AI-агент получил права сеньора. И первым делом снёс прод
По данным Financial Times, AI-агент Amazon получил operator-level доступ к продакшену - и выбрал «удалить окружение» как оптимальный способ починить баг. 13 часов аутейджа. Собрал хронологию трёх инцидентов марта 2026 и разбираюсь, что именно пошло не так на уровне permissions, review gates и...
Как я перенес консольное приложение в Rust + WASM и выложил на GitLab Pages
Перенес консольного приложения в формат, удобный к показу по ссылке: переписал логику на Rust, собрал в WebAssembly и завернул в статичную страницу с терминальным интерфейсом на чистом HTML/CSS/JS. В статье разбираю практический пайплайн: экспорт функции из Rust в WASM (wasm_bindgen), инициализацию...
Как я сделал шифрование поверх MAX, когда приватность стала роскошью
Как я без Mac, с помощью Claude AI и GitHub Actions, создал кроссплатформенное приложение для шифрования сообщений поверх любого мессенджера. Android на Kotlin, iOS на Swift без MacBook, десктоп на Python. AES-256, три платформы, два отказа от Apple и один баг с буквой «а». Читать далее...
Им не поможет белый список
В школах начались каникулы, количество статей и обзоров решений по обходу блокировок и эксплуатации белых списков увеличилось вдвое. А мне уже надоели обсуждения механизмов обхода блокировок и шум в чатах и группах про блокировки, баны, переборы IP, белые списки и т.д. - и я решил обсудить не "как...
Миллион за сисадмина: как один айтишник может остановить компанию на неделю
Эта статья для собственников и директоров малого и среднего бизнеса, у которых в компании есть один ИТ-специалист или ИТ-лидер, отвечающий за все разом. Если сейчас уход такого человека — это катастрофа, значит, бизнес уже живет с неоправданным риском. Причина здесь не в том, что айтишники плохие....
Как Claude Opus 4.6 спас кандидата от провала: скрытые тесты в PDF и новые правила найма
Работодатель спрятал в PDF с тестовым заданием скрытую инструкцию для ИИ. Claude Opus 4.6 не только отказался ее выполнять, но и предупредил кандидата о ловушке. Разбираемся, как устроена гонка вооружений между HR и соискателями в эпоху LLM. И главное, как проверять такие документы перед работой....
Книга: «Spring Security. 4-е изд.»
Привет, Хаброжители! Опытные хакеры постоянно охотятся за уязвимыми приложениями, поэтому никогда не переставайте беспокоиться о безопасности. Задача становится особенно сложной, если приходится работать с унаследованным кодом, новыми технологиями и сторонними фреймворками. Научитесь защищать...
Автоматизируем сканирование инфраструктуры: скрипт 3.0 для Сканер-ВС 7
Привет, Хабр! Это Антон Дятлов, инженер по защите информации в Selectel. Не так давно компания «Эшелон» выпустила Сканер-ВС 7, в котором изменилась логика работы с API. Старый скрипт перестал корректно работать, да и улучшения напрашивались сами собой. Рассмотрим основные изменения и улучшения....
Разбираем net/http на практике. Часть 2.1: POST, файлы и in-memory хранилище
Предыдущая статья: https://habr.com/ru/articles/981356/ Продолжаем создавать сервис анонимных "мертвых ящиков" DeadDrop на чистом Go. Во второй части (первый подвыпуск) закладываем фундамент: учимся принимать POST-запросы, загружать файлы с проверкой MIME-типа и размера, создаём in-memory хранилище...
Как работает RPC. Пишем свое RPC-приложение
В данной статье мы подробно поговорим об устройстве RPC. Также для лучшего понимания применим знания на практике и напишем свое RPC-приложение под Windows. Изучить матчасть...
Он меня заблокировал, но я его всё равно люблю! История о потере аккаунта LinkedIn с 23 000 подписчиков
Вообще история началась 23 июля. Тогда аккаунт с 23+ тысячами подписчиков попал в блок. «Ну и ладно, не в первый раз» - подумала я. Уж я то точно знаю, что нужно делать:) Однако это было начало конца… (впрочем, эта история с двумя концами 😁) Я включила режим терминатора и начала хреначить как не в...
В MAX есть доступ к фото по ссылке: Уязвимость или нет? По ФСТЭК и CVSS
Источников оказалось немного: пара постов на Хабре про саму уязвимость и ответки пресс службы Макс. Вот сам пост с Хабра, где рассказана вся ситуация. Мне больше другое интересно стало. Во-первых, является ли критичной уязвимость, если доступ к ней и правда возможен при большом переборе ссылок? Да,...
OSINT для ленивых. Часть 5: Что у pdf за душой — разбираемся с метаданными документов за 2 минуты
— С метаданных картинок мы уже разобрались, теперь же давайте посмотрим, что за душой у обычных pdf или word документов Читать далее...
L4-балансировка и защита от DDoS-атак
В высоконагруженных системах балансировка трафика быстро перестаёт быть просто задачей распределения запросов. Сегодня на реальном опыте разбираем путь от BGP Anycast к L4-балансировке и XDP: зачем она понадобилась, как помогла справиться с ограничениями Anycast, повысить отказоустойчивость и...
AI-security развивается, но единого стандарта пока нет: как бизнесу защищать ML-модели и AI-агентов
Привет! Меня зовут Борис Мацаков, я Data Science инженер в Cloud.ru. Хочу поговорить о сравнительно новом направлении кибербезопасности — защите AI-систем и агентов. Каждая команда понимает безопасность AI-моделей по-своему, а за ее основу часто берут подходы классического DevSecOps. Но проблема в...
Потрошим расширения VS Code: как XSS превращается в кражу ваших SSH-ключей
Многие привыкли считать, что VS Code — это просто текстовый редактор. Но «под капотом» у нас старый добрый Electron со всеми вытекающими. Если расширение имеет доступ к файловой системе, а вы открываете в нём кривой файл поздравляю, вы в зоне риска Я решил покопаться в безопаснности популярных...
Цифровой суверенитет в кармане: почему пора поднять свой Matrix-сервер, пока мессенджеры лихорадит
(В статье описывается простой и безопасный способ поднятия собственного Matrix Synapse сервера с компонентами web интерфейса пользователя и видеосвязи на основе opensource скрипта. Статья состоит из 2-х частей, теоретической и практической. Если вы сразу понимаете о чем речь, чтобы сэкономить время...
Авторизация 2026: Почему вам больше не нужна форма регистрации (и как внедрить Яндекс ID, VK и Google)
На дворе 2026 год. Нейросети пишут за нас тесты, холодильники сами заказывают продукты, а пользователи... пользователи всё так же ненавидят придумывать пароли. Давайте честно: если ваш пет-проект или стартап сегодня встречает юзера формой Email + Пароль + Повторите пароль, вы теряете конверсию....