Kurgan-Telecom Ru | Информационные технологии

Сегодня я решил изучить новую библиотеку Cloudflare OAuth provider, которую, судя по заявлениям, почти полностью написали при помощи LLM Claude компании Anthropic:

Эта библиотека (в том числе и документация по схеме) была по большей мере написана при помощи Claude — ИИ-модели компании Anthropic. Результаты работы Claude были тщательно проверены инженерами Cloudflare, уделившим особое внимание безопасности и соответствию стандартам. В исходный результат было внесено множество улучшений, в основном тоже при помощи промптов Claude (и с проверкой результатов). Промпты модели Claude и созданный ею код можно посмотреть в истории коммитов.

[…]

Подчеркнём, что это не «вайб-кодинг». Каждая строка была тщательно проверена и согласована с соответствующими RFC специалистами в сфере безопасности, уже работавшими в этими RFC. Я пытался подтвердить свой скепсис, но оказалось, что я ошибался.

Я и сам в последнее время достаточно много писал подобным образом код при помощи «агентских» LLM. И я тоже специалист по OAuth: я написал API Security in Action, многие годы был членом OAuth Working Group в IETF и ранее работал техлидом, а затем архитектором безопасности в ведущем поставщике решений OAuth. (Также у меня есть степень PhD в сфере ИИ, полученная в группе изучения интеллектуальных агентов, но ещё до возникновения современного ажиотажа вокруг машинного обучения). Поэтому мне было очень любопытно, что же создала эта модель. И сегодня, сидя на паре совещаний, я решил изучить результаты. Дисклеймер: я лишь вкратце просмотрел код и нашёл несколько багов, а не выполнял полный анализ.

Читать далее

Привет, Хабр!

getopts — это встроенный в любой POSIX-совместимый Linux/Unix-shell мини-парсер аргументов. Один shebang — и у вас CLI-утилита без единой внешней зависимости. В статье рассмотрим, как выжать из getopts максимум, где он спотыкается и когда пора переехать на getopt или Argbash.

Читать далее

Привет, Хабр! Статья будет посвящена любимому мной IaC. Чтобы ввести в курс дела, кратко расскажу про VMmanager и текущую реализацию продукта. Затронем варианты, как можно работать с VMmanager с подходом Infrastructure as Code, а основная часть — про развертывание платформы VMmanager и управление виртуальными машинами в ней с помощью Ansible.

Читать далее

"Разум — самое важное явление во Вселенной; он способен выходить за границы физических законов и трансформировать мир. Человеческий разум позволил нам преодолеть ограничения нашей биологической природы и изменить самих себя."

— Рэй Курцвейл. «Эволюция разума».

Удивительный мир искусственного интеллекта может нам открыться в полной мере лишь тогда, когда мы с вами cможем увидеть положительные результаты его работы, особенно созданные при нашем непосредственном участии. Эти результаты должны быть понятны и объяснимы каждому человеку, а также они должны быть этичны, непредвзяты и не нарушать закон.

На сегодняшний день искусственный интеллект может делать многое, например: написать текст нового стихотворения или даже целого рассказа, воспроизвести его различными голосами знаменитых актеров или музыкантов, проанализировать большое количество числовых данных и составить прогноз на будущее, играть с нами или сразу с тысячью людей в компьютерные игры. Пожалуй, самое впечатляющее, на мой взгляд, то, что может делать искусственный интеллект сегодня – это создавать уникальные и невероятные изображения. Эти изображения могут быть воплощением трехмерного мира фантастического будущего в компьютерной игре или быть виртуальной симуляцией окружающего нас мира. Изображения могут быть трехмерными или двумерными, а также могут быть выполнены в различных стилях живописи знаменитых художников разных периодов времени. Но самое интересное то, что на этих изображениях могут появиться существа или предметы, не существующие в нашем мире.

Читать далее

Привет, Хабр! Меня зовут Людмила Королева, когда-то я работала аналитиком в банках, а нынче делаю авторские туры в Африку. По работе мне постоянно приходится отправлять деньги за границу, оплачивать отели, трансферы, билеты онлайн и оффлайн.

Прошлой осенью я уже давала подробную инструкцию, как оформить одну из самых популярных среди россиян карт Казахстана. К сожалению, с тех пор информация стала глубоко неактуальной, поэтому решила поделиться свежими данными.

Читать далее

Самые интересные новости финансов и технологий в России и мире за неделю: самый богатый в мире человек поругался с самым могущественным, в Гарварде обнаружили волчистых профессоров, «Леста Игры» национализировали, ЦБ опустил ставку, в Дании подняли пенсионный возраст, OpenAI запоминает ваши удаленные переписки, а также фильм про отставку Сэма Альтмана.

