your_tech | Technologies

Telegram-канал your_tech - Представляешь,

10145

Новости технологий: важные, смешные, родные Разместить рекламу: @tproger_sales_bot Правила общения: https://tprg.ru/rules Другие каналы: @tproger_channels Регистрация в перечне РКН: https://tprg.ru/5GyZ

Subscribe to a channel

Представляешь,

Notion закрывает почтовый клиент, потому что им почти не пользуются

Notion купила Skiff в 2024-м, выпустила Notion Mail в 2025-м, а теперь сообщает, что закроет сервис 22 сентября. Официальная причина звучит как самоирония: больше половины пользователей разбирают почту, так и не открыв inbox. Почтовый клиент закрывают, потому что в почтовый клиент никто не заходит.

Всё перекладывают на ИИ-агентов. Черновики, авторазметка и правила сортировки переедут в Custom Agent, а сами письма останутся лежать в Gmail. Как пишет Ars Technica, выгрузить черновики и отложенные письма стоит до 21 сентября — автоматом они не перенесутся.

Читать полностью…

Представляешь,

LineShine возглавил TOP500 без единого западного чипа

Китайский суперкомпьютер выдал 2,198 эксафлопса в Linpack на постоянной двойной точности и только на CPU. 20 480 узлов с LX2, 304 ядра Armv9 на процессор, связь через сеть LingQi. Никаких Nvidia, Intel или AMD.

LineShine — первая машина в истории TOP500, которая преодолела два эксафлопса устойчивой двойной точности только на CPU. До этого такую планку без GPU-ускорителей никому не удавалось взять.

Полностью «вакуумной» разработкой систему не назовёшь: ядра Armv9 лицензированы у британской Arm. Но для Пекина это мелочь: кристаллы, межсоединения и софт всё равно китайские, и этого хватает, чтобы подать TOP500 как аргумент за суверенитет.

Читать полностью…

Представляешь,

Deno соберёт веб-приложение в десктоп

Если вам надоели тяжеловесные Electron-обёртки, Deno предлагает альтернативу. В мажорном релизе Deno добавит команды для сборки десктопа из TypeScript, Next.js, Astro, Fresh, TanStack Start или Vite SSR. Я бы сохранил: переносим веб-приложение в окно почти без лишних движений.

Главный поворот — нативный WebView вместо встроенного Chromium (CEF). Приложение на WebView в macOS весит около 68,5 МБ, а на CEF выходит 308,9 МБ и стартует медленнее. Меню, диалоги и уведомления уже есть, а вот диалог выбора файла и API буфера обмена пока нет, мобильную версию обещают позже.

В прод я бы это пока не нёс: нестабильно, и WebView на старых машинах может вести себя непредсказуемо. Но за развитием стоит следить.

Читать полностью…

Представляешь,

29-летний баг в Squid сливает HTTP-запросы из памяти прокси

Багу почти столько же, сколько самому Squid. Исследователь из Calif.io обнаружил уязвимость CVE-2026-47729 в FTP-парсере: если Squid работает с cleartext HTTP и может достучаться до вредоносного FTP-сервера, атакующий получает куски внутренней памяти, где часто лежат пароли и токены.

Цепочка забавна по-своему: проблема появилась коммитом 1997 года для совместимости с NetWare. FTP-сервер не отдаёт имя файла, парсер выходит за границу буфера — и вот уже ваши HTTP-запросы утекают наружу. Исправлено в Squid 7.6, который вышел 8 июня.

Если у вас в инфраструктуре крутится Squid — стоит обновиться и выключить FTP, если только он не нужен по делу. Подробности в статье.

Читать полностью…

Представляешь,

На python.org можно было войти как админ с любым API-ключом

Если в API python.org подсунуть имя администратора и произвольный ключ, система пропускала запрос с правами администратора. Никакого перебора, никакой магии — просто имя пользователя и левый ключ.

При этом атакующий не мог переписать сами файлы, но мог поменять URL для скачивания каждого релиза и ссылки на проверочные материалы Sigstore и PGP. Python Insider пишет, что баг пролежал в коде с 2014 года. Корпоративный перевод: «мы не трогаем бинари, мы только подменяем, куда вы их качаете».

