Все потоки

Почему “лучший курс” часто оказывается самой дорогой ошибкой

В криптообмене и цифровых переводах пользователи часто ориентируются на самый очевидный показатель, это курс.

Логика понятна: если в одном месте курс выше, а в другом ниже, значит выгоднее там, где цифра выглядит лучше. На практике именно здесь и начинается одна из самых частых ошибок.

Проблема в том, что «лучший курс» почти никогда не существует отдельно от условий, по которым этот курс вообще доступен. Пользователь видит красивую цифру, но не всегда замечает всё, что идёт рядом: комиссии, скрытые ограничения, ручную обработку, задержки, минимальные суммы, требования к верификации, плавающий итог или просто неочевидный порядок расчёта.

В итоге человек выбирает не самый выгодный сценарий, а самый привлекательный заголовок.

Особенно часто это происходит там, где пользователь сравнивает сервисы по агрегатору, таблице или просто по первым цифрам на экране. Визуально разница может выглядеть как очевидная выгода, но после оформления заявки выясняется, что реальный результат уже другой.

Иногда «лучший курс» ломается на комиссии, которая появляется позже. Иногда на спреде между заявленным и финальным расчётом. Иногда на том, что деньги приходят дольше, чем ожидалось, и пользователь теряет не на цифре, а на времени.

Есть и более неприятный сценарий: курс сам по себе хороший, но путь к нему слишком хрупкий. Например, заявка обрабатывается вручную, окно фиксации короткое, правила обновляются в процессе, а любое отклонение по сумме или времени уже меняет итог.

С точки зрения интерфейса всё выглядит честно: цифра показана. Но с точки зрения пользователя это часто превращается в когнитивную ловушку. Он уже увидел «выгоднее» и перестал смотреть на остальное.

Поэтому в финансовых и криптосценариях цена ошибки почти всегда выше, чем кажется. Пользователь сравнивает курс как витрину, хотя по факту ему нужно сравнивать весь маршрут операции: что спишется, сколько дойдёт, когда дойдёт, при каких условиях и насколько предсказуем будет итог.

Именно здесь появляется главный парадокс: иногда курс чуть хуже на старте, но итоговая операция оказывается выгоднее, быстрее и спокойнее. А иногда «лучший курс» на экране это просто самый дорогой способ ошибиться.

Если смотреть шире, проблема не в самом курсе. Проблема в том, что пользователь принимает решение по одному параметру в сценарии, где значимы сразу пять или шесть.

Поэтому «лучший курс» в цифровых переводах — это не гарантия выгоды, а всего лишь одна из переменных. И без контекста она часто работает против самого пользователя.

Представлена подборка из 200 зарубежных IT-компаний с российскими корнями (и не только), которые нанимают русскоязычных кандидатов. В таблице по каждой компании добавлены дополнительные данные — локация, персонал, ссылки на вакансии, рынки работы.

Версия сборника в PDF формате.

Версия сборника в табличном формате.

Уважаемый hh.ru!

К сожалению, в настоящий момент я не готов пригласить Вас на дальнейшее интервью в качестве кандидата в инструменты для поиска и обработки вакансий. Я внимательно ознакомился с Вашим возможностями и интерфейсом и, возможно, вернусь к Вашей кандидатуре, когда у меня возникнет такая потребность, а вы будете более заинтересованы в своих пользователях.

Без особого уважения, Увидимся.

🎙Как найти работу в 2026 году и не сойти с ума?

Представь: рынок труда кипит, как котелок с трендами, а ты в поиске идеальной вакансии. Что происходит на самом деле?🔥

Три спикера из КОРУСа поделились ценными инсайтами:
🔘 Катя Каморина, HR-директор в MONS, разобрала общую картину рынка труда и подсказала, как не нарваться на фейки.
🔘 Даниэль Ануприенко, менеджер по управлению персоналом, вскрыл главные ошибки соискателей: почему массовые отклики — это вчерашний день, и как выделиться по-настоящему.
🔘 Настя Сигуа, HR BP в ROXIT, окунулась в психологию процесса: как не сломаться от отказов (спойлер: отказ ≠ «ты плохой»), и почему иногда мы сами отгоняем заветный оффер.

Ведущая подкаста — Юля Скируха, маркетолог HR-бренда в КОРУСе.
➡️ Слушай подкаст по ссылкам: первая часть, вторая часть.

И скачивай карьерный гайд по ссылке.

#talk_it_easy

Причиняй себе по одной пользе в день.

Я вижу, как над людьми нависает напряжение. Горизонт планирования сузился с лет до месяцев. При этом у многих так же остается потребность и желание следить за собой. Но контроль словно уходит. И сегодня особенно хочется дать вам не еще одну большую цель, а маленькую опору.

