Разработка

В последние десятилетия вопрос построения эффективных систем информационной безопасности (ИБ) все чаще поднимается как в госорганизациях, так и коммерческих компаниях. Причем не только крупных, но и средних. Сегодня рынок кибербезопасности предлагает очень широкий выбор: от комплексных платформ, содержащих множество функций до узкоспециализированных продуктов, решающих конкретные задачи. Кроме того, не стоит забывать о решениях на базе open source. На фоне этого многообразия заказчикам зачастую трудно собрать оптимальный набор инструментов, который обеспечит надежную защиту инфраструктуры.

Компания «Анлим», центр компетенций по информационной безопасности, в статье делится рейтингом пяти наиболее эффективных средств для защиты данных. О каждом классе, вошедшем в стартовый набор для построения системы ИБ, опираясь на многолетний опыт, подробнее расскажет Вячеслав Пронюшкин, первый заместитель технического директора.

Вот фотография новогодней ёлки в том виде, в котором видит матрица камеры.

Она даже не чёрно-белая, а серо-серая.

Причина этого в том, что хотя аналогово-цифровой преобразователь (АЦП) камеры теоретически способен выдавать значения от 0 до 16382, данные не покрывают весь этот диапазон.

Одна из самых впечатляющих способностей искусственного интеллекта - находить закономерности, которые ускользают от человеческого взгляда. В так называемом «обучении без учителя» разработчики не размечают данные заранее, а позволяют модели самостоятельно выявлять скрытые структуры. Результаты порой поражают: алгоритмы обнаруживают признаки рака на снимках задолго до того, как их заметит опытный радиолог.

Но у этого подхода есть оборотная сторона: мы никогда не знаем заранее, какие именно закономерности уловит машина.

Допустим, мы обучаем модель на наборе изображений:

Продолжаем обзор плагинов с маркетплейса GigaIDE. В прошлый раз мы рассмотрели три ИИ-помощника, расширяющих функциональность GigaCode и упрощающих рефакторинг. Сегодня продолжим эту тему, но уже с точки зрения тестирования. Все описанные ниже плагины совместимы с Community-версией GigaIDE и устанавливаются из маркетплейса по инструкции из предыдущей публикации.

Осторожно, спойлеры! Не читайте, пока хотите решить задачу самостоятельно.

В этой челлендж-серии статей, начатой с прошлогоднего эвента, попробуем использовать PostgreSQL как среду для решения задач Advent of Code 2025.

Возможно, SQL не самый подходящий для этого язык, зато мы рассмотрим его различные возможности, о которых вы могли и не подозревать.

Рынок найма IT-специалистов в России, кажется, реально «сломался» под натиском автоматизации. Соискатели массово вооружились нейросетями: автогенерация резюме, шаблонные сопроводительные письма и скрипты, которые пачками откликаются на вакансии. В ответ работодатели подкручивают фильтры, ATS и чат-ботов для первичного отбора — по сути, соискатели штурмуют рынок ИИ-откликами, а работодатели отбиваются ИИ-фильтрами. Флоу превращается в «битву двух ИИ», где люди — где-то рядом, иногда даже живые. (Habr)

Доходит до абсурда: HR пишет кандидату «Вы откликались на вакансию…», а кандидат отвечает «Это не я, это робот откликнулся». И вроде бы смешно, но рекрутеру — не всегда. (Сетка)

Решение hh.ru: с 15 декабря 2025 закрыли публичный API для соискателей. Старый добрый автоотклик через API (когда сервисы отправляли отклики «по кнопке» программно) — всё, приехали.

Теперь, чтобы автоматизация продолжала жить, приходится возвращаться в «ручной режим 2.0»: парсить HTML, эмулировать браузер и нажимать кнопки так, будто вы — очень мотивированный человек с бесконечным терпением.

Согласно Hype Cycle от Gartner за 2025 год, AI-агенты достигли пика завышенных ожиданий. Но что скрывается за хайпом с технической точки зрения? Самое время разобраться, чтобы не ждать от технологии чудес, а использовать её по назначению.

