Endi mavjud! Telegram Tadqiqoti 2025 — yilning asosiy insaytlari 
Представляешь,
Kanalga Telegram’da o‘tish
Новости технологий: важные, смешные, родные Разместить рекламу: @tproger_sales_bot Правила общения: https://tprg.ru/rules Другие каналы: @tproger_channels Регистрация в перечне РКН: https://tprg.ru/5GyZ
Ko'proq ko'rsatish8 832
Obunachilar
+324 soatlar
-187 kunlar
-3730 kunlar
Ma'lumot yuklanmoqda...
O'xshash kanallar
Taglar buluti
Kirish va chiqish esdaliklari
---
---
---
---
---
---
Obunachilarni jalb qilish
Iyun '26
Iyun '26
+62
7 kanalda
May '26
+104
2 kanalda
Get PRO
Aprel '26
+67
5 kanalda
Get PRO
Mart '26
+93
4 kanalda
Get PRO
Fevral '26
+101
23 kanalda
Get PRO
Yanvar '26
+108
1 kanalda
Get PRO
Dekabr '25
+52
4 kanalda
Get PRO
Noyabr '25
+70
9 kanalda
Get PRO
Oktabr '25
+62
5 kanalda
Get PRO
Sentabr '25
+140
6 kanalda
Get PRO
Avgust '25
+99
4 kanalda
Get PRO
Iyul '25
+162
7 kanalda
Get PRO
Iyun '25
+134
11 kanalda
Get PRO
May '25
+62
7 kanalda
Get PRO
Aprel '25
+93
6 kanalda
Get PRO
Mart '25
+123
4 kanalda
Get PRO
Fevral '25
+84
5 kanalda
Get PRO
Yanvar '25
+50
1 kanalda
Get PRO
Dekabr '24
+76
3 kanalda
Get PRO
Noyabr '24
+34
4 kanalda
Get PRO
Oktabr '24
+24
4 kanalda
Get PRO
Sentabr '24
+32
4 kanalda
Get PRO
Avgust '24
+30
5 kanalda
Get PRO
Iyul '24
+25
3 kanalda
Get PRO
Iyun '24
+79
5 kanalda
Get PRO
May '24
+142
3 kanalda
Get PRO
Aprel '24
+140
3 kanalda
Get PRO
Mart '24
+142
6 kanalda
Get PRO
Fevral '24
+161
5 kanalda
Get PRO
Yanvar '24
+161
3 kanalda
Get PRO
Dekabr '23
+83
8 kanalda
Get PRO
Noyabr '23
+3 466
35 kanalda
Get PRO
Oktabr '23
+233
5 kanalda
Get PRO
Sentabr '23
+326
0 kanalda
Get PRO
Avgust '23
+249
0 kanalda
Get PRO
Iyul '23
+247
0 kanalda
Get PRO
Iyun '23
+266
0 kanalda
Get PRO
May '23
+276
0 kanalda
Get PRO
Aprel '23
+338
0 kanalda
Get PRO
Mart '23
+533
0 kanalda
Get PRO
Fevral '23
+136
0 kanalda
Get PRO
Yanvar '23
+238
0 kanalda
Get PRO
Dekabr '22
+177
0 kanalda
Get PRO
Noyabr '22
+95
0 kanalda
Get PRO
Oktabr '22
+124
0 kanalda
Get PRO
Sentabr '22
+144
0 kanalda
Get PRO
Avgust '22
+212
0 kanalda
Get PRO
Iyul '22
+186
0 kanalda
Get PRO
Iyun '22
+148
0 kanalda
Get PRO
May '22
+137
0 kanalda
Get PRO
Aprel '22
+66
0 kanalda
Get PRO
Mart '22
+51
0 kanalda
Get PRO
Fevral '22
+116
0 kanalda
Get PRO
Yanvar '22
+50
0 kanalda
Get PRO
Dekabr '21
+52
0 kanalda
Get PRO
Noyabr '21
+100
0 kanalda
Get PRO
Oktabr '21
+232
0 kanalda
Get PRO
Sentabr '21
+200
0 kanalda
Get PRO
Avgust '21
+150
0 kanalda
Get PRO
Iyul '21
+888
0 kanalda
Get PRO
Iyun '21
+154
0 kanalda
Get PRO
May '21
+67
0 kanalda
Get PRO
Aprel '21
+115
0 kanalda
Get PRO
Mart '21
+132
0 kanalda
Get PRO
Fevral '21
+310
0 kanalda
Get PRO
Yanvar '21
+280
0 kanalda
Get PRO
Dekabr '20
+19 189
0 kanalda
| Sana | Obunachilarni jalb qilish | Esdaliklar | Kanallar | |
| 26 Iyun | +1 | |||
| 25 Iyun | +5 | |||
| 24 Iyun | +5 | |||
| 23 Iyun | +1 | |||
| 22 Iyun | 0 | |||
| 21 Iyun | +1 | |||
| 20 Iyun | 0 | |||
| 19 Iyun | +2 | |||
| 18 Iyun | +4 | |||
| 17 Iyun | +4 | |||
| 16 Iyun | +1 | |||
| 15 Iyun | +1 | |||
| 14 Iyun | +1 | |||
