Давление французских силовых ведомств на GrapheneOS из-за отказа интегрировать бэкдор
https://www.opennet.ru/opennews/art.shtml?num=64317

Проект GrapheneOS, разрабатывающий альтернативную свободную прошивку на базе Android, нацеленную на усиление безопасности и обеспечение конфиденциальности, столкнулся с угрозой преследования со стороны правоохранительных органов Франции из-за невозможности анализа содержимого смартфонов арестованных преступников.

В опубликованном представителями GrapheneOS заявлении говорится о наличии угрозы изъятия серверов и ареста разработчиков французскими правоохранительными органами, если проект откажется сотрудничать и не добавит бэкдор. В связи с этим решено покинуть Францию, отказаться от услуг французского провайдера OVH и переместить серверы в другую страну. Серверы, обеспечивающие работу платформ Mastodon, Discourse и Matrix, будут перемещены в Канаду, а сайт переведён к немецкому провайдеру Netcup.

У проекта больше не будет разработчиков, работающих во Франции, или посещающих конференции во Франции. При этом, несмотря на попытки очернить проект, использование платформы GrapheneOS остаётся легальной во Франции и сервисы GrapheneOS останутся доступны для французских пользователей.

Правоохранительные органы не смогли извлечь информацию со смартфона, захваченного при обыске предполагаемого руководителя преступной группировки, так как на его устройстве использовалась прошивка на базе GrapheneOS с функцией сброса расшифрованных разделов с пользовательскими данными в исходное нерасшифрованное состояние, а также с возможностью установить деструктивный PIN-код, удаляющий данные.

Отмечается, что во французской прессе появилась серия публикаций, опирающихся на безосновательные заявления французских силовых ведомств, которые приравнивают общедоступный открытый проект к компаниям, продающим закрытые продукты на базе кода GrapheneOS. Статьи пытаются создать негативное представление о проекте GrapheneOS, как инструменте, содействующем совершению преступлений, а также упоминают возможность конфискации серверов и ареста разработчиков, в случае отказа от сотрудничества. Подобную возможность, в случае отказа от сотрудничества и выявления связей с преступными организациями, упомянула в интервью прокурор Иоганна Брусс (Johanna Brousse).

Представители GrapheneOS считают, что приписывать их проекту оказание помощи преступникам также нелепо, как считать соучастниками преступлений производителей ножей. Не обоснованы также упоминания того, что GrapheneOS занимается продажей и распространением систем для преступников в даркнете и на специализированных форумах. GrapheneOS не занимается коммерческой деятельностью по продаже смартфонов и даёт возможность загрузить прошивку всем желающим, заботящимся о своей конфиденциальности.

Кроме того, судя по описанию особенностей работы, в статьях под именем GrapheneOS преподносится не штатная сборка GrapheneOS, а сторонняя прошивка, созданная на базе кода проекта GrapheneOS. В частности, в материалах упоминаются такие возможности, отсутствующие в штатных прошивках GrapheneOS, как фиктивное приложение Snapchat для очистки устройства, инструменты для удалённого удаления данных и наличие встроенных средств для платной подписки.

https://grapheneos.social/@GrapheneOS/115583871867848840

Недавно узнал что в go можно эмбедить файлы прямо в бинарник. Это прям супер удобно, особенно для написания различных CLI-утилит, которые традиционно распространяются в формате: "скачай бинарник из запусти".

Раньше я использовал кодогенерацию, но в большинстве случаев можно обойтись без неё. Можно эмбедить Kubernetes-манифесты, Helm-чарты, так и вообще любую статику.

//go:embed позволяет на этапе сборки положить файлы прямо в бинарь. Go читает указанные пути, запаковывает содержимое в секцию данных, а в рантайме это выглядит как обычная переменная или embed.FS.

Дальше с этим можно работать так же, как с привычной файловой системой из пакета io/fs: открывать файлы, читать директории, перечислять содержимое. Фактически это виртуальный read-only FS, который живёт внутри бинарника и полностью повторяет структуру исходных путей.

Примеры:
- Довольно исчерпывающий пример от Go by example
- Мой пример в Talm, где я эмбежу ./charts в гошный пакет

ZeroNights 2025 прошёл прекрасно. Спасибо докладчикам и всем кто причастен к организации и проведению.

Давно я столько докладов не посещал. И, что важно, не в ущерб общению со старыми/новыми друзьями и знакомыми 🌝

Рад всех был видеть! ❤️

Завтра в 11 по МСК буду со своим коллегой, Стасом Проснековым, на вебинаре про ASOC вещать и интеграцию с Luntry.

