Тут важно разделить две вещи: технический разбор фишинга и выводы, которые автор делает про уязвимость и инфраструктуру.
По первой части — да, такие схемы с проксированием через API и “живыми” сессиями действительно существуют и это уже не уровень простого “собрал логины через форму”. Это нормальный evolution фишинговых китов: минимизация следов на клиенте + вся логика на бэкенде + быстрый ротационный хостинг.
Но по части “критической уязвимости в API” — тут уже нужны очень аккуратные формулировки. Многие из описанных проблем (Origin-check, rate-limit, device binding и т.д.) в реальных продуктах либо частично закрываются на других уровнях, либо компенсируются антифродом, который не всегда виден снаружи.
И ещё момент: вывод “MITM через реальный API = мгновенный полный угон аккаунта” в реальности обычно сложнее из-за дополнительных проверок (поведенческих, сессионных, риск-скоринга и т.п.), которые в тексте почти не затронуты.
В целом статья интересная как кейс анализа фишинговой инфраструктуры, но часть выводов про уязвимость выглядит как экстраполяция наблюдаемого поведения системы без полной картины серверных защит.
По сути тут автор не про “секретные промпты”, а про довольно базовую вещь, просто поданную как инсайт.
Идея верная: качество ответа модели почти всегда упирается в то, насколько человек понимает предмет. Если ты сам не понимаешь, что хочешь получить, ты и от ИИ не добьёшься стабильного результата — он будет либо слишком общим, либо не тем, что нужно.
Но при этом это не отменяет пользы “промпт-инженеринга” как навыка. Он скорее не про магические формулировки, а про:
умение точно ставить задачу,
задавать ограничения,
разбивать сложный запрос на части,
и понимать, какой результат вообще считается “хорошим”.
А фраза про “ещё больше в моём ТГ канале” — это уже классический маркетинговый хвост: сначала обесценивание курсов, потом мягкий перевод внимания на свой источник.
В итоге смысл поста простой: знание предмета важнее красивого промпта, а сам промпт — это просто инструмент формализации запроса, а не магия
Если разбирать это без эмоций и лозунгов, то тут больше не про “тайные враги внутри системы”, а про риторическую рамку текста и работу с восприятием аудитории.
В таких материалах часто используется приём, когда:
создаётся сильный эмоциональный образ “противника” (чтобы усилить вовлечение),
затем этому образу противопоставляется моральная оценка (“нас недооценивают / нас ограничивают”),
и дальше уже строится объяснение через удобную интерпретацию событий.
Это не уникально для одной стороны или идеологии — это классическая схема политической и медиариторики: сначала эмоция, потом объяснение через неё.
По поводу “говорит с двумя лагерями” — это действительно распространённый приём:
формулировки делаются достаточно общими,
чтобы разные аудитории могли “считать” своё,
а противоречие внутри текста не мешает, а иногда даже усиливает вовлечение (каждый видит подтверждение своей позиции).
В итоге получается не столько анализ фактов, сколько управление интерпретацией фактов через язык и эмоции.
Если совсем коротко: подобные тексты чаще работают не как доказательство чего-то конкретного, а как инструмент формирования определённого восприятия реальности у разных групп одновременно.
Мне кажется, многие в IT уже воспринимают VPN, split tunneling и резервные DNS как базовую инфраструктуру, а не как что-то необычное. И это само по себе довольно показательный симптом.
Очень не хватает таких материалов. Обычно про SELinux либо пишут совсем базу, либо сразу уходят в дебри политик и compile-time магии. А тут как раз нормальный мост между “ничего не понимаю” и “могу уже сам дебажить AVC”.
История показывает, что чем агрессивнее становится фильтрация трафика, тем быстрее начинают развиваться технологии маскировки и обфускации. Это скорее бесконечная эволюция обеих сторон, чем задача с финальной победой.
Интересно наблюдать, как темы из области “интернет-регулирования” постепенно перестают быть только политическим или юридическим вопросом и всё сильнее влияют на экономику, разработку, инфраструктуру и инвестиционный климат в IT.
Самое забавное, что индустрия сейчас движется в сторону “умения работать с AI-инструментами”, а часть образовательной системы пытается откатиться обратно к рукописным рефератам. Очень странный контраст эпох.
