Тестирование, какое бы оно там ни было (сесурити, нагрузочное или какое другое) это как раз то место, где я реально вижу полезное и безопасное применение различных АЙ-АЙ-ев 🌝

Уж на что замучен всякими проверками SQLite и то там AI оказался полезен при проверке
https://xn--r1a.website/tech_b0lt_Genona/4832

AI-модель Claude Opus 4.6 выявила более 500 ранее неизвестных уязвимостей
https://www.opennet.ru/opennews/art.shtml?num=64760

Компания Anthropic объявила о расширении в AI-модели Claude Opus 4.6 возможностей по поиску уязвимостей в коде и поделилась результатами эксперимента, в ходе которого выявлено более 500 ранее неизвестных (0-day) уязвимостей в последних версиях различных открытых проектов. Работа была сфокусирована на поиске уязвимостей, вызванных проблемами при работе с памятью, так как их наличие проще проверить. Всем выявленным уязвимостям присвоен высокий уровень опасности. Каждая уязвимость была вручную проверена и подтверждена сотрудниками Anthropic или привлечёнными внешними исследователями безопасности.

Для анализа уязвимостей были привлечены кодовые базы популярных открытых проектов, уже длительное время проходящие непрерывное fuzzing-тестирование в сервисе OSS-Fuzz. В отличие от fuzzing-тестирования...AI-модель пыталась анализировать код, учитывая прошлые исправления для выявления похожих неустранённых ошибок, выделяя проблемные шаблоны и логически выводя, какие входные данные могут нарушить ход выполнения.

Информация о выявленных в ходе эксперимента уязвимостях уже начала передаваться сопровождающим, с которыми ведётся совместная работа по принятию исправлений. Чтобы помочь сопровождающим в ходе проведённой проверки вручную были разработаны патчи для исправления выявленных проблем. В качестве примера приведены три уязвимости в GhostScript, OpenSC и CGIF, которые на момент публикации устранены сопровождающими.

Используемая для выявления проблем конфигурация не была похожа на традиционные системы автоматического поиска уязвимостей - модели Claude Opus 4.6 был предоставлен доступ к виртуальной машине, в которой помимо исследуемого кода были установлены типовые инструменты разработчиков и утилиты для отладки и анализа уязвимостей (в том числе утилиты для fuzzing-тестирования). Модели не давалась чёткая инструкция по использованию данных инструментов и не предоставлялись специальные сведения о методах поиска уязвимостей. Модели была лишь поставлена задача и предоставлена возможность самостоятельно рассуждать об оптимальном использовании доступных инструментов.

Поиске уязвимостей в GhostScript AI-модель вначале попыталась провести fuzzing-тестирование, но когда это не привело к результату переключилась к анализу кода. Анализ кода тоже не дал результата и тогда модель начала изучать историю изменений в git и в одном из коммитов заметила упоминание проверки границ буфера. Разобрав коммит модель определила, что исправление добавляло недостающую проверку границ буфера при обработке шрифтов.

Далее модель определила код, который был до исправления и попыталась найти в остальном коде похожие шаблоны использования проблемной функции, остающиеся неисправленными. В итоге в файле gdevpsfx.c был выявлен вызов функции gs_type1_blend без проверки корректности значений. В финале модель подобрала содержимое файла, обработка которого приводила к аварийному завершению из-за записи данных в область памяти вне выделенного буфера.

В CGIF AI-модель отталкивалась от того, что при распаковке GIF-файлов библиотека рассматривала, что размер сжатых данных всегда меньше распакованных. Поиск уязвимости был сосредоточен на определении условий, при которых сжатые алгоритмом LZW данные окажутся больше распакованных. Подобные условия были найдены и AI-модель смогла сформировать GIF-файл, обработка которого привела к переполнению буфера. В OpenSC проблема была выявлена после анализа использования в коде потенциально опасных функций strrchr и strcat.

