Open source *

Агентские скиллы: как применить их в разработке

Привет, меня зовут Дима Васильев, я бэкенд-разработчик в Doubletapp. В этом тексте коротко расскажу, как эффективно управлять кодовыми ассистентами с помощью агентских скиллов.

Ассистенты уже умеют читать репозиторий, править файлы и запускать команды, но им часто не хватает контекста команды: как оформлять задачи, какие проверки запускать, как работать со стендами и где нужно подтверждение. Для этого и нужны агентские скиллы. 

Скилл — это инструкция для ИИ-помощника: когда её применять, по каким шагам действовать, какие шаблоны и команды использовать. В открытой спецификации Agent Skills скилл обычно оформляется как папка с SKILL.md; рядом могут лежать скрипты, справки и шаблоны.

Подход уже поддерживают разные кодовые ассистенты. GitHub Copilot работает с agent skills в режиме агента, Copilot CLI и облачном агенте. Codex поддерживает скиллы в командной строке, расширении и приложении. Claude Code тоже работает со скиллами через SKILL.md. Поэтому речь не про один инструмент, а про общий способ описывать повторяемые действия команды рядом с кодом.

Кейс 1. Описание проделанной работы

Разработчик закончил задачу, а дальше её должны подхватить тестировщики, аналитики или другие разработчики. Часто в задаче остаётся короткое «сделал», хотя нужно больше контекста.

Можно сделать скилл «описать изменения». Он смотрит на изменения в коде, коммиты и описание задачи, а потом формирует выжимку: что изменилось, какие модули затронуты, как проверить результат, есть ли риски, миграции, настройки или флаги.

Такой скилл помогает не забывать важные детали и делает передачу задачи более предсказуемой.

Кейс 2. Онбординг новых разработчиков

Проектные скиллы полезны для онбординга. В них можно описать, как поднять окружение, как запускать тесты, как оформлять ветки и коммиты, где смотреть логи и какие архитектурные правила нельзя нарушать.

Новый разработчик может спросить помощника: «помоги поднять проект» или «подготовь задачу к сдаче». Помощник ответит с учётом проектных правил, а не общими советами. Это не отменяет документацию, но снижает количество одинаковых вопросов.

Кейс 3. Надстройка над Terraform

Другой пример — сложные инструменты. Допустим, команде нужен Terraform для стендов, но не все хорошо с ним знакомы. Реальных знаний Terraform скилл не заменит: всё равно важно понимать состояние, план изменений, ресурсы и последствия удаления инфраструктуры.

Но для повседневной работы можно сделать понятные действия поверх Terraform:

• Init stand — подготовить стенд;

• Update stand — применить изменения;

• Destroy stand — удалить стенд.

Под капотом ассистент выполняет нужные команды: инициализирует Terraform, выбирает окружение, строит план, показывает изменения, просит подтверждение перед опасными действиями и реагирует на ошибки.

Главное здесь — не просто удобство, а безопасность. В скилле можно прописать: перед применением изменений показать план, перед удалением стенда запросить отдельное подтверждение, не выполнять опасные команды молча и не использовать непроверенные переменные окружения. Так команда получает понятный интерфейс к сложному инструменту, но сохраняет контроль.

Что это даёт

Главная польза скиллов в том, что командные знания становятся частью проекта. Их можно обсуждать и улучшать так же, как код. Это мост между «ИИ просто помогает писать код» и «ИИ помогает соблюдать процессы команды»: оформление задач, проверки, инфраструктура, отчёты, онбординг и документация.

Где посмотреть готовые примеры

Сторонние скиллы стоит читать как чужой код: внутри могут быть скрипты и команды. Особенно внимательно стоит смотреть на скиллы, которые запускают команды.

Полезные материалы и репозитории:

• Agent Skills specification

• OpenAI skills

• Anthropic skills

• GitHub Awesome Copilot

• HashiCorp agent skills

Для начала достаточно взять один небольшой процесс, описать его в SKILL.md и положить рядом с кодом.

✔️ MiniMax представила M3 - новую невероятно мощную открытую модель для кода, агентов и мультимодальных задач.

Одна модель, чтобы работать в как агент, держать длинный контекст (1M) и понимать разные типы модальностей.

Бенчмарки

- 59.0% на SWE-Bench Pro

- 66.0% на Terminal Bench 2.1

- 34.8% на SWE-fficiency

- 28.8% на KernelBench Hard

- 74.2% на MCP Atlas

- контекст до 1M токенов за счёт MiniMax Sparse Attention

- нативная мультимодальность

Отдельно запустили MiniMax Code - среду для работы с кодом на базе новой модели.

По ценам: в первые 7 дней дают скидку 50% на стандартное использование с контекстом до 512K.

Разработчики выкладывают в open source модель, которая обходит и Opus, и GPT-5.5 на BrowseComp и SVG Bench.

При этом она ещё и лучше GPT-5.5 на SWE-Bench Pro, KernelBench Hard и BankerToolBench, а Opus обгоняет на OSWorld Verified.

API: http://platform.minimax.io

Тарифы по токенам: https://platform.minimax.io/subscribe/token-plan

MiniMax Code: http://code.minimax.io

Microsoft открыла исходный код инструментария Webwright, который запускает в браузере различные скрипты и выполняет задачи с помощью ИИ‑агентов:

• умеет сёрфить в сети, заказывать билеты, бронировать столики, искать товары и делать все, чтобы сэкономить время для пользователя;

• при этом каждое действие можно записать в скрипт и потом только корректировать в нем параметры;

• ИИ в это время будет проходить по коду, искать и исправлять ошибки;

• работает с большинством программ, сайтов и сервисов.