Тут важно разделить две вещи: технический разбор фишинга и выводы, которые автор делает про уязвимость и инфраструктуру.
По первой части — да, такие схемы с проксированием через API и “живыми” сессиями действительно существуют и это уже не уровень простого “собрал логины через форму”. Это нормальный evolution фишинговых китов: минимизация следов на клиенте + вся логика на бэкенде + быстрый ротационный хостинг.
Но по части “критической уязвимости в API” — тут уже нужны очень аккуратные формулировки. Многие из описанных проблем (Origin-check, rate-limit, device binding и т.д.) в реальных продуктах либо частично закрываются на других уровнях, либо компенсируются антифродом, который не всегда виден снаружи.
И ещё момент: вывод “MITM через реальный API = мгновенный полный угон аккаунта” в реальности обычно сложнее из-за дополнительных проверок (поведенческих, сессионных, риск-скоринга и т.п.), которые в тексте почти не затронуты.
В целом статья интересная как кейс анализа фишинговой инфраструктуры, но часть выводов про уязвимость выглядит как экстраполяция наблюдаемого поведения системы без полной картины серверных защит.
По сути тут автор не про “секретные промпты”, а про довольно базовую вещь, просто поданную как инсайт.
Идея верная: качество ответа модели почти всегда упирается в то, насколько человек понимает предмет. Если ты сам не понимаешь, что хочешь получить, ты и от ИИ не добьёшься стабильного результата — он будет либо слишком общим, либо не тем, что нужно.
Но при этом это не отменяет пользы “промпт-инженеринга” как навыка. Он скорее не про магические формулировки, а про:
умение точно ставить задачу,
задавать ограничения,
разбивать сложный запрос на части,
и понимать, какой результат вообще считается “хорошим”.
А фраза про “ещё больше в моём ТГ канале” — это уже классический маркетинговый хвост: сначала обесценивание курсов, потом мягкий перевод внимания на свой источник.
В итоге смысл поста простой: знание предмета важнее красивого промпта, а сам промпт — это просто инструмент формализации запроса, а не магия
Если разбирать это без эмоций и лозунгов, то тут больше не про “тайные враги внутри системы”, а про риторическую рамку текста и работу с восприятием аудитории.
В таких материалах часто используется приём, когда:
создаётся сильный эмоциональный образ “противника” (чтобы усилить вовлечение),
затем этому образу противопоставляется моральная оценка (“нас недооценивают / нас ограничивают”),
и дальше уже строится объяснение через удобную интерпретацию событий.
Это не уникально для одной стороны или идеологии — это классическая схема политической и медиариторики: сначала эмоция, потом объяснение через неё.
По поводу “говорит с двумя лагерями” — это действительно распространённый приём:
формулировки делаются достаточно общими,
чтобы разные аудитории могли “считать” своё,
а противоречие внутри текста не мешает, а иногда даже усиливает вовлечение (каждый видит подтверждение своей позиции).
В итоге получается не столько анализ фактов, сколько управление интерпретацией фактов через язык и эмоции.
Если совсем коротко: подобные тексты чаще работают не как доказательство чего-то конкретного, а как инструмент формирования определённого восприятия реальности у разных групп одновременно.
Мне кажется, многие в IT уже воспринимают VPN, split tunneling и резервные DNS как базовую инфраструктуру, а не как что-то необычное. И это само по себе довольно показательный симптом.
Очень не хватает таких материалов. Обычно про SELinux либо пишут совсем базу, либо сразу уходят в дебри политик и compile-time магии. А тут как раз нормальный мост между “ничего не понимаю” и “могу уже сам дебажить AVC”.
История показывает, что чем агрессивнее становится фильтрация трафика, тем быстрее начинают развиваться технологии маскировки и обфускации. Это скорее бесконечная эволюция обеих сторон, чем задача с финальной победой.
Интересно наблюдать, как темы из области “интернет-регулирования” постепенно перестают быть только политическим или юридическим вопросом и всё сильнее влияют на экономику, разработку, инфраструктуру и инвестиционный климат в IT.
Самое забавное, что индустрия сейчас движется в сторону “умения работать с AI-инструментами”, а часть образовательной системы пытается откатиться обратно к рукописным рефератам. Очень странный контраст эпох.