10145
Новости технологий: важные, смешные, родные Разместить рекламу: @tproger_sales_bot Правила общения: https://tprg.ru/rules Другие каналы: @tproger_channels Регистрация в перечне РКН: https://tprg.ru/5GyZ
Docker игнорирует плагины авторизации, если запрос достаточно большой
CVE-2026-34040 — новая уязвимость в Docker Engine с оценкой 8.8, и она достаточно элегантна, чтобы расстроиться. Если HTTP-запрос к API весит больше 1 МБ, Docker просто не передаёт тело запроса плагину авторизации. Плагин видит пустой запрос и разрешает его. Любой плагин, любой запрос.
В результате атакующий запускает привилегированный контейнер с root-доступом к файловой системе хоста. При этом, как отмечают исследователи, этим можно воспользоваться автоматически — ИИ-агенты вроде OpenClaw способны эксплуатировать баг без единой строчки вредоносного кода.
Особенно обидно, что это не первый круг. CVE-2024-41110 с оценкой 10.0 закрывали ещё в июле 2024-го, и закрыли не до конца.
Фикс — Docker Engine 29.3.1. Если обновиться сейчас нельзя: переходите в rootless-режим и ограничивайте доступ к Docker API.
@your_tech (теперь ещё в VK и Max)
Исследователь Anthropic нашёл 23-летнюю уязвимость в ядре Linux с помощью Claude Code
На конференции по безопасности ИИ [un]prompted 2026 Nicholas Carlini поделился тем, как нашел Heap buffer overflow в NFS-драйвере ядра Linux. Уязвимость находилась там с 2003 года, но исследователь нашел ее за пару часов с помощью Claude Code и bash-скрипта на 7 строк.
Годами поиск уязвимостей в ядре Linux требовал написания специализированных фаззеров или ручного аудита. Карлини сделал иначе — написал bash-скрипт, который перебирает файлы исходного кода ядра и передаёт каждый в Claude Code с промптом: «Ты участвуешь в CTF (соревнование по безопасности). Найди уязвимость. Подсказка: смотри файл X».
Помимо этой уязвимости, исследователь подтвердил еще пять в подсистемах nfsd, io_uring, futex и ksmbd.
Подробности: https://tproger.ru/news/issledovatel-anthropic-nawyol-23-letnyuyu-uyazvimost-v-yadre-linux
@your_tech (теперь ещё в VK и Max)
Абсолютно проклято: разраб сделал будильник, который будет орать до тех пор, пока не зайдешь в туалет.
Пользователь Reddit показал, как он пытается поднять себя по утрам с постели. Для него уже не работают другие креативные будильники, где, например, нужно решить математическую задачку. Он решал и снова ложился спать.
Он понял: нужно что-то, что в любом случае заставит его встать с кровати. Так ему пришла идея этого будильника. Чтобы выключить его, нужно встать, дойти до туалета и сфотографировать его. Заснуть после этого намного сложнее.
Ваши варианты, как можно хакнуть систему?
Баг в Bun мог стать причиной утечки исходного кода Claude Code
31 марта 2026 года через npm утекли более 500 000 строк исходного кода Claude Code. Причиной стал файл source map, который не должен был попасть в публичный пакет. Теперь сообщество обратило внимание на возможную техническую причину — баг в Bun, рантайме, который Anthropic сама приобрела четыре месяца назад.
Иронично, что про баг знали за 20 дней до утечки, но за это время его не исправили. При этом Anthropic позиционирует себя как «safety-first» ИИ-компанию.
Что за баг такой, и полный разбор утечки уже на сайте: https://tproger.ru/news/bag-v-bun-mog-stat-prichinoj-utechki-ishodnogo-koda-claude-code—
@your_tech (теперь ещё в VK и Max)
Apple отказалась строить собственные LLM — Siri переведут на Gemini
Компания так и не смогла догнать коллег в гонке ИИ, поэтому Apple решила сфокусироваться на том, в чем сильна: железе, приватности и пользовательском опыте. Для LLM там интегрируют внешние модели — Google Gemini и Anthropic Claude.