Оригинал
Evaluating and mitigating the growing risk of LLM-discovered 0-days
https://red.anthropic.com/2026/zero-days/

https://xn--r1a.website/kadr_b0lt_Genona/2274

Центробанк создаст единую базу данных банковских карт россиян
https://www.rbc.ru/finances/09/02/2026/6989f2289a79472a61a32340

«Вы знаете, что это ограничение по картам. Здесь, мне кажется, нам удалось отработать с Центральным банком в первую очередь. <…> Мы вышли на оптимальное количество [банковских карт]. Более того, Центральный банк взял на себя обязательство в течение года подготовить базу единую по всей стране», — сказал он.

Лебедев отметил, что Банк России и Минцифры хорошо поработали над этим вопросом, и «все чувствительные моменты сняты». «Сегодняшняя конструкция отвечает и потребностям граждан, и задачам государства по регулированию в этой сфере», — добавил замминистра.

Подготовка единой базы владельцев банковских карт — часть второго пакета мер по борьбе с кибермошенничеством, который правительство внесло в Госдуму в декабре 2025 года

Это правильно, потому что эта база точно никуда не утечёт. Спасибо.

Discord: с марта все аккаунты в мире автоматически сделают «детскими», пока пользователи не подтвердят возраст
https://habr.com/ru/news/994528/

С начала марта 2026 года все аккаунты пользователей в мире автоматически сделают «детскими», пока их пользователи не подтвердят свой возраст. Без подтверждения нельзя заходить на сервера 18+, а если пользователь уже состоит в таких серверах, доступ к ним заблокируют. Личные сообщения для незнакомых пользователей также будут закрыты. Подтвердить свой возраст можно только паспортом и видеосканом лица, причём других способов получения доступа к информации 18+ не будет.

Без подтверждения возраста на платформе также нельзя будет смотреть большинство контента — он будет скрыт цензурой.

Что будет закрыто/ограничено на Discord для «детских» аккаунтов:

- фильтрация чувствительного контента: графические или «взрослые» материалы по умолчанию размываются, пока пользователь не подтвердит, что он взрослый;

- ограниченный доступ к возрастным чатам/сервером — доступ к серверам/командам, помеченным как для взрослых, возможен только после подтверждения возраста;

- личные сообщения в отдельный запрос‑ящик — сообщения от людей, которых вы не знаете, по умолчанию идут не в основной чат, а в отдельную папку;

- предупреждения при запросах дружбы — если кто‑то, кто вам не знаком, отправляет запрос, вы получите предупреждение;

- ограничения на «Stage» каналы — говорить в комнатах Stage могут пользователи, которые подтвердили, что они взрослые.

Оригинал
Discord Launches Teen-by-Default Settings Globally
https://discord.com/press-releases/discord-launches-teen-by-default-settings-globally

База паспортов и лиц точно никуда не утечёт.

Роскомнадзор начнет ограничение работы Telegram.

Власти приняли решение начать работу по замедлению работы мессенджера Telegram в России, рассказали РБК источник в индустрии информационных технологий и два источника в профильных ведомствах.

По словам двух источников, Роскомнадзор планирует начать принимать меры по частичному ограничению работы сервиса во вторник 10 февраля. Еще один источник РБК добавил, что меры по замедлению Telegram уже принимаются. РБК направил запрос в Роскомнадзор.

https://xn--r1a.website/rbc_news/142440

Спасибо

UPD: Пишут что Телеге самой по себе плохо.

В Госдуме опровергли слухи о замедлении Telegram Зампредседателя комитета по информационной политике Александр Ющенко в разговоре с ТВЦ заявил, что вопрос замедления мессенджера в Комитете Госдумы не обсуждался. Он добавил, что РКН может начать блокировку, если будут претензии по законодательной базе.

https://xn--r1a.website/bbbreaking/224501

Хорошо что всегда когда говорили, что не замедляют или не блокируют что-то, реально не замедляли и не блокировали.

Спасибо.

День сегодня такой

«Telegram взаимодействует с властями России „через губу“. Так дело не пойдёт».

Блокировка Telegram вызвана тем, что мессенджер «не полностью выполняет требования» РФ, считают в Госдуме.

Депутат Госдумы Андрей Свинцов заявил «Осторожно, новости», что Telegram не полностью выполняет требования законодательства РФ, взаимодействует с РКН, но делает это «через губу», то есть «Telegram такой великий, а Россия такая в лаптях».

