Prompt injection нельзя запатчить: год «летальной триады» и лента CVE 2026 года
В марте 2026-го бэкдор пролежал на PyPI около трёх часов. За это время заражённый пакет скачали почти 47 тысяч раз. Пакет назывался LiteLLM — это шлюз…
Open Source
⚑ Report a ProblemLatest Open Source news from Tech News
All topics
AI
agents
ai
api
architecture
automation
aws
beginners
career
claude
database
devchallenge
devops
javascript
linux
llm
machinelearning
mcp
opensource
performance
productivity
programming
python
react
security
showdev
softwareengineering
tutorial
typescript
webdev
Тренды развития облачного рынка России 2026: что показал опрос более 400 компаний
Пока мы готовили новое исследование Apple Hills Digital , интереснее всего показались не сами по себе цифры, а внутренние противоречия рынка. Они пока…
Browser Policy Manager: история создания и технические решения
Я около десяти лет занимаюсь русской локализацией Mozilla и сейчас являюсь лидером русской локализации. За это время я много раз видел Firefox с польз…
Когда AI ошибается уверенно
Это третья глава серии про AI Innovation Lab — исследовательскую площадку, где я строю AI-augmented SOC: систему из шести AI агентов, которая следит з…
Как я приручил Wazuh: от сотен ложных срабатываний к рабочему набору правил
Wazuh – это open-source SIEM, который собирает логи, детектирует подозрительную активность и умеет на неё реагировать. Инструмент хороший, но дефолтны…
Что не так с ИБ в опенсорсе и при чем тут ИИ (опять)
Системы ИИ уже способны переписать открытый проект с нуля — и сделать это за считаные минуты. Часть ИТ-сообщества видит в этом проблему , в первую оче…
Western Digital создала жесткий диск с защитой от квантовых атак: разбираем, как он работает
Разговоры о квантовых угрозах уже давно вышли за пределы научных лабораторий и стали частью повседневных обсуждений в IT-сфере. Данные, накопленные за…
Fanotify — что он может дать по сравнению с inotify и что попросит взамен
Привет, Хабр! На связи Даниэль из InfoWatch, разработчик решений класса информационной безопасности. В предыдущей статье мы рассматривали задачу контр…
Black-box пентест: как одна панель управления раскрыла 30 поддоменов и Zabbix в открытом доступе
Недавно мне поступила задача: провести внешний black-box пентест клиентской панели управления. Входных данных — минимум: только URL. Ни IP-диапазонов,…
Пещера Алладина для безопасника: 754 навыка для AI-агента и что будет, если использовать их для своего NGFW
Разбираемся с открытой библиотекой Agent Skills для кибербезопасности на 754 навыка, показываем, как она устроена, и проводим живой эксперимент: даём …
Голливуд вбухал миллионы в защиту DVD, а сломал её норвежский школьник, которому просто хотелось смотреть кино на Linux
Значит так. Есть такой расхожий сюжет: жадные корпорации придумали защиту, а злые хакеры её взломали. Красиво, драматично, и конечно-же неправда. С за…
Контроль целостности трёх «К» в Kubernetes: как не доставить в прод вредоносный код
Между сборкой контейнера в CI и его запуском на узле есть длинная цепочка, в которой злоумышленники могут что-то подменить. Образ в registry, слои на …
(Не)безопасный eBPF: что маркетологи забыли упомянуть об уязвимостях
eBPF называют «безопасным по умолчанию». Но что, если это не так? Все хвалят eBPF за «безопасность и изоляцию». Но что если данные из вашей eBPF-мапы …
Zero Trust для подрядного доступа: четыре слоя Identity, Device, Access и Monitoring
По данным BI.ZONE , почти треть инцидентов с шифрованием в России в 2025 году пришлась на атаки через подрядчика. Не через FW-периметр, а через легити…
Zero Trust для подрядного доступа: четыре слоя Identity, Device, Access и Monitoring
По данным BI.ZONE , почти треть инцидентов с шифрованием в России в 2025 году пришлась на атаки через подрядчика. Не через FW-периметр, а через легити…
«Насколько вы контролируете то, из чего состоит ваш продукт?». Как и зачем проводить Open Source Analysis
Привет! Меня зовут Руслан, я инженер в отделе развития процессов безопасности в YADRO. Сегодня поговорим об открытом исходном коде (open source). В ми…
CyLab Security Academy: как Carnegie Mellon превратила CTF в полноценную обучающую платформу
Вход в кибербезопасность почти всегда начинается с одной и той же проблемы: непонятно, с чего именно начинать. Теория без практики быстро забывается, …
Как меня назвали «невовлечённым», а я нашёл офшоры на Кипре
«Бизнес — это не то, что написано на сайте. Это то, что написано в налоговой декларации.» Мне заблокировали доступ к GitLab. За неделю до этого я нашё…
Bus factor = 1: 22 критичные для индустрии библиотеки, которые держатся на одном человеке
Где-то прямо сейчас один программист не спит и патчит баг в библиотеке, от которой зависит половина интернета. Он делает это бесплатно. Его никто не з…
Взлом GitHub-репозиториев Grafana Labs: как атака на цепочку поставок npm привела к краже кодовой базы и вымогательству
Часть I: Первопричина - атака Mini Shai-Hulud на экосистему TanStack Цепочка поставок как вектор атаки 11 мая 2026 года, в промежутке с 19:20 до 19:26…
Безопасное внедрение ИИ в корпорации: 3 архитектурных подхода и опыт Alpina Digital
88% компаний используют ИИ, но только 1% достиг зрелости. Главный барьер — не технология, а безопасность данных. Что мы делали два года и почему пришл…
Ваш Telegram-бот на базе LLM уязвим. Я написал сканер, чтобы доказать это на популярном Open Source проекте
TL;DR: Я создал BarkingDog — ИИ-сканер безопасности с открытым исходным кодом для Telegram-ботов и веб-приложений на базе LLM. Затем я натравил его на…
Fail2Ban больше не нужен? Разбираем PerSourcePenalties в OpenSSH на Ubuntu 26.04
Начиная с OpenSSH 9.7, sshd умеет автоматически ограничивать на время подозрительные IP без Fail2Ban и iptables. В Ubuntu 26.04 эта функция уже включе…
Утопали в дефектах, пока собирали «единое окно»
«У нас было два пакета findings SAST’а, семьдесят пять CVE с критичностью — Critical, пять дублей одной и той же CVE в разных сервисах, пол солонки fa…
Топ новостей инфобеза за апрель 2026 года
Всем привет! Собрали самые интересные ИБ-события апреля в наш дайджест. В прошлом месяце в заголовках гремела Mythos от Anthropic, в очередной раз зая…
Троянский форк: от шалости до крита
Форк репозитория — операция настолько привычная, что на нее редко смотрят с подозрением. Но что, если через обычный форк можно запустить произвольный …
Nonce Observatory:
Nonce Observatory: как превратить цифровые подписи в систему наблюдаемых nonce-инвариантов Большинство историй про ECDSA/Schnorr nonce звучит одинаков…
Краткая история биометрии: как появилось распознавание по голосу
Мы продолжаем рассказывать про краткую историю биометрии. И нам осталось рассказать о распознавании голоса человека. Историю биометрии голоса об…