тебя могут стереть - не убить, не сломать, а сделать так, будто тебя никогда не существовало, что может быть знакомо многим, кто пытается построить что-то своё
В этом и есть её замысел. Never Fade Away не про бунт, как может показаться на первый взгляд. Она про страх исчезновения и про желание оставить хоть какой-то след - шумный, грязный, неудобный, со слезами, но свой. Поэтому она звучит так грубо и неопрятно, а не красиво и вылизано, как привыкло большинство слушающих чарт
Акустическая версия, которую многие слышат ближе к финалу, делает с этой идеей что-то странное и очень точное. Она не смягчает песню - она лишает её последнего сопротивления. Там уже нет протеста, нет злости и напора. Остаётся только текст и усталость. Музыка как будто не хочет завершаться, зависает, не ставит точку. И это ощущение работает сильнее любого клифхэнгера или убийства ключевого персонажа
Never Fade Away цепляет именно потому, что не даёт утешения. Она не говорит, что всё будет хорошо, и не обещает, что тебя вспомнят. Она просто фиксирует одно чувство - "страх быть забытым и упрямое нежелание с этим смириться"
Иногда такие песни оказываются честнее любых диалогов и катсцен. Они не объясняют, а просто остаются рядом. И, кажется, именно поэтому Never Fade Away до сих пор звучит так, будто её написали не для игры, а для кого-то конкретного.
В самые тяжелые моменты своей жизни можно по разному её воспринимать, как это показано во всем киберпанке, но главное понять, что останется после тебя...
Извините за такой тяжелый словестно пост, но включив песню на повтор и перебирая роящиеся в голове мысли хотелось писать так, чтобы задавать тон данного произведения
Please open Telegram to view this post
VIEW IN TELEGRAM
5🔥10❤4🤔1
Есть иллюзия, что безопасность - это про код, который вы написали сами. На практике же большая часть вашего приложения - это чужой код, который вы просто регулярно тянете к себе в прод и надеетесь, что "там всё нормально". Зависимости стареют тихо. Без алертов. Без инцидентов. Пока в какой-то момент не выясняется, что библиотека, которую никто не трогал два года с говницой, тот же shai-hulud
И вот тут начинается классическая игра в пинг-понг:
- "А почему не обновляли?"
- "Потому что страшно было трогать"
Инструменты вроде Renovate решают не техническую, а организационную проблему - никто не хочет вручную заниматься зависимостями. Это скучно, долго и неблагодарно
Renovate берёт на себя ровно ту часть работы, которую люди постоянно откладывают:
Он ничего не "чинит сам". Он просто делает проблему видимой и повторяемой
Он:
Renovate особенно хорошо показывает реальное состояние проекта:
Если у вас нет автоматизированного процесса обновления зависимостей, значит у вас есть технический долг, уязвимости и доля везения, что вы быстро найдете проблемные пакеты при проблемах
Мне понравилась фраза одного из коллег "Renovate делает одну важную вещь - перестаёт позволять вам об этом не думать"
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥8❤4🤔1
Вот вы уже успели начитаться новогодних постов с других каналов, теперь, пришла и моя пора написать небольшой текстик
Новый год - это странная точка синхронизации. На минуту кажется, что мир можно остановить, подвести итоги и честно сказать: да, местами было тяжело, местами - очень тупо, местами - так, что хотелось выключить вообще всё и уйти влес оффлайн. Но мы почему-то остаёмся. Работаем. Держим ритм. Тащим всё на плечах. И в этом есть простая, но важная мысль: не "как-нибудь", а вместе. Даже если "вместе" - это вы, ваш кружок людей, ваша команда, ваши слушатели, ваша маленькая шизофрения 👀 ...
