Обновить

Моя лента

Тип публикации
Порог рейтинга
Уровень сложности
Предупреждение
Войдите или зарегистрируйтесь, чтобы настроить фильтры
Статья

Как не нарваться на prompt-injection или зачем нам проверять скиллы?

Уровень сложностиПростой
Время на прочтение4 мин
Охват и читатели9.7K

В прошлой статье говорили про использования LLM хакерами, и обещал как раз продолжение, как защищить свое рабочее пространство, ну в общем, к делу :)

Когда последний раз вы проверяли библиотеку на уязвимости? Или софт, что вы ставите и используете - проверяли? Ну, вот и я также - почти что никогда (раньше)

Суть вот в чем, мы в одной из прошлых статей то и обсуждали, что разработка своих скиллов - это естественная история, но и использование oss скилов - аналогично, особенно когда эти скиллы не просто MD файл, а полноценный инструмент взаимодействия

Но, проблема в том, что скилл это не конфиг и не просто “промпт” в SKILL.md - это буквально может быть и исполняемым кодом и самое важное - с твоими правами :)

Читать далее
Статья

Цена лидерства: Почему успешные руководители чувствуют себя одинокими и изолированными

Уровень сложностиСредний
Время на прочтение8 мин
Охват и читатели8.5K

Кресло руководителя часто кажется вершиной «пищевой цепи», пропуском в клуб избранных и ежедневным триумфом. Но никто не предупреждает, что в комплекте с должностью идет билет в «одиночную камеру».

Одиночество лидера - тема донельзя стигматизированная. Управленец не имеет права на публичную слабость. На консультациях и закрытых встречах мы говорим о социальной изоляции, но исключительно за закрытыми дверями. Потому что стоит руководителю признаться, что он банально выгорел и ему не с кем поговорить, инвесторы напрягаются, команда начнет искать новую работу, домашние прессуют за слабость и т.д.

Масштабы одиночества среди лидеров: Глобальная проблема

Читать далее
Статья

Безопасный AI-мониторинг Oracle в закрытом контуре с использованием Python, Ollama и V$WAITCLASSMETRIC

Уровень сложностиСредний
Время на прочтение8 мин
Охват и читатели8.9K

 

Безопасный AI-мониторинг Oracle в закрытом контуре с использованием Python, Ollama и V$WAITCLASSMETRIC

Введение

В существующей системе мониторинга Oracle уже использовалось разработанное мной решение, которое с интервалом в 1 минуту собирало метрики производительности из представления V$WAITCLASSMETRIC и отображало их в Grafana. Графики наглядно показывали изменения времени ожиданий в классах User I/O, Commit, Concurrency и других, однако они показывали лишь сам факт изменения нагрузки, не объясняя его причины.

Возникла идея: если метрики уже собираются для построения дашбордов, почему бы одновременно не отправлять их локальной языковой модели? Тогда вместе с графиком можем сразу отображать текстовое объяснение происходящего, список наиболее вероятных причин изменения показателей и рекомендации, с чего начать дальнейшую диагностику.

Так появился небольшой эксперимент — дополнить существующую систему мониторинга Oracle локальным AI-ассистентом.

Читать далее
Статья

Книга «PostgreSQL 18 изнутри»: архитектура «слона» под новым капотом

Уровень сложностиПростой
Время на прочтение4 мин
Охват и читатели12K

Компания Postgres Professional представляет новое издание книги Егора Рогова «PostgreSQL 18 изнутри», которое будет выпущено в издательстве «ДМК Пресс» в 2026 году. Электронная версия доступна уже сейчас. Эта книга — подробный путеводитель по внутреннему устройству СУБД PostgreSQL, призванный помочь разработчикам и администраторам детально разобраться в механизмах её работы.

Читать далее
Статья

— Егор, а можешь показать свой AGENTS.md?

Время на прочтение9 мин
Охват и читатели23K

Да не вопрос! На самом деле буквально три месяца назад у меня вообще не было никакого AGENTS.md. Он появился автоматом, когда я устанавливал code-review-graph.

История такая: я каждый день провожу стримы на Ютубе, где показываю процесс разработки своего проекта. И однажды в чатике мне посоветовали воспользоваться code-review-graph, чтобы сэкономить токенов в Codex. Я воспользовался советом, запустил установку через терминал — и в проекте автоматом появилась куча инструкций для разных агентов. Среди этих инструкций оказался и AGENTS.md.

