Mozilla сообщила о начале распространения официальных RPM‑пакетов браузера Firefox (пока что в рамках релизов Firefox Nightly) для RPM-based дистрибутивов Linux. Поддерживаемые дистрибутивы включают в себя openSUSE, Red Hat Enterprise Linux, CentOS, Rocky Linux, Fedora Linux и их производные.
20 января 2026 года состоялся выпуск веб-браузера Pale Moon 34.0. Это решение является ответвлением от кодовой базы Firefox для обеспечения более высокой эффективности работы с сохранением классического интерфейса, минимизации потребления памяти и предоставлением дополнительных возможностей по настройке.
Скрытые уязвимости в CI/CD: что мы упускаем и как защитить процесс доставки
CI/CD давно перестал быть просто удобным способом ускорить релизы. Сегодня это критическая часть цепочки поставки, через которую проходит весь код, зависимости и инфраструктурные изменения. Именно поэтому пайплайн всё чаще становится целью атак, при этом многие уязвимости остаются незаметными годами.
Одна из самых недооценённых проблем — избыточные права. Токены доступа, используемые в пайплайнах, часто имеют больше разрешений, чем требуется для конкретного шага. Компрометация такого токена даёт атакующему доступ не только к репозиторию, но и к облачной инфраструктуре, артефактам и секретам.
Вторая зона риска — зависимости и сторонние экшены. Автоматизация строится на готовых шагах и шаблонах, которые редко проходят полноценный аудит. Обновление популярного экшена или контейнерного образа может незаметно внести вредоносный код в процесс сборки, и он будет исполняться с доверенными правами.
Отдельного внимания заслуживает хранение секретов. Даже при использовании секретных хранилищ они нередко утекaют в логи, артефакты или кэши. Проблема усугубляется тем, что логи CI часто доступны большему кругу людей, чем production-системы.
Неочевидная, но опасная категория уязвимостей — доверие к окружению сборки. Самохостинг раннеров без изоляции, повторное использование виртуальных машин и отсутствие очистки после джобов позволяют атакующему закрепиться в системе и влиять на последующие сборки.
Защита CI/CD начинается с принципа минимальных привилегий. Каждый токен, сервисный аккаунт и ключ должен иметь строго ограниченный набор прав и короткий срок жизни. Второй шаг — контроль цепочки зависимостей: фиксация версий, проверка хэшей, собственные зеркала и регулярный аудит используемых экшенов и образов.
Важно также относиться к пайплайну как к коду: проводить ревью изменений, логировать подозрительные действия и мониторить аномалии. Изоляция окружений, одноразовые раннеры и автоматическая ротация секретов значительно снижают потенциальный ущерб от атаки.
CI/CD — это не просто автоматизация, а часть поверхности атаки. Чем раньше это осознаётся, тем меньше шансов, что уязвимость проявится уже после успешного релиза.
А какие риски в своих пайплайнах вы обнаружили только со временем?
Зима. Снег. Морозный воздух. Но выходить на улицу не хочется. А фотосессия нужна. Хорошая новость: нейросети научились создавать зимние фотографии, которые не отличить от профессиональной съёмки, и всё это можно сделать, сидя дома с чашкой горячего чая, просто написав текстовый промт и отправив его искусственному интеллекту на обработку.
Мы собрали 15 промтов для создания атмосферных зимних фото в русском стиле ❄️
Как я построил систему мониторинга LLM-приложений и научил AI анализировать собственные ошибки
AI-ассистенты в IDE стали незаменимыми помощниками разработчиков, но остаются чёрными ящиками. Мы не видим что они делают "под капотом", сколько это стоит и где теряется время. В статье покажу как построить системуobservability для AI-агентов: от Cursor IDE до production, с AI-анализом трейсов и открытым исходным кодом.
Пользователь Reddit spaceman329 поделился своей историей: он заказал на Amazon видеокарту GeForce RTX 5080, а потом отменил заказ и получил деньги за него обратно. Но ему всё равно пришла заказанная видеокарта, и Amazon разрешил оставить её без всяких доплат.
