[Перевод] Banned Book Library
Давным-давно у меня возникла идея взломать умную Wi-Fi лампочку и сделать её более полезной. На самом деле у меня было несколько разных идей на этот счёт. Одна из них заключалась в том, чтобы модифицировать устройство так, чтобы оно имело открытую точку доступа Wi-Fi и веб-сервер, на котором...
OpenVEX в CI/CD: как перестать бороться с ложными CVE и научить Trivy понимать контекст
Представьте: вы пытаетесь объяснить иностранцу, почему красный сигнал светофора не всегда означает «стоять», иногда это — «можно ехать, если ты — скорая помощь». Примерно так до недавнего времени выглядело наше общение с Trivy. Сканер находил уязвимости, DefectDojo их послушно складировал. А мы...
Prompt injection нельзя запатчить: год «летальной триады» и лента CVE 2026 года
В марте 2026-го бэкдор пролежал на PyPI около трёх часов. За это время заражённый пакет скачали почти 47 тысяч раз. Пакет назывался LiteLLM — это шлюз к языковым моделям, на котором держатся CrewAI, DSPy, Microsoft GraphRAG и ещё десятки агентных фреймворков. Тот, кто за эти три часа обновлял...
OSINT для ленивых. Заметки на полях. Пароли
Начнем с аксиомы: невзламываемых паролей не бывает. Любой пароль можно взломать. Вопрос времени и ресурсов. Простые пароли вскрываются моментально, а сложные — дольше, с плясками и бубном. Говорят, что с выходом квантовых вычислений в широкий доступ, взлом самого сложного пароля будет занимать доли...
Технический трек R-EVOlution Conference 2026: 11 докладов, которые теперь можно посмотреть в записи
Иногда самые интересные разговоры на конференциях происходят не на главной сцене. Пока в большом зале обсуждают рынок, стратегию и будущее индустрии, в соседней секции инженеры, аналитики и архитекторы разбирают то, с чем сталкиваются каждый день: алерты, уязвимости, фиды, автоматизацию,...
«Fix typo»: как в PHP закоммитили бэкдор и почему composer install — это акт доверия
Каждый composer install — это акт доверия: вы запускаете на CI и в проде код, который собрал и опубликовал кто‑то другой, а проверяете обычно лишь хеш в composer.lock. Но хеш отвечает на вопрос «тот же ли это байт, что вчера», а не «кто и из чего его собрал». Реальные инциденты показывают цену...
Книга: «Безопасность контейнеров. Фундаментальный подход к защите контейнеризированных приложений. 2-е изд.»
Привет, Хаброжители! Контейнеризированные и облачные приложения постепенно становятся базой современной программной инфраструктуры. Глубокое концептуальное понимание их безопасности — задача номер один. Второе издание книги «Безопасность контейнеров» — это строгий, но при этом практический анализ...
Android Kiosk: как купить сухарики, когда ларёк закрыт
Несколько месяцев назад моему коллеге предстоял долгий перелёт — около 8 часов. Ему быстро стало скучно, и он обратил внимание на экран мультимедийной системы в спинке кресла напротив. Коллега запустил карту полёта и обнаружил, что это Android‑устройство с включённым Kiosk Mode. Этот режим должен...
Ааа, всё пропало! AI создаёт дырявый код! Что же делать?
Сегодня за утренним кофе прочитал статью “70% разработчиков считают ИИ-код дырявым, при этом 30% всех опрошенных деплоят его в прод”. Внезапного для меня в этом нет. Я уже писал, что ожидания завышены, а к сгенерированному коду есть избыточное доверие (как и к текстам в целом). Неожиданно другое:...
Прячем метаданные в мессенджере: 2-hop onion-lite поверх обычных VLESS + Reality relay, и почему это почти бесплатно
В прошлые разы я разбирал, как мы встроили обход блокировок прямо в iOS-приложение: sing-box внутри бинарника, VLESS + Reality, relay как расходник, конфиг отдельно от сборки. Та статья закрывала ровно одну задачу: довести трафик мессенджера до сервера там, где прямое соединение режется. Но в самом...
Terraform MCP Server 1.0: теперь AI пишет конфиги по свежим провайдерам — но в prod без поводка нельзя
11 июня 2026 HashiCorp перевела в GA официальный Terraform MCP Server 1.0 — прокладку между LLM и Terraform Registry, чтобы AI писал HCL по актуальной схеме провайдера, а не по памяти годичной давности. Разбираю по официальным докам: что под капотом (toolsets и конкретные tools), как поднять стенд...
Гром зимой: отзовет ли GlobalSign TLS-сертификаты у «до 20.000 российских сайтов»?
Поговаривают, что 13 июня GlobalSign вслед за Let’s Encrypt начал без объявления войны отзыв TLS-сертификатов у российских сайтов. Что характерно, хотя вой поднялся до небес и версии выдвигаются самые разнообразные, вплоть до очередного жидомасонскогобандеровского заговора, названия конкретных...
Ликвидация корпоративного произвола: как должен выглядеть пункт о модерации в ToS книжной IT-платформы
Приветствую, Хабр! Сегодня хотелось бы осветить ещё одну проблему, связанную с ToS IT-гигантов. Так уж сложилось, что в правоотношениях между UGC-платформой и пользователями сложился опасный перекос. Несмотря на то, что на подобных сервисах основа контента создается самими пользователями, крупные...
Цифровая безопасность компании начинается с повседневных действий сотрудников
Привет! Я Анна Корчикова, автор медиа «вАЙТИ». Недавно мы провели исследование цифровой грамотности сотрудников в крупных российских компаниях. Когда начали разбирать результаты, стало очевидно: многие повседневные цифровые привычки сотрудников создают для бизнеса реальные риски. В этой статье...
ML Red Teaming для LLM: можно ли обойтись open source-инструментами?
В этой статье расскажем про основные классы атак и практическую структуру тестирования ИИ-моделей на уязвимости – от провоцирования галлюцинаций и многошаговых атак до проверки на утечку корпоративных данных. Отдельно объясняем, как правильно оценивать результаты сканирования ML Red Teaming, дадим...
Код, шуруповёрт и немного изоленты: Лемана Тех и Хабр открывают сезон DIY
Аббревиатура DIY значит «сделай сам». Почини, собери, переделай, не жди готового решения. Но если раньше это вызывало ассоциацию с молотком, отвёрткой или плитой гипсокартона, то сейчас всё чаще это ещё и код, датчики, микроконтроллеры, домашние серверы, 3D-модели и сценарии автоматизации. В общем,...
GigaChat vs Opus в агентском аудите файрвола: попытка сравнения
Взяли один агент, один навык и одну выгрузку правил Ideco NGFW – и прогнали её через GigaChat Max и Claude Opus 4.8. Рассказываем, что из этого получилось, почему «настоящего» агентского теста не вышло и сколько всё это стоило в токенах и рублях. Зачем мы это затеяли В прошлой статье – «Пещера...
Прозрачная техника и кассетный ренессанс
Все чаще на улицах можно встретить зумеров с кассетным плеером, слушающих музыку, записанную на магнитной ленте. Парадоксальным образом их смогла зацепить эпоха, в которой они практически не жили. Тренд активно форсится современными исполнителями, которые снова стали выпускать альбомы на...