После последней нашей публикации про «отечественную» микросхему Flash памяти GSN2516Y якобы разработанную в GS Group мы получили достаточно большой фидбэк от наших читателей. И один из них сказал, что может переслать нам счетчик электроэнергии в котором стоит эта микросхема.
. . .
Что же получается у нас в результате?

Даже если предположить, что все остальные требования 719 ПП РФ компанией Энергомера выполнены:

- Печатные платы сделаны в России (+ 12 баллов)

- Весь счетчик собран в России (+15 баллов)

- Все корпусные детали сделаны в России (+ 15 баллов)

- Реле нагрузки сделано в России (+ 5 баллов) (на самом деле с ним мы еще не разобрались, но любые сомнения в пользу подозреваемого)

- Измерительный шунт сделан в России (+ 5 баллов) (с ним мы тоже еще не разобрались, но любые сомнения в пользу подозреваемого)

- Датчик магнитного поля сделан в России (+ 3 балла) (мы пока его не нашли, возможно его и нет, но опять сомнения в пользу подозреваемого)

- Микросхемы питания (+ 5 баллов) (мы пока не нашли явно российских, возможно там и затесалась какая либо LDOшка от Микрона)

- Микросхема памяти от GSnano (+12 баллов) (при всех наших сомнениях и особых мнениях)

- Микросхема АЦП (0 баллов из 13)

- Центральный микроконтроллер (0 баллов из 28)

- Интерфейсные микросхемы (0 баллов из 12)

В итоге получается, что счетчик электроэнергии Энергомера СЕ207 R7 набирает максимум 72 балла, но никак не 113 или даже заявленные 117 баллов в реестре. Таким образом, под большим сомнением теперь статус отечественности на этот счетчик, и как следствие возникают вопросы к достоверности победившей заявки в тендере Татэнергосбыта на сумму 992 449 333,55 рублей. Татэнергосбыт хотел отечественные счетчики с максимальными баллами, а получил похоже перемаркированные китайские микросхемы.

Инструменты программирования с поддержкой искусственного интеллекта (ИИ) всё больше влияют на разработку программного обеспечения и приводят к проблеме в безопасности: генерации несуществующих имён пакетов. ИИ модели как коммерческие, так и открытые, иногда предлагают код с указанием пакетов, которых не существует. Согласно недавним исследованиям, это происходит в 5.2% случаев у коммерческих моделей и в 21.7% - у открытых моделей.

Обычно это приводит лишь к ошибке установки, но злоумышленники начали использовать эти "галлюцинации" в своих целях, размещая вредоносные пакеты под этими вымышленными именами в публичных репозиториях, таких как PyPI или NPM. Такая стратегия превращает галлюцинации ИИ в новый вектор атак на цепочки поставок ПО.

Постоянно повторяющиеся имена особенно привлекательны для атак. Эта стратегия, похожая на "тайпсквоттинг", была названа Сетом Майклом Ларсоном из Фонда Python "слопсквоттингом" - от слова slop (бесполезный выход ИИ).

Руководитель компании Socket Феросс Абухадиджех (Feross Aboukhadijeh) указывает на культурный сдвиг в сообществе разработчиков в сторону "вaйб-кодинга" (vibe coding) - когда ИИ подсказки копируются без проверки. Это поведение повышает риск установки вредоносных пакетов. Иногда разработчики даже не замечают, что пакет не существует - особенно если его имя уже занято злоумышленником. Такие вредоносные пакеты часто выглядят вполне убедительно: с фальшивыми документациями, поддельными репозиториями на GitHub и даже блогами, создающими видимость легитимности.

Ситуацию усугубляет тот факт, что ИИ-системы подтверждают галлюцинации друг друга. Например, Gemini от Google уже предлагал пользователям вредоносные пакеты, описывая их как надёжные и поддерживаемые — просто повторяя информацию из поддельного README. 

Отмечается случай с киберпреступником по имени "_Iain", который на форуме в даркнете делился методами создания ботнета на основе блокчейна, используя тысячи тайпсквоттинг-пакетов в NPM. С помощью ChatGPT он автоматически сгенерировал множество имён, похожие на реальные.