Все потоки

Попалась на глаза инфографика от David McCandless (Information is Beautiful) - карта исков к ИИ-компаниям за нарушение авторских прав. Более 100 дел на июнь 2026: OpenAI - 24 иска, Meta - 14, Microsoft - 10, Anthropic - 9, NVIDIA - 7, Perplexity - 7. Истцы - авторы, издатели, музыкальные лейблы, медиагиганты: Disney, NYT, CNN, Condé Nast, Universal Music Group, Elsevier.

Иронично, но на фоне обсуждений, что ИИ заменит юристов, тот же ИИ даёт юристам огромный пласт работы. И я больше чем уверен, что из-за специфики споров и сумм требований такие иски ведут и будут вести именно "живые" и очень дорогие юристы. Причем с обеих сторон :)

Впечатляет масштаб. Bartz vs Anthropic - крупнейшее в сфере авторских прав мировое соглашение на $1.5 млрд в истории США. При этом юристы истцов запросили $320 млн на гонорары.

И это не только деньги. Появляются специализации, которых раньше просто не было, например: fair use (добросовестное использование) в контексте обучения моделей, лицензирование данных для обучения , аудит датасетов на пиратский контент, оценка ущерба от того, что модель не воспроизводит текст буквально, а «знает» его. Как считать ущерб от статистического копирования? Ещё три года назад этот вопрос не существовал, а сейчас на нём строятся юридические практики.

Disney называет MidJourney «бездонной ямой плагиата». Датская Koda говорит о «крупнейшей музыкальной краже в истории». Тенденция по рассмотрению подобных исков к тому, что за обучение на чужом контенте без лицензии придётся платить. Ну по крайней мере в тех юрисдикциях, где авторское право не просто термин в законодательстве.

Разработчикам, даже в РФ, стоит обратить на этот вопрос внимание и понять, что это не абстрактная юридическая тема, а конкретный бизнес-риск. Лучше закрыть его до запуска продукта, чем после.

Попирание свободы выбора Apple и в случае с Макс это другое?

Эту новость вероятно видели многие, после блокировки нескольких приложений в Аpp Store последовал комментарий от многих чиновников, в том числе и такой:

«Apple диктует россиянам, какими приложениями пользоваться, что читать и что писать. Цель — тотальный контроль над нашими вкусами, мыслями и действиями», — заявила уполномоченный по правам человека Яна Лантратова в своём Telegram-канале.

И в этой новости прекрасно буквально все:

Почему в ТГ? Его же заблокировали официально? Или замедлили? Или запретили пользоваться? Или признали недружественным мессенджером? Или посоветовали им не пользоваться? Тут я не разобрался до конца.

И второй момент - где то я это уже видел. Пару месяцев назад буквально, но тогда это называлось - забота о безопасности граждан.

Что думаете? Это другое получается? Или госпожа депутат не разобравшись в вопросе, не справилась с эмоциями и выдала этот шедевр не подумав? Или просто проведению параллелей не учат на курсах депутатского мастерства?

Хай, коллеги!

Около месяца назад, работая над задачей дообучения локальной модели ИИ, я наткнулся на Modern Web Guidance - сборник руководств (skills - навыков) по современной веб-разработке для агентов ИИ от команды Google Chrome. Ознакомившись со сборником, я понял, что большинство руководств человекам тоже не помешали бы😄 Так появился этот репозиторий. Большая часть руководств, выбранных мной для перевода и адаптации, уже готова. Любые исправления, замечания и предложения приветствуются. Пользуйтесь на здоровье и счастливого кодинга!

В этом докладе я (Жуйков Андрей, амбассадор компании «Диасофт») рассказываю о подходе Digital Q.DataBase к импортозамещению зарубежных СУБД и миграции корпоративных систем без переписывания прикладного кода.  

В видео рассмотрены: 

🔹 архитектура и возможности Digital Q.DataBase; 
🔹 технология Polyglot и поддержка нескольких SQL-диалектов в одной СУБД; 
🔹 совместимость с Microsoft SQL Server и Oracle; 
🔹 исполнение T-SQL и PL/SQL без изменения бизнес-логики приложений; 
🔹 поддержка протокола TDS и работа со стандартными драйверами Microsoft; 
🔹 миграция 1С с Microsoft SQL Server на Digital Q.DataBase; 
🔹 демонстрация работы через DBeaver, SQL Server Management Studio и Python; 
🔹 поддержка Service Broker, Reporting Services и CLR-сборок; 
🔹 примеры реальных проектов и опыт внедрения у заказчиков.  

Digital Q.DataBase — российская СУБД корпоративного уровня, разработанная компанией «Диасофт» для замещения Microsoft SQL Server, Oracle и других зарубежных решений.

Платформа позволяет сохранить существующие инвестиции в прикладной код и значительно сократить трудозатраты при миграции информационных систем.   

🔹 Бесплатное получение дистрибутива: https://database.diasoft.ru/?utm_source=andrei
🔹 Документация: доступна внутри дистрибутива  
🔹 Telegram-сообщество Digital Q.DataBase: https://t.me/dqdatabase   

Подписывайтесь на наши сообщества, чтобы получать новости, технические материалы и информацию о новых вебинарах.  