Представлен открытый проект FluentCleaner (аналог CCleaner), который умеет очищать ПК на Windows 10/11 от мусора, бесполезных процессов, дубликатов файлов и всяческого хлама, замедляющего ОС. Все удаления на ПК согласовываются с пользователем.

«Современный, прозрачный, без шпионского ПО, без скрытых ненужных вставок, без тёмных паттернов, без навязчивой рекламы, без фальшивой магии реестра», — пояснил разработчик проекта по имени Belim (aka Builtbybel). Этот автор является создателем проекта Winslop для удаления ненужного системного мусора в Windows 10/11 (он недавно был переименован в Winslopr — Windows Slop Remove).

Дайте посмотреть на нормальный С++ проект, созданный вайб-кодингом

Чтобы корректировать развитие PVS-Studio я заинтересован смотреть C++ проекты, созданные с использованием генеративного AI или, по-простому, вайб-кодинга. Но вот незадача: все кругом пишут про этот самый вайб-кодинг, но я не знаю, как и где искать такие открытые проекты.

Мне попадается какая-то белиберда типа enhance-client, сгенерированная за $15. Но это даже смотреть несерьёзно. По присутствию в репозитории .obj, .iobj, .ipdb файлов и прочего мусора видно, что автор не понимает, что он делает. Проект не компилируется по разным причинам, например, из-за того, что заложен какой-то огрызок файла bytes.hpp (у массива нет конца).

Если немного поправить и проверить, что удалось собрать, то там лезут перлы вида:

void enhance::modules::autototem::run()
{
  ....
  auto env = enhance::instance->get_env();
  if (!env)
  {
    env->DeleteLocalRef(player);
    return;
  }
  ....
}

Предупреждение PVS-Studio: V522 [CWE-476, CERT-EXP34-C, SEC-NULL] Dereferencing of the null pointer ‘env’ might take place. autototem.cpp 757

Явное разыменование нулевого указателя.

Или бессмысленные сравнения значения типа int с константой 0.1f:

int sdk::minecraft_client::get_attack_cooldown() { .... }

void enhance::modules::shield_breaker::run()
{
  ....
  if (sdk::instance->get_attack_cooldown() > 0.1f)
  ....
}

Предупреждение PVS-Studio: V674 [CWE-682, CERT-FLP36-C] The ‘0.1f’ literal of the ‘float’ type is compared to a value of the ‘int’ type. shield_breaker.cpp 628

Такие ляпы нет смысла серьёзно разбирать и описывать.

Можно спросить: “А что ты хочешь от поделок за 15$?” Да, в общем-то, ничего, но вместо нормальных проектов попадаются они. Мне интересно изучить большие открытые проекты нормального качества, при написании которых активно используется GenAI. А то пока ощущение, что термин “вайб-кодинг” есть, а C++ проектов нет. Или за них стыдно? :)

Если вы знаете подобные большие проекты, то присылайте ссылки на них в комментарии. Заранее спасибо.

Предыдущие публикации по мелким проектам:

1. Давайте заглянем в этот самый вайб-код.

2. Ревью вайб-кода с гнильцой, который притворяется оптимизированным С++ кодом.

Открытый проект Python library for interacting with the Solvecaptcha API (captcha‑solving service) — это легковесная библиотека на Python, которая проходит самые популярные проверки через Solvecaptcha.

Обходит большинство самых мощных и популярных капч:

• reCAPTCHA v2 и v3;

• Cloudflare Turnstile;

• FunCaptcha (Arkose Labs);

• GeeTest и GeeTest v4;

• Amazon WAF;

• KeyCaptcha;

• Grid, ClickCaptcha, Rotate, Canvas;

• обычные текстовые и графические капчи, в том числе аудио.

Библиотека небольшая, работает стабильно, разработчики её поддерживают, добавляя новые виды капч. Можно настраивать таймауты решения капч, чтобы имитировать поведение человека.

archkit v0.1 — генератор TypeScript-библиотек с Clean Architecture: от спека до npm за один день

Неделю назад опубликовал на npm первый пакет, @autosergach/archkit. Одна команда:

npx @autosergach/archkit create my-lib

И получаешь TypeScript-библиотеку с Clean Architecture из коробки: domain, application, ports, рабочий use case и пять зелёных тестов. Не «hello world», а каркас который показывает как слои должны выглядеть. Ниже как это устроено и четыре грабли по дороге к npm publish.

Что внутри

my-lib/
├── src/
│   ├── domain/      # User, DomainError
│   ├── application/ # createUser use case
│   ├── ports/       # UserRepository interface
│   └── index.ts
├── tests/           # InMemoryUserRepository + 5 тестов
└── package.json     # ESM, strict TS, vitest 3, eslint 9

pnpm install && pnpm test, пять зелёных с первого запуска. Стек намеренно современный: ESM only, Node 20+, TypeScript 5.7+, vitest 3.2, eslint 9 flat config.

Архитектура изнутри

Забавно, что archkit изнутри устроен точно так же, как проект который генерирует: порты и адаптеры до мозга костей. Монорепо: приватный archkit-core (весь движок) и @autosergach/archkit (то что на npm). tsup бандлит core через noExternal, потребитель ставит один пакет.

FileSystemPort с двумя адаптерами: InMemoryFileSystemAdapter для тестов и NodeFileSystemAdapter для продакшена. Pipeline в три шага: buildInitPlan, renderTemplate, executePlan. С --dry-run третий шаг не выполняется.

