fa
Feedback
Представляешь,

Представляешь,

رفتن به کانال در Telegram

Новости технологий: важные, смешные, родные Разместить рекламу: @tproger_sales_bot Правила общения: https://tprg.ru/rules Другие каналы: @tproger_channels Регистрация в перечне РКН: https://tprg.ru/5GyZ

نمایش بیشتر
8 789
مشترکین
اطلاعاتی وجود ندارد24 ساعت
-237 روز
-7030 روز

در حال بارگیری داده...

جذب مشترکین
ژوئیه '26
ژوئیه '26
+26
در 4 کانال‌ها
ژوئن '26
+70
در 7 کانال‌ها
Get PRO
مه '26
+104
در 2 کانال‌ها
Get PRO
آوریل '26
+67
در 5 کانال‌ها
Get PRO
مارس '26
+93
در 4 کانال‌ها
Get PRO
فوریه '26
+101
در 23 کانال‌ها
Get PRO
ژانویه '26
+108
در 1 کانال‌ها
Get PRO
دسامبر '25
+52
در 4 کانال‌ها
Get PRO
نوامبر '25
+70
در 9 کانال‌ها
Get PRO
اکتبر '25
+62
در 5 کانال‌ها
Get PRO
سپتامبر '25
+140
در 6 کانال‌ها
Get PRO
اوت '25
+99
در 4 کانال‌ها
Get PRO
ژوئیه '25
+162
در 7 کانال‌ها
Get PRO
ژوئن '25
+134
در 11 کانال‌ها
Get PRO
مه '25
+62
در 7 کانال‌ها
Get PRO
آوریل '25
+93
در 6 کانال‌ها
Get PRO
مارس '25
+123
در 4 کانال‌ها
Get PRO
فوریه '25
+84
در 5 کانال‌ها
Get PRO
ژانویه '25
+50
در 1 کانال‌ها
Get PRO
دسامبر '24
+76
در 3 کانال‌ها
Get PRO
نوامبر '24
+34
در 4 کانال‌ها
Get PRO
اکتبر '24
+24
در 4 کانال‌ها
Get PRO
سپتامبر '24
+32
در 4 کانال‌ها
Get PRO
اوت '24
+30
در 5 کانال‌ها
Get PRO
ژوئیه '24
+25
در 3 کانال‌ها
Get PRO
ژوئن '24
+79
در 5 کانال‌ها
Get PRO
مه '24
+142
در 3 کانال‌ها
Get PRO
آوریل '24
+140
در 3 کانال‌ها
Get PRO
مارس '24
+142
در 6 کانال‌ها
Get PRO
فوریه '24
+161
در 5 کانال‌ها
Get PRO
ژانویه '24
+161
در 3 کانال‌ها
Get PRO
دسامبر '23
+83
در 8 کانال‌ها
Get PRO
نوامبر '23
+3 466
در 35 کانال‌ها
Get PRO
اکتبر '23
+233
در 5 کانال‌ها
Get PRO
سپتامبر '23
+326
در 0 کانال‌ها
Get PRO
اوت '23
+249
در 0 کانال‌ها
Get PRO
ژوئیه '23
+247
در 0 کانال‌ها
Get PRO
ژوئن '23
+266
در 0 کانال‌ها
Get PRO
مه '23
+276
در 0 کانال‌ها
Get PRO
آوریل '23
+338
در 0 کانال‌ها
Get PRO
مارس '23
+533
در 0 کانال‌ها
Get PRO
فوریه '23
+136
در 0 کانال‌ها
Get PRO
ژانویه '23
+238
در 0 کانال‌ها
Get PRO
دسامبر '22
+177
در 0 کانال‌ها
Get PRO
نوامبر '22
+95
در 0 کانال‌ها
Get PRO
اکتبر '22
+124
در 0 کانال‌ها
Get PRO
سپتامبر '22
+144
در 0 کانال‌ها
Get PRO
اوت '22
+212
در 0 کانال‌ها
Get PRO
ژوئیه '22
+186
در 0 کانال‌ها
Get PRO
ژوئن '22
+148
در 0 کانال‌ها
Get PRO
مه '22
+137
در 0 کانال‌ها
Get PRO
آوریل '22
+66
در 0 کانال‌ها
Get PRO
مارس '22
+51
در 0 کانال‌ها
Get PRO
فوریه '22
+116
در 0 کانال‌ها
Get PRO
ژانویه '22
+50
در 0 کانال‌ها