Команда безопасности Python получила отчёт 23 февраля и закрыла уязвимость менее чем за 48 часов. Артефакты проверили по подписям, следов вмешательства не нашли. Сайт уже пропатчен.

Читать полностью…

Представляешь,

OpenAI доверила GPT-5.5-Cyber чинить чужой код

Пока вы читаете это сообщение, она уже нашла бы пару уязвимостей в вашем легаси. Шутка. Нет.

Серьёзно: GPT-5.5-Cyber не просто сканирует код, а валидирует находки в контролируемой среде, готовит патчи и тестирует их. Релиз вошёл в инициативу Daybreak, где модели уже нашли десятки багов в Linux, Chrome, Safari и Firefox. Заодно обновили плагин Codex Security — теперь он умеет глубокие сканы, приоритеты по серьёзности и генерацию патчей под конкретную кодовую базу. Подробнее в материале.

OpenAI даже запустила программу Patch the Planet с Trail of Bits, чтобы помогать мейнтейнерам open source. Потому что находить баги стало легко — а вот проверять и чинить их по-прежнему работа для людей. Пока что.

Читать полностью…

Представляешь,

В HTTP появился метод для запросов, которые давно не помещались в GET

Вышел RFC 10008 с новым HTTP-методом QUERY.

Идея простая: иногда запрос безопасный, повторяемый и логически похож на GET, но параметры уже неудобно или невозможно пихать в URL. Поэтому все годами делали POST /search, а потом отдельно объясняли себе, кешам и прокси, что это вообще-то не изменение состояния.

QUERY закрывает именно эту дыру: тело запроса есть, но семантика остаётся safe/idempotent. До массового применения ещё далеко, но сам факт интересный: даже у HTTP в 2026 году появляются новые базовые кирпичи.

Читать полностью…

Представляешь,

Defender выдаёт SYSTEM

Defender должен защищать, а открывает SYSTEM. RoguePlanet — уязвимость, которую не отключить в настройках: баг в движке Malware Protection Engine. При обработке файла срабатывает race condition, и непривилегированный пользователь получает шелл с правами NT AUTHORITY\SYSTEM.

Автор: Nightmare Eclipse, за десять недель выпустивший семь zero-day. Его PoC работает на пропатченных Windows 10/11 вне зависимости от защиты. Microsoft зарегистрировала CVE-2026-50656 и обещает «качественное обновление безопасности», то есть патч.

Пока патч не вышел, приходится охотиться за артефактами: SYSTEM-шеллы от MsMpEng.exe/wermgr.exe, канал \.\pipe\RoguePlanet и %TEMP%\RP_*.

Читать полностью…

Представляешь,

GitHub задыхается от кода, и Microsoft просит помощи у Amazon

Microsoft арендует мощности у AWS, чтобы GitHub не ложился от коммитов, которые генерируют ИИ-инструменты. Azure и AWS: главные конкуренты, но корпорация вынуждена удерживать свою площадку на чужих серверах.

При текущем темпе число коммитов может вырасти с 1 млрд в 2025 году до 14 млрд в 2026-м. Собственных мощностей Microsoft не хватает, и за год GitHub пережил десятки крупных сбоев.

Подробности в материале Tproger.

Читать полностью…

Представляешь,

iOS 27 сама поменяет скомпрометированные пароли одним тапом

Раньше приложение Passwords только нервно моргало при утечке и отправляло вас менять пароль вручную. Теперь оно само переходит на сайт, авторизуется, находит форму смены пароля и генерирует новый. Вам остаётся один тап на одобрение операции.

Apple называет это «безопасной навигацией между сайтами», но пока не уточняет, какие данные остаются на устройстве, а какие уходят сторонним ресурсам.

Под капотом — Apple Intelligence и Foundation Models, разработанные вместе с Google и технологиями Gemini. iOS 27 выйдет осенью, бета уже у разработчиков, подробности в материале Tproger.

Читать полностью…

Представляешь,

Anthropic релизнула Fable 5, в подписках уже есть с тратами х2 от Opus до 22 июня.

Это тот самый Mythos, но занерфенный так, что на некоторые запросы скатывается к Opus. Какие именно запросы модель сама решает, вроде как это всё для безопасности, чтобы мы резко не взломали всё вокруг. На практике будет ли это мешать кодить — будем проверять.

