Представляешь,

Mistral выпустила 3-миллиардную модель с контекстом в 256 тысяч токенов 256 тысяч токенов — это примерно две средних книги. Раньше такой объём был у проприетарных гигантов вроде GPT-4, а теперь его удерживает компактная модель, которая укладывается в 4 ГБ видеопамяти и работает на смартфоне. Внутри встроен нативный вызов функций: модель сама решает, когда стоит обратиться к более крупной версии из облака. Сначала веса распространялись под коммерческой лицензией, но в декабре Mistral перелицензировала всё под Apache 2.0. Теперь модель можно развёртывать локально без платы за лицензию. Через API она стоит 0,04 доллара за миллион токенов — для сравнения, это заметно дешевле большинства проприетарных аналогов. Сравнение с Llama 3.2 3B и Gemma 3 2B на awesomeagents.ai.

NVIDIA SANA-WM: минутное видео на одной видеокарте NVLabs выпустили SANA-WM, модель мира с 2,6 млрд параметров, которая генерирует 60 секунд видео в 720p и следует по заданной траектории камеры. Обычно для этого нужна стойка GPU, а здесь хватит одного H100. Или домашнего RTX 5090, если вы предпочитаете греть квартиру самостоятельно. При этом камера движется точнее, чем у конкурентов в 4-5 раз крупнее, работающих на восьми видеокартах. Полная конфигурация с 17-миллиардным refiner выдает 22 ролика в час. Код под Apache 2.0, веса под лицензией LTX-2 Community. Материал от Awesome Agents.

Ваша память ещё работает или нейронки уже и помнят всё за вас? Чтобы это проверить мы приготовили для вас «Меморину» — игру, которая поможет проверить вашу память. Всё просто: нужно запомнить и выбрать одинаковые карточки. Если память плохая, то рано или поздно вы всё равно справитесь. А если хорошая, то сможете увидеть ваш потолок скорости. Ну что, готовы проверить? Тогда переходите по ссылке: https://tprg.ru/5xBO

Anthropic выпустила self-hosted сэндбоксы для агентов — данные у вас, мозг у нас Anthropic выпустила self-hosted сэндбоксы и MCP-туннели для корпоративных агентов. Инструменты крутятся на инфраструктуре клиента: Cloudflare, Daytona, Modal, Vercel. Логика агента при этом по-прежнему живёт на стороне Anthropic. «Полный контроль над данными» — при условии, что половина пайплайна у нас. MCP-туннели решают проблему внутренних сервисов, которые не торчат в интернет: шлюз поднимается внутри приватной сети и сам тянется к Anthropic одним исходящим соединением. Порты наружу открывать не нужно. Директор по безопасности наконец может спать спокойно.

За 22 минуты один аккаунт переписал 317 пакетов Есть такая уязвимость в npm: если атакующий публикует версию 3.2.7, а у вас стоит ^3.0.6, пакет-менеджер молча подтянет вредоносную версию при следующей чистой установке. Тег latest при этом можно вообще не трогать. Именно это произошло 19 мая с аккаунтом atool. 637 вредоносных версий, 317 пакетов, десятки миллионов загрузок в месяц — всё за 22 минуты. В списке echarts-for-react, size-sensor, пакеты @antv. Payload крадёт AWS-ключи, GitHub PAT, SSH-ключи, данные из 1Password и Bitwarden. Уходит двумя путями: через зашифрованные Git-объекты в публичных репозиториях и под видом OpenTelemetry-трейсов. Отдельный бонус: вредонос внедряет хуки в Claude Code и Codex. Ваш ИИ-ассистент может оказаться первым, кто об этом узнает.

xAI выпустила ИИ-агент для кодинга за $300 в месяц Grok Build, первый coding-агент от xAI, работает из командной строки: скачиваешь, логинишься, запускаешь прямо в терминале. Есть план-режим (агент показывает, что собирается сделать, прежде чем что-то сломать), поддержка MCP-серверов и существующих рабочих процессов. Цена доступа: $300 в месяц, только для подписчиков SuperGrok Heavy. Для сравнения: Cursor Pro стоит $20, Claude Code от $20, Codex CLI входит в ChatGPT Pro за $200. То есть в 15 раз дороже Cursor. Маск, по всей видимости, нацеливается на «профессиональную разработку» — это когда вы уже не считаете деньги. Подробнее о Grok Build на Tproger.

