Обновить

Все потоки

Сначала показывать
Порог рейтинга

Взрыв, который потряс космическую программу США

29 мая при проведении статических огневых испытаний взорвалась ракета New Glenn компании Blue Origin. Носители иногда взрываются — они наполнены сотнями тонн горючего и работают на пределе, но по итоговому эффекту этот взрыв может превзойти взрыв советской ракеты Н-1 во время второго пуска в 1969 году. Он фактически закрыл советскую лунную программу, теперь под угрозой американская «Артемида» и вопрос эффективности космических запусков SpaceX.

Взрыв ракеты New Glenn уничтожил важное оборудование на единственной стартовой площадке и вызвал вопросы к её надёжности. Ни один человек не пострадал — это важно, но осталась масса проблем для Blue Origin:

  • Все запуски New Glenn откладываются на срок от полугода до 2 лет (неофициальные оценки), пока не будет восстановлен старт.

  • Контракты компании с военными могут быть пересмотрены, так как возникнут сомнения в надёжности единственной ракеты Blue Origin.

  • Лунная программа «Артемида» может «поехать» по срокам, так как у Blue Origin было самое большое продвижение по лунному кораблю — готов прототип Blue Moon Mark I, но теперь его не на чем доставить на Луну. А значит, сдвигаются и сроки запуска полноценного лунного аппарата, и высадка человека на Луну в 2028 году становится совсем призрачной.

Разные инженерные подходы SpaceX и Blue Origin могут помешать понять масштабы катастрофы. SpaceX в случае с созданием Starship сразу шла по пути натурных испытаний — 5 лет испытаний и более 20 пусков, каждый из которых заканчивался взрывом. Запланированным, ожидаемым взрывом, так как это эксперименты, в которых важна была лишь часть участков полёта. Всё это время у компании оставалась рабочая лошадка Falcon 9 и как минимум два стартовых стола.

Blue Origin шла путём глубокой отработки узлов в цифровом виде и на стендах. Взорвалась серийная ракета, которая готовилась к запуску 48 спутников связи Amazon Leo (обе компании принадлежат основателю Amazon Джеффу Безосу). Уничтожено дорогое оборудование единственного стартового стола.

Взрыв ракеты Blue Origin может… помешать IPO SpaceX. Сомнения в надёжности ракет одной компании могут повлиять на настроения инвесторов другого производителя. 29 мая Bloomberg сообщил, что SpaceX уже снизила оценку компании при размещении с более чем 2 трлн до 1,8 трлн долл. Причина — вроде бы консультации с инвесторами, но о реальном положении дел остаётся только гадать. Положение монопольного оператора запусков не добавит SpaceX стремления к эффективности, что может негативно повлиять и на её показатели. Такова цена инженерной ошибки.

Теги:
Всего голосов 21: ↑21 и ↓0+36
Комментарии7

Как понять до внедрения, станет ли Low-code платформа точкой роста?

На старте почти любая No/Low-code система, основанная на платформе, выглядит удобно: быстрый запуск, простые сценарии, минимум разработки.

Проблемы начинаются позже, когда нужны нестандартная логика, интеграции и масштабирование. Тут часто выясняется, что у платформы есть потолок:

  • бизнес снова идет в очередь к разработчикам

  • растет зависимость от вендора

  • доработки становятся дорогими и медленными

В новом интервью для TAdviser Илья Радченко, директор по платформенным продуктам SimpleOne, рассказал, как проверить поставщиков платформенных решений.

Полезный материал для тех, кто выбирает платформу не под пилот, а на несколько лет вперед.

Читать материал

Теги:
Всего голосов 2: ↑2 и ↓0+4
Комментарии1

Наталья Касперская, IT и неудобная правда

Позиция российского IT неустойчива. Тысячи продуктов в реестре отечественного ПО, «спасение» стартапов и т. д. 

Пока внутри страны одни вопросы, в мире все давно распределено. Есть цифровые гегемоны, которых не очень много и США на первых ролях, есть цифровые колонии. Где в этой классификации Россия? 

Нужно ли нам вообще быть хорошими, если весь мир считает нас плохими? 

Разбираются Константин Анисимов, заместитель генерального директора Astra Cloud, и Кирилл Синьков, директор по работе с технологическими партнерами «Группы Астра» и Наталья Касперская, президент InfoWatch и председатель правления АРПП «Отечественный софт»

Смотрите в первом выпуске подкаста «IT-фронтир».

Теги:
Всего голосов 5: ↑1 и ↓4-1
Комментарии0

Microsoft представила порт набора утилит Coreutils для платформы Windows. В состав входит несколько десятков утилит, включая sort, cat, chmod, chown, cp, find, sleep, sort, tee, echo, uptime и ls. Инструментарий позволяет напрямую использовать в Windows типовые утилиты, доступные в Linux и macOS, без использования прослойки WSL. Целью проекта заявлено упрощение перехода между Unix‑подобными системами, WSL, контейнерами и Windows, и предоставление единого набора команд, флагов и методов, позволяющих переносить существующие скрипты из других систем без переписывания. Код написан на Rust и PwerShell, и распространяется под лицензией MIT.