Кому интересно на эту тему поговорить подключайтесь

https://webinar.luntry.ru/

Российская компания Neiry представила голубя-биодрона PJN-1
https://habr.com/ru/news/970278/

Самой новости пару дней уже, но я хотел посмотреть чего ещё было на конфе, а негде.

Сделали доклад на NeiryConf 2025

Страница конфы теперь 404
https://neiry.ru/neiryconf2025

Доклады не гуглятся, презы тоже

При этом на неё ведут ссылки с анонсов всяких
https://vc.ru/id15892/2357332-konferenciya-neiryconf-2025-bioroboty-i-neyrotehnologii

И я её не выдумал даже. Вот люди живые (я надеюсь) на фотках
https://xn--r1a.website/ftl_name/7854
https://xn--r1a.website/brainy_prof/207

Вдруг кто-то из подписчиков в теме. Есть чего посмотреть и почитать по итогам конфы или всех в лесах спрятали после хайпа с голубями? 🌝

Для полноты картины не хватает только, что бы и сам пост на Reddit был выдуман и написан ChatGPT. Таков timeline 🌝

tl;dr AI-генерённую парашу втюхали банку, после чего рансомварь всё поглотила и уничтожила

All prompt-generated. Zero understanding of the code. Shows it to a BANK. They like it. Tell her to move forward (she had a great business network btw). No idea what to do. Hires a team to "refactor". Quote: 300+ hours. Basically the cost of building a proper MVP from scratch.

But wait, it gets better.

The team she hired ALSO does vibe coding. They set up the server by asking ChatGPT. Result:

- SSH open to the world
- Root password: admin123 (or something similar)
- No firewall
- Nothing

Automated ransomware encrypted everything. Had to shut down, rotate all API keys (costing $$$), migrate everything.

The founder lost money on the hack, so much time, credibility with the client and trust in the process.

Here's the thing: Would you send a contract to a client without reading it, just because AI wrote it? Would you send an investor pitch without knowing what it says? Of course not. So why would you run your entire technical infrastructure on code you can't read?

AI amplifies what you already know. If you understand business, AI makes you better at business. If you know code, AI makes you code 10x faster. But if you know nothing about code and try to build a tech product with just prompts, you're not in control of your own company.

The new reality post-AI: You don't need 10 developers anymore. You need 1-3 people who REALLY know their domain, amplified by AI. That's more powerful than 20 people without AI.

That's what vibe coding in production is: unsupervised juniors all the way down.

[True Story] Non-technical founder tried to sell a 100% AI-generated MVP to a bank - I will not promote
https://www.reddit.com/r/startups/comments/1oex6aw/true_story_nontechnical_founder_tried_to_sell_a/

Проект Moss развивает Linux-совместимое ядро на языке Rust
https://www.opennet.ru/opennews/art.shtml?num=64342

Во-первых, непонятно почему они к Redox не подключились (объяснений я нигде не нашёл)
https://xn--r1a.website/tech_b0lt_Genona/4656

Во-вторых, непонятно зачем они зарелизили без сетевого стека
> Из существенных ограничений отмечается отсутствие сетевой подсистемы

После 8 месяцев разработки опубликован первый прототип Unix-подобного ядра Moss, частично совместимого с Linux. Код написан на языке Rust с ассемблерными вставками и распространяется под лицензией MIT. В настоящее время проект поддерживает только архитектуру Aarch64, может запускаться в QEMU и протестировано на платах Raspberry Pi 4, Jetson Nano, AMD Kria и imx8. По утверждению разработчиков ядро легко может быть портировано для других архитектур, таких x86_64 и RISC-V, благодаря прослойке для абстрагирования поддержки оборудования.

На данном этапе разработки в Moss реализован 51 системный вызов Linux и обеспечена бинарная совместимость с приложениями для Linux, достаточная для запуска командной оболочки Bash и большинства утилит из набора BusyBox. Из особенностей архитектуры Moss отмечается использование модели async/await для обеспечения асинхронного выполнения компонентов ядра, исключающей основные классы взаимных блокировок. В форме асинхронно выполняемых функций реализованы все нетривиальные системные вызовы.

Основные возможности:

- Система управления памятью с поддержкой страниц памяти в режиме CoW (Copy-on-Write), таблиц страниц памяти, асинхронных функций копирования памяти между ядром и пространством пользователя, обработки исключений (page fault) на стороне ядра и пространства пользователя.

