30 апреля на PyPI обнаружили новую версию PyTorch Lightning, которая при импорте скачивала Bun и запускала 11,4 МБ опасного JavaScript-вора. Цель — браузеры, облачные API, GitHub-токены. Всего одна строчка импорта: import lightning — и все ваши API-ключи и данные будут скомпрометированы! Полный разбор инцидента внутри.

Большинство разработчиков очень боятся каждой ошибки в консоли Python. Всё моментально заливается красным, а порой понять суть ошибки без переводчика очень сложно. Сегодня я покажу, как сделать свою мини‑библиотеку для перевода всех консольных ошибок и предупреждений в Python. Это позволит сразу же понимать причину исключения и быстро вносить исправления в код. Проект подходит как для начинающих разработчиков, так и для опытных разработчиков, работающих со сложными библиотека или базами данных.

Представьте: вы открываете репозиторий g4f, видите пять строк кода — и вот уже ChatGPT отвечает на ваш вопрос, не спрашивая API-ключ и не прося денег. Мысль, которая приходит первой: «Наконец-то бесплатный доступ к сильному ИИ, остальные просто не умеют готовить». Но пока вы радуетесь, ваш запрос уже ушёл гулять по миру через десяток чужих серверов. И никто — включая вас — не знает, кто прочитал его по дороге и сохранил ли он этот текст на будущее.

Я покажу, как именно библиотека маскируется, почему реверс-инжиниринг здесь превратился в инструмент обхода защиты и во что обходится такая экономия, когда речь заходит о конфиденциальности, стабильности и законности. Если вы хотя бы раз вставляли g4f в свой проект — дочитайте до конца. Возможно, это убережёт вас от очень дорогих последствий.