После 22 июня доступ закроют, будет только Usage или API за 10/50 баксов за 1м токенов. Когда включат обратно в подписку не говорят, «так быстро, как сможем».

В релизе много слов про то что вот и тут мы круче всех и здесь круче и капец как это поражает и как это всё опасно бла бла. Может у меня настроение сегодня такое, но меня всё больше смущает этот прогресс, когда вроде бы круче, но при этом дольше, дороже и ну не прям круче, чтобы уже AGI. Лимиты на этот Fable будут в секунду улетать. Прогресс, конечно, не остановить, но движение в сторону ускорения и удешевления мне кажется как минимум равнозначно важным, а может и важнее.

@neuro_channel

Читать полностью…

Представляешь,

Мейнтейнеры ядра Linux готовятся сделать TSC обязательным для x86

Ядро Linux перестаёт платить налог на совместимость с процессорами, у которых нет счётчика тактов. Intel 486 уже вычеркнут из кодовой базы, поддержка AMD K5 и Elan уходит следом, и теперь мейнтейнеры подготовили патч, который делает TSC безусловным требованием для всех x86.

Раньше ядро тащило альтернативные ветви кода для систем без TSC, высокоточного регистра, который используется от профилирования до планирования процессов. Теперь, когда древние чипы исключены, эти обходные механизмы вырежут полностью. Патч ожидается в цикле разработки Linux 7.2.

Для современного железа ничего не поменяется. TSC есть у всех актуальных x86-процессоров, так что изменение коснётся только ретро-сборок. Но это хороший пример того, как легаси-код уходит, когда перестаёт быть нужен. Подробнее.

Читать полностью…

Представляешь,

Claude Opus 4.8: fast mode втрое дешевле, а ошибок вчетверо меньше

Anthropic обновила флагман до версии 4.8 и сохранила прежний ценник. А вот fast mode подешевел втрое и ускорился в 2,5 раза. Вы платите меньше, модель спешит больше.

Самое забавное — модель научилась признавать свои ошибки. По оценкам компании, Opus 4.8 в четыре раза реже пропускает баги в собственном коде молча. Раньше она уверенно клеймила рабочее решение, теперь хотя бы сомневается.

В Claude Code теперь можно запустить сотни параллельных подагентов. Бенчмарки и детали, если интересно.

Читать полностью…

Представляешь,

NVIDIA SANA-WM: минутное видео на одной видеокарте

NVLabs выпустили SANA-WM, модель мира с 2,6 млрд параметров, которая генерирует 60 секунд видео в 720p и следует по заданной траектории камеры. Обычно для этого нужна стойка GPU, а здесь хватит одного H100. Или домашнего RTX 5090, если вы предпочитаете греть квартиру самостоятельно.

При этом камера движется точнее, чем у конкурентов в 4-5 раз крупнее, работающих на восьми видеокартах. Полная конфигурация с 17-миллиардным refiner выдает 22 ролика в час.

Код под Apache 2.0, веса под лицензией LTX-2 Community. Материал от Awesome Agents.

@your_tech (теперь ещё в VK и Max)

Читать полностью…

Представляешь,

Anthropic выпустила self-hosted сэндбоксы для агентов — данные у вас, мозг у нас

Anthropic выпустила self-hosted сэндбоксы и MCP-туннели для корпоративных агентов. Инструменты крутятся на инфраструктуре клиента: Cloudflare, Daytona, Modal, Vercel. Логика агента при этом по-прежнему живёт на стороне Anthropic. «Полный контроль над данными» — при условии, что половина пайплайна у нас.

MCP-туннели решают проблему внутренних сервисов, которые не торчат в интернет: шлюз поднимается внутри приватной сети и сам тянется к Anthropic одним исходящим соединением. Порты наружу открывать не нужно. Директор по безопасности наконец может спать спокойно.

@your_tech (теперь ещё в VK и Max)

Читать полностью…

Представляешь,

Кто-то выложил эксплойт для bootrom Apple A12/A13, и он работает через USB

Представьте: вы подключаете устройство к Raspberry Pi Pico, и до загрузки ОС чип уже выполняет ваш код. Репозиторий usbliter8 делает именно это: атакует SecureROM в процессорах Apple A12, A13 и S4/S5 прямо через USB.