Сейчас точно не время пытаться стать новым человеком, полностью перестроить режим и наладить всё раз и навсегда.

Сейчас важнее начать снова чувствовать себя человеком, который о себе не забыл, перестал жить на автопилоте, вернул себе маленькие меры влияния на свою жизнь.

Поэтому приглашаю вас присоединиться к 15-дневному челленджу.

Это 15 дней не для того, чтобы “починить жизнь”, а для того, чтобы чуть-чуть вернуть себе немного присутствия в собственной жизни. 15 дней побыть на своей стороне.

Каждый день мы будем причинять себе по одной маленькой пользе в день. Без загруза и грандиозных планов, и конечно без стыда за невыполненные обещания себе!

Просто одна посильная польза в день, чтобы совсем не расплыться.

Формат будет короткий и человеческий, реально выполнимый для каждого. Вы даже удивитесь, насколько просты задания. Но именно такие маленькие действия и возвращают то самое чувство контроля и управления собой, которое начинает теряться и забываться в этом балагане.

Как всё будет проходить?

В течение 15 дней я буду присылать в отдельный Telegram-канал по одному заданию в день.

Если с Telegram неудобно, будет и вариант через email-рассылку.

Участие бесплатное.

Но будет и один дополнительный тариф с приятными плюшками, для тех, кто точно хочет дойти до конца. Про него расскажу завтра. Завтра же дам ссылку на форму для тех, кто захочет участвовать через email.

А пока можете просто подключаться к каналу: https://t.me/+6u_1mAZPIL5iMjJi

Буду рад вас там видеть.

Начинаем в следующий понедельник!

В десятках плагинов WordPress обнаружены бэкдоры, затронувшие сотни тысяч сайтов

В апреле 2025-го сотни тысяч сайтов на WordPress оказались скомпрометированы через обновление плагинов.

Исследователь Austin Ginder раскопал классическую supply chain attack — но с одним нестандартным элементом:
адрес командного сервера хранился в смарт-контракте Ethereum.

Разберём, что тут действительно интересно с технической точки зрения, а что — просто грамотная упаковка старых приёмов.

Что произошло — хронология

В начале 2025 года анонимный покупатель на Flippa приобрёл компанию Essential Plugin — разработчика популярных WordPress-расширений.

По данным Ginder Security, суммарная установочная база превышала 200 000 сайтов.

Спустя несколько месяцев в обновление были внедрены изменения:

• добавлен файл wp-comments-posts.php (мимикрия под стандартный wp-comments-post.php)

• модифицирован wp-config.php — добавлена загрузка внешнего payload

Бэкдор не активировался сразу.
Он находился в спящем режиме, а затем был запущен спустя несколько месяцев.

📌 Это важный момент: атака была рассчитана на доверие и время, а не на мгновенный эффект.

Почему Ethereum — это не «блокчейн ради хайпа»

Обычно инфраструктура C2 (command & control) строится на:

• доменах

• IP-адресах

➡️ Их можно заблокировать — и атака теряет управление.

Здесь подход другой:
бэкдор запрашивает адрес C2 из блокчейна Ethereum.

Что это даёт атакующему

• Неубиваемость Нельзя «отключить» Ethereum или удалить контракт

• Мгновенная ротация Новый C2 публикуется через транзакцию

• Анонимность Данные публичны, но владелец кошелька — нет

💡 Важно: это не новая техника.

Подобные схемы фиксировались ещё в 2018 году (например, в исследованиях Akamai),
но их использование в массовых supply chain атаках — редкость.

Три грабли, которые сделали атаку успешной

1. Рынок плагинов — это дикий запад

WordPress не верифицирует смену владельца плагина.

Купил проект → получил:

• доступ к репозиторию

• доступ к обновлениям

• доверие пользователей

Без дополнительных проверок.

📊 По данным WPScan:
в 2024 году было более 1500 уязвимостей в плагинах.

Но здесь уязвимости не нужны.
Ты сам становишься разработчиком.

2. Автообновления включены по умолчанию

Большинство сайтов обновляют плагины автоматически.

Что это означает на практике:

• никто не смотрит diff

• никто не читает код

• никто не проверяет изменения

Бэкдор приезжает вместе с «фиксами безопасности».

3. Мимикрия под системные файлы

wp-comments-post.phpwp-comments-posts.php

Разница — одна буква.

И этого достаточно.

Это не уязвимость системы.
Это social engineering на уровне файловой структуры.