Реализация основана на коде проекта uutils (Rust Coreutils), развивающего вариант GNU Coreutils на языке Rust, а также реализациях утилит find и grep на Rust. Утилиты собраны в виде одного универсального исполняемого файла "C:\Program Files\coreutils\coreutils.exe", отдельные команды к которому привязаны при помощи жёстких ссылок в NTFS.

Из‑за конфликта с имеющимися штатными утилитами Windows или привязки к специфичным возможностям из поставки исключены утилиты dd, dir, dircolors, shred, sync, uname, expand, kill, more, paste, timeout и whoami. Из состава также исключены утилиты, завязанные на не поддерживаемые в Windows концепции POSIX: chcon, chgrp, chmod, chown, chroot, groups, hostid, id, install, logname, mkfifo, mknod, nice, nohup, pathchk, pinky, runcon, stdbuf, stty, tty, users, who.

Из ограничений и особенностей отмечается необходимость использовать NUL вместо /dev/null, отсутствие поддержки сигналов (SIGHUP, SIGPIPE, SIGUSR), возможность создания символических ссылок только после включения режима для разработчика, недоступность некоторых операций с правами доступа. При работе с каталогами принимаются как пути с символом "/", так и c "\".

Теги:
Всего голосов 1: ↑1 и ↓0+3
Комментарии2

nLighten без предупреждения отключил оборудование MIRhosting в Европе

UPD0: возможно причина в этом https://habr.com/ru/articles/1040364/

UPD1: Так же возможно ситуация затронула следующие хостинги:
THE.Hosting
UFO.Hosting
Alexhost.com
Vdsina.com
Hip.hosting
Datacheap.ru
ihc.ru


Оператор дата-центров nLighten в одностороннем порядке и без уведомления остановил работу серверов MIRhosting в Нидерландах и Германии. В MIRhosting назвали действия поставщика абсолютно неприемлемыми.

Что делается сейчас:

  • MIRhosting привлекает юристов для выяснения деталей;

  • Идутся поиски альтернативных площадок для размещения инфраструктуры;

  • Инженеры пытаются восстановить доступ к серверам для спасения данных;

  • Готовятся варианты экстренного переезда для клиентов.

Компания «Евробайт» полностью контролирует ситуацию и находится на связи с партнёром. Как только появится конкретика по срокам и параметрам миграции оборудования, специалисты «Евробайт» свяжутся с каждым пострадавшим клиентом индивидуально. Команда приложит все усилия, чтобы решить проблему с минимальными неудобствами.

Материал основан исключительно на данных из открытых источников. Автор публикации не гарантирует достоверность предоставленных сведений и не несёт ответственности за их точность.

Теги:
Всего голосов 11: ↑11 и ↓0+15
Комментарии24

Восстановление аккаунта в эфемерном мессенджере, не ломая приватность? Легко!

RCQ это анонимный мессенджер: без телефона и почты, история только на устройстве, сервер хранит минимум. Цена такой модели: потерял телефон, и аккаунт (сам UIN, твоя личность в сети) потерян навсегда. Это отпугивало тех, кому нужен постоянный аккаунт. Мы добавили фразу восстановления и постарались не превратить приватный мессенджер в обычный облачный.

Сразу: Android-клиент теперь в проде, фраза в нём есть. Ссылка в конце.

Аккаунт это ключи

Логина и пароля нет. Аккаунт это пара ключей: X25519 (шифрование) и Ed25519 (подпись). UIN это просто ручка на сервере, привязанная к публичному ключу. Приватные ключи не покидают устройство. Отсюда: бэкап аккаунта это бэкап ключа, а восстановление это доказать серверу, что ключ у тебя.

Откуда фраза

При создании аккаунта генерируется случайный seed на 32 байта. Из него детерминированно выводятся оба ключа через HKDF-SHA256 с фиксированными info-строками:

identity_priv = HKDF-SHA256(seed, "rcq-recovery-x25519-v1", 32) signing_priv = HKDF-SHA256(seed, "rcq-recovery-ed25519-v1", 32)

Из одного seed всегда те же ключи, значит достаточно сохранить seed. Кодируем его в 24 слова по BIP39 (как в криптокошельках): 256 бит энтропии плюс 8 бит контрольной суммы, режется по 11 бит, словарь на 2048 слов. Контрольная сумма ловит опечатки.

Восстановление

На новом устройстве вводишь 24 слова:

  1. Из слов получается seed, из seed те же ключи.

  2. Клиент берёт у сервера одноразовый челлендж.

  3. Подписывает его Ed25519-ключом, шлёт подпись.

  4. Сервер проверяет подпись против публичного ключа и отдаёт UIN и токен.

