243
Все подряд публикации с habr.com
Как я нашёл уязвимость в ядре Linux при помощи модели o3
В этом посте я расскажу, как нашёл уязвимость нулевого дня в ядре Linux при помощи модели OpenAI o3. Уязвимость обнаружилась благодаря одному лишь API o3 — не потребовались никакая дополнительная настройка, агентские фреймворки и инструменты.
Недавно я занимался аудитом уязвимостей ksmbd. ksmbd — это «сервер ядра Linux, реализующий в пространстве ядра протокол SMB3 для передачи файлов по сети». Я приступил к этому проекту специально для того, чтобы взять отдых от разработки связанных с LLM инструментов, но после релиза o3 не мог избежать искушения и не использовать в качестве небольшого бенчмарка способностей o3 баги, найденные мной в ksmbd. В одном из следующих постов я расскажу о показателях o3 при обнаружении всех этих багов, а сегодня мы поговорим о том, как в процессе моего бенчмаркинга o3 обнаружила уязвимость нулевого дня. Найденной уязвимости присвоили обозначение CVE-2025-37899 (её патч выложен на Github), это use-after-free в обработчике…
Подключите домены в Selectel с кешбэком 100%
Сервис по регистрации уже доступен в панели управления — вы можете создавать новые домены, а также переносить и продлевать действующие.
В Великобритании коровам надевают GPS-ошейники с подачей электрических импульсов для защиты животных от падения в реку
В Великобритании коровам начали надевать GPS-ошейники на солнечных батареях. Устройства издают пронзительный звук, когда животное движется к реке. Если корова не разворачивается, ошейник подаёт слабый электрический импульс.
ОТП Банк поддерживает социальную кампанию «Родительская дорога»
ОТП Банк присоединяется к социальной кампании «Родительская дорога» благотворительной организации «Детские деревни SOS», которая пройдёт с 26 мая по 10 июня. Акция приурочена к Международному дню защиты детей 1 июня и направлена на предотвращение разлучения детей с родителями в сложных жизненных ситуациях.
По статистике 7 из 10 детей, оказавшихся в детских домах, могли бы остаться в родных семьях, если бы их родителям вовремя оказали поддержку. Потеря работы, жилья, болезни или семейные конфликты — всё это может привести к распаду семьи. Уже 19 лет «Детские деревни SOS» помогают родителям преодолевать кризисы, сохраняя семьи для детей. Благодаря этой работе более 28 000 детей избежали расставания с близкими.
Синтез речи ◍ 2025: топ-4 бесплатных нейросетей для озвучки текста
Искусственный интеллект давно перестал быть набором скучных алгоритмов. Это и художник, который рисует словами, и переводчик, что ломает языковые барьеры, и музыкант, играющий на голосовых нотах. Но есть у него ещё одно дело, в котором он преуспел, — синтез речи.
Но всё ли так гладко?
Просто тараторить текст — мало. Настоящий голос должен видеть запятые, чувствовать паузы, играть интонациями и уметь погружать. Он должен звучать не как робот, а как рассказчик с характером. С душой — насколько это вообще возможно для машины.
Поэтому мы устроим кастинг четырём нейросетям. Послушаем, как они звучат, как держат паузы, как справляются с эмоциями. И главное — попробуем понять: насколько близко они подошли к имитации живого рассказчика.
А чтобы было интересно, мы вдохновились атмосферой «Хоббита». Интересно, смогла бы нейросеть рассказать о приключениях лучше самого Бильбо Бэггинса?
Сегодня алгоритмы получат Толкина, омографы, арабский язык — и…
Шестой фестиваль IT и спорта RUNIT пройдет в Мещерском парке
13 июля в Мещерском парке, в Москве, состоится шестой фестиваль RUNIT — масштабное событие на стыке спорта, технологий и городского отдыха. Кроме масштабного забега айтишников организаторы подготовили большую программу настоящего летнего open air.
Настройка ToolChain-a для программирования MCU FlagChip FC7300F8MDT
FC7300F8MDT - это микроконтроллер компании FlagChip as FlagShip.
В этом тексте я показал, как можно запрограммировать микроконтроллер FC7300F8MDT, буквально на пустом компьютере.
Как приручить Горыныча: русская high availability с тремя головами
В одном царстве, в одном хостинг-государстве жил-был сказочный Змей Горыныч. Он был трёхголовым, распределённым и главное отказоустойчивым. Конечно, иногда из-за синхронизации подлагивал, но в целом был зверем, которых на свете мало…
Охранял он, как и положено, всякие ценности. То жар-птицу (high-value asset), то царевну (уникальный бизнес-процесс), а иногда просто всё по периметру выжигал огнём, чтобы в прод лишний никто не сунулся.