Что реально можно сделать

Для владельцев сайтов

• Отключить автообновления плагинов

• Проверять changelog перед обновлением

• Мониторить файловую систему (OSSEC, Tripwire)

• Использовать WAF с анализом исходящих запросов

Для разработчиков плагинов

• Подписывать релизы (GPG)

• Публиковать хэши сборок

• Включить 2FA

• Ввести обязательный code review

Для WordPress как платформы

• Верификация смены владельца плагина

• Флаги «подозрительных обновлений» (смена автора, нетипичные файлы, резкие изменения структуры)

Если честно

Атака выглядит сложной, но по сути:

• supply chain через покупку — известный вектор

• Ethereum как C2 — не новая идея

• спящий режим — вопрос дисциплины

👉 Это не прорыв. Это комбинация рабочих техник.

Главный вывод

Проблема не в блокчейне.
И не в конкретной уязвимости.

Проблема — в экосистеме WordPress:

• полное доверие к обновлениям

• отсутствие контроля ownership

• слабая прозрачность изменений

Вопрос к сообществу

Кто сталкивался с аудитом WordPress-плагинов при покупке бизнеса?

Есть ли вообще практика:

• code audit перед M&A

• проверка supply chain рисков

• анализ истории изменений

Или всё до сих пор держится на доверии?

Selectel начисляет до 30 000 бонусов на облачные сервисы

Привет, Хабр! Если вы ИП или юрлицо и ранее не использовали облачные базы данных или Managed Kubernetes в Selectel — можете получите до 30 000 бонусных рублей на тест этих продуктов.

Сервисы позволяют:

✔️ повысить стабильность высоконагруженных сервисов,

✔️ сократить время на релиз новых продуктов,

✔️ уменьшить расходы на IT-инфраструктуру.

Чтобы получить грант, нужно создать тикет от юридического лица или ИП с описанием нужной конфигурации — и мы начислим до 30 000 бонусов на облачные базы данных и Managed Kubernetes в Selectel.

Вебинар: от Pod Security Standards к полноценной модели безопасности подов в Deckhouse Kubernetes Platform

Pod Security Standards ограничивают privileged-контейнеры, hostPath и capabilities. Однако реальные риски безопасности шире. Неконтролируемые registry, отсутствие лимитов на ресурсы, образы без фиксированных тегов, контейнеры без health-проверок — всё это расширяет поверхность атаки. 

28 апреля в 12:00 на вебинаре Deckhouse Академии разберём, как выстроить полноценную модель безопасности пода средствами Deckhouse Kubernetes Platform:

• как SecurityPolicy и OperationPolicy в DKP закрывают то, что PSS оставляют открытым;

• как Gatekeeper превращает декларативные политики в версионируемый код, который можно проверить в CI/CD;

• почему платформенный механизм проще и надёжнее подхода «договариваться о безопасности с каждой командой».

Зарегистрироваться на вебинар →

Save the date: встречаемся 22 апреля на iOS Meetup Wildberries & Russ

22 апреля в 19:00 мск приглашаем на iOS-митап. В программе три технических доклада и нетворкинг с инженерами, которые ежедневно строят мобильную разработку в Wildberries & Russ. Поговорим про автоматизацию релизного процесса, масштабируемое UI-тестирование и тонкости работы с файловой системой iOS.

Регистрация

Доклады:

— Автоматизация релизов в Wildberries | Севастьян Жуков, Deploy Lab Team Lead

Как команда с нуля создала инструмент для управления релизным процессом мобильного приложения и масштабировала его на другие продукты компании. Разберём этапы автоматизации и работу с App Store API: управление релизами и отслеживание их статуса.

— UI-тестирование приложения Wildberries | Руслан Колчаков, iOS TestLab Lead и Валерий Карачаков, iOS TestLab Dev

Руслан расскажет про вызовы при организации тестирования, инфраструктуру и метрики здоровья TestLab. Валерий дополнит докладом про распределённое UI-тестирование на динамически формируемом кластере раннеров: как избежать простоев, эффективно утилизировать ресурсы и ускорить тестирование.

— Работа с файловой системой на iOS | Александр Игнатьев, iOS-разработчик команды Асто

Разберём нюансы работы с файлами, структуру iOS Sandbox и App Group как способ выйти за её пределы.

⏹️Формат: офлайн в Москве + онлайн-трансляция

Регистрация

Вышла пятая версия открытого проекта windows95 с исходным кодом полностью на JavaScript. «Это Windows 95, работающая в приложении Electron. Да, это полная версия. Извините», — пояснил разработчик решения.

Проект работает в Windows, а также на macOS и Linux, что подарит вам ностальгию или возможность обойти ограничения старой операционной системы независимо от вашей текущей платформы.