В уходящем году я в очередной раз убедился, что реальность не любит героизма (привет всем кризис-менеджерам безопасникам), она любит системность. Не красивые заявления, а повторяемые действия. И да - вокруг всё ещё хватает шума, тревоги, неопределённости и необходимости "держаться". Но если отбросить пафос, остаётся базовая вещь: у каждого из нас есть те, ради кого мы продолжаем, и те, кто продолжает рядом. Семья, близкие, друзья, коллеги, люди, которые читают, слушают и не требуют от тебя быть идеальным 24/7
Я хочу пожелать вам на следующий год не “счастья-здоровья” по шаблону, а более практичного: чтобы в жизни появились обновления без боли, без падений прода и без вечного "страшно трогать". Чтобы у вас были нормальные тесты - в голове и в делах. Чтобы важное становилось видимым, а не копилось в фоне до взрыва. Чтобы вы чаще выбирали не тревожную имитацию контроля, а реальные опоры: люди, привычки, смысл и маленькие проекты, которые вытягивают, когда всё остальное начинает лететь в3,14зду
А у меня - планов много. Моё радио продолжит жить и расширяться. Я готовлю несколько новых проектов, в том числе ASOC (Опенсорс и удобный). В следующем году я хочу делать больше того, что имеет значимость, и меньше того, что просто шумит
С Новым Годом🥳 . Пусть он будет не идеальным - а вашим. Спокойным там, где нужно, смелым там, где можно, и устойчивым там, где раньше было "на удачу"
Новый год - это странная точка синхронизации. На минуту кажется, что мир можно остановить, подвести итоги и честно сказать: да, местами было тяжело, местами - очень тупо, местами - так, что хотелось выключить вообще всё и уйти в
В уходящем году я в очередной раз убедился, что реальность не любит героизма (привет всем кризис-менеджерам безопасникам), она любит системность. Не красивые заявления, а повторяемые действия. И да - вокруг всё ещё хватает шума, тревоги, неопределённости и необходимости "держаться". Но если отбросить пафос, остаётся базовая вещь: у каждого из нас есть те, ради кого мы продолжаем, и те, кто продолжает рядом. Семья, близкие, друзья, коллеги, люди, которые читают, слушают и не требуют от тебя быть идеальным 24/7
Я хочу пожелать вам на следующий год не “счастья-здоровья” по шаблону, а более практичного: чтобы в жизни появились обновления без боли, без падений прода и без вечного "страшно трогать". Чтобы у вас были нормальные тесты - в голове и в делах. Чтобы важное становилось видимым, а не копилось в фоне до взрыва. Чтобы вы чаще выбирали не тревожную имитацию контроля, а реальные опоры: люди, привычки, смысл и маленькие проекты, которые вытягивают, когда всё остальное начинает лететь в
А у меня - планов много. Моё радио продолжит жить и расширяться. Я готовлю несколько новых проектов, в том числе ASOC (Опенсорс и удобный). В следующем году я хочу делать больше того, что имеет значимость, и меньше того, что просто шумит
С Новым Годом
Please open Telegram to view this post
VIEW IN TELEGRAM
13❤22🔥1
Ну вот и 2026 год. Даже не верится, что каналу уже более 2-х лет, а я помню как по телевизору крутили Эминема, Риану, Леди Гагу по mtv и по утрам мы слушали тот самый "зарубежный чарт". Да, даже я давно не смотрю телевизор, но про конец эпохи нужно рассказать всем, даже тем, кто не застал этого
Ну вот вчера пришёл конец целому пласту музыки, ну или того, что убило музыку в понимании 80-х. mtv - тот самый Music Television, который с 1981 года рассказывал миру, что такое музыка в движении, перестаёт быть тем, чем он был 44 года. Почти полвека
Никто не отменял YouTube, Spotify или TikTok, но никто и не думал, что именно телевизионный ритм станет символом эпохи. mtv был той линией, по которой впервые можно было увидеть Майкла Джексона и Nirvana, Laurie Anderson и Daft Punk, понять, какая песня в тренде, а какая войдёт в историю.
Грустно вспоминать, какие клипы крутились в эфире на заре, когда в начале 80-х Video Killed the Radio Star для многих стало не просто строкой, а отправной точкой нового способа потребления музыки. А теперь то, что когда-то определяло визуальную музыкальную культуру, просто отключается
Почему так?
Всё просто - люди перестали смотреть клипы по ТВ, ну и сам ТВ в принципе. Просмотр мигрировал в сети, где алгоритмы решают, что тебе смотреть, а не редакторы музыкального канала. Это часть технологического прогресса, но и часть культурного вымирания.