Читать далее

Команда Google Threat Intelligence на прошлой неделе опубликовала отчет о системных атаках на организации, целью которых является хищение данных из CRM-системы Salesforce. Важной особенностью атаки является использование так называемого vishing или голосового фишинга. Работает атака следующим образом: сотруднику компании звонят на мобильный телефон, представляются специалистом техподдержки и убеждают ввести в интерфейсе Salesforce код для авторизации стороннего приложения.



Приложение, доступ к которому открывает сотрудник компании, является модифицированной версией официальной утилиты Salesforce Data Loader, обеспечивающей возможность автоматизированной выгрузки информации. Данная тактика привела к целой серии успешных взломов с последующей кражей данных компаний.
Читать дальше →

«Базальт СПО» выпустила серверную операционную систему на Одиннадцатой платформе (p11 Salvia). Основные изменения коснулись установки и настройки. Впервые в одном образе доступны две редакции — «Альт Сервер» и «Альт Домен». В новом приложении «Альт Компоненты» автоматизирована установка инструментов для различных способов использования сервера.

Обновлены все ключевые составляющие, в том числе Samba 4.20, добавлена контейнеризация. Переход на актуальную криптографическую библиотеку OpenSSL 3.3 усилил защищенность системы.

Читать далее

Европа, спутник Юпитера, и Энцелад, спутник Сатурна, — два мира, скрывающих под своими ледяными оболочками жидкие океаны. Они, возможно, дадут нам ответ на вопрос о существовании жизни за пределами Земли. Чтобы исследовать спутники, NASA разрабатывает роботизированные системы, способные пробурить лед и добраться до воды.

Одна из них — робот для посадки на Европу, прототип которого уже прошел испытания на леднике Матануска на Аляске. Давайте разберем, как он устроен, какие вызовы стоят перед инженерами и почему этот проект может изменить наше представление о жизни во Вселенной. Поехали!

Читать далее

Локальный DeepSeek-R1-0528 на скромном железе? Реально. Со скоростью улитки? Первоначально – да. Но итог моего эксперимента: эту 'улитку' можно заставить работать вдвое быстрее.

Читать далее

На днях мы с моей коллегой, IT-рекрутером, решили провести эдакое расследование: собрать основные «боли» разработчиков на тему их взаимодействия с эйчарами.

Дело в том, что  IT-рекрутерам часто кажется, что они действуют в интересах кандидата. Мы пишем, звоним, объясняем, помогаем пройти этапы найма, передаём фидбэк. А потом вдруг видим в чате разработчиков обсуждение на тему:

«Очередной HR пишет в 10 вечера с “уникальной вакансией”, которую я уже видел трижды. Это вообще как?»

Оно как бы сразу обидно. Сначала. Но, проанализировав, начинаешь смотреть на процессы найма по-другому.

Мы решили системно подойти к вопросу и прошерстили десятки обсуждений в Telegram-чатах с участием разработчиков. Иногда было смешно. Иногда больно. Но главное — стало ясно: не всё так гладко, как казалось.

Собрали типичные комментарии, которые встречаются чаще всего.

- Про обратную связь:

«Прошёл три этапа собесов, трачу время — а потом просто тишина. Ни “нет”, ни “да”, ни “спасибо”».

-  Про шаблонность:

 «Читаю сообщение от эйчара, и уже на втором предложении понимаю, что это рассылка по шаблону. Даже имени моего нет».

- Про тестовые задания:

«У меня уже папка “бесплатно поработал” — туда складываю тестовые, которые сделал и не получил даже отказа».

- Про процессы:

«Такое ощущение,  вакансии пишут не люди, а ИИ: “команда мечты”, “гордимся корпоративной культурой культурой”, задолбали эти шаблоны!»

По данным Headhunter, potok.io, и ряда других источников, получается следующая картина:

- 75% кандидатов не получают обратной связи после отклика на вакансию;

Читать далее

За пять лет мы прошли путь от простой идеи до платформы с более чем 200 000 зарегистрированных пользователей, достигли выручки в 70 млн рублей, а затем упали до 10 млн.

Читать далее

Привет, Хабр! Я — Вера Осолодкина, аккаунт-директор в диджитал-продакшене Далее. Сегодня рассказываю о том, как удачно финалить проекты и спать себе спокойно, а еще делюсь своим чек-листом в конце статьи.  

Завершение проекта для менеджера — это не одномоментное действие, а комплексный процесс. И прежде чем ставить точку, хорошо бы убедиться, что задачи закрыты, документы подписаны, а команда и клиент остались в довольстве и добром здравии. 

Разберем, из чего состоит этот процесс.