Приватный ключ никуда не передаётся, пароль нигде не хранится. Это challenge-response: перехват челленджа бесполезен, он одноразовый.

Что возвращается

Возвращается личность: UIN, ключи, контакты, группы, ожидающие сообщения. НЕ возвращается локальная история переписки, она только на устройстве (зашифрованный бэкап истории это отдельная фича на будущее). Активные ratchet-сессии (forward secrecy) сбрасываются, собеседники видят смену ключа, как в Signal.

Почему это не ломает приватность

Тонкий момент, проговорим его подробно. Восстановимая фраза это постоянный секрет с полным доступом навсегда. Пока seed лежит только в зашифрованном хранилище приложения, удалил приложение не записав фразу, и всё стёрлось, эфемерность сохраняется. Как только выписал 24 слова, появляется вечная точка восстановления, это другая модель угроз.

Баланс такой: seed есть у каждого нового аккаунта, но воспользоваться им (записать фразу) это твой осознанный выбор, не навязанный. Плюс фразу прячем за подтверждением (+PIN), чтобы её не выгребли с разблокированного на минуту телефона.

Кросс-платформенно

Деривация и словарь одинаковы на Android и iOS. Мы прогнали обе реализации (CryptoKit и наш Android-стек) на одном seed и сравнили побайтово: одинаковые ключи, одинаковые слова. Фразу с Android можно ввести на iPhone и наоборот.

Границы

  • История чатов пока не восстанавливается.

  • Аккаунты, созданные до фичи, фразы не имеют (их ключи не из seed), для них будет экспорт сырого ключа (но для этого мы и в бете, так что на релизе такого не случится).

  • Это не мультидевайс: ввести фразу на втором телефоне можно, но это переезд, а не одновременная работа, ratchet-сессии разойдутся.

Код клиента открыт, Android в проде. Будем рады разбору, особенно по криптографии.

Скачать APK (Alpha)/iOS TF (Beta): https://rcq.app/
GH: https://github.com/rcq-messenger

Теги:
Всего голосов 9: ↑8 и ↓1+9
Комментарии4

5 ошибок в CLAUDE.md, которые я сделал за полгода

Использую CLAUDE.md с ноября 2024 года. За это время успел наступить на все грабли, на которые только можно. Вот пять конкретных ошибок, которые стоили времени и денег.

Ошибка 1: Засунул всё в один файл

К марту файл вырос до 40к символов. Архитектурные решения, стайл-гайд, правила тестирования, примеры промптов, доменная модель, онбординг. Всё это съедало 13% контекстного окна на каждый запрос. Claude начал «забывать» вещи из середины файла, потому что трансформер физически хуже удерживает контекст в середине.

Починил просто: CLAUDE.md только постоянный контекст, до 8к символов. Остальное в отдельные файлы, загружаются по запросу.

Ошибка 2: Писал «как надо» вместо «что нельзя»

«Используй Clean Architecture», «следуй DDD», «пиши читаемый код». Claude кивал и делал по-своему. Переформулировал в запреты: «Не используй any в TypeScript», «Не создавай сервисы с зависимостями от конкретных реализаций». Следующий же день показал разницу.

Ошибка 3: Не добавил антипаттерны явно

Написал «мы используем NestJS», но не написал «мы не используем class-validator для бизнес-валидации, только на уровне DTO». Claude честно добавлял его куда попало, потому что это «правильный NestJS». Теперь раздел «Запрещено» занимает треть файла.

Ошибка 4: Обновлял раз в квартал

Перешли с Express на NestJS в феврале, обновил CLAUDE.md только в апреле. Два месяца файл врал, и Claude иногда предлагал Express-паттерны. Теперь правило: любое архитектурное решение, принятое на ревью, идёт в CLAUDE.md в тот же день.

Ошибка 5: Не добавил примеры кода

«Используй Repository pattern» работает хуже, чем «Используй Repository pattern вот так:» плюс три строки реального кода из проекта. Без примера Claude угадывает что вы имеете в виду. Угадывает плохо.

После всех исправлений: файл 6к символов, ответы точнее, меньше правок на ревью.

Какую ошибку делали чаще всего?

Теги:
Всего голосов 3: ↑1 и ↓2+1
Комментарии0

Атака Shai-Hulud: как скомпрометировали npm-пакеты Red Hat

Инфраструктура публикации пакетов @redhat-cloud-services оказалась под контролем злоумышленников. Десятки зараженных библиотек попали в публичный реестр npm.

Как сообщает Xakep, исследователи в области информационной безопасности зафиксировали атаку на цепочку поставок Red Hat. Целью стали официальные npm-пакеты под префиксом @redhat-cloud-services — библиотеки, которые используются в корпоративных проектах на базе экосистемы Red Hat.

Механика атаки классическая для supply chain: компрометация учетных записей или инфраструктуры публикации. После получения доступа злоумышленники выпустили обновления легитимных пакетов с внедренным вредоносным кодом. Разработчики, обновляющие зависимости через npm install, получали инфицированные версии.

