Представляешь,

Drew DeVault выпустил Vim Classic: редактор из параллельной вселенной без Vim9 script Помните, как в 2022-м Bram Moolenaar выпустил Vim 9 с новым диалектом Vim9 script? Обещали прирост производительности, но плагины пришлось адаптировать, а часть сообщества восприняла это как разрыв с традициями. Дрю Дево, создатель SourceHut и автор Sway, собрал форк Vim Classic 8.3.0 — стабильный LTS на базе Vim 8.2.0148 с бэкпортом багфиксов и патчей безопасности. Никакого Vim9 script, только классический синтаксис. Как будто Vim развивается в параллельной вселенной без революций. Разработчики признают, что не перенесли все тысячи патчей с момента 8.2, так что старые баги могут всплыть. Проект рекомендуют энтузиастам, готовым к рискам ради предсказуемости.

Мейнтейнеры ядра Linux готовятся сделать TSC обязательным для x86 Ядро Linux перестаёт платить налог на совместимость с процессорами, у которых нет счётчика тактов. Intel 486 уже вычеркнут из кодовой базы, поддержка AMD K5 и Elan уходит следом, и теперь мейнтейнеры подготовили патч, который делает TSC безусловным требованием для всех x86. Раньше ядро тащило альтернативные ветви кода для систем без TSC, высокоточного регистра, который используется от профилирования до планирования процессов. Теперь, когда древние чипы исключены, эти обходные механизмы вырежут полностью. Патч ожидается в цикле разработки Linux 7.2. Для современного железа ничего не поменяется. TSC есть у всех актуальных x86-процессоров, так что изменение коснётся только ретро-сборок. Но это хороший пример того, как легаси-код уходит, когда перестаёт быть нужен. Подробнее.

DOM и canvas наконец-то пытаются подружить Canvas хорош, пока вам нужна только графика. Как только появляются кнопки, формы, выделение текста, accessibility и нормальное поведение браузера, начинается второй фронтенд поверх первого. Все, кто делал редакторы, 3D-интерфейсы или игры в браузере, понимают боль. HTML-in-Canvas API предлагает интересный компромисс: DOM-элементы можно рисовать в 2D canvas или WebGL/WebGPU texture, но сохранять интерактивность и браузерные возможности. То есть UI остаётся HTML, а жить может внутри canvas-сцены. Пока это origin trial так что в прод не несём. Но идею я бы сохранил: если взлетит, часть canvas-костылей станет не нужна.

Claude Opus 4.8: fast mode втрое дешевле, а ошибок вчетверо меньше Anthropic обновила флагман до версии 4.8 и сохранила прежний ценник. А вот fast mode подешевел втрое и ускорился в 2,5 раза. Вы платите меньше, модель спешит больше. Кто-то в Anthropic явно не понимает, как работает бизнес. Самое забавное — модель научилась признавать свои ошибки. По оценкам компании, Opus 4.8 в четыре раза реже пропускает баги в собственном коде молча. Раньше она уверенно клеймила рабочее решение, теперь хотя бы сомневается. Это почти как взросление. В Claude Code теперь можно запустить сотни параллельных подагентов. Бенчмарки и детали, если вам не страшно.

Mistral выпустила 3-миллиардную модель с контекстом в 256 тысяч токенов 256 тысяч токенов — это примерно две средних книги. Раньше такой объём был у проприетарных гигантов вроде GPT-4, а теперь его удерживает компактная модель, которая укладывается в 4 ГБ видеопамяти и работает на смартфоне. Внутри встроен нативный вызов функций: модель сама решает, когда стоит обратиться к более крупной версии из облака. Сначала веса распространялись под коммерческой лицензией, но в декабре Mistral перелицензировала всё под Apache 2.0. Теперь модель можно развёртывать локально без платы за лицензию. Через API она стоит 0,04 доллара за миллион токенов — для сравнения, это заметно дешевле большинства проприетарных аналогов. Сравнение с Llama 3.2 3B и Gemma 3 2B на awesomeagents.ai.

