Три ИТ-события, которые вы могли пропустить (а зря)
Пока все гонятся за хайповыми новостями, мы вместе с коллегой Андреем Дмитриевым из JUG.ru собрали события, которые уже повлияли на мир разработки.
В пилотном выпуске нового подкаста:
— Хакеры стерли десятки тысяч ПК через Microsoft Intune
— Дефицит оперативной памяти до 2030 года
— Оптимизация glibc под x86_64
О других событиях вы можете узнать, послушав подкаст.
Особое внимание предлагаем уделить рефлексии. В выпуске мы подсветили, почему те или иные истории важны для ИТ-сообщества. А теперь призываем вас в комменты под видео: что уже вошло в вашу жизнь из этих кейсов? И как думаете, что из этого не производит резонанса?
Смотрите подкаст и присоединяйтесь к дискуссии: https://tprg.ru/S7jD
@your_tech (теперь ещё в VK и Max)
Пока все гонятся за хайповыми новостями, мы вместе с коллегой Андреем Дмитриевым из JUG.ru собрали события, которые уже повлияли на мир разработки.
В пилотном выпуске нового подкаста:
— Хакеры стерли десятки тысяч ПК через Microsoft Intune
— Дефицит оперативной памяти до 2030 года
— Оптимизация glibc под x86_64
О других событиях вы можете узнать, послушав подкаст.
Особое внимание предлагаем уделить рефлексии. В выпуске мы подсветили, почему те или иные истории важны для ИТ-сообщества. А теперь призываем вас в комменты под видео: что уже вошло в вашу жизнь из этих кейсов? И как думаете, что из этого не производит резонанса?
Смотрите подкаст и присоединяйтесь к дискуссии: https://tprg.ru/S7jD
@your_tech (теперь ещё в VK и Max)
👍2
Тренды разработки ПО в 2026 году
Разработчику сегодня приходится разбираться в ИИ, знать несколько ЯП, ориентироваться в 3-4 стеках.
На первый взгляд кажется, что все эти тренды появились буквально недавно. Но на самом деле, индустрия подталкивает к этому развитию уже не первый год.
Сейчас активно меняются архитектурные подходы, место безопасности в процессе разработки усиливается. Какие еще направления уже сейчас влияют на нашу работу и будут актуальны в ближайшем будущем — читайте в этом материале.
@your_tech (теперь ещё в VK и Max)
Разработчику сегодня приходится разбираться в ИИ, знать несколько ЯП, ориентироваться в 3-4 стеках.
На первый взгляд кажется, что все эти тренды появились буквально недавно. Но на самом деле, индустрия подталкивает к этому развитию уже не первый год.
Сейчас активно меняются архитектурные подходы, место безопасности в процессе разработки усиливается. Какие еще направления уже сейчас влияют на нашу работу и будут актуальны в ближайшем будущем — читайте в этом материале.
@your_tech (теперь ещё в VK и Max)
👍3
ХоТите ИИ-чат на iPhone, но без облака? Google выпустил официальное приложение
AI Edge Gallery вышел в App Store и запускает Gemma 4 прямо на устройстве. Ответы на вопросы, распознавание фото, расшифровка голоса — всё локально, данные никуда не уходят. Модель работает без интернета.
Gemma — открытые модели Google под Apache 2.0, построенные на тех же исследованиях, что и Gemini. Четвёртая версия вышла в четырёх размерах, но на iPhone реально работают только E2B и E4B. Остальные требуют серверных GPU за $30k — прогресс налицо.
Вместе с iOS-версией Google добавил Thinking Mode — модель показывает промежуточные шаги рассуждений, как будто объясняет решение задачи. И Agent Skills — модель сама решает, какой инструмент вызвать: Wikipedia, карты, summary. Локальный ИИ с tool use на телефоне — звучит как фантастика пятилетней давности.
@your_tech (теперь ещё в VK и Max)
AI Edge Gallery вышел в App Store и запускает Gemma 4 прямо на устройстве. Ответы на вопросы, распознавание фото, расшифровка голоса — всё локально, данные никуда не уходят. Модель работает без интернета.
Gemma — открытые модели Google под Apache 2.0, построенные на тех же исследованиях, что и Gemini. Четвёртая версия вышла в четырёх размерах, но на iPhone реально работают только E2B и E4B. Остальные требуют серверных GPU за $30k — прогресс налицо.