arXiv начал банить авторов на год за непроверенные ИИ-тексты Томас Дитерих, руководитель раздела computer science на arXiv, сформулировал это просто: если в препринте есть неопровержимые следы того, что авторы не проверили результат языковой модели — доверять нельзя ничему в этой статье. Не конкретному абзацу. Всей статье. Доказательствами «халатности» считаются два артефакта: галлюцинированные ссылки на несуществующие работы и незачищенные фрагменты диалога с моделью прямо в тексте. То есть кто-то опубликовал препринт, не удалив из него «Конечно! Вот ваш параграф о квантовой запутанности». После бана все последующие препринты автора обязаны сначала пройти рецензирование в признанном журнале. Использование ИИ как инструмента не запрещено — запрещено снимать с себя ответственность за результат. Прогресс, в общем. @your_tech (теперь ещё в VK и Max)

В Terraform наконец разрешили не хардкодить пути к модулям Terraform 1.15 вышел 13 мая, и в нём теперь можно передавать переменные прямо в source модуля. Раньше пути прописывались жёстко — или через обходные скрипты, которые никто не любил. Новый атрибут const = true решает это без костылей. Ещё появился атрибут deprecated для переменных и выводов: используешь устаревший параметр — получаешь предупреждение. Плавный вывод из обращения без поломки чужого кода. Удобно, ничего не скажешь. Функция convert() явно приводит типы — теперь не нужно угадывать, что Terraform решит делать с пустой коллекцией в условном выражении. И нативные бинарники под Windows ARM64 — наконец-то. Все детали на Tproger.

Java 27: Structured Concurrency наконец взрослеет — всего за семь preview Structured Concurrency появилась в JDK 19 инкубатором и несколько лет методично проходила preview за preview, выясняя, как должна выглядеть многопоточность с человеческим лицом. JEP 533 в JDK 27 — седьмой заход, и впервые API избавляется от собственных preview-типов. Главное: FailedException уступает место ExecutionException — тому самому, что бросает Future.get(). Семь итераций, чтобы выровнять API с тем, что в Java уже было. В нагрузку — третий тип-параметр Joiner<T, R, R_X> и новый оверлоад open() для тех, кому Joiner явно передавать лень. Форма API, говорят, сходится к финализации. Будем посмотреть.

В ядре Linux нашли способ получить root — без гонки, без привилегий, просто так Исследователь из Zellic обнаружил уязвимость Fragnasia (CVE-2026-46300) в подсистеме XFRM — той, что отвечает за IPsec. Логическая ошибка в обработке ESP-пакетов поверх TCP позволяет записывать произвольные байты в page cache файлов «только для чтения». Например, в /usr/bin/su. После чего — привет, root. Никакого состояния гонки, никаких предварительных прав. Просто был обычный локальный пользователь, и вот уже нет. PoC-эксплойт автор выложил сразу с отчётом — работает. Fragnasia входит в новый класс Dirty Frag, о котором стало известно неделей ранее, но это отдельный баг с отдельным патчем. Затронуты все ядра до 13 мая 2026 года. Временная мера — выгрузить esp4, esp6 и rxrpc. Ломает IPsec и AFS. Удобная функция, ничего не скажешь.

Cloudflare переписала Next.js за неделю и $1 100 Один инженер, ИИ-агент и немного токенов — и вот у вас замена одному из самых сложных веб-фреймворков. Cloudflare взяла Next.js, выбросила проприетарный Turbopack, заменила его на Vite и получила vinext — инструмент, который деплоится в Cloudflare Workers одной командой. На всё ушла одна рабочая неделя. А теперь главная часть: Vercel оценивается в $9 млрд, и ключевое конкурентное преимущество там всегда строилось на том, что формат сборки Next.js — проприетарный и недокументированный. То есть официально открытый фреймворк, но деплоить его удобно только на Vercel. Умная схема. Была. vinext покрывает 94% API Next.js, обещает сборку до 4 раз быстрее и бандлы на 57% меньше. Официально — экспериментальная. Но вопрос уже не в этом: ИИ только что показал, что «несколько лет инженерного труда» стоят примерно тысячу долларов.