#digitalqdatabase  #Diasoft #PostgreSQL #MicrosoftSQLServer #Oracle #Импортозамещение #СУБД #Database #TSQL #PLSQL #1С #DataBaseMigration #жуйковандрей

Про персональных агентов и что он умеет у меня

Дальше разговор пойдет про OpenClaw/Hermes подобные системы. Т.е это переход от агентных систем по типу Claude Code/Codex к проактивным персональным агентам

В моей классификации это переход с уровня 8 на уровень 9

Коротко о том, в чем разница уровня 8 и уровня 9

Уровень 8 — например Claude Code / Codex / Cursor и тому подобные.
За качество отвечают — Моделька + Harness + еще по мелочи

Уровень 9 — например Hermes / OpenClaw.
За качество отвечают — Все то же самое, что и на уровне 8 + слой личной памяти + мессенджер + коннекторы в ваши сервисы + персональные skills

У меня у самого подобный агент уже был 3 месяца и крутился на OpenClaw. Но для написания статьи решил еще и Hermes попробовать

Кстати спойлер — разницы между Hermes и OpenClaw практически нет. Просто Hermes лишен кучи функций, что можно счесть как за плюс, так и за минус. Но зато у него есть Self Healing механизм, которого нет у OpenClaw

------------------

Ниже — про наполнение моего агента и что он умеет
А именно на это и уходит основное время при создании персонального агента

Личные системы
- finances — ведёт мои финансы в Notion: расходы, доходы и отчёты
- ticktick — управление моим тасктрекером TickTick: списки на день, создание задач и подзадач, ну и все такое
- google-calendar — полный контроль гугл календаря, где я ставлю совместные события и расписания с учениками
- weekly-summary — собирает недельный обзор из задач, календаря, финансов, почты, аналитики и SEO по сайту + истории сессий, чтобы я посмотрел на прошедшую неделю целиком

Мое обучение
- google-forms — читает анкеты и ответы участников
- notion — ведет базу по моим ученикам
- ga4 — аналитика моих сайтов в гугл аналитике
- seo-monitor — SEO/GEO мониторинг сайта ilia-pro-ai.com.
- youtube — навык по работе с YouTube, упаковка каждого нового видоса и сбор данных

Работа с документами
- google-sheets — работает с таблицами: ученики, оплаты, анкеты, аудиты.
- google-docx — создает классные контракты/договора

Соцсети
- linkedin — читает мой LinkedIn-профиль, посты и engagement.
- threads — работает с черновиками / публикациями /метриками в Threads
- threads-writer — пишет драфты постов для Threads из идей, ссылок, статей.

Жизневое
- concert-monitor — мониторит концерты в Bangkok/Thailand по моим артистам.
- local-entertainment-research — еженедельный мониторинг кино, события и евентов на неделю
- shopping-product-research — экспериментальный набор скиллов по работе агента с маркетплейсами, пока в процессе
- online-ordering-automation — экспериментальный набор скиллов по заказу еды/продуктов
- outreach-deeplinks — делает кликабельные ссылки для WhatsApp/LINE/tel с готовым текстом

B2B / ресёрч
- b2b-outreach-research — ищет компании, ЛПР, каналы связи и углы для outreach в LinkenIn
- apify — навык работы с Apify для скрейпинга любого сайта

Сегодня еще наконец-таки подрубил Telegram к нему и запустил его туда как пользователя — теперь мой агент может еще и так

1. Смотреть список всех моих диалогов

2. Читать историю конкретного чата. Например:

Расскажи, что за последние 2 дня ученики написали в чатике AI Advanced Alumni

3. Искать по Telegram-истории. Например:

Поищи я там где то мес назад скидывал контракт для Hochland, но не могу чатик найти

5. Смотреть каналы как пользователь и делать по ним дейли саммари

6. Скачать любые медиа из чатов
Файлы, голосовые, фото, видео — если нужно обработать/распознать/суммаризировать

7. Писать всем подряд тоже может, но есть вероятность словить бан за такое

———————

P.S.В комментах скину домашку, которую можно выполнить, чтобы завести подобного агента и сделать более менее рабочим

Пока писал статью про Context Engineering, то дополнительно решил изучить вопрос, который был на хайпе 3 месяца назад

Реально ли Caveman Output Style экономит токены для агентов

Суть

Несколько месяцев назад расхайпилась казалось бы очевидная идея: если заставить модель отвечать коротко, то можно сэкономить много output-токенов

Одна таких реализаций — репо Caveman, который заставляет модель говорить как пещерный человек. Целых 77к звезд

Вот как пример

Обычный ответ модели

The reason your React component is re-rendering is likely because you're creating a new object reference on each render cycle. When you pass an inline object as a prop, React's shallow comparison sees it as a different object every time, which triggers a re-render. I'd recommend using useMemo to memoize the object

Ответ в стиле Caveman

New object ref each render. Inline object prop = new ref = re-render. Wrap in useMemo

Ну и как следствие, обещания автора

Faster response — less token to generate = speed go brrrEasier to read — no wall of text, just the answerSame accuracy — all technical info kept, only fluff removedSave money — ~71% less output token = less cost