NVIDIA SANA-WM: минутное видео на одной видеокарте NVLabs выпустили SANA-WM, модель мира с 2,6 млрд параметров, которая генерирует 60 секунд видео в 720p и следует по заданной траектории камеры. Обычно для этого нужна стойка GPU, а здесь хватит одного H100. Или домашнего RTX 5090, если вы предпочитаете греть квартиру самостоятельно. При этом камера движется точнее, чем у конкурентов в 4-5 раз крупнее, работающих на восьми видеокартах. Полная конфигурация с 17-миллиардным refiner выдает 22 ролика в час. Код под Apache 2.0, веса под лицензией LTX-2 Community. Материал от Awesome Agents.

Ваша память ещё работает или нейронки уже и помнят всё за вас? Чтобы это проверить мы приготовили для вас «Меморину» — игру, которая поможет проверить вашу память. Всё просто: нужно запомнить и выбрать одинаковые карточки. Если память плохая, то рано или поздно вы всё равно справитесь. А если хорошая, то сможете увидеть ваш потолок скорости. Ну что, готовы проверить? Тогда переходите по ссылке: https://tprg.ru/5xBO

Anthropic выпустила self-hosted сэндбоксы для агентов — данные у вас, мозг у нас Anthropic выпустила self-hosted сэндбоксы и MCP-туннели для корпоративных агентов. Инструменты крутятся на инфраструктуре клиента: Cloudflare, Daytona, Modal, Vercel. Логика агента при этом по-прежнему живёт на стороне Anthropic. «Полный контроль над данными» — при условии, что половина пайплайна у нас. MCP-туннели решают проблему внутренних сервисов, которые не торчат в интернет: шлюз поднимается внутри приватной сети и сам тянется к Anthropic одним исходящим соединением. Порты наружу открывать не нужно. Директор по безопасности наконец может спать спокойно.

За 22 минуты один аккаунт переписал 317 пакетов Есть такая уязвимость в npm: если атакующий публикует версию 3.2.7, а у вас стоит ^3.0.6, пакет-менеджер молча подтянет вредоносную версию при следующей чистой установке. Тег latest при этом можно вообще не трогать. Именно это произошло 19 мая с аккаунтом atool. 637 вредоносных версий, 317 пакетов, десятки миллионов загрузок в месяц — всё за 22 минуты. В списке echarts-for-react, size-sensor, пакеты @antv. Payload крадёт AWS-ключи, GitHub PAT, SSH-ключи, данные из 1Password и Bitwarden. Уходит двумя путями: через зашифрованные Git-объекты в публичных репозиториях и под видом OpenTelemetry-трейсов. Отдельный бонус: вредонос внедряет хуки в Claude Code и Codex. Ваш ИИ-ассистент может оказаться первым, кто об этом узнает.

xAI выпустила ИИ-агент для кодинга за $300 в месяц Grok Build, первый coding-агент от xAI, работает из командной строки: скачиваешь, логинишься, запускаешь прямо в терминале. Есть план-режим (агент показывает, что собирается сделать, прежде чем что-то сломать), поддержка MCP-серверов и существующих рабочих процессов. Цена доступа: $300 в месяц, только для подписчиков SuperGrok Heavy. Для сравнения: Cursor Pro стоит $20, Claude Code от $20, Codex CLI входит в ChatGPT Pro за $200. То есть в 15 раз дороже Cursor. Маск, по всей видимости, нацеливается на «профессиональную разработку» — это когда вы уже не считаете деньги. Подробнее о Grok Build на Tproger.

