До сих пор оценка эффективности нейросетей и ML-моделей в бизнесе часто напоминала гадание. Команды хвастались «высокой точностью модели», а финдиректора разводили руками, не понимая, где реальные деньги.
Чтобы разобраться с этим вопросом, команда Альфа-Банка совместно с Альянсом в сфере ИИ, Ассоциацией ФинТех и двумя десятками ведущих компаний разработали методику расчёта финансового эффекта от ИИ-проектов и упаковали её в документ под названием «Методология оценки финансовой эффективности от ИИ/ГенИИ».
Это детальный гайд на 88 страниц о том, как прекратить считать «виртуальные деньги» и начать управлять ИИ как жестким инвестиционным портфелем. В документе подробно описаны ответы на вопросы «Какими метриками можно оценить фин. эффект от ИИ?», «Какими методами можно посчитать эффект от ИИ?», «Как избежать двойного посчёта эффекта от проекта?», добавлены примеры расчётов на примере кейсов внедрений и описаны типовые ошибки.
Методология прошла публичную проверку на совместном митапе с Альянсом в сфере искусственного интеллекта, и мы можем с уверенностью сказать, что она работает. Документ опубликован, переходите по ссылке, и применяйте у себя.
4 июня собираемся с мобильными разработчиками в атмосфере любимых фэнтези и настольных ролевых игр — на Alfa Mobile D&D party. Впереди приключение для истинных авантюристов: объединяйтесь в отряды и открывайте секреты башни.
Друиды поделятся мудростью:
С техническим лидером Android-разработки Виталием Перятиным обсудим, что на самом деле под капотом у MCP. Спойлер: всё просто
С ведущим iOS-разработчиком Петросом Тепояном погрузимся в мир ИИ-разработки и приключений, или Туда и обратно
Завершим игру вечеринкой. Советуем подумать над образом своего персонажа: за 3 лучших подарим подарки!
Где: в секретном баре в Москве. Локацию пришлём с соколом в письме.
Это звукиТехно-Квартирника, нашей регулярной неформальной встречи сообщества A?.Frontend. В этот раз встречаемся в Москве, в нашем ИТ-офисе на Технопарке, и онлайн — из любой точки мира.
27 мая (среда) в 19:00 переходим в режим «техно», чтобы разобрать примеры, как использовать ИИ-агенты в разработке интерфейсов:
Чистая архитектура frontend-приложений и при чём здесь ИИ-агенты?
Илья Агапов, технический лидер разработки, Данила Звягин, ведущий разработчик, Альфа-Банк
Как я поднял ИИ-агента и снова стал высыпаться: OpenClaw, скиллы и корпоративная рутина
Роман Троицкий, старший разработчик интерфейсов (frontend), Сбер
Ищем эксперта в команду AppSec, который будет сопровождать ИТ-команды на всех этапах разработки, моделировать угрозы, анализировать безопасность архитектуры проектов и помогать внедрять новые ИБ инструменты и практики.
Что важно:
Знать основы информационной безопасности: протоколы, средства защиты информации, их назначение, инфраструктуру PKI и принципы работы криптографических алгоритмов
Уметь находить и устранять веб-уязвимости из OWASP Top 10, OWASP Mobile Top 10 и CWE Top 25
Иметь опыт практического анализа защищенности и анализа архитектурной документации от двух лет
Знать технологии построения прикладных систем, в том числе с использованием микросервисов и контейнеризации
Готовимся к ЦТФ на примере задачи «Киберремонт киберпанциря»
ЦТФ (CTF, Capture the Flag, «Захват флага») — это соревнования, на которых в течение нескольких дней вы отвлекаетесь от рабочей рутины и пытаетесь найти «флаг» — специальную секретную информацию, которая зашита в разработанные для игры системы, заполучив которые можно только через взлом. Потому задания на соревнованиях ЦТФ имеют странные названия и не менее странные описания, ведь игра должна вырвать вас из рутины рабочих тасок, а не вогнать ещё сильнее.