Get PRO
دسامبر '21
+52
در 0 کانال‌ها
Get PRO
نوامبر '21
+100
در 0 کانال‌ها
Get PRO
اکتبر '21
+232
در 0 کانال‌ها
Get PRO
سپتامبر '21
+200
در 0 کانال‌ها
Get PRO
اوت '21
+150
در 0 کانال‌ها
Get PRO
ژوئیه '21
+888
در 0 کانال‌ها
Get PRO
ژوئن '21
+154
در 0 کانال‌ها
Get PRO
مه '21
+67
در 0 کانال‌ها
Get PRO
آوریل '21
+115
در 0 کانال‌ها
Get PRO
مارس '21
+132
در 0 کانال‌ها
Get PRO
فوریه '21
+310
در 0 کانال‌ها
Get PRO
ژانویه '21
+280
در 0 کانال‌ها
Get PRO
دسامبر '20
+19 189
در 0 کانال‌ها
تاریخ
رشد مشترکین
اشارات
کانال‌ها
14 ژوئیه0
13 ژوئیه+2
12 ژوئیه+1
11 ژوئیه0
10 ژوئیه+5
09 ژوئیه+1
08 ژوئیه+1
07 ژوئیه+2
06 ژوئیه0
05 ژوئیه+1
04 ژوئیه+1
03 ژوئیه+5
02 ژوئیه+3
01 ژوئیه+4
پست‌های کانال
TypeScript 7 на Go: в 10 раз быстрее В новом релизе, который анонсировала Microsoft, компилятор TypeScript, годами живший на
TypeScript 7 на Go: в 10 раз быстрее В новом релизе, который анонсировала Microsoft, компилятор TypeScript, годами живший на JavaScript, теперь написан на Go. Причина — скорость: движок использует общую память и многопоточность и на полных сборках даёт прирост 8–12×. Перевод с корпоративного: «TypeScript стал ещё дружелюбнее к JS», а по-честному «JS не справлялся со скоростью проверки собственного типизированного слоя». Установить релиз можно через npm install -D typescript; VS Code и другие редакторы подхватят его через расширение с поддержкой LSP (Language Server Protocol). Теперь вы будете меньше смотреть на спиннер во время tsc и больше на собственные ошибки типов. TypeScript наконец научился бегать, правда, на чужих ногах.

2
Первый полностью автономный ИИ-вымогатель уже побывал в продакшене Sysdig опубликовала разбор JADEPUFFER. LLM-агент сам прошё
Первый полностью автономный ИИ-вымогатель уже побывал в продакшене Sysdig опубликовала разбор JADEPUFFER. LLM-агент сам прошёл полный цикл атаки от начального доступа до шифрования базы и записки о выкупе. Человек выбрал цель и настроил инфраструктуру, а потом агент действовал без пошагового управления — собирал учётные данные, распространялся по сети, повышал права и даже комментировал свой код человеческим языком. Ключи OpenAI, Anthropic, DeepSeek и Gemini в логах оказались не движком атаки, а трофеями из скомпрометированной среды. Sysdig так и не поняла, какая именно модель управляла агентом. Отдельные приёмы были известны и раньше. Новизна в другом: ИИ связал их в одну цепочку без человека.