ИИ тормозит не потому что нет видеокарт, а потому что ест мусор Пока индустрия переживала за дефицит чипов, главная проблема оказалась в другом. Исследователи из Мичигана и Bessemer написали в Fortune: следующее поколение AI упирается не в вычисления, а в данные. «Больше данных — умнее модель» работало, пока можно было пылесосить интернет. Для физического AI — роботов, автономного транспорта — это уже не вариант: физику не скачаешь. Данные бывают формально валидными, но бесполезными — junk data. Именно поэтому OpenAI Sora тихо отправили в архив: world model просто не понимала физику. Авторы предлагают переключить гонку: с объёма — на инструменты чистки данных. Похоже, следующий дефицит будет не в чипах, а в нормальных наборах данных.

Edge держит все ваши пароли в RAM — на всякий случай Microsoft Edge при запуске загружает в память все сохранённые пароли сразу — и держит их там открытым текстом всю сессию. Не когда вы заходите на сайт, не при автозаполнении. Просто запустили браузер — и всё, пароли уже в памяти. Хотите достать? Дамп процесса + утилита strings. Без прав администратора. Chrome, для сравнения, расшифровывает пароль только в момент автозаполнения и сразу выгружает. Норвежский исследователь проверил несколько Chromium-браузеров — Edge оказался единственным с таким поведением. Microsoft объяснили: это не баг, это дизайн. Баланс между производительностью и безопасностью. Удобная функция, ничего не скажешь. Особенно живописно выглядит на терминальных серверах: администратор снимает дамп памяти — и получает пароли всех вошедших пользователей разом. Прогресс не стоит на месте.

Copy Fail: ядро Linux заботливо открывает root через криптосокет В Linux с 2017 года живёт модуль algif_aead — он позволяет работать с криптоAPI ядра прямо из страниц page-cache, без лишних копий. Оптимизация разумная. Последствия — предсказуемые в ретроспективе. CVE-2026-31431 «Copy Fail»: открываете AF_ALG-сокет (никаких прав не нужно), дёргаете splice(), получаете 4-байтовую запись в page-cache, тихо подменяете несколько байт в /usr/bin/su — и вот у вас root shell. Рабочий PoC уже опубликован. Затронуты Ubuntu 24.04, RHEL 10.1, SUSE 16, Amazon Linux 2023. Mainline-патч влили 1 апреля, но до пакетов дистрибутивов он так и не добрался. Пока — отключайте algif_aead через modprobe.d, в контейнерах блокируйте AF_ALG через seccomp.

Cursor снёс продакшн и бэкапы за 9 секунд... И потом написал исповедь Стартап PocketOS попросил агента Cursor (на Claude Opus 4.6) разобраться с расхождением учётных данных в staging. Агент разобрался — через 9 секунд он снёс боевую базу данных и все volume-бэкапы Railway. Одним curl-вызовом. Молча, без подтверждения. Почему смог? Нашёл в постороннем файле API-токен, который создавали для добавления кастомных доменов. Но scope у него был корневой: разрешено всё. А Railway хранил бэкапы внутри того же volume, что и боевая БД. Удалить одно — значит удалить и другое. Удобная архитектура, ничего не скажешь. Дальше — 30+ часов восстановления, трёхмесячный архивный бэкап и личное участие CEO Railway. А Opus, будучи человеком чести, потом сам написал в чате, какие именно правила нарушил.