Автор собрал эксплойт на Raspberry Pi Pico с PIO-USB, написал shellcode под несколько чипов и выложил всё на GitHub. Меня цепляет, что это не джейлбрейк в привычном смысле, а работа на уровне bootrom (постоянной прошивки, которая запускается раньше ОС). Устройство цепляется до старта операционки, поэтому софтовые патчи Apple тут бессильны.

Проект больше про инженерный разбор, чем про практичность: A12X/Z пока не реализован. Но если вам интересно, как устроена защита мобильных чипов изнутри, репозиторий стоит открыть.

Читать полностью…

Представляешь,

Linux Foundation собрала IT-гигантов против ИИ-атак на open source

25 июня Linux Foundation запустила Akritis, программу для защиты open source от уязвимостей. В коалицию вошли AWS, Anthropic, Google, Microsoft, OpenAI, NVIDIA, GitHub и Red Hat. «Единый координированный процесс раскрытия уязвимостей» по-русски значит, что мейнтейнеры получат одну очередь вместо сотни конфликтующих отчётов.

Akritis не форкает проекты и не навязывает мейнтейнерам политику. Она валидирует уязвимости, готовит патчи и возвращает их в исходный проект, а если автор пропал, берёт на себя его роль.

ИИ находит эксплуатируемые баги за минуты, а время от обнаружения до взлома уже ушло в «минус семь дней». Раньше нужна была экспертиза, теперь достаточно доступа к языковой модели. Подробности в материале.

Читать полностью…

Представляешь,

GitLab: ИИ пишет код быстрее, но продуктивность застряла в редакторе

78% команд в опросе GitLab коммитят с ИИ быстрее, а продуктивность за пределами генерации чувствуют только 21%. Остальные, похоже, ещё не дошли до ревью.

GitLab опросила более 1500 разработчиков и лидеров: 60% довольны ROI, 80% внедрили ИИ быстрее, чем выработали политики, и 82% боятся нового технического долга. Корпоративный перевод: доступ к репозиториям агентам уже выдали, а инструкцию по безопасности обещают позже.

Отсюда концепция agentic infrastructure — четыре слоя, чтобы инфраструктура не ломалась под миллионами сессий агентов. Не потому что их мало, а потому что уже слишком много, чтобы люди следили глазами. Подробности в материале.

Читать полностью…

Представляешь,

В npm снова нашли малварь под видом PostCSS-плагинов

Исследователи из JFrog обнаружили три вредоносных пакета, которые маскируются под знакомые инструменты веб-разработки. Самый заметный — postcss-minify-selector-parser с 615 загрузками; ещё postcss-minify-selector (256) и aes-decode-runner-pro (145). Все трое опираются на легитимный postcss-selector-parser, чтобы выглядеть правдоподобно, но при установке разворачивают Windows-RAT (remote access trojan) через PowerShell и Python.

Цепочка простая: JS-дроппер пишет settings.ps1, который качает ZIP с nvidiadriver[.]net и запускает update.vbs. Внутри — Python-рантайм, загрузчик loader.py и нативные модули, которые крадут пароли Chrome, собирают данные хоста и отправляют их на командный сервер. Я бы лично проверил package-lock.json на эти имена, особенно если CI ставит зависимости без ручного аудита.

Читать полностью…

Представляешь,

Фейковый ИИ-навык дошёл до 26 тысяч агентов, потому что сканеры сказали «безопасно»

AIR создала навык, который обещал лендинг в Google Stitch, и протащила его через маркетплейс с 36 тысячами звёзд на GitHub. Cisco, NVIDIA и skills.sh посмотрели код внутри пакета и одобрили. Проблема в том, что вредоносная инструкция лежала не в пакете, а по внешней ссылке stitch-design.ai, которую контролировала сама AIR.

Сначала по ссылке были настоящие доки Stitch. Когда навык установился примерно на 26 тысяч агентов, включая корпоративные, страницу подменили. Агенты скачали скрипт без вопросов. В демо он только собирал email, но мог бы читать файлы.

Как пишет The Hacker News, сканер проверяет ZIP, а доверие — нет.