869
3
⚡️ AvitoTech устраивает онлайн CTF с призами до 300 000 рублей команду Что внутри турнира: таски на веб-уязвимости, инфрастру
⚡️ AvitoTech устраивает онлайн CTF с призами до 300 000 рублей команду Что внутри турнира: таски на веб-уязвимости, инфраструктурные мисконфиги, анализ скомпилированного кода, расследование инцидентов, слабости шифров и всё, что требует хакерской смекалки. Если это ваш первый опыт, вписывайтесь в Honey-лигу — туда опытных игроков не пускают. ➡️ Регистрация уже открыта Кажется, это знак собрать свою команду и попробовать себя в роли того самого медоеда! Проверьте защиту пчелиного улья и помогите найти все скрытые уязвимости в сотах!
834
4
Локальный пользователь снова получает root через epoll в ядре Linux Если у вас Linux-сервер, десктоп или Android, сегодняшний 0-day вас касается. CVE-2026-46242 использует гонку и use-after-free в подсистеме уведомлений ядра epoll, и обычный пользователь получает root. Microsoft тоже отметилась парой критических повышений привилегий в Exchange Online и Microsoft 365 Copilot. Патчится на стороне облака, клиентам ничего не надо. Удобно, когда «критично» и «ничего не делать» укладываются в одно предложение. FBI предупредил про группу TeamPCP, которая ломает инструменты разработчиков и крадёт токены, SSH-ключи и секреты Kubernetes. Плюс новый вектор: ИИ-агентов обманывают через скрытые HTML-вставки, чтобы агенты перевели деньги. Подробности в отчёте.
869
5
Microsoft выпустила Azure Linux 4.0: теперь его можно поставить на свой сервер Azure Linux всё это время жила только в облаке
Microsoft выпустила Azure Linux 4.0: теперь его можно поставить на свой сервер Azure Linux всё это время жила только в облаке Microsoft, но теперь из неё сделали полноценный серверный дистрибутив. Можно скачать ISO и установить на bare-metal или виртуалку. По словам Microsoft, он будет работать где угодно, как обычный Linux. Под капотом — Fedora и пакеты RPM, которые Microsoft курирует под свою инфраструктуру. Ядро 6.18, система безопасности SELinux, нет GUI: если не дружите с Bash, это не для вас. Получается забавная картинка: у Microsoft теперь есть собственный Linux, который вполне может претендовать на место Windows Server. А ещё он скоро заведётся в WSL, так что Azure Linux можно будет запускать прямо из Windows.
9 184
6
Anthropic хочет свой чип и обсуждает его с Samsung, но пока не знает, зачем он нужен Anthropic ведёт переговоры с Samsung о с
Anthropic хочет свой чип и обсуждает его с Samsung, но пока не знает, зачем он нужен Anthropic ведёт переговоры с Samsung о совместном чипе для ИИ. При этом компания ещё не решила, для какой задачи он нужен, как встроится в сервер и насколько будет мощным. Пишет TechCrunch со ссылкой на The Information. Такой расклад напоминает ответ OpenAI, которая на прошлой неделе анонсировала собственный процессор Jalapeño для запуска готовых моделей вместе с Broadcom. Только у Anthropic пока нет ни названия, ни характеристик — только желание перестать зависеть от Nvidia. Сама Samsung между делом уже делает чипы для Nvidia и вместе с ней строит ИИ-завод в Южной Корее. Так что если договорятся, делать конкурента Nvidia будет тот, кто с Nvidia теснее всего.
1 301
7
ИИ-агент провёл полную ransomware-атаку и даже не спрашивал разрешения Исследователи Sysdig описали атаку JadePuffer: агент с
ИИ-агент провёл полную ransomware-атаку и даже не спрашивал разрешения Исследователи Sysdig описали атаку JadePuffer: агент самостоятельно пробрался через уязвимость в Langflow, собрал облачные ключи и зашифровал 1342 конфигурации в Nacos. Человек не участвовал ни на одном этапе. Страшнее масштаба — скорость адаптации. После неудачной попытки агент нашёл решение за 31 секунду. Классический ransomware оставляет шанс расшифровки, а этот уничтожал схемы базы данных. Если у вас в проде торчат Langflow или Nacos в интернет — уберите их, смените стандартные ключи и не храните секреты на оркестраторах ИИ. Платить выкуп бесполезно.
