Все потоки

Мы искали уязвимости в RAG-платформе с десятками тысяч пользователей — а нашли доступ ко всей инфраструктуре и API-ключам с бюджетом в сотни тысяч долларов. Две недели мы строили сложные цепочки: SSRF через LangChain, инъекции в промпты, HTTP smuggling, CVE в десериализации. Ни одна не дала результата. А потом мы сделали один curl к открытому порту — и получили все ключи за 5 минут.

Эта статья — не гайд по взлому. Это разбор того, почему LLM-инфраструктура создаёт принципиально новые риски, какие ошибки мы раз за разом видим в AI-стартапах, и на что стоит обратить внимание, если вы строите что-то похожее.

RAG часто воспринимают как аккуратный способ «заземлить» LLM на документах и снизить риск галлюцинаций. Но у этой архитектуры есть менее очевидная проблема: контекст из базы знаний обычно считается доверенным, хотя именно через него в модель могут попасть вредоносные инструкции.

В статье разбираем, как несколько отравленных документов могут повлиять на ответы системы, почему эмбеддинги нельзя считать безопасной абстракцией и какие уровни защиты нужны, если RAG используется не в демо, а в реальном продакшене.

SEO давно привыкло работать через семантику, интенты, структуру H1-H2, FAQ и анализ конкурентов. Это всё ещё нужно. Но для сложных запросов этого всё чаще недостаточно.

Причина простая: пользователь вводит одну фразу, но за ней часто стоит не один вопрос, а цепочка подзадач. Поисковая система пытается понять не только буквальный запрос, но и то, какие уточнения, сравнения, ограничения, риски и доказательства нужны человеку для нормального ответа.

Google прямо описывает AI Mode как режим для сложных и многочастных вопросов, а в материалах о AI Mode говорится о query fan‑out — подходе, при котором система запускает несколько связанных поисков по подтемам, чтобы собрать более полный ответ. Google также указывает, что специальных требований для попадания в AI Overviews и AI Mode нет: базовые SEO‑практики остаются актуальными, но формат потребления контента меняется.

У Яндекса похожий сдвиг виден через качество контента и новые поисковые интерфейсы. В марте 2025 Яндекс сообщил, что обновил алгоритмы определения качественного контента и снизил количество низкокачественных источников на первой странице выдачи, включая материалы, созданные с помощью ИИ. В мае 2025 в Поиске появился режим рассуждений и развёрнутые ответы с изображениями, видео и ссылками на источники на базе технологий Алисы.

RGG‑LAND это игра‑ивент‑настолка, можно называть как угодно, ведь несмотря на то что полноценно поучаствовать в таком могут только стримеры, тем не менее любой желающий может воспользоваться любыми материалами, которые я выкладываю в открытый доступ и сделать для себя свой RGG‑LAND, ведь суть проекта заключается в том, чтобы поиграть в такие игры, в которые ты никогда бы не поиграл по своему желанию.

В программировании частая задача это работа с последовательными элементами. В этой, порой непростой задаче, нам часто помогают вектора. Вектора бывают самыми разными от queue и set до unordered_map и обычных массивов. Все они позволяют работать с данными по разному, где то быстрее вставка, где то быстрее доступ, но все они выполняют одну важную задачу это хранение данных.

И не смотря на их всеобъемлющую вариативность, в жизни встречаются ситуации когда один вектор не может решить задачу. Точнее может, но через костыли...

О чем я?

16 апреля Anthropic выкатила Claude Opus 4.7. На бенчмарках 12 побед из 14, цена та же. Через 24 часа Reddit называл его legendarily bad. И вот в чём фокус: месяц назад я сам ныл, что Claude слишком поддакивает. Anthropic исправила. Получилась спор-машина. Беру свои слова назад.

Большинство продуктовых дискуссий о ценности заканчиваются на «пользователю станет удобнее». Это не ценность, а ее отсутствие, прикрытое словом «ценность».

Разбираю на живом кейсе T&S Циана, как разложить это слово на пять координат, и какая асимметрия вылезает за 5–6 часов работы.

Александр Козуб. CPO в финтехе. В симптомах вижу систему.

Бывает, что руководители врут, лицемерят, манипулируют сотрудниками для достижения целей компании или своих собственных.

Лиды Авито обсудили, почему микроменеджмент называют главным грехом и когда он необходим, чем отличается манипуляция от шантажа, как улучшить обратную связь и избежать собственной непогрешимости.