Привет, Хабр! На связи команда разработки ChameleonLab.
Наш проект — программный комплекс для стеганографии и защиты данных — перешагнул отметку в 300 000 скачиваний (суммарно для Windows и macOS). Такая база пользователей кардинально меняет подход к разработке. Мы больше не можем позволить себе «гаражные» методы, которые ломают структуру файлов или заставляют плееры вести себя непредсказуемо.
Нас часто спрашивают, почему в публичной версии до сих пор нет кнопки «Спрятать в музыку». Ответ прост: мы не хотим выпускать сырой функционал. Последние два месяца мы провели в закрытом R&D, пытаясь решить одну задачу: как спрятать файл в MP3 так, чтобы ни один плеер и ни один спектроанализатор этого не заметил?
Глава Google DeepMind Демис Хассабис заявил на Всемирном экономическом форуме в Давосе, что у Google нет планов добавлять рекламу в ИИ-ассистент Gemini. Это ответ на решение OpenAI, которая 16 января анонсировала тестирование рекламы в ChatGPT для бесплатных пользователей и подписчиков тарифа Go ($8/мес).
Хакерская группировка RansomHub заявила о взломе серверов китайского производителя Luxshare, который отвечает за сборку гаджетов Apple, включая iPhone, AirPods, Apple Watch и Vision Pro. Злоумышленники угрожают опубликовать данные, если компания не заплатит выкуп. Помимо данных Apple в утечке есть производственная документация Nvidia, LG, Tesla и Geely.
Не пользуюсь LLM-агентами, если могу. Давно замечаю: просто избегаю запускать LLM прямо в проекте, потому что боюсь разучиться кодить и думать. Поход в ChatGPT себе разрешаю — это как встать с дивана, чтобы пойти в магазин, а не заказывать доставку на дом. Там нужно правильно сформулировать запрос, потому что он не может добрать контекст проекта сам. Можно перекинуться парой мыслей, как с товарищем на работе. Надо подумать, как применить ответ, что выкинуть. В итоге я всё равно как-то худо-бедно программирую сам.
Пока я отрицаю прогресс, из мира агентов доносится много шума про управление контекстом и токенами. Агенты в ответ на запросы жрут лимиты по токенам, выделенные на отрезок времени. Ну либо запросы по API просто тарифицируются. Причем чем дольше общаешься с нейросетью, тем больше контекста ей нужно держать, учитывать, корректировать, сжимать. Помимо этого, нейронка ещё подглядывает правила проекта в .md-файлах, что-то помнит между переписками.
Чем больше у нейронки пузырь вашего контекста, тем хуже она работает. Путается в постоянно пополняющихся правилах, корректировках и ограничениях. Наконец, контекстный оверхед — это еще очень дорого. Каждый запрос к API содержит тысячи «мусорных» токенов и выжирать лимиты получается еще быстрее.
В ответ на это индустрия на венчурные деньги придумывает и продвигает свои «велосипеды», чтобы с помощью агентов эффективнее и дешевле решать задачи:
В Cursor IDE есть Rules, которые накладывают ограничения поверх ваших промптов. Их можно применять вручную или автоматически; говорят, автомат работает хуже.
Anthropic пиарит Skills (еще пример Playwright Skill). Это интерфейс для решения типовых задач с адаптивными ступенями контекста в зависимости от сложности.
Есть MCP (Model Context Protocol) — условное API, которое расширяет возможности агентов, чтобы они не писали собственные инструменты и не тратили контекст и токены на типовые задачи: открыть браузер, прочитать Jira, отправить письмо и т. д.
Также есть субагенты; их оркестрирует агент-оркестратор. У субагентов чистый контекст: они получают задачу, выполняют её и идут на «свалку».
И вот среди этого новояза я – старпер со своим ChatGPT: после 2–3 запросов удаляю чат и начинаю новый. Вот моя экономика токенов и галлюцинаций. Меня и Альтмана маркетингом не проведешь!
