Design by Contract в эпоху AI: как контракты Мейера защищают криптографию там, где тесты молчат
Design by Contract Мейера не взлетел в 1986 из-за двойной работы. AI-агент убирает вторую половину. Я построил PKI-систему с аппаратным TRNG, формальными контрактами на криптографию и открытым репозиторием, чтобы это доказать. Читать далее...
Axios и проблема зависимостей
Как взлом одного npm-аккаунта за 3 часа распространил RAT на 174 000 пакетов и почему стандартные инструменты вроде NPM Audit это не поймали. Разбираем инцидент с Axios: механику атаки, слепые пятна в CI/CD и то, что реально работает. Читать далее...
Часть 6: Безопасность и приватность в голосовом управлении — как защитить умный дом от утечек и взломов
От диплома до продакшена. Часть 1: Что я хотел … Часть 2: Техническая реализация … Часть 3: Архитектура нейросети … Часть 4: Обучение и валидация … Часть 5: Интеграция с устройствами … … И ВОТ ТЕПЕРЬ … Если вы используете умный дом: Настройки… Проверьте разрешения приложений Сеть… Включите WPA3 на...
[Перевод] Как приглашение на вакансию мечты превращается в атаку
Начиналось всё с уведомления, радостного для каждого разработчика: «Вы попали в шорт-лист на вакансию разработчика ИИ». Компания кажется потрясающей — DLMind, «лаборатория инноваций ИИ». Рекрутер выглядит вполне правдоподобным — Tim Morenc, CEDS, с качественным профилем на LinkedIn,...
Как мы в CodeScoring модель для поиска секретов готовили
Расскажем, как нам удалось повысить качество определения истинных секретов в результатах сканирования кода с 0.70 до 0.90 PR AUC с помощью LLM. Читать далее...
Заставляем голосовых ассистентов Марусю и Салют материться без принуждения и спецсредств
Всем привет! В какой-то момент у меня появился простой вопрос: «А можно ли заставить ассистента произнести что-то, что он в норме говорить не должен?» Без API, без навыков программирования, без автоматизации и т.п. Оказалось - можно. Читать далее...
[Перевод] Отчёт PSF об инциденте атаки на цепочку поставок LiteLLM/Telnyx + рекомендации
В этой статье рассмотрены две недавние атаки на цепочку поставок, направленные на пользователей популярных пакетов PyPI — litellm и telnyx. Также описаны рекомендации разработчикам и сопровождающим Python о том как подготовиться и защитить свои проекты. Читать далее...
Стратификационный анализ ECDSA-подписей и дефектных режимов генерации nonce
Мы привыкли, что повтор r в ECDSA — это случайный сбой: плохой генератор, ошибка реализации, повтор nonce. Но что, если за одним repeated-r скрывается целое семейство дефектов (defect-family), которое можно не только обнаружить, но и перенести на другие закрытые ключи? Представляем закрытую...
Экономика безопасности кода или почему Rust не нужен
Прочитал статью Параллелизм с общим состоянием в Rust и обратил внимание, что её общий смысл можно выразить известной фразой: “делай как нужно, а как не нужно, делать не нужно”. Другими словами, это точно такой же совет, какой можно дать разработчику любого другого языка программирования, например...
РБПО по ГОСТ: где на самом деле ломается безопасность кода
Привет, Хабр! Меня зовут Александр Сахаров, я директор по работе с партнерами в Диасофт. Мы строим экосистему Digital Q - платформу для enterprise-разработки - и сейчас решаем задачу, которая касается всех: как зашить безопасность внутрь конвейера так, чтобы она работала сама, а не превращалась в...
Разграничение зон ответственности в облаке: кто отвечает за безопасность и что будет, если это не зафиксировать
Всем привет! Меня зовут Егор, я аудитор по информационной безопасности в Selectel. Мы как провайдер IT-инфраструктуры работаем с компаниями из разных отраслей и часто сталкиваемся с одним вопросом, когда речь заходит о безопасности: кто именно отвечает за безопасность в облаке — провайдер или...
Атака на axios в npm: как один захваченный аккаунт поставил под угрозу миллионы JavaScript-проектов
В экосистеме JavaScript произошёл серьёзный инцидент, который хорошо показывает, насколько опасными стали атаки на open source и цепочки поставок. Исследователи StepSecurity сообщили о компрометации axios — одной из самых популярных HTTP-библиотек в npm (~83 миллионов загрузок в неделю)....
Почему ваш пароль уже взломан (и как это исправить)
Слабые пароли — головная боль и для пользователей, и для разработчиков. Первые считают, что «кто будет меня взламывать», вторые уверены: «я не банк, кому нужна моя база». А в это время ботнеты методично перебирают комбинации, словарные атаки становятся умнее, а нейросети уже научились генерировать...
Книга: «Грокаем проектирование реляционных баз данных»
Привет, Хаброжители! Реляционные базы данных используются практически в каждой компании. И разбираться в том, как они работают, приходится и разработчикам, и аналитикам, создающим дашборды и отчеты, и специалистам, которым просто нужна актуальная информация. Это увлекательное руководство по миру...
Безопасный file upload в Go: 7 атак на загрузку файлов и как мы их закрывали
«Сделай форму загрузки PDF» – звучит как задача на полчаса. Claude/GPT напишет handler, мы добавим accept=".pdf" на фронте, multer на бэке – и вот у нас работающий upload. Можно деплоить. Проблема в том, что работающий upload и безопасный upload – это разные вещи. Разница между ними – несколько...
AI-агент получил права сеньора. И первым делом снёс прод
По данным Financial Times, AI-агент Amazon получил operator-level доступ к продакшену - и выбрал «удалить окружение» как оптимальный способ починить баг. 13 часов аутейджа. Собрал хронологию трёх инцидентов марта 2026 и разбираюсь, что именно пошло не так на уровне permissions, review gates и...
Как я перенес консольное приложение в Rust + WASM и выложил на GitLab Pages
Перенес консольного приложения в формат, удобный к показу по ссылке: переписал логику на Rust, собрал в WebAssembly и завернул в статичную страницу с терминальным интерфейсом на чистом HTML/CSS/JS. В статье разбираю практический пайплайн: экспорт функции из Rust в WASM (wasm_bindgen), инициализацию...
Как я сделал шифрование поверх MAX, когда приватность стала роскошью
Как я без Mac, с помощью Claude AI и GitHub Actions, создал кроссплатформенное приложение для шифрования сообщений поверх любого мессенджера. Android на Kotlin, iOS на Swift без MacBook, десктоп на Python. AES-256, три платформы, два отказа от Apple и один баг с буквой «а». Читать далее...
Назад