- Система управления процессами с планировщиком задач и поддержкой миграции задач через IPI (inter-processor interrupt). Поддержка ответвления процессов через вызов clone(). Возможности для доставки сигналов процессам и потокам.

- Асинхронно работающий слой VFS (Virtual File System), блочное устройство Ramdisk, драйвер FAT32 и устройство devtmpfs.

- Вынос основной функциональности в библиотеку libkernel, не привязанную к аппаратным архитектурам.
HAL-прослойка (Hardware Abstraction Layer) для обеспечения поддержки оборудования.

- Тестовый набор, включающий более 230 тестов.

https://github.com/hexagonal-sun/moss-kernel

Дима Пономарёв (https://fobos-nt.ru/, @ispras) в свежем выпуске BIS Journal (https://ib-bank.ru/bisjournal/) навалил базы про разработку безопасного ПО в статье "Архитектурный анализ"

Статья у упором на ГОСТ и прочую регуляторику, поэтому кому эта тематика интересна и/или нужно работать с этим, то можете смело ознакомиться

Но пост не по этому поводу, а про то какая мысль у Димы в конце идёт

> Ещё один пример — возможность применения инструментов, подобных Luntry, для комплексного исследования защищённости контейнерных решений, предназначенных для выполнения под управлением оркестратора k8s. Несмотря на то что основным предназначением инструмента является обеспечение безопасности функционирующих в проде кластеров, он вполне и с успехом может применяться и для выявления различных «избыточностей» в соответствии с информационным письмом.

Ссылка на полистать статью (страница 43)
https://ib-bank.ru/rpbo_pdf/7

Это ровно то что я хотел донести в своём мастер-классе на ТБ-Форуме в начале этого года
https://xn--r1a.website/tech_b0lt_Genona/5033

Сейчас будет блок очевидного обо очевидном, мало связанный с предыдущей частью поста, но который я давно хотел написать, а слова Димы стриггерили меня 🌝

Если инструмент позиционирует себя каким-то образом под какие-то задачи, то это никак не мешает вам применять его для решения ваших задач для которых инструмент не позиционируется (ну или явно не агитирует таковым быть).

Конечно "дружелюбное камунити" вам расскажет, что так нельзя и не надо, начнёт учить жизни, но я никогда на это не вёлся и вам не советую. Я такое множество раз наблюдал на форумах и в чатах.

У меня много раз было так по работе (особенно в части R&D), что нужно было быстро что-то попробовать или какую-то проблему команды решить и я никогда не стеснялся взять то что мне подходит прямо сейчас, а со всякими "производительностями", удобством и т.д. я разбирался потом (если вообще потом это надо было).

Можно ли найти "более лучшее" решение для своих задач? Иногда оно есть, но когда вы что-то уже прикрутили и начали использовать, то начинаете получать обратную связь и, возможно, оно окажется с вами "навсегда", потому что будет удовлетворять потребностям вашим и команды.

Не надо заниматься преждевременной оптимизацией, так вижу.

Лет 8-9 назад мне нужно было помочь коллеге парсить, выдёргивать нужное и складировать всякое из документов EDGAR (https://www.sec.gov/submit-filings/about-edgar) и вот такого замечательного раздела не существовало https://www.sec.gov/submit-filings/filer-support-resources/how-do-i-guides

Зато был очень дорогой инструмент, который позволял нормально с такими файлами работать (название за давностью лет я не помню), и пара проектов на GitHub. Первый проект был на R, а второй на Haskell (у него была больше функциональность). Тот что на Haskell ломался на выборке, которая у меня была, а вот на R работал. И правильным путём было бы фиксануть инструмент на Haskell, он реально был лучше, но я пошёл другим путём.

Я на Tcl/Tk наваял обвязку вокруг проекта на R, так как в самом R я был не силён, и в таком виде он и существовал в работе.

Сейчас, конечно, уже появилось больше утилит и описаний, которые бы облегчили жизнь, но тогда было не так.

В этом смысле я всячески одобряю подход @anton_samokhvalov, который пилит свой дистрибутив Linux
https://xn--r1a.website/tech_b0lt_Genona/5003

Не собирается библиотека libgpg-error? Делаем sed

{% if freebsd %}
sed -e 's|linux-musl|freebsd|' -i configure
{% endif %}

https://xn--r1a.website/itpgchannel/3158

Проблемы с JIT при сборке? "Обманываем" сборку выставляя нужную версию Clang.
https://xn--r1a.website/itpgchannel/3489

Я не пропагандирую "говно и палки", но и ковыряться бесконечно в каком-то "ресёрче" в поиске лучшего/идеального решения тоже считаю плохим подходом.

