Mozilla сообщила о начале распространения официальных RPM‑пакетов браузера Firefox (пока что в рамках релизов Firefox Nightly) для RPM-based дистрибутивов Linux. Поддерживаемые дистрибутивы включают в себя openSUSE, Red Hat Enterprise Linux, CentOS, Rocky Linux, Fedora Linux и их производные.
20 января 2026 года состоялся выпуск веб-браузера Pale Moon 34.0. Это решение является ответвлением от кодовой базы Firefox для обеспечения более высокой эффективности работы с сохранением классического интерфейса, минимизации потребления памяти и предоставлением дополнительных возможностей по настройке.
Скрытые уязвимости в CI/CD: что мы упускаем и как защитить процесс доставки
CI/CD давно перестал быть просто удобным способом ускорить релизы. Сегодня это критическая часть цепочки поставки, через которую проходит весь код, зависимости и инфраструктурные изменения. Именно поэтому пайплайн всё чаще становится целью атак, при этом многие уязвимости остаются незаметными годами.
Одна из самых недооценённых проблем — избыточные права. Токены доступа, используемые в пайплайнах, часто имеют больше разрешений, чем требуется для конкретного шага. Компрометация такого токена даёт атакующему доступ не только к репозиторию, но и к облачной инфраструктуре, артефактам и секретам.
Вторая зона риска — зависимости и сторонние экшены. Автоматизация строится на готовых шагах и шаблонах, которые редко проходят полноценный аудит. Обновление популярного экшена или контейнерного образа может незаметно внести вредоносный код в процесс сборки, и он будет исполняться с доверенными правами.
Отдельного внимания заслуживает хранение секретов. Даже при использовании секретных хранилищ они нередко утекaют в логи, артефакты или кэши. Проблема усугубляется тем, что логи CI часто доступны большему кругу людей, чем production-системы.
Неочевидная, но опасная категория уязвимостей — доверие к окружению сборки. Самохостинг раннеров без изоляции, повторное использование виртуальных машин и отсутствие очистки после джобов позволяют атакующему закрепиться в системе и влиять на последующие сборки.
Защита CI/CD начинается с принципа минимальных привилегий. Каждый токен, сервисный аккаунт и ключ должен иметь строго ограниченный набор прав и короткий срок жизни. Второй шаг — контроль цепочки зависимостей: фиксация версий, проверка хэшей, собственные зеркала и регулярный аудит используемых экшенов и образов.
Важно также относиться к пайплайну как к коду: проводить ревью изменений, логировать подозрительные действия и мониторить аномалии. Изоляция окружений, одноразовые раннеры и автоматическая ротация секретов значительно снижают потенциальный ущерб от атаки.
CI/CD — это не просто автоматизация, а часть поверхности атаки. Чем раньше это осознаётся, тем меньше шансов, что уязвимость проявится уже после успешного релиза.
А какие риски в своих пайплайнах вы обнаружили только со временем?
Зима. Снег. Морозный воздух. Но выходить на улицу не хочется. А фотосессия нужна. Хорошая новость: нейросети научились создавать зимние фотографии, которые не отличить от профессиональной съёмки, и всё это можно сделать, сидя дома с чашкой горячего чая, просто написав текстовый промт и отправив его искусственному интеллекту на обработку.
Мы собрали 15 промтов для создания атмосферных зимних фото в русском стиле ❄️
Как я построил систему мониторинга LLM-приложений и научил AI анализировать собственные ошибки
AI-ассистенты в IDE стали незаменимыми помощниками разработчиков, но остаются чёрными ящиками. Мы не видим что они делают "под капотом", сколько это стоит и где теряется время. В статье покажу как построить системуobservability для AI-агентов: от Cursor IDE до production, с AI-анализом трейсов и открытым исходным кодом.
Пользователь Reddit spaceman329 поделился своей историей: он заказал на Amazon видеокарту GeForce RTX 5080, а потом отменил заказ и получил деньги за него обратно. Но ему всё равно пришла заказанная видеокарта, и Amazon разрешил оставить её без всяких доплат.
Привет, Хабр! На связи команда разработки ChameleonLab.