Особенность в используемом инструменте — черве Shai-Hulud. По данным исследователей, в атаке задействован новый вариант под названием Miasma. Shai-Hulud специализируется на горизонтальном распространении внутри npm-экосистемы: заражает один пакет, затем через цепочку зависимостей пытается компрометировать связанные библиотеки и downstream-проекты.

Для проверов: пересоберите lock-файлы, проверьте хеши установленных версий @redhat-cloud-services против официальных сигнатур. Если используете эти пакеты в production — аудит логов сетевой активности на предмет неожиданных соединений. Red Hat, вероятно, уже отозвал скомпрометированные версии, но в локальных кэшах и приватных зеркалах они могут остаться.

Случай напоминает, что доверие к корпоративным пакетам не отменяет базовых практик: dependency pinning, проверка integrity-хешей, мониторинг аномалий в поведении библиотек. Supply chain остается самым уязвимым звеном — компрометация одного аккаунта мейнтейнера дает доступ к тысячам downstream-проектов.

TG @CIOlogia

Теги:
Всего голосов 3: ↑0 и ↓3-3
Комментарии0

Qwen начал собирать отзывы на ответы своих нейросетей в формате "Какой ответ Вы предпочитаете?"

Мой скриншот такого опроса. Простите за качество, появляется спонтанно, делится фрагментом чата не хочется
Мой скриншот такого опроса. Простите за качество, появляется спонтанно, делится фрагментом чата не хочется
Теги:
Всего голосов 1: ↑1 и ↓0+3
Комментарии0

«Без новостей. Как избавиться от информационного шума и мыслить ясно» Рольф Добелли

Ещё одна книга, ставшая волшебной палочкой моей жизни. Решила большую проблему одним взмахом – вжух! Хотя мысль в книге, если присмотреться, всего одна.

Ради таких открытий, меняющих личную конкретную жизнь, я с тех пор и читаю по несколько книг в месяц. Своим умом до такого не дойти. Ну, мне, по крайней мере.

Мысль в книге написала предельно простая: новости – это шоу-бизнес и социальная сеть. Не новости, как события, а новости, как СМИ. Новости – их контент, продукт. Мы – их потребители. Вот и всё.

Можно смело сравнивать новости с любой другой социальной сетью, с другим видом контента – никакой принципиальной разницы. Ещё раз подчеркну: речь о новостях, как о продукте СМИ. А не о событиях – они-то настоящие.

Вот эта «настоящесть» и не даёт увидеть в новостях контент, продукт, маркетинг, таргетинг, рекомендательные технологии, кликбейт, социальную инженерию и прочие «гадкие» термины «гадкого», помойного интернета (это который «Она заговорила, и вся страна ахнула…»).

А у меня зависимость от новостей, с детства. Я не знаю, откуда она взялась и как сформировалась. Но прерывалась только на время обучения в ВУЗе – в общаге не было ни телевизора, ни интернета, ни газет (может, поэтому я получил 2 красных диплома за 5 лет 😊).

Я всегда читал, смотрел, искал и анализировал новости. Я тратил на это несколько часов в неделю. Получая, помимо потраченного времени, букет других негативных последствий – в книге они описаны, не буду совсем уже спойлерить.

Теперь всего этого нет. Книга меня вылечила. С соц. сетей я слез раньше, природа той зависимости была мне понятна, и как с неё спрыгнуть – тоже (см. пост про книгу «На крючке»). Мне хватало лишь понимания, что новости – тоже соц. сеть.

В книге эта мысль обыграна с разных сторон, во многом автор повторяет, например, уже упомянутого мной Курпатова. Потому что влияние соц. сетей на психику, поведение, тревожность, работоспособность – одинаково, меняются лишь акценты, триггеры, но не суть.

Интересно, что ещё является соц. сетью, а я этого сейчас не понимаю?

Может, книги? 😊

Из Книжного стека

Теги:
Всего голосов 3: ↑3 и ↓0+4
Комментарии0

Кейноут первого дня Microsoft Build 2026!

2 июня в Сан‑Франциско открылась (https://build.microsoft.com/en-US/home) ежегодная конференция для разработчиков Microsoft Build 2026. Программный доклад провёл гендиректор компании Сатья Наделла, центральная тема - агентные системы.

На открытии выступили: глава Nvidia Дженсен Хуанг (по видеосвязи), гендиректор Qualcomm Кристиано Амон и создатель OpenClaw Питер Штайнбергер.

В первый день компания представила несколько групп продуктов и сервисов.

🟡Новые модели

Гендиректор Microsoft AI Мустафа Сулейман анонсировал (https://microsoft.ai/news/building-a-hillclimbing-machine-launching-seven-new-mai-models/) семейство из 7 новых моделей MAI для работы с изображениями, голосом, транскрипцией и кодом.