6 бесплатных уроков апреля по искусственному интеллекту

Если задачи становятся сложнее, а решения — всё более «на ощупь», это сигнал: вы упёрлись не в нехватку инструментов, а в разрозненность знаний. Вроде всё знаете — но как собрать это в систему и применять на уровне архитектуры или продакшена, неочевидно.

Открытые уроки — это способ быстро закрыть этот разрыв: посмотреть, как думают практикующие эксперты, задать вопросы по реальным кейсам и проверить, насколько вам подходит такой формат обучения, прежде чем идти глубже.

Ниже — подборка бесплатных онлайн-уроков от преподавателей курсов Otus. Присоединяйтесь к участию.

16 апреля, четверг:

• 20:00. «Архитектура ИИ-сервисов для High-Load и Low-Latency инференса»
  ^{Открытый урок курса «ИИ-архитектор»}

• 20:00. «ИИ для тестировщика: инструменты, которые уже меняют профессию»
  ^{Открытый урок курса «Автоматизатор тестирования на JavaScript»}

22 апреля, среда:

• 20:00. «Bun + ИИ: создаём быстрый сервер нового поколения на JavaScript (Bun — современная среда выполнения JavaScript; ИИ — искусственный интеллект)»
  ^{Открытый урок курса «Node.js разработчик»}

• 20:00. «Создание нейро-сотрудника на базе Telegram-бота и GPT: от регистрации до рабочего прототипа»
  ^{Открытый урок курса «Диалоговые боты и голосовые помощники»}

23 апреля, четверг:

• 20:00. «Что нового в Spark 4.0»
  ^{Открытый урок курса «Spark-разработчик»}

29 апреля, среда:

• 20:00. «Деревья решений для задач классификации и регрессии»
  ^{Открытый урок курса «Машинное обучение. Специализация»}

Готовимся к ЦТФ на примере задачи «Киберремонт киберпанциря»

ЦТФ (CTF, Capture the Flag, «Захват флага») — это соревнования, на которых в течение нескольких дней вы отвлекаетесь от рабочей рутины и пытаетесь найти «флаг» — специальную секретную информацию, которая зашита в разработанные для игры системы, заполучив которые можно только через взлом. Потому задания на соревнованиях ЦТФ имеют странные названия и не менее странные описания, ведь игра должна вырвать вас из рутины рабочих тасок, а не вогнать ещё сильнее.

При этом задачи на турнирах охватывают разные области кибербезопасности: поиск веб-уязвимостей, реверс-инжиниринг, расследование инцидентов и т.п. На примере сложной задачи «Киберремонт киберпанциря» на Альфа ЦТФ коротко пройдёмся, какие нужны знания и как думать, чтобы решать задания. Разбор пригодится 25 апреля, когда состоится Альфа ЦТФ 2026 с призовым фондом 3 100 000 рублей!

⚡️ Выбирайте трек, объединяйтесь в команду или участвуйте индивидуально — и оставляйте заявку на сайте.

Описание задачи:

«Вы прогуливаетесь вдоль берега и вдруг видите на песке цифры 404, а неподалёку от них — огромную черепаху. Она с грустью рассказывает, что недавно сломала свой киберпанцирь.
Теперь везде, где бы ни прошла Тортилла, остаются надписи Error 404, Page not found или Server is unavailable. Помогите черепахе починить покров: для этого разберите и заново соберите в правильном порядке все микросхемы.
Черепаха рассылала всем знакомым мастерам ссылку на схему верной сборки чипов в панцире с помощью этого сервиса — но увы, ни один ремонтник не откликнулся, а ссылка уже давно протухла.

cybershell-m7qdo6bx.alfactf.ru/»

В данной задаче нам необходимо подобрать необходимую комбинацию чипов (на панцире), чтобы получить флаг, а из условия известно, что изображение с данной комбинацией уже существовало и у изображения есть уникальный хэш картинки. 

У этой задачи есть два решения. 

№1.  Достать картинку из кэша, используя инструменты фаззинга. Фаззинг — перебор директорий, файлов, скрытых и служебных ресурсы, HTTP-запросов посредством различных инструментов вроде Param Miner, ffuf или Webalizer. Подобные инструменты хороши тем, что предоставляют статистику по всем событиям веб-сервера, например, по переходам на Телеграм-бот. Далее найти закэшированное изображение — дело техники.

Читайте статью Основы безопасности веб-приложений: краткий «курс» по выявлению уязвимостей из которой подробнее узнаете о фаззинге и многих других инструментах, используемых для проверки безопасности веб-ресурсов.