Наш проект — программный комплекс для стеганографии и защиты данных — перешагнул отметку в 300 000 скачиваний (суммарно для Windows и macOS). Такая база пользователей кардинально меняет подход к разработке. Мы больше не можем позволить себе «гаражные» методы, которые ломают структуру файлов или заставляют плееры вести себя непредсказуемо.
Нас часто спрашивают, почему в публичной версии до сих пор нет кнопки «Спрятать в музыку». Ответ прост: мы не хотим выпускать сырой функционал.
Последние два месяца мы провели в закрытом R&D, пытаясь решить одну задачу: как спрятать файл в MP3 так, чтобы ни один плеер и ни один спектроанализатор этого не заметил?
Глава Google DeepMind Демис Хассабис заявил на Всемирном экономическом форуме в Давосе, что у Google нет планов добавлять рекламу в ИИ-ассистент Gemini. Это ответ на решение OpenAI, которая 16 января анонсировала тестирование рекламы в ChatGPT для бесплатных пользователей и подписчиков тарифа Go ($8/мес).
Хакерская группировка RansomHub заявила о взломе серверов китайского производителя Luxshare, который отвечает за сборку гаджетов Apple, включая iPhone, AirPods, Apple Watch и Vision Pro. Злоумышленники угрожают опубликовать данные, если компания не заплатит выкуп. Помимо данных Apple в утечке есть производственная документация Nvidia, LG, Tesla и Geely.
Не пользуюсь LLM-агентами, если могу. Давно замечаю: просто избегаю запускать LLM прямо в проекте, потому что боюсь разучиться кодить и думать. Поход в ChatGPT себе разрешаю — это как встать с дивана, чтобы пойти в магазин, а не заказывать доставку на дом. Там нужно правильно сформулировать запрос, потому что он не может добрать контекст проекта сам. Можно перекинуться парой мыслей, как с товарищем на работе. Надо подумать, как применить ответ, что выкинуть. В итоге я всё равно как-то худо-бедно программирую сам.
Пока я отрицаю прогресс, из мира агентов доносится много шума про управление контекстом и токенами. Агенты в ответ на запросы жрут лимиты по токенам, выделенные на отрезок времени. Ну либо запросы по API просто тарифицируются. Причем чем дольше общаешься с нейросетью, тем больше контекста ей нужно держать, учитывать, корректировать, сжимать. Помимо этого, нейронка ещё подглядывает правила проекта в .md-файлах, что-то помнит между переписками.
Чем больше у нейронки пузырь вашего контекста, тем хуже она работает. Путается в постоянно пополняющихся правилах, корректировках и ограничениях. Наконец, контекстный оверхед — это еще очень дорого. Каждый запрос к API содержит тысячи «мусорных» токенов и выжирать лимиты получается еще быстрее.
В ответ на это индустрия на венчурные деньги придумывает и продвигает свои «велосипеды», чтобы с помощью агентов эффективнее и дешевле решать задачи:
В Cursor IDE есть Rules, которые накладывают ограничения поверх ваших промптов. Их можно применять вручную или автоматически; говорят, автомат работает хуже.
Anthropic пиарит Skills (еще пример Playwright Skill). Это интерфейс для решения типовых задач с адаптивными ступенями контекста в зависимости от сложности.
Есть MCP (Model Context Protocol) — условное API, которое расширяет возможности агентов, чтобы они не писали собственные инструменты и не тратили контекст и токены на типовые задачи: открыть браузер, прочитать Jira, отправить письмо и т. д.
Также есть субагенты; их оркестрирует агент-оркестратор. У субагентов чистый контекст: они получают задачу, выполняют её и идут на «свалку».
И вот среди этого новояза я – старпер со своим ChatGPT: после 2–3 запросов удаляю чат и начинаю новый. Вот моя экономика токенов и галлюцинаций. Меня и Альтмана маркетингом не проведешь!
