Все потоки

«Мне прислали фишинг под MAX. Внутри оказался MITM в их API» «Не ты ли на фото?» — пришло поздно вечером, в обычной переписке, от знакомого, который пишет редко. К сообщению приложена короткая ссылка. Я понял, что у него увели аккаунт, и захотел разобраться, что внутри. Через пять дней я смотрел на инфраструктуру из 179 фишинговых доменов, четырёх хостингов, через которые оператор переезжал каждые сутки, и обнаружение, что фишинг-кит работает не как сборщик паролей, а как MITM-прокси к настоящему API мессенджера MAX. Жертва получает реальный SMS от реального MAX и не может распознать атаку. CVSS 8.8. VK молчит уже неделю.

Для ясности: я бывший инженер и учёный НАСА с докторской степенью в области космической электроники. Я также проработал в Google 10 лет в различных подразделениях компании, включая YouTube и тот отдел облачных технологий, который отвечал за развёртывание ИИ-ресурсов, поэтому я вполне компетентен высказать своё мнение по этому вопросу.

Краткая версия статьи: это абсолютно ужасная идея, которая действительно не имеет никакого смысла. Для этого есть множество причин, но все они сводятся к тому, что электроника, необходимая для работы центра обработки данных, особенно развёртывающего ИИ-ресурсы на основе графических процессоров (GPU) и тензорных процессоров (TPU), является полной противоположностью тому, что работает в космосе. Если вы раньше не работали конкретно в этой области, я бы предостёрег вас от поспешных выводов, потому что реальность обеспечения функционирования космического оборудования в космосе не всегда интуитивно очевидна.

Привет, Хабр! Если вы читаете мои дайджесты, то знаете, что обычно я пишу о развитии проекта far2l — порта Far Manager под Linux, macOS и BSD. Но сегодня случай особый. На прошлых выходных я обещал вам рассказать про f4 — написанный с нуля клон far2l на языке Go.

Сегодня состоялся релиз первой публичной альфа-версии 0.1.1-alpha. В этой статье я расскажу, как я пришел к идее переписать легендарный файловый менеджер, почему выбрал Go, как в этом помогли нейросети и почему современному консольному приложению не обязательно страдать от «наследия предков».

Вайбкод это круто, пока не открываешь первый отчёт сканера безопасности и не видишь 234 проблемы. В статье разберём, как выстроить пайплайн вокруг LLM-проекта: подключить SAST-инструменты, настроить Quality Gate как блокировщик деплоя и использовать модель для исправлений — не вместо инструментов, а поверх них. Покажу на реальном проекте с реальными цифрами. Будет полезно тем, кто активно использует LLM для написания кода, и специалистам в области appsec/devsecops.

Часть 1 — контекст, данные из отчёта DryRun Security и немного теории про DevSecOps.

Часть 2 — подключаем SonarCloud, настраиваем Quality Gate, интегрируем в CI/CD.

Часть 3 — первый скан реального проекта: 234 проблемы, как их разбирать и исправлять через Claude 4.6.

Часть 4 — добавляем Semgrep, смотрим, где инструменты расходятся и где ломается подход.

Приветствую всех!

Когда-то давно, когда стационарный телефон имелся практически в каждой квартире в крупном городе, стали набирать популярность аппараты с определителем номера. Были они очень у многих, с ними связано много воспоминаний, про них спустя годы было написано немало статей, ну а для кого-то бизнес на их сборке вообще стал возможностью пережить тяжёлые девяностые.

В двухтысячные годы такие девайсы начали потихоньку уходить в историю, заменяясь импортными моделями с Caller ID. Один из последних таких аппаратов мы сейчас и рассмотрим.

Сегодня мы посмотрим, что умеет и как устроен самый топовый городской телефон той эпохи. Заодно узнаем, зачем подключать телефонный аппарат к компьютеру и можно ли использовать его в современных сетях. Как водится, будет много интересного.

Взглянув чуть более внимательно на изготовление электронных ламп — нехитрых в сущности приборов, с прискорбием выясняется неутешительное — нагрев и пониженное давление превращают привычные, казалось бы, надёжные и незыблемые материалы, натурально, в предателей и прохвостов, так и норовящих подложить свинью и испортить лампу [1]. И только последовательная тщательная и большая подготовительная с ними работа и длительное маринование электровакуумных приборов (ЭВП) на откачном посту заставляет внутренние металлы, стекло, слюду ламп держаться приличий. Если подготовка и очистка, дело неизбежное, то длительную (иногда до суток и более!) откачку ламп на громоздком, сложном, дорогом и энергоёмком оборудовании позволил фантастически сократить некрупный специальный элемент внутри колбы прибора — газопоглотитель, иначе — геттер.

Являясь местным миниатюрным одноразовым высоковакуумным насосом, он поглощает остатки газов, сокращая откачку массовых радиоламп вплоть до единиц минут (!), поддерживает рабочий вакуум при натеканиях и небольшом газовыделении во время работы прибора. Первые немудрёные газопоглотители [2] уже позволили громадно ускорить и удешевить раннее электровакуумное производство, развившись же до распыления некоторых активных металлов [3], способ стал стандартом для массовых ламп, особенно когда на сцене появился барий — металл, умеющий связывать все оставшиеся в колбе газы (кроме инертных), работающий в течение всего времени жизни лампы. Рассмотрим, какие бывают варианты газопоглотителей на основе Ba, как они работают, каковы их манеры и особенности.