| 13 Iyun | +2 | |||
| 12 Iyun | +4 | |||
| 11 Iyun | +1 | |||
| 10 Iyun | 0 | |||
| 09 Iyun | +1 | |||
| 08 Iyun | +4 | |||
| 07 Iyun | +4 | |||
| 06 Iyun | +2 | |||
| 05 Iyun | 0 | |||
| 04 Iyun | +3 | |||
| 03 Iyun | +8 | |||
| 02 Iyun | +2 | |||
| 01 Iyun | +5 |
Kanal postlari
LineShine возглавил TOP500 без единого западного чипа
Китайский суперкомпьютер выдал 2,198 эксафлопса в Linpack на постоянной двойной точности и только на CPU. 20 480 узлов с LX2, 304 ядра Armv9 на процессор, связь через сеть LingQi. Никаких Nvidia, Intel или AMD.
LineShine — первая машина в истории TOP500, которая преодолела два эксафлопса устойчивой двойной точности только на CPU. До этого такую планку без GPU-ускорителей никому не удавалось взять.
Полностью «вакуумной» разработкой систему не назовёшь: ядра Armv9 лицензированы у британской Arm. Но для Пекина это мелочь: кристаллы, межсоединения и софт всё равно китайские, и этого хватает, чтобы подать TOP500 как аргумент за суверенитет.
| 2 |  Linux Foundation собрала IT-гигантов против ИИ-атак на open source
25 июня Linux Foundation запустила Akritis, программу для защиты open source от уязвимостей. В коалицию вошли AWS, Anthropic, Google, Microsoft, OpenAI, NVIDIA, GitHub и Red Hat. «Единый координированный процесс раскрытия уязвимостей» по-русски значит, что мейнтейнеры получат одну очередь вместо сотни конфликтующих отчётов.
Akritis не форкает проекты и не навязывает мейнтейнерам политику. Она валидирует уязвимости, готовит патчи и возвращает их в исходный проект, а если автор пропал, берёт на себя его роль.
ИИ находит эксплуатируемые баги за минуты, а время от обнаружения до взлома уже ушло в «минус семь дней». Раньше нужна была экспертиза, теперь достаточно доступа к языковой модели. Подробности в материале. | 485 |
| 3 | Deno соберёт веб-приложение в десктоп
Если вам надоели тяжеловесные Electron-обёртки, Deno предлагает альтернативу. В мажорном релизе Deno добавит команды для сборки десктопа из TypeScript, Next.js, Astro, Fresh, TanStack Start или Vite SSR. Я бы сохранил: переносим веб-приложение в окно почти без лишних движений.
Главный поворот — нативный WebView вместо встроенного Chromium (CEF). Приложение на WebView в macOS весит около 68,5 МБ, а на CEF выходит 308,9 МБ и стартует медленнее. Меню, диалоги и уведомления уже есть, а вот диалог выбора файла и API буфера обмена пока нет, мобильную версию обещают позже.
В прод я бы это пока не нёс: нестабильно, и WebView на старых машинах может вести себя непредсказуемо. Но за развитием стоит следить. | 521 |
| 4 |  GitLab: ИИ пишет код быстрее, но продуктивность застряла в редакторе
78% команд в опросе GitLab коммитят с ИИ быстрее, а продуктивность за пределами генерации чувствуют только 21%. Остальные, похоже, ещё не дошли до ревью.
GitLab опросила более 1500 разработчиков и лидеров: 60% довольны ROI, 80% внедрили ИИ быстрее, чем выработали политики, и 82% боятся нового технического долга. Корпоративный перевод: доступ к репозиториям агентам уже выдали, а инструкцию по безопасности обещают позже.