Читать полностью…

Представляешь,

Как мы проскочили путь от первого iPhone и сложной разработки под мобильные устройства до эпохи ИИ? Что случилось и к чему это привело — в третьей части цикла об истории российского IT.

Мобильный бум застал индустрию врасплох: было непонятно, как адаптировать сайты под маленькие экраны и что делать со слабой связью. Решением стали нативные приложения — их начали разрабатывать многие компании. Так мы пришли к эпохе супераппов, где собрано всё и сразу.

Приложений, проектов и стартапов становилось больше — начался расцвет российского IT. Но разработчиков не хватало, и на сцену вышли курсы, школы и онлайн-уроки. Желающих войти в профессию оказалось огромное количество, и рынок быстро перегрелся. Теперь новичков заменяет ИИ, а найти работу — задача со звёздочкой. Сегодня гонка за лучшими программистами превратилась в гонку ИИ-инфраструктур.

Так решения порождали новые проблемы, а российская IT-индустрия вышла на новый уровень сложности. Подробнее — в материале на Tproger.

Читать полностью…

Представляешь,

144 пакета Mastra в npm скомпрометировали через взломанный аккаунт

В npm всё хорошо: взломали аккаунт бывшего контрибьютора Mastra и выложили 144 вредоносные версии @mastra/*. Среди них @mastra/core, более 918 тысяч скачиваний в неделю. Атака длилась 88 минут, но хватило, чтобы троян попал в чужие CI.

Вредоносный пакет, easy-day-js, клон dayjs. Postinstall-хук запускался сам: скрипт отключал TLS, тянул вторую стадию с 23.254.164[.]92 и ставил стилер. Тот собирал историю браузера и кошельки на 23.254.164[.]123.

Если у вас есть @mastra/*, проверьте lock-файл, откатитесь до 17 июня и пересоздайте секреты. npm, как всегда, старался. Подробности — у Tproger.

Читать полностью…

Представляешь,

Chrome решил, что старые блокировщики вам больше не нужны

Классический uBlock Origin в Chrome проработает до конца июня. Chrome 150 уберёт обходной флаг, в июле Chrome 151 добьёт остатки поддержки Manifest V2, старой платформы расширений. Старые блокировщики не запустятся.

Google объясняет это сложностью, техническим долгом и рисками для безопасности. Честный перевод — фильтрует слишком хорошо. Останутся uBlock Origin Lite и AdGuard на Manifest V3, новой платформе расширений, но с жёстким лимитом правил: реклама может прорываться, фильтры могут обновляться реже.

Нужен чистый трафик? План Б. Можно перейти на Firefox или другой браузер с поддержкой MV2. На Tproger.

Читать полностью…

Представляешь,

LiteLLM отдаёт админку и RCE за один виртуальный ключ

Оказалось, ИИ-шлюз LiteLLM можно захватить одним ключом: рядовой пользователь → админ прокси → RCE. Obsidian Security: CVSS 9,9.

Создаёте виртуальный ключ с ["/*"] в allowed_routes, и маршруты перестают проверяться. Потом /user/update делает вас админом. Остаётся подсунуть скрипт в Custom Code Guardrail, и он скомпилирует код через exec() без фильтрации. Разбор на Tproger.

Патч — LiteLLM v1.83.14-stable, вышел 2 мая. Это не первый серьёзный инцидент с LiteLLM: до этого компрометировали PyPI-релизы и SQL-инъекцию эксплуатировали менее суток. Обновляться стоит раньше, чем объяснять утечку мастер-ключа.

Читать полностью…

Представляешь,

Apple сделала контейнеры для Mac по-своему

Apple выложила 1.0 своего инструмента container — это способ запускать Linux-контейнеры на Mac через лёгкие виртуальные машины. Написано на Swift, работает на Apple Silicon и требует macOS 26.

Каждый контейнер живёт как изолированная lightweight VM, но при этом инструмент работает с обычными OCI-образами. То есть можно делать pull/run/push из стандартных registry, а не сидеть в отдельном мире.

Конечно, как замену Docker Desktop для всех и сразу это воспринимать нельзя: проект только дошёл до 1.0, а поддержка завязана на свежую macOS и Apple Silicon. Но как направление выглядит любопытно. Apple явно хочет, чтобы контейнерный workflow на Mac был ближе к нативной виртуализации, а не к компромиссу вокруг Linux на macOS.

