Разработчики Microsoft представили сканер, способный обнаруживать бэкдоры в open-weight языковых моделях. Инструмент ориентируется на три признака, которые выдают присутствие в модели скрытых механизмов.
Для подписчиковConfluence — не просто корпоративная база знаний, а еще и удобная точка опоры для хакера в организации. В этой статье мы разберем актуальный пример «атаки у водопоя» с внедрением JS-бэкдора в основную форму аутентификации Confluence.
В платформе для автоматизации рабочих процессов n8n обнаружили критическую уязвимость, позволявшую выполнять произвольные команды на стороне сервера. Проблема, получившая идентификатор CVE-2026-25049 (9,4 балла по шкале CVSS), затрагивает механизм песочницы, который должен изолировать выполнение JavaScript-выражений в рабочих процессах.
Почему Python больше не могЁтМне нравится Python, неплохой язык. Он неплох для прототипирования, ML и скриптов (фсё). Но когда ты пишешь Strike Force — инструмент для активного Red Teaming, который должен молотить тысячи запросов в секунду, анализировать заголовки и уклоняться от WAF — Python начинает хромать как сивая кобыла.Проблемы, с которыми я столкнулся:GIL (Global Interpreter Lock): Даже с asyncio я упирался в CPU bound при генерации трафика и парсинге ответов.Dependency Hell: Поддержива…
Подробный технический разбор: как создать масштабируемое гибридное SaaS-хранилище для данных из области анализа безопасности.В области SaaS-безопасности наиболее уязвимая плоскость атаки — это объём данных. При создании платформы для обнаружения мошенничества, аномалий или нарушения соответствия в таких корпоративных средах как Google Workspace или Microsoft 365, одной обработки данных недостаточно. Кроме этого приходится поглощать миллионы электронных сообщений, логов о прикреплённых файлах и …
Обзор на браузерные API, которые стали Widely available в январе 2026. Раз в месяц я буду вам напоминать, что вы уже можете использовать в проде. Каждый месяц выходят новые CSS-свойства, HTML-атрибуты, JavaScript-методы и WebAPI, но применять в проде мы их конечно же не будем. 2.5 года назад также каждый месяц выходили новые фичи в браузере, а вот их уже пора начинать применять.Как мы понимаем, что уже можно использовать в проде?У каждой компании, да что уж там компании, у каждой команды в комп…
Visualize, collaborate, and evolve the software architecture with always actual and live diagrams from your codeArchitecture as a code Visualize, collaborate on, and evolve your software architecture with always up-to-date, live diagrams generated from your code. docs - playground - demo What is LikeC4? Why "like"? LikeC4 is a modeling language for describing software architecture and tools to generate diagrams from the model. LikeC4 is inspired by C4 Model and Structurizr DSL, b…
В конце декабря 2025 года аналитики F6 обнаружили странный семпл. Сначала специалисты решили, что это обычный шифровальщик, но при разборе выяснилось — малварь лишь имитирует шифрование. На самом деле это блокировщик, который не трогает файлы, а просто не дает работать с ОС. В записке на зараженном устройстве значилось, что «файлы и диски зашифрованы командой Legion», о которой ранее никто не слышал.
Минцифры в пятый раз расширило «белые списки» сайтов и сервисов, работающих в периоды отключений мобильного интернета по соображениям безопасности. В новую волну вошли банки, службы доставки, СМИ и региональные ресурсы.