ИБ-исследователь Chaotic Eclipse (он же Nightmare Eclipse) опубликовал на GitHub новый 0-day-эксплоит для Windows под названием MiniPlasma. Уязвимость позволяет локально повысить привилегии до уровня SYSTEM на полностью пропатченных системах под управлением Windows 11.
Линус Торвальдс (Linus Torvalds) раскритиковал поток сгенерированных ИИ баг-репортов, который, по его словам, делает рассылку, посвященную вопросам безопасности ядра Linux, «практически неуправляемой». Проблема, как считает Торвальдс, заключается не в самих ИИ-инструментах, а в том, как именно их используют исследователи.
Группировка Leek Likho (она же SkyCloak и Vortex Werewolf) продолжает атаковать российские организации и все активнее использует ИИ в своих операциях. Как сообщают исследователи «Лаборатории Касперского», в новых кампаниях злоумышленники применяют большие языковые модели для генерации вредоносных скриптов, имен файлов и различных артефактов под конкретные цели.
Для подписчиковВ Linux права на локальные действия часто зависят не только от пользователя, но и от того, считает ли система его сессию активной. В этом райтапе я покажу, как подделать окружение PAM, заставить polkit признать SSH-сессию локальной, а затем через udisks смонтировать подготовленный образ файловой системы и получить root за счет сохраненного SUID-бита.
ИБ-исследователи из компании Cyera раскрыли сразу четыре уязвимости в OpenClaw, которые можно объединить в полноценную цепочку атаки, названную Claw Chain. По словам специалистов, баги позволяют атакующему закрепиться в системе, похитить конфиденциальные данные и получить устойчивый контроль над зараженной машиной.
Три часа ночи, алерт, сервис отдаёт 500. Открываете логи и видите:2026-05-12 03:14:22 ERROR Something went wrong 2026-05-12 03:14:22 ERROR Failed to process request 2026-05-12 03:14:23 ERROR Unexpected error occurred 2026-05-12 03:14:23 INFO Request completedКакой запрос сломался? Какой пользователь? Какой endpoint? Что за ошибка? В логе этого нет. Вы начинаете прыгать по timestamp, пытаетесь руками сопоставить строки друг с другом, а если сервис обрабатывает 100 запросов в секунду, логи от ра…
Каждый, кто пишет Telegram-ботов на Node.js / TypeScript, знает про библиотеку Telegraf.js. Это был стандарт индустрии. Ключевое слово — «был». Оригинальный репозиторий фактически заброшен майнтейнерами, пулл-реквесты годами висят без ответа, а сам фреймворк застрял в прошлом.Пока Telegram один за другим выкатывает масштабные апдейты (Звёзды, Подарки, Бизнес-аккаунты, Улучшенные медиа), официальный Telegraf не поддерживает ничего из этого.Мне надоело смотреть на падающие в продакшене боты и гор…
Real-time в Laravel-проекте не должен начинаться с прямого HTTP-запроса к Centrifugo из контроллера. Это быстрый путь к связанному коду, нестабильной архитектуре и ошибкам синхронизации между frontend и backend. Правильная публикация событий из Laravel в Centrifugo строится иначе: Laravel меняет состояние системы, создаёт событие приложения, listener передаёт задачу в queue job, а job уже публикует минимальный payload в Centrifugo.Такой подход особенно важен для проектов, где real-time обновлен…
Real-time система не заканчивается на том, что backend опубликовал событие в Centrifugo. Это только половина работы. Вторая половина начинается на фронтенде и в эксплуатации: подключение клиента, обработка входящих сообщений, переподключение, истечение токенов, потеря сети, восстановление состояния, Nginx, секреты, логи и мониторинг.На локальной машине всё работает красиво: событие отправилось, WebSocket получил payload, интерфейс обновился. Потом проект попадает в production, пользователь откр…