Вместе с iOS-версией Google добавил Thinking Mode — модель показывает промежуточные шаги рассуждений, как будто объясняет решение задачи. И Agent Skills — модель сама решает, какой инструмент вызвать: Wikipedia, карты, summary. Локальный ИИ с tool use на телефоне — звучит как фантастика пятилетней давности.
@your_tech (теперь ещё в VK и Max)
👍5👎1
Как решить задачу охраны промышленных объектов
Проинспектировать НПЗ с десятками корпусов или организовать охрану трубопровода на 400 км — задача не из простых.
Камеры не заглянут за угол. Дрон через 30–40 минут работы придется зарядать. Охранник — дорого, медленно, небезопасно.
Остаётся робособака. Они уже вышли за пределы мемных видео от Boston Dynamics, и сейчас активно используются в кейсах, вроде охраны.
Как они устроены технически — можете узнать в материале на нашем сайте. Внутри:
— как устроено ядро и почему к нему нет прямого доступа
— почему к лидару обязательно добавляют сонар и радар
— как работает рой в mesh-сети без GPS
— где робот ломается (метель, стройка, полиэтиленовая плёнка)
Спойлер: экосистема пока сырая, стандартов нет, собрать самому нельзя. Но альтернативы для сложного рельефа и помещений — нет.
@your_tech (теперь ещё в VK и Max)
Проинспектировать НПЗ с десятками корпусов или организовать охрану трубопровода на 400 км — задача не из простых.
Камеры не заглянут за угол. Дрон через 30–40 минут работы придется зарядать. Охранник — дорого, медленно, небезопасно.
Остаётся робособака. Они уже вышли за пределы мемных видео от Boston Dynamics, и сейчас активно используются в кейсах, вроде охраны.
Как они устроены технически — можете узнать в материале на нашем сайте. Внутри:
— как устроено ядро и почему к нему нет прямого доступа
— почему к лидару обязательно добавляют сонар и радар
— как работает рой в mesh-сети без GPS
— где робот ломается (метель, стройка, полиэтиленовая плёнка)
Спойлер: экосистема пока сырая, стандартов нет, собрать самому нельзя. Но альтернативы для сложного рельефа и помещений — нет.
@your_tech (теперь ещё в VK и Max)
❤3
Microsoft Defender превратили в инструмент атаки — два из трёх без патча
Анонимный исследователь под ником Nightmare-Eclipse слил в сеть три эксплойта для Windows: BlueHammer, RedSun и UnDefend. Все три бьют по Microsoft Defender — штатному антивирусу, который по умолчанию стоит на миллионах машин. Теперь именно он используется для повышения привилегий до SYSTEM. Защитник, ничего не скажешь.
BlueHammer закрыли апрельским Patch Tuesday 14-го. А вот RedSun и UnDefend уже применяются в живых атаках — с признаками ручного управления: оператор за клавиатурой, не автоматический скрипт. Патчей для них пока нет.
Если у вас Windows 10, 11 или Server 2019+ — установите апрельские обновления и включите Attack Surface Reduction прямо сейчас.
@your_tech (теперь ещё в VK и Max)
Анонимный исследователь под ником Nightmare-Eclipse слил в сеть три эксплойта для Windows: BlueHammer, RedSun и UnDefend. Все три бьют по Microsoft Defender — штатному антивирусу, который по умолчанию стоит на миллионах машин. Теперь именно он используется для повышения привилегий до SYSTEM. Защитник, ничего не скажешь.
BlueHammer закрыли апрельским Patch Tuesday 14-го. А вот RedSun и UnDefend уже применяются в живых атаках — с признаками ручного управления: оператор за клавиатурой, не автоматический скрипт. Патчей для них пока нет.
Если у вас Windows 10, 11 или Server 2019+ — установите апрельские обновления и включите Attack Surface Reduction прямо сейчас.
@your_tech (теперь ещё в VK и Max)
👍3😁3
600 признаков подделки: новая версия «Шерлок 3о» против дипфейков документов
Атаки стали дешёвыми, быстрыми и полностью автоматическими. Дипфейк паспорта сегодня стоит ровно столько, сколько подписка на генеративную модель.
Бороба с ними становится все изощреннее: семантические методы против современных генеративных моделей часто бессильны, приходится искать другие решения. Новый «Шерлок 3о» ищет низкоуровневые паттерны и статистические аномалии в микрофрагментах изображения.
Что умеет:
— находить коллажи и вставку отдельных символов
— анализировать голограммы, NFC-чип, метаданные
— сверять лица без биометрии
— сигнализировать при перекрытии данных на документе
Благодаря им за год использования удалось предотвратить больше 10 000 попыток взять заём по чужим паспортам. Делимся инфо.
