Kurgan-Telecom Ru | Информационные технологии

25 апреля 2026, пятница вечером. Jer Crane, основатель PocketOS, смотрит, как AI-агент Cursor удаляет его production-базу. Со всеми бэкапами. За 9 секунд.

Потом Jer спрашивает у агента — почему? И получает дословное признание: «I guessed instead of verifying. I violated every principle I was given».

Модель помнит правила. Цитирует их. И всё равно нарушает.

Это разбор трёх таких случаев — и трёх защит, которые я внедрил у себя после.

Тема импортозамещения и цифрового суверенитета в российском IT давно стала обыденностью: мы переходим на отечественные ОС, внедряем локальные ERP‑системы и развиваем свои платформы. Но в сфере геймдева дискуссии обычно сводятся к нехватке кадров и инвестиций. Однако на днях в инфополе прозвучало куда более радикальное предложение.

Видеоблогер Deep_DEP Game выпустил масштабный манифест (охвативший YouTube, формат Reels и лонгрид на Дзене), в котором открыто поддержал действия РКН и призвал пойти дальше — заблокировать флагманские зарубежные релизы вроде GTA 6, The Sims и проекты от Electronic Arts и Take‑Two. По его мнению, только жесткий протекционизм поможет взрастить внутреннюю AAA‑индустрию.

Давайте разберем основные тезисы этого выступления, ведь они затрагивают не только эмоции геймеров, но и вполне реальные вопросы IT‑бизнеса, юрисдикций и локализации.

В статье «Извлечение и обработка требований из документов с помощью NLP-инструментов» я уже показывал, как переход от LLM к NLP-библиотекам помогает ускорить обработку текста. Это, конечно, не значит, что нужно совсем отказываться от LLM — они незаменимы для генерации текста и сложных рассуждений. Но чтобы определить, что «кошками» — это творительный падеж множественного числа существительного «кошка», действительно не нужен миллиард параметров нейросети. Для задач лемматизации, POS-тегирования и определения падежа существуют специализированные инструменты, которые работают быстрее, обходятся дешевле и зачастую точнее LLM в конкретных доменах. Это подтверждают годы их использования в поисковых системах, email-фильтрах и чат-ботах.

Я поискал готовые обзорные статьи и нашёл несколько интересных материалов, которыми хочу поделиться.

Kufar.by - это примерно как avito.ru, только в Беларуси. После очередного “улучшения” там стало невозможно выбирать авто и недвижимость: цены показываются только в белорусских рублях, хотя рынок всегда будет в долларах (боже, храни Америку). Поэтому я сделал небольшой Chrome Extension, который добавляет рядом ориентировочную цену в долларах. Пока только для авто и недвиги. И да, по ощущениям, ЛПРы, которые это выкатывали, никогда не покупали ни то ни другое на своём сайте.

Деплоите LLM? Значит, обвешиваете её гардами. Сначала safety, потом PII, потом prompt injection, потом toxic BERT - и в один прекрасный день обнаруживаете, что у вас 5 классификаторов на каждой ноде и 20 forward-ов на один пользовательский запрос.

GLiNER Guard (GLiGuard) - возможность схлопнуть этот стек в единый schema-driven энкодер. И да, его можно тоже промптить: через zero-shot + description.

Итак, в предыдущей части мы остановились на поиске решения задачи линейной регрессии. Сформулировали в общем виде задачу машинного обучения, поняли суть параметров, рассмотрели функции ошибок и начали копать в сторону линейной регрессии.
Ещё раз повторю, что этот цикл статей является лишь взглядом на ML с моей колокольни, так что он не обязательно является истиной во всех редакциях в последней инстанции. Так что буду рад всякому, кто исправит меня, коли сверну не туда.

К весне 2026 года картинка стала почти ритуальной. XBOW занял первое место на HackerOne, обогнав тысячи живых багхантеров, и в марте закрыл Series C на сто двадцать миллионов долларов с интеграцией в Microsoft Security Copilot. Anthropic Mythos Preview в системной карте отчитывается о тысячах найденных zero-day в основных операционках и браузерах. Все мерят возможности в атаках: ASR на CVE-Bench, скорость, место в лидерборде, выручка за квартал и то как он помогает защищать большие организации.

Никто почти не задаёт встречный вопрос. Простой. А насколько защищён сам пентестер?

Серьёзно. Вы выкатываете автономного агента, который ходит по чужой инфраструктуре, читает баннеры, парсит HTTP-ответы, исполняет команды по результатам сканеров. Все эти каналы являются приёмниками недоверенных данных, а значит, канал восприятия здесь же оказывается каналом захвата. Пентестер скептически смотрит на подозрительно открытый FTP с anonymous-входом и на файл passwords.txt посреди десктопа. AI-агент идёт по бумажке. И если бумажка перевёрнута, идёт по перевёрнутой бумажке.