Этот репозиторий очень сильно расхайпился — и основная суть всех новостей была в том, что с этим стилем теперь можно тратить на 40-70% меньше output токенов — который самые дорогие

Чтобы лучше понять механизм потенциальной экономии, нужно посмотреть, где агентные системы по типу CLAUDE CODE | CODEX вообще генерируют OUTPUT токены

1. Обычный ответ, который видите вы
2. THINKING блоки, которые вы можете не видеть
3. Генерация кода / схем, которые нельзя сжать
4. Вызов Tools + Цикл tool call → result → next message

В случае выбора любого OUTPUT стиля мы влияем только на пункт 1 — Обычный ответ, который видите вы

И, насколько мы все тут знаем — то, что модель выдает нам как результат ответа — в среднем ~5-10% от всех OUTPUT токенов

Ну так вот

Я по приколу сделал мини эксперимент, где взял 3 варианта Output Style's и прогнал на 5 разных задачах

1 стиль — Caveman Light (Original skill из репозитория выше)
2 стиль — Explanatory. Стиль, который наоборот, старается объяснять как можно подробнее. Я его сам всегда использую — объясняет свои решения и делится инсайтами.
3 стиль — Самописный True Caveman. Который должен общаться прям как настоящий пещерный человек

Инсайт, что строгий промптинг для True Caveman стал самым дорогим. И я думаю из-за того, что Thinking блоки заставляли модель постоянно себя перепроверять, говорит ли она в данный момент как True Caveman или нет. Так как ее это делать не учили.

Статью я написал на своем сайте, так как там много графики и элементов используется, которые на хабре не работают

Ссылка на статью на сайте, там подробно про этот эксперимент и реально ли это что-то экономит

Я несколько дней на это потратил 🥺

VKCipher: сквозное шифрование для переписки ВКонтакте

Это браузерное расширение, которое добавляет end-to-end шифрование в веб-версию ВКонтакте(и в pwa мессенджер). Работает везде: iPhone /Windows / Mac / Linux / Android

Что умеет:шифрует сообщения, картинки и видео.В планах еще голосовухи.

Репозиторий: VKCipher

Работает через Tampermonkey / Userscripts: Chrome на пк, Safari на iPhone, Firefox на Android. Открываете vk.com, vk.ru или web.vk.me, заходите в чат — в поле ввода появляются кнопки шифрования и управления ключами.

Зачем

У ВК есть огромный плюс: он уже установлен у миллионов людей. У него же есть очевидный минус: обычная переписка не является end-to-end encrypted

VKCipher закрывает именно этот слой. Не пытается заменить мессенджер, не делает VPN, не обещает анонимность. Он делает одну вещь: содержимое сообщения уходит в ВК уже зашифрованным.

ВК, браузерный интерфейс, логи, бэкапы, случайный доступ к аккаунту или серверной стороне видят не текст, а строку вида:

ENC[key<id>:base64(iv ciphertext tag)]

Без ключа это не сообщение, а мусор.

Как устроено?

Криптография не самописная. Используется AES-256-GCM через нативный Web Crypto API браузера. Для каждого сообщения генерируется новый 12-байтный IV/nonce. GCM-tag проверяет целостность: если шифротекст повредили или подменили, расшифровка падает.

Ключи можно получить двумя способами:

1. Seed-фраза Пользователь вводит фразу, из неё через PBKDF2-SHA256 генерируются k1…k4.

2. 64-hex ключ Можно добавить свой ключ вручную или сгенерировать временный [РЕКОМЕНДУЮ ВРЕМЕННЫЙ НА КАЖДЫЙ ЧАТ И РОТИРОВАТЬ ЕГО РЕГУЛЯРНО].

Seed-фраза не сохраняется.

Сейчас VKCipher умеет:

• шифровать исходящие сообщения кнопкой;

• автоматически шифровать сообщение при Enter;

• расшифровывать входящие(текст/картинки/видео) прямо в чате;

• переключать [шифр] / [текст];

• работать в личках, беседах и групповых чатах;

• использовать несколько слотов ключей;

• генерировать временный ключ;

• кодировать шифротекст не только Base64, но и emoji-алфавитом.

Последнее не про криптографию, а про UX. Иногда приятнее видеть стену из эмодзи, чем технический Base64. А вероятность такого текста в обычной переписке выше, чем обычного Base64.

Почему не Telegram / Мой_Любимый_Мессенджер?

Потому что это другой сценарий. В Telegram сквозное шифрование есть только в секретных чатах, а обычные чаты — не зашифрованы(Многие этого не знают).VKCipher нужен не для того, чтобы спорить, какой мессенджер «правильный». Он нужен для ситуации, где люди уже сидят во ВК и не хотят/не могут переезжать.

Приватность должна быть не религиозным выбором мессенджера, а функцией, которую можно включить там, где уже идёт общение.

Threat model

VKCipher защищает содержимое сообщений.Он не скрывает:

• факт переписки;

• участников переписки;

• время отправки;

• размер сообщения;

• IP-адрес;

• сам факт использования ВК;

• текст, если устройство уже скомпрометировано;

• ключ, если пользователь сам отправил его в тот же чат.

То есть это не Tor, не VPN и не «режим невидимости». Это именно E2EE-слой поверх существующего транспорта.