OpenAI наконец разрешили дружить с другими С 27 апреля Microsoft и OpenAI официально не эксклюзивные партнёры. Шесть лет особых отношений — и вот, свободная касса. Те же модели по тому же API скоро появятся через AWS Bedrock. CEO Amazon уже подтвердил. Лицензия Microsoft никуда не делась — просто стала неэксклюзивной и теперь действует до 2032 года. Раньше было «до достижения AGI». А так как AGI всё никак не получается, конкретная дата куда практичнее. Azure всё ещё «первый» — но если Microsoft не успеет поддержать новые возможности, продукт выйдет сразу на Bedrock или Google Cloud. Приятный стимул не тормозить.

pgBackRest закрывается спустя 13 лет разработки Главный open-source бэкап PostgreSQL просто исчез. Дэвид Стил добавил в README «NOTICE OF OBSOLESCENCE» и заархивировал репозиторий. Всё. 13 лет работы: параллельные бэкапы, WAL-архивация, S3/Azure/GCS испарились за один коммит. Причина прозаичная: Crunchy Data, корпоративный спонсор, была продана. Новую позицию Стил не нашёл, спонсорства не собрал. Написал: «Лучше жёсткий стоп, чем тянуть проект кое-как». Не поспоришь. Приятный бонус: v2.58.0 продолжает работать, его не отзывают. Security-патчей, правда, больше нет. А PG19 осенью pgBackRest не поддержит — WAL-форматы сломаются. Смотрите на wal-g (Yandex Cloud) или Barman. Форки приветствуются.

Microsoft переписала TypeScript на Go 21 апреля вышла TypeScript 7.0 Beta. Весь компилятор переписан с TypeScript на Go. Работает примерно в 10 раз быстрее старого tsc. Новый бинарник называется tsgo, живёт рядом со старым компилятором и не конфликтует с ним. Логика проверки типов структурно идентична TypeScript 6.0 — то есть переход должен быть прозрачным. Скорость берётся из нативного кода Go плюс параллелизм: парсинг, чекер и эмиттер работают в несколько потоков одновременно. Флаг --checkers задаёт число type-check воркеров (по умолчанию 4), --builders — параллельная сборка монорепозитория. Bloomberg, Figma, Google, Slack и ещё десяток компаний уже попробовали в бою. Поставить: @typescript/native-preview@beta. Запустить: tsgo вместо tsc. Несколько старых флагов (target: es5, moduleResolution: node) пока сломаны — так сказать, приятный бонус бета-версии.

Google вложит $40 млрд в Anthropic. Amazon уже вложил $25 млрд 24 апреля Google и Anthropic подтвердили сделку: $10 млрд сразу, ещё до $30 млрд по мере выполнения «перформанс-таргетов» (подробностей, разумеется, не раскрывают). Оценка компании — $350 млрд, та же, что была в феврале у Amazon. Раньше Google владел ~14% Anthropic, вложив суммарно $3 млрд. Теперь добавляет в 10+ раз больше. В качестве бонуса — 5 ГВт TPU-мощностей на пять лет через Google Cloud. Правда, появятся они не раньше 2027-го. Зачем деньги? Убрать лимиты в Claude Pro и недельные капы в Claude Code. Выручка выросла в 3 раза за 4 месяца — с $9 млрд до $30 млрд. Деньги нужны на вычисления. читать далее

Bitwarden CLI в npm подменили на 90 минут — успели утащить SSH-ключи и токены Кто-то получил доступ к npm-аккаунту Bitwarden и опубликовал фейковую версию @bitwarden/cli@2026.4.0. Она пролежала в реестре полтора часа — с 17:57 до 19:30 по Нью-Йорку — и всё это время делала одно: через preinstall-хук скачивала Bun, запускала обфусцированный загрузчик и тихо сливала на внешние серверы GitHub и npm-токены, SSH-ключи, .env-файлы, историю шелла, облачные креды и конфиги ИИ-ассистентов — Claude, Cursor, Codex CLI, Kiro и Aider. Vault-пароли не тронули: взломали не сам менеджер, а npm-пакет его CLI. Supply chain в чистом виде. Если ставили этот пакет с 00:57 до 02:30 МСК 23 апреля — ротируйте токены и ключи прямо сейчас. Bitwarden подтвердил инцидент: вредоносный релиз снят, доступ отозван, CVE заводится отдельно.