№2. Второе решение — короткое — использовать Burp Suite, платформу для тестирования безопасности веб-приложений (о нём также рассказывали в статье выше). Воспользовавшись Burp Suite можно обнаружить, что токен JWT подписан с использованием общеизвестного секретного ключа HMAC. Через JWT Decoder генерируем токен для пользователя admin и получаем доступ к админской сессии. Готово.

Для решения подобных задач и успешного участия в Альфа ЦТФ вам потребуется сочетание навыков из областей Web Security и General IT.

1. Тестирование веб-приложений (Web Security):

• Фаззинг (Fuzzing): умение работать с инструментами перебора для поиска скрытых файлов, директорий и забытых бэкапов в кэше.

• Работа с прокси-инструментами: владение Burp Suite (или OWASP ZAP) для перехвата и анализа HTTP-трафика, подмены параметров и поиска уязвимостей в логике приложения.

2. Криптография и аутентификация:

• Работа с JWT (JSON Web Tokens): понимание структуры токена, умение декодировать его и проверять на слабые методы шифрования (например, использование стандартных ключей HMAC).

• Манипуляция сессиями: навык подделки токенов для повышения привилегий (например, получение прав admin).

3. Общие технические знания:

• Анализ условий: умение находить в тексте задания «зацепки» (упоминание протухших ссылок, хэшей или специфических ошибок вроде 404).

• Инструменты разработчика (DevTools): базовый навык просмотра кода страницы, сетевых запросов и хранилища.

⚡️ Участвуйте в Альфа ЦТФ — ждём заявки на сайте:)

Intel создаст космические процессоры для Илона Маска?

Компания Intel объявила, что поможет Илону Маску создать TerraFab — производство чипов для всех компаний миллиардера: SpaceX, Tesla и xAI. Одна из главных целей — создавать чипы для космических дата-центров, а также для земных проектов Маска. Реален ли такой союз?

Intel погрязла в неудачах с модернизацией своего производства, она пропускает технологические циклы, медленнее миниатюризирует свои чипы, из-за этого они выходят медленнее и горячее, чем у конкурентов. Казалось бы, зачем аутсайдер Илону Маску?

Дело в том, что самые современные чипы по техпроцессу 2 нм выпускаются на Тайване, на TSMC, и мощности расписаны на год вперёд между Apple, Nvidia и другими поставщиками, которым здесь и сейчас нужны 100-миллионные объёмы. С другой стороны, обещанные Илоном Маском космические дата-центры не требуют самого современного техпроцесса: на орбите повышенная радиация, и несколько большие по размеру чипы, скорее всего, лучше её перенесут. Правда, большие по размеру и тепловыделению чипы будут весить больше и потребуют более массивной системы охлаждения. Но дата-центры — это в любом случае настолько тяжёлые элементы инфраструктуры, что ни одна современная ракета не сможет их вывести за приемлемые деньги, тут расчёт может быть только на запуск в серию Starship, который будет доставлять продукцию Илона Маска на орбиту на порядок-два дешевле текущих 5000 долларов за килограмм. Если не получится снизить себестоимость вывода в космос полезной нагрузки, то масштабные дата-центры на орбиту выводить никто не будет.

Для автопилота (Tesla) и моделей ИИ (xAI) желательно иметь самые современные чипы, но тут небольшое отставание в техпроцессе будет компенсировано тем, что компании Илона Маска станут первоочередным партнёром для Intel. Компания последние 5 лет старается найти клиентов на стороне, но ей явно не хватает инновационного задора Маска, чтобы сделать свои технологии привлекательными.

При таком раскладе останется доволен и Дональд Трамп, так как основные производственные фабрики Intel находятся в США, а значит, рабочие места и производство не покинут страну. Осталось, чтобы сложились все «если», которых в этой ситуации предостаточно.

Голем: как в нём устроен анализ кода

В прошлый раз я рассказал про Голема — кодинг-агента в Telegram. Сейчас хочу показать, что у него под капотом. А именно — как работает анализ кода.

Первая версия была примитивной: весь код летел в LLM, та читала и выдавала вердикт. Работало паршиво. LLM галлюцинировала про «обрезанные функции», жрала токены как не в себя, а если проект был больше пары файлов — просто захлёбывалась.

Нужно было что-то менять.

Гибридный анализ: четыре утилиты вместо одной LLM

Теперь перед тем, как отдать код модели, его прогоняют четыре статических анализатора:

bandit, ruff, semgrep, pip_audit = await asyncio.gather(
    run_bandit(project_dir),      # безопасность
    run_ruff(project_dir),        # стиль и баги
    run_semgrep(project_dir),     # глубокий анализ
    run_pip_audit(project_dir)    # зависимости
)

Каждая утилита отвечает за свою область:

• Bandit ищет уязвимости безопасности: SQL-инъекции, использование eval(), хардкод паролей.