Отсюда концепция agentic infrastructure — четыре слоя, чтобы инфраструктура не ломалась под миллионами сессий агентов. Не потому что их мало, а потому что уже слишком много, чтобы люди следили глазами. Подробности в материале. | 5 883 |
| 5 | 29-летний баг в Squid сливает HTTP-запросы из памяти прокси
Багу почти столько же, сколько самому Squid. Исследователь из Calif.io обнаружил уязвимость CVE-2026-47729 в FTP-парсере: если Squid работает с cleartext HTTP и может достучаться до вредоносного FTP-сервера, атакующий получает куски внутренней памяти, где часто лежат пароли и токены.
Цепочка забавна по-своему: проблема появилась коммитом 1997 года для совместимости с NetWare. FTP-сервер не отдаёт имя файла, парсер выходит за границу буфера — и вот уже ваши HTTP-запросы утекают наружу. Исправлено в Squid 7.6, который вышел 8 июня.
Если у вас в инфраструктуре крутится Squid — стоит обновиться и выключить FTP, если только он не нужен по делу. Подробности в статье. | 743 |
| 6 | В npm снова нашли малварь под видом PostCSS-плагинов
Исследователи из JFrog обнаружили три вредоносных пакета, которые маскируются под знакомые инструменты веб-разработки. Самый заметный — postcss-minify-selector-parser с 615 загрузками; ещё postcss-minify-selector (256) и aes-decode-runner-pro (145). Все трое опираются на легитимный postcss-selector-parser, чтобы выглядеть правдоподобно, но при установке разворачивают Windows-RAT (remote access trojan) через PowerShell и Python.
Цепочка простая: JS-дроппер пишет settings.ps1, который качает ZIP с nvidiadriver[.]net и запускает update.vbs. Внутри — Python-рантайм, загрузчик loader.py и нативные модули, которые крадут пароли Chrome, собирают данные хоста и отправляют их на командный сервер. Я бы лично проверил package-lock.json на эти имена, особенно если CI ставит зависимости без ручного аудита. | 808 |
| 7 | На python.org можно было войти как админ с любым API-ключом
Если в API python.org подсунуть имя администратора и произвольный ключ, система пропускала запрос с правами администратора. Никакого перебора, никакой магии — просто имя пользователя и левый ключ.
При этом атакующий не мог переписать сами файлы, но мог поменять URL для скачивания каждого релиза и ссылки на проверочные материалы Sigstore и PGP. Python Insider пишет, что баг пролежал в коде с 2014 года. Корпоративный перевод: «мы не трогаем бинари, мы только подменяем, куда вы их качаете».
Команда безопасности Python получила отчёт 23 февраля и закрыла уязвимость менее чем за 48 часов. Артефакты проверили по подписям, следов вмешательства не нашли. Сайт уже пропатчен. | 2 288 |
| 8 | Фейковый ИИ-навык дошёл до 26 тысяч агентов, потому что сканеры сказали «безопасно»
AIR создала навык, который обещал лендинг в Google Stitch, и протащила его через маркетплейс с 36 тысячами звёзд на GitHub. Cisco, NVIDIA и skills.sh посмотрели код внутри пакета и одобрили. Проблема в том, что вредоносная инструкция лежала не в пакете, а по внешней ссылке stitch-design.ai, которую контролировала сама AIR.
Сначала по ссылке были настоящие доки Stitch. Когда навык установился примерно на 26 тысяч агентов, включая корпоративные, страницу подменили. Агенты скачали скрипт без вопросов. В демо он только собирал email, но мог бы читать файлы.
Как пишет The Hacker News, сканер проверяет ZIP, а доверие — нет. | 7 787 |
| 9 |  OpenAI доверила GPT-5.5-Cyber чинить чужой код
Пока вы читаете это сообщение, она уже нашла бы пару уязвимостей в вашем легаси. Шутка. Нет.
Серьёзно: GPT-5.5-Cyber не просто сканирует код, а валидирует находки в контролируемой среде, готовит патчи и тестирует их. Релиз вошёл в инициативу Daybreak, где модели уже нашли десятки багов в Linux, Chrome, Safari и Firefox. Заодно обновили плагин Codex Security — теперь он умеет глубокие сканы, приоритеты по серьёзности и генерацию патчей под конкретную кодовую базу. Подробнее в материале.
OpenAI даже запустила программу Patch the Planet с Trail of Bits, чтобы помогать мейнтейнерам open source. Потому что находить баги стало легко — а вот проверять и чинить их по-прежнему работа для людей. Пока что. | 7 685 |
| 10 | Как мы проскочили путь от первого iPhone и сложной разработки под мобильные устройства до эпохи ИИ? Что случилось и к чему это привело — в третьей части цикла об истории российского IT.