Среди названных - MAI‑Thinking‑1 (https://microsoft.ai/news/introducing-mai-thinking-1/) (ризонинг-модель, обученная без дистилляции с 35 млрд активных параметров и окном контекста 128K), MAI‑Code‑1-Flash (https://microsoft.ai/news/introducingmai-code-1-flash/) (заточена под GitHub и VS Code), а также MAI‑Image‑2.5 (https://microsoft.ai/news/introducing-mai-image-2-5/) и MAI‑-Voice-2 (https://microsoft.ai/news/mai-voice-2expressive-speech-in-10-languages/).

🟡Агенты

Microsoft представила новую категорию Autopilots, всегда активных агентов с собственной идентичностью, работающих в фоне и действующих от имени пользователя.

Первым стал Scout (https://www.microsoft.com/en-us/microsoft-365/blog/2026/06/02/introducing-microsoft-scout-your-always-on-personal-agent/) - персональный ассистент в Windows, построенный на OpenClaw. Он работает с приложениями Microsoft 365 и предназначен для фоновых задач (ведение календаря, отчётности по расходам и подготовка писем).

Scout доступен в режиме превью для клиентов программы Frontier в США.

Также анонсирован Microsoft IQ, слой контекста для агентов (Work IQ, Fabric IQ, Web IQ), который станет общедоступным в GitHub Copilot, Foundry и Copilot Studio.

🟡Инструменты для разработчиков

Сообщили о запуске десктопного приложения GitHub Copilot (https://github.blog/news-insights/product-news/github-copilot-app-the-agent-native-desktop-experience/) (в режиме предварительного доступа), функции Frontier Tuning (https://devblogs.microsoft.com/microsoft365dev/frontier-tuning-teaching-ai-to-work-the-way-you-do/) для дообучения агентов в рамках корпоративных требований (закрытый превью), а также Project Rayfin (https://www.microsoft.com/en-us/microsoft-fabric/features/rayfin) - управляемого бэкенда на платформе Microsoft Fabric.

Windows получает функции для разработчиков: набор Coreutils (Linux-подобные утилиты командной строки, работающие в Windows 11 нативно), создание и запуск Linux-контейнеров через WSL и новый Intelligent Terminal, передающий контекст ИИ-агенту.

Отдельно показали платформу Project Solara для устройств, которые работают на ИИ‑агентах. Microsoft показала два референс‑дизайна (настольный хаб с распознаванием лица и носимый бейдж с камерой и расшифровкой разговоров).

🟡Облако и инфраструктура

Анонсировали виртуальные машины Azure Cobalt 200 сказали о приросте производительности на 50%), ускоритель второго поколения Maia 200, базу данных Azure HorizonDB (https://techcommunity.microsoft.com/blog/adforpostgresql/azure-horizondb-enterprise-ready-postgres-engineered-for-the-ai-era/4524094) на основе PostgreSQL, а также Foundry Local на Azure Local для развёртывания суверенного ИИ.

🟡Квантовые вычисления и медицина

Спустя год после чипа Majorana 1 Наделла представил Majorana 2 (https://quantum.microsoft.com/en-us/insights/blogs/majorana-2-scalable-quantum-processor) - следующее поколение, компания заявляет о кубитах примерно в 1000 раз точнее за счёт нового материала на основе свинца и о цели создать квантовый компьютер к 2029 году.

На второй, заключительный день конференции, ожидаются технические сессии и демонстрации по агентам, Copilot, Azure Foundry и локальному ИИ в Wind

Пишу про ИИ у себя в тг, заходите будет интересно!

Теги:
Всего голосов 3: ↑1 и ↓2-1
Комментарии0

Почему в крипте появились wETH, stETH, WBTC, cbBTC и десятки других странных тикеров

Большинство людей впервые сталкиваются с этим во время использования DeFi. Пользователь приходит обменять ETH, а вместо привычного ETH видит wETH. Потом встречает stETH, rETH, cbBTC, tBTC, aUSDC и ещё десяток похожих активов.

В этот момент возникает логичный вопрос: если у нас уже есть Bitcoin и Ethereum, зачем индустрия постоянно создаёт их новые версии?

На самом деле за большинством таких тикеров скрываются не новые монеты, а новые функции.

Одним из первых массовых примеров стал wETH - Wrapped Ether. Проблема заключалась в том, что нативный ETH исторически не соответствовал стандарту ERC-20, на котором построено большинство DeFi-протоколов. Поэтому появился wETH: тот же самый ETH, но в форме токена, с которым удобно работать внутри экосистемы Ethereum. По сути это один и тот же актив, но в другой "упаковке".

Похожая история произошла с Bitcoin. Сам Bitcoin существует в своей собственной сети и не может напрямую использоваться в большинстве приложений Ethereum. Так появились WBTC, cbBTC и tBTC - токенизированные версии Bitcoin, которые позволяют использовать ликвидность BTC в DeFi-протоколах, пулах ликвидности и кредитных сервисах.