Три года я делал браузерную игру, в которой игроки управляли настоящими RC‑машинками через браузер. В итоге, у меня получилось потратить 2млн рублей и получить огромный опыт...

Не так давно мне попался ноутбук Acer TravelMate B1 TMB118 с 4 ГБ DDR4. Благодаря размеру и маленькому потреблению он идеально подошел под эксплуатацию в виде печатной машинки и простенького редактора кода. 

Но именно этот малыш заставил меня задуматься: на какие уступки можно пойти по памяти, чтобы комфортно выполнять свою работу. В эпоху, когда комплект из 32 ГБ RAM DDR5 стоит в среднем 40 000 рублей, что сопоставимо с ценой бюджетного ноутбука, интересно, насколько можно опустить планку и существовать на современной системе.

Привет, Хабр! Меня зовут Данил, я системный инженер в Selectel и у меня дома скопилось немало «железа» разных поколений, в том числе любезно одолженного моими друзьями. Я решил не ограничиваться одним ноутбуком и превратил эту больную идею в полноценный стресс-тест для разных платформ.

Я руководитель проектов и у меня есть команда разработки продуктов. Аналитики исследуют и анализирует новые фичи, пишут спецификации. Есть разработчики и тестировщики. Есть DevOps, который чинит CI и выкатывает релизы. И даже есть технический писатель анализирует изменения и обновляет документацию.

Обычная продуктовая команда разработки.

Только людей в этой команде нет.

Все исполнители - AI-агенты…

Я формулирую проблему, описываю ожидаемый результат, задаю ограничения, выбираю приоритеты, принимаю или отклоняю результаты, разбираю спорные ситуации. А мои AI-агенты делают то, что обычно делают участники полноценной команды разработки.

Современные AI-агенты способны выполнять работу разных инженерных ролей, так почему бы не управлять ими как полноценной командой? А для управления использовать те же подходы, которыми мы давно управляем человеческими командами: Kanban, Scrum, Agile, Definition of Done, декомпозиция, pipeline, review, escalation.

Эта статья — про мой практический опыт такого подхода. Не про «AI заменит программистов». Не про «теперь можно не думать». И не про «вот магическая кнопка, которая делает продукт». Скорее наоборот: чем больше AI пишет кода, тем важнее становятся процесс, постановка задачи, спецификации, тесты, CI, документация и контроль состояния.

Свежая CVE-2026-31431 только набирает обороты, и тут я хочу показать, почему это не совсем обычная LPE.

Copy Fail как примитив Process Injection через Page Cache

Оригинальный PoC модифицирует setuid binary перед execve и получает root.
Второй публичный PoC подменяет id у текущего юзера на 0000.

Хорошие, рабочие LPE, дающие рута.

Но исследуя дополнительные свойства этого примитива я обнаружил несколько эффектов, не описанных в оригинальном disclosure.

Капитализм мёртв. Так считает Янис Варуфакис, бывший министр финансов Греции, а по совместительству — главный левый бунтарь Европы. В своей книге про технофеодализм он заявляет: мечта марксистов сбылась, но на смену пришло не светлое социалистическое будущее, а нечто гораздо более мрачное.

Всем привет! Храню 7 терабайт фото и видео у себя дома на Synology DS224+ с DSM 7.3+

Это сетевое хранилище поддерживает Docker. Я дополнительно установил плашку памяти и теперь у меня 18 ГБ ОЗУ.

Но суть в том, что ночами я слышу "булькание" и "шуршание" дисков, кстати диски красные, прямо созданные под сетевые хранилища: WD120EFBX-68B0EN0 две штуки по 12 ТБ с зеркалированием.

И у меня возник такой страх, а что если мои файлы что-то форматирует, а я просто лежу и не знаю об этом. И я начал поиски репозиториев на GitHub, посмотрел как делают другие, мне как обычно ничего не подошло и я решил создать свой проект, который полностью меня устраивает.

Выложил проект в репозиторий

clone() в Rust часто появляется в коде в тот момент, когда borrow checker снова «мешает просто дописать фичу». Компилятор успокаивается, задача закрывается, но в проекте постепенно накапливаются лишние копирования, аллокации и API, которые требуют владения там, где хватило бы ссылки. В статье разберём типичные места, где clone() используют как затычку: от Vec и String до замыканий, HashMap и многопоточного кода.

«Герои меча и магии» (Heroes of Might & Magic или просто HoMM) это серия игр, на которой я вырос, и в которую до сих пор периодически с удовольствием играю. Конечно же, больше всего наиграны третьи Герои, а также пятые. И вот только что в раннем доступе вышла новая часть — HoMM: Olden Era от студии Unfrozen, с чем я всех нас и поздравляю.