Мобильный бум застал индустрию врасплох: было непонятно, как адаптировать сайты под маленькие экраны и что делать со слабой связью. Решением стали нативные приложения — их начали разрабатывать многие компании. Так мы пришли к эпохе супераппов, где собрано всё и сразу.
Приложений, проектов и стартапов становилось больше — начался расцвет российского IT. Но разработчиков не хватало, и на сцену вышли курсы, школы и онлайн-уроки. Желающих войти в профессию оказалось огромное количество, и рынок быстро перегрелся. Теперь новичков заменяет ИИ, а найти работу — задача со звёздочкой. Сегодня гонка за лучшими программистами превратилась в гонку ИИ-инфраструктур.
Так решения порождали новые проблемы, а российская IT-индустрия вышла на новый уровень сложности. Подробнее — в материале на Tproger. | 1 499 |
| 11 | В HTTP появился метод для запросов, которые давно не помещались в GET
Вышел RFC 10008 с новым HTTP-методом QUERY.
Идея простая: иногда запрос безопасный, повторяемый и логически похож на GET, но параметры уже неудобно или невозможно пихать в URL. Поэтому все годами делали POST /search, а потом отдельно объясняли себе, кешам и прокси, что это вообще-то не изменение состояния.
QUERY закрывает именно эту дыру: тело запроса есть, но семантика остаётся safe/idempotent. До массового применения ещё далеко, но сам факт интересный: даже у HTTP в 2026 году появляются новые базовые кирпичи. | 1 762 |
| 12 | 144 пакета Mastra в npm скомпрометировали через взломанный аккаунт
В npm всё хорошо: взломали аккаунт бывшего контрибьютора Mastra и выложили 144 вредоносные версии @mastra/*. Среди них @mastra/core, более 918 тысяч скачиваний в неделю. Атака длилась 88 минут, но хватило, чтобы троян попал в чужие CI.
Вредоносный пакет, easy-day-js, клон dayjs. Postinstall-хук запускался сам: скрипт отключал TLS, тянул вторую стадию с 23.254.164[.]92 и ставил стилер. Тот собирал историю браузера и кошельки на 23.254.164[.]123.
Если у вас есть @mastra/*, проверьте lock-файл, откатитесь до 17 июня и пересоздайте секреты. npm, как всегда, старался. Подробности — у Tproger. | 1 326 |
| 13 |  Defender выдаёт SYSTEM
Defender должен защищать, а открывает SYSTEM. RoguePlanet — уязвимость, которую не отключить в настройках: баг в движке Malware Protection Engine. При обработке файла срабатывает race condition, и непривилегированный пользователь получает шелл с правами NT AUTHORITY\SYSTEM.
Автор: Nightmare Eclipse, за десять недель выпустивший семь zero-day. Его PoC работает на пропатченных Windows 10/11 вне зависимости от защиты. Microsoft зарегистрировала CVE-2026-50656 и обещает «качественное обновление безопасности», то есть патч.
Пока патч не вышел, приходится охотиться за артефактами: SYSTEM-шеллы от MsMpEng.exe/wermgr.exe, канал \.\pipe\RoguePlanet и %TEMP%\RP_*. | 1 243 |
| 14 |  Chrome решил, что старые блокировщики вам больше не нужны
Классический uBlock Origin в Chrome проработает до конца июня. Chrome 150 уберёт обходной флаг, в июле Chrome 151 добьёт остатки поддержки Manifest V2, старой платформы расширений. Старые блокировщики не запустятся.
Google объясняет это сложностью, техническим долгом и рисками для безопасности. Честный перевод — фильтрует слишком хорошо. Останутся uBlock Origin Lite и AdGuard на Manifest V3, новой платформе расширений, но с жёстким лимитом правил: реклама может прорываться, фильтры могут обновляться реже.
Нужен чистый трафик? План Б. Можно перейти на Firefox или другой браузер с поддержкой MV2. На Tproger. | 4 074 |
| 15 |  GitHub задыхается от кода, и Microsoft просит помощи у Amazon
Microsoft арендует мощности у AWS, чтобы GitHub не ложился от коммитов, которые генерируют ИИ-инструменты. Azure и AWS: главные конкуренты, но корпорация вынуждена удерживать свою площадку на чужих серверах.
При текущем темпе число коммитов может вырасти с 1 млрд в 2025 году до 14 млрд в 2026-м. Собственных мощностей Microsoft не хватает, и за год GitHub пережил десятки крупных сбоев.