Астрономы с помощью космического телескопа Хаббл получили убедительные доказательства того, как возникают так называемые «голубые страгглеры» — звёзды, которые выглядят значительно моложе своих соседей в богатых звёздами древних скоплениях. Эти объекты на протяжении десятилетий вызывали недоумение: они ярче и горячее звёзд аналогичного возраста, хотя все они должны были сформироваться примерно в одно и то же время миллиарды лет назад. Новые наблюдения проливают свет на то, почему некоторые звёзды «отклоняются» от обычной эволюционной траектории и словно получают вторую молодость.
Apple заменит голосовой ассистент Siri полноценным чатботом в iOS 27, iPadOS 27 и macOS 27, сообщает Bloomberg. Проект под кодовым названием Campos будет работать на кастомной версии Google Gemini — за эту технологию Apple платит около $1 млрд в год.
В этой статье я разберу, как реализовать передачу JPEG-видео по RTP поверх UDP напрямую с ESP32 - так, чтобы поток открывался в VLC и ffplay, без RTSP, FFmpeg и промежуточных серверов.
Я провожу много собеседований как нанимающий менеджер (тимлид и руководитель проектов) в последние 3 с лишним года. Суммарно у меня их было около 100. И на этом опыте я хочу подсказать вам, уважаемые соискатели, одну вещь, которая позволить вам сильно выделиться на фоне остальных и, как следствие, иметь больше шансов на получение работы.
Arduino расширила линейку плат Uno Q версией с 4 ГБ ОЗУ и 32 ГБ постоянной памяти. Компания отмечает, что такие параметры позволяют использовать устройство в качестве одноплатного компьютера на Linux.
В прошлом году делал 3д биллиард, потратил тогда около 1 дня и на самом деле так и не доделал. Не хватало окна запроса. 1 год для ЛЛМ это очень большой срок, много что поменялось. Со второго захода с codex 5.2 xHigh понадобилось порядка 1 часа и $2 на токены.
Это к вопросу о том что LLM стоят на месте и прогресса нет.
Это больше эксперимент, попытка посмотреть сколько времени нужно что бы сделать повторить один из моих студенческих проектов которые я делал в 18 лет больше 20 лет назад. Тогда это у меня заняло больше 2 недель, я писал на Delphi/Direct 3d. Впрочем, он был гораздо проще, в том проекте использовались модельки, а тут процедурная генерация моделей и текстур.
Более менее работает, можете поиграть по ссылке ниже (браузерная версия)Управление кием мышкой, бить пробелом
В конце 2025 года активизировались мошенники, которые создают учётные записи OpenAI и рассылают фишинговые письма под видом официальных обращений от самой компании. О новой схеме ТАСС рассказали в «Лаборатории Касперского».
OpenAI даёт возможность создавать аккаунты для организаций и объединять пользователей для совместной работы. Этим пользуются злоумышленники, которые указывают свои телефонные номера и мошеннические ссылки в названии организации. Преступники также активно применяют функцию приглашения пользователей в организацию по электронной почте.
На форуме в Давосе генеральный директор Anthropic Дарио Амодей выступил с резкой критикой решения американских властей разрешить экспорт ИИ-чипов в Китай. Под удар попала и сама Nvidia, несмотря на то, что именно она вложила в Anthropic около 10 миллиардов долларов.
Российские власти планируют ужесточить контроль за курьерской деятельностью. По информации РБК, со следующего года в стране начнёт действовать лицензия и специальный реестр для курьеров, что позволит регулировать их работу на общероссийском уровне.
Согласно законопроекту, который разрабатывает дептранс Москвы, с 1 сентября 2027 года для работы курьером потребуется разрешение на осуществление деятельности и регистрация в реестре. Помимо этого, доставка товаров потребует обязательного прохождения медицинских осмотров и проверки знаний ПДД.
OpenAI внедряет новый механизм предиктивного анализа, который помогает системе определять возраст пользователя на основе косвенных признаков. Алгоритм учитывает не только данные регистрации, но и время активности в чате, историю аккаунта и типичные поведенческие паттерны. Если модель решает, что перед ней несовершеннолетний, ChatGPT ограничивает доступ к взрослому контенту.