Секрет живучести и культовости Героев в гениальной геймплейной основе, в которую входит разнообразный микс: разведка территории, собирательство ресурсов, развитие замка, набор армии, поиск артефактов, прокачка героя и пошаговые сражения.

Тем не менее, как бы тепло я ни относится к HoMM, мне кажется, что какие-то фирменные особенности этой серии игр давно нуждаются в переосмыслении и обновлении. Во многих аспектах игры хочется добавить больше свободы, разнообразия и фана. А какие-то отдельные утомительные игровые элементы хочется упростить или даже совсем исключить.

И сегодня я хотел бы поделиться своими субъективными мыслями на этот счёт и сразу же проанализировать, насколько моё мнение совпадает с видением разработчиков новой части — Olden Era. Она уже долгое время была доступна в виде демо-версии, поэтому у всех желающих было время её попробовать и понять, какой будет игра. Также приглашаю вас поделиться своими мнением в комментариях и вместе конструктивно подискутировать.

7 метрик, которых не хватало моему AI‑хуманизатору. Спасибо Хабровской модерации

Я делаю open-source хуманизатор для русского AI-текста. 27 апреля Хабр забанил мою же статью про этот хуманизатор как AI-генерацию.

Хронология. Я отправил материал про русские AI-паттерны на Хабр. Перед отправкой прогнал черновик через собственный скилл-хуманизатор, нашёл у себя слово «являются» в разделе про слово «являются», переписал, упомянул это в постскриптуме. Через несколько дней пришёл ответ от автомодератора:

К сожалению, данная публикация не сможет пройти модерацию, поскольку большая часть текста с высокой вероятностью создана с помощью генеративной модели ИИ.

Перечитал три раза. Статья про маркеры AI заблокирована как AI. Хуманизатор, через который я её только что прогнал, не сработал. Это не баг. Это его слепое пятно, о котором я узнал только в момент бана.

Возникает разумный вопрос, что вообще делает мой скилл, если не вытягивает текст, который сам про чистку от AI-маркеров. Полез разбираться. Из этого вылезло несколько вещей, которые до бана были мне самому непонятны, и я думаю, что они могут быть полезны любому, кто работает с русским контентом и думает про автоматическую детекцию.

После своих статей в стиле киберпсих и хайпохабр на темы роботизации и ИИ я убедилась, фанатеющих становится всё меньше, а напряжённых – больше. Признаюсь, я ждала тут 80% поклонников всей этой футуристичной «машИИны» и была готова спорить с ними, но комментарии быстро показали обратное. Мы успели затронуть последние циклы борьбы антибиотиков с мутирующими бактериями, конец человека как биологического вида и даже болезненную элитарность тех, кто в нынешней ИИ-гонке уже мысленно записал себя в касту избранных.

За две статьи меня успели оклеветать: копирайтером, который вылез из тени своего спеца и ИИшкой:

Привет! Меня зовут Даниил Ткаченко, я веб‑разработчик в ИТ‑компании «Активика». В статье я поделюсь опытом развёртывания Sentry self‑hosted для высоконагруженного проекта. Несмотря на обилие материалов по SaaS‑версии, актуальных гайдов по self‑hosted‑установке почти нет — особенно с учётом современных требований к производительности и отказоустойчивости.

Мы столкнулись с рядом проблем: нестабильностью на базовом хостинге, отсутствием перехвата HTTP‑ошибок и быстрым заполнением диска. Под катом разберу каждую проблему, покажу код решений и дам рекомендации для тех, кто планирует развернуть Sentry самостоятельно.

Статья будет полезна разработчикам и DevOps‑инженерам без опыта работы с self‑hosted Sentry.

Привет, Хабр! Мир! Труд! Май! Мы — Настя, Эвелина и Михаил — бэкенд-разработчики Т-Банка, пишем код на Scala и горим желанием его популяризировать. Поздравляем всех с майскими праздниками! Желаем всем хорошенько отдохнуть и, конечно, найти время и инвестировать его в нашу любимую Scala. 

Приветствуем любую обратную связь! (づ ◕‿◕ )づ

Вы правда думаете, что можно построить эффективные процессы теми же людьми, которые их уже сломали? Или надеетесь, что ещё один фреймворк магическим образом их починит поведение?

Тогда, стоит напомнить, что магия вне Хогвардса запрещена 🙃

Я регулярно вижу одно и то же: в компанию вливаются бюджеты, заходят дорогие и не очень консультанты, рисуются красивые схемы (но, чаще некрасивые). Процессы переписываются. Люди — нет.

Процессы делают те же люди. С тем же уровнем мышления. С теми же ограничениями. Менять процессы, не меняясь самим — любимый корпоративный фетиш. Результат предсказуем: те же паттерны, те же решения, тот же «лебедь, рак и щука», только с новыми названиями.

Раньше можно было приписать «Agile», и добавить x100 к стоимости, сейчас лучше выбрать «AI». Хе‑хе.

Штат раздувается. Роли множатся. Ответственность размывается. Это как поменять море на океан, но продолжать плыть с дыркой в лодке.

Самое неприятное: вы ещё и платите за это 🙂

Рассмотрен процесс моделирования, изготовления и тестирования многосекционного гибридного ответвителя мощности