Почему открытый код важен

Криптографический инструмент без открытого кода — это «поверьте нам». Мне такой подход не нравится. Поэтому код открыт. Можно проверить реализацию. Плюс можно добавить Макс/Телеграм/Мой_Любимый_Мессенджер

Если найдёте проблему — issue/PR приветствуются.

Итог

VKCipher — это маленький слой приватности поверх ВК. Не новый мессенджер, не новый клиент. Не самодельный шифр. Не магия. Не анонимность.

Просто нормальный AES-256-GCM в привычном чате, с открытым кодом и установкой за несколько секунд.

Репозиторий: VKCipher
Расширение не является продуктом ВКонтакте.

UPD: Все спрашивают банят ли аккаунты? Уже 2 месяца 50к сообщений с друзьями написали, банов нет. Но используйте доп аккаунт (ВК FAQ:Как добавить несколько профилей)
UPD 2: VKEncrypt было занято другим (закрытым) расширением, переименовал в VKCipher

Среди радиолюбителей и SDR-энтузиастов самой желанной "игрушкой" является продукция компании Ettus Research (работающей под брендом NI). Их оборудование USRP: Universal Software Radio Peripheral, Универсальное программно-определяемое радиоустройство - представляет собой если не эталон, то близкий к идеалу образец программно-определяемого радио.

Цена у аппарата соответствующая: за самый бюджетный и уже устаревший USRP B200 компания просит $1.420 (~106.500 руб.), а его обновленная версия USRP B206mini-i стоит $1.820 (~136.500 руб.). Вместе с тем, за продвинутые устройства USRP серии Х можно вполне купить квартиру в ближнем Подмосковье - $51.360, что составляет примерно 3.8 миллиона рублей.

Если все-таки имеется желание и, самое главное, возможность приобрести USRP, я бы предложил заказать его напрямую через друзей из-за границы, так как Российские компании-импортеры устанавливают на них маржу в 2-2.5 раза. Самый дешевый ценник, который я нашел: компания из Екатеринбурга готова поставить USRP B200mini-i за 200.000 рублей, а распространенная сеть радиокомплектующих за абсолютно тот же SDR просит 269.300 рублей...

Но если нельзя, но очень хочется, то можно

На помощь нам в очередной раз приходят поднебесные партнеры: они "разработали" и выпустили на рынок SDR-устройство TZT B200-mini-i. 
Как заявляет производитель: 

плата разработки радиочастотного программного обеспечения USRP заменяет Ettus B200Mini/B210, индекс производительности, соответствует импортированной версии, и ее стабильность лучше

Устройство полностью совместимо со всем программным обеспечением для оригинального Ettus USRP и в компьютере определяется соответствующе.
Ценник тоже не может не радовать, который на всех доступных нам маркетплейсах стартует от 38 тысяч рублей, что бюджетно по меркам оригинального.

Что касается качества приема/передачи и чистоты сигнала - ничего не могу сказать, так как сам лично руками не "щупал". Интернет и видеохостинги тоже скупы на обзоры: нашел только 1 (одно) видео, в котором автор хвалит новомодное устройство за качество сигнала, а также Wiki AliExpress, в котором обозревают фактически свой же продукт.

В общем, тут на личное усмотрение, готовы ли вы за китайскую копию отдать 40 тысяч рублей. Лично я уже намучился с аналогом HackRF, с его шумами и кривым приемом, поэтому лишний раз не хочу портить себе нервы. В данном случае я бы посоветовал немного поднакопить, и взять оригинал того же LimeSDR или BladeRF.

🧠 Обязательно поделись с теми, кому это может быть полезно 💬 Телеграм | 💬 Max | 📝 Хабр | 💙 ВКонтакте

Как перестать вручную поддерживать экран настроек

Новая настройка появилась в модели — значит, нужно добавить соответствующий UI‑компонент, настроить обработчики, связать все с системой хранения и не забыть ничего по пути.

Пока настроек немного, это не вызывает проблем. Но со временем поддержка такого экрана начинает занимать все больше времени.

Илья, iOS‑разработчик в Naumen, рассказывает, как пришел к подходу, при котором разработчику достаточно описать новое свойство, а интерфейс собирается автоматически.

Почему задача оказалась сложнее?

Все началось с настройки сжатия изображений перед отправкой на сервер. На первый взгляд задача выглядела вполне стандартной: подобрать параметры, проверить результат и убедиться, что все работает как нужно.

Но довольно быстро возник другой вопрос: как проверять изменения без постоянной пересборки приложения?

Для разработчика это не так критично, а вот для аналитиков на приемке и тестировщиков каждая новая проверка требовала участия разработчика. Тогда появилась идея вынести параметры в отдельный экран настроек.

Почему обычный экран настроек не решил проблему?

Сначала мы решили добавить переключатели, поля ввода и другие элементы интерфейса. Но появилась новая сложность: поддерживать такой экран вручную неудобно.

Чтобы добавить новую настройку, нужно было каждый раз:

• добавлять свойство;

• добавлять соответствующий UI‑компонент;

• настраивать обработку;

• связывать с хранилищем данных.

Я начал искать подход, при котором разработчику не нужно отдельно поддерживать интерфейс настроек. Хотелось, чтобы достаточно было просто описать новую настройку, а все остальное система делала сама.