Тесты: 35 + 3

35 unit-тестов гоняют весь движок через in-memory, без диска, меньше секунды на весь suite. 3 e2e-теста запускают настоящий pnpm install && pnpm test в os.tmpdir(). Именно они дают уверенность что сгенерированный проект работает у пользователя, и поймали несколько багов в шаблоне до публикации.

Один день с Claude Code

Весь v0.1.1, от пустой папки до npm publish, написал за одну сессию, примерно шесть часов. 9 атомарных коммитов: Claude Code писал код, я проверял и коммитил. До Claude Code такой объём занял бы неделю, и тесты я бы срезал.

4 урока из npm publish

1. cac и --no-X флаги. При --skip-install cac выставляет skipInstall: true по умолчанию, неявно. Фикс: проверять === true, а не !== undefined. Потерял час пока разобрался.

2. npm проверяет similarity, а не только занятость. archkit свободное имя, но npm отклонил из-за заброшенного arch-kit (2022, 12 загрузок). Ушёл в scoped namespace @autosergach/archkit, зато все следующие пакеты там же.

3. workspace:* в dependencies. Приватного archkit-core нет в registry. Если он в dependencies, npm падает при install у потребителя. Перенести в devDependencies, tsup бандлит его в dist.

4. Granular npm tokens и 2FA. Granular-токен с правами publish не проходит без «Bypass 2FA for publish». Опция выключена по умолчанию, нигде не выделена жирным. Получил 403.

Что дальше

v0.2: NestJS плюс React fullstack шаблон и --ai-ready флаг, который автогенерирует CLAUDE.md, .claude/settings.json, agents.md. Пишите в Issues если есть что сказать.

npm: https://www.npmjs.com/package/@autosergach/archkit
GitHub: https://github.com/autosergach/archkit

npx @autosergach/archkit create my-lib
cd my-lib && pnpm install && pnpm test
# → 5 passing

Представлен открытый проект OpenPixel-RPG, который генерирует игру в стиле RPG Maker прямо из реального города. Можно загрузить практически любое место на планете и получить из него играбельную JRPG-карту. На выходе получается «игра» с квестами, NPC и «живым» окружением. Система работает на нейродвижке WorldX и визуализации через Gemini.

Открытый проект OptimizerDuck позволяет очистить Windows 10/11 от мусора и бесполезных процессов (телеметрию, рекламу, Copilot, все фоновые сервисы и ненужные приложения):

• оптимизирует ПК для работы и игр, настраивает GPU и производительность процессора, работает с менеджером автозагрузки, удаляет встроенный bloatware, чистит систему. 

• может откатить все изменения, если в процессе что‑то пошло не так. Бэкап у вас точно будет.

• работает без установки, без ограничений и полностью локально.

llm-nano-vm v0.8.0 — выход в PyPI, валидация вывода и per-step таймауты

В прошлом посте мы описывали концепцию nano-vm — детерминированного ядра исполнения на базе конечных автоматов (FSM) для LLM-воркфлоу, где модель не является оркестратором, а лишь предлагает действия внутри жесткого графа \delta(S, E) \to S'.

За это время проект перерос стадию концепта. Мы опубликовали рантайм на PyPI и выпустили релиз v0.8.0. Ниже — сухой отчет о том, что конкретно было сделано, измененено и протестировано.

Что нового в v0.8.0

1. Выход на PyPI и релиз пакетов

Рантайм и сопутствующие компоненты полностью изолированы и доступны для установки:

pip install llm-nano-vm==0.8.0
pip install llm-nano-vm[litellm]==0.8.0   # поддержка провайдеров через LiteLLM
pip install nano-vm-mcp                    # MCP-шлюз

2. allowed_outputs — LLM enum guard

Добавлена жесткая валидация сырого вывода модели по белому списку до того, как значение попадет дальше в пайплайн.

{
    "id": "classify",
    "type": "llm",
    "prompt": "Classify. Reply ONLY with: refund / query / other",
    "allowed_outputs": ["refund", "query", "other"],
    "on_error": "skip",   # → подставит "refund" (первый элемент) на mismatch
}

Реализовано три политики обработки ошибок: fail (trace \to FAILED), skip (подстановка allowed_outputs[0]) и retry (перезапрос модели до max_retries).

3. timeout_seconds + on_timeout — таймауты на уровне шага

Решена проблема «зависания» внешних LLM API. Любой llm-шаг теперь можно ограничить по времени выполнения с политиками fail или fallback (подстановка дефолтного значения без падения автомата).

4. Стабилизация ASTEngine

Мы окончательно избавились от eval() для условий (condition). Написан кастомный песочный интерпретатор JSON AST. Любые системные вызовы и скрытые вызовы методов (вроде .lower()) теперь вызывают ASTEvalError на этапе компиляции графа.

Результаты бенчмарков (v0.8.0 · WSL2 · Python 3.12)

Тесты производительности на синтетическом адаптере (3 провайдера \times 5 сценариев \times 10k итераций) показали 1,096,500 операций и 0 нарушений контракта графа.

СценарийСредний TPSp95Refund pipeline2,200/s123 msDouble-execution guard2,800/s69 msBudget enforcement2,400/s97 msParallel throughput1,000/s196 msGovernanceEnvelope (аудит-лог)2,100/s108 ms

• Crash consistency (BM-INT-07): При crash_rate=100% повторное воспроизведение (replay) пайплайна после симулированного падения рантайма выдает идентичный хэш трейса в 100% случаев.

• Memory leak test (BM-INT-10): Пиковый RSS — 76.5 MB, аллокация — 3.62 MB для программ на 1000 шагов. Утечек памяти нет.