• Ruff проверяет стиль и очевидные ошибки: неиспользуемые импорты, синтаксис, голые except.

• Semgrep находит сложные паттерны: XSS, утечки данных, опасную десериализацию.

• pip-audit сверяет зависимости с базой CVE и сообщает о дырявых пакетах.

Все четыре запускаются параллельно через asyncio.gather. На проекте среднего размера это занимает 10-15 секунд вместо 40-50 при последовательном запуске.

LLM получает только проблемные строки

Раньше модель получала первые 1000 символов из каждого файла. Это приводило к двум проблемам: дикий перерасход токенов и галлюцинации. LLM видела обрывок функции и думала, что код незавершённый.

Теперь всё иначе. Анализаторы возвращают конкретные проблемные строки, и модель получает только их с контекстом в 3-4 строки вокруг:

# main.py:42 — Bandit HIGH
query = f"SELECT * FROM users WHERE id = {user_input}"  # SQL-инъекция

Результат:

• Расход токенов сократился в 10 раз.

• Галлюцинации про «незавершённый код» исчезли полностью.

• Анализ работает одинаково быстро на проекте из 10 файлов и из 500.

Асинхронный режим

ZIP-архивы и GitHub-репозитории анализируются в фоне. Пользователь отправляет файл и сразу получает ответ «анализ запущен», а результат приходит отдельным сообщением через минуту-две. Бот не висит, можно продолжать с ним работать.

asyncio.create_task(
    _analyze_directory_async(context, temp_dir, source, llm, user_id)
)
await update.message.reply_text("🔍 Анализ запущен в фоне")

Что дальше

Сейчас Голем умеет анализировать только Python-проекты. В ближайших планах:

• Поддержка JavaScript/TypeScript (ESLint + npm audit)

• Поддержка Go (golangci-lint + govulncheck)

• Поддержка Rust (clipp +cargo-audit )

Также хочу добавить команду /fix — автоматическое исправление проблем, которые находит Ruff. Часть ошибок можно починить без участия человека, и Голем будет делать это сам.

Попробовать

Бот живёт в Telegram: @Golem666bot
Там же можно посмотреть другие проекты и следить за разработкой: @system_develope

SpaceWeb добавил в каталог VPS четыре open-source инструмента для внутренней инфраструктуры

SpaceWeb запустил в каталоге готовых решений четыре новых образа для установки в один клик: Moodle, Vaultwarden, iRedMail и OpenClaw.

Moodle — обучающая платформа или база знаний. Vaultwarden — менеджер паролей и доступов. iRedMail — корпоративная почта на собственном сервере. OpenClaw — self-hosted ИИ-ассистент для рабочих сценариев.

По данным SpaceWeb, 33% пользователей VPS уже используют панели управления, 22% — контейнеризацию. VPS всё чаще становится базой для внутренней инфраструктуры, а не просто хостингом для сайта. Новые образы продолжают эту логику: всё в едином контуре, без внешних SaaS и ежемесячных платежей за сторонние сервисы. Всего в каталоге SpaceWeb сейчас более 40 приложений — от CMS и панелей управления до систем мониторинга и баз данных.

Узнать подробности и выбрать свой open-source инструмент можно на сайте SpaceWeb.

Приглашаем на секцию по AI и ML от Далее на конференции Синтез | Merge, которая пройдет в Иннополисе 17 и 18 апреля.

В программе секции:
— Сергей Нотевский (Битрикс24)
Опыт перехода от maas к self-hosted/on premise моделям: проблемы, боли, решения.

— Сергей Марков (Сбер)
Когда ИИ заменят разработчиков?

— Григорий Деревянных (Далее)
Как встроить AI-агента в BI-платформу: архитектура, безопасность и работа с терабайтами данных

— Влад Шевченко (red_mad_robot)
Инженерия агентов: системный подход к разработке.

— Марк Каширский (Avito Tech)
Что надо агенту помимо диффа: как мы строили code review пайплайн, который позволяет агентам глубоко исследовать код.

Модератор секции — Дарья Суппес, руководитель AI/ML-направления в Далее.

Секция пройдет 17 апреля, с 12.20 до 16.46 в зале 106 (Юг).

Промокод DALEE20 дает скидку 20% на все категории билетов.

Эйчары, привет!

Недавно мы проводили Хабр Семинар, и одной из самых горячих тем оказался вопрос: как сделать так, чтобы сотрудники сами говорили о компании добрые слова, каждый день? Желательно где-нибудь на первом канале и, конечно, без бюджета.

