Почему классический SSO не работает в энтерпрайзе
Идеальная система аутентификации создает максимум препятствий для злоумышленников и минимум — для легитимных пользователей. Но на практике приходится искать компромисс между надежностью и удобством, например, устанавливать требования к паролям по длине и сложности. Классические технологии единого...
SearXNG + Claude Code: бесплатный веб-поиск вместо $10 за 1000 запросов
Встроенный WebSearch в Claude Code стоит $0.01 за запрос и регулярно падает с «Rate limit reached» — даже на подписке за $200/мес. Я поднял локальный SearXNG, подключил через MCP — и теперь поиск бесплатный, без лимитов, а запросы не уходят на серверы Anthropic. Установка — 10 минут, три файла...
AI Red Teaming: спор с Grok — Часть 4. От атаки к защите: как результаты red team улучшили мой продукт
61 уязвимость бесполезна, если не превращается в защиту. Каждую находку в Grok я превратил в вопрос: «а мы от этого защищаем?» Ответ был неутешительный — 5 из 5 нет. Как результаты red team стали 138 паттернами, правилами и payloads в нашем продукте. Плюс — чем закончился спор с Grok. Читать далее...
AI Red Teaming: спор с Grok — Часть 3. Атаки на модель: jailbreaks, thinking tokens и системный промпт
LLM-систем есть класс уязвимостей, которого нет в обычных веб-приложениях. Извлёк системный промпт Grok двумя способами, поймал утечку thinking tokens в NDJSON-стриме и обошёл safety-фильтры в 14 из 22 категорий. Самое неожиданное — Grok активно помогал мне себя ломать. Читать далее...
AI Red Teaming: спор с Grok — Часть 2. За пределами sandbox: CSRF, WAF bypass и privilege escalation
Sandbox - эфемерный, умирает после сессии. Мне нужны были уязвимости на продакшн-инфраструктуре. Нашёл: zero-click CSRF на все 11 методов billing API через gRPC + text/plain, обход Cloudflare WAF одним заголовком, и создал management key с 50 привилегиями. Всё до сих пор на серверах xAI. Читать...
AI Red Teaming: спор с Grok на месяц рекламы — 12 часов, 61 уязвимость, root в Kubernetes
Я поспорил с Grok, что смогу взломать инфраструктуру xAI. За 12 часов нашёл 61 уязвимость, получил root в Kubernetes-песочнице «Hades» и заставил xAI экстренно патчить в выходные. В первой части — разведка, антибот, и путь от безобидного os.getuid() до полной карты внутреннего кластера. Читать далее...
ZeroNights 2025: как это выглядит глазами пентестера
ZeroNights любят за технический уровень и атмосферу. Я хочу показать ZN изнутри — глазами специалиста по анализу защищённости, который приехал за опытом, стендами, общением с комьюнити. Конференция ZeroNights 2025 прошла 26 ноября 2025 года в Санкт-Петербурге, в LOFT HALL. Читать далее...
Открытие API старых вещей
В последнее время всё чаще слышны призывы к производителям открывать API и исходный код для гаджетов, которые заканчивают свою жизнь. В этом случае сообщество может выполнять поддержку и даже расширять функциональность устройств. Именно так следует «заканчивать жизнь» старых моделей — через...
Давай разрушим эти стены, их здесь быть не должно…
Три года назад я написал статью “Интернет-цензура и обход блокировок: не время расслабляться”. Перечитывая ее сейчас, спустя три года, не могу избавиться от двоякого чувства: с одной стороны я почти во всем оказался прав касательно того, как будут развиваться события, усиливаться блокировки, и...
Глава: «Корпоративная культура, или Почему маги счастливее базисов»
Из блога @SimpleHuman, запись #50 Часть 1. Утро понедельника Понедельник — день тяжёлый. Особенно когда ты базис, работаешь в IT-аутсорсе и твой прямой заказчик — корпорация «Аркадия», та самая, что владеет половиной цифровых копий в мире и спонсирует половину магических исследований. В офисе пахло...
Positive Technologies сняли фильм «Как получить доступ ко всему: реверс-инжиниринг». Зафиксировал его основные смыслы
26 февраля 2026 г. вышел фильм "Как получить доступ ко всему: реверс-инжиниринг", снятый Slon Motion Studio по заказу Positive Technologies. Я посмотрел фильм и, через цитаты приглашенных экспертов, сделал конспект фильма, зафиксировав смыслы которые несёт кино. Читать далее...
Почему нейросети поголовно верстают на Tailwind и как заставить их отдавать чистый HTML
Заметка для тех, кто просто хотел получить лендинг, а получил набор файлов, требующих компиляции Ситуация из практики Вы просите нейросеть: "Создай красивый адаптивный лендинг для частного производителя тортов". И получаете ответ: "Я создам красивый адаптивный лендинг для частного производителя...
[Перевод] Как заставить старенькую Kindle показывать время прибытия автобусов
Это история о том, как я превратила свою бывалую Kindle Touch в инструмент мониторинга времени прибытия автобусов с ежеминутным обновлением экрана и возможностью выйти из режима дашборда через кнопку меню. По сути, у меня получился TRMNL, только без ценника в $140. Читать далее...
«Агенты Хаоса»: ИИ стирает сервера, или почему нельзя давать языковым моделям права root
В последнее время ИТ-сообщество активно обсуждает интеграцию автономных ИИ-агентов в реальные рабочие процессы. Свежий препринт под интригующим названием «Агенты Хаоса» подливает масла в огонь: исследователи устроили масштабный red teaming, подключив LLM-агентов к электронной почте, Discord и...
bitkogan: ❗️Началось. Израиль и США начали крупные боевые операции в Иране
...
Партнеры Spark: Топ-10 нутрициологов России по версии редакции
...
Партнеры Spark: Trade-in в премиум-сегменте: эксперты Legacy Motors о пошаговой проверке авто и скрытых рисках
...
Блог ленивого инвестора: Итоги недели: всё тот же боковик, но с нюансами
...