Если вы, как и я поначалу, мало что понимаете в этих терминах и для чего они нужны, — сейчас объясню. А если вы полностью в теме — просто покажу кусочек своей «кухни».

Читать далее
Пост

Сквозное шифрование, или как Telegram и Concord защищают переписку.

Хочу написать небольшой пост о сквозном шифровании, или, если использовать технический термин, E2EE (End-to-End Encryption).

Сегодня эта технология широко применяется во многих мессенджерах. Я тоже реализовал E2EE в мессенджере Concord. Однако далеко не все понимают, как именно работает этот механизм, поэтому попробую объяснить простыми словами.

Поскольку я являюсь разработчиком и основателем собственного мессенджера, реализовать эту схему для меня не составило особого труда. Главный секрет заключается в понимании принципов работы криптографических алгоритмов, таких как AES и RSA. Хотя современные реализации E2EE обычно используют не RSA, а алгоритмы на эллиптических кривых (например, X25519), я не стал прибегать к усложнениям.

Алгоритм AES я использовал для непосредственного шифрования текстового сообщения, которое один пользователь отправляет другому. Для шифрования применяется секретный ключ (или пароль). Основная проблема такого подхода заключается в том, что этот ключ необходимо каким-то образом передать получателю. Если злоумышленник перехватит ключ, он сможет расшифровать сообщение.

Чтобы этого не произошло, я использовал ещё один алгоритм - RSA. Для его работы требуется пара криптографических ключей: публичный и приватный. Так как RSA не предназначен для шифрования больших объёмов данных, я его использовал для безопасной передачи того самого секретного ключа, который используется алгоритмом AES.

В результате схема выглядит так.

Сначала текст сообщения шифруется алгоритмом AES с использованием случайного секретного ключа. Затем этот ключ шифруется алгоритмом RSA с использованием публичного ключа получателя. Когда получатель отправляет ответ, он выполняет ту же самую операцию, но уже с публичным ключом аппонента.

Важно понимать, что публичный ключ предназначен только для шифрования. Расшифровать данные с его помощью невозможно. Для расшифровки существует только соответствующий ему приватный ключ.

Когда получатель открывает сообщение, его устройство сначала с помощью приватного ключа RSA расшифровывает секретный ключ AES, а затем уже этим ключом расшифровывает само сообщение.

В моём приложении это работает следующим образом. Публичные ключи пользователей хранятся на сервере. Когда пользователь отправляет сообщение, приложение запрашивает у сервера публичный ключ получателя, шифрует сообщение на устройстве пользователя и отправляет на сервер уже зашифрованные данные. Сервер выступает лишь в роли посредника и пересылает этот зашифрованный пакет получателю. Сам сервер приватные ключи не хранит.

При этом приватные ключи никогда не покидают устройство пользователя. Они хранятся в защищённом хранилище смартфона, и получить к ним доступ не может ни сервер, ни разработчик приложения, ни кто-либо ещё. Поэтому расшифровать переписку может только владелец соответствующего приватного ключа.

В этом и заключается смысл сквозного шифрования: сервер передаёт сообщения, но не имеет возможности их прочитать.

Именно поэтому было довольно забавно наблюдать, как спецслужбы требовали у Павла Дурова "ключи шифрования", чтобы получить доступ к переписке пользователей Telegram. Никаких универсальных ключей у него нет и быть не может - приватные ключи находятся только на устройствах самих пользователей.

Именно поэтому требование "передать ключи" технически лишено смысла. Передавать попросту нечего.

П.С.

Я - сетевой долгожитель и начинал свой путь еще в эпоху Фидонета (FidoNet). Эта сеть была по-настоящему децентрализованной: никаких общих серверов и никакого DNS. Все строилось просто: компьютер, модем и терминальная программа для связи. Часто в роли узла (ноды) выступал сервер в банке, где знакомый сисадмин выделял адреса. При этом подключиться можно было к любому другому участнику, даже к частному лицу. Вот это и была настоящая децентрализация! Думаю, учитывая растущее давление регуляторов на современный интернет, мы скоро снова вернемся к проверенным идеям старого доброго Фидо.