Валидация на реальных платежных API

Концепт успешно проверен на двух интеграционных сценариях (9/9 тестов пройдены):

1. MoMo Payment API v4: 3-way ветвление, HMAC-SHA256 IPN верификация, цикл пуллинга статуса с ретраями.

2. Stripe Payment API v1: Обработка 3DS-флоу (REQUIRES_ACTION), refund-пайплайн и верификация вебхуков.

В процессе интеграции со Stripe пофиксили важный баг: коллизию доменного статуса "PENDING" от API Stripe с внутренним сентинелом рантайма, который триггерил заморозку (SUSPEND) автомата.

Текущий фокус и краткосрочный роадмап

• Phase 0: Разработка ProgramValidator для статического анализа графов до их выполнения (поиск циклов, недостижимых шагов и битых таргетов). Актуально, когда сами программы генерируются «на лету» внешними моделями.

• Phase 1: Консистентность шлюза. Перенос StateContext между вызовами MCP в SQLite WAL (execution_contexts + UPSERT на каждый шаг). Это полностью уберет риск повторного списания (Double-Spend) при перезапуске процесса шлюза.

• Phase 2: Интеграция OpenTelemetry для распределенного трассирования шагов.

Репозитории проекта:

• Core runtime: github.com/Ale007XD/nano_vm

• MCP layer: github.com/Ale007XD/nano-vm-mcp

Дилемма:
1. Раньше, когда кто-то патчил уязвимость в ПО с открытым исходным кодом, разработчик мог попытаться вполне успешно скрыть факт устранения уязвимости. А сегодня агент может посмотреть pr и нет-нет да и сообразить, насколько уязвимы машины, не установившие последний патч(все машины)

2. Но ведь существует и другая проблема - активно разрабатываемый(особенно новейший) софт всегда добавляет всякие уязвимости из-за вайбкодеров сегодня. Не только из-за вайбкодеров, проблема существовала и раньше, стойкое недоверие к самому последнему патчу постепенно развивается у некоторых людей. Лучше всего тренируется на arch linux* или любом другом rolling release distro. Nvim, если все патчи подгружать, как только они появляются, тоже помогает с этим. Взаимодействие с результатами бесплатной децентрализованной разработки с самыми разными мотивациями, квалификациями и интересами - это вот самый топ обучения, наверняка те, у кого это приводит к supply chain attack особенно квалифицировались.

Выход: ограничить использование нового софта без достаточной контейнеризации, при этом не торопиться за самым последним обновлением всего и вся. Пользоваться в основном, а лучше исключительно только проверенным боями ПО.
Возможно это неочевидно многим, потому что индустрия ушла от понимания к запоминанию, от мастерства к экспертности, от любопытства к курсам.
Не знаю, чему там "этично" сегодня учат на инфобез курсах, но есть много вещей, о которых как бы нельзя говорить, и это скорее всего будет закреплено на законодательном уровне, потому что политиков пугает возможность роста количества подозреваемых.

*Это не в огород арха. Arch linux у джуна всегда был зелёным флагом - человеку интересно, и отговорить можно. А вот если это миддл, то надо сначала выяснить, каким образом он его гоняет. Без раскрытия деталей, по умолчанию страшно с таким человеком работать

Lavern: финский юрист выложил в open source агентную правовую систему

Antti Innanen - финский юрист и LegalTech-инноватор - опубликовал на GitHub Lavern: агентную правовую систему которую его команда строила шесть месяцев. 150 000+ строк кода, 67 специализированных агентов, девять workflow. И всё это - в свободном доступе.

Его объяснение простое: «Когда стоимость создания близка к нулю, нет смысла сидеть на месте или держать это при себе». По мне - логика железная, особенно на фоне того как большинство LegalTech-продуктов тщательно закрывают всё что можно и нельзя.

Сам Antti добавляет контекст: Harvey Agents, Claude for Legal, Codex for Legal - агентный подход в юридической работе внезапно стал мейнстримом. Lavern он выпускает именно в этот момент - и называет это «open-source моментом» для права. До этого был MikeOSS, теперь Lavern. Linux тоже пришёл из Финляндии, если что.

Продукт заточен под западную правовую специфику - для российской практики нужна серьёзная адаптация. Но это не главное.

Я сам давно строю собственную систему работы с ИИ в юридической практике - инструментарий, агентные цепочки, workflow под конкретные задачи. И когда кто-то уровня Antti открывает свою архитектуру - это возможность посмотреть на те же задачи другими глазами. Что-то переосмыслить, что-то взять, от чего-то отказаться осознанно.

Именно за это ценю такие проекты и подход, который проявил Antti, - не за готовое решение, а за возможность думать рядом с чужим опытом.

Репо и сайт Lavern - в комментариях.

ИИ не должен управлять исполнением. Заметки о детерминированном FSM-рантайме для агентов

Большинство рантаймов для ИИ-агентов сейчас работают по одному простому паттерну: LLM -> вызов инструмента -> рантайм выполняет сайд-эффект.

Для read-only задач это работает вполне сносно. Но как только агенты начинают мутировать внешнее состояние (платежи, базы данных, инфраструктуру, персональные данные), такая модель исполнения становится слишком сложной для операционного контроля и прогнозирования.

В процессе подготовки части наших внутренних агентов к деплою, мы пришли к необходимости полностью разделить процессы «рассуждения» (reasoning) и право на исполнение (execution authority).

Мы написали nano-vm — детерминированный FSM-рантайм (конечный автомат), в котором:

• модель лишь предлагает действия;

• рантайм жестко контролирует переходы состояний и сайд-эффекты.

