Почему ваша LLM-платформа — следующая цель: аудит безопасности AI-сервиса изнутри
Мы искали уязвимости в RAG-платформе с десятками тысяч пользователей — а нашли доступ ко всей инфраструктуре и API-ключам с бюджетом в сотни тысяч долларов. Две недели мы строили сложные цепочки: SSRF через LangChain, инъекции в промпты, HTTP smuggling, CVE в десериализации. Ни одна не дала...
[Перевод] Пять документов ломают ваш RAG: где реальная уязвимость и что с ней делать
RAG часто воспринимают как аккуратный способ «заземлить» LLM на документах и снизить риск галлюцинаций. Но у этой архитектуры есть менее очевидная проблема: контекст из базы знаний обычно считается доверенным, хотя именно через него в модель могут попасть вредоносные инструкции. В статье разбираем,...
Простой гайд как на одном и том же сервере иметь и панель 3X-UI за NGINX, и свой сервис
В 2026 для VPN нужна маскировка. А нет никакой лучшей маскировки, чем уже работающий легитимный сервис. Силами NGINX-streams и HTTP2 это сделать довольно легко. Читать далее...
Спираль эволюции веб-дизайна: от десктопной версии к адаптиву и обратно к многоликости
Или: Почему один сайт для всех — это как одна обувь на все случаи жизни 🧻 Пролог: Как мы дошли до жизни такой Помните старые добрые времена? Был отдельный сайт для компьютеров, отдельный m.site.ru для мобильных, отдельная версия для печати, а для КПК и вовсе своя. Это было неудобно поддерживать, но...
Окружайте, так удобнее промахиваться! Встроенные в Hugging Face проверки ML-моделей против одного сканера
В предыдущей статье "Сканеры ML-моделей: разбор инструментов и некоторых методов обхода их проверок" был представлен обзор основных статических сканеров артефактов ML-моделей. В выводах сканер ModelAudit был выделен как наиболее зрелое решение среди проанализированных конкурентов по следующим...
[Перевод] Проблемы санации SVG
Рендерер Scratch имеет долгую историю связанных с SVG уязвимостей. Их источником становится то, что Scratch парсит сгенерированный пользователем (то есть контролируемый нападающими) контент в элемент и добавляет его в основной документ для выполнения различных операций (например, для измерения...
Яндекс Плюс AdTech: как экосистемные решения обеспечили рост продаж билетов на фильм «Горыныч»
Измеряем вклад рекламной кампании в общий бокс-офис кинотеатрального релиза....
Молодые дизайнеры против алгоритмов: страх перед ИИ испытывает лишь каждый десятый
Условия рынка — вот где проблема....
Безопасность приложений на Typescript от А до Я: гайд по защите от очевидных и не очень уязвимостей
Я часто замечаю, насколько некоторые разработчики халатно относятся к вопросам безопасности своих приложений. И начинают задумываться о методах защиты только тогда, когда уже приходится переписывать большую часть приложения. Сегодня мы пройдемся по классическим и не только методам атаки, посмотрим,...
Доля рекламных бюджетов под управлением ИИ в Яндексе достигла 85%
Создаётся почти каждый третий рекламный баннер....
Яндекс начинает эксперименты с монетизацией каналов в MAX
Рекламодатели получают доступ к аудитории на актуальных площадках....
Мобильный инвентарь Рекламной сети Яндекса вырос на 55%
По итогам первого квартала 2026 года....
PhantomRShell: бэкдор, который маскируется с помощью дизассемблера
У вирусных аналитиков есть небольшая профессиональная трагедия: работать с вредоносами обычно скучнее, чем может казаться по их вычурным названиям. За каждым ShadowSomething RAT/Loader/Stealer почти всегда скрывается один и тот же набор знакомых техник: загрузчик, закрепление в системе, канал связи...
Пентест веба на пальцах: для новичков и слегка отбитых
Этот гайд проводит тебя через все этапы пентеста веб-приложений по порядку. На каждом шаге разобрано, какие инструменты нужны, как они работают, для чего предназначены и какие задачи решают. Цель показать не просто список утилит, а понимание, где какой инструмент уместен и почему он работает именно...
Spark_news: Продавцы одежды и техники сокращают площади и переходят на мини форматы магазинов
...
Империя наносит ответный удар: kad.arbitr.ru снова поддается парсингу (часть 1)
В статьях2021 года можно встретить довольно пессимистичный вывод: «ресурс окончательно уничтожил возможность сбора информации с помощью Selenium». Но, как оказалось, это не совсем так. Сайт kad.arbitr.ru — предоставляет информацию о гражданских делах, в первую очередь данная информация интересна...