Позже индустрия столкнулась с другой задачей - стейкингом. Пользователь хотел получать доходность от ETH, но при этом не терять доступ к своим средствам. Так появились stETH, rETH, cbETH, eETH и другие liquid staking токены. Они представляют собой застейканный актив и одновременно позволяют продолжать использовать его в других протоколах.

Следующий слой - кредитные платформы. Когда пользователь кладёт USDC в Aave, он получает aUSDC. Когда размещает средства в Compound - получает cUSDC. Эти токены фактически становятся цифровой распиской, которая подтверждает право требования к депозиту и накопленным процентам.

Есть и ещё более экзотические категории. Например, sUSD и sBTC - синтетические активы, которые пытаются повторять стоимость оригинального актива без необходимости владеть им напрямую. А veCRV, vlCVX или xSUSHI появились как элементы систем управления протоколами и распределения вознаграждений.

В итоге большинство странных приставок в крипте обычно сводятся всего к нескольким категориям:

  • w — wrapped активы

  • st, r, e — liquid staking

  • a, c — депозитные токены кредитных протоколов

  • s — синтетические активы

  • ve, vl, x — governance и voting-механики

Самое интересное, что для новичка все эти тикеры выглядят как бесконечный хаос. Но если посмотреть глубже, становится понятно: индустрия не создаёт сотни новых монет. Она создаёт новые формы представления уже существующих активов.

Именно поэтому один и тот же Ethereum сегодня может существовать одновременно как ETH, wETH, stETH, rETH, cbETH или eETH. Снаружи это выглядит как зоопарк тикеров. Внутри - как попытка решить разные инфраструктурные задачи одной и той же экосистемы.

Теги:
Всего голосов 2: ↑2 и ↓0+4
Комментарии1

Awesome AI Security Tools

В ходе обсуждений автотриажа Nuclei и других средств анализа защищенности родилась идея собрать в кучу все интересное про AI Cybersecurity. Сказанно #ёПРСТ - сделано!

https://github.com/scadastrangelove/awesome-ai-security-tools

Подборка общедоступных, исследовательских и коммерческих инструментов для обеспечения безопасности ИИ и кибербезопасности с использованием ИИ: автоматическая сортировка угроз, безопасность агентов, цепочка поставок ИИ/машинного обучения, агенты для пентеста, SAST ИИ, фаззинг на основе LLM, анализ угроз, сортировка угроз SOC/SIEM, обратное проектирование, редтим LLM и многое другое.

PS. Набор ключевых слов

  • Autotriage of Security Findings

  • AI Agent & Coding-Agent Security

  • Scanners & Auditors

  • Frameworks, Rule Standards & Benchmarks

  • Runtime Protection & Enforcement

  • AI/ML Supply Chain & Model Security

  • Pentest & Red-Team Agents

  • AI-Powered SAST & Secure Code Review

  • LLM-Driven Fuzzing

  • Harness / target generation

  • Fuzzing the LLM

  • Threat Intelligence

  • Log Analysis / SIEM / SOC Triage

  • Reverse Engineering

  • LLM Red-Teaming & Guardrails

  • Scanners, Evals & Guardrails

  • Prompt-Injection Classifier Models

  • LLM Honeypots & Deception

  • CTF / Exploit / Bug-Bounty Agents & Benchmarks

  • Cloud / IaC / DFIR / OSINT / Phishing

Теги:
Всего голосов 3: ↑2 и ↓1+3
Комментарии0

Ближайшие события

Anthropic дал пол года миру на перестройку процессов кибербезопасности

Anthropic обновила свою статью по проекту Glasswing. Glasswing - это проект предварительного доступа к передовой модели Mythos недоступной в общем доступе. Указано расширение объема пилота на 150 новых организации. Обещано расширение программы на 15 стран. Ранее официальный доступ к Mythos был только у организаций в США, что вызывало негатив у других стран.

Не могу не процитировать ключевой, как мне кажется, абзац: “Mythos Preview continues a long-term trend that we’ve been warning about for some time: within 6 to 12 months, we expect that many other AI companies will have Mythos-class models, and they could release them without safeguards that prevent misuse. In that world, cyberattacks could occur much more often, and in much more unpredictable forms. It’s imperative that cyberdefenders adapt to maintain pace.”

Т.е. по оценке Anthropic в период от 6 до 12 месяцев могут появится модели аналогичные по своим возможностям Mythos, но не обязательно, что с таким же щепетильным подходом к безопасности как у Anthropic.

Нужно учитывать, что параллельно днем ранее появилась новость о подаче Антропик “конфиденциальной” заявки на IPO.

Теги:
Всего голосов 3: ↑2 и ↓1+3
Комментарии0

Два режима зарубежных счетов в соответствии с зачисляемым доходом по разным типам контрактов

Я регулярно направляю письменные запросы на разъяснения законодательства в федеральные органы исполнительной власти, даже по очевидным и вполне понятным вопросам.