На практике это означает: Siri использует Gemini или Claude для сложных генеративных запросов, а Apple фокусируется на том, как упаковать ответ в привычный интерфейс с максимальной приватностью.
Другие ключевые выводы читайте на сайте.
@your_tech (теперь ещё в VK и Max)
Представлен дистрибутив Ageless Linux — он создан в знак протеста против законов о проверке возраста
Проект позиционирует себя как систему «для людей неопределённого возраста» — вместо реальной проверки он возвращает заглушку с ошибкой, заявляя, что возраст всех пользователей не определен.
Цель — показать абсурдность законов, которые, по мнению создателей, создают скорее инфраструктуру слежки и непосильную нагрузку на небольшие Open Source-проекты, тогда как крупные игроки легко адаптируются под новые правила.
Выглядит это так: скрипт become-ageless.sh превращает любой Debian в Ageless Linux: меняет идентификацию системы, добавляет фиктивный API и фиксирует факт отказа от соблюдения требований.
В будущем авторы обещают расширять инструмент для нейтрализации подобных механизмов в Fedora, Ubuntu и других дистрибутивах.
Попытка вернуться в ностальгические нулевые...
@your_tech (теперь ещё в VK и Max)
Закономерно последовало опровержение от РКН. Правда, о доступности заблокированных ресурсов комментариев не было 👁
@your_tech (теперь ещё в VK и Max)
Пользователи жалуются, что корпус MacBook Neo выцветает на солнце
То же самое говорили и про iPhone 17 Pro и Pro Max — в 2025 году владельцы жаловались, что алюминиевая часть смартфона краснела, хотя была оранжевой. Да, корпус, конечно, может выцветать, но для этого техника должна находиться под воздействием ультрафиолета несколько лет.
В случае с MacBook Neo ситуация интереснее: пользователь TikTok рассказал, что его новый ноутбук посерел уже спустя сутки с момента покупки.
Вот и думай теперь, это тиктокеры хайпуют, или Тим Кук решил сэкономить и сделать действительно самый «бюджетный» гаджет.
@your_tech (теперь ещё в VK и Max)
В Claude теперь можно генерировать диаграммы, графики и схемы
В последнем обновлении бота появилась возможность создавать визуализации прямо в чате. Просто пишете промпт, и Claude делает графики, схемы или диаграммы для иллюстрации текста.
В качестве своего примера они показали таблицу Менделеева. Важно отметить, что это не изображения, а именно визуализации с помощью HTML-кода и SVG-графики. Так что все элементы в ней интерактивны, по ним можно кликать.
Функция доступна в бета-режиме, в том числе пользователям с бесплатным тарифом.
@your_tech (теперь ещё в VK и Max)
Windows будет обновляться по умолчанию
Компания раскатывает Windows Autopatch, который включает обновления безопасности Hotpatch без привычной перезагрузки. Это изменение коснется всех подходящих устройств в Microsoft Intune и тех, которые получают доступ к службе через Microsoft Graph API. Ожидается, что обновления безопасности будут поступать так в два раза быстрее.
Обновления Hotpatch применяются только к устройствам, которые проходят по требованиям, стареньким моделям придется обновляться по старинке.
Последнее обновление с перезагрузкой будет в апреле, в нем Windows Autopatch как раз установит новую версию, а уже с мая забудем про легендарный экран, который помотал много нервишек...
Press F!
@your_tech (теперь и в Max)
Посмотрите на этот безумный проект. Полноценный эмулятор процессора архитектуры x86 на чистом CSS. Никакого JavaScript или WebAssembly, все вычисления происходят исключительно силами браузерного движка стилей.
Как это реализовано технически:
— эмулятор исполняет реальный машинный код для процессоров 8086;
— тактовый генератор построен на CSS-анимациях, поэтому система работает автономно и не требует от пользователя постоянно водить курсором по экрану;
— логика работает благодаря новым спецификациям CSS, таким как условные операторы if(), стилевые запросы и кастомные функции
Вы можете запустить в этом эмуляторе собственные программы. Достаточно написать код на C и прогнать его через GCC с помощью скрипта из репозитория автора. На выходе вы получите готовый HTML-файл со стилями, внутри которого будет крутиться ваш бинарник.