При этом задачи на турнирах охватывают разные области кибербезопасности: поиск веб-уязвимостей, реверс-инжиниринг, расследование инцидентов и т.п. На примере сложной задачи «Киберремонт киберпанциря» на Альфа ЦТФ коротко пройдёмся, какие нужны знания и как думать, чтобы решать задания. Разбор пригодится 25 апреля, когда состоится Альфа ЦТФ 2026 с призовым фондом 3 100 000 рублей!
⚡️ Выбирайте трек, объединяйтесь в команду или участвуйте индивидуально — и оставляйте заявку на сайте.
Описание задачи:
«Вы прогуливаетесь вдоль берега и вдруг видите на песке цифры 404, а неподалёку от них — огромную черепаху. Она с грустью рассказывает, что недавно сломала свой киберпанцирь. Теперь везде, где бы ни прошла Тортилла, остаются надписи Error 404, Page not found или Server is unavailable. Помогите черепахе починить покров: для этого разберите и заново соберите в правильном порядке все микросхемы. Черепаха рассылала всем знакомым мастерам ссылку на схему верной сборки чипов в панцире с помощью этого сервиса — но увы, ни один ремонтник не откликнулся, а ссылка уже давно протухла.
В данной задаче нам необходимо подобрать необходимую комбинацию чипов (на панцире), чтобы получить флаг, а из условия известно, что изображение с данной комбинацией уже существовало и у изображения есть уникальный хэш картинки.
У этой задачи есть два решения.
№1. Достать картинку из кэша, используя инструменты фаззинга. Фаззинг — перебор директорий, файлов, скрытых и служебных ресурсы, HTTP-запросов посредством различных инструментов вроде Param Miner, ffuf или Webalizer. Подобные инструменты хороши тем, что предоставляют статистику по всем событиям веб-сервера, например, по переходам на Телеграм-бот. Далее найти закэшированное изображение — дело техники.
№2. Второе решение — короткое — использовать Burp Suite, платформу для тестирования безопасности веб-приложений (о нём также рассказывали в статье выше). Воспользовавшись Burp Suite можно обнаружить, что токен JWT подписан с использованием общеизвестного секретного ключа HMAC. Через JWT Decoder генерируем токен для пользователя admin и получаем доступ к админской сессии. Готово.
Для решения подобных задач и успешного участия в Альфа ЦТФ вам потребуется сочетание навыков из областей Web Security и General IT.
1. Тестирование веб-приложений (Web Security):
Фаззинг (Fuzzing): умение работать с инструментами перебора для поиска скрытых файлов, директорий и забытых бэкапов в кэше.
Работа с прокси-инструментами: владение Burp Suite (или OWASP ZAP) для перехвата и анализа HTTP-трафика, подмены параметров и поиска уязвимостей в логике приложения.
2. Криптография и аутентификация:
Работа с JWT (JSON Web Tokens): понимание структуры токена, умение декодировать его и проверять на слабые методы шифрования (например, использование стандартных ключей HMAC).
Манипуляция сессиями: навык подделки токенов для повышения привилегий (например, получение прав admin).
3. Общие технические знания:
Анализ условий: умение находить в тексте задания «зацепки» (упоминание протухших ссылок, хэшей или специфических ошибок вроде 404).
Открываем регистрацию на Альфа ЦТФ 2026 — в этом году будем искать флаги на заоблачных высотах. Поэтому советуем брать с собой карабины и альпинистские верёвки, чтобы добраться до всех уязвимостей и покорить небоскрёбы.
⚡️ Выбирайте трек, объединяйтесь в команду или участвуйте индивидуально — и оставляйте заявку на сайте
Столько получили исследователи за найденные уязвимости
Проверять безопасность наших сервисов и ресурсов помогают независимые эксперты — багхантеры на платформе BI.ZONE. Мы постоянно расширяем области тестирования и, конечно, увеличиваем награды. Вот немного цифр:
🔸 3 года работает программа 🔸 В 2025 году сделали её публичной — каждый может найти уязвимость и получить награду 🔸 340 отчётов об уязвимостях приняли 🔸 До 1 000 000 ₽ можно получить за нахождение критической уязвимости
🔸 Сколько заработали топ-3 исследователя:
1 место — 1 940 500 ₽ 2 место — 1 898 000 ₽ 3 место — 1 594 400 ₽
🔸 30+ сервисов и ресурсов Альфа-Банка открыты для тестирования. Присоединяйтесь к программе охоты за уязвимостями по ссылке и получайте вознаграждения.