Рантайм принудительно обеспечивает:

• конечные графы исполнения;

• строгий порядок шагов, зафиксированный при компиляции (compile-time ordering);

• capability-gating для инструментов (жестко изолированные доступы);

• границы идемпотентности и защиту от replay-атак;

• append-only историю аудита.

Одно из архитектурных решений, которое оказалось критически важным: слой политик намеренно сделан менее выразительным, чем Python.

Мы полностью отказались от eval-подобного исполнения и ограничили политики небольшим детерминированным подмножеством AST:

• только простые операторы;

• никаких циклов;

• никаких системных вызовов.

Это ограничение радикально упростило аудит и исключило целые классы рантайм-поведения, которые мы не хотели видеть в финансовых воркфлоу.

Sabotage Mode и семантика отказов

Чтобы протестировать семантику отказов, мы добавили в демо-стенд «Sabotage Mode» с несколькими векторами атак:

• неавторизованная инъекция инструментов (tool injection);

• попытки повторного выполнения (replay-атаки);

• подделка хешей (hash corruption);

• пропуск шагов пайплайна (skipped transitions).

С точки зрения эксплуатации самым полезным свойством пока оказались именно детерминированные границы повторного воспроизведения вокруг сайд-эффектов.

Нам также пришлось решать крайне неудобную compliance-проблему: как сохранить неизменяемые цепочки аудита (immutable audit chains) и при этом выполнить требования 152-ФЗ / GDPR об уничтожении данных. Наш текущий подход заменяет ссылки в хранилище на маркеры-надгробия (tombstones), полностью сохраняя криптографическую непрерывность хешей и ссылочную целостность графа.

В основном мне интересно, как другие инженеры решают проблему права на исполнение в stateful-агентах. Вы позволяете модели напрямую управлять сайд-эффектами или встраиваете детерминированный слой контроля между ними?

• Core runtime: github.com/Ale007XD/nano_vm

• MCP layer: github.com/Ale007XD/nano-vm-mcp

• Live Sabotage Demo: demo.bannerbot.ru:8843

Представлен открытый учебный проект easy-vibe для обучения вайб-кодингу.

• курс имеет четыре уровня: от начального до создания прототипов ИИ‑продуктов, деплоя, подключения баз данных и мультиплатформенной разработки;

• в курсе девять областей и более 80 интерактивных тем с анимациями и визуалом — от основ работы компьютера до передовых технологий ИИ;

• база знаний постоянно пополняется параллельно развитию ИИ, промптов и подходов к разработке.

Представлен аналог Discord — открытый проект GoofCord, который:

• быстрее официального клиента, не глючит и не тормозит;

• внутри заблокирована вся слежка и сбор данных о пользователе;

• переписка шифруется паролем;

• демонстрация экрана в любом разрешении и с любой частотой кадров;

• можно выбирать, звук какого приложения стримить;

• игры, музыка или видео встают в ваш статус автоматически;

• плагины для кастомизации Vencord, Equicord и Shelter работают из коробки;

• глобальные хоткеи работают даже со свёрнутым окном;

• можно стримить со звуком на Linux, работает также на Windows и macOS.

Сегодня n8n и Dify стали популярными инструментами для создания ИИ‑агентов, автоматизации процессов и интеграции с LLM. Однако при внедрении в крупном бизнесе компании сталкиваются с рядом вопросов: ИБ, отсутствие SLA, юридические ограничения, интеграция с корпоративной средой.

На вебинаре покажем, как использовать возможности n8n и Dify в Enterprise‑контуре с помощью платформы ROBIN — безопасно, легально и с полноценной технической поддержкой.

Обсудим:

• какие риски возникают при самостоятельном внедрении Open Source решений;

• как обеспечить соответствие требованиям ИБ и импортозамещения;

• как связать ИИ‑агентов с корпоративными системами и RPA;

• как использовать готовые коннекторы и автоматизировать процессы даже в системах без API;

• реальные кейсы: выставление счетов в 1С через Telegram‑бота (связка n8n + ROBIN) и интеллектуальный подбор оборудования с оформлением заказа в ERP (связка Dify + ROBIN).

Также расскажем о подходе ROBIN к поддержке и сопровождению внешних ИИ‑агентов в корпоративной среде.

20 мая, 11:00, онлайн, бесплатно, требуется регистрация.

Представлен учебный открытый проект Awesome CUDA Books. Это подборка всех основных книг по программированию на CUDA — от начального до продвинутого уровня, C++/Python, архитектура, оптимизация и последние релизы 2024–2026 годов. Основано на практических, высококачественных ресурсах для параллельных вычислений на графических процессорах Nvidia.

Представлен репозиторий с более чем 10 тыс. готовых API для:

• автоматизации — для рутинных задач и повторяющихся процессов, которые постоянно нужны;

• сбора данных с любого сайты, парсим и находим нужное с веб‑сайтов;

• аналитики — собираем данные о рынке, конкурентах и бизнесе;

• электронной коммерции — мониторинг цен, товаров, аналитика рынка;

• соцсетей — сбор постов, анализ вовлечённости аудитории и тенденций;

• интеграции ИИ — подключение к нейросетям, обработка контента и генерация данных;

• рынка труда — мониторинг вакансий, анализ зарплат и новых возможностей роста;

• недвижимости — поиск и анализ объявлений о продаже и покупки недвижимости для себя и инвестиций.