В этот момент я вспомнил про Reflection. В Swift этот механизм ограничен и фактически работает как интроспекция, но даже этих возможностей оказалось достаточно для решения задачи.

Как сделать так, чтобы экран собирался автоматически?

В основе подхода лежит декларативный принцип: разработчик описывает свойства объекта настроек и добавляет к ним метаданные, например, название настройки или связи с другими параметрами.

Дальше система анализирует структуру объекта, определяет типы данных и автоматически подбирает нужные UI‑компоненты:

• для булевых значений — переключатели;

• для текста — поля ввода;

• для чисел — поля с ограничением на числовой ввод.

Что изменилось после внедрения такого подхода?

Теперь для добавления новой настройки достаточно описать новое свойство и добавить необходимые метаданные. После этого настройка автоматически появляется в интерфейсе.

По моей оценке, трудозатраты на работу с настройками сократились примерно на 80–90%. Кроме того, уменьшилось количество дублирующего кода, а интерфейс стал более единообразным и предсказуемым для пользователей.

→ Подробнее своим опытом Илья поделился в статье.

Функция обзоров от ИИ в поисковой выдаче Google хорошо зарекомендовала себя неадекватностью ответов. Пару лет назад AI Overview предлагала закрепить сыр на пицце с помощью клея, бороться с депрессией с помощью суицида, а также бегать с ножницами. Год назад этот блок в выдаче уличили в цитировании контактных данных мошенников. Полгода назад искусственный интеллект в поисковой выдаче оболгал невиновного.

На очередной промах AI Overview обратил внимание энтузиаст старых версий операционок Bob Pony. Как указал блогер, обзоры от ИИ противоречат даже самой поисковой выдаче: языковая модель утверждает, что на процессор Pentium первого поколения поставить Windows 7 невозможно, а первым результатом немедленно всплывает видеоролик, где вроде как демонстрируется обратное.

На самом деле быстрая и дешёвая разновидность модели Gemini 3, обслуживающая эту функцию поиска, здесь не ошибается.

Формально сам скриншот заявление AI Overview не опровергает: NTDEV ставил «семёрку» не на реальный осязаемый компьютер из выцветшего желтоватого пластика, а в эмуляторе 86box. С другой стороны, Windows 7 действительно загружается на Pentium первой половины девяностых. К примеру, один из энтузиастов показал процесс загрузки этой операционки на ядре P54C. Для этого пришлось задействовать Windows 7 с Service Pack 1 и устанавливать операционку на 600-мегагерцевый AMD K6-2+ с 768 МиБ ОЗУ, а потом уже даунгрейдить процессор на 90-мегагерцевый Pentium. В системе при этом осталось 128 МиБ ОЗУ, хотя есть сообщения об успешном запуске с 96 или даже 64 МиБ.

Это, кстати, общая схема всех таких экспериментов: устанавливать нужно на процессор поновее, а потом уже менять мозги на более медленные, поскольку с нуля Windows 7 на Pentium не встанет. То есть ИИ в поисковой выдаче Google то ли случайно, то ли нет, но ответил верно.

5 граблей, на которых умирают торговые боты

Большинство торговых ботов умирают не потому, что стратегия оказалась неверной. Они умирают потому, что бэктест втихую прочитал завтрашнюю свечу. Потому что процесс упал посреди исполнения ордера и открыл позицию дважды. Потому что биржа отвергла ордер, а бот продолжил торговать призрак.

Стратегия - никогда не была сложной частью. Сложной частью была инфраструктура.

«Это работало в бэктесте» ничего не значит, если в live крутится другой код

Стандартный путь продакшенизации стратегии - это её переписывание: исследовательский ноутбук превращается во вторую, собранную руками боевую систему со своей логикой ордеров, своими багами, своим расхождением. Теперь у вас две стратегии, которые выглядят одинаково, а ведут себя по-разному ровно тогда, когда это важнее всего. Например, на момент бектеста все свечи уже закрыты, а в live текущая свеча всегда в статусе pending и её параметры меняются

Ошибка, которая открывает позицию дважды

Бот, обновляющий позицию в момент, когда процесс умирает - OOM, деплой, скачок питания, просыпается с испорченным состоянием: наполовину открытая позиция, неправильный cost basis, выход, который так и не зарегистрировался. Восстановление руками - это место, где утекают деньги.

Ордер, который биржа молча отвергла

Тихий убийца live-торговли: биржа отвергает, отваливается по таймауту или наливает частично - и внутреннее состояние вашего бота больше не совпадает с реальностью. Фикс из учебника - рукописный try/catch с откатом вокруг каждого ордера - это ровно тот код, который ломается на том краевом случае, который вы не предусмотрели.

Десять стратегий, один счёт, экспозиция 100%

Проверки риска по каждой стратегии в отдельности упускают очевидную портфельную истину: десять стратегий, каждая «рискует 10%», - это один счёт, рискующий всем. Открыть сразу 10 позиций не хватит капитала

Получение внешних данных через Crontab

Cron с парсингом внешних данных работает в другом процессе по системным часам - бесполезно в бэктесте, который проигрывает месяц за секунды. Так же как неполные свечи в live, на момент backtest база данных содержит больше записей, так как момент в прошлом уже завершен

Беги вместе с OTUS — разыгрываем билеты на RUNIT 2026

Собираем своих 5 июля в Мещерском парке — площадка RUNIT by AGIMA, фестиваль спорта и технологий. Для взрослых будет 5 размеченных трасс с дистанциями от 5 до 21 км, для детей — отдельный старт на 700 метров.