Прощание mtv - это не только конец одной из линий телевизионной истории, это конец ритуала, которым были музыкальные клипы для миллионов: просмотры под утро, общие открытия новых артистов, те самые "первые разы", когда ты впервые услышал песню и увидел её визуально.
Mtv теперь - это почти развлекательный канал с реалити-шоу. Музыка ушла, и с ней уходит часть коллективной памяти тех, кто рос под эти клипы, чарты и визуальные истории.
Какое видео стало последним на одном из последних музыкальных эфиров?
Например, в Великобритании - All the Small Things от Blink-182 и это, наверное, лучшее напоминание о том, какой она была - энергоёмкой, прямолинейной, искренней и немного дерзкой.
Mtv может остаться брендом, шоу могут жить где-то в сети, но того телевизионного ощущения, когда мир музыки начинался с MTV - больше нет. И это тоже конец эпохи, который стоило бы осознать
Please open Telegram to view this post
VIEW IN TELEGRAM
❤12🤔2🔥1
Over the Rainbow
Israel Kamakawiwo'Ole
Иногда, не от работы, не от новостей и даже не от усталости, а от шума. От постоянного внутреннего диалога, который не выключается. От мира, который всё время что-то требует. Для таких моментов есть песни, которые не спорят, не доказывают и не учат жить. Они просто существуют. И одна из них - Over the Rainbow в исполнении Israel Kamakawiwo'ole (сложно написать на русском)
Когда-то давно и даже не помню где, я услышал историю данной песни и не могу не поделиться ею с вами, поэтому, данный пост содержит ту редкую частичку души автора. Спасибо, что поддерживаете даже такие далёкие увлечения от ИБшной тематики
Версия Израэля появилась почти случайно. В одну из ночей, уже после закрытия студии, он позвонил звукорежиссёру и спросил, можно ли срочно записаться. Было около трёх утра. Через несколько минут он пришёл, сел, взял укулеле - и записал трек с первого дубля. Без правок, без наложений, без попыток "сделать красиво", как принято в индустрии. То, что мы слышим это практически живая запись одного человека в тишине
Израэль пел не про радугу и не про сказочную страну. Его версия Over the Rainbow - это песня про дом, которого нет. Про ощущение, что где-то должно быть место, где легче дышать, где не нужно соответствовать, бороться или доказывать. Для него это было особенно личным: гавайская культура, медленно стираемая массовым туризмом, здоровье, которое разрушалось с каждым годом, и жизнь, в которой тело всё чаще подводило дух
В его исполнении песня перестаёт быть детской мечтой. Она становится тихим признанием. Здесь нет надежды "когда-нибудь всё будет хорошо". Здесь есть мягкое принятие того, что хочется просто немного покоя. Поэтому укулеле звучит почти как дыхание, а голос - не как вокал, а как разговор с самим собой или со слушателем, который сидит рядом и слушает
После смерти Израэля его версия стала жить своей жизнью. Она звучала в фильмах, сериалах, на похоронах, свадьбах, прощаниях. Её использовали так часто, что она почти стала символом утраты, но в этом нет трагизма, скорее - честность перед этим человеком
Когда Израэль умер, весь Гонолулу вышел проститься с ним. Его прах развеяли в океане, и тысячи людей стояли молча. Очень немногие артисты удостаиваются такой чувственной тишины
Иногда такие песни нужны больше всего. Не чтобы вдохновлять, а чтобы позволить себе остановиться и побыть в покое со своими мыслями
#music
Please open Telegram to view this post
VIEW IN TELEGRAM
❤12
Давно слежу за одним проектом - DevSecOps Assessment Framework. И вот увидел сегодня что у них появился раздел по MlSec
Не буду говорить о компании, это не реклама
Разбора не будет, первый рабочий день, имейте совесть - зайдите и сами почитайте, но там отображены все нужные проверки, которые стоит провести, может быть только убрать DAST, заменив на процесс постоянного проведения пентестов с использованием средств автоматизации, тк dast-ы, даже захайпленный xbow
Релиз - ТЫК
Ну и напомню, что я делал доку по тому, как достичь по сути, критериев фреймворка - ТЫК
Всем хорошего первого дня, не болейте, не скучайте, слушайте радио (Теперь есть тг миниапп - @radion_blue_bot)
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥12❤4