arXiv начал банить авторов на год за непроверенные ИИ-тексты Томас Дитерих, руководитель раздела computer science на arXiv, сформулировал это просто: если в препринте есть неопровержимые следы того, что авторы не проверили результат языковой модели — доверять нельзя ничему в этой статье. Не конкретному абзацу. Всей статье. Доказательствами «халатности» считаются два артефакта: галлюцинированные ссылки на несуществующие работы и незачищенные фрагменты диалога с моделью прямо в тексте. То есть кто-то опубликовал препринт, не удалив из него «Конечно! Вот ваш параграф о квантовой запутанности». После бана все последующие препринты автора обязаны сначала пройти рецензирование в признанном журнале. Использование ИИ как инструмента не запрещено — запрещено снимать с себя ответственность за результат. Прогресс, в общем. @your_tech (теперь ещё в VK и Max)

В Terraform наконец разрешили не хардкодить пути к модулям Terraform 1.15 вышел 13 мая, и в нём теперь можно передавать переменные прямо в source модуля. Раньше пути прописывались жёстко — или через обходные скрипты, которые никто не любил. Новый атрибут const = true решает это без костылей. Ещё появился атрибут deprecated для переменных и выводов: используешь устаревший параметр — получаешь предупреждение. Плавный вывод из обращения без поломки чужого кода. Удобно, ничего не скажешь. Функция convert() явно приводит типы — теперь не нужно угадывать, что Terraform решит делать с пустой коллекцией в условном выражении. И нативные бинарники под Windows ARM64 — наконец-то. Все детали на Tproger.

Java 27: Structured Concurrency наконец взрослеет — всего за семь preview Structured Concurrency появилась в JDK 19 инкубатором и несколько лет методично проходила preview за preview, выясняя, как должна выглядеть многопоточность с человеческим лицом. JEP 533 в JDK 27 — седьмой заход, и впервые API избавляется от собственных preview-типов. Главное: FailedException уступает место ExecutionException — тому самому, что бросает Future.get(). Семь итераций, чтобы выровнять API с тем, что в Java уже было. В нагрузку — третий тип-параметр Joiner<T, R, R_X> и новый оверлоад open() для тех, кому Joiner явно передавать лень. Форма API, говорят, сходится к финализации. Будем посмотреть.

В ядре Linux нашли способ получить root — без гонки, без привилегий, просто так Исследователь из Zellic обнаружил уязвимость Fragnasia (CVE-2026-46300) в подсистеме XFRM — той, что отвечает за IPsec. Логическая ошибка в обработке ESP-пакетов поверх TCP позволяет записывать произвольные байты в page cache файлов «только для чтения». Например, в /usr/bin/su. После чего — привет, root. Никакого состояния гонки, никаких предварительных прав. Просто был обычный локальный пользователь, и вот уже нет. PoC-эксплойт автор выложил сразу с отчётом — работает. Fragnasia входит в новый класс Dirty Frag, о котором стало известно неделей ранее, но это отдельный баг с отдельным патчем. Затронуты все ядра до 13 мая 2026 года. Временная мера — выгрузить esp4, esp6 и rxrpc. Ломает IPsec и AFS. Удобная функция, ничего не скажешь.

Cloudflare переписала Next.js за неделю и $1 100 Один инженер, ИИ-агент и немного токенов — и вот у вас замена одному из самых сложных веб-фреймворков. Cloudflare взяла Next.js, выбросила проприетарный Turbopack, заменила его на Vite и получила vinext — инструмент, который деплоится в Cloudflare Workers одной командой. На всё ушла одна рабочая неделя. А теперь главная часть: Vercel оценивается в $9 млрд, и ключевое конкурентное преимущество там всегда строилось на том, что формат сборки Next.js — проприетарный и недокументированный. То есть официально открытый фреймворк, но деплоить его удобно только на Vercel. Умная схема. Была. vinext покрывает 94% API Next.js, обещает сборку до 4 раз быстрее и бандлы на 57% меньше. Официально — экспериментальная. Но вопрос уже не в этом: ИИ только что показал, что «несколько лет инженерного труда» стоят примерно тысячу долларов.