Подробности в материале Tproger. | 1 349 |
| 16 |  LiteLLM отдаёт админку и RCE за один виртуальный ключ
Оказалось, ИИ-шлюз LiteLLM можно захватить одним ключом: рядовой пользователь → админ прокси → RCE. Obsidian Security: CVSS 9,9.
Создаёте виртуальный ключ с ["/*"] в allowed_routes, и маршруты перестают проверяться. Потом /user/update делает вас админом. Остаётся подсунуть скрипт в Custom Code Guardrail, и он скомпилирует код через exec() без фильтрации. Разбор на Tproger.
Патч — LiteLLM v1.83.14-stable, вышел 2 мая. Это не первый серьёзный инцидент с LiteLLM: до этого компрометировали PyPI-релизы и SQL-инъекцию эксплуатировали менее суток. Обновляться стоит раньше, чем объяснять утечку мастер-ключа. | 1 385 |
| 17 |  iOS 27 сама поменяет скомпрометированные пароли одним тапом
Раньше приложение Passwords только нервно моргало при утечке и отправляло вас менять пароль вручную. Теперь оно само переходит на сайт, авторизуется, находит форму смены пароля и генерирует новый. Вам остаётся один тап на одобрение операции.
Apple называет это «безопасной навигацией между сайтами», но пока не уточняет, какие данные остаются на устройстве, а какие уходят сторонним ресурсам.
Под капотом — Apple Intelligence и Foundation Models, разработанные вместе с Google и технологиями Gemini. iOS 27 выйдет осенью, бета уже у разработчиков, подробности в материале Tproger. | 1 686 |
| 18 |  Apple сделала контейнеры для Mac по-своему
Apple выложила 1.0 своего инструмента container — это способ запускать Linux-контейнеры на Mac через лёгкие виртуальные машины. Написано на Swift, работает на Apple Silicon и требует macOS 26.
Каждый контейнер живёт как изолированная lightweight VM, но при этом инструмент работает с обычными OCI-образами. То есть можно делать pull/run/push из стандартных registry, а не сидеть в отдельном мире.
Конечно, как замену Docker Desktop для всех и сразу это воспринимать нельзя: проект только дошёл до 1.0, а поддержка завязана на свежую macOS и Apple Silicon. Но как направление выглядит любопытно. Apple явно хочет, чтобы контейнерный workflow на Mac был ближе к нативной виртуализации, а не к компромиссу вокруг Linux на macOS. | 1 345 |
| 19 | Anthropic релизнула Fable 5, в подписках уже есть с тратами х2 от Opus до 22 июня.
Это тот самый Mythos, но занерфенный так, что на некоторые запросы скатывается к Opus. Какие именно запросы модель сама решает, вроде как это всё для безопасности, чтобы мы резко не взломали всё вокруг. На практике будет ли это мешать кодить — будем проверять.
После 22 июня доступ закроют, будет только Usage или API за 10/50 баксов за 1м токенов. Когда включат обратно в подписку не говорят, «так быстро, как сможем».
В релизе много слов про то что вот и тут мы круче всех и здесь круче и капец как это поражает и как это всё опасно бла бла. Может у меня настроение сегодня такое, но меня всё больше смущает этот прогресс, когда вроде бы круче, но при этом дольше, дороже и ну не прям круче, чтобы уже AGI. Лимиты на этот Fable будут в секунду улетать. Прогресс, конечно, не остановить, но движение в сторону ускорения и удешевления мне кажется как минимум равнозначно важным, а может и важнее.
@neuro_channel | 1 197 |
| 20 |  Drew DeVault выпустил Vim Classic: редактор из параллельной вселенной без Vim9 script
Помните, как в 2022-м Bram Moolenaar выпустил Vim 9 с новым диалектом Vim9 script? Обещали прирост производительности, но плагины пришлось адаптировать, а часть сообщества восприняла это как разрыв с традициями.
Дрю Дево, создатель SourceHut и автор Sway, собрал форк Vim Classic 8.3.0 — стабильный LTS на базе Vim 8.2.0148 с бэкпортом багфиксов и патчей безопасности. Никакого Vim9 script, только классический синтаксис. Как будто Vim развивается в параллельной вселенной без революций.
Разработчики признают, что не перенесли все тысячи патчей с момента 8.2, так что старые баги могут всплыть. Проект рекомендуют энтузиастам, готовым к рискам ради предсказуемости. | 1 515 |