Он не был злодеем, просто его так собрали по SLA: доступность — 99,99%, задержка — в пределах 200 мс, а восстановление — автоматическое. Богатыря Горыныч не боялся, потому что он для него не герой, а unplanned human intervention — угроза стабильности.
Давайте разберёмся, что за монстр этот Змей.
АКИ анонсировало серию бесплатных образовательных онлайн-вебинаров «Защити свое творчество»
Агентство креативных индустрий Москвы (АКИ) запускает серию бесплатных онлайн‑вебинаров «Защити свое творчество». Вебинары помогут творческим предпринимателям узнать больше о защите интеллектуальной собственности.
Таймер Помодоро — это обман? Работает ли метод, который все знают, но никто не использует
Вы ставите таймер на 25 минут, делаете перерыв и уверены, что стали продуктивнее. А что если это не так? Изучаем, что говорят реальные исследования.
iPhones.ru: ГКРЧ одобрила работу чипа Apple U1 в РФ
Государственная комиссия по радиочастотам разрешила работу чипа Apple U1 в России, пишет iPhone.ru. Американская компания начала оснащать UWB-чипом продукцию с iPhone 11, также его используют смарт-метки AirTag, наушники AirPods и колонки HomePod.
Автоматизируем обновление образов с Copacetic
По данным отчета «Cloud-Native Security & Usage 2024», 8.2% контейнерных образов, используемых в production-средах, содержат высокие или критические уязвимости в пакетах, для которых уже доступны исправления. Используя некоторые уязвимости, злоумышленники могут выполнять произвольный код, получать доступ к секретам, повышать свои привилегии внутри контейнера, а затем и на хосте.
Поэтому безопасное и своевременное обновление компонентов контейнерных образов — ключевой этап в жизненном цикле конвейера CI/CD. Мы различными подходами регулярно обновляем контейнерные образы, используемые в нашем продукте Apsafe — платформе непрерывного анализа защищенности приложений. Далее я расскажу подробнее про один из подходов обновления образов, позволяющий автоматизировать данный процесс с использованием инструмента Copacetic.
На PHDays Fest более 40 стран обсудили идею кооперации в ИБ
Этот PHDays Fest стал самым массовым за всю историю его проведения с 2011 года. За три дня фестиваль посетили более 150 000 человек, свыше 180 000 зрителей следили за событием онлайн. Техническая программа включала 26 треков по разным направлениям и 270 докладов, охватывающих ключевые вопросы ИБ. На фестивале выступили свыше 500 спикеров — от начинающих техноэнтузиастов до топовых специалистов, CIO и CISO крупных ИТ-компаний.
Как обеспечить безопасное цифровое будущее для всех, но при этом в каждой стране построить суверенную кибербезопасность? Как стать технологически независимыми и профессионально подготовленными, чтобы силами лишь своих специалистов по ИБ автономно и в любых обстоятельствах поддерживать киберустойчивость? Можно ли самим ковать высококвалифицированные кадры, воздерживаясь от взаимодействия с экспертами из других государств и флагманами мировой индустрии?
Это лишь малая толика вопросов, которые делегации из более 40 стран, в том…
Повышаем качество документации с помощью LLM
Привет, Хабр! Меня зовут Катя, я лидирую Gramax, open source-платформу для управления технической документацией.
О Gramax мы писали ранее тут. В этой статье расскажу о Gramax Check — сервисе для автоматических проверок текста на базе LLM. По сути — нашей версии «Главреда», но с настраиваемыми правилами.
Минцифры представило мобильное приложение «Госуслуги Моя школа» для школьников и родителей
27 мая 2025 года Минцифры представило мобильное приложение «Госуслуги Моя школа» для школьников и родителей. Проект позволяет получить доступ к школьному и личному расписанию, домашним заданиям, данным по успеваемости.
Начало пути в тысячу миль: от Ecxel до SSRS
Мне 25, последние несколько лет я работаю в аналитическом отделе одного из департаментов Правительства города Москвы. Занимаюсь сведением бесконечных таблиц с регулярной отчетностью и подготовкой презентаций на самые разнообразные сюжеты.
Назвать ту работу — работой мечты, сложно, как ни крути. Трудозатраты на сбор, обработку и визуализацию информации были так велики, что уход с работы в десять вечера был для меня настоящим праздником. Именно этот «спартанский» опыт вкупе с желанием доказать себе, что разобраться можно в чем угодно, побудил меня к изучению доселе неведомого для мира баз данных, языка запросов SQL, BI и ETL инструментов.
Как вы, возможно, уже поняли, в аналитику я попал не по зову сердца, а по воле случая. Хантер Томпсон внутри меня, конечно, предпочел бы писать колонки в модные журналы, вести собственный блог о литературе или теннисе, в который я играю с детства, ну или посвятить себя еще какой-то творческой ерундистике, окрыляющей не хуже Red…
Вебинары — как продавать экспертизу, услуги и даже товары, собирая людей в онлайне
• Как подготовить действительно хороший вебинар?