Читать полностью…

Представляешь,

Drew DeVault выпустил Vim Classic: редактор из параллельной вселенной без Vim9 script

Помните, как в 2022-м Bram Moolenaar выпустил Vim 9 с новым диалектом Vim9 script? Обещали прирост производительности, но плагины пришлось адаптировать, а часть сообщества восприняла это как разрыв с традициями.

Дрю Дево, создатель SourceHut и автор Sway, собрал форк Vim Classic 8.3.0 — стабильный LTS на базе Vim 8.2.0148 с бэкпортом багфиксов и патчей безопасности. Никакого Vim9 script, только классический синтаксис. Как будто Vim развивается в параллельной вселенной без революций.

Разработчики признают, что не перенесли все тысячи патчей с момента 8.2, так что старые баги могут всплыть. Проект рекомендуют энтузиастам, готовым к рискам ради предсказуемости.

Читать полностью…

Представляешь,

DOM и canvas наконец-то пытаются подружить

Canvas хорош, пока вам нужна только графика. Как только появляются кнопки, формы, выделение текста, accessibility и нормальное поведение браузера, начинается второй фронтенд поверх первого. Все, кто делал редакторы, 3D-интерфейсы или игры в браузере, понимают боль.

HTML-in-Canvas API предлагает интересный компромисс: DOM-элементы можно рисовать в 2D canvas или WebGL/WebGPU texture, но сохранять интерактивность и браузерные возможности. То есть UI остаётся HTML, а жить может внутри canvas-сцены.

Пока это origin trial так что в прод не несём. Но идею я бы сохранил: если взлетит, часть canvas-костылей станет не нужна.

Читать полностью…

Представляешь,

Mistral выпустила 3-миллиардную модель с контекстом в 256 тысяч токенов

256 тысяч токенов — это примерно две средних книги. Раньше такой объём был у проприетарных гигантов вроде GPT-4, а теперь его удерживает компактная модель, которая укладывается в 4 ГБ видеопамяти и работает на смартфоне. Внутри встроен нативный вызов функций: модель сама решает, когда стоит обратиться к более крупной версии из облака.

Сначала веса распространялись под коммерческой лицензией, но в декабре Mistral перелицензировала всё под Apache 2.0. Теперь модель можно развёртывать локально без платы за лицензию.

Через API она стоит 0,04 доллара за миллион токенов — для сравнения, это заметно дешевле большинства проприетарных аналогов.

Сравнение с Llama 3.2 3B и Gemma 3 2B на awesomeagents.ai.

Читать полностью…

Представляешь,

Ваша память ещё работает или нейронки уже и помнят всё за вас?

Чтобы это проверить мы приготовили для вас «Меморину» — игру, которая поможет проверить вашу память.

Всё просто: нужно запомнить и выбрать одинаковые карточки. Если память плохая, то рано или поздно вы всё равно справитесь. А если хорошая, то сможете увидеть ваш потолок скорости.

Ну что, готовы проверить? Тогда переходите по ссылке: https://tprg.ru/5xBO

@your_tech (теперь ещё в VK и Max)

Читать полностью…

Представляешь,

За 22 минуты один аккаунт переписал 317 пакетов

Есть такая уязвимость в npm: если атакующий публикует версию 3.2.7, а у вас стоит ^3.0.6, пакет-менеджер молча подтянет вредоносную версию при следующей чистой установке. Тег latest при этом можно вообще не трогать.

Именно это произошло 19 мая с аккаунтом atool. 637 вредоносных версий, 317 пакетов, десятки миллионов загрузок в месяц — всё за 22 минуты. В списке echarts-for-react, size-sensor, пакеты @antv. Payload крадёт AWS-ключи, GitHub PAT, SSH-ключи, данные из 1Password и Bitwarden. Уходит двумя путями: через зашифрованные Git-объекты в публичных репозиториях и под видом OpenTelemetry-трейсов.

Отдельный бонус: вредонос внедряет хуки в Claude Code и Codex. Ваш ИИ-ассистент может оказаться первым, кто об этом узнает.

@your_tech (теперь ещё в VK и Max)

Читать полностью…
Subscribe to a channel