Так получается подтвердить, что мое понимание норм закона и подход со стороны государства к их исполнению синхронизированы.

В начале года я разбирался с подходом ФНС к администрированию постановки на учет ВЭД-контрактов на оказание услуг нерезидентам на учет, с последующим прохождением валютного контроля.

Попутно получил напоминание от ФНС о двух режимах зарубежных счетов с точки зрения валютного законодательства РФ.

При использовании зарубежных счетов человек, который проживает 183 и более дней на 31 декабря в РФ, должен помнить, что валютное законодательство РФ разделяет цели использования зарубежного счета на личные, не связанные с предпринимательской деятельностью, и предпринимательские цели.

Если человек использует зарубежные счета как личные — у человека нет статуса ИП в РФ или зарубежный доход не связан с деятельностью ИП в РФ, а также если зачисляемый на зарубежные счета доход связан с исполнением трудового договора, дивидендами от своего КИК или еще с каким-либо пассивным доходом, — то все такие счета раскрываются как личные.

Отчетность по ним простая, ежегодная, без приложения подтверждающих документов.

А вот если человек зачисляет на зарубежные счета доход, связанный с предпринимательской деятельностью — то есть по основаниям сервисного, консультационного или иного контракта с нерезидентом, такие счета ФНС будет рассматривать как предпринимательские.

Если заказчиков-нерезидентов несколько, зачисления валюты систематические, в РФ нужен статус ИП, а для небольших доходов можно регистрироваться как самозанятый (НПД), но тут все индивидуально — чтобы как минимум не получить претензии уголовного характера за незаконную предпринимательскую деятельность, а заодно оптимизировать налог в РФ с зарубежного дохода.

Отдельно напоминаю: статус ИП за рубежом, например в Армении, Грузии, Кыргызстане не имеет значения для отчетности в РФ.

Соответственно сколько счетов в зарубежном банке привязано к такому ИП тоже не интересует ФНС.

Для отчетности играют роль только те зарубежные счета, на которые зачисляется доход от нерезидентов в соответствии с типом и валютой контракта, так как остальные счета квалифицируются как личные.

Файл на трех страницах, даже в формате JPG к посту прикрепить не смог, дает только одно фото. Ответ можно прочитать в моем TG, внимание! ссылка на TG за пределы habra.

Если вам нужна помощь с настройкой или аудитом текущей схемы получения зарубежного дохода, его совмещением с российским доходом или легализацией российского дохода за рубежом — пишите мне.

Теги:
Всего голосов 12: ↑9 и ↓3+6
Комментарии0

Сколько кибербезников нужно компании

Наткнулся на неплохую и бесплатную аналитику от Гартнер . В частности данные по штатным единица КБ как функции от ИТ по секторам экономики. И мнению по количеству КБ специалистов как доли от количества работников в компании в целом.

"Midsize enterprises (<1,000 employees): Start with one to three specialists.
Large enterprises (≥1,000 and <10,000 employees): Expand to four to 15 roles.
Extra-large enterprises (≥10,000 and <50,000 employees): Grow to 15 to 50 professionals.
Extra-extra-large enterprises (≥50,000 employees): From 50+ roles, add specialized functions as complexity grows."

Отличная стартовая статья для использования среди прочих материалов при аудите и обоснования штатных единиц Кибербезопасности.

Теги:
Всего голосов 1: ↑1 и ↓0+3
Комментарии0

AGI близко. Технологии уже развились так сильно, что Claude Code, словно закалённый нереалистичными дедлайнами и сомнительным менеджментом офисный работяга, делает десяти-пятнадцатиминутные перекуры по несколько раз в день.

Теги:
Всего голосов 4: ↑4 и ↓0+6
Комментарии0

Новая программа поддержки стартапов

Привет, Хабр! Мы обновили программу поддержки, в которой предоставляем гранты на облачную инфраструктуру, инструменты для совместной работы команд и продвижение цифровых продуктов

Как получить грант? 

Если коротко, то принять участие в нашей программе поддержки стартапов и технологических команд. 

А теперь подробнее 

Заявку могут подать стартапы на любой стадии — от MVP до готового продукта с пользователями.  Победители получают возможность запускать, масштабировать и продвигать цифровые сервисы практически без затрат на старте. 

Мы полностью компенсируем расходы на первый и второй месяцы работы с облачными сервисами VK Cloud — до 500 000 рублей. С третьего по шестой месяц участники программы получают ресурсы облака с грантовой поддержкой до 1 500 000 рублей. 

Специальные условия также распространяются на цифровую среду для совместной работы команд VK WorkSpace и инструменты VK Рекламы для привлечения пользователей и запуска рекламных кампаний. Это позволяет стартапам сосредоточиться на проверке гипотез, запуске и развитии продукта. 