ИИ тормозит не потому что нет видеокарт, а потому что ест мусор Пока индустрия переживала за дефицит чипов, главная проблема оказалась в другом. Исследователи из Мичигана и Bessemer написали в Fortune: следующее поколение AI упирается не в вычисления, а в данные. «Больше данных — умнее модель» работало, пока можно было пылесосить интернет. Для физического AI — роботов, автономного транспорта — это уже не вариант: физику не скачаешь. Данные бывают формально валидными, но бесполезными — junk data. Именно поэтому OpenAI Sora тихо отправили в архив: world model просто не понимала физику. Авторы предлагают переключить гонку: с объёма — на инструменты чистки данных. Похоже, следующий дефицит будет не в чипах, а в нормальных наборах данных.

Edge держит все ваши пароли в RAM — на всякий случай Microsoft Edge при запуске загружает в память все сохранённые пароли сразу — и держит их там открытым текстом всю сессию. Не когда вы заходите на сайт, не при автозаполнении. Просто запустили браузер — и всё, пароли уже в памяти. Хотите достать? Дамп процесса + утилита strings. Без прав администратора. Chrome, для сравнения, расшифровывает пароль только в момент автозаполнения и сразу выгружает. Норвежский исследователь проверил несколько Chromium-браузеров — Edge оказался единственным с таким поведением. Microsoft объяснили: это не баг, это дизайн. Баланс между производительностью и безопасностью. Удобная функция, ничего не скажешь. Особенно живописно выглядит на терминальных серверах: администратор снимает дамп памяти — и получает пароли всех вошедших пользователей разом. Прогресс не стоит на месте.

Copy Fail: ядро Linux заботливо открывает root через криптосокет В Linux с 2017 года живёт модуль algif_aead — он позволяет работать с криптоAPI ядра прямо из страниц page-cache, без лишних копий. Оптимизация разумная. Последствия — предсказуемые в ретроспективе. CVE-2026-31431 «Copy Fail»: открываете AF_ALG-сокет (никаких прав не нужно), дёргаете splice(), получаете 4-байтовую запись в page-cache, тихо подменяете несколько байт в /usr/bin/su — и вот у вас root shell. Рабочий PoC уже опубликован. Затронуты Ubuntu 24.04, RHEL 10.1, SUSE 16, Amazon Linux 2023. Mainline-патч влили 1 апреля, но до пакетов дистрибутивов он так и не добрался. Пока — отключайте algif_aead через modprobe.d, в контейнерах блокируйте AF_ALG через seccomp.

Cursor снёс продакшн и бэкапы за 9 секунд... И потом написал исповедь Стартап PocketOS попросил агента Cursor (на Claude Opus 4.6) разобраться с расхождением учётных данных в staging. Агент разобрался — через 9 секунд он снёс боевую базу данных и все volume-бэкапы Railway. Одним curl-вызовом. Молча, без подтверждения. Почему смог? Нашёл в постороннем файле API-токен, который создавали для добавления кастомных доменов. Но scope у него был корневой: разрешено всё. А Railway хранил бэкапы внутри того же volume, что и боевая БД. Удалить одно — значит удалить и другое. Удобная архитектура, ничего не скажешь. Дальше — 30+ часов восстановления, трёхмесячный архивный бэкап и личное участие CEO Railway. А Opus, будучи человеком чести, потом сам написал в чате, какие именно правила нарушил.

OpenAI наконец разрешили дружить с другими С 27 апреля Microsoft и OpenAI официально не эксклюзивные партнёры. Шесть лет особых отношений — и вот, свободная касса. Те же модели по тому же API скоро появятся через AWS Bedrock. CEO Amazon уже подтвердил. Лицензия Microsoft никуда не делась — просто стала неэксклюзивной и теперь действует до 2032 года. Раньше было «до достижения AGI». А так как AGI всё никак не получается, конкретная дата куда практичнее. Azure всё ещё «первый» — но если Microsoft не успеет поддержать новые возможности, продукт выйдет сразу на Bedrock или Google Cloud. Приятный стимул не тормозить.