В статье объединим теорию и практику построения AI-агентов. Сначала разберем ключевые концепции: цикл Perception-Reasoning-Action, модель PEAS (Performance, Environment, Actuators, Sensors), уровни автономии. А затем, опираясь на эти принципы, построим работающего AI-агента 3-го уровня автономии. Наш технологический стек: 

- Оркестратор n8n;

- LLM через агрегатор OpenRouter;

- Telegram в качестве пользовательского интерфейса.

Микросервисный подход казался выбором по умолчанию в последнее десятилетие. «Делай микросервисы – и будет хорошо», – намекал опыт построения огромных программных систем. Вместе с тем в последнее время в сети всё чаще встречаются мнения, что «не нужны нам эти микросервисы», и тому есть причины.

Статья инспирирована переводом Распределенный монолит: тихий убийца мечты о микросервисах и некоторыми комментариями, отражающими, что тема описана не слишком подробно. Покажу видение данной темы немного с другой стороны.

Качество работы нейросети напрямую зависит от того, на каких данных она обучена. Обычно при обучении нейросетей мы имеем кучу запутанных скриптов, в которых, например, сломалась фильтрация выборки и поплыли все метрики, а в каком месте и почему это произошло — мы уже не сыщем. В случаях, когда генерация данных делается самой LLM, — бардак становится особенно дорогим.

У инженеров появилась идея: а давайте напишем аналог PyTorch’а для дата-инженеров — для всего цикла работы с данными для обучения нейросетей.

Разбираемся, из чего состоит фреймворк DataFlow, как работает DataFlow-агент и почему сегодня это особенно актуально.

Здравствуйте, товарищи! Меня зовут Валентин, и сегодня мы снова поговорим про Atomic CSS! Обсудим имеющиеся проблемы в верстке и посмотрим, как атомарный подход их решает (или не решает). Разберем основные мифы, посмотрим на лучшие практики этого подхода и сделаем выводы.

Эту статью можно отчасти считать продолжением моей предыдущей, по данной теме, хотя напрямую они не связанны. Но если там был хардкор и технические детали, то здесь уже разберем прикладные вопросы: как верстать в Atomic CSS, чтобы получить заявленный эффект.

Инерциальные модули (IMU, Inertial Measurement Unit) выполненные в виде MEMS-датчиков давно используются в смартфонах, игровых контроллерах, носимых устройствах, и т.д. В такой модуль входит акселерометр и гироскоп, вся обработка выполняется на основном процессоре смартфона или микроконтроллера. Для обработки поступающих данных от инерциального модуля, процессор должен быть постоянно в состояние активности. Например, для носимой электроники данный фактор не позволит отправить основной процессор в спящий режим. Вторая проблема заключается в большом лаге между наступлением события и реакции. Например, если необходимо обрабатывать события удара, пока ОС обработает поступающие данные и сделает вывод об ударе, времени на реакцию будет немного. Для решения указанных задач, и не только, компания STMicroelectronics разработала модуль LSM6DSV320X с искусственным интеллектом где вся обработка данных выполняется в самом модуле.

Чат‑боты, ассистенты и браузерные агенты прочно и надолго встроились в привычные нам процессы, а за этот год их развитие заметно ускорилось. При этом изменилась и поверхность атак, и уязвимым местом теперь может оказаться ваш промпт. Man‑in‑the‑Prompt – это атака, которая незаметно внедряет чужие инструкции в запрос и меняет поведение модели.

В этой статье я хочу рассказать, как такие атаки реализуются и какие шаги помогут вам от них защититься.

Салют, Хабр! Прошел ровно год с момента публикации моей первой статьи про загрузку видео с YouTube. Бонусом к статье шла небольшая утилита для... кхм... модификации сетевых пакетов. Это был небольшой скриптик на Python, форкнутый от theo0x0/nodpi. Я не делал на него совершенно никаких ставок, но в комментариях посыпались восторженные (нет) отзывы, обсуждения и просьбы выложить на GitHub. Через полгода, в мае, я опубликовал статью с презентацией NoDPI и подробными объяснениями, что, как и почему. Публикация зашла, попала в топы Хабра, аудитория на GitHub стала расти. Еще через месяц вышел NoDPI for Android - немного сыроватый и неудобный, но вполне работающий и справляющийся со своей задачей.