Представлен открытый проект tokenspeed (онлайн-версия), который показывает, насколько быстро на самом деле обрабатываются разные количества токенов в секунду. Все бенчмарки локальных LLM показывают пропускную способность: «47 токенов/с на M3», «180 токенов/с на 4090», «500 токенов/с на Groq». Но если вы не видели потоковую передачу токенов с такой скоростью, эти цифры трудно понять. tokenspeed — это терминальная утилита, которая передаёт фиктивные токены с любой заданной вами скоростью, так что вы можете увидеть, как эти цифры выглядят на самом деле.

Открытый проект Go Interview Practice содержит обширный репозиторий для подготовки к собеседованиям на Go:

• внутри — целая интерактивная платформа с задачами всех уровней. Могут готовиться как новички, так и профи.

• ИИ‑интервьюер проверяет решения и сразу дает подсказки.

• есть таблица лидеров, чтобы соревноваться с топами и видеть свой прогресс.

• можно задать вопросы коммьюнити, если задача оказалась слишком трудной.

Представлен открытый проект agents‑best‑practices — скилл для Claude Code, который учит сервис собирать нормальных агентов из коробки. Этот скилл прокачивает ИИ‑агентов. Автор собрал все практики из исходников Codex, Claude Code и десяткам других материалоы — в результате получился набор практик, с помощью которых можно сделать кастомных агентов.

Открытый проект SecretScanner помогает парсить пароли, API‑ключи, токены и другие ценные данные из приложений. Сервис проверяет Docker образы и файловую систему, чтобы отыскать секреты. Внутри у каждой программы есть целая база важной инфы — можно почерпнуть множество полезностей.

Представлен открытый проект Librarr — поисковик книг и аудиокниг:

• умеет искать в открытых источниках книги, мангу, документы, исследования, учебники и другие произведения;

• ищет в сети и самых популярных открытых библиотеках;

• сервис выдаёт книги во всех популярных форматах;

• простой интерфейс.

С ростом популярности данного сообщества G, средний уровень интеллекта этого сообщества приближается к среднему по популяции. Это выведенная мной аксиома, о которой очень важно знать сегодня людям, находящимся в поиске ассиметричного превосходства на рынке чего угодно.

То есть, либо сообщество умных людей глупеет с ростом популярности, либо движение шизов умнеет с ростом популярности.
На рассвете программирования, в 20-м веке, по существующим данным, средний IQ был 130 у типичного нерда в этом деле. По существующим данным опять же, где-то в 2011, и чуть позже, средний уровень интеллекта программиста упал до 115. В 2025 году он упал до 105(это по миру).

Об исходящих леммах хоть книгу пиши. Правило №1 - если нет собственного мнения, то слушать стоит только дедов. Исключения из этого правила конечно же существуют, но пока нет понимания, их остаётся только игнорировать

Обновлена открытая библиотека theSVG из 5 880+ векторных SVG-иконок для разработчиков и дизайнеров. Есть вшитый поиск, CDN, CLI, API и готовые пакеты для React, Vue и Svelte. Бонусом у иконок есть разные варианты: цветные, монохромные, светлые, тёмные и wordmark.

SELECTOS OpenFix Day 2.0 стартует через час

В 19:00 (мск) мы начинаем митап для инженеров и системных администраторов. Ждем всех, кто не только разворачивает Linux в продакшене, но и читает исходники, гоняет ядро в дебаггере, отслеживает регрессии и закрывает CVE до того, как они становятся инцидентом. 

Программа митапа

• Итоги программы OpenFix и планы на будущее.

• Пластмассовый мир: что не так с ИИ-хайпом и как с этим жить.

• Как ИИ может помочь в управлении ОС.

• Как я ронял прод: конкурс инженерных факапов.

Подключайтесь

✔️ на YouTube

✔️ в VK

Представлен открытый проект TapMap, который следит за всеми подключениями на интерактивной карте и показывает, к серверам в каких странах отправляет запросы ПК пользователя.

Проект сканирует приложения, сервисы, страны и порты за последние 30 дней. При этом данные никуда не улетают — всё локально на компьютере.

Представлен открытый проект AI File Sorter. Это ИИ‑проводник, который может заменить базовый «Проводник» в Windows 11 и других ОС. Решение умеет:

• быстро искать файлы на основе их метаданных или содержимого;

• по метаданным разом переименовывает все документы на основе их содержимого;

• быстро сгруппирует файлы по папкам на основе их содержимого;

• показывает предварительный результат, чтобы случайно не снести лишнего;

• работает по API или через локальные модели;

• поддерживает Windows, Linux и macOS;

• проверяет производительность ПК и выберет нейросети для работы;

• доступен бесплатно, без подписок и без рекламы.

Дизайнер представил открытый проект Demos. Решение с помощью умной сортировки по цветам позволяет создавать картины из фотографий в галерее пользователя. Например, 10 тыс. фото прогоняются через алгоритм: у каждой определяется доминирующий цвет, после чего они выстраиваются в плавный градиент. В итоге всего за 50 мс получается цельное визуальное полотно.

Представлен открытый проект FMHY Filterlist — это список вредоносных ресурсов и другого сомнительного ПО в сети, где есть фейковые сайты популярных репакеров, торрентов и софта, пиратские сайты, где хоть раз нашли вирусы, а также «серые» ресурсы, сервисы с сомнительной репутацией вроде Avast, McAfee, Tlauncher, 360 Total Security и других. Разработчики проекта постоянно обновляют список угроз. Фильтр уберёт большинство вредоносных сайтов из доступной сети и не даст пользователям перейти на них.

Базовая версия: https://github.com/fmhy/FMHYFilterlist#howtouse-basic.

Продвинутый вариант: https://github.com/fmhy/FMHYFilterlist#howtouse-plus.

Полный список угроз и базовый репозиторий: https://github.com/fmhy/FMHYFilterlist.