Уже завтра, 16 апреля в 17:30 (мск), мы собираем всех неравнодушных на HR-созвон — о том, как связаны HR-бренд и внутриком и почему ваши сотрудники становятся главным каналом коммуникации — хотите вы этого или нет.

Разберем, как внутренний опыт человека превращается во внешний образ работодателя, что происходит с командами в условиях нестабильности, когда привычные инструменты перестают работать, и почему ключевой задачей HR становится управление доверием.

Отдельно обсудим амбассадорство: что должно происходить внутри, чтобы люди сами захотели говорить о компании. И как выстроить внутриком, который не просто транслирует новости, а помогает людям понимать, что происходит, вовлекает их и работает на HR-бренд.

Участие бесплатное, формат — онлайн. Если интересно — регистрируйтесь

P.S. А если хочется посмотреть, как прошел Хабр Семинар, забирайте запись со скидкой 30% по промокоду СОЗВОН 

РБПО по ГОСТ Р 56939—2024: вебинар №04 из 30 – Управление конфигурацией программного обеспечения

Компания ООО "ПВС" совместно с учебным центром "Маском" провела цикл вебинаров, посвящённых разработке безопасного программного обеспечения (РБПО). Совместно с приглашёнными экспертами различных компаний мы рассмотрели 25 процессов, приведённых в ГОСТ Р 56939—2024.

Предлагаем сегодня вашему вниманию вебинар цикла, посвящённый процессу, описанному в разделе 5.4. – "Управление конфигурацией программного обеспечения". Слайды.

Цели четвёртого процесса по ГОСТ Р 56939—2024:

5.4.1.1 Осуществление уникальной идентификации ПО, документации на ПО, других элементов, подлежащих отслеживанию в рамках управления конфигурацией ПО (элементов конфигурации).

5.4.1.2 Контроль реализации изменений ПО, документации на ПО, других элементов, подлежащих отслеживанию в рамках управления конфигурацией ПО (элементов конфигурации).

Общее количество вебинаров — 30: каждому из 25 процессов ГОСТа посвящено по одному вебинару и 5 записано дополнительно на смежные темы. Запись всех вебинаров и подборка дополнительной информации доступна по ссылке: ГОСТ56939.РФ.

P.S. При разработке регламента идентификации ПО (версий ПО, модулей ПО) можно оттолкнуться от ГОСТ 19.103—77 "Единая система программной документации. Обозначение программ и программных документов".

Как отключить reasoning у локального DeepSeek-R1 и не сойти с ума

Третий пост из серии про грабли локальных LLM. Первый — про микрочанки, отравляющие RAG. Второй — про embedding модель, которая не знает русский. Сейчас — про reasoning, который жрёт ресурсы и не выключается.

Проблема

DeepSeek-R1-Distill-Qwen-32B — reasoning модель. На каждый запрос она сначала «думает» в блоке <think>...</think>, потом отвечает. Выглядит так:

<think>
Хорошо, мне нужно помочь пользователю распределить задачи
для проекта создания цифрового двойника для молочной фермы.
Я новичок в этом, поэтому постараюсь разобраться шаг за шагом.

Сначала, мне нужно понять, что такое цифровой двойник...
</think>

Разработка цифрового двойника для молочной фермы — это сложный проект...

Блок <think> может быть длиннее самого ответа. Это токены, это время, это VRAM. Для задач где рассуждения не нужны — чистый оверхед.

Наивное решение — не работает

Первая идея: убрать <think> из ответа регуляркой постфактум.

response_text = re.sub(r'<think>.*?</think>', '', response_text, flags=re.DOTALL).strip()

Проблема: модель всё равно генерирует рассуждения. Вы просто прячете их от пользователя, но GPU уже потратил время и токены.

Решение от сообщества

Пустой блок <think>\n\n</think> в конце промпта. Модель видит, что фаза рассуждений уже «завершена», и сразу переходит к ответу.

text = tokenizer.apply_chat_template(messages, tokenize=False, add_generation_prompt=True)
text = text + "<think>\n\n</think>\n\n"

Попробовал — не работает. Reasoning остаётся.

Ловушка с токенизатором

Смотрю в лог что реально уходит модели:

...ть задачи?<｜Assistant｜><think><think>

</think>

Два <think>. Токенизатор DeepSeek при add_generation_prompt=True уже добавляет <think> в конец промпта автоматически. Мой код добавляет второй. Модель видит незакрытый первый тег и начинает думать.

Причём <｜Assistant｜> — это не обычные символы |, а полноширинные юникодные ｜. Специальные токены DeepSeek. Если искать обычный | в строке — не найдёте.

