Prompt injection нельзя запатчить: год «летальной триады» и лента CVE 2026 года
В марте 2026-го бэкдор пролежал на PyPI около трёх часов. За это время заражённый пакет скачали почти 47 тысяч раз. Пакет назывался LiteLLM — это шлюз к языковым моделям, на котором держатся CrewAI, DSPy, Microsoft GraphRAG и ещё десятки агентных фреймворков. Тот, кто за эти три часа обновлял...
OSINT для ленивых. Заметки на полях. Пароли
Начнем с аксиомы: невзламываемых паролей не бывает. Любой пароль можно взломать. Вопрос времени и ресурсов. Простые пароли вскрываются моментально, а сложные — дольше, с плясками и бубном. Говорят, что с выходом квантовых вычислений в широкий доступ, взлом самого сложного пароля будет занимать доли...
Технический трек R-EVOlution Conference 2026: 11 докладов, которые теперь можно посмотреть в записи
Иногда самые интересные разговоры на конференциях происходят не на главной сцене. Пока в большом зале обсуждают рынок, стратегию и будущее индустрии, в соседней секции инженеры, аналитики и архитекторы разбирают то, с чем сталкиваются каждый день: алерты, уязвимости, фиды, автоматизацию,...
«Fix typo»: как в PHP закоммитили бэкдор и почему composer install — это акт доверия
Каждый composer install — это акт доверия: вы запускаете на CI и в проде код, который собрал и опубликовал кто‑то другой, а проверяете обычно лишь хеш в composer.lock. Но хеш отвечает на вопрос «тот же ли это байт, что вчера», а не «кто и из чего его собрал». Реальные инциденты показывают цену...
Книга: «Безопасность контейнеров. Фундаментальный подход к защите контейнеризированных приложений. 2-е изд.»
Привет, Хаброжители! Контейнеризированные и облачные приложения постепенно становятся базой современной программной инфраструктуры. Глубокое концептуальное понимание их безопасности — задача номер один. Второе издание книги «Безопасность контейнеров» — это строгий, но при этом практический анализ...
Android Kiosk: как купить сухарики, когда ларёк закрыт
Несколько месяцев назад моему коллеге предстоял долгий перелёт — около 8 часов. Ему быстро стало скучно, и он обратил внимание на экран мультимедийной системы в спинке кресла напротив. Коллега запустил карту полёта и обнаружил, что это Android‑устройство с включённым Kiosk Mode. Этот режим должен...
Ааа, всё пропало! AI создаёт дырявый код! Что же делать?
Сегодня за утренним кофе прочитал статью “70% разработчиков считают ИИ-код дырявым, при этом 30% всех опрошенных деплоят его в прод”. Внезапного для меня в этом нет. Я уже писал, что ожидания завышены, а к сгенерированному коду есть избыточное доверие (как и к текстам в целом). Неожиданно другое:...
Прячем метаданные в мессенджере: 2-hop onion-lite поверх обычных VLESS + Reality relay, и почему это почти бесплатно
В прошлые разы я разбирал, как мы встроили обход блокировок прямо в iOS-приложение: sing-box внутри бинарника, VLESS + Reality, relay как расходник, конфиг отдельно от сборки. Та статья закрывала ровно одну задачу: довести трафик мессенджера до сервера там, где прямое соединение режется. Но в самом...
Terraform MCP Server 1.0: теперь AI пишет конфиги по свежим провайдерам — но в prod без поводка нельзя
11 июня 2026 HashiCorp перевела в GA официальный Terraform MCP Server 1.0 — прокладку между LLM и Terraform Registry, чтобы AI писал HCL по актуальной схеме провайдера, а не по памяти годичной давности. Разбираю по официальным докам: что под капотом (toolsets и конкретные tools), как поднять стенд...
Гром зимой: отзовет ли GlobalSign TLS-сертификаты у «до 20.000 российских сайтов»?
Поговаривают, что 13 июня GlobalSign вслед за Let’s Encrypt начал без объявления войны отзыв TLS-сертификатов у российских сайтов. Что характерно, хотя вой поднялся до небес и версии выдвигаются самые разнообразные, вплоть до очередного жидомасонскогобандеровского заговора, названия конкретных...
Ликвидация корпоративного произвола: как должен выглядеть пункт о модерации в ToS книжной IT-платформы
Приветствую, Хабр! Сегодня хотелось бы осветить ещё одну проблему, связанную с ToS IT-гигантов. Так уж сложилось, что в правоотношениях между UGC-платформой и пользователями сложился опасный перекос. Несмотря на то, что на подобных сервисах основа контента создается самими пользователями, крупные...
Цифровая безопасность компании начинается с повседневных действий сотрудников
Привет! Я Анна Корчикова, автор медиа «вАЙТИ». Недавно мы провели исследование цифровой грамотности сотрудников в крупных российских компаниях. Когда начали разбирать результаты, стало очевидно: многие повседневные цифровые привычки сотрудников создают для бизнеса реальные риски. В этой статье...
ML Red Teaming для LLM: можно ли обойтись open source-инструментами?
В этой статье расскажем про основные классы атак и практическую структуру тестирования ИИ-моделей на уязвимости – от провоцирования галлюцинаций и многошаговых атак до проверки на утечку корпоративных данных. Отдельно объясняем, как правильно оценивать результаты сканирования ML Red Teaming, дадим...
Код, шуруповёрт и немного изоленты: Лемана Тех и Хабр открывают сезон DIY
Аббревиатура DIY значит «сделай сам». Почини, собери, переделай, не жди готового решения. Но если раньше это вызывало ассоциацию с молотком, отвёрткой или плитой гипсокартона, то сейчас всё чаще это ещё и код, датчики, микроконтроллеры, домашние серверы, 3D-модели и сценарии автоматизации. В общем,...
GigaChat vs Opus в агентском аудите файрвола: попытка сравнения
Взяли один агент, один навык и одну выгрузку правил Ideco NGFW – и прогнали её через GigaChat Max и Claude Opus 4.8. Рассказываем, что из этого получилось, почему «настоящего» агентского теста не вышло и сколько всё это стоило в токенах и рублях. Зачем мы это затеяли В прошлой статье – «Пещера...
Прозрачная техника и кассетный ренессанс
Все чаще на улицах можно встретить зумеров с кассетным плеером, слушающих музыку, записанную на магнитной ленте. Парадоксальным образом их смогла зацепить эпоха, в которой они практически не жили. Тренд активно форсится современными исполнителями, которые снова стали выпускать альбомы на...
Июньский «В тренде VM»: уязвимости ядра Linux, Microsoft Defender и устройств Palo Alto Networks
Хабр, привет! На связи Александр Леонов, ведущий эксперт PT Expert Security Center и дежурный по самым опасным уязвимостям месяца. Мы с командой аналитиков Positive Technologies регулярно смотрим на поток информации об уязвимостях из самых разных источников: бюллетени безопасности вендоров,...
Глоссарий серии «Управление уязвимостями для самых маленьких»
Справочник терминов, которые встречаются по всей серии. Термины расположены по алфавиту (сначала русские, затем латинские сокращения). Список будет пополняться по мере выхода новых глав. Читать далее...