Моя статья - попытка собрать в одном месте всё, что в открытом доступе известно про обратную сторону: про то, как этого AI-пентестера ловят и что с ним делают, когда поймают. Спойлер: содержательный фронтир составляют четыре академические работы последнего года и один фреймворк для реального использования. Всё остальное - академическая графомания.

О, вам нравится SSH? А перечислите-ка все флаги!

Приветствую

Все мы видели эти красивые схемы, демонстрирующие, как в SSH устроен проброс  портов. Но, если мы с вами мыслим хотя бы немного схоже, то эти схемы оставляют у вас больше вопросов, чем дают ответов. Если вы за «красных» в области компьютерной безопасности, то, чтобы обрести в сети суперсилу и в дальнейшем бесчинствовать, вы должны понимать сеть лучше, чем те, кто её проектировал. Один из инструментов, наделяющих вас такой суперсилой — SSH. Но иногда нам мешают добиться поставленных целей сам синтаксис инструмента и другие концепции, на основе которых этот инструмент работает. Чтобы вы могли бесчинствовать эффективнее, не срывая сроков, я собрал для вас длинный список присущих SSH штук, которые я нахожу полезными. Хорошо, если вы его тоже почитаете, но составлял я его в основном для себя. Заметил, что сам я качественно усваиваю те или иные концепции, только если, изучая информацию, повторяю упражнения на клавиатуре. В этом посте я, в сущности, рассказываю, чему научился таким образом. Должен отметить, что во всех этих примерах я демонстрирую проброс портов при помощи веб-сервера, но таких же результатов можно добиться и при помощи почти любого сервиса, в частности, RDP, SQL, т.д.

Группа компаний "Орион" (более известная под маркой "Орион Телеком") - крупный провайдер услуг интернета, телевидения и телефонии в Сибири. Компании группы используют единую сетевую и серверную инфраструктуру.

30.07.2025 г. на сайте Орион Телекома появилось объявление о возможной утечке персональных данных в результате кибератаки 12.06.2025. За пару месяцев до этого как раз вступили в силу новые "дорогие" штрафы за масштабные утечки (так называемые "оборотные штрафы за утечки", хотя они не оборотные на самом деле). У Ориона появился шанс одним из первых испытать на себе их применение.

Роскомнадзор составил протоколы об административных правонарушениях в отношении 6 компаний группы. Четырем компаниям грозил штраф от 5 миллионов (ч. 13 ст. 13.11 КоАП РФ), одной - от 3 миллионов (ч. 12 ст. 13.11 КоАП РФ) и еще одной - от 300 тысяч (ч. 1.1 КоАП РФ).

Какая часть ст. 13.11 КоАП РФ будет применена к оператору, зависит от количества затронутых утечкой субъектов перс.данных, то есть попросту от количества людей, чьи данные утекли. Зная, по какой части ст. 13.11 КоАП РФ составлен протокол об административном правонарушении, можно прикинуть масштаб утечки. Итак, у четырех компаний Ориона утекли данные от 10 до 100 тысяч субъектов, у одной - от 1 тысячи до 10 тысяч субъектов и еще у одной - менее тысячи субъектов.

Осенью 2025 г. материалы поступили в арбитражные суды (АС Красноярского края, АС Иркутской области и АС Республики Хакасия) и началось судебное разбирательство, итогов которого с интересом ждали специалисты по информационной безопасности и персональным данным. Ждали-ждали и наконец дождались.

Локально docker-compose.yml обычно выглядит «рабочим» ровно до момента, пока сервис не уезжает на сервер. Потом внезапно заканчивается память, контейнеры не поднимаются после падения, логи разрастаются на десятки гигабайт, а Docker продолжает считать зависшее приложение живым.

В статье — пять настроек Compose, про которые почти всегда вспоминают уже после первого инцидента в проде: лимиты ресурсов, restart policy, healthcheck, ротация логов и работа с volumes.

Email spoofing существует столько же, сколько сам SMTP — протокол, который изначально не предусматривал никакой проверки отправителя. В статье на живом примере разбираю, как отправить письмо от чужого имени через telnet, почему SPF и DKIM не всегда спасают и что нужно настроить, чтобы защитить свой домен.

В прошлой статье было показано, что обычный MacBook Pro M2 16GB может с оговорками решать инфраструктурные проблемы используя локальную LLM. В этой статье будут показаны результаты решения более сложных инфраструктурных задач на более тяжеловесных моделях.

Мой личный выбор - Qwen3.6-35-A3B для проблем, которые сформулированы общими словами, Gemma4-26B-A4B - для чётко описанных проблем. Далее обо всём этом подробнее.