Правильное решение

Проверять, что уже есть в промпте, и действовать по ситуации:

def prepare_prompt_no_thinking(messages, tokenizer):
    text = tokenizer.apply_chat_template(
        messages, 
        tokenize=False, 
        add_generation_prompt=True
    )
    
    if "<think>\n\n</think>" in text:
        pass  # Уже закрыт
    elif "<think>" in text and "</think>" not in text:
        text = text + "\n\n</think>\n\n"  # Закрываем открытый
    else:
        text = text + "<think>\n\n</think>\n\n"  # Добавляем пустой
    
    return text

Три ветки — потому что разные версии токенизатора ведут себя по-разному. Кто-то добавляет <think>, кто-то нет.

Результат

Без тегов:

Хорошо, мне нужно помочь пользователю распределить задачи
для проекта создания цифрового двойника для молочной фермы.
Я новичок в этом, поэтому постараюсь разобраться шаг за шагом...

С правильными тегами:

Разработка цифрового двойника для молочной фермы — это сложный проект,
который требует участия специалистов из разных областей.
Вот примерное распределение задач:

Модель сразу отвечает по делу, без вступительных рассуждений. Экономия токенов и времени — в зависимости от запроса от 30% до 60%.

Вывод

Если используете DeepSeek-R1-Distill локально и reasoning вам не нужен — не режьте его регуляркой постфактум. Закройте <think> тег до генерации. Но обязательно проверяйте, что токенизатор уже добавил — иначе получите дубль и потратите час на дебаг того, что должно было занять минуту.

Дайджест мероприятий на апрель

16 апреля, 19:00 (Мск)

Технологическое предпринимательство для начинающих. Часть 1: от идеи к экономике проекта

Открытая онлайн-лекция о том, как технологии становятся бизнесом. Без стартап-магии — только реальные кейсы, ошибки и экономика проектов.

На встрече разберем:

● Чем техпред отличается от просто цифрового продукта

● Почему сильная технология — еще не успех

● Как говорить с инвесторами и смотреть на проекты через экономику

● Ошибки, которые ломают даже яркие стартапы

Кейсы: Under Armour, Theranos, YotaPhone, Ё-мобиль, On, CaseGuru.

🎤 Спикер: Антон Пчелинцев — магистр бизнес-информатики, соавтор курса «Экономика для технологических предпринимателей».

Формат: онлайн-лекция

Участие бесплатное. Регистрация по ссылкам: https://t.me/mipt_events_bot?start=dl-1775661093137

https://vk.com/app6379730_-224205661#l=9&auto=1

23 апреля, 19:00 (Мск)

Технологическое предпринимательство для начинающих. Часть 2: разбор кейсов и практика питчей

Продолжаем разговор о технологическом предпринимательстве. На первой лекции разобрали теорию: что такое техпред, экономика проектов и язык инвесторов. Теперь — практика.

Разбор реальных кейсов, питчинг идей участников, ответы на вопросы. Можно не только послушать, но и представить свой проект или идею.

🎤 Спикер: Антон Пчелинцев — магистр бизнес-информатики, соавтор курса «Экономика для технологических предпринимателей».

Формат: онлайн-лекция + практика питчей + ответы на вопросы

Участие бесплатное. Регистрация по ссылкам:

https://t.me/mipt\_events\_bot?start=dl-1776090447189

https://vk.com/app6379730_-224205661#l=10&auto=1

29 апреля, 19:00 (Мск)

ИИ‑агенты: от LLM к автономным рабочим процессам

Лекция + мини‑практика. Разберем, как проектировать, запускать и измерять эффект от ИИ‑агентов.

О чем лекция:

● Чем ИИ‑агенты отличаются от чат‑ботов и «просто LLM»

● Архитектура агента: планирование, вызов инструментов, память, оркестрация

● Паттерны построения агентных систем (single/multi‑agent, planner‑executor)

● Сценарии применения: поддержка, продажи, аналитика, операции

● Метрики, стоимость выполнения задач, ROI пилота

● Риски, безопасность, human‑in‑the‑loop

Мини‑практика. Опишем агента под реальную бизнес‑задачу без программирования — просто структуру: цель, входные данные, инструменты, ограничения, критерий успеха, точки контроля человека.

🎤 Спикер: Никита Финченко — менеджер продукта VK Tech, преподаватель в МФТИ, ВШБ и VK Education

Формат: 45 мин лекции + 45 мин практики и разбора решений

Участие бесплатное. Регистрация по ссылкам:

https://t.me/mipt_events_bot?start=dl-1776161105388

https://vk.com/app6379730_-224205661#l=11&auto=1