#кейсы

Про instant карму

На днях надо было сравнить API разных LLM

ChatGPT — включил vpn, залогинился через гугл, закинул денег, получил токен, работает
DeepSeek — залогинился через гугл, закинул денег, получил токен, работает
Grok — включил vpn, залогинился через гугл, закинул денег, получил токен, работает
Groq (инференс провайдер, разные модели) — получил пробный токен, работает
GigaChat — 2 минуты бродил по документации, залогинился через sms, получил пробный токен (и еще 2 каких-то), работает (но не без приколов -- с переполучением токена каждые полчаса)
Qwen — залогинился через гугл, подтвердил телефон, ввел карту, бродил минут 15 — получил бесплатный млн токенов и api-ключ

YandexGPT — 2 часа читал документацию пытаясь понять как просто получить токен не заводя себе клауд. Оставил заявку.
На сл день (вчера) мне выслали ту же ссылку на документацию на почту и позвонили — попросил перезвонить через полчаса.
Через 2 часа звоню сам тому корп продажнику (КП) кто мне писал, происходит примерно такой диалог:

— Добрый день, Максим, подскажите пожалуйста как купить у вас API не покупая клауд?
— КП: читайте документацию, там все написано (без привета без ответа)
— Я бы хотел избежать покупки клауда, мне только токен от API и все
— КП: Вы не понимаете что Яндекс Cloud это платформа?
— А что такое платформа?
— КП: вы что не знаете? Платформа это клауд
— А клауд что такое? Я думал это облако — когда есть железо, которое можно арендовать и накатывать разные конфигурации и платить за использование
— КП: нет, клауд это сервис. Вам надо купить клауд, потом купить AI студию, потом API — читайте документацию, там все написано
— Мы всей командой читали весь вечер — там в контракте требуется Cloud_ID и много всяких штук, плюс не ясно как у вас устроен function calling — например, как вызвать search или web_search?
— КП: в документации все есть, я не буду вам разжевывать — дайте ее почитать тому кто у вас поумнее, разработчику например. Вам не API нужно, это для приложений, вам Алиса нужна.

Алиса:

В прошлом посте про голубей дронов я искал запись с конфы, ну или вообще хоть что-то
https://xn--r1a.website/tech_b0lt_Genona/5902

И вот подписчик, за что ему большое спасибо, принёс в комменты, что сегодня запись выложили

00:00 - Саша Панов, CEO & Founder Neiry: приветственное слово, общие результаты группы компаний;
07:08 - Никита Подлипский, CCO Neiry: новости кластера Mental;
26:21 - Вадим Сахаров, CEO Нейротех, CTO Neiry: новости кластера Medical Devices;
40:34 - Валерия Раевская, CEO Neiry Research: новости кластера Neuromarketing;
54:39 - Александр Бубенок, CPO Neiry (инвазивное направление), НейроРога: новости кластера Animal Farming;
1:02:46 - Анастасия Лисовцева, COO Neiry: новости кластера Neuro Clinic;
1:13:20 - Саша Панов, CEO & Founder Neiry: новости кластера Smart Animals (Biodrones) + демонстрация биодронов;
1:21:11 - Дмитрий Алексеев, CTO Нейротех, руководитель проекта ПУСИН Neiry: R&D, Engineering, Production;
1:34:16 - Василий Попков, к.б.н., руководитель лаборатории разработки инвазивных нейроинтерфейсов ИИИ МГУ: Neuroscience, R&D;
1:45:33 - Саша Панов, CEO & Founder Neiry: заключительное слово.