Читать далее

Привет, Хабр! На связи команда PT Cyber Analytics. Мы взаимодействуем с этичными хакерами в различных red‑team‑проектах, реализуемых для наших заказчиков. Пока хакеры занимаются поиском уязвимых мест и различных недостатков в системах заказчиков, мы — аналитики — занимаемся комплексным анализом системы, оценкой уязвимостей и их последствий в контексте угрозы для заказчика, составляем список рекомендаций и мер и представляем все обнаруженное хакерами и проанализированное нами в форме понятных отчетов. В процессе работы над подобными проектами мы провели множество исследований инфраструктур и накопили знания о различных актуальных атаках — и хотим поделиться этими знаниями с экспертами или теми, кто просто заинтересован в информационной безопасности.

Свою статью мы бы хотели начать с обсуждения атак, наиболее часто проводимых в рамках внутренних пентестов. Основная цель внутренних пентестов — получение контроля над инфраструктурой заказчика. Поскольку большая часть компаний использует Active Directory для построения сетей, то цель обычно достигается путем получения учетной записи администратора домена (или другой учетной записи с аналогичными привилегиями). С такими правами потенциальный нарушитель может сделать практически все что угодно: добраться до любой важной информации, зашифровать данные, вывести критически значимые системы из строя и т. п. Таким образом, получения подобной учетной записи в большинстве случаев достаточно для окончания работ и подтверждения успешности взлома внутренней сети. Есть множество способов добиться этой цели, один из них, и достаточно популярный, — проведение атак на службу сертификации Active Directory (AD CS).

Читать далее

В России только что вступили в силу обновления федерального закона №152-ФЗ «О персональных данных». Изменения, по мнению тысяч предпринимателей, оказались не просто неожиданными — они парализуют работу малого и среднего бизнеса. Предприниматели массово признаются: им трудно выполнить требования Роскомнадзора, чтобы не попасть под штрафы в сотни тысяч и миллионы рублей.

«С 1 июня требования к сайтам ужесточились, и к нам начали поступать типовые запросы, — объясняет Владимир Кривов, эксперт в сфере веб-разработки и руководитель РОСТСАЙТ. — В первую очередь приходится настраивать логику обработки согласий: обязательные чекбоксы, сбор IP-адресов, дата-временные метки, блокировка кнопки отправки до получения согласия. Вторая часть — фильтрация внешнего кода: удаляем скрипты Google Fonts, YouTube, аналитики. Также отдельный блок — уведомление о cookie с активным подтверждением и логированием. Многие недооценивают, что даже одна недоработка в логике сайта может трактоваться как нарушение, особенно в части трансграничной передачи».

Читать далее

В Java существует две реализации интерфейса List: ArrayList и LinkedList. Какая из них лучше? Как выбрать подходящую для вашего приложения? В данной статье мы сравним их различия, производительность и потребление памяти, чтобы помочь вам определиться с выбором.

Читать далее

Поговорим об методике дообучения LLM… спортсменке, комсомолке и просто красавице - LoRA, которая если и не снимается в кино, то может сделать фильмы качественней и интереснее для зрителя. Исторические данные проката и состава творческих групп в перспективе позволяют работать с ансамблевыми моделями машинного обучения для прогнозирования сборов и просмотров в кино, и улучшать данные и путем их подбора «гиперпараметров» фильма.  Но для работы со смыслами, идеями и описаниями кинопроектов нужна более эффективная методика, позволяющая оценивать творческий замысел и основные идеи хотя бы на уровне аннотации – краткого синопсиса.  И здесь уже не обойтись без больших языковых моделей.

Читать далее

В большинстве случаев не существует простой программы удаления, которая удалит Ubuntu из двойной загрузки, если вы установили ее на свой раздел. Вместо этого вы должны вручную восстановление загрузчика Windows и удалите его разделы. Ниже перечислены шаги по удалению Ubuntu из двойной загрузки.

Шаг 1: Удаление раздела Linux в Windows.

1. Запустите Windows и введите diskmgmt.msc в диалоговое окно, нажав кнопку Windows+R. Он запустит Windows Он запустит Windows Disk Management.

Читать далее

В каждой области науки и техники есть свои провозвестники ее будущего, а если где-то их пока нет, не составляет большого труда их найти и объявить таковыми. Если речь идет об узких, профессиональных областях, то опередившие свое время провидцы в них хорошо известны специалистам со студенческой скамьи и мало кого интересуют за пределами этих областей. Никто всерьез не станет объявлять Леонардо да Винчи «отцом-основателем вертолетостроения», совсем иное дело, когда речь идет о предвидении, причем логически и научно строго аргументированном, того, что касается всех. Таких провидцев в истории науки и техники канонизируют, как когда-то канонизировали святых. 

Читать далее

Резервуарное сэмплирование — это методика выбора справедливого случайного образца, когда неизвестен размер множества, из которого выполняется выборка. К концу этой статьи вы будете знать:

• Когда может потребоваться резервуарное сэмплирование.

• Математика его работы на основании лишь базовых операций: вычитания, умножения, умножения и деления. Никаких сложных математических формул, обещаю.

• Простой способ реализации резервуарного сэмплирования на случай, если вам оно понадобится.

Читать далее