Обсерватория или свой телескоп? На что потратить 40 000?
Узнаем, что выбрал коллега с детства мечтавший о космосе.Иногда лучший первый шаг в астрономии — не купить телескоп, а сначала понять, что именно вы хотите наблюдать и как это выглядит вживую.
В статье «Почему я посетил частную обсерваторию, а не купил телескоп» автор рассказывает, как вместо покупки оптики выбрал поездку в частную обсерваторию в Архызе: несколько ночей под тёмным небом, наблюдения через серьёзный инструмент и разговоры с людьми, которые этим реально живут.
Если хочется не просто «чатик с нейронкой», а локального AI агента, который умеет ходить в инструменты (файлы и т. п.) и выполнять твои задачи, то вот статья, которую реально можно повторить руками: «От чат-бота к AI агенту: собираем локальную систему на LibreChat, Langflow и MCP». Это подробнейший мануал с пятью уровнями сложности!
В этой статье покажем, как собрать связку из трёх ключевых компонентов:
LibreChat — UI для работы с LLM
Langflow — low-code платформа и визуальный редактор
MCP — стандарт для подключения инструментов
Структура статьи «по нарастающей»: можно остановиться на любом уровне — от простого локального чата до кастомизируемого агента.
Если вам интересны вызовы защиты ML-систем от современных атак и вы хотите развиваться в MLSecOps, присоединяйтесь к нашей команде, мы в поисках специалиста по защите искусственного интеллекта. Откликайтесь на вакансию по ссылке.
Мы возвращаемся с новым форматом QAчественного общения — антимитапом для тестировщиков.
Когда: 27 марта Где: Санкт-Петербург, offline only
В этот раз сделали два зала и два настроения:
🔥 Test core Пространство вызовов, острых тем и адреналина. Сарказм приветствуется, личные нападки — запрещены.
Будут холивары: «Hard Skills для QA — это про инструменты или про понимание систем?», «Как меняется профессия QA с приходом AI».
💆♀️ Debug Зал для размышлений и рефлексии. Здесь не доказывают, а задаются вопросами и делятся гипотезами. Тот самый safe space, чтобы подумать о будущем QA.
Будут дискуссии: «Как принять свою роль и стать хорошим тестировщиком», «ИПР: развитие специалиста — это задача компании или специалиста?».
Вы сами выбираете маршрут. Можно передвигаться между залами и собирать инсайты с двух полюсов или остаться в одном пространстве и погрузиться в его формат.
Проджект, который следит за всем процессами — это удобно… пока команда не начинает «ждать взмаха палочки» по любому вопросу. В статье нашего Lead PM Наташа Епифанова разбирает, как вырастить самостоятельную команду, которая принимает решения и держит ответственность без постоянного менеджерского посредничества.
Если вы хотите, чтобы команда росла в ответственности, а вы постепенно переходили «из дирижёра в зрители» — забирайте в закладки статью.
Промпт-инъекция — это атака, когда вредоносную инструкцию прячут в письме, комментарии или документе, а LLM/агент воспринимает её как команду. Но проблема глубже. Если агенту дали инструменты и доступы без жёстких ограничений, он может выполнить внешнюю «инструкцию» и привести к утечке или опасным действиям.
Что вы представляете, когда кто-то говорит об AI-driven компании? Может быть, как чат-боты улучшают опыт клиентов? Или как сотрудники разворачивают любые модели для своих нужд? А может, как ИИ-агенты разбирают кучу электронных писем и назначают встречи в календаре, копилоты пишут код за разработчиков и исправляют баги? Что в этой красивой истории может пойти не так и почему безопасность систем искусственного интеллекта не ограничивается защитой от джейлбрейков и промпт-инъекций — разберёмся в статье «Почему промпт-инъекции — это симптом, а не болезнь безопасности ИИ».