Астрономы с помощью космического телескопа Хаббл получили убедительные доказательства того, как возникают так называемые «голубые страгглеры» — звёзды, которые выглядят значительно моложе своих соседей в богатых звёздами древних скоплениях. Эти объекты на протяжении десятилетий вызывали недоумение: они ярче и горячее звёзд аналогичного возраста, хотя все они должны были сформироваться примерно в одно и то же время миллиарды лет назад. Новые наблюдения проливают свет на то, почему некоторые звёзды «отклоняются» от обычной эволюционной траектории и словно получают вторую молодость.
Apple заменит голосовой ассистент Siri полноценным чатботом в iOS 27, iPadOS 27 и macOS 27, сообщает Bloomberg. Проект под кодовым названием Campos будет работать на кастомной версии Google Gemini — за эту технологию Apple платит около $1 млрд в год.
В этой статье я разберу, как реализовать передачу JPEG-видео по RTP поверх UDP напрямую с ESP32 - так, чтобы поток открывался в VLC и ffplay, без RTSP, FFmpeg и промежуточных серверов.
Я провожу много собеседований как нанимающий менеджер (тимлид и руководитель проектов) в последние 3 с лишним года. Суммарно у меня их было около 100. И на этом опыте я хочу подсказать вам, уважаемые соискатели, одну вещь, которая позволить вам сильно выделиться на фоне остальных и, как следствие, иметь больше шансов на получение работы.
Если одним словом, это системность. Поясню.
Arduino расширила линейку плат Uno Q версией с 4 ГБ ОЗУ и 32 ГБ постоянной памяти. Компания отмечает, что такие параметры позволяют использовать устройство в качестве одноплатного компьютера на Linux.
В прошлом году делал 3д биллиард, потратил тогда около 1 дня и на самом деле так и не доделал. Не хватало окна запроса. 1 год для ЛЛМ это очень большой срок, много что поменялось. Со второго захода с codex 5.2 xHigh понадобилось порядка 1 часа и $2 на токены.
Это к вопросу о том что LLM стоят на месте и прогресса нет.
Это больше эксперимент, попытка посмотреть сколько времени нужно что бы сделать повторить один из моих студенческих проектов которые я делал в 18 лет больше 20 лет назад. Тогда это у меня заняло больше 2 недель, я писал на Delphi/Direct 3d. Впрочем, он был гораздо проще, в том проекте использовались модельки, а тут процедурная генерация моделей и текстур.
Более менее работает, можете поиграть по ссылке ниже (браузерная версия)Управление кием мышкой, бить пробелом
Посмотреть можно тут https://stockchart.ru/assets/images/pool/index.html
Проект на Angular, поэтому немного раздут
В конце 2025 года активизировались мошенники, которые создают учётные записи OpenAI и рассылают фишинговые письма под видом официальных обращений от самой компании. О новой схеме ТАСС рассказали в «Лаборатории Касперского».
OpenAI даёт возможность создавать аккаунты для организаций и объединять пользователей для совместной работы. Этим пользуются злоумышленники, которые указывают свои телефонные номера и мошеннические ссылки в названии организации. Преступники также активно применяют функцию приглашения пользователей в организацию по электронной почте.
На форуме в Давосе генеральный директор Anthropic Дарио Амодей выступил с резкой критикой решения американских властей разрешить экспорт ИИ-чипов в Китай. Под удар попала и сама Nvidia, несмотря на то, что именно она вложила в Anthropic около 10 миллиардов долларов.
Российские власти планируют ужесточить контроль за курьерской деятельностью. По информации РБК, со следующего года в стране начнёт действовать лицензия и специальный реестр для курьеров, что позволит регулировать их работу на общероссийском уровне.
Согласно законопроекту, который разрабатывает дептранс Москвы, с 1 сентября 2027 года для работы курьером потребуется разрешение на осуществление деятельности и регистрация в реестре. Помимо этого, доставка товаров потребует обязательного прохождения медицинских осмотров и проверки знаний ПДД.
OpenAI внедряет новый механизм предиктивного анализа, который помогает системе определять возраст пользователя на основе косвенных признаков. Алгоритм учитывает не только данные регистрации, но и время активности в чате, историю аккаунта и типичные поведенческие паттерны. Если модель решает, что перед ней несовершеннолетний, ChatGPT ограничивает доступ к взрослому контенту.