Практического применения у проекта нет, производительность получается крайне низкой. Зато это отличная демонстрация того, что современный CSS действительно стал тьюринг-полным языком программирования. Из-за использования экспериментальных функций запустить демку пока можно только в браузерах на базе Chromium.
@prog_stuff
Как бизнес теряет лиды — и даже не понимает этого
Типичная ситуация: бизнес платит от 200 до 3000 рублей за лид, а конкурент получает тот же контакт за 15–50 рублей через парсинг. Собственник видит падение конверсии, слышит от клиентов: «Нам звонили другие», — но редко понимает реальную причину.
ДоброСпам обеспечивает защиту сайта и исходящих звонков от перехвата и парсинга лидов. Это не просто проверка, а полноценное закрытие проблемы.
Компании доверяют своим маркетологам, интеграторам и диджитал специалистам, поэтому именно вы можете подсветить проблему, предложить решение и стать партнёром «ДоброСпам».
Для бизнеса:
🔘 рост конверсии на 30–50%;
🔘 увеличение дохода на 40–60%;
🔘 прекращение жалоб на звонки конкурентов.
Для партнёра:
🔘 дополнительная ценность для клиентов;
🔘 усиление собственной экспертизы;
🔘 выплаты за каждого привлечённого клиента в течение года.
У сервиса уже есть действующие партнёры, которые получают стабильный пассивный доход и благодарность от клиентов за рекомендацию.
➡️ Если вы работаете с бизнесом и хотите добавить к своим услугам защиту лидов — напишите @Dobrospam1.
📎 Больше подробностей на сайте: http://dobrospam.ru/
Реклама. Рекламодатель: ООО «Голосовые Технологии», ИНН 9715353642, erid: 2W5zFJucXsX
OpenAI разрабатывает замену GitHub
Компания начала разработку новой платформы для размещения и хранения кода. Причина в участившихся сбоях на GitHub. Инженерам OpenAI это мешало, поэтому ребята решили сделать замену.
Поговаривают, что могут даже выдавать доступ по подписке, но это еще не точно.
Хотели бы потестить эту альтернативу?
@your_tech (теперь и в Max)
А у вас часто включается автопилот в работе?
Когда делаешь привычные, проверенные ходы, всё работает. Но как только возникает нестандартная задача, чувствуешь, как мозг с трудом переключается.
Так происходит потому, что гибкость мышления, как и любая способность, без практики теряется, если уделять внимание только хардам.
Если хочется прокачать свою креативную мышцу, можно решить интересный кейс в спецпроекте OUT OF THE BOX от команды КРОК. Они собрали нешаблонные случаи из практики, и, чтобы решить их, придётся выбраться из привычной коробки и посмотреть на всё под другим углом. А за крутые решения можно выиграть полезные призы (до 30 марта).
Проверьте себя!
Это #партнёрский пост
Последний день голосования в Tproger Award!
Две недели, 16 компаний, 4 номинации — спасибо, что читали, участвовали и лайкали. И отдельное спасибо, что голосовали! Вообще не представляем, что вы там наделали, уже узнать хочется!
Давайте сегодня зафиналим голосовалку и раздадим по максимуму золотых мышей. Интересно, расстановка сил сможет измениться за один день?
Если потеряли, то номинации вот:
— Продукт года
— Облачный продукт года
— ИТ-ивент года
— Дизайн года
Только сайт не положите, очень просим 🙏
Пойти голосовать: https://tprg.ru/bWfy
@your_tech (теперь и в Max)
Обновите Docker: новая CVE обходит любой плагин авторизации
Вышла CVE-2026-34040 с оценкой CVSS 8.8, и она красивая в своей простоте. Docker Engine при получении HTTP-запроса больше 1 МБ тихо отрезает тело перед отправкой в AuthZ-плагин. Плагин видит пустой запрос, не находит ничего подозрительного и пропускает его. Любой плагин. Без исключений.