До 12 марта проводим сессию в формате «Ask Me Anything» в Сетке. Спросите о чём угодно наших экспертов по направлениям: кибербезопасность, системный анализ, тестирование на C# и ИТ-подбор.
Опубликуйте у себя в профиле пост с вопросом и добавьте хештег #спросиальфу. Сделать это можно до 12 марта.
13 марта выберем лучшие вопросы и подарим их авторам мерч.
…но только если подпишетесь на наше сообщество в Сетке. До 4 марта там рассказываем:
🔴 Как попасть в кибербезопасность 🔴 Как устроена роль AppSec Business Partner в Альфа-Банке 🔴 Какие практики безопасной разработки помогают защищать банк
А с 5 по 12 марта проведём AMA-сессию, на которой вы сможете задать свои вопросы экспертам по четырём направлениям:
👉 Кибербезопасность 👉 Тестирование на C# 👉 Системный анализ 👉 IT-подбор
Когда в Android-проекте ≈800 модулей и 37 000 unit-тестов, полный прогон на CI легко превращается в полдня ожидания. У нас было ровно так: больше 3 часов на полный запуск — и ощущение, что локально это вообще не вариант. А потом команда нашла настоящие причины тормозов и довела прогон до 12 минут.
Статья про то, о чём не спрашивают на собесeдованиях и не рассказывают на курсах по Android-разработке — о неявной особенности Android, которая влияет на деградацию производительности и приводит к невоспроизводимым ANR в вашем приложении.
SharedPreferences часто используют «по привычке» — сохранить токен, флажок, пару строк. Но в какой-то момент это начинает тормозить интерфейс и даже приводить к ANR, особенно если запись/чтение происходит не там и не тогда, где вы ожидаете. Автор делится измерениями производительности, показывает, как деградация превращается в потерю кадров при переходах между экранами, а затем сравнивает варианты.
Эта статья будет особенно интересна Android-разработчикам и тимлидам, которые уже сталкивались с мистическими ANR, просадками перформанса и фризами на слабых девайсах, а также тем, кто держит в приложении много сторонних SDK и хочет понимать, как неявные записи в SharedPreferences могут незаметно копить нагрузку.
Стоимость компаний, занимающихся искусственным интеллектом, исчисляется сотнями миллиардов долларов. В связи с этим возникает один неудобный вопрос — «Где деньги?».
В статье «Где деньги, Сэм?», или Могут ли AI-модели приносить прибыль на примере OpenAI? — разбор экономики OpenAI на основе открытых данных, утечек и публичных заявлений: сколько может стоить эксплуатация модели, какая получается маржинальность и почему даже при неплохой валовой рентабельности бизнес может оставаться убыточным.
Что внутри:
Чем отличается валовая рентабельность от операционной и почему в AI это критично;
Куда уходят деньги: вычисления, штат, маркетинг и сопутствующие расходы;
Почему окупаемость R&D может не сходиться, даже если продукт уже приносит выручку;
Какие выводы можно экстраполировать на рынок, а где важны оговорки.
Открываешь проект 2020 года и видишь знакомые имена в package.json: create-react-app, enzyme, moment.js, axios. Пять лет назад это был золотой стандарт. Сегодня же эти технологии вызывают у коллег искреннее недоумение: «Зачем это тут?»
Подготовили для вас быстрый, но очень полезный срез того, как за 5 лет поменялась ментальная модель фронтендера. Внутри инструменты реально умерли, разберемся почему SSR/SSG снова в игре, а TypeScript теперь почти must-have, узнаем почему фронтенд всё чаще = full-stack и что с этим делать.
Архитектурный минимум для аналитика: 4 вещи, чтобы понимать систему целиком
Иногда кажется, что «архитекторы — это боги»: говорят уверенно, рисуют схемы за 5 минут и будто всегда видят систему насквозь. Но правда проще: архитектор — это роль в команде, а аналитику вполне реально взять от архитектуры необходимый минимум — чтобы не просто передавать требования, а реально влиять на качество решения.
Осветили границу между анализом и архитектурой и показали, каким минимальным набором знаний в этой области должен обладать аналитик, чтобы не просто передавать требования, а активно влиять на качество конечного продукта.