В 2026 для VPN нужна маскировка. А нет никакой лучшей маскировки, чем уже работающий легитимный сервис. Силами NGINX-streams и HTTP2 это сделать довольно легко.

В программировании (как и в написании HDL кода и подобных профессиях) есть две школы мысли: чистолисты (строят свою архитектуру с чистого листа и пишут так чтобы поменьше отлаживать) и кодокопатели (отлаживают что есть, дополняя мусором из интернета, чтобы поменьше писать). На это накладывается менеджмент, который пытается комбинировать чистолистов и кодокопателей, иногда неправильным образом, то есть ставит чистолистов править то, что налабали кодокопатели. Это происходит потому, что кодокопатели постоянно выглядят занятыми отладкой, а чистолист часто смотрит в потолок обдумывая дизайн, поэтому менеджмент думает что первые работают быстрее чем вторые, и пытаются соптимизировать “быстроту-качество” вот таким образом. Реально кодокопательские проекты обычно увязают в отладке и прогресс становится черепашьим.

Четвёртая статья из шести про инженерный процесс для разработки с ИИ-агентами. Автор, Андрей Юмашев, много лет руководил разработкой и инфраструктурой, полтора года назад отдал весь код агентам. Первая статья про путь от первых проектов к стандарту SENAR. Вторая про то, чем агент отличается от программиста. Третья про новую роль человека и пять навыков нового рабочего режима. Эта четвёртая про внешний контур, в который эти навыки упакованы, чтобы перестать опираться на личную дисциплину.

В первой части я разобрала классику — глаза, шея, запястья, мигрень. Сегодня поговорим о более коварных вещах: о состояниях, которые выглядят как «ну просто надо отдохнуть», но на самом деле требуют анализов и лечения. Я видела людей, которые годами ходили к психологам с «выгоранием» — а у них был банальный гипотиреоз.

В статье рассмотрим, почему эволюционная архитектура и модульный монолит превосходят современные архитектурные подходы. Обсудим, в каких случаях стоит отказаться от микросервисов, как документировать архитектурные решения с помощью ADR и какие методы помогают спасать проекты.

Когда сервис поднимается по 8-15 минут, команда почти всегда начинает крутить одни и те же ручки: увеличивает initialDelaySeconds, добавляет startupProbe, поднимает progressDeadlineSeconds, иногда переносит миграцию в initContainer и считает, что стало «по-кубернетесному». Обычно это не лечение. Это способ аккуратнее завернуть проблему в YAML. Если тяжёлая миграция живёт внутри старта приложения, вы связали жизненный цикл Pod, rollout Deployment и поведение базы в один общий узел. А такие узлы в проде рвутся не там, где их ждут.

Что такое RAG-система? Retrieval-Augmented Generation — «генерация, дополненная извлечением»: так называют архитектурный подход, при котором модель усиливает ответы, динамично дополняя внутренние знания актуальной информацией из внешних источников. В практическом смысле: RAG — это способ увеличить релевантность ответов языковой модели без хлопот с переобучением.

В этом материале: как устроена RAG, чем базовый подход отличается от продвинутого, какие задачи такая архитектура решает и сколько стоит ее внедрение. К концу текста у вас будет четкое понимание: а нужна ли RAG-система вашей компании и с чего начать, если да.

Эта часть будет практической, если помните я решил углубиться в React и Flask. Поэтому при помощи ИИ начинаю. Нет, ИИ не будет делать за меня весь проект, он будет выполнять функцию наставника. Ну и иногда чернорабочего (как, например, собрать файл SQL для инициирования БД) для ускорения ручного труда.

System Prompt учит модель что говорить, Skills — как проверить сказанное, MCP Tools — как сделать это в реальном мире. Разбираем трёхуровневую архитектуру на примере бота техподдержки с валидацией ссылок.

Масштабное сравнение нейросетей для генерации изображений: Nano Banana 2 против GPT Image 2. Тестируем фотореализм, типографику, генерацию логотипов и цензуру. Узнайте, какой ИИ лучше справляется как с повседневными задачами, так и с ТЗ веб-мастеров и дизайнеров.

Баллистическая кривая — это траектория материальной точки, движущейся в сопротивляющейся среде под действием силы тяжести.

Основной пример баллистической кривой — это траектория дробины в атмосфере.

Сила сопротивления воздуха считается направленной против скорости материальной точки:

Обобщение знаний и опыта для базового использования Docker, которые накопились за время использования.