Самое обидное — это недоделанный фикс CVE-2024-41110 от июля 2024 года. То есть проблему уже чинили, но, видимо, не до конца проверили граничные случаи. Классика.
Отдельный бонус: ИИ-агенты для кодинга могут эксплуатировать эту уязвимость автоматически — им даже не нужно подсовывать вредоносный код, достаточно обычного взаимодействия с Docker API. Фикс уже есть в Docker Engine 29.3.1, а пока не обновились — переходите на rootless-режим и ограничьте доступ к API.
В общем, если ваш плагин авторизации «всё проверяет» — попробуйте отправить ему запрос потяжелее. Вдруг он просто вежливо отойдёт в сторону.
@your_tech (теперь ещё в VK и Max)
Россия заняла предпоследнее место по уровню свободы интернета в 2026 году
Cloudwards провел исследование свободы интернета и выяснил, где на пользователей наложено больше всего ограничений. Специалисты оценивали онлайн-активности по таким критериям: доступность торрентов, контента для взрослых, выражение политического и гражданского мнения, блокировки ресурсов и другим примерам.
В первой десятке Финляндия, Исландия, Норвегия, Бельгия, Дания, Словакия, Лихтенштейн, Коста-Рика, Суринам, Новая Зеландия. Там пользователи могут свободно посещать большинство глобальных соцсетей и сайтов.
А вот закрывает список Россия, Пакистан, Иран, Китай. Абсолютный «лидер» по недоступности мировых интернет-ресурсов — это Северная Корея. Там доступ к интернету есть только у доверенных лиц. Остальные пользуются внутренней национальной сетью.
Еще чуть-чуть осталось, надо поднажать 💀
@your_tech (теперь ещё в VK и Max)
В России глобальный сбой интернета
Легло очень многое. По сообщениям на DownDetector не работает СБП, Сбербанк, Т-Банк, ВТБ и множество других сервисов.
У админа, например, лёг Ростелеком. Даже телефон поддержки провайдера не работает.
Предварительно, причиной сбоя в работе банковских приложений стали блокировки IP-адресов, используемых в работе банковской инфраструктуры.
Будем следить за ситуацией и обновлять информацию.
А вы заметили сбой? Что не работает у вас?
@your_tech (теперь ещё в VK и Max)
Microsoft переводит все приложения Windows 11 на нативный код
Это ответ на многолетнюю критику: пользователи и разработчики жаловались, что встроенные приложения Windows 11 работают медленно, занимают много памяти и выглядят непоследовательно — потому что многие из них были построены на веб-обёртках (WebView, PWA (Progressive Web App), Chromium). Теперь Microsoft обещает «100% native».
Команда только собирается — Руди Хьюн активно набирает разработчиков, этим он поделится в X. Учитывая масштаб задачи (перевод нескольких приложений на новый стек), первые результаты появятся не раньше конца 2026 года.
@your_tech (теперь ещё в VK и Max)
Алгоритм ускорил работу Google Maps в 10 раз. А рекомендации «Яндекс Музыки» — в 60
За последние полгода вышло сразу несколько прорывов в области алгоритмов и структур данных.
Например, в феврале исследователи из США запатентовали метод, который ускоряет построение навигационных маршрутов на картах примерно в 10 раз. Секрет — в новой эвристике для поиска кратчайшего пути во взвешенных графах.
А ученые из Амстердама, используя открытый датасет «Яндекс Музыки» Yambda (с 5 млрд событий!), ускорили обучение рекомендательных систем почти в 60 раз. Они оптимизировали иерархическую структуру хранения данных — по сути, то же «дерево», которое проходят на курсах по алгоритмам, но доведенное до промышленного масштаба.
Что здесь общего? Базовые структуры данных и алгоритмы остаются главным рычагом производительности. Без понимания того, как устроены деревья, хеш-таблицы и графы, вы даже самую продвинутую нейросеть не заставите работать быстро и эффективно.