Кроме забегов на площадке вас будут ждать настолки, мини-гольф, денди, йога, фудкорт и концертная часть. В этом году на сцене — «Отпетые мошенники» и «Демо», так что финал дня обещает быть отдельным событием.

⚡ Мы разыгрываем 3 билета на концертную часть, итоги подведем 2 июля. Подробнее о розыгрыше — в этом посте.

Нашим студентам — скидка 15% на покупку билета по промокоду OTUS.

Приходите пробежать дистанцию или просто провести выходной в хорошей компании — будем рады всем. Полная программа и регистрация: runit.digital

Переход с 1С:УПП: как сохранить контроль над учетом и данными

«Слона-то я и не приметил»: скрытые риски перехода с УПП, которые важно увидеть до старта проекта

В 2027 году поддержка 1С:УПП завершится. Без обновлений под изменения законодательства регламентированный учет в этой системе станет зоной риска.

Как перейти на новое решение без потери контроля над учетом, данными и сроками?

2 июля в 11:00 (мск) на вебинаре в формате проектных «притч» разберем самые частые проблемы миграции:

👉 разрозненные ожидания ИТ, финансовой службы и бизнеса
👉 критичные и спорные доработки
👉 рост объема работ после старта
👉 качество НСИ и разрыв в терминологии

Расскажем, как заранее увидеть эти риски и превратить переход с УПП в управляемый проект.

☑️ Зарегистрироваться на вебинар по ссылке

Рекрутинг респондентов: что сломалось и что делать?

Разбирались на круглом столе UX Feedback про рекрутинг респондентов для UX-исследований вместе с Кириллом Малыком из команды пользовательского опыта РТЛабс

Главное, что прозвучало:
— пользователи стали меньше доверять исследованиям
— старые способы рекрутинга работают всё хуже
— стоимость привлечения продолжает расти
— всё больше команд строят собственные базы и сообщества
— бережное отношение к респондентам — уже не преимущество, а необходимость

👉 Смотреть в записи

Вебинар «Киберустойчивость на основе управления данными», практический сценарий

2 июля в 11:00 проведём вебинар о том, как выстроить управляемую и безопасную работу с данными в корпоративной дата-платформе.

Сегодня одних платформ хранения и обработки данных уже недостаточно: без прозрачности, понимания связей между данными, зон ответственности и рисков такие системы становятся одной из ключевых точек киберриска. На вебинаре разберём, как совместное использование Cardinal Platform и Arenadata Data Catalog помогает выстроить дополнительный слой контроля и повысить киберустойчивость дата-ландшафта.

Что обсудим:

✔️ почему платформы работы с данными становятся зоной повышенного риска;

✔️ какую роль играет каталог данных в обеспечении прозрачности, управляемости и безопасности;

✔️ как интеграция Cardinal Platform и Arenadata Data Catalog позволяет видеть, где находятся данные, кто за них отвечает и как они связаны;

✔️ как выстраивать процессы data governance, контроля доступа, аудита и управления чувствительной информацией;

✔️ как учитывать требования ИБ, регуляторов и внутренних политик;

✔️ как повысить киберустойчивость корпоративной дата-платформы.

Практическая часть

Покажем демонстрационный сценарий, в котором Arenadata Data Catalog используется для управления данными и рисками, а Cardinal Platform — для выстраивания контроля, аудита и дополнительного уровня защиты вокруг дата-платформы.

Для кого: руководители ИТ и ИБ, CDO и владельцы данных, архитекторы, команды data governance и специалисты по безопасной эксплуатации данных.

Спикеры: Мария Двоеносова, владелец продукта Innostage Cardinal Platform; Артем Шмарев, руководитель Центра компетенций по управлению данными, Юникон Бизнес Солюшнс; Денис Кириченко, Архитектор решений Arenadata Catalog.

2 июля, 11:00–12:00

Регистрация по ссылке

АИ-95 с вредоносной присадкой

В середине июня команда киберразведки экспертного центра безопасности Positive Technologies обнаружила сразу несколько ресурсов, использующих «топливную» тему для вредоносных целей.

1. В рамках первой кампании производится угон Telegram‑аккаунтов. От имени крупной нефтегазовой организации, предоставляющей услуги по продаже топлива физическим лицам, предлагается «забронировать» время для покупки топлива без очередей. В процессе бронирования злоумышленники просят предоставить код подтверждения, который на деле является кодом двухфакторной аутентификации от Telegram‑аккаунта. Отметим, что исходный код ресурсов изобилует комментариями, характерными для кода, сгенерированного большими языковыми моделями.