«Так дело не пойдёт. Если ТГ хочет присутствовать и зарабатывать в России миллиарды долларов, мы не против. Все возможности для этого есть. Но необходимо соблюдать российское законодательство», — заявил Свинцов.

По его словам, компания должна физически присутствовать в России, платить налоги, но «сейчас в бюджете не чувствуются эти деньги». «Если РКН принял решение отправить им очередной сигнал, то это так, я полностью поддерживаю. Надо мягко заставлять выполнять российское законодательство», — добавил Свинцов. Он отметил, что, по его личному мнению, техническая и юридическая дискуссия продлится ещё полгода — в течение этого времени будет решаться вопрос о полной блокировке мессенджера. Официальной информации пока нет.

https://xn--r1a.website/ostorozhno_novosti/45867

Спасибо

> В Max разрешили создавать свои каналы всем пользователям

> По случайному совпадению скорость скачивания в Телеге режется до ~150Кб, скорость аплоада до ~0Кб

> Акции МКПАО «ВК» подскочили на фоне известий об ограничении работы Telegram

> В ВК пользователи выражают благодарность РКН в комментариях - https://vk.com/wall-76229642_469593

Мощный день сегодня

Предыдущие части

https://xn--r1a.website/tech_b0lt_Genona/5954
https://xn--r1a.website/tech_b0lt_Genona/5965

Второй пакет антифрод-мер прошел в Госдуме первое чтение
https://www.interfax.ru/amp/1072013

Законопроект № 1110676-8 предусматривает введение единого реестра IMEI-номеров всех мобильных устройств, используемых в России.

"Цель нововведения в том, что каждый номер мобильного телефона можно будет привязать к уникальному идентификатору конкретного физического аппарата - его IMEI. После полного внедрения системы даже если мошенникам каким-то образом удастся оформить дубликат сим-карты на чужое имя, эта карта окажется бесполезной. Она просто не сможет работать в другом телефоне, так как сеть будет распознавать несоответствие между номером и "белым" IMEI из реестра", - пояснил председатель комитета Госдумы по информационной политике Сергей Боярский в своем телеграм-канале.

В Минцифры заявили, что создание базы IMEI-номеров не помешает покупке гаджетов за границей
https://www.interfax.ru/russia/1071812

"Если я поехал куда-то и приобрел для своего частного пользования телефон, то, я думаю, что не должно быть никаких мер в законодательстве, которые бы меня сильно в этом смысле ограничивали", - отметил замминистра.

По его словам, "если просмотреть международную практику, то там, где существует подтверждение через IMEI, вы видите, что мошенничества гораздо меньше, потому что понимаешь, чья сим-карта, с какими устройствами она связана".
...
"Бытовые ситуации, как разбил телефон и сим-карту надо вставить (в другой - ИФ) мы, конечно, будем отрабатывать. Мы не хотим усложнять жизнь добропорядочным гражданам. В разных жизненных сценариях - на рыбалке, (например) не знаю, разбил, уронил - можно и нужно иметь возможность вставить свою сим-карту в другой аппарат, чтобы она заработала. Может быть, для этого придется зайти на Госуслуги и совершить какую-то элементарную операцию или сделать звонок своему сотовому оператору. Мы эти сценарии обязательно отработаем", - сказал Боярский.

Эксперты оценили идею о борьбе с мошенниками с помощью базы IMEI
https://www.rbc.ru/technology_and_media/10/02/2026/698afddb9a7947030183db27

На вопрос о том, будет ли эта мера эффективной в борьбе с телефонными мошенниками, Царев ответил, что все зависит от того, какие устройства будут использовать мошенники и как быстро они адаптируются.
...
Предлагаемые российскими властями меры по борьбе с мошенничеством являются частью мировой тенденции, считает специалист по кибербезопасности Андрей Масалович. По его словам, инициативы Минцифры направлены на то, чтобы все звонки стали адресными. При этом Масалович отметил, что потребителям станет «чуть-чуть сложнее». «Но само назначение этих мер мне понятно. То есть направление выбрано правильно», — добавил он.

🔥 ACUSCAN beta (Вы видете это первыми)

Python имплементация - сканера веб-уязвимостей, который использует базу проверок извлеченных из Acunetix.