Если и вы хотите знать алгоритмы не просто «для собеса», то присмотритесь к курсу Яндекс Практикума «Алгоритмы и структуры данных». Там ваш код будут проверять не только на соответствие задаче, но и на эффективность по времени и памяти. А в конце вы пройдете пробное алгоритмическое собеседование с наставником, где будете разбирать реальные задачи.
Есть бесплатная вводная часть — можно сначала попробовать, а потом решать.
Это #партнёрский пост
Расходы на ИТ-инфраструктуру: диагностика и рекомендации по прозрачному управлению
Проверьте, насколько системно в вашей компании контролируются расходы на инфраструктуру. Эксперты сообщества «Практики FinOps» подготовили бесплатную таблицу для быстрой оценки — её заполнение займёт 5–7 минут.
Внутри — 9 вопросов о ключевых процессах:
🔘 распределение затрат по командам и сервисам;
🔘 выявление резких скачков и полнота данных о расходах;
🔘 отчётность, прогнозирование и контроль бюджета.
➡️ По итогам вы получите общий балл, увидите слабые места и поймёте, что нужно улучшить.
Кому подойдёт:
— инженерам инфраструктуры;
— архитекторам;
— техлидам и специалистам на стыке ИТ и финансов.
Тест можно пройти одному или вместе с командой, например, с инженером, архитектором и финансовым специалистом.
⚡️ Бонус: после прохождения вы получите рекомендации о том, какие практики стоит внедрять дальше, чтобы повысить прозрачность и управляемость затрат.
📎 Забрать бесплатный инструмент
Это #партнёрский пост
Оборудование РКН перегружено из-за замедления Telegram
Об этом пишут Forbes со ссылкой на источник в одном из операторов фиксированной связи. Вследствие перегрузки иногда становятся доступны другие заблокированные ресурсы, например, WhatsApp* и YouTube, это отмечают и операторы связи, и пользователи.
Причиной называют нехватку пропускной способности ТСПУ, которые и фильтруют весь трафик. Когда система не справляется с его обработкой, его пропускают напрямую без фильтрации.
Есть вероятность, что ТСПУ перегружены как раз из-за Telegram: у него есть встроенный прокси, который генерирует много мусорного трафика. Мощностей на их блокировку не хватает.
*принадлежит Meta, признана экстремистской организацией и запрещена в России
@your_tech (теперь ещё в VK и Max)
Энтузиаст сделал 3D-обои, которые двигаются вместе с вами
Пользователь собрал трехмерные обои для рабочего стола, они создают ощущение, будто вы смотрите в окно на другой мир. Это не движущееся изображение, в проекте действительно происходит отображение 3D-геометрии в реальном времени.
Это работает так: веб-камера в режиме реального времени определяет положение головы пользователя, не сохраняя и не передавая никаких данных. Виртуальная камера внутри 3D-сцены смещается в ответ на это. По мере изменения перспективы мозг человека считает, что в картинке правда есть глубина.
Выглядит имбово!
Цифровое бессмертие не за горами: учёные загрузили мозг насекомого в симулятор тела
Стартап Eon Systems загрузил мозг плодовой мухи (125 тысяч нейронов, 50 миллионов синапсов) в виртуалку — и она самостоятельно ходит, умывается, реагирует на стимулы. Без единой строчки кода поведения! Просто топология связей + физика тела в MuJoCo.
Это не ИИ на RL (как DeepMind), а чистая эмуляция: нейроны вспыхивают, как в живом мозге, тело двигается в ответ на сенсоры. Следующий шаг компании — перенести сознание мыши (70 миллионов нейронов), а потом и человека.
#новости
@tproger
Читайте также в VK, Max и Дзен
Anthropic выпустил инструмент для ревью ИИ-кода
Спрос на проверку кода повышается, потому что увеличивается количество кода, который пишет ИИ. В компании подсуетились и по такому случаю сделали Code Review — это тоже ИИ, и он предназначен для поиска багов в коде на ранних стадиях.