• Из чего он должен состоять?
• Как собрать на него аудиторию?
В этой статье я постарался интересно и вдумчиво раскрыть тему продаж через вебинары
Генеалогические деревья как визуальный язык истории
Генеалогическое древо — один из самых древних и устойчивых способов визуализации информации. Сначала — как символическое выражение божественного или королевского происхождения, позже — как аналитический инструмент для науки, политики, биологии, даже искусства. Дерево стало универсальной метафорой: и кровного родства, и интеллектуальной преемственности, и эволюции жизни.
Веб-аналитика и open source — какие есть решения
Обычно мы пишем о BI-платформах, которые дополняют облачную экосистему. Облако позволяет анализировать и безопасно хранить данные любого объёма, а также обучать ML-модели, управлять их жизненным циклом и проводить совместные эксперименты.
Сегодня расширим тему и подробнее затронем веб-аналитику. Open source-формат зачастую позволяет не только использовать, но и дорабатывать такие решения самостоятельно.
AI-агент говорит, что всё сделал. А ты уверен? Что нужно знать про оценку
Оценка AI-агентов — это процесс анализа и понимания того, насколько эффективно AI-агент выполняет задачи, принимает решения и взаимодействует с пользователями. В силу их автономной природы, качественная оценка агентов необходима для обеспечения их корректного функционирования. AI-агенты должны действовать в соответствии с замыслом разработчиков, быть эффективными и соответствовать определенным этическим принципам AI, чтобы удовлетворять потребности организации. Процесс оценки помогает удостовериться, что агенты соответствуют указанным требованиям.
Эксперты ГК «Солар» обнаружили ВПО WebRat, крадущее личные данные пользователей популярных видеоигр и пиратского ПО
Эксперты центра исследования киберугроз Solar 4RAYS группы компаний (ГК) «Солар» обнаружили новое вредоносное ПО Webrat. Вредонос следит за жертвами через экран рабочего стола или веб-камеру. Webrat крадёт данные в браузерах, криптокошельках, онлайн-магазинах игр и мессенджерах.
ВПО распространяется под видом читов для популярных видеоигр Rust, Counter Strike и Roblox. Также вредонос распространяется через различные программы. Webrat распространяется через комментарии к видеороликам на YouTube.
Криптовалютный мир на распутье: амбиции Трампа, риски трейдеров и квантовая угроза
Мир криптовалют бурлит событиями, демонстрируя как грандиозные финансовые амбиции, так и потенциальные технологические угрозы. Семья Дональда Трампа планирует привлечь до $3 млрд для инвестиций в криптовалюты, включая биткоин, что свидетельствует о растущем интересе к цифровым активам на самых высоких уровнях. Эти средства, привлекаемые через Trump Media & Technology Group (TMTG), которая стоит за приложением Truth Social, будут использованы для масштабных криптоинвестиций.1 Объявление об этом ожидается перед крупной встречей криптоинвесторов в Лас-Вегасе. Этот шаг вызывает опасения по поводу конфликта интересов, учитывая обещание Трампа сделать США «криптостолицей мира».
Две статьи из блога RUVDS одержали победу на конкурсе «Технотекст»
Подводить итоги всегда приятно, когда есть о чём рассказать. А нам приятнее сразу в два раза — ведь две статьи из нашего блога одержали победу на «Технотексте», ежегодном конкурсе технических статей, принять участие в котором может любой автор «Хабра».
Знакомьтесь, наши лауреаты:
· Статья «Я — робот Вертер» или Нулевой закон робототехники», завоевавшая победу в номинации «Маркетинг».
· Материал «Обнаружение SSH-туннелей по размеру пакетов», ставший лучшим в номинации «Системное администрирование».
Иногда приходится¹ копаться² в кишках³ Apache Spark
¹ …просто потому, что другого варианта добиться необходимого результата тупо не существует.
² и да, довольно-таки глубоко.
³ нет, серьёзно!
Давайте рассмотрим следующий бизнесовый кейс.
Дано: реально большие данные. Очень много датасетов по много терабайтов каждый, — в сумме объём тянет на петабайты. Лежат в облаке, но это не важно. Важно, что мы эти данные покупаем в «сыром» виде, каким-то образом «готовим», а потом перепродаём конечному потребителю.
Требуется: при подготовке каждого из датасетов разделить его согласно значениям одного или нескольких полей, составляющих его записи, на несколько. И это одна из особенно часто встречающихся в нашем процессе операций.
Довольно-таки сложный, продвинутый ETL у нас. Поясню на типичном примере.