Никакой подписки. Никаких облаков. Только локальный запуск.

Что умеет прямо сейчас:
• краулит и сканирует
• фильтрует по severity (critical/high/medium)
• выводит в txt + красивый html с сортировкой
• rate-limit, proxy, concurrency...
• умеет сам вытаскивать и конвертировать базу из установленного Acunetix (linux-windows)

Установка за 30 секунд:
git clone https://github.com/neolead/acuscan
cd acuscan
pip3 install -r requirements.txt
python3 scanner.py -acuconvupdate security_251107103.bin
python3 scanner.py -upuz updatedbd_251107103.tgz

Первый тест одним движением:
python3 scanner.py -u http://testphp.vulnweb.com -ooh testphp.txt

Хочешь проверить на своих целях — клонируй и лети.

https://github.com/neolead/acuscan

Тестируйте, фидбэчьте!
#ACUSCAN by neolead | Обсудим в @poheque или пишите @neoleads

https://x.com/samkottler/status/2020883730315809268

https://codeberg.org/smnx/promethee

Спасибо подписчику

Discord дал заднюю, теперь вводимые правила не затронут большинство пользователей.

For the majority of adult users, we will be able to confirm your age group using information we already have. We use age prediction to determine, with high confidence, when a user is an adult. This allows many adults to access age-appropriate features without completing an explicit age check.

https://x.com/discord/status/2021295316469940606

Кто пропустил начало - https://xn--r1a.website/tech_b0lt_Genona/6138

Частично откатили. Download - ~1000Кб, аплоад - ~50-100Кб.

Терпим, карлики.

Docker предоставил бесплатный доступ к защищённым образам контейнеров
https://www.opennet.ru/opennews/art.shtml?num=64766

Компания Docker объявила о предоставлении бесплатного доступа к коллекции защищённых образов контейнеров DHI (Docker Hardened Images), насчитывающей более тысячи минималистичных сборок на базе Alpine и Debian c готовыми преднастроенными окружениями для запуска различных приложений, инструментариев, runtime и платформ. Образы распространяются под лицензией Apache 2.0 и сопровождаются силами Docker.

Использование DHI-образов упрощает работу по поддержанию безопасности инфраструктуры, так как за исправление уязвимостей в базовом содержимом образов и оперативную подготовку обновлений отвечают сотрудники Docker, а пользователям остаётся лишь заботится о безопасности своих приложений и дополнительно установленных зависимостей. Для защиты от атак через компрометацию зависимостей (Supply Chain), используемых в предоставляемых образах, содержимое образов собирается из исходного кода с использованием контролируемых пространств имён, проведением рецензирования и "периодом охлаждения" перед доставкой новых версий.

На Опёнке "сухо" написано, оригинальный пост более обширный

Hardened Images Are Free. Now What?
https://www.docker.com/blog/hardened-images-free-now-what/

Сами образы тут можно посмотреть
https://hub.docker.com/hardened-images/catalog

Опять подрезали

Download замирает на ~300Кб, аплоад прыгает ~30-50Кб

TIL
как превратить top в htop

сегодня мне один хороший человек рассказал как с помощью "всего 6 команд" превратить внешний вид топ'а в привычный htop'a:

shift+m отсортировать по потреблению памяти
c показывать полный путь до команд, а не их название
z включить красный цвет
t показать сверху загрузку проца
m показать сверху нагрузку памяти
1 поменять сверху панель с процами, как пресет

получается почти тоже самое. и почему сразу так сделать нельзя было...

Нормально так блокнот в Windows улучшили

Windows Notepad App Remote Code Execution Vulnerability
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-20841

Executive Summary

Improper neutralization of special elements used in a command ('command injection') in Windows Notepad App allows an unauthorized attacker to execute code over a network.

How could an attacker exploit this vulnerability?

An attacker could trick a user into clicking a malicious link inside a Markdown file opened in Notepad, causing the application to launch unverified protocols that load and execute remote files.

According to the CVSS metric, the attack vector is network (AV:N) and user interaction is required (UI:R). What is the target context of the remote code execution?

The malicious code would execute in the security context of the user who opened the Markdown file, giving the attacker the same permissions as that user.