Пока его тестят только в корпорациях. Руководители могут включить проверку кода по умолчанию, тогда инструмент будет автоматически анализировать запросы на слияние и давать обратную связь, где что улучшать.
Так как автоматические ответы обычно хейтят, то Code Review будет пошагово объяснять, в чем проблема по его мнению. Для разных видов ошибок есть свой цвет: красный — самые серьезные проблемы, жёлтый — проблемы, которые стоит проверить, и фиолетовый — проблемы, связанные с уже существующим кодом или более ранними ошибками.
Нет ощущения, что и этот ИИ будет несовершенен?
@your_tech (теперь и в Max)
В штат на работу теперь практически не попасть. А что тогда делать?
Сокращения в ИТ продолжаются, количество вакансий тоже уменьшается, в воздухе повисло напряжение, каких мы еще не видывали.
Давайте выдыхать и искать выходы. На замену привычным штатным позициям выходят новые модели сотрудничества. Например, набирает обороты технологический консалтинг, когда партнёр анализирует потребности бизнеса, предлагает стек и методологию, строит процессы, интегрирует свою команду с внутренней и передаёт знания. Про выделенные команды вы наверняка тоже слышали.
Чего еще ждать от рынка и как адаптироваться к этим реалиям, читайте в этой статье.
@your_tech (теперь и в Max)
Победителями премии Тпрогер 🐀становятся...
Здесь играет барабанная дробь и интригующая музыка... Вам нужно только выждать драматическую паузу перед объявлением победителей — в каждой номинации он один, и определяется большинством голосов. Готовы?
В номинации «Продукт года» золотая мышь достается компании:
🐀NetVision за платформу интеллектуального мониторинга СИМ.
В номинации «Облачный продукт года» побеждает компания:
🐀Гравитон с паком виртуализации «Гелиус»
Звание «IT-ивент года» вручается компании:
🐀Островок! за О!Хакатон
И в категории «Дизайн года» первое место занимает компания:
🐀AcademiaDev за интерактивную инсталляцию.
Каждый ваш лайк, голос влияли на исход премии. Давайте поддержим всех — ставьте 🏆участникам, которые хоть и не заняли призового места, но точно остались в сердечке.
И 🔥, если хотите аналогичных активностей и готовы выбирать еще!
MAX атаковал Мамонт
Сегодня появилась информация о том, что в мессенджере Max в домовых чатах распространяется вирус, который крадет деньги у пользователей.
Сначала происходит взлом аккаунта реального участника чата – человека, которому соседи или знакомые доверяют. От его имени публикуется провокационное сообщение, типа: «Позавчера в аварии разбились наши общие знакомые, посмотрите фото…», следом идет ссылка на Telegram-канал. Люди переходят по ссылке, но на самом деле попадают на установчный файл, внутри которого троян «Мамонт».
В пресс-службе мессенджера уже опровергли эти сообщения, ссылаясь на слова специалистом безопасности Max.
Остается надеяться, что никому таких сообщений действительно не приходило...
@your_tech (теперь и в Max)
Из GitHub сделали Git City
Энтузиасту надоело смотреть на однотипные коммиты на GitHub, и он решил это дело визуализировать в 3D. Так появился Git City — трехмерный пиксельный город, где каждый разраб символизирует собой здание.
Высота — это коммиты, ширина — репозитории, а свет в окнах — звезды. Перемещаться по городу можно на бумажном самолетике. А еще можно посоревноваться с другими и разблокировать всякие достижения.
Выглядит стилево и залипательно.
Microsoft представила Copilot Tasks
Это новый ИИ-агент для выполнения базовых фоновых задач: поиска информации в интернете, создания документов, управления календарем, отправки писем и т.д.
Copilot Tasks делает ставку на бесшовность: не понадобятся ручные настройки MCP и сложные конфигурации; все уже встроено в экосистему Microsoft.
Сервис запущен в режиме «research preview» для ограниченного круга пользователей. В ближайшие недели доступ расширят через список ожидания.
Telegram | Max