Теги:
+7
Комментарии0
Статья

REST Assured: почему зелёные тесты пропускают баги в API

Уровень сложностиСредний
Время на прочтение14 мин
Охват и читатели8K

В статье разбираем практический маршрут на REST Assured 6.0.0 и JSON Schema: как закрыть структуру ответа одной проверкой, как сделать схему по-настоящему строгой и где в этой связке спрятан капкан, из-за которого схема с условной логикой выглядит рабочей, но не проверяет ничего.

Читать далее
Новость

Выпуск дистрибутива Parrot OS 7.3 для этичного хакинга с ядром Linux 7.0

Время на прочтение4 мин
Охват и читатели7.6K

В конце июня 2026 года компания Parrot Security представила дистрибутив Parrot OS 7.3 на базе Debian 13.5 Trixie и ядра Linux 7.0. Решение ориентировано на безопасность и предназначено для тестирования сетевых систем и этичного хакинга. Выпуск Parrot OS 7.0 состоялся в декабре 2025 года. Сборка Parrot OS 7.1 вышла в феврале 2026 года. Версию Parrot OS 7.2 представили в мае 2026 года.

Читать далее
Статья

Призраки инфраструктуры: кто ответит за сервер, у которого нет владельца

Уровень сложностиСредний
Время на прочтение6 мин
Охват и читатели10K

Пятница, 23:47. prod-db-07 лежит, авторизация мобилки не работает, 40 000 пользователей не могут войти. В поле «владелец» — прочерк, последний ответственный уволился в ноябре. Чинят под паролем root/root из письма двухлетней давности.

Читать далее
Статья

Смарт-очки с функциями камеры, AI-ассистента и наушников за 5.000 рублей — обзор на Blackview BV100

Уровень сложностиПростой
Время на прочтение5 мин
Охват и читатели13K

Вообще, я один из тех людей, кто постоянно ходит с десятком гаджетов при себе. Пара смарт-часов, два телефона (основной смартфон и iPhone 3GS/Nokia 8800 в качестве плеера), наушники - это неотъемлемый элемент для каждой прогулке на свежем воздухе. Однако недавно я узнал про существование бюджетных смарт-очков от Blackview, которые предоставляют весьма солидный функционал и в отличии от Meta Ray-ban'ов стоят совсем недорого.

В сегодняшнем обзоре я расскажу об опыте использования таких очков на протяжении двух недель.

Читать далее
Новость

Claude Science — новый ИИ-инструмент для ученых

Время на прочтение4 мин
Охват и читатели8.6K

Компания Anthropic представила Claude Science — цифровую ИИ-лабораторию, разработанную для вычислительных научных исследований. Платформа подключается более чем к 60 научным базам данных и использует мультиагентную архитектуру, в которой главный ассистент выступает в роли проджект-менеджера, создавая субагентов под конкретные задачи и отдельного «фактчекера» для проверки цитат и расчетов. 

Платформа поддерживает воспроизводимость исследований, упаковывая сгенерированные графики и иллюстрации вместе с кодом и программным окружением, в котором они были созданы. Claude Science доступна в бета-версии для всех пользователей с подписками Pro, Max, Team и Enterprise.

Читать далее
Статья

ООО ППП «ГОРНЯК»: как лазерное сканирование и nanoCAD Облака точек изменили точность учета на карьерах

Время на прочтение8 мин
Охват и читатели8.4K

Работы в карьере ведутся круглосуточно, и цена ошибки при подсчете объемов добытой породы, контроле устойчивости откосов или оценке работы дробильного оборудования измеряется в реальных деньгах. Маркшейдерская служба осуществляет маркшейдерское сопровождение добычи, фиксирует каждый кубометр добытой породы и следит за тем, чтобы карьер не отклонился от проекта. В этой статье мы расскажем, какие задачи решают маркшейдеры ООО ППП «ГОРНЯК» с помощью программного комплекса nanoCAD Облака точек, как устроен технологический конвейер работы с данными лазерного сканирования и с какими нестандартными вызовами сталкиваются специалисты.

Читать далее
Пост
Свежие задачи на Бирже заказов Инфостарта для 1С-специалистов
Свежие задачи на Бирже заказов Инфостарта для 1С-специалистов

На Бирже заказов Инфостарта опубликована новая подборка задач по 1С. В списке за неделю - внедрение «1С:Управление торговлей», обмены с бухгалтерией, настройка УПД и ЭДО, интеграция с Битрикс, подготовка технического задания на драйвер связи и другие работы.

В этой подборке — заказы, размещенные с 24 июня по 1 июля. На этой неделе в подборку вошли задачи для специалистов по «1С:Управление торговлей», «1С:Комплексной автоматизации», ЭДО, УПД, обменам с бухгалтерией, интеграциям с Битрикс и разработке решений на платформе 1С.

Биржа заказов Инфостарта помогает быстро найти исполнителя под задачу по 1С - от консультации и небольшой доработки до внедрения, настройки обменов, интеграции с внешними сервисами или сопровождения системы.

Формат подходит и заказчикам, которым нужен специалист под конкретную задачу, и исполнителям, которые хотят выбирать проекты по стеку, объему работ и срокам.

На площадке доступны:

  • 0% комиссии — расчеты напрямую с подрядчиком;

  • исполнители разного масштаба — от одного разработчика до ИТ-команды;

  • прямой обмен контактами;

  • безопасная сделка по желанию;

  • рейтинги, кейсы и прозрачность откликов.

Теги:
+9
Комментарии0

Ближайшие события

Новость

Банки стран ЕАЭС начали ужесточать приём наличных российских рублей

Время на прочтение2 мин
Охват и читатели8.1K

Банки стран Евразийского экономического союза (ЕАЭС) с июня начали вводить ограничения на внесение наличных российских рублей. В ряде случаев финансовые организации установили комиссии до 5%, а некоторые банки полностью отказались принимать российскую наличность, сообщает РБК.

Читать далее
Новость

Microsoft может уволить около 5500 сотрудников, в том числе подразделения Xbox

Время на прочтение1 мин
Охват и читатели7.6K

Microsoft готовится к очередному раунду сокращений, который может затронуть менее 2,5% мирового штата компании — около 5,5 тысячи сотрудников. По данным Business Insider, об увольнениях могут объявить уже в ближайшие дни, хотя сроки еще могут измениться.

Читать далее
Новость

Китайская ИИ-модель GLM-5.2 приблизилась к Claude Mythos в поиске уязвимостей. Что это меняет для ИБ

Время на прочтение5 мин
Охват и читатели10K

13 июня китайская компания Zhipu AI представила открытую языковую модель GLM-5.2. Вскоре после релиза результаты независимых тестов привлекли внимание специалистов по информационной безопасности: в одной из задач поиска программных уязвимостей модель показала результаты, сопоставимые с Claude Mythos от Anthropic.

Новость интересна не только очередным сравнением китайских и американских LLM. Она демонстрирует, насколько быстро открытые модели сокращают отставание от закрытых решений в прикладных задачах ИБ. На фоне недавней истории с временными экспортными ограничениями США на модели Anthropic это еще раз показывает: развитие специализированных ИИ-инструментов уже сложно сдерживать административными мерами.

Читать далее
Новость

VIP-билет даром: исследователь с помощью Claude взломал компанию по продаже билетов на фестивали США

Время на прочтение2 мин
Охват и читатели7.1K

Исследователь Иэн Кэрролл в апреле получил доступ уровня суперадминистратора к системе Front Gate Tickets — компании, которая продает билеты почти на все крупные музыкальные фестивали США, от Lollapalooza до Bonnaroo. Помог ему в этом Claude Opus 4.7: Кэрролл мог одним кликом бесплатно выписать себе билет любой стоимости — вплоть до $4000 за штуку. Подробности взлома он описал в материале WIRED.

Читать далее
Статья

Как я переношу Битрикс24 из облака в коробку через REST

Уровень сложностиСредний
Время на прочтение5 мин
Охват и читатели7.8K

Если коротко: с 1 сентября 2023 года 1С-Битрикс перестал отдавать полные резервные копии облачных порталов. Привычный сценарий переезда на коробку от этого сломался целиком.

Раньше всё было просто. Покупаешь коробочную лицензию, пишешь в поддержку ключ продукта, тебе в назначенную дату готовят бэкап, ты разворачиваешь его на своём сервере, неиспользованные дни облачной подписки добавляют к сроку коробки. Одна операция, по сути копирование файлов и базы.

Сейчас так не выйдет. Причина у вендора техническая и в общем понятная: в полный бэкап попадает не только ваш контент, но и ядро продукта, а ядра облака и коробки за годы разошлись достаточно, чтобы копия облака на коробке начинала сыпать ошибками на ровном месте. Поддерживать это вендор не захотел и услугу закрыл.

Читать далее
Пост

Почему OKR может не работать в B2B2C и что с этим делать

Большинство примеров OKR написаны про SaaS или e-commerce. Там все понятно: есть продукт, есть пользователь, есть метрика. Но что делать, если у вас два типа клиентов одновременно, непрямая дистрибуция и монетизация зависит от решений стратегического партнера?

Расскажем на реальном кейсе.

Контекст

CROSSHUB — российская IT-компания, которая разрабатывает решения для кросс-продаж в крупных федеральных компаниях. Бизнес-модель - B2B2C: с одной стороны крупные партнеры — банки, телеком, автопроизводители, с другой — конечные пользователи. Монетизация непрямая, ценность нужно доказывать сразу на двух уровнях.

Команда сильная, бизнес прибыльный и растущий. Но при всем этом ключевые цели стабильно достигались с задержкой. Не потому что люди не понимали стратегию — каждый руководитель понимал ее по-своему. Разные интерпретации приоритетов при общей вовлеченности давали именно такой эффект: все работают, а фокус размыт.

Почему классический OKR не ложится

Компания несколько раз пробовала внедрить OKR с внешними консультантами. Каждый раз одна и та же история: фреймворк в теории работает, но примеры из книжек и курсов не адаптированы под B2B2C. Попытка натянуть стандартный шаблон на нестандартную модель приводила к целям, которые формально правильные, но оторваны от реальности бизнеса.

Проблема не в методологии. Проблема в том, что перед постановкой целей нужна синхронизация — общее понимание того, где компания сейчас и куда движется. Без этого OKR превращается в упражнение по заполнению таблиц.

Что сделали

Запрос к Product Lab был на внедрение OKR. Но уже в первый день стратегической сессии стало понятно: идти по стандартному плану не имеет смысла. Переформатировали программу прямо в процессе.

Вместо классической OKR-работы провели интенсивное стратегическое проектирование за два дня. Ключевые этапы:

Определили две метрики: финансовую и нефинансовую как единые ориентиры для всей команды. Это то, что в продуктовом подходе называют North Star Metric: одна точка, на которую смотрят все, независимо от функции.

Декомпозировали метрики ретроспективно и на будущие периоды в разрезе сегментов. Это дало команде общий язык для разговора о результатах — не «мы хорошо поработали», а «вот что изменилось в цифрах и почему».

Применили фреймворк «4 корзинки» из методологии Product Focus для определения стратегических направлений. Он позволяет расставить приоритеты с учетом реальных ограничений модели, а не в вакууме.

На этой базе сформулировали цели и ключевые результаты — уже осмысленные, а не скопированные из чужих примеров.

Что получилось

Команда вышла с синхронизированным пониманием приоритетов и адаптированной стратегией. Не универсальной, а под свою модель, свои ограничения и свой этап зрелости.

Все участники поставили сессии 10 из 10. По словам заказчика — лучший опыт работы с внешними консультантами за историю компании.

«Теория сразу переходит в область практики. Гибкость подхода, скорость погружения в наш бизнес — это очень ценно» — Наталья Грудинина, директор по маркетингу и новым продуктам

«Вижу реальную пользу. Много инструментов, легко переключается, создает комфортную атмосферу для дискуссии» — Анна Пчелинцева, CEO

Вывод

Если бизнес-модель нестандартная — сначала синхронизация по стратегии, потом OKR. Иначе даже правильно написанные цели будут работать c каждым по-своему.

И еще один момент: скорость адаптации фасилитатора к контексту бизнеса важнее знания фреймворка наизусть. Инструмент всегда можно подстроить, если понимаешь, под что именно.

Теги:
+3
Комментарии2
Новость

Диски с играми для PlayStation перестанут выпускать в 2028 году

Время на прочтение1 мин
Охват и читатели7.5K

Диски с играми для консолей PlayStation прекратят производить с января 2028 года, предупредила Sony. Японская компания объяснила это решение продолжением смещения потребительских предпочтений и индустрии развлечений в целом от физических носителей к цифровым изданиям.

Читать далее