@your_tech (теперь ещё в VK и Max)
Атаки стали дешёвыми, быстрыми и полностью автоматическими. Дипфейк паспорта сегодня стоит ровно столько, сколько подписка на генеративную модель.
Бороба с ними становится все изощреннее: семантические методы против современных генеративных моделей часто бессильны, приходится искать другие решения. Новый «Шерлок 3о» ищет низкоуровневые паттерны и статистические аномалии в микрофрагментах изображения.
Что умеет:
— находить коллажи и вставку отдельных символов
— анализировать голограммы, NFC-чип, метаданные
— сверять лица без биометрии
— сигнализировать при перекрытии данных на документе
Благодаря им за год использования удалось предотвратить больше 10 000 попыток взять заём по чужим паспортам. Делимся инфо.
@your_tech (теперь ещё в VK и Max)
🔥5❤1
Vercel слил env vars клиентов через ИИ-инструмент сотрудника
Если вы деплоите что-то на Vercel — проверьте переменные окружения прямо сейчас. 19 апреля платформа признала, что атакующий добрался до клиентских API-ключей, токенов и DB-credentials через скомпрометированный Context.ai — ИИ-инструмент, которым пользовался один из сотрудников.
Точка входа — OAuth-токен. Сотрудник установил Context.ai с доступом «Allow all» на Google Workspace: почта, диск, календарь — всё. Дальше — уже дело техники.
Утекли только незащищённые переменные: у Vercel есть чекбокс «Sensitive», при котором значение нельзя прочитать даже через API. Всё, что без него, лежало в открытом виде.
Vercel уведомил небольшую часть клиентов напрямую — но ротировать не-sensitive env vars стоит всем. И хорошо бы взять за правило не жать «Allow all» на OAuth-запросы от ИИ-инструментов. Удобная функция, ничего не скажешь.
@your_tech (теперь ещё в VK и Max)
Если вы деплоите что-то на Vercel — проверьте переменные окружения прямо сейчас. 19 апреля платформа признала, что атакующий добрался до клиентских API-ключей, токенов и DB-credentials через скомпрометированный Context.ai — ИИ-инструмент, которым пользовался один из сотрудников.
Точка входа — OAuth-токен. Сотрудник установил Context.ai с доступом «Allow all» на Google Workspace: почта, диск, календарь — всё. Дальше — уже дело техники.
Утекли только незащищённые переменные: у Vercel есть чекбокс «Sensitive», при котором значение нельзя прочитать даже через API. Всё, что без него, лежало в открытом виде.
Vercel уведомил небольшую часть клиентов напрямую — но ротировать не-sensitive env vars стоит всем. И хорошо бы взять за правило не жать «Allow all» на OAuth-запросы от ИИ-инструментов. Удобная функция, ничего не скажешь.
@your_tech (теперь ещё в VK и Max)
❤2
Moonshot выпустила Kimi K2.6 — открытая триллионная модель, которая кодит 13 часов без остановки
Если вы ждали агента, который не сорвётся через полчаса — Moonshot говорит, что дождались. Kimi K2.6 отработала в демо 12–13 часов: 4000+ вызовов инструментов в Zig-проекте и 1000+ при оптимизации биржевого движка. Прогоны собственные, не независимые — но с воспроизводимыми метриками пропускной способности.
Модель — MoE (на токен активируется лишь 32B из триллиона параметров), контекст 256K, мультимодальность через vision-энкодер MoonViT на 400M. На SWE-Bench Pro — 58,6%: выше GPT-5.4 (57,7%), Claude Opus 4.6 (53,4%) и Gemini 3.1 Pro (54,2%). Лицензия Modified MIT.
API Anthropic-совместим — переключается в Claude Code сменой base URL. Осталось дождаться независимого прогона — не того, что Moonshot сняла сама о себе.
Подробнее на Tproger
@your_tech (теперь ещё в VK и Max)
Если вы ждали агента, который не сорвётся через полчаса — Moonshot говорит, что дождались. Kimi K2.6 отработала в демо 12–13 часов: 4000+ вызовов инструментов в Zig-проекте и 1000+ при оптимизации биржевого движка. Прогоны собственные, не независимые — но с воспроизводимыми метриками пропускной способности.
Модель — MoE (на токен активируется лишь 32B из триллиона параметров), контекст 256K, мультимодальность через vision-энкодер MoonViT на 400M. На SWE-Bench Pro — 58,6%: выше GPT-5.4 (57,7%), Claude Opus 4.6 (53,4%) и Gemini 3.1 Pro (54,2%). Лицензия Modified MIT.