Открытый проект Viseron улучшает поток от обычных видеокамер с помощью нейросетей:

• запись включается только в момент происшествия. Например, в кадре прошёл человек или животное;

• умеет распознавать лица и объекты;

• может собрать в одну сеть камеры от разных брендов;

• все данные сохраняются локально;

• поддерживает все популярные бренды: Hikvision, Dahua, Reolink и другие;

Сделал необычную RTS на Ludum Dare 59 за пару дней

Игра написана на Go (Ebitengine), исходники на есть гитхабе.

Поиграть можно в браузере, ведь Ebitengine имеет неплохой экспорт в wasm. Она мало весит, быстро работает, и экспорт не требовал лишних усилий - это вам не шуточный игровой движок.

Я накидал небольшой шаблон для игр на стеке своих геймдев-библиотек. Его можно посмотреть тут: https://github.com/quasilyte/gscene-game-template.

С этим шаблоном старт начала работы над игровой логикой и "мясом" игры становится ближе. Это позволяет +/- выйти на удобство какого-нибудь Godot, где не нужно первые несколько часов настраивать как у нас обрабатывается input, звук и сцены. Я этот шаблон буду дорабатывать по мере участия в джемах, за каждую мини-игру у меня копится TODO на то, что еще там можно было бы улучшить.

Если тема разработки игр на Go вам интересна, заходите в наше русскоязычное сообщество в телеграме. Мы там обсуждаем всякие библиотеки для геймдева, свои игры, и всё такое.

Кстати, ребята из чатика тоже сделали свои игры на Ebitengine, вот они:

• https://dqso.itch.io/hired-or-homeless

• https://metalim.itch.io/zero-day-lunch

Представлен открытый проект Free Claude Code. Это бесплатный Claude Code без проверки платной API Anthropic. Нейросеть поддерживает API Nvidia, OpenRouter и даже локальные модели через LM Studio. Все опции Claude Code доступны, включая работу с файлами, кодом, и режим агента.

Когда у тебя 50 отчётов в FineReport, 100+ дашбордов в FineBI, и никто не знает, откуда берутся данные 

Знакомая история: дашборды живут своей жизнью, новый сотрудник открывает отчёт и не понимает, что значит «ТО 5 руб.», а когда что-то ломается, полдня уходит на то, чтобы пройти по цепочке ETL и найти, где именно.

В Галамарте решили это системно: подключили дата-каталог DataHub к продуктам FanRuan. Как именно это сделали, какие стены пришлось пробить и чего не нашлось ни в одной документации, расскажет Дмитрий Конюхов на FineDay Online.

Что получили на выходе:

— бизнес-глоссарий, где каждый термин привязан к формуле, источнику и конкретным дашбордам

— lineage от витрины до сырых данных — в одном окне, за пределами FanRuan

— возможность за секунды найти, в каких из 100+ дашбордов используется нужнаяметрика

— базу для self-service: аналитики переиспользуют существующие датасеты вместо создания новых

📅 22 апреля | 15:00 МСК | FineDay Online 2026

Бесплатно, онлайн, ~3 часа

→ Регистрация

Представлен открытый проект SafeClaw. Это вариация OpenClaw. SafeClaw умеет проводить масштабные исследования, пишет тексты, работает с соцсетями, RSS, парсит данные, интегрируются с календарем, следит за расписанием. Проекту не нужна LLM, он работает локально, максимально безопасен и разворачивается за пару команд.

Вышла пятая версия открытого проекта windows95 с исходным кодом полностью на JavaScript. «Это Windows 95, работающая в приложении Electron. Да, это полная версия. Извините», — пояснил разработчик решения.

Проект работает в Windows, а также на macOS и Linux, что подарит вам ностальгию или возможность обойти ограничения старой операционной системы независимо от вашей текущей платформы.

Голем: как в нём устроен анализ кода

В прошлый раз я рассказал про Голема — кодинг-агента в Telegram. Сейчас хочу показать, что у него под капотом. А именно — как работает анализ кода.

Первая версия была примитивной: весь код летел в LLM, та читала и выдавала вердикт. Работало паршиво. LLM галлюцинировала про «обрезанные функции», жрала токены как не в себя, а если проект был больше пары файлов — просто захлёбывалась.

Нужно было что-то менять.

Гибридный анализ: четыре утилиты вместо одной LLM

Теперь перед тем, как отдать код модели, его прогоняют четыре статических анализатора:

bandit, ruff, semgrep, pip_audit = await asyncio.gather(
    run_bandit(project_dir),      # безопасность
    run_ruff(project_dir),        # стиль и баги
    run_semgrep(project_dir),     # глубокий анализ
    run_pip_audit(project_dir)    # зависимости
)

Каждая утилита отвечает за свою область:

• Bandit ищет уязвимости безопасности: SQL-инъекции, использование eval(), хардкод паролей.

• Ruff проверяет стиль и очевидные ошибки: неиспользуемые импорты, синтаксис, голые except.

• Semgrep находит сложные паттерны: XSS, утечки данных, опасную десериализацию.

• pip-audit сверяет зависимости с базой CVE и сообщает о дырявых пакетах.

Все четыре запускаются параллельно через asyncio.gather. На проекте среднего размера это занимает 10-15 секунд вместо 40-50 при последовательном запуске.

LLM получает только проблемные строки

Раньше модель получала первые 1000 символов из каждого файла. Это приводило к двум проблемам: дикий перерасход токенов и галлюцинации. LLM видела обрывок функции и думала, что код незавершённый.