1 284
8
Notion закрывает почтовый клиент, потому что им почти не пользуются Notion купила Skiff в 2024-м, выпустила Notion Mail в 202
Notion закрывает почтовый клиент, потому что им почти не пользуются Notion купила Skiff в 2024-м, выпустила Notion Mail в 2025-м, а теперь сообщает, что закроет сервис 22 сентября. Официальная причина звучит как самоирония: больше половины пользователей разбирают почту, так и не открыв inbox. Почтовый клиент закрывают, потому что в почтовый клиент никто не заходит. Всё перекладывают на ИИ-агентов. Черновики, авторазметка и правила сортировки переедут в Custom Agent, а сами письма останутся лежать в Gmail. Как пишет Ars Technica, выгрузить черновики и отложенные письма стоит до 21 сентября — автоматом они не перенесутся.
1 607
9
Кто-то выложил эксплойт для bootrom Apple A12/A13, и он работает через USB Представьте: вы подключаете устройство к Raspberry
Кто-то выложил эксплойт для bootrom Apple A12/A13, и он работает через USB Представьте: вы подключаете устройство к Raspberry Pi Pico, и до загрузки ОС чип уже выполняет ваш код. Репозиторий usbliter8 делает именно это: атакует SecureROM в процессорах Apple A12, A13 и S4/S5 прямо через USB. Автор собрал эксплойт на Raspberry Pi Pico с PIO-USB, написал shellcode под несколько чипов и выложил всё на GitHub. Меня цепляет, что это не джейлбрейк в привычном смысле, а работа на уровне bootrom (постоянной прошивки, которая запускается раньше ОС). Устройство цепляется до старта операционки, поэтому софтовые патчи Apple тут бессильны. Проект больше про инженерный разбор, чем про практичность: A12X/Z пока не реализован. Но если вам интересно, как устроена защита мобильных чипов изнутри, репозиторий стоит открыть.
1 300
10
LineShine возглавил TOP500 без единого западного чипа Китайский суперкомпьютер выдал 2,198 эксафлопса в Linpack на постоянной двойной точности и только на CPU. 20 480 узлов с LX2, 304 ядра Armv9 на процессор, связь через сеть LingQi. Никаких Nvidia, Intel или AMD. LineShine — первая машина в истории TOP500, которая преодолела два эксафлопса устойчивой двойной точности только на CPU. До этого такую планку без GPU-ускорителей никому не удавалось взять. Полностью «вакуумной» разработкой систему не назовёшь: ядра Armv9 лицензированы у британской Arm. Но для Пекина это мелочь: кристаллы, межсоединения и софт всё равно китайские, и этого хватает, чтобы подать TOP500 как аргумент за суверенитет.
1 414
11
Linux Foundation собрала IT-гигантов против ИИ-атак на open source 25 июня Linux Foundation запустила Akritis, программу для
Linux Foundation собрала IT-гигантов против ИИ-атак на open source 25 июня Linux Foundation запустила Akritis, программу для защиты open source от уязвимостей. В коалицию вошли AWS, Anthropic, Google, Microsoft, OpenAI, NVIDIA, GitHub и Red Hat. «Единый координированный процесс раскрытия уязвимостей» по-русски значит, что мейнтейнеры получат одну очередь вместо сотни конфликтующих отчётов. Akritis не форкает проекты и не навязывает мейнтейнерам политику. Она валидирует уязвимости, готовит патчи и возвращает их в исходный проект, а если автор пропал, берёт на себя его роль. ИИ находит эксплуатируемые баги за минуты, а время от обнаружения до взлома уже ушло в «минус семь дней». Раньше нужна была экспертиза, теперь достаточно доступа к языковой модели. Подробности в материале.