И вот на дворе конец 2025 года. За окном мороз, падает снег, а значит самое время подвести небольшие итоги...

Сегодня TLS используется повсеместно для безопасной передачи данных, и практически любой веб‑сайт работает по протоколу HTTPS. Но, кроме шифрования трафика, TLS позволяет реализовать аутентификацию клиентов по сертификату (mTLS). В этой статье мы настроим этот механизм на примере веб‑сервера Angie.

Куда нажать? Если коротко — сначала скачать из магазина приложений незнакомую программу, а при запуске разрешить принимать СМС. Если подробнее, то вот моя история. У ребенка забокировали Roblox. В наши дни каждый ребёнок знает, чтобы разблокировать нужно установить VPN. Ну а что — в наши то дни, все хотят VPN. Ребёнок открывает Google Play и говорит в микрофон «ВПН» — угдайте сколько всего нашлось. При запуске говорят «Что бы активировать VPN введите код из СМС». Ну ребёнок и ввёл. Это его ещё не спрашивали «Разрешить приложению принимать СМС», думаю ребёнок бы выбрал бы «разрешить» ведь его Roblox «запретили», в таком случае и код вводить непотребовалось бы. Вот собственно и всё. Приложение можно удалять, оно уже не нужно (VPN с него всё равно не работает), а с нашего телефона начали оплачиватся чьи‑то покупки в AppStore. Месяцем ранее оператор сотовой связи сказал «у вас кончились деньги, не хотите в долг до 10 тыс.?», ну или на их языке это «лимит на отрицательный баланс». Сейчас уже ни кто не может вспомнить как это подключилось, но лимит был как на связь так и на мобильные платежи MTC Pay. Когда набежал долг в 2.5 тыс. рублей испуганный ребёнок пришёл к маме. В тех. поддержке МТС сказали «погасите долг, тогда лимит можно отключить». Погасили, отключили. Но через несколько часов списания продолжились, набежала ещё 1 тыс. рублей. Оказывается чтобы отключить усугу нужно много времени (до суток). В тех. поддержке со второго раза установили «самую, самую железную блокировку на списания», а для отключения услуги пришлось долг опять погасить — по другому услугу не отключить. За возвртом денег нас послали в тех. поддержку Apple, это они забрали ваши деньги, а мы вам только в долг дали (кстати, если долг более 1 тыс. за него могут и проценты набежать). По выходным Apple не работает, дождались будних дней и рабочих часов. Среди жалоб «у нас Android, почему вы с нас берёте деньги» мы были далеко не единственные. Ответ получили такой: мы вас поняли, все проверим но деньги вернём только 50 на 50, надо всё тщательно проверить, если найдём что это случилось по ошибке.

Привет, Хабр! Меня зовут Андрей Боков, я главный архитектор отдела разработки хранилищ данных в «Газпром ЦПС». Если вы хоть раз сталкивались с тем, что информация о сотрудниках не соответствует в различных корпоративных системах, например, 1С, электронный документооборот, корпоративный портал, система управления проектами, – вы понимаете, о чем сейчас пойдет речь. Мы пробовали решить эту проблему точечными интеграциями, но с ростом числа систем увеличивался и хаос в данных. Нам был нужен единый контур, который позволит проследить путь данных от источников до отчета.

Так началась работа над корпоративным хранилищем данных (КХД). Мы выбрали многослойную архитектуру и методологию Data Vault 2.0 – подход, который сохраняет историю изменений и дает возможность подключать новые источники без перепроектирования структур хранилища. В статье я расскажу про наш опыт, который будет полезен специалистам по работе с данными: руководителям, архитекторам, аналитикам и инженерам. Подробно опишу, как мы строили ядро КХД и какие уроки и инсайты вынесли по результатам реализации.