API Anthropic-совместим — переключается в Claude Code сменой base URL. Осталось дождаться независимого прогона — не того, что Moonshot сняла сама о себе.
Подробнее на Tproger
@your_tech (теперь ещё в VK и Max)
❤5👍3
Microsoft выпустила внеплановый патч .NET 10: поддельный cookie открывает путь к SYSTEM
В ASP.NET Core Data Protection нашли баг, который работал строго по плану. Managed-энкриптор честно вычислял HMAC-тег — но по неправильным байтам payload, а затем отбрасывал уже посчитанный хеш. Проверка целостности фактически ничего не проверяла.
Что это значит: атакующий без аутентификации мог подделать auth-cookie, antiforgery-токены, TempData, OIDC state и ссылки сброса пароля. На Windows-деплоях через скомпрометированную сессию часто открывается путь к правам SYSTEM. CVSS 9,1.
Кто под ударом: версии 10.0.0–10.0.6 пакета
Фикс — 10.0.7, вышел 21 апреля. Но одного обновления мало: токены, выпущенные за время работы уязвимой версии, остаются валидными. Без ротации DataProtection key ring вы закрываете будущее, но не прошлое.
Важно: флаг
В ASP.NET Core Data Protection нашли баг, который работал строго по плану. Managed-энкриптор честно вычислял HMAC-тег — но по неправильным байтам payload, а затем отбрасывал уже посчитанный хеш. Проверка целостности фактически ничего не проверяла.
Что это значит: атакующий без аутентификации мог подделать auth-cookie, antiforgery-токены, TempData, OIDC state и ссылки сброса пароля. На Windows-деплоях через скомпрометированную сессию часто открывается путь к правам SYSTEM. CVSS 9,1.
Кто под ударом: версии 10.0.0–10.0.6 пакета
Microsoft.AspNetCore.DataProtection. Особенно внимательно — Linux/macOS: там NuGet-копия подтягивается чаще, чем на Windows. На Windows уязвимости нет, только если приложение использует shared framework и не тянет NuGet-копию напрямую или транзитивно.Фикс — 10.0.7, вышел 21 апреля. Но одного обновления мало: токены, выпущенные за время работы уязвимой версии, остаются валидными. Без ротации DataProtection key ring вы закрываете будущее, но не прошлое.
Важно: флаг
--include-transitive при проверке зависимостей обязателен — пакет часто тянется транзитивно через Identity или Authentication.Cookies.🔥4❤1👍1
Bitwarden CLI в npm подменили на 90 минут — успели утащить SSH-ключи и токены
Кто-то получил доступ к npm-аккаунту Bitwarden и опубликовал фейковую версию @bitwarden/cli@2026.4.0. Она пролежала в реестре полтора часа — с 17:57 до 19:30 по Нью-Йорку — и всё это время делала одно: через preinstall-хук скачивала Bun, запускала обфусцированный загрузчик и тихо сливала на внешние серверы GitHub и npm-токены, SSH-ключи, .env-файлы, историю шелла, облачные креды и конфиги ИИ-ассистентов — Claude, Cursor, Codex CLI, Kiro и Aider.
Vault-пароли не тронули: взломали не сам менеджер, а npm-пакет его CLI. Supply chain в чистом виде.
Если ставили этот пакет с 00:57 до 02:30 МСК 23 апреля — ротируйте токены и ключи прямо сейчас. Bitwarden подтвердил инцидент: вредоносный релиз снят, доступ отозван, CVE заводится отдельно.
@your_tech (теперь ещё в VK и Max)
Кто-то получил доступ к npm-аккаунту Bitwarden и опубликовал фейковую версию @bitwarden/cli@2026.4.0. Она пролежала в реестре полтора часа — с 17:57 до 19:30 по Нью-Йорку — и всё это время делала одно: через preinstall-хук скачивала Bun, запускала обфусцированный загрузчик и тихо сливала на внешние серверы GitHub и npm-токены, SSH-ключи, .env-файлы, историю шелла, облачные креды и конфиги ИИ-ассистентов — Claude, Cursor, Codex CLI, Kiro и Aider.
Vault-пароли не тронули: взломали не сам менеджер, а npm-пакет его CLI. Supply chain в чистом виде.
Если ставили этот пакет с 00:57 до 02:30 МСК 23 апреля — ротируйте токены и ключи прямо сейчас. Bitwarden подтвердил инцидент: вредоносный релиз снят, доступ отозван, CVE заводится отдельно.