9 543
12
Deno соберёт веб-приложение в десктоп Если вам надоели тяжеловесные Electron-обёртки, Deno предлагает альтернативу. В мажорно
Deno соберёт веб-приложение в десктоп Если вам надоели тяжеловесные Electron-обёртки, Deno предлагает альтернативу. В мажорном релизе Deno добавит команды для сборки десктопа из TypeScript, Next.js, Astro, Fresh, TanStack Start или Vite SSR. Я бы сохранил: переносим веб-приложение в окно почти без лишних движений. Главный поворот — нативный WebView вместо встроенного Chromium (CEF). Приложение на WebView в macOS весит около 68,5 МБ, а на CEF выходит 308,9 МБ и стартует медленнее. Меню, диалоги и уведомления уже есть, а вот диалог выбора файла и API буфера обмена пока нет, мобильную версию обещают позже. В прод я бы это пока не нёс: нестабильно, и WebView на старых машинах может вести себя непредсказуемо. Но за развитием стоит следить.
1 195
13
GitLab: ИИ пишет код быстрее, но продуктивность застряла в редакторе 78% команд в опросе GitLab коммитят с ИИ быстрее, а прод
GitLab: ИИ пишет код быстрее, но продуктивность застряла в редакторе 78% команд в опросе GitLab коммитят с ИИ быстрее, а продуктивность за пределами генерации чувствуют только 21%. Остальные, похоже, ещё не дошли до ревью. GitLab опросила более 1500 разработчиков и лидеров: 60% довольны ROI, 80% внедрили ИИ быстрее, чем выработали политики, и 82% боятся нового технического долга. Корпоративный перевод: доступ к репозиториям агентам уже выдали, а инструкцию по безопасности обещают позже. Отсюда концепция agentic infrastructure — четыре слоя, чтобы инфраструктура не ломалась под миллионами сессий агентов. Не потому что их мало, а потому что уже слишком много, чтобы люди следили глазами. Подробности в материале.
9 695
14
29-летний баг в Squid сливает HTTP-запросы из памяти прокси Багу почти столько же, сколько самому Squid. Исследователь из Calif.io обнаружил уязвимость CVE-2026-47729 в FTP-парсере: если Squid работает с cleartext HTTP и может достучаться до вредоносного FTP-сервера, атакующий получает куски внутренней памяти, где часто лежат пароли и токены. Цепочка забавна по-своему: проблема появилась коммитом 1997 года для совместимости с NetWare. FTP-сервер не отдаёт имя файла, парсер выходит за границу буфера — и вот уже ваши HTTP-запросы утекают наружу. Исправлено в Squid 7.6, который вышел 8 июня. Если у вас в инфраструктуре крутится Squid — стоит обновиться и выключить FTP, если только он не нужен по делу. Подробности в статье.
1 074
15
В npm снова нашли малварь под видом PostCSS-плагинов Исследователи из JFrog обнаружили три вредоносных пакета, которые маскир
В npm снова нашли малварь под видом PostCSS-плагинов Исследователи из JFrog обнаружили три вредоносных пакета, которые маскируются под знакомые инструменты веб-разработки. Самый заметный — postcss-minify-selector-parser с 615 загрузками; ещё postcss-minify-selector (256) и aes-decode-runner-pro (145). Все трое опираются на легитимный postcss-selector-parser, чтобы выглядеть правдоподобно, но при установке разворачивают Windows-RAT (remote access trojan) через PowerShell и Python. Цепочка простая: JS-дроппер пишет settings.ps1, который качает ZIP с nvidiadriver[.]net и запускает update.vbs. Внутри — Python-рантайм, загрузчик loader.py и нативные модули, которые крадут пароли Chrome, собирают данные хоста и отправляют их на командный сервер. Я бы лично проверил package-lock.json на эти имена, особенно если CI ставит зависимости без ручного аудита.
1 076
16
На python.org можно было войти как админ с любым API-ключом Если в API python.org подсунуть имя администратора и произвольный
На python.org можно было войти как админ с любым API-ключом Если в API python.org подсунуть имя администратора и произвольный ключ, система пропускала запрос с правами администратора. Никакого перебора, никакой магии — просто имя пользователя и левый ключ. При этом атакующий не мог переписать сами файлы, но мог поменять URL для скачивания каждого релиза и ссылки на проверочные материалы Sigstore и PGP. Python Insider пишет, что баг пролежал в коде с 2014 года. Корпоративный перевод: «мы не трогаем бинари, мы только подменяем, куда вы их качаете». Команда безопасности Python получила отчёт 23 февраля и закрыла уязвимость менее чем за 48 часов. Артефакты проверили по подписям, следов вмешательства не нашли. Сайт уже пропатчен.