Всем привет! Подводим итоги месяца дайджестом ключевых ИБ-новостей. Декабрь удался на славу: его открыла React2Shell, встряхнувшая сеть, а закрывает MongoBleed, подпортившая многим праздничный сезон.

Декабрь принёс и другие горячие новости: у Spotify случился незапланированный децентрализованный бэкап, а у подрядчика PornHub утекла история просмотров премиальных юзеров. “Лаборатория Касперского” делает оптимистичные выводы о конце киберпреступной вольницы в Telegram, китайские умельцы выпустили опенсорсную модель для геолокации, а расшаренные чаты с ИИ-моделями используют в качестве вектора атаки. Об этом и других интересных новостях последнего месяца года читайте под катом!

Когда мы смотрим на очередное видео, где робот ловко перебирает предметы или открывает дверь, кажется, что будущее почти наступило, хотя в реальности даже самым продвинутые модели остаются талантливыми, но узкими специалистами. Их развитие упирается в сложности обучения: стоимость сборов траекторий, закрытые датасеты и портирование навыков между разными моделями. 

Я Артем Лыков, ведущий RnD-разработчик в МТС Web Services. А параллельно — аспирант в Лаборатории интеллектуальной космической робототехники Сколтеха (руководитель Дмитрий Тетерюков), где лидирую направление когнитивной робототехники. Вместе с коллегами по лаборатории мы описали способ обойтись без многомесячных записей движений и сложных симуляций, опираясь на уже существующие VLA-модели и модульный агентный подход, позволяющий генерировать будущие действия робота прямо из картинки и текста, проверять их, править, повторять и в итоге добиваться результата, сравнимого со специализированными решениями. В этом материале я разберу архитектуру PhysicalAgent, покажу, как мы реализовали цикл Perceive → Plan → Reason → Act для роботов, и расскажу, чем нам помогли открытые видеомодели и как этот подход помогает переносить навыки между разными платформами.

Свежая публикация экспертов «Лаборатории Касперского» анализирует новую тактику распространения троянской программы Webrat. В начале года эта же программа распространялась под видом читов для популярных игр, таких как Rust и Counter-Strike, а также для платформы Roblox. Судя по всему, организаторы атаки решили расширить аудиторию потенциальных жертв и применили достаточно необычный (хотя и неуникальный) метод: троян распространяется через репозитории на GitHub под видом эксплойтов для «популярных» уязвимостей.

Какие именно уязвимости считают популярными кибермошенники — достаточно любопытная информация. В статье «Лаборатории Касперского» упоминаются три проблемы с достаточно высоким рейтингом опасности по шкале CVSS v3. Это CVE-2025-59295 (8,8 балла из 10 возможных) — свежая, закрытая в октябре 2025 года, уязвимость в браузере Internet Explorer, эксплуатация которой может приводить к выполнению произвольного кода в результате посещения вредоносной страницы. Проблема CVE-2025-10294 (9,8 балла) затрагивает расширение OwnID Passwordless Login для платформы WordPress и позволяет обойти систему аутентификации. Наконец, уязвимость CVE-2025-59230 (7,8 балла) в компоненте Windows под названием Remote Access Connection Manager открывает возможность локального повышения привилегий.

Система ЕРИП (Автоматизированная информационная система «Расчет») функционирует в Беларуси с 2008 года. До недавнего времени для предпринимателей и бизнесменов, принимающих через нее платежи, возврат средств был болезненной темой. Уведомление о платеже поступало мгновенно — а вот вернуть деньги клиенту можно было только через многоэтапную, ручную процедуру, требующую сбора реквизитов, согласований и ожидания. 

Недавно возвраты в ЕРИП перешли в полноценный онлайн-режим — и это не не просто хорошая новость, а реальный рабочий инструмент для бизнеса, в том числе ресторанного, туристического, гостиничного, по аренде недвижимости и др.

Разбираемся, что изменилось и как агрегаторы превращают возвраты в полуавтоматическую операцию за пару минут.