Как вести внутреннюю документацию: с чего начать новичку
Привет, Хабр! Я Аля — старший продакт-менеджер выделенных серверов Selectel. Когда-то давно я думала: «Что такого сложного во внутренней документации? Почему столько проблем с тем, чтобы она была актуальной, полезной и легко поддерживаемой? Делов-то». Оказалось, не все так просто.
Книга: «Kotlin. Паттерны проектирования и лучшие практики, 3-е изд.»
Привет, Хаброжители!
Издательство Sprint book представляет третье издание книги «Kotlin. Паттерны проектирования и лучшие практики» от Алексея Сошина — опытного архитектора ПО и эксперта в Kotlin. Это руководство станет незаменимым помощником для разработчиков, которые хотят не только изучить классические и современные паттерны проектирования, но и научиться применять их в реальных проектах на Kotlin.
Книга охватывает все ключевые аспекты языка, начиная с базового синтаксиса и заканчивая продвинутыми концепциями, такими как структурированная конкурентность, контекстные приемники и реактивное программирование. Особое внимание уделено актуальным обновлениям Kotlin, включая версии 1.6 и 2.0, а также популярным библиотекам, таким как Arrow, Ktor и Vert.x.
Как работать с CAPY
Привет, Хабр! Я Данил Трещев, работаю в T-Банке в команде Spirit Compute, которая отвечает за runtime-инфраструктуру. Сегодня я хочу рассказать, как работать с Cluster API Provider Yandex (CAPY). Мы разработали собственное решение, которое позволяет разворачивать k8s-кластеры в инфраструктуре Yandex Cloud.
Разберем, как развернуть Management Cluster и Workload Cluster с помощью инструментов управления кластерами. Материал подходит для обучения и тестирования. Итоговое окружение не будет готово к продакшену — для этого понадобятся дополнительные настройки безопасности и отказоустойчивости.
Добро пожаловать под кат все, кому интересно познакомиться с темой!
Как мы год прожили с распределённой архитектурой и не сошли с ума
И снова здравствуйте! Меня по-прежнему зовут Александр Попов, и я всё ещё TechLead команды разработки маркетплейса 05.ru.
Я рад представить вам продолжение статьи о распределённой архитектуре нашего продукта. Предыдущая статья вышла около года назад, и за это время мы практически полностью перешли на новую архитектуру. Естественно, по пути столкнулись с проблемами, но в то же время получили неплохие бонусы. Вот об этом я и хотел бы рассказать.
Перед прочтением рекомендую ознакомиться с первой частью моего рассказа о новой архитектуре нашего продукта. Потому что велика вероятность встретить непонятные термины и описания незнакомых процессов.
Подготовка MiniOS для работы на Рутокен ЭЦП flash
Сказ о том как я подготавливал защищенную версию MiniOS для запуска с Rutoken ЭЦП 2.0 Flash и работы с электронной подписью
MiniOS — легкий модульный дистрибутив Linux на базе Debian, предназначенный для работы с USB-накопителями. Он предлагает формат модулей SB, которые позволяют пользователям настраивать и конфигурировать систему под свои нужды. Утилиты apt2sb и script2sb обеспечивают простую установку и управление пакетами, а также автоматизацию процессов, что значительно упрощает взаимодействие с дистрибутивом.
Кроме того, MiniOS поддерживает установку на диск в качестве основной системы что делает его идеальным для использования на различных устройствах включая с ограниченными ресурсами оборудования. Возможность сохранения данных и работы с read-only (RO) разделами позволяет обеспечить безопасность защищая ее от нежелательных изменений.
Для токенов существует РОСА Барий, однако бесплатная версия ограничена и не так интересна как платная ее версия,…
1 + 1 > 2
«То, как команда играет в целом, определяет её успех. У вас может быть самая лучшая в мире команда звёзд, но если они не будут играть вместе, клуб не будет стоить и гроша».
— Бейб Рут
«Если вы хотите идти быстро — идите в одиночку. Если хотите идти далеко — идите вместе».
— Африканская пословица
«Талант выигрывает игры, но команда выигрывает чемпионаты».
— Майкл Джордан
Командная работа — это тема, про которую вроде бы уже всё сказано. Но если бы это было так, мы бы не сталкивались снова и снова с одними и теми же граблями: перегретые сеньоры, выгоревшие тимлиды, нескончаемые фидбеки «не хватает взаимодействия» и «каждый сам по себе». Так почему же на практике всё ещё сложно осознать, что качество результата — это не про индивидуальный уровень, а про то, как люди вместе работают, слушают, дополняют и усиливают друг друга?
Меня зовут Яна, и у меня за плечами 13+ лет в ИТ, десятки проектов, международные операторы, интеграции, продуктовые команды, устройства, и сейчас — низкоорбитальная…