Оставьте заявку на участие

Теги:
Всего голосов 2: ↑1 и ↓1+2
Комментарии0

Сауна после тренировки полезна?

Получен ответ на один из самых часто задаваемых вопросов: можно ли ходить в сауну после тренировки?

Кто-то любит, но переживает о вреде после тренировки. Кто-то не любит, но думает «а вдруг надо?».

Холодовая терапия  ухудшает адаптацию после тренировки, что напрямую сказывается на результат. Холод замедляет иммунную реакцию в ответ на стресс и замедляет процессы восстановления. А если наоборот, мышцы нагреть?

Новый систематический обзор и метаанализ показал, что вероятность того, что тепловая терапия способствует гипертрофии мышц, составляет 90 %, хотя средний эффект был небольшим.

Тепло может усилить кровоток и активировать белки теплового шока, что способствует ускорению мышечной адаптации после тренировки.

И хотя цифра в 90% может показаться впечатляющей, в целом доказательная база оказалась слабой: всего 6 исследований, а в заключении указано скромное «имеются некоторые данные, свидетельствующие о незначительном эффекте в пользу тепловой терапии».

Теперь обсудим несколько дополнительных параметров, так как в нашей культуре парение широко распространено и то, что для одних «сауна», для других просто «комната, в которой забыли убавить батарею».

В 5 из 6 исследований, включенных в анализ, температура сауны не превышала 50º, в основном была 40º, а в одном лишь 39,3º (шта?).

Длительность парения не превышала 20 минут в одном из исследований, в остальных составляла от 10 до 15 минут.

Только в одном исследовании использовалась сауна с температурой 100º и 40 минутами парения. И если разложить результаты исследований по отдельности, то именно в этом исследовании результат был вообще нулевым. Что наводит на мысль – агрессивное парение уже ничему положительному не способствует. Небольшое смещение в сторону «пользы» было только в остальных исследованиях с невысокими температурами и короткой длительностью. Но и справедливости ради отмечу, что в исследовании с «нормальной сауной» был использован биоимпеданс в качестве определения состава тела, который дает приличную погрешность. В то время как в остальных использовался стандарт — DXA и МТР сканирование.

Так что легкая сауна после тренировки — вполне себе решение. Но учитывая такой скромный, почти нулевой эффект, это точно не то, что с уверенностью можно прописать, как обязательный ритуал после силовой тренировки.

Если вам нравится, это может стать приятным дополнением и наградой за завершенную тренировку, что может помочь в закреплении привычки, как мы не так давно обсуждали.

Если не нравится, тогда просто собираете вещи и идете домой.

Теги:
Всего голосов 4: ↑2 и ↓20
Комментарии1

Мир бизнеса в очередной раз ускорился. Чем пожертвовали?

Очевидно, что если происходит резкий скачок в какой-то сфере, то дальше должен быть период коррекции (адаптация участников рынка к новому тренду). Трендовый импульс всегда чем-то компенсируется.

В нашем случае компенсация происходит за счёт того, что качество продуктов сильно проседает. Всё, что генерируется нейросетями сегодня, — абсолютно не годится для слепого выпуска в бой. Люди, которые раньше писали статьи, код, технические задания, рисовали дизайны, графику, — они всё ещё остались. Но их количество сократилось в десятки, если не в сотни тысяч раз. А большинство заняты проверкой того, что генерирует ИИ. Это и есть узкое горлышко бизнеса.

Среднестатистический сотрудник любой диджитал-профессии сегодня использует ИИ для задач, которые раньше делал сам. А теперь только перечитывает портянки отчётов об изменениях, просит от 2 до 20 (в лучшем случае) раз исправить результат, настраивает агентов. Ловит расфокус, когда нейронка исправляет сильно больше, чем требовалось. Пропускает дюжину контента не самого лучшего качества через свой мозг ежедневно. В общем, делает то, что на практике на самом деле понижает эффективность.

Например, в исследовании METR open-source разработчики ожидали, что ИИ ускорит их примерно на 24%. А по факту задачи заняли на 19% больше времени. После эксперимента участники всё равно продолжали считать, что ИИ их ускорил.

Мне это кажется особенно интересным: когда мы меньше печатаем руками и быстрее получаем что-то полуготовое, очень легко решить, что работа в целом ускорилась. Это выглядит примерно так же, как школьник, который учится программировать, — ему проще сидеть выделять код мышкой, жмакать контекстное меню, копировать и вставлять, чем написать "print" своими руками. Хотя первые действия занимают в 3–4 раза больше времени.

Фактически скорость и правда увеличилась, только это скорость работы мозга людей, проверяющих сгенерированный контент. Конечно, у этого есть побочные эффекты.

Более подробный оригинальнал статьи опубликован в блоге: https://www.ytdev.me/essays/The-Risks-of-AI-Implementation-in-Business-Why-Efficiency-May-Be-an-Illusion

Теги:
Всего голосов 4: ↑2 и ↓20
Комментарии1