2. Вторая кампания заманивает «актуальными» данными о доступности топлива, предлагая скачать APK‑файл. На вредоносном сайте отображается карта со сведениями о наличии топлива на разных заправках по всей стране. Статус заправки на карте при этом определяется детерминированным алгоритмом на основании ее координат:

const deterministicStatus = (station) => {
  const base = Number(station.id ?? station.lat * 1000 + station.lon * 1000);
  const pseudo = Math.abs(Math.sin(base)) % 1;
  if (pseudo < 0.58) return 'green';
  if (pseudo < 0.85) return 'yellow';
  return 'red';
};

Под капотом приложения — инфостилер, среди функций которого сбор с устройства фотографий и текущей геопозиции с последующей отправкой в S3-хранилища, что впоследствии может использоваться для шантажа жертвы и иных целей.

Рекомендации

• Не сообщайте третьим лицам и не вводите на сторонних ресурсах никакие коды, приходящие на ваши устройства.

• Не устанавливайте незнакомые мобильные приложения, а если очень хочется — хотя бы предварительно используйте анализ через песочницу (например, в PT Sandbox 😉).

• Относитесь критически к любому ресурсу, обнаруженному в интернете, особенно если он эксплуатирует «горячую» тему.

• Покупайте электричку.

Индикаторы компрометации

ru‑lukoil.online

tes‑td.site

voentoplivo.site

gdebenzin.org

sverdlova.online

mobilecash.club

https://s3.eu‑central-003.backblazeb2.com/centbrinben/benzin/

https://storage.tacticlib.com/uploads/benzin/

b192114cc04b872095015bcb0d7f708c34680eafbd43ff5393df791ea0dc04e9 140ecec54f6249370cec2f6dc0e5f485af359295bb27f6f458c5b3cf30260e3e

462611f6f8e65229e8b729038438785d447bc4da386a74fafae095b65578525c 51e18c21203e930ab3ca13327dc7d67a404e597fcf3a99f8901fdbfb169da63c

81a623c9a3b3f4a9340dd4c6bdfb5299f247b54f81ae1d39671afcf24229859a f4102ea1718653528c503dcaaef3a2ea05ddaf6ad782e84ee7d7b2e6b073ffae

15174043fc56ca9fd8c47d2bfc0e0a2f491a17a8805afcc5eb58b8252677ef69

(Источник: https://t.me/ptescalator)

effective_cache_size - один из самых непонятных параметров.

Смотрим описание в переведённой документации:

Определяет представление планировщика об эффективном размере дискового кеша, доступном для одного запроса. Это представление влияет на оценку стоимости использования индекса; чем выше это значение, тем больше вероятность, что будет применяться сканирование по индексу, чем ниже, тем более вероятно, что будет выбрано последовательное сканирование.

Вот прямо с первых строк мозги выносит: при чём тут оценка (ОЦЕНКА!) размера дискового кэша и выбор между индексным или полным сканированием? Не знаю, кому как, но лично мне совсем непонятно.
Следующее, если effective_cache_size показывает оценку размера ДИСКОВОГО кеша (для меня одного словосочетание “дисковый кэш” означает “кэш файловой системы”?), то откуда взялась рекомендация в значение 3/4 размера оперативной памяти, если 1/4 - это shared_buffers? Рекомендатели, ау! 1/4 + 3/4 = 1, арифметика, начальная школа. А где СУБД должна выполнять манипуляции с данными? В свопе?
Всё остальное описание совершенно не добавляет ясности по использованию данного параметра, увы нам, постгресовым администраторам баз данных.

Но счастье есть, оно не может не есть, появилось более вменяемое описание этого параметра: All Your GUCs in a Row: effective_cache_size.

Кратко.
Главное. Данный параметр показывает ОБЩИЙ размер кэша: постгресовый shared_buffers плюс (плюс выделен жирным шрифтом в оригинальной статье!) кэш файловой системы. С этим уточнением рекомендация в 3/4 размера оперативной памяти выглядит приемлемой.
Следующее. Обсуждаемый параметр применяется для вычисления вероятности того, что однажды прочитанные данные будут находиться в кэше при повторном обращении в рамках ОДНОГО запроса. Т.е. для предпочтения соединения таблиц вложенным циклом (Nested loop join) при выборе методов соединения. Если высока вероятность того, что данных при повторном запросе в кэше не окажется, то будет выбрано либо полное сканирование таблиц(ы), либо сканирование по битовой маске, либо соединение хешем (hash join), либо соединение слиянием (merge join).
Далее. Этот параметр - верхняя оценка, завышенное значение не приводит к серьёзным проблемам (по крайней мере в статье об этом говорится).
Ограничение. effective_cache_size должен быть больше shared_buffers, ибо меньшее значение является бессмысленным (по статье).

РБПО по ГОСТ Р 56939—2024: вебинар №27 из 30 — PVS-Studio Atlas — новая платформа контроля качества кода

Предлагаю вашему вниманию запись вебинара, где мы разбираем безопасную разработку ПО. Мы добрались до дополнительных (бонусных) вебинаров цикла. Рассмотрим "PVS-Studio Atlas — новая платформа контроля качества кода". На YouTube. Слайды.

В ходе бонусного вебинара команда PVS-Studio представила новый продукт — PVS-Studio Atlas, предназначенный для работы с результатами анализа кода: просмотра, аналитики, разметки и формирования отчётов для сертификационных лабораторий и ФСТЭК.

