«Яндекс» выпустил «Дропс» — наушники с Алисой: как они работают и чего им не хватает
В продажу поступил новый гаджет «Яндекс Дропс» — наушники со встроенной Алисой AI. Это первое носимое устройство компании с Алисой. AI-ассистент в наушниках записывает идеи, мысли, напоминания и задачи в «Мою память», чтобы ничего не забыть. Читать далее...
Как мы перепридумали голосовую активацию для Яндекс Дропс и уместили новую модель в 200 килобайт
Голосовая активация в умных колонках — задача в целом решённая: несколько микрофонов, стабильное питание от розетки, хороший процессор. А вот перенести то же самое в наушники оказалось совсем другой историей. Крошечный аккумулятор, мало памяти, чип с жёсткими ограничениями по тактовой частоте, да...
Как я приручил Wazuh: от сотен ложных срабатываний к рабочему набору правил
Wazuh – это open-source SIEM, который собирает логи, детектирует подозрительную активность и умеет на неё реагировать. Инструмент хороший, но дефолтный набор правил – как швейцарский нож: вроде и режет, и открывает, а под конкретную задачу всё равно приходится подтачивать. Он рассчитан на «среднюю»...
Физический уровень глазами атакующего: почему сеть начинается не с IP
Обычно, когда речь заходит о корпоративной безопасности, все спорят про настройку VPN, межсетевые экраны, выбор EDR‑систем и Zero Trust. Сам кабель при этом воспринимается как нечто стерильное и надежное по умолчанию. Но что, если забытая Ethernet‑розетка в переговорной — это идеальная точка входа,...
Я не хотел, чтобы WeTransfer читал мои файлы, и написал хранилище, которое не доверяет само себе
Каждый раз, когда нужно передать кому-то файл или пароль, выбор бесит: WeTransfer и аналоги видят всё, почта и телеграм хранят файл в плейнтексте вечно, PrivateBin только для текста. Хотелось простого: бросил файл, получил ссылку, а сервер физически не может его прочитать. И чтобы сервер был мой....
Экономическая безопасность и ИИ
Казалось бы, что все давно про экономическую безопасность написано, но хочется написать снова. Казалось бы, сколько можно писать про ИИ, но здесь действительно помогло и гармонично влилось в процесс. При этом я убежден, что ИИ в большинстве случаев может сэкономить время, но не деньги, а половина...
Как был взломан “самый надежный” бот в мессенджере MAX? Эксплойт бота Отложка
Три месяца назад я предупреждал о дыре в боте для MAX. Тогда я обнаружил эксплойт в известном боте для мессенджера, и хотел достучаться до разработчиков бота. Теперь нашлась новая дыра в безопасности – но в неё куда громче залез уже другой человек. Приветствую, Хабр! Моё имя Егор, и если вы вдруг...
Сапборд с мотором и немного о химии
Это вторая завершающая часть статьи об испытании энергоэффективного электромотора для сапборда, разработка которого была описана в предыдущей моей публикации «Сапборд с мотором и немного о физике». Поплыли!...
Что не так с ИБ в опенсорсе и при чем тут ИИ (опять)
Системы ИИ уже способны переписать открытый проект с нуля — и сделать это за считаные минуты. Часть ИТ-сообщества видит в этом проблему, в первую очередь, связанную с юридической неопределенностью вокруг лицензирования подобных «сгенерированных» решений. Но параллельно набирает обороты и другая...
Самый опасный человек в комнате улыбается
The owls are not what they seem (С) Существует старый разведывательный принцип: чем меньше человек похож на угрозу, тем опаснее он на самом деле. Многочисленные звонки из «службы безопасности Сбербанка» и от «товарища майора» успели выработать соответствующую реакцию на грубый, давящий и даже...
[Перевод] Pwnd Blaster: беспроводной взлом компьютера через саундбар
В своём предыдущем посте я рассказывал о реверс-инжиниринге прошивки моего нового Creative Sound Blaster Katana V2X. То, что начиналось как попытка написать Linux-инструмент для общения с саундбаром, закончилось обнаружением уязвимостей, позволяющих любому нападающему в радиусе примерно 15 метров...
Я устал от бесконечных списков чатов и написал свой приватный мессенджер на гексагональных сотах (Kotlin + Go)
Привет, Хабр! Меня, честно говоря, просто утомили современные интерфейсы общения и навигации. Куда ни посмотри — в Telegram, Slack, WhatsApp, на почте — нас везде встречает один и тот же шаблон: бесконечный, давящий вертикальный список чатов. Это превращает общение в какую-то рутину, конвейер, где...
Race Condition в веб-приложениях: три типа уязвимости и как их находить
Для начала разберёмся, что такое Race Condition и почему эта уязвимость заслуживает внимания. Race Condition — это класс уязвимостей, которые возникают из-за того, что сервер обрабатывает несколько запросов одновременно без должной синхронизации. Когда два или более запроса приходят на сервер в...
Мониторинг, IDS и системный анализ. YARA
YARA — инструмент для идентификации и классификации вредоносного программного обеспечения по правилам. Правила YARA описывают паттерны (строки, бинарные последовательности, регулярные выражения) в файлах. Широко используется в антивирусах, IDS, threat hunting для поиска малвари. Читать далее...
Как российские ADC догоняют F5 и кому еще нужен параллельный импорт: большой тест-драйв балансировщиков
Балансировщики нагрузки в России за последние несколько лет превратились из «серой коробочки где‑то в инфраструктуре» в фундаментальный элемент отказоустойчивости инфраструктуры. И если на старте импортозамещения все просто искали чем быстро заменить ушедших F5 и Citrix, то сегодня фокус сместился...
Текстовый интернет умер, да здравствует голосовой
Или: Почему люди разучились читать, а нейросети — наоборот 🎤 Пролог: Вы ещё читаете? А зря Понаблюдайте за собой. Как часто вы читаете длинные статьи? Не пролистываете, не просматриваете диагонально, а именно читаете — слово за словом, абзац за абзацем? А как часто вы слушаете подкаст за рулём,...
187-ФЗ: касается вас или нет? Чек-лист из 6 шагов, чтобы спать спокойно
Споры про 187-ФЗ идут до сих пор. Одни уверены, что 187‑ФЗ касается только организаций оборонно-промышленного комплекса и атомной энергетики. Другие — что закон теперь обязателен для всех без исключения. На практике истина находится где-то посередине. Поправки 58‑ФЗ, вступившие в силу с 1 сентября...
Как перестать сливать ключи клиентов в ChatGPT: пишем умный буфер обмена для n8n и Python
Каждый интегратор сегодня дебажит код и JSON-воркфлоу через нейросети. И каждый хоть раз ловил холодный пот, понимая, что только что скормил в ChatGPT боевой токен от базы данных клиента или API-ключ продакшена. В этой статье я покажу, как навсегда закрыть проблему утечки данных (NDA) при работе со...