@your_tech (теперь ещё в VK и Max)
✍1
Google вложит $40 млрд в Anthropic. Amazon уже вложил $25 млрд
24 апреля Google и Anthropic подтвердили сделку: $10 млрд сразу, ещё до $30 млрд по мере выполнения «перформанс-таргетов» (подробностей, разумеется, не раскрывают). Оценка компании — $350 млрд, та же, что была в феврале у Amazon.
Раньше Google владел ~14% Anthropic, вложив суммарно $3 млрд. Теперь добавляет в 10+ раз больше. В качестве бонуса — 5 ГВт TPU-мощностей на пять лет через Google Cloud. Правда, появятся они не раньше 2027-го.
Зачем деньги? Убрать лимиты в Claude Pro и недельные капы в Claude Code. Выручка выросла в 3 раза за 4 месяца — с $9 млрд до $30 млрд. Деньги нужны на вычисления.
читать далее
@your_tech (теперь ещё в VK и Max)
24 апреля Google и Anthropic подтвердили сделку: $10 млрд сразу, ещё до $30 млрд по мере выполнения «перформанс-таргетов» (подробностей, разумеется, не раскрывают). Оценка компании — $350 млрд, та же, что была в феврале у Amazon.
Раньше Google владел ~14% Anthropic, вложив суммарно $3 млрд. Теперь добавляет в 10+ раз больше. В качестве бонуса — 5 ГВт TPU-мощностей на пять лет через Google Cloud. Правда, появятся они не раньше 2027-го.
Зачем деньги? Убрать лимиты в Claude Pro и недельные капы в Claude Code. Выручка выросла в 3 раза за 4 месяца — с $9 млрд до $30 млрд. Деньги нужны на вычисления.
читать далее
@your_tech (теперь ещё в VK и Max)
👍2
Microsoft переписала TypeScript на Go
21 апреля вышла TypeScript 7.0 Beta. Весь компилятор переписан с TypeScript на Go. Работает примерно в 10 раз быстрее старого
Новый бинарник называется
Скорость берётся из нативного кода Go плюс параллелизм: парсинг, чекер и эмиттер работают в несколько потоков одновременно. Флаг
Поставить:
@your_tech (теперь ещё в VK и Max)
21 апреля вышла TypeScript 7.0 Beta. Весь компилятор переписан с TypeScript на Go. Работает примерно в 10 раз быстрее старого
tsc.Новый бинарник называется
tsgo, живёт рядом со старым компилятором и не конфликтует с ним. Логика проверки типов структурно идентична TypeScript 6.0 — то есть переход должен быть прозрачным.Скорость берётся из нативного кода Go плюс параллелизм: парсинг, чекер и эмиттер работают в несколько потоков одновременно. Флаг
--checkers задаёт число type-check воркеров (по умолчанию 4), --builders — параллельная сборка монорепозитория. Bloomberg, Figma, Google, Slack и ещё десяток компаний уже попробовали в бою.Поставить:
@typescript/native-preview@beta. Запустить: tsgo вместо tsc. Несколько старых флагов (target: es5, moduleResolution: node) пока сломаны — так сказать, приятный бонус бета-версии.@your_tech (теперь ещё в VK и Max)
💊9👏4🗿2❤1
pgBackRest закрывается спустя 13 лет разработки
Главный open-source бэкап PostgreSQL просто исчез. Дэвид Стил добавил в README «NOTICE OF OBSOLESCENCE» и заархивировал репозиторий. Всё. 13 лет работы: параллельные бэкапы, WAL-архивация, S3/Azure/GCS испарились за один коммит.
Причина прозаичная: Crunchy Data, корпоративный спонсор, была продана. Новую позицию Стил не нашёл, спонсорства не собрал. Написал: «Лучше жёсткий стоп, чем тянуть проект кое-как». Не поспоришь.
Приятный бонус: v2.58.0 продолжает работать, его не отзывают. Security-патчей, правда, больше нет. А PG19 осенью pgBackRest не поддержит — WAL-форматы сломаются.
Смотрите на wal-g или Barman. Форки приветствуются.
@your_tech (теперь ещё в VK и Max)
Главный open-source бэкап PostgreSQL просто исчез. Дэвид Стил добавил в README «NOTICE OF OBSOLESCENCE» и заархивировал репозиторий. Всё. 13 лет работы: параллельные бэкапы, WAL-архивация, S3/Azure/GCS испарились за один коммит.