Сегодня прошла главная ежегодная конференция Google — I/O 2026. Анонсов столько, что технические TG-каналы захлёбываются хайпом, но в каждом втором посте — преувеличение или путаница в деталях. Собрал трезвый разбор: что реально вышло сегодня, что только обещано к концу года, что доступно глобально, а что только в США за $200/мес. Плюс собственная оценка — где это меняет правила игры для индустрии, а где обычная I/O-помпезность

Срочно переписывайте свои устаревшие bloom фильтры на мой богоподобный lz77-фильтр. Совершенно бесплатно! Спасибо великому нанабанана за обложку!

Еще недавно создание ролика требовало камеры, оператора, монтажа, света, актеров, локации и бюджета. Даже короткое видео для рекламы или соцсетей могло занимать несколько дней. Сейчас все заметно проще: генерация видео позволяет получить готовый ролик по тексту, фото, картинке или даже на основе другого видео. Пользователь описывает сцену, выбирает модель, задает движение камеры, настроение и стиль — а нейросеть собирает короткое видео.

Но вместе с удобством появилась новая сложность. Инструментов стало много, и каждый работает по-своему. Одна нейросеть для генерации видео лучше делает сцены с людьми, другая — динамичные сцены, третья — оживляет фото, четвертая подходит для рекламных роликов. Поэтому, если вы хотите создать ИИ видео, важно понимать не только названия моделей, но и то, для каких задач они подходят.

Удивительно, как за такой короткий период времени нейросети для генерации песен стали фигурировать в мировых чартах, не говоря уже о массовом появлении в социальных сетях, в YouTube, в TikTok и рекламе. Впрочем, это не удивительно, ведь сегодня каждый может создать уникальную дорожку, не обладая музыкальным образованием и даже слухом. Весь процесс за Вас могут выполнить нейросети. Но есть две проблемы — цензура и недоступность в нашем гео. Мы — команда Era2.ai, которая постаралась решить обе задачи и предоставить готовый продукт, доступный для нашего читателя. Рассмотрим лучшие модели нейросетей для песен 2026 года и сравним, что лучше использовать сегодня для генерации музыки. 

Базовая теорема машинного обучения гласит, что нейросеть с одним скрытым слоем может выучить любую функцию в мире, если сделать этот слой достаточно широким. Но на практике создатели SOTA моделей всегда выбирают глубину. В этой статье мы разберем геометрическую и физическую разницу между масштабированием ширины (d_model) и глубины (num_layers). Мы посмотрим, как нелинейности складывают латентное пространство словно оригами, почему логический вывод математически невозможно распараллелить, и почему широкие сети обречены на зубрежку, а глубокие способны к абстракции.

Я работаю с Codex каждый день и со временем собрал поверх него систему оркестрации: 4 локальных skill (setup, stage, router, closeout), .codex/orchestrator.toml как машинный контракт и обязательная Parallel Decomposition Matrix перед делегированием. Сверху — Beads как трекер задач и Superpowers как процессные skill. Что это даёт на практике: — параллельный запуск независимых streams, когда write zones не пересекаются; — видимые spawned subagents — можно кликнуть и зайти в каждого отдельного агента, полная наблюдаемость; — чистый контекст основного оркестратора: он диспетчер, а не исполнитель, токены тратятся только на координацию; — нулевой silent debt — закрытие этапа требует evidence. История того, как я к этому пришёл — полгода с большим AGENTS.md на 30 КБ, который не работал. Проблема была не в правилах, а в том, что одно полотно правил это не контракт, а эссе. В статье: фрагменты toml, шаблон worker-контракта, golden prompts, грабли с inline-делегированием. Архив со всеми 4 скиллами прикладываю к посту в моём Telegram-канале — можно скачать и поставить себе.

В прошлой статье про AI-native организации я писал, что AI-native — это не компания, в которой всем выдали доступ к LLM и поставили несколько ботов в мессенджер. Ключевой переход начинается когда компания умеет описывать свою работу так, чтобы ее можно было исполнять, проверять, передавать по маршруту и постепенно делегировать отдельные шаги AI-агентам.

Эта статья — про один из таких практических шагов. Я хочу рассказать, как мы у себя в компании автоматизировали процессное управление на базе BPMN 2.0 моделей, Camunda и Битрикс24 и получили операционный контур, в котором процесс — это не регламент и не картинка BPMN, а исполняемый маршрут с задачами, контекстом, переменными процесса и передачей контекста между шагами.

Всем привет!

После публикации прошлой статьи про шаблон для микропроектов я получил много полезной критики. Часть замечаний оказалась настолько хорошей, что я решил пересобрать некоторые архитектурные решения и заодно переосмыслить сам подход к MVP-разработке в эпоху AI-агентов.

В конце статьи я оставлю ссылку на свой DEV-блог, если захотите узнать больше о соло-разработке SaaS продуктов.

Первым делом давайте разберём пару интересных замечаний с прошлой публикации и проработаем их. Если что, версия шаблона, которую мы улучшаем в гите в коммите 55505089d7fee07e1579839b2983b7c8f4227d7c.