Теперь всё иначе. Анализаторы возвращают конкретные проблемные строки, и модель получает только их с контекстом в 3-4 строки вокруг:

# main.py:42 — Bandit HIGH
query = f"SELECT * FROM users WHERE id = {user_input}"  # SQL-инъекция

Результат:

• Расход токенов сократился в 10 раз.

• Галлюцинации про «незавершённый код» исчезли полностью.

• Анализ работает одинаково быстро на проекте из 10 файлов и из 500.

Асинхронный режим

ZIP-архивы и GitHub-репозитории анализируются в фоне. Пользователь отправляет файл и сразу получает ответ «анализ запущен», а результат приходит отдельным сообщением через минуту-две. Бот не висит, можно продолжать с ним работать.

asyncio.create_task(
    _analyze_directory_async(context, temp_dir, source, llm, user_id)
)
await update.message.reply_text("🔍 Анализ запущен в фоне")

Что дальше

Сейчас Голем умеет анализировать только Python-проекты. В ближайших планах:

• Поддержка JavaScript/TypeScript (ESLint + npm audit)

• Поддержка Go (golangci-lint + govulncheck)

• Поддержка Rust (clipp +cargo-audit )

Также хочу добавить команду /fix — автоматическое исправление проблем, которые находит Ruff. Часть ошибок можно починить без участия человека, и Голем будет делать это сам.

Попробовать

Бот живёт в Telegram: @Golem666bot
Там же можно посмотреть другие проекты и следить за разработкой: @system_develope

SpaceWeb добавил в каталог VPS четыре open-source инструмента для внутренней инфраструктуры

SpaceWeb запустил в каталоге готовых решений четыре новых образа для установки в один клик: Moodle, Vaultwarden, iRedMail и OpenClaw.

Moodle — обучающая платформа или база знаний. Vaultwarden — менеджер паролей и доступов. iRedMail — корпоративная почта на собственном сервере. OpenClaw — self-hosted ИИ-ассистент для рабочих сценариев.

По данным SpaceWeb, 33% пользователей VPS уже используют панели управления, 22% — контейнеризацию. VPS всё чаще становится базой для внутренней инфраструктуры, а не просто хостингом для сайта. Новые образы продолжают эту логику: всё в едином контуре, без внешних SaaS и ежемесячных платежей за сторонние сервисы. Всего в каталоге SpaceWeb сейчас более 40 приложений — от CMS и панелей управления до систем мониторинга и баз данных.

Узнать подробности и выбрать свой open-source инструмент можно на сайте SpaceWeb.

Есть одна довольно очевидная, но при этом полезная мысль: как научить агента самообучаться и становиться лучше. А, ну и чтобы еще веса моделей не трогать 😁

Большинство агентных систем сегодня неизменяемые в одном конкретном смысле: скилл/правило написано один раз, и либо работает, либо нет. Если что-то грохнулось - иди правь сам или явно проси об этом агента (но сделает ли он лучше еще вопрос). Потом руками пробуешь еще раз, забиваешь и больше не используешь этот скилл. Это, так скажем, "архитектурное решение" явно не подходит.

Попался скилл - Memento-Skills, который должен как раз решать такие проблемы. Система определяет какой скилл подвел, разбирает причину, переписывает код или промпт скилла и сохраняет результат обратно в библиотеку. Все это, естественное, без дообучения модели - в основе цикл Read → Execute → Reflect → Write.

Важный момент про эту библиотеку скиллов: она не просто растет, а остается управляемой. Стартует система с пяти базовых атомарных скиллов - и самостоятельно расширяет набор по мере работы: на бенчмарке GAIA выросла до 41 скилла, на экспертном HLE до 235. При этом результат на GAIA: 80% успешных задач против 50% у статичной RAG-библиотеки. Что на показывает, что эти скиллы живые, а не заморожены.

Есть встроенные скиллы для файлов, PDF, веб-поиска, изображений. Код открытый, github.com/Memento-Teams/Memento-Skills. Из интересного еще то, что проект ориентирован на опенсорс LLM-стек - Kimi, Moonshot, MiniMax, GLM, Zhipu и др.

Надеюсь тебе понравилось. Лучшая благодарность — это твоя подписка на мой Telegram-канал 😊

💥 Новое в Gramax💥

Gramax Enterprise Server:

• Новая кнопка входа в приложение. Кнопка входа теперь на главной странице в правом верхнем углу. 

• Уведомления. Появились уведомления об изменениях в статьях. После публикации изменений пользователи видят их на главной странице портала для чтения: в ленте новостей и во всплывающем уведомлении в правом нижнем углу.

• Новый вид настроек для проверок по стайлгайду. Теперь проверки вынесены в панель администрирования: Модули → Стайлгайд.

• Шаблоны для экспорта без ограничений. В настройках пространства убрали ограничение на количество шаблонов Word и PDF.   

Другие улучшения:

• Улучшения поиска. Добавили возможность поиска только по разделу и статье. Также теперь в поиске показывается контент из диаграмм и лучше учитывается структура таблиц.

• Неподдерживаемые форматы в предпросмотре. Раньше в окне предпросмотра можно было открывать только изображения и диаграммы. Теперь для остальных файлов появилась кнопка Открыть в поддерживаемом приложении — при ее нажатии файл откроется во внешнем приложении.

• Превью PPTX-файлов. В редакторе и на портале можно открыть презентации в режиме предпросмотра.

• Сжатие изображений. Теперь изображения при вставке автоматически сжимаются, поэтому каталог занимает меньше места и работает быстрее. Включить эту возможность можно в экспериментальных функциях.
  

Подробнее об изменениях читайте в статье — https://gram.ax/resources/docs/whats-new