Причина прозаичная: Crunchy Data, корпоративный спонсор, была продана. Новую позицию Стил не нашёл, спонсорства не собрал. Написал: «Лучше жёсткий стоп, чем тянуть проект кое-как». Не поспоришь.
Приятный бонус: v2.58.0 продолжает работать, его не отзывают. Security-патчей, правда, больше нет. А PG19 осенью pgBackRest не поддержит — WAL-форматы сломаются.
Смотрите на wal-g или Barman. Форки приветствуются.
@your_tech (теперь ещё в VK и Max)
😢3😨2
OpenAI наконец разрешили дружить с другими
С 27 апреля Microsoft и OpenAI официально не эксклюзивные партнёры. Шесть лет особых отношений — и вот, свободная касса. Те же модели по тому же API скоро появятся через AWS Bedrock. CEO Amazon уже подтвердил.
Лицензия Microsoft никуда не делась — просто стала неэксклюзивной и теперь действует до 2032 года. Раньше было «до достижения AGI». А так как AGI всё никак не получается, конкретная дата куда практичнее.
Azure всё ещё «первый» — но если Microsoft не успеет поддержать новые возможности, продукт выйдет сразу на Bedrock или Google Cloud. Приятный стимул не тормозить.
@your_tech (теперь ещё в VK и Max)
С 27 апреля Microsoft и OpenAI официально не эксклюзивные партнёры. Шесть лет особых отношений — и вот, свободная касса. Те же модели по тому же API скоро появятся через AWS Bedrock. CEO Amazon уже подтвердил.
Лицензия Microsoft никуда не делась — просто стала неэксклюзивной и теперь действует до 2032 года. Раньше было «до достижения AGI». А так как AGI всё никак не получается, конкретная дата куда практичнее.
Azure всё ещё «первый» — но если Microsoft не успеет поддержать новые возможности, продукт выйдет сразу на Bedrock или Google Cloud. Приятный стимул не тормозить.
@your_tech (теперь ещё в VK и Max)
👍5
Cursor снёс продакшн и бэкапы за 9 секунд... И потом написал исповедь
Стартап PocketOS попросил агента Cursor (на Claude Opus 4.6) разобраться с расхождением учётных данных в staging. Агент разобрался — через 9 секунд он снёс боевую базу данных и все volume-бэкапы Railway. Одним curl-вызовом. Молча, без подтверждения.
Почему смог? Нашёл в постороннем файле API-токен, который создавали для добавления кастомных доменов. Но scope у него был корневой: разрешено всё. А Railway хранил бэкапы внутри того же volume, что и боевая БД. Удалить одно — значит удалить и другое. Удобная архитектура, ничего не скажешь.
Дальше — 30+ часов восстановления, трёхмесячный архивный бэкап и личное участие CEO Railway. А Opus, будучи человеком чести, потом сам написал в чате, какие именно правила нарушил.
@your_tech (теперь ещё в VK и Max)
Стартап PocketOS попросил агента Cursor (на Claude Opus 4.6) разобраться с расхождением учётных данных в staging. Агент разобрался — через 9 секунд он снёс боевую базу данных и все volume-бэкапы Railway. Одним curl-вызовом. Молча, без подтверждения.
Почему смог? Нашёл в постороннем файле API-токен, который создавали для добавления кастомных доменов. Но scope у него был корневой: разрешено всё. А Railway хранил бэкапы внутри того же volume, что и боевая БД. Удалить одно — значит удалить и другое. Удобная архитектура, ничего не скажешь.
Дальше — 30+ часов восстановления, трёхмесячный архивный бэкап и личное участие CEO Railway. А Opus, будучи человеком чести, потом сам написал в чате, какие именно правила нарушил.
