Год с Claude Code: как собрать рабочую конфигурацию с первого запуска
Жемал Хамидун, Head of AI Alpina Digital, CPO AlpinaGPT, автор тг-канала "Готовим ИИшницу"
Будит уведомление — 5:03. Сообщение в Telegram от хорошего знакомого: «Привет UserName, могу я тебя попросить?»
Разве я могу отказать хорошему человеку?
Просьба по-человечески тёплая: проголосовать за ребёнка в благотворительном конкурсе. Только знакомый перестал отвечать, домен турецкий, ссылка по HTTP, а под безобидной голосовалкой лежат: PHP-клоакер на свежей /24-подсети с гонконгской шелл-компанией в whois, форк Telegram Web, который проксирует MTProto, и сервис-воркер, ворующий вашу сессию.
Разбираем атаку по слоям — от curl 403 до угнанного аккаунта.
OneOCR — это набор из двух динамических библиотек и одной модели ONNX для распознавания текста в приложениях Snipping Tool и Photos в Windows 11.
Привет, Хабр.
Сегодня познакомим вас с самой долгожданной новинкой апреля — книгой «Алгоритмы на языке Go», которую мы успели выпустить в продажу 30 числа.
Всем привет! Это Сергей Зюкин, разработчик экспертизы runtime-radar — опенсорсного продукта, обеспечивающего безопасность контейнерной среды выполнения. Я подготовил для вас статью, в которой расскажу, как можно обнаружить инфостилер, встроенный в библиотеку LiteLLM в результате ее недавней компрометации. Помимо этого, мы, конечно же, рассмотрим и боковое перемещение внутри Kubernetes-инфрастуктуры, которое происходит, если скрипт инфостилера запускается в поде с достаточными привилегиями.
Мы не смогли удержаться и проверили, что Runtime Radar может обнаружить при реализации подобной атаки.
Но обо всем по порядку.
Всем привет! Собрали самые интересные ИБ-события апреля в наш дайджест. В прошлом месяце в заголовках гремела Mythos от Anthropic, в очередной раз заявившей о революции в кибербезе, за которой пока не видно ничего кроме пиара. Не меньше шуму наделал и взлом суперкомпьютера Китая, которого не было.
Апрель также стал месяцем многочисленных атак на цепочку поставок — о них сообщали чуть ли не каждый день. Кроме того, был обнаружен неизвестный предшественник Stuxnet, в ядре Linux нашли худшую LPE за долгое время, а северокорейские хакеры стянули больше полумиллиарда долларов в крипте. Об этом и других ключевых новостях прошлого месяца читайте под катом!
Двенадцатый выпуск еженедельных IT-новостей от OpenIDE!
На этой неделе прошёл JPoint 2026, вышел Amplicode 2026.1 со Spring Agent Toolkit, а Anthropic впервые обогнала OpenAI по оценке на вторичном рынке. Плюс история о том, как AI-агент удалил продакшн-базу данных за 9 секунд.
Ваш ИИ-агент только что выдал строчку. И она выглядит… подозрительно? Указатель без проверки на NULL, сериализация через pickle без валидации и логика базы данных, никак не защищённая от SQL-инъекций. Заметить одну-две таких подстав легко, но если строк больше 5 тысяч? А сколько коллег нажали Approved без должной внимательности?
Проблема даже не в том, что ИИ может ошибаться, а в том, что он делает это уверенно и в промышленных масштабах. И вот здесь начинается настоящая гонка. С одной стороны — LLM, которые штампуют уязвимости. С другой — LLM, которые эти уязвимости ищут, подсвечивают и помогают закрывать.
На повестке дня: дырявый код, новая парадигма в безопасности, автодетекция уязвимостей и кибер-оружие.
Искусственный интеллект всё активнее встраивается в повседневные бизнес-процессы: компании используют его для автоматизации операций, аналитики, работы с клиентами и оптимизации внутренних процессов. Но вместе с новыми возможностями AI приносит и новые вызовы для кибербезопасности. Чем глубже интеллектуальные системы интегрируются в ИТ-ландшафт компании, тем больше появляется потенциальных точек отказа, уязвимостей и сценариев для атак.