Neiry.Conf 2025: Биороботы и другие новинки нейротеха
https://www.youtube.com/watch?v=O0I6xhK2AFk

Макс Горшенин выдал отличную от массовой теорию

Я тож поверил в сказку про ИИ, но пообщавшись с российскими производителями они приоткрыли мне глаза: Китай - центр корпусирования микросхем в мире

И торговая война с США привела к сбою цепочек корпусирования + Китай таким способом (запретом на корпусирование памяти зарубежной, не китайской) тож умеет баловаться

Так что, либо Трамп вернёт всё взад-назад, либо Си включит заднюю

Но а пока этого не произошло - с памятью реально плохо

Единственный островок стабильности - Apple и их айфончики: компания заключает и выкупает ЭКБ на ДВА года вперед

Это сознательная политика Тима Кука, так что скриньте: айфончики купить сможем, а со всем остальным будет плохо

https://xn--r1a.website/imaxairu/18963

#prog #article #amazingopensource

zizmor — статический анализатор для Github Actions, рождённый из-за фрустрации автора, вызванной тем, насколько легко использовать Github Actions небезопасно. Инструмент намеренно нацелен на то, чтобы иметь высокий signal to noise ratio по умолчанию.

В статье Introducing zizmor: now you can have beautiful clean workflows автор рассказывает о том, что это за инструмент и мотивации для его создания, а также некоторые детали реализации (написан на Rust, BTW).

В более технической статье Fun with finite state transducers автор рассказывает о том, как снизил на порядок количество данных, включаемых в инструмент. Эти данные используются для идентификации того, в каких контекстах YAML-файлов, настраивающих Github Actions, включение внешних данных небезопасно.

Если вы сомневаетесь, насколько этот инструмент нужен, то в статье zizmor would have caught the Ultralytics workflow vulnerability автор рассказывает, как zizmor мог бы предотвратить инцидент, который привёл к публикации как минимум двух вредоносных версий Python-библиотеки для машинного обучения и, предположительно, к компроментации репозитория целиком.

Считаю эту новость абсолютно прекрасной. Есть шанс, что при таких раскладах Bun сможет составить конкуренцию NodeJS, да и глядишь Zig бустанётся.

JavaScript-платформа Bun перешла в руки компании Anthropic
https://www.opennet.ru/opennews/art.shtml?num=64366

Компания Anthropic, продвигающая семейство больших языковых моделей Claude, поглотила стартап, разрабатывающий открытую JavaScript-платформу Bun, преподносимую как высокопроизводитльный аналог платформ Node.js и Deno. Основной причиной поглощения упоминается желание обеспечить стабильное развитие платформы Bun, которая задействована в продуктах Claude Code и Claude Agent SDK. После завершения сделки проект останется открытым и публично развиваемым на GitHub, продолжит поставляться под лицензий MIT, будет сопровождаться и разрабатываться той же командой и сохранит свои приоритеты (ориентация на высокую производительность и совместимость с Node.js).

Проект Bun написан на языках Zig и С++, и развивается с оглядкой на обеспечение совместимости с серверными приложениями для Node.js и поддерживает большую часть API Node.js. В состав платформы входит набор инструментов для создания и выполнения приложений на языках JavaScript и TypeScript, а также runtime для выполнения JavaScript-приложений без браузера, пакетный менеджер (совместимый с NPM), инструментарий для выполнения тестов, система сборки самодостаточных пакетов и прослойка для встраивания обработчиков, написанных на языке Си. По производительности Bun заметно обгоняет Deno и Node.js (в тестах на базе фреймворка React платформа Bun в 2 раза опережает Deno и почти в 5 раз Node.js). Для выполнения JavaScript задействован JavaScript-движок JavaScriptCore и компоненты проекта WebKit с дополнительными патчами.

Оригинальные посты от самих компаний

Bun is joining Anthropic
https://bun.com/blog/bun-joins-anthropic

Anthropic acquires Bun as Claude Code reaches $1B milestone
https://www.anthropic.com/news/anthropic-acquires-bun-as-claude-code-reaches-usd1b-milestone

Помните в мае и октябре я писал, что MinIO конец (по крайней мере таким, каким мы его знали)?
https://xn--r1a.website/tech_b0lt_Genona/5342
https://xn--r1a.website/tech_b0lt_Genona/5806

Ну в общем так и получилось

https://github.com/minio/minio/commit/27742d469462e1561c776f88ca7a1f26816d69e2

via @itpgchannel

https://react.dev/blog/2025/12/03/critical-security-vulnerability-in-react-server-components
React UNAUTH RCE
CVSS 10
По патчу успел понять в чем проблема (PoC пока пишу)
Уже сейчас могу сказать что похоже действительно уязвимы прям стандартные версии
То есть разработчику не нужно даже написать стремный код / использовать конкретный модуль
Достаточно написать:

npx create-next-app

То есть имеем очень страшное RCE by default на миллионах сайтов
Реверсим патч и лутаем миллионы на багбаунти...