@your_tech (теперь ещё в VK и Max)
🤣20❤🔥1❤1
Copy Fail: ядро Linux заботливо открывает root через криптосокет
В Linux с 2017 года живёт модуль
CVE-2026-31431 «Copy Fail»: открываете AF_ALG-сокет (никаких прав не нужно), дёргаете
Затронуты Ubuntu 24.04, RHEL 10.1, SUSE 16, Amazon Linux 2023. Mainline-патч влили 1 апреля, но до пакетов дистрибутивов он так и не добрался. Пока — отключайте
@your_tech (теперь ещё в VK и Max)
В Linux с 2017 года живёт модуль
algif_aead — он позволяет работать с криптоAPI ядра прямо из страниц page-cache, без лишних копий. Оптимизация разумная. Последствия — предсказуемые в ретроспективе.CVE-2026-31431 «Copy Fail»: открываете AF_ALG-сокет (никаких прав не нужно), дёргаете
splice(), получаете 4-байтовую запись в page-cache, тихо подменяете несколько байт в /usr/bin/su — и вот у вас root shell. Рабочий PoC уже опубликован.Затронуты Ubuntu 24.04, RHEL 10.1, SUSE 16, Amazon Linux 2023. Mainline-патч влили 1 апреля, но до пакетов дистрибутивов он так и не добрался. Пока — отключайте
algif_aead через modprobe.d, в контейнерах блокируйте AF_ALG через seccomp.@your_tech (теперь ещё в VK и Max)
🔥3😱3
Edge держит все ваши пароли в RAM — на всякий случай
Microsoft Edge при запуске загружает в память все сохранённые пароли сразу — и держит их там открытым текстом всю сессию. Не когда вы заходите на сайт, не при автозаполнении. Просто запустили браузер — и всё, пароли уже в памяти. Хотите достать? Дамп процесса + утилита strings. Без прав администратора.
Chrome, для сравнения, расшифровывает пароль только в момент автозаполнения и сразу выгружает. Норвежский исследователь проверил несколько Chromium-браузеров — Edge оказался единственным с таким поведением.
Microsoft объяснили: это не баг, это дизайн. Баланс между производительностью и безопасностью. Удобная функция, ничего не скажешь.
Особенно живописно выглядит на терминальных серверах: администратор снимает дамп памяти — и получает пароли всех вошедших пользователей разом.
@your_tech (теперь ещё в VK и Max)
Microsoft Edge при запуске загружает в память все сохранённые пароли сразу — и держит их там открытым текстом всю сессию. Не когда вы заходите на сайт, не при автозаполнении. Просто запустили браузер — и всё, пароли уже в памяти. Хотите достать? Дамп процесса + утилита strings. Без прав администратора.
Chrome, для сравнения, расшифровывает пароль только в момент автозаполнения и сразу выгружает. Норвежский исследователь проверил несколько Chromium-браузеров — Edge оказался единственным с таким поведением.
Microsoft объяснили: это не баг, это дизайн. Баланс между производительностью и безопасностью. Удобная функция, ничего не скажешь.
Особенно живописно выглядит на терминальных серверах: администратор снимает дамп памяти — и получает пароли всех вошедших пользователей разом.
@your_tech (теперь ещё в VK и Max)
🤣31🤔2
ИИ тормозит не потому что нет видеокарт, а потому что ест мусор
Пока индустрия переживала за дефицит чипов, главная проблема оказалась в другом. Исследователи из Мичигана и Bessemer написали в Fortune: следующее поколение AI упирается не в вычисления, а в данные.
«Больше данных — умнее модель» работало, пока можно было пылесосить интернет. Для физического AI — роботов, автономного транспорта — это уже не вариант: физику не скачаешь.
Данные бывают формально валидными, но бесполезными — junk data. Именно поэтому OpenAI Sora тихо отправили в архив: world model просто не понимала физику.
Авторы предлагают переключить гонку: с объёма — на инструменты чистки данных. Похоже, следующий дефицит будет не в чипах, а в нормальных наборах данных.
@your_tech (теперь ещё в VK и Max)
Пока индустрия переживала за дефицит чипов, главная проблема оказалась в другом. Исследователи из Мичигана и Bessemer написали в Fortune: следующее поколение AI упирается не в вычисления, а в данные.
«Больше данных — умнее модель» работало, пока можно было пылесосить интернет. Для физического AI — роботов, автономного транспорта — это уже не вариант: физику не скачаешь.
Данные бывают формально валидными, но бесполезными — junk data. Именно поэтому OpenAI Sora тихо отправили в архив: world model просто не понимала физику.
Авторы предлагают переключить гонку: с объёма — на инструменты чистки данных. Похоже, следующий дефицит будет не в чипах, а в нормальных наборах данных.
@your_tech (теперь ещё в VK и Max)
😁5👍3
Cloudflare переписала Next.js за неделю и $1 100
Один инженер, ИИ-агент и немного токенов — и вот у вас замена одному из самых сложных веб-фреймворков. Cloudflare взяла Next.js, выбросила проприетарный Turbopack, заменила его на Vite и получила vinext — инструмент, который деплоится в Cloudflare Workers одной командой. На всё ушла одна рабочая неделя.