Статья написана на основе интервью с Андреем Щиголевым, основателем бренда «Одиванчик», Ижевск.
Я делаю компактные диваны в Ижевске и продаю их на маркетплейсе. Почти три года работаю, и вроде всё на месте: производство, команда, сбыт. Но в начале 2026 года маржа сжалась, конкуренция удвоилась — и я впервые не понимаю, что делать.
В современном мире разработки программного обеспечения аутентификация и авторизация являются ключевыми концепциями, необходимыми для обеспечения безопасности и контроля доступа пользователей. В статье рассмотрим основы регистрации, аутентификации и авторизации, а также два популярных механизма аутентификации — сессионный механизм и JWT токены. Разберем их принципы работы, отличия, плюсы и минусы, а также практические аспекты реализации на Python с использованием FastAPI и SQLAlchemy.
Материал будет полезен как начинающим, так и опытным разработчикам, стремящимся углубить свои знания в backend-разработке и безопасности приложений.
Атакующие давно не ломают стены – они входят в дверь по легитимным учетным данным. Разбираем, почему модель периметра: «межсетевой экран + VPN + кольцо доверия» структурно несостоятельна, как идентификатор становится новой плоскостью управления безопасностью и что меняет появление AI-агентов как самостоятельного класса субъектов.
Сценарий, с которого начинается типичный взлом в 2026 году
Сотрудник компании открывает фишинговое письмо, переходит по ссылке, получает на ноутбук инфостилер. В течение нескольких минут вредонос выгружает то, что лежит в браузере: сохранённые пароли, cookie-файлы, активные SSO-сессии Entra ID и облачных сервисов. Через сутки лог уходит на теневую торговую площадку, где его покупают за десятки долларов. Ещё через несколько дней атакующий открывает браузер, подставляет украденную сессию – и логинится в корпоративный SaaS. MFA не срабатывает: токен уже аутентифицирован. Межсетевой экран ничего не видит: это обычный HTTPS с легитимным User-Agent.
Согласно отчету Verizon DBIR 2025 (авторитетному источнику в области ИБ), злоупотребление учётными данными – доминирующий вектор первичного доступа второй год подряд: 22% всех подтверждённых взломов начинаются именно с украденных учётных данных, а на веб-приложениях этот показатель доходит до 88. 54% жертв вымогательского ПО имели предварительную компрометацию в логах инфостилеров ещё до атаки. В прошлом году вредоносы-инфостилеры увели 1,8 млрд учётных данных и обеспечили 86% взломов.
Атакующему часто не нужен эксплойт. Не нужен 0-day. Не нужен обход NGFW. Ему достаточно того, что у вас есть пользователь, у пользователя есть учётные данные, а у учётных данных – действующая сессия.
Kodaсode используют десятки тысяч разработчиков в месяц. Постепенно запросы стали приходить не от отдельных людей, а от компаний: как оформить юридически, куда уходят данные из кодовой базы, есть ли централизованное управление доступами и корпоративный биллинг.
Этой статьёй мы отвечаем на все эти вопросы — и рассказываем о нашем корпоративном предложении.
СМС: “Алексей, поздравляем! Ваш результат на 42.2км - 03:54:26”
Анализ крови после финиша показал бы один сплошной дофамин…
А ведь еще полгода назад я и представить себе не мог такой финал. Когда в конце ноября прошлого года я начал регулярно бегать, в мыслях было “ну вот, хорошо бы в конце мая пробежать на ЗаБег.рф половинку…” - это казалось прям какой-то нереальной целью. Но что-то пошло не так - и вот, начало мая, Казань, и я стою на старте своего первого марафона. Как так получилось и при чём тут ИТ?
В боевых искусствах есть понятие боевой добродетели У-Дэ.
武德 (У-Дэ) — два иероглифа: 武 (у) — боевой, воинский; 德 (дэ) — мораль, добродетель. Буквально: воинская добродетель.
У-Дэ — это мораль человека, занимающегося боевыми искусствами, этический корпус, который передается в каждой школе.