Общее количество вебинаров — 30. Каждому из 25 процессов ГОСТа посвящён отдельный вебинар и ещё 5 записано дополнительно на смежные темы. Запись всех вебинаров и подборка дополнительной информации доступна по ссылке: ГОСТ56939.РФ.

Методика ВУ и НДВ в ПО приведена в соответствие с ГОСТ Р 56939—2024

Материалы будут полезны всем, кто знакомится с темой РБПО и заинтересован во внедрении зрелых подходов в работу по созданию и сопровождению качественных программных продуктов. Материал по ГОСТ Р 56939—2024 весьма актуален, так как 12 мая 2026 утверждена обновлённая "Методика ВУ и НДВ в ПО". См. заметку "Методика выявления уязвимостей и недекларированных возможностей — 2026".

PVS-Studio — статический анализатор кода для поиска критических и типовых ошибок

Также приглашаю всех познакомиться с нашим статическим анализатором PVS-Studio, который может закрыть не только 10-й процесс ГОСТ Р 56939, но и будет полезен по другим направлениям:

1. Обучение сотрудников (п.5.2). Формирование у программистов понимание антипаттернов и уязвимых конструкций, что улучшает их техническую экспертизу;

2. Моделирование угроз и разработка описания поверхности атаки (п.5.7). Дополняет процесс, выявляя потенциальные уязвимости, которые формируют поверхность атаки;

3. Экспертиза исходного кода (п.5.9). Позволяет усилить проверку стороннего кода, который команда включает в проект. Например, его можно использовать для выбора сторонних библиотек, оценивая качество их кода;

4. Поиск уязвимостей в программном обеспечении при эксплуатации (п.5.24). Можно просматривать ранее отключённые предупреждения PVS-Studio с целью дополнительного выявления дефектов в коде.

Скачать PVS-Studio.

Основные характеристики:

• Поддерживает: C, C++, C#, Java, (скоро Go, JavaScript, TypeScript).

• Совместим с ГОСТ Р 71207—2024 (Статический анализ кода).

• Может применяться для РБПО согласно ГОСТ Р 56939—2024.

• Включён в Реестр российского ПО: запись № 9837.

• Удовлетворяет требованиям к статическим анализаторам, приведённых метеорическом документе ЦБ "Профиль защиты" – Статический анализ кода в методическом документе ЦБ РФ "Профиль защиты".

• Полная информацию: Статический анализатор кода PVS-Studio в 2026: ГОСТ Р 71207, ГОСТ Р 56939, приказ ФСТЭК №117.

Half‑Life 2 теперь запускается прямо в браузере — разработчик под ником slqnt собрал веб‑версию легендарного шутера Valve. Никаких установок и лаунчеров, достаточно открыть страницу и дождаться загрузки. Проект экспериментальный и в нем до сих пор присутствует куча багов, вылетов и графических артефактов, например не работает мимика лиц npc и экраны, но это самая настоящая HL2 в браузере.

Бесплатный курс «SQL Введение» для тех, кто начинает изучать базы данных

Всем Привет!

Недавно я опубликовал новый бесплатный курс «SQL Введение» на платформе Stepik и хочу рассказать о нём сообществу.

https://stepik.org/course/290855

За время преподавания SQL я заметил одну проблему: многие начинающие сталкиваются со слишком сложными объяснениями уже на первых этапах обучения. Вместо понимания базовых принципов работы с данными люди сразу погружаются в большое количество терминов, теории и особенностей конкретных СУБД.

Поэтому я решил создать курс, который поможет сделать самый первый шаг в изучении SQL максимально простым и понятным.

Курс ориентирован на тех, кто:

• никогда раньше не работал с базами данных;

• не писал SQL-запросы;

• хочет понять основы SQL перед дальнейшим обучением;

• учится на IT-специальности;

• рассматривает карьеру разработчика, аналитика данных, тестировщика или бизнес-аналитика.

Специальных знаний для прохождения не требуется. Достаточно базовой компьютерной грамотности и желания разобраться в теме.

Что изучается в курсе

В рамках курса рассматриваются базовые принципы работы реляционных баз данных и основные конструкции SQL.

В процессе обучения вы разберётесь с основами SQL и научитесь:

• понимать, как устроены таблицы и данные

• писать первые SQL-запросы

• выбирать столбцы из таблицы

• фильтровать данные

• использовать операторы сравнения

• формировать простые выборки

Материал построен по принципу «от простого к сложному». Каждый новый урок опирается на предыдущий, поэтому курс подходит даже тем, кто начинает изучение SQL с нуля.

Курс включает:

• теоретические уроки;

• тестовые задания для проверки понимания материала;

• практические упражнения с SQL-запросами.

Главная цель курса — помочь новичку разобраться в фундаментальных принципах работы с данными и научиться уверенно писать свои первые SQL-запросы.

Почему курс бесплатный

Я хотел создать качественную точку входа в SQL, доступную каждому. Многие люди только начинают свой путь в IT и ещё не готовы покупать большие программы обучения. Бесплатный вводный курс позволяет понять основы и решить, интересно ли двигаться дальше в этом направлении.

Буду рад обратной связи, замечаниям и предложениям по улучшению курса.

Начать обучение можно здесь:

https://stepik.org/course/290855