3 191
17
Фейковый ИИ-навык дошёл до 26 тысяч агентов, потому что сканеры сказали «безопасно» AIR создала навык, который обещал лендинг
Фейковый ИИ-навык дошёл до 26 тысяч агентов, потому что сканеры сказали «безопасно» AIR создала навык, который обещал лендинг в Google Stitch, и протащила его через маркетплейс с 36 тысячами звёзд на GitHub. Cisco, NVIDIA и skills.sh посмотрели код внутри пакета и одобрили. Проблема в том, что вредоносная инструкция лежала не в пакете, а по внешней ссылке stitch-design.ai, которую контролировала сама AIR. Сначала по ссылке были настоящие доки Stitch. Когда навык установился примерно на 26 тысяч агентов, включая корпоративные, страницу подменили. Агенты скачали скрипт без вопросов. В демо он только собирал email, но мог бы читать файлы. Как пишет The Hacker News, сканер проверяет ZIP, а доверие — нет.
9 539
18
OpenAI доверила GPT-5.5-Cyber чинить чужой код Пока вы читаете это сообщение, она уже нашла бы пару уязвимостей в вашем легас
OpenAI доверила GPT-5.5-Cyber чинить чужой код Пока вы читаете это сообщение, она уже нашла бы пару уязвимостей в вашем легаси. Шутка. Нет. Серьёзно: GPT-5.5-Cyber не просто сканирует код, а валидирует находки в контролируемой среде, готовит патчи и тестирует их. Релиз вошёл в инициативу Daybreak, где модели уже нашли десятки багов в Linux, Chrome, Safari и Firefox. Заодно обновили плагин Codex Security — теперь он умеет глубокие сканы, приоритеты по серьёзности и генерацию патчей под конкретную кодовую базу. Подробнее в материале. OpenAI даже запустила программу Patch the Planet с Trail of Bits, чтобы помогать мейнтейнерам open source. Потому что находить баги стало легко — а вот проверять и чинить их по-прежнему работа для людей. Пока что.
9 228
19
Как мы проскочили путь от первого iPhone и сложной разработки под мобильные устройства до эпохи ИИ? Что случилось и к чему это привело — в третьей части цикла об истории российского IT. Мобильный бум застал индустрию врасплох: было непонятно, как адаптировать сайты под маленькие экраны и что делать со слабой связью. Решением стали нативные приложения — их начали разрабатывать многие компании. Так мы пришли к эпохе супераппов, где собрано всё и сразу. Приложений, проектов и стартапов становилось больше — начался расцвет российского IT. Но разработчиков не хватало, и на сцену вышли курсы, школы и онлайн-уроки. Желающих войти в профессию оказалось огромное количество, и рынок быстро перегрелся. Теперь новичков заменяет ИИ, а найти работу — задача со звёздочкой. Сегодня гонка за лучшими программистами превратилась в гонку ИИ-инфраструктур. Так решения порождали новые проблемы, а российская IT-индустрия вышла на новый уровень сложности. Подробнее — в материале на Tproger.
1 604
20
В HTTP появился метод для запросов, которые давно не помещались в GET Вышел RFC 10008 с новым HTTP-методом QUERY. Идея простая: иногда запрос безопасный, повторяемый и логически похож на GET, но параметры уже неудобно или невозможно пихать в URL. Поэтому все годами делали POST /search, а потом отдельно объясняли себе, кешам и прокси, что это вообще-то не изменение состояния. QUERY закрывает именно эту дыру: тело запроса есть, но семантика остаётся safe/idempotent. До массового применения ещё далеко, но сам факт интересный: даже у HTTP в 2026 году появляются новые базовые кирпичи.
2 010