У-Дэ опирается на конфуцианский фундамент, ядро которого — пять добродетелей:
仁 (жэнь) — человечность,
义 (и) — справедливость,
礼 (ли) — благопристойность,
智 (чжи) — мудрость,
信 (синь) — честность.
Добродетели определяют не только то, как ученик дерется, но и то, как он живет и взаимодействует с людьми.
У боевого мастера есть готовый кодекс, который он впитывает. У руководителя такого нет, но есть управленческая традиция — книги, наставники, ошибки. За 7 лет руководства у меня сформировались свои принципы работы. Они зрели годами — через опыт и через ситуации, в которых приходилось принимать сложные решения. Сейчас я в той точке, когда захотелось их зафиксировать, а не держать в голове. Зачем? Чтобы видеть самой и показывать лидам. Передача культуры руководителя так же важна, как и передача мастерства в боевых искусствах.
За несколько лет работы я сменил несколько проектов и команд. Стек менялся: где-то был Kotlin, где-то классическая Java, где-то вообще старый монолит на виртуалках.
Но самое сильное различие было не в технологиях.
Всё решали люди, которые руководят разработкой.
За это время я поработал с разными типами руководителей: от токсичного лида, которого боялась вся команда, до менеджера, который жил ради одобрения заказчика, и руководства, способного за пару месяцев развалить нормальный проект.
И самое неожиданное - один из них, при всех своих минусах, оказался для меня полезнее остальных.
В этой статье - три реальных кейса и то, чему они меня научили. И как каждый из руководителей влияет на разработку.
Привет, Хабр!
В IT любят повторять, что «важны навыки, а не корочки». Но тогда почему часть вакансий до сих пор требует высшее образование? Почему одни работодатели спокойно нанимают выпускников курсов, а другие отсеивают их ещё на этапе поиска?
Я решил проверить это не на уровне мнений, а на практике. Для эксперимента мы создали два почти одинаковых резюме junior Java-разработчиков: один — выпускник технического вуза, второй — выпускник онлайн-курсов. Дальше — почти 2000 откликов, одинаковые вакансии, реальные HR и очень неожиданные выводы.
Это не теоретический спор про «нужна ли вышка». Это попытка посмотреть, как рынок ведёт себя на самом деле.
Привет, уважаемые эксперты!
На связи Альбина Аскерова, руководитель направления по взаимодействию с регуляторами Swordfish Security, и сегодня в моём обзоре будет методический документ ФСТЭК России от 12 апреля 2026, определяющий состав и содержание мероприятий и мер по защите информации в информационных системах.
Перечитал две страницы материалов по ценностному предложению на Хабр и понял, что мне есть, что сказать основываясь на реальной практике
Сейчас на дворе 2026 год и на рынке поменялся фильтр с которым клиент смотрит на ваш продукт. Покупают то, что уменьшит потери, ускорит процесс или даст измеримый эффект в деньгах.
И если нет ответа на вопрос «А какой экономический эффект и за счёт чего?» то дальше вы услышите знакомое: «давайте позже», «сейчас не приоритет», «бюджет уже распределён».
В этой статье — про то, как устроено ценностное предложение, которое выдерживает этот вопрос с живым примером из практики.
Сделать поиск по каталогу легко. Гораздо сложнее — сделать каталог, который полезен не только на первом запросе.
Это демо как раз об этом. Здесь мы используем небольшой каталог настольных игр, но сам сценарий знаком многим: пользователь вводит что-то полузабытое, ошибается в написании, сужает выдачу по ограничениям, листает дальше, открывает карточку, а потом хочет увидеть «что-то похожее», не начиная всё заново. Если в вашем продукте есть такой сценарий, основная работа — не в полировке интерфейса. Важнее добиться правильного поведения поиска и не переусложнить весь стек.
В этой статье мы делаем каталог с автодополнением, работой с опечатками, фильтрами, фасетами, глубокой пагинацией, семантическим поиском и рекомендациями похожих документов.
Сначала можно попробовать уже развёрнутую версию: