Разработка

Когда WAF - не помощник
Наткнулся на ситуацию, когда митигация эксплуатации API-метода была бы возможна при блокировке POST-запроса по правилу "если тело запроса более n-байт". Но, используемый WAF в такое не умеет (вендор подтвердил, завел задачку на подумать о такой функции). Представьте: на сайте можно выбрать 3 из 5 категорий кэшбека. Но, ограничение проверяется лишь на фронте. Ничего не мешает обратиться к методу напрямую, указав все 5 параметров в теле POST-запроса:

{
 "CODE_1": "1",
 "CODE_2": "1",
 "CODE_3": "1",
 "CODE_4": "1",
 "CODE_5": "1",
 }

Где разный CODE - последовательность символов (одинаковой длины), которая означает один из кэшбеков (красота, аптеки, рестораны и т.д.). Для митигации (пока разработчики исправляют уязвимость) можно было бы прикинуть максимальное количество байт примерно до (чтоб был небольшой люфт по байтам: чуть более 3-х запросов, но, длина из 4 параметров уже точно не попадала):

{
 "CODE_1": "1",
 "CODE_2": "1",
 "CODE_3": "1",
 "CODE_4":
 }

Как оказалось, подобного правила нет в различных WAF (поспрашивал коллег, почитал документацию некоторых популярных WAF). Правда, тут нужно быть внимательным: иногда представители вендора\интегратора ошибочно считают, что у них это есть. Но, в процессе обсуждения выясняется, что речь идёт о другом. О максимальном размере тела POST-запроса, общим для всех методов (защита от DoS). Либо речь идёт о составлении описания правила, где блокируются запросы, не попадающие под описание правила. Но, в данном случае все 5 параметров в запросе корректны (согласно swagger-схеме). Интересно: какие из существующих WAF уже сейчас умеют в подобные правила (максимальный размер тела запроса для конкретного метода)?

Ждем в прямом эфире! Узнайте, как ИИ меняет информационную безопасность

Практические ИБ-конференции RoadShow SearchInform в самом разгаре. Сегодня встречаемся с участниками в Москве. Впереди еще много городов (список здесь).

Если вы не нашли в списке свой город, но хотите пообщаться с коллегами по цеху, задать вопросы спикерам и узнать все о самых горячих трендах инфобеза, то подключайтесь сегодня к онлайн-трансляции. Доклады стартуют в 14:00 (мск).

Смотреть тут: [тыц]

А уже сейчас можно поучаствовать в большом исследовании уровня ИБ в компаниях России и СНГ. Спрашиваем про бюджеты, средства защиты, утечки и другие внутренние инциденты - а потом все считаем и делимся статистикой.

Строите микросервисную архитектуру? Уверены, что с аутентификацией и авторизацией всё идеально?

2 октября разберем на бесплатном вебинаре «Аутентификация в микросервисах за 1 час: Keycloak и JWT без головной боли» отраслевой стандарт для безопасности — Keycloak.

План вебинара (только полезное):

✔️ Keycloak как IAM-сервер: быстрый старт и настройка.

✔️ Интеграция с ASP.NET приложением: пишем код, который работает.

✔️ Четкое разграничение прав (Authorization): чтобы пользователи видели только своё.

✔️ OAuth 2.0 / OIDC & JWT: не просто аббревиатуры, а инструменты, которые вы поймёте и примените.

Итог: вы уйдете с чёткими инструкциями и рабочим примером для ваших проектов.

📅 Когда: 2 октября, 17:00-18:00 (МСК)

👨‍🎓 Спикер: Андреев Андрей — эксперт в области разработки и архитектуры ПО.

👉Забронировать место 👈

Этот час сэкономит вам недели на проектировании и отладке безопасности.

xAI анонсировала Grokipedia — ИИ-энциклопедию на основе модели Grok

Компания xAI Илона Маска объявила о разработке Grokipedia — альтернативы Википедии с автоматической коррекцией ошибок через искусственный интеллект. Проект позиционируется как шаг к цели xAI "понять Вселенную" и должен стать open-source платформой с ИИ-модерацией контента.

Технология и архитектура

Grokipedia будет использовать модели Grok от xAI для создания корпуса знаний, аналогичного Википедии. Система применяет синтетические коррекции для переписывания информации из Википедии, книг и других онлайн-источников с автоматической проверкой фактов.

Заявленные возможности:

• Автоматическая коррекция ошибок через ИИ

• Проверка точности и фактологичности контента

• Open-source архитектура

• Интеграция с моделями Grok для генерации статей

Отличия от Википедии

Основное отличие — использование ИИ для автоматической верификации и коррекции информации вместо краудсорсинговой модели редактирования Википедии. Маск критикует Википедию за предвзятость и позиционирует Grokipedia как более нейтральную альтернативу.

Ключевые преимущества по версии xAI:

• ИИ-проверка фактов в реальном времени

• Снижение человеческой предвзятости

• Более быстрое обновление информации

• Автоматическое выявление противоречий

Контекст и мотивация

Анонс Grokipedia следует за длительной критикой Маском Википедии, которую он обвиняет в политической предвзятости. Проект вписывается в общую стратегию xAI по созданию альтернатив существующим информационным платформам.

Маск заявил, что Grokipedia — "необходимый шаг к цели xAI понять Вселенную", связывая проект с более широкой миссией компании по развитию общего искусственного интеллекта.

Технические вызовы

Создание ИИ-энциклопедии сталкивается с рядом фундаментальных проблем. Большие языковые модели склонны к галлюцинациям — генерации правдоподобно звучащей, но ложной информации.

Потенциальные проблемы:

• Галлюцинации ИИ и генерация ложных фактов

• Сложность верификации автоматически созданного контента

• Отсутствие прозрачности процесса редактирования

• Зависимость от качества обучающих данных

Модель управления контентом

Детали управления Grokipedia пока не раскрыты. Непонятно, будет ли сохранена краудсорсинговая модель редактирования или контент будет полностью генерироваться и модерироваться ИИ.

Вопрос прозрачности критичен — Википедия показывает историю правок и обсуждения, что обеспечивает подотчетность. Неясно, как Grokipedia будет решать эту проблему в ИИ-управляемой системе.

Конкуренция и рынок

Grokipedia не первая попытка создать альтернативу Википедии. Существуют Conservapedia, Citizendium и другие проекты, но ни один не достиг сопоставимого охвата и влияния.

Преимущества Википедии:

• 60+ миллионов статей на 300+ языках

• Установленное доверие сообщества

• Прозрачная модель редактирования

• Некоммерческий статус

Сроки и доступность

Конкретные сроки запуска Grokipedia не объявлены. Маск заявил о разработке проекта в xAI, но детали технической реализации, модели финансирования и планов по выпуску не раскрыты.

Учитывая сложность задачи и амбициозность целей, реализация может занять значительное время и потребовать решения множества технических и этических вопросов.

Контейнеры не панацея: скрытые затраты на содержание Kubernetes, о которых молчат вендоры

Kubernetes стал де-факто стандартом оркестрации, но за кадром остаются реальные эксплуатационные расходы. Когда стоимость обслуживания кластера превышает стоимость самих сервисов — пора пересматривать архитектурные решения.

Что не учитывают при внедрении:

• Эффективность нод: В среднем 35-40% ресурсов простаивают "на всякий случай"

• Стоимость сетей: Service mesh + CNI добавляют 15-20% к потреблению CPU

• Трудозатраты: 1 инженер на 3-5 кластеров — утопия для средних компаний

Реальные метрики из практики:

bash

# Анализ утилизации за 3 месяца
kubectl top nodes | awk '{sum += $3} END {print "Средняя загрузка:", sum/NR "%"}'
# Результат: 41% по CPU, 28% по памяти

Где теряем деньги:

1. Overprovisioning
   "На всякий случай" развертываем на 200% больше ресурсов

2. Сложность мониторинга
   Требуется отдельный стек: Prometheus + Grafana + Alertmanager

3. Безопасность
   Pod Security Policies, network policies — +20% к времени развертывания

Когда Kubernetes оправдан:

• 50+ микросервисов

• Непредсказуемая нагрузка

• Команда из 3+ DevOps инженеров

Альтернативы для средних проектов:

• Nomad — проще оркестратор без привязки к контейнерам

• Docker Swarm — для простых сценариев

• Managed k8s — если нет своей экспертизы

Вывод:
Kubernetes — мощный инструмент, но не серебряная пуля. Прежде чем прыгать в эту экосистему, посчитайте TCO и убедитесь, что сложность управления не съест всю экономию от контейнеризации.

#Kubernetes #DevOps #контейнеризация #TCO #микросервисы

А как у вас с реальной утилизацией ресурсов в k8s? Делитесь наблюдениями в комментариях.

Приложение Sora 2 доступно пока по приглашениям и работает только на устройствах Apple, но видеороликами из него забиты уже все ленты социальных сетей. Хотя это просто очередной генератор видео, OpenAI позиционирует приложение как соперника TikTok в деле разжижения мозгов и уничтожения способности удерживать внимание. Разница лишь в том, что контент создаёт генеративная нейросеть на основе промптов пользователей. Бесполезно проводить время предлагается за просмотром шлака от ИИ.

Заявляется, что относительно первой версии модель Sora 2 значительно более продвинутая. Это очевидно даже по описанию технических характеристик: Sora 2 генерирует 10-секундные клипы с синхронизированной аудиодорожкой, в то время как первая итерация модели умела создавать только видеоряд. Клипы могут быть ремиксом или начинаться со статичного изображения, а особую популярность снискала функция камео.

На практике это означает, что все ленты сейчас заполнены Сэмом Альтманом, ворующим игровые видеокарты из магазинов электроники. Ну а чего вы хотели? Фантазии у первопроходцев мало, да и его лицо в редакторе — это одно из предлагаемых. В лучшем случае он будет ползать по полу офиса OpenAI в кигуруми кота и истошно мяукать.

На самом деле интересные бенчмарки всё же придумывают. К примеру, как показывает Кристофер Фрайант, Sora 2 выдаёт отлично выглядящие 10-секундные клипы геймплея любой популярной видеоигры. Многие хвалят Sora 2 за отличное понимание физики.

Как утверждает дата-саентист из Meta¹ Колин Фрейзер, не всё так однозначно. У себя в микроблоге он показал несколько примеров откровенных косяков Sora 2. Ниже представлена склейка шести из них.

Здесь опробованы разные промпты. Чаще всего они связаны с отделением одного объекта от другого или их совмещением в единое целое. Как показал скептик, с взаимодействием объектов в кадре у Sora 2 откровенно туго:

1. Вылезающий из автомобиля человек. В ответ на промпт Фрейзера модель зажимает ногу человека дверью.

2. Прыгающий через обруч пёс никуда не прыгает.

3. Пиво ведёт себя как желе, у бармена с пальцами случилась каляка-маляка.

4. Кстати, попытки упростить промпт про вылезание из машины ничего хорошего не приносят.

5. Даже когда Колин явно задал в промпте состояние стакана, сосуд с апельсиновым соком опустошён до дна не был — уровень жидкости даже не изменился.

6. Ну и задувание свечей всё так же на реальность не походит.

Твиты Фрейзера вызвали резко негативную реакцию. У себя в микроблоге он пожаловался, что люди в ответ на поиск изъянов начинают злиться. Колин не понимает, почему многие настолько эмоционально инвестированы в какое-то приложение для генерации и листания видеороликов.

(1) Холдинговая компания Meta — экстремистская организация, её деятельность запрещена.

Разбираю статью про обучение с подкрплением для самых маленьких и генерацию ответов

Все мы знаем, что большие модели любят учиться на готовых ответах. Но, угадай что? Готовых ответов у нас нет. Они либо дорогие, либо спорные, либо вообще непонятно какие. Представь, что у тебя есть только ты сам, твои черновики и пара свободных вечеров. Ну что, будем учиться на своих же косяках?

Вот для этого придумали Compute as Teacher (CaT). Работает оно так:

1. Пользователь кидает запрос. Ну там: «объясни квантовую физику бабушке».

2. Модель честно пишет сразу несколько версий ответа. Каждая по-своему кривая, но иногда попадаются удачные куски.

3. Другая копия этой же модели собирает из них «лучший хит» — вроде плейлиста «самое ок» из твоих старых песен.

4. Потом мы сравниваем все черновики с этим «финальным шедевром» и решаем: «ага, вот это было ближе, а это лучше забыть как страшный сон».

5. Модель сама делает выводы и в следующий раз уже тупит чуть меньше.

В итоге получается странная штука: модель учится без учителя, проверяя сама себя. Как если бы школьник писал 5 вариантов решения задачи, потом сам делал «сборку Франкенштейна» из них, и именно её принимал за эталон. А дальше наказывает себя за плохие черновики и хвалит за удачные.

И что самое весёлое — это реально работает. Без людей, без правильных ответов, без пафоса. Просто куча вычислений, которые модель тратит на то, чтобы спорить сама с собой и становиться чуть умнее.

Если коротко: CaT — это как спорить с самим собой в душе, только полезно

Ссылка на статью у меня в блоге, потому что у меня карма маленькая и тут я не могу всё опубликовать

—————

Менеджер? Давай сюда!
Ищи работу здесь
Технологии и архитектура

Записки параноика: почему Zero Trust — это не мода, а новая реальность для ИТ-инфраструктуры

Современные угрозы больше не останавливаются на периметре. Атаки стали целевыми, изощренными и часто исходят изнутри. Традиционный подход «замок и ров» безнадежно устарел.

Почему Zero Trust — это не просто buzzword:

• 68% компаний сталкивались с инцидентами внутренних угроз

• Среднее время обнаружения нарушителя в сети — 207 дней

• Традиционные VPN стали главным вектором атак в 2024

Как мы внедряли Zero Trust без переписывания всей инфраструктуры:

Сегментация на микроуровне:

yaml

# Instead of: Allow 10.0.0.0/8
# We use: 
- name: db-access
  source: app-server-01
  destination: postgres-01
  port: 5432
  auth: mTLS + service-account

Service Mesh вместо VPN:

• Istio для взаимной аутентификации сервисов

• Автоматическое шифрование всего трафика

• Детальный контроль доступа на уровне L7
  
  Непрерывная верификация:

bash

# Проверка целостности хостов каждые 30 сек
sudo attestation-agent verify --policy strict

Технические вызовы, с которыми столкнулись:

• Производительность: Overhead Istio ~3ms на hop

• Сложность отладки: Трассировка запросов через 5+ сервисов

• Миграция: Постепенный перенос legacy-систем

Метрики после 6 месяцев работы:

• Время сдерживания атаки сократилось с часов до минут

• Количество инцидентов снизилось на 73%

• Audit trail для compliance стал детализированным

Ключевые инсайты:

1. Начинайте с идентификации — без точной инвентаризации сервисов ничего не выйдет

2. Поэтапное внедрение — от критичных workload к периферии

3. Автоматизация политик — ручное управление не масштабируется

Zero Trust — это не продукт, а архитектурный принцип. И да, он требует изменений в менталитете команды больше, чем в технологиях.

Post-Quantum Cryptography: тихая революция в инфраструктуре, которую нельзя игнорировать

Пока большинство обсуждает ИИ, в мире криптографии происходит настоящая революция. NIST утвердил первые стандарты постквантовой криптографии, и это потребует фундаментальных изменений в ИТ-инфраструктуре уже в ближайшие 2–3 года.

Проблема:

Современные алгоритмы (RSA, ECC) могут быть взломаны квантовыми компьютерами в обозримом будущем. Миграция на PQC — не вопрос «если», а вопрос «когда».

Что меняется:

• Размер ключей увеличивается в 5-10 раз

• Процессоры испытывают нагрузку на 30-50% выше

• TLS-хендшейки становятся значительно объемнее

Наши тесты с OpenSSH 9.8:

bash

# Стандартный ключ Ed25519: 68 байт
# PQC-ключ Dilithium3: 1842 байта
# Рост трафика при подключении: ~2700%

Практические рекомендации:

1. Аудит инфраструктуры:

python

# Скрипт для поиска уязвимых сервисов
import ssl
for protocol in ['TLSv1.2', 'TLSv1.3']:
    ctx = ssl.create_default_context()
    ctx.set_ciphers(protocol)

2. План миграции:

• 2025: Тестирование гибридных схем (PQC + традиционные алгоритмы)

• 2026: Перевод внутренних сервисов

• 2027: Полный переход для внешних endpoint

3. Аппаратные требования:

• CPU с поддержкой AVX2/AVX-512

• Увеличение буферов сетевых карт

• +30% к оперативной памяти для сертификатов

Метрики производительности после перехода:

• 📉 Throughput VPN: снижение на 15%

• 📈 Потребление CPU: рост на 40%

• ⏱️ Время TLS-хендшейка: +80 мс

Вывод:

Откладывание перехода на PQC аналогично игнорированию проблемы Y2K в 90-х. Уже сегодня нужно начинать тестирование и планирование, чтобы избежать хаотичной миграции под давлением регуляторов.

Уже проводили тесты с постквантовыми алгоритмами? Делитесь результатами в комментариях — соберем статистику по разным конфигурациям.

Я размышлял над созданием инструмента для вайбкодинга и вот что я понял:

Вайбкодинг — это менеджмент.

Со всеми его плюсами и минусами.

У менеджмента фокус на управление.

У разработки фокус на конструирование.

Для менеджмента нужны прокачанные скилы общения (говорить, слушать, писать, читать на человеческом)

Для разработки нужны прокачанные скилы разработки (говорить, слушать, писать, читать на программном)

И сейчас такое время когда чтобы преуспеть «разработчики» учатся говорить на человеческом, а «менеджеры» учатся говорить на программном.

Посиделки с инди #5: The King is Watching и путь к 300к копиям. Много говорили про геймджемы. Профакапился с тем, что про управление командой мало расспросил, но даже без этого 2 часа вышло 😅

Немало поговорили про подход и мировоззрение, курсы и способы/пути обучения.

Где можно послушать/посмотреть:

• Ютубчик

• Spotify

• Apple Podcasts

Ну или можно выбрать из кучи других сервисов, куда реаплодится подкаст.

Конференция для всех участников рынка электроники от лидера поставки печатных плат в России: 24 ноября в Москве

Приглашаем вас на корпоративную конференцию "ГРАН Груп", которая будет интересна всем участникам рынка электроники от инженеров до топ-менеджеров! Здесь мы говорим о печатных платах с точки зрения развития электроники в России. 

🗓 Когда: 24 ноября 2025 года. Начало мероприятия в 9.30.

🔗 Регистрируйтесь по ссылке: достаточно нажать "Регистрация", ввести необходимые данные и дождаться подтверждения на электронную почту.

📍  Место проведения: г. Москва, Отель «Hotel Continental», ул. Тверская, 22, Конференц-зал «Родченко».

Темы конференции:

• Космические горизонты промышленной электроники:

Экспертный взгляд на рынок электроники через призму инноваций в производстве печатных плат. Мы подготовили актуальную аналитику и обзор наиболее ярких явлений на мировом и российском рынке промышленной электроники.

• Инженерный космос:

Печатная плата – какая она? Прямоугольная, 1.6 мм, 18/18, зеленая маска и белая шелкография? Мы подготовили обзор нестандартных плат, с которыми уже работали. Расскажем о требованиях, параметрах, процессе подготовки к производству. Только самые интересные кейсы и дискуссия о возможностях инженерного пространства.

• Новейшие технологии:                                                  

Печатная плата – в сердце каждой технологии. Заглянем в будущее новейших разработок в области производства печатных плат. Вас ждет обзор актуальных и перспективных идей завтрашнего дня, а также живое обсуждение их необходимости и доступности сегодня.

• Потенциал российского рынка печатных плат:

Серийное производство печатных плат в России? Отличная мысль! Насколько это актуально и возможно? Вас ждет откровенный и полный обзор потенциала этой идеи: технологии, материалы, кадры и т.д. Присоединяйтесь к обсуждению!

Ждем вас!  🤝

Конференции ГРАН всегда бесплатные.

Привет, потенциал kui еще немного увеличился! Случилось то что случилось, в продской cronjoпеb'е что-то застряло. Добавил в kui ручной запуск кронжоб и kui'ем протолкнул застрявшее в кронжобе ...

Творите, выдумывайте, пробуйте!)

Когда TLS 1.3 ломает мониторинг: тонкая настройка под новые протоколы

С переходом на TLS 1.3 многие системы мониторинга внезапно "ослепли". Старые методы перехвата трафика перестали работать, а бизнес требует полной видимости. Разбираем, как адаптировать мониторинг под современные стандарты безопасности.

Проблема:

• eSNI и Encrypted Client Hello шифруют метаданные подключения

• PFS (Perfect Forward Secrecy) делает историческую расшифровку трафика невозможной

• 70% инструментов мониторинга показывают "encrypted traffic" вместо полезных метрик

Решение через eBPF:

bash

# Вместо SSL-инспекции - анализ системных вызовов
sudo bpftrace -e 'tracepoint:syscalls:sys_enter_connect {
    printf("%s → %s:%d\n", comm, args->uservaddr, args->port);
}'

Наша реализация:

1. Мониторинг на уровне ядра - eBPF-программы для анализа сокетов

2. Анализ временных метрик - latency между SYN и ACK без расшифровки содержимого

3. Косвенные метрики - количество новых соединений, размер передаваемых данных

Конфигурация для Prometheus:

yaml

- job_name: 'ebpf_metrics'
  static_configs:
    - targets: ['node-exporter:9100']
  metrics_path: /ebpf
  params:
    module: [tcp_tracer]

Результаты:

• Обнаружили 40% неоптимальных TLS-хендшейков

• Снизили время диагностики проблем с подключением с 25 до 3 минут

• Соответствуем требованиям GDPR и PCI DSS (без декриптации трафика)

Вывод:
Современный мониторинг требует смещения фокуса с инспекции содержимого на анализ метаданных и поведенческих паттернов. Безопасность и наблюдательность больше не противоречат друг другу.

#eBPF #TLS1.3 #мониторинг #кибербезопасность #observability

Какие подходы к мониторингу зашифрованного трафика используете вы? 

Аналитики Citigroup повысили прогноз по инвестициям в инфраструктуру искусственного интеллекта крупнейших IT-компаний. По их оценке, к 2029 году расходы превысят $2,8 трлн, тогда как ранее ожидалось $2,3 трлн. Рост вызван агрессивными вложениями облачных гигантов (Microsoft, Amazon, Alphabet) и растущим спросом бизнеса на вычислительные мощности.

Ожидается, что только к концу 2026 года затраты гиперскейлеров на ИИ-инфраструктуру достигнут $490 млрд против прежнего прогноза в $420 млрд. Основной драйвер инвестиций — взрывной рост запросов на обучение и работу ИИ-моделей. По оценкам, к 2030 году глобальный спрос на вычисления потребует дополнительно 55 ГВт мощности, а стоимость каждого гигаватта инфраструктуры достигает $50 млрд.

Примечательно, что на фоне ИИ-бума IT-компании больше не ограничиваются финансированием из прибыли — им приходится занимать средства. Эти расходы уже заметно сокращают свободные денежные потоки и инвесторы задаются вопросом, как бизнес продолжит поддерживать столь масштабные вложения в ИИ.

Первые впечатления от использования Claude Sonnet 4.5

В целом, хорошие впечатления.

Работает быстро.

При написании кода не сделал ни одной ошибки.

Заметно лучше держит контекст. Быстро ознакомился с проектом и очень неплохо следует правилам.

Единственное, что нередко сразу бросается в бой и начинает писать много кода. Что сжигает кучу токенов. Поэтому взял за привычку не расслабляться и каждый раз напоминать, когда писать код, а когда обсуждение, или псевдокод.

В общем, ощущения такие, что работает чисто, уверенно, надёжно.

Стиль общения вполне комфортный

OpenAI представила Sora 2 с синхронизированным аудио и системой персонализированных камео

OpenAI выпустила вторую версию модели генерации видео Sora с поддержкой высококачественного аудио и функцией Cameo для создания персонализированных аватаров. Модель доступна через новое iOS-приложение с социальными функциями для США и Канады.

Технические характеристики

Команда OpenAI позиционирует Sora 2 как "GPT-3.5 момент" для генеративного видео — переход от proof-of-concept к практически применимой технологии. Модель генерирует видео с разрешением 720p при 30 FPS длительностью 5-10 секунд.

Ключевые возможности:

• Синхронизированная генерация видео и аудио

• Улучшенная симуляция физических процессов

• Поддержка мультисценарных инструкций

• Различные визуальные стили от фотореализма до анимации

Система Cameo

Функция Cameo позволяет создавать персонализированные аватары на основе однократной записи голоса и внешности. Система переносит внешний вид и голос в любые сгенерированные сцены.

Контроль безопасности:

• Только авторизованные пользователи могут использовать ваш камео

• Полная видимость всех видео с вашим образом

• Возможность отзыва доступа в любой момент

• Усиленные ограничения для несовершеннолетних

• Блокировка дипфейков публичных персон без согласия

Симуляция физики

Основной прорыв касается моделирования сложных физических процессов. Модель корректно обрабатывает гимнастические трюки, отскок баскетбольного мяча, плавучесть при акробатике. Ранние модели демонстрировали артефакты при движении объектов — Sora 2 показывает существенное улучшение.

iOS-приложение

Параллельно запущено iOS-приложение с функциями социальной сети для создания видео, ремикса контента и просмотра персонализированной ленты ИИ-видео.

Возможности:

• Создание видео из текстовых промптов

• Ремикс существующего контента

• Персонализированная лента на основе взаимодействий

• Рекомендации через языковые модели OpenAI

OpenAI заявляет, что не оптимизирует приложение для максимизации времени в ленте, а фокусируется на стимулировании создания контента.

Доступность и монетизация

Приложение запускается по инвайтам в США и Канаде. Изначально Sora 2 будет бесплатной с "щедрыми лимитами". Pro-версия на sora.com стоит $200/месяц и обеспечивает доступ к расширенным возможностям. API в разработке для корпоративных клиентов.

Сравнение с конкурентами

Позиционирование:

• Google Veo 3 — 1080p, снижение цен на 50%

• Runway Gen-3 — профессиональный видеопродакшн

• Pika — эффекты и анимация

• Sora 2 — социальный подход с персонализацией

Ограничения

Текущая версия ограничена разрешением 720p и длительностью 5-10 секунд. Качество симуляции физики улучшено, но может демонстрировать артефакты в сложных сценах с множественными взаимодействующими объектами.

Вообще, конечно, рынок сам себя отрегулирует и можно ему не помогать.

Просто в какой-то момент станет не хватать рабочих рук и бизнес начнет разваливаться.

Если повезет то Волки-разработчики вырастут за это время и затащат поставленные задачи. Если нет то придется таки найти способных для этого людей.

Те же кто реально на опыте за это время могут развиваться в смежных областях, экспериментировать с новыми технологиями и личными проектами, играми, стартапами о чем многие, как и я, давно мечтали но как-то руки не доходили..

Да и в конце-концов полочку прибить на кухне давно пора 😁

Тут же время для чтения книг, спорта, прогулок, творчества, хобби и свиданий..

Я вот стихи пишу например и Suno AI мне делает клубную музыку на их основе, мне нравится :)

Короче, наслаждаемся жизнью, качаем вторую профу, и ждем когда сами позовут.

А на момент когда позовут у нас уже будет прокачана 2-я профа, широкая душа (и кругозор), стабильная психика, любимые люди вокруг и экспертиза в новых технологиях пока они там с легаси копаются 😁

Разрушать монолитную скалу сложившегося рынка так себе идея, не лучше ли подождать пока сама развалится? Тем более что она уже трещит по швам.

В общем у этой ситуации есть свои минусы, и есть свои плюсы, сконцентрируемся на плюсах, а там жизнь покажет.

Благо в жизни есть и другие интересные дела и возможности.

Обнял 🤗

P.S. Я знаю что это не напрямую по теме моб.разработки, а около сложившейся ситуации в наеме в моб.разработке, ну и что? А где мне об этом писать как не в среде моб.разработчиков, частью сообщества которых я долгое время был? Так что пишу здесь и точка 😁

P.S. 2: Благодаря этому всему я опробовал Flutter на паре своих проектов и затем подсел на Compose Multiplatform. Сделал пару простых игр под мобилки в качестве эксперимента. Спроектировал маркетплейс как Avito от начала и до конца. Изобрел пару новых архитектурных решений. Придумал свой язык программирования и пилю среду разработки для него. Стартап запускал даже Structure Compositor для автоматической генерации кода по макетам. Пробую и экспериментирую с возможностями ИИ. Научился готовить - это прикольно, мне прям нравится. Ой, еще работ несколько разных перепробовал, начал больше гулять на природе, да много всего..

В общем живу насыщенной жизнью философа и любителя жизни, почти как в отпуске только за свой счет 😁

Искусственный интеллект от OpenAI планирует потреблять больше энергии, чем Великобритания или Германия через пять лет, больше Индии за 8 лет. И таких компаний все больше — Anthropic Claude, Mistral, LLaMA, Cohere, Grok, Google AI, Bing Chat, Ernie Bot DeepSeek.

Управление качеством данных выводит бизнес-процессы на новый уровень

ОТП Банк представил инновационный подход к управлению качеством данных. Об этом 24 сентября 2025 года на 10-м форуме «Управление данными — 2025» в Москве рассказал Николай Шевцов, директор дирекции по управлению данными ОТП Банка. В ходе своего доклада он представил анализ практического опыта построения сквозной системы управления данными (Data Governance), которая успешно работает в ОТП Банке уже более 2-х лет. Особое внимание было уделено презентации инструмента, позволяющего в реальном времени отслеживать сотни критических показателей по всему массиву данных финансовой организации – автоматическим проверкам данных.

«Новый подход, основанный на принципе «Data Quality by Design», позволил не только значительно повысить надежность информации, но и добиться значительной экономии средств, превратив контроль качества данных из статьи расходов в мощный стратегический актив, улучшающий финансовый результат компании», - отмечает Николай Шевцов.

По словам эксперта, традиционные системы контроля «качества данных» часто ассоциируется с рутинными отчетами и бесконечными ручными проверками. Бизнес-пользователи сталкиваются с ошибками в отчетах, а аналитики тратят до 70% времени на исправление инцидентов, что приводит к замедлению процессов и выгоранию сотрудников. Решение ОТП Банка кардинально меняет эту парадигму.

Основной элемент новшества — централизованная Data Governance платформа, которая хранит все метаданные – бизнес-глоссарий, каталог данных, домены, владельцев, процессы. Ее ключевое отличие заключается в интеграции BRD (Business Requirements Document) и FSD (Functional Specifications Document) в платформу как структурированных объектов, а не разрозненных документов в Word или Confluence. Глубокая автоматизация и интеграция контроля на этапе разработки любых data-продуктов позволяет бизнесу и IT работать в едином контуре, обеспечивая прозрачность и скорость реагирования на инциденты.

Также платформа обеспечивает сквозной мониторинг сотен критических показателей в реальном времени, автозакрытие инцидентов и оперативные уведомления, что дает бизнес-пользователям полный контроль над операционными задачами, а специалистов почти полностью освобождает от рутинных процессов, оставляя больше времени для решения стратегических задач.

«Благодаря тому, что создание DQ-проверок мы встроили в Framework разработки Data – продукта, 75% проверок создаются теперь автоматически на основе бизнес-правил, без участия человека. Таким образом, мы смогли прийти к значительному ускорению процессов – меньше минуты на создание проверки качества данных против 10-15 минут режиме ручной поверки. И добились снижения операционной нагрузки на команды в сотни раз. При этом почти на треть вырос уровень качества данных, потому что мы успеваем проверять то, до чего раньше не доходили руки. Как результат – на 25% сокращены затраты на решение инцидентов качества данных за счет автоматизации рутинных операций», - пояснил Николай.

По словам Шевцова, команде ОТП Банка удалось встроить «ген качества» в ДНК бизнес-процессов, что открывает новые возможности для увеличения эффективности ML- моделей для работы искусственного интеллекта.