Для подписчиковЕсли пользователю разрешили запускать служебный скрипт через sudo, опасность может скрываться в обычном чтении файлов: запрет прямых путей и одиночных символических ссылок можно обойти цепочкой ссылок и заставить скрипт вывести закрытый ключ root.
Эксперты компании Palo Alto Networks обнаружили новую технику атак, которой дали название phantom squatting. Злоумышленники регистрируют несуществующие домены, которые «придумывают» LLM, а затем размещают на них фишинговые страницы и малварь. В результате пользователь попадает на опасный сайт не через фишинговое письмо или вредоносную рекламу, а через ИИ-инструмент, которому доверяет.
Я уже давно думал об одной вроде небольшой, но на самом деле изрядно, по крайней мере меня, доставшей backend‑проблеме.В зависимости от подхода, конечно, но зачастую, мы уже знаем, какие операции и с какими сущностями нам предстоит работать, создавая REST сервис. Но написание моделей и запросов к базе данных всегда проходит лишь как один из этапов написания слоистой архитектуры будущего приложения/микросервиса. Несмотря на опыт, всё же приходится многократно проходить ручную сборку одних и тех …
Представьте себе высоконагруженный сервис, который решает, с какого из множества складов нужно отправить товар покупателю. В пике через него проходит около 600 000 RPS, а строгий SLA требует ответа в пределах 50 мс. Для расчёта нужно за минимальное время выбрать оптимальный склад с учётом остатков, доступности и других данных, которые хранятся в разных микросервисах и их базах данных.Первое, что приходит на ум, — обратиться к этим сервисам по API во время запроса и получить всё необходимое для …
any, as и ! выключают проверку типов; unknown и проверка на границе заставляют доказать форму данных.any, as и ! не выполняют обещание типа. Сначала спросите: я знаю форму данных или просто утверждаю? Это вторая статья цикла о TypeScript и React глазами code review. Предыдущая — «Нужен ли здесь useEffect? 12 сценариев из React-код-ревью — от производного состояния до React 19.2».Красная волнистая линия под строкой раздражает, и самый быстрый способ её убрать — дописать any, as или !. Компилятор…
A self-hostable bookmark-everything app (links, notes and images) with AI-based automatic tagging and full text search Karakeep (previously Hoarder) is a self-hostable bookmark-everything app with a touch of AI for the data hoarders out there. Features 🔗 Bookmark links, take simple notes and store images and pdfs. ⬇️ Automatic fetching for link titles, descriptions and images. 📋 Sort your bookmarks into lists. 👥 Col…
Give Claude the ability to watch any video. /watch downloads, extracts frames, transcribes, hands it all to Claude./watch Give Claude the ability to watch any video. Claude Code (recommended — auto-updates via marketplace): /plugin marketplace add bradautomates/claude-video /plugin install watch@claude-video Codex, Cursor, Copilot, Gemini CLI, or any of 50+ Agent Skills hosts: npx skills add bradautomates/claude-video -g (-g installs globally for your user, available across all projects. Drop …
Я хотел использовать Claude прямо в мессенджере MAX — без браузера, без переключения контекста. Готового решения не было. Нашёл на GitHub китайский проект cc-connect — Go-фреймворк с plugin-архитектурой для подключения AI-агентов к мессенджерам. Telegram, Feishu, Discord там были. MAX — нет.Написал адаптер, открыл PR. Приняли. Теперь поддержка MAX — часть основного репозитория.Что такое cc-connectcc-connect — Go-фреймворк с чёткой трёхслойной архитектурой:core/ — ядро: интерфейсы, engine…
привет, Хабр! на днях по новостным лентам пронеслась тревожная весть: российский сегмент интернета столкнулся с беспрецедентной DDoS-атакой мощностью в 2,56 тбит/с при интенсивности в 1 миллиард пакетов в секунду. специалисты StormWall назвали это «генеральной репетицией чего-то большего» и отметили, что за атаками стоит хорошо подготовленная команда, тестирующая новый ботнет.сам StormWall название ботнета не назвал — в их отчете речь идет просто о «ботнете нового поколения». дальше в статье я …