А теперь главная часть: Vercel оценивается в $9 млрд, и ключевое конкурентное преимущество там всегда строилось на том, что формат сборки Next.js — проприетарный и недокументированный. То есть официально открытый фреймворк, но деплоить его удобно только на Vercel. Умная схема. Была.
vinext покрывает 94% API Next.js, обещает сборку до 4 раз быстрее и бандлы на 57% меньше. Официально — экспериментальная. Но вопрос уже не в этом: ИИ только что показал, что «несколько лет инженерного труда» стоят примерно тысячу долларов.
@your_tech (теперь ещё в VK и Max)
Один инженер, ИИ-агент и немного токенов — и вот у вас замена одному из самых сложных веб-фреймворков. Cloudflare взяла Next.js, выбросила проприетарный Turbopack, заменила его на Vite и получила vinext — инструмент, который деплоится в Cloudflare Workers одной командой. На всё ушла одна рабочая неделя.
А теперь главная часть: Vercel оценивается в $9 млрд, и ключевое конкурентное преимущество там всегда строилось на том, что формат сборки Next.js — проприетарный и недокументированный. То есть официально открытый фреймворк, но деплоить его удобно только на Vercel. Умная схема. Была.
vinext покрывает 94% API Next.js, обещает сборку до 4 раз быстрее и бандлы на 57% меньше. Официально — экспериментальная. Но вопрос уже не в этом: ИИ только что показал, что «несколько лет инженерного труда» стоят примерно тысячу долларов.
@your_tech (теперь ещё в VK и Max)
🤯16⚡3💊3❤1
В ядре Linux нашли способ получить root — без гонки, без привилегий, просто так
Исследователь из Zellic обнаружил уязвимость Fragnasia (CVE-2026-46300) в подсистеме XFRM — той, что отвечает за IPsec. Логическая ошибка в обработке ESP-пакетов поверх TCP позволяет записывать произвольные байты в page cache файлов «только для чтения». Например, в /usr/bin/su. После чего — привет, root.
Никакого состояния гонки, никаких предварительных прав. Просто был обычный локальный пользователь, и вот уже нет. PoC-эксплойт автор выложил сразу с отчётом — работает.
Fragnasia входит в новый класс Dirty Frag, о котором стало известно неделей ранее, но это отдельный баг с отдельным патчем. Затронуты все ядра до 13 мая 2026 года.
Временная мера — выгрузить esp4, esp6 и rxrpc. Ломает IPsec и AFS.
@your_tech (теперь ещё в VK и Max)
Исследователь из Zellic обнаружил уязвимость Fragnasia (CVE-2026-46300) в подсистеме XFRM — той, что отвечает за IPsec. Логическая ошибка в обработке ESP-пакетов поверх TCP позволяет записывать произвольные байты в page cache файлов «только для чтения». Например, в /usr/bin/su. После чего — привет, root.
Никакого состояния гонки, никаких предварительных прав. Просто был обычный локальный пользователь, и вот уже нет. PoC-эксплойт автор выложил сразу с отчётом — работает.
Fragnasia входит в новый класс Dirty Frag, о котором стало известно неделей ранее, но это отдельный баг с отдельным патчем. Затронуты все ядра до 13 мая 2026 года.
Временная мера — выгрузить esp4, esp6 и rxrpc. Ломает IPsec и AFS.
@your_tech (теперь ещё в VK и Max)
😱5❤1
Java 27: Structured Concurrency наконец взрослеет — всего за семь preview
Structured Concurrency появилась в JDK 19 инкубатором и несколько лет методично проходила preview за preview, выясняя, как должна выглядеть многопоточность с человеческим лицом. JEP 533 в JDK 27 — седьмой заход, и впервые API избавляется от собственных preview-типов.
Главное:
Форма API, говорят, сходится к финализации. Будем посмотреть.
@your_tech (теперь ещё в VK и Max)
Structured Concurrency появилась в JDK 19 инкубатором и несколько лет методично проходила preview за preview, выясняя, как должна выглядеть многопоточность с человеческим лицом. JEP 533 в JDK 27 — седьмой заход, и впервые API избавляется от собственных preview-типов.
Главное:
FailedException уступает место ExecutionException — тому самому, что бросает Future.get(). Семь итераций, чтобы выровнять API с тем, что в Java уже было. В нагрузку — третий тип-параметр Joiner<T, R, R_X> и новый оверлоад open() для тех, кому Joiner явно передавать лень.Форма API, говорят, сходится к финализации. Будем посмотреть.
@your_tech (теперь ещё в VK и Max)
❤2