Комментарии 20
Здравствуйте! Это я, Олег Назаров. Вы успешно прошли наше испытание. Готовы обсудить дальнейшие, дальнейшие, дальнейшие, дальнейшие, дальнейшие, дальнейшие, дальнейшие условия?
Сильно эмоциональный эмоджи.
А ведь проверить все возможные уровни атаки на компьютер разработчика, невероятно сложно. Мест где можно скрыть трояна просто огромное, да и знать все даже узкому специалисту просто нереально.
Прямо напрашивается стартап/приложение, который будет заниматься анализом всего и вся используя те же нейронки (правда векторы атак придется описывать вручную и по каждому свой аналитический пайплайн, что хоть и выглядит не решаемым в общем случае, но большую часть кейсов покроет).
Напрашивается подход – всегда считать "тестовые задания" попыткой подсадить троян, без исключений. Настоящий работодатель в курсе, что тестовые задания проходятся тем же ИИ и не проверяют вообще ничего.
Буквально сегодня мне рассказали "замечательную" историю.
Чувак искал работу. Ему скинули тестовое задание, он скачал его на рабочий макбук и там же запустил. Там был "пейлоад", на него сработали SIEM, учетку и ноутбук заблочили.
Чувака потом уволили, по совокупности.
Мораль: не запускайте малварь на рабочем компьютере, запускайте на своем, а лучше - внутри ВМки.
Только внутри ВМки без доступа к сети. Общение с хостом – через единственную shared папку в режиме read-only. Расковыряв, какие данные собирает тестовое задание можно, например, забить сервер потенциального работодателя мусором. Анализировать малварь достаточно интересно, если есть время поразвлечься.
Классная идея, я уже пробовал в деле. Лечил одновременно 30 зараженных проектов на БУС, что раньше мне доставляло боль и не удавалось на 100% победить, с помощью ИИ-агента сделал минут за 30 с обучением
>>Бизнес может и должен использовать ИИ в рекрутинге — это нормально.
Может быть, с точки зрения бизнеса - нормально. С точки зрения соискателя тратится время на разбор мусора нулевой полезности, а площадке (hhru или хабркарьере, например) хорошо, трафик растёт.
Наверное через git clone можно и локально это всё посмотреть, не более рискованно, чем на сайте гитхаба? Я упускаю какие-то риски или сейчас так не принято?
Вспомнил, что vscode, при открытии проекта, спрашивает, доверять ли ему.
Классный, живой разбор реальной атаки: читается как небольшой триллер, но при этом даёт очень приземлённые и сразу применимые советы по безопасности для разработчиков. Особенно ценно, что автор показывает не абстрактную теорию, а конкретную схему с ИИ-агентом и малварью в .vscode, после чего остаётся чёткое понимание, какие именно настройки и привычки стоит поменять прямо сегодня.
Спасибо за статью, в очередной раз убеждаюсь - как легко можно стать жертвой, делая что-то казалось бы обыденное. В наше время голову нужно включать всегда и везде
Какая-то волчистость)
А есть подобные рекомендации для защиты от вредоносных вставок в проектах IDEA/PyCharm/PHPStorm?
1.
task.allowAutomaticTasks: offв VSCodeНастройка запрещает автоматический запуск workspace-задач. При значении off VSCode либо вообще не запустит задачу, либо явно спросит разрешения — в отличие от дефолтного поведения, когда задача стартует тихо.
Только task.allowAutomaticTasks в “off” идет по умолчанию.
.vscode/ , .vs/ и т.п. у нормальных всегда живет в .gitignore
Я тоже этого Олега репортил. Интересно, хабр просто забил на мой репорт или он заново аккаунт создал? Я 23 февраля с ним общался.
Спасибо, познавательно. Кстати, вот ещё одна статья на похожую тематику.
Если в 2026-м году потенциальный работодатель пишет вам сам - это 100% фейк!)

Как ИИ-агенты стали новым оружием скамеров на Хабр Карьере