Брюс: Стейси. По-моему, меня бросили. Моя семья меня взяла и бросила. Я не знаю как... и не помню почему. Со мной что-то не так... Мне кажется, что я очень серьезно болен.
Мэри: Ты... с кем-то говорил? К врачу обращался?
Брюс: Да... Нет. Я не знаю. Я не знаю.
Вспышка галлюцинации: Мэри на секунду превращается в жуткую, оскалившуюся ведьму, которая издает дикий хрип.
Брюс: Под контролем... Всё под контролем. Всё под контролем... Под контролем. Я руковожу этим долбаным расследованием, не забывай.
Мэри: Брюс. Послушай меня, ты слышишь? Я очень за тебя переживаю. По-моему, сейчас ты не в состоянии работать.
Брюс: Ступай туда и отсоси у кого-нибудь. И хватит строить из себя психолога-любителя. Слышишь, ведьма?!
Всё его дебоширство, кутёж и прочий деструктивный треш связан не с желанием развлечься или повысить яркость жизни, а с попыткой убежать от реальности и забыться в маня-фантазиях.
Его бросила семья, но он даже не помнит причин, ибо для него это настолько болезненно, что воспоминания просто заблокировались/амнезировались. Он понимает, что с ним явно происходят нездоровые вещи, но пытается убедить себя в наличии контроля даже при полной его потере.
А когда знакомая начинает углубляться в ситуацию и поднимать на поверхность всё то, что он пытался забыть/скрыть, он начинает галлюцинировать, видя в ней ведьму. Начинают срабатывать защиты, которые трансформируют восприятие реальности, создавая такие декорации, что отдалят его от болезненных воспоминаний.
Брюс Робертсон: И не говори. Знаешь что? Надо будет повторить групповушку с той шлюшкой, подружкой барыги. Помнишь, как мы тогда?
Вспышка воспоминания: Блейдс совершает фрикции, Брюс стоит рядом и машет руками, подбадривая его. Проститутка резко оборачивается к Блейдсу.
Проститутка: Эй, петушок, ты уже клюнул или как?
Блейдс моментально останавливается с потерянным и растерянным выражением лица. Флешбэк заканчивается, возвращается сцена в машине. Блейдс сидит на пассажирском сиденье с пристыженным видом и грызёт ногти.
Брюс Робертсон (закадровый голос): У каждого своя Ахиллесова пята. А я не забываю прохаживаться по болевым точкам коллег.
Женщина древнейшей профессии решила уязвить/обесценить/оскорбить одного из участников соития, как это делают с ней на ежедневной основе. Только тот, кто стал её целью, не выбирал такой размер члена, как она выбрала свою профессию.
Проблема может быть даже не в половом органе человека, а в попытках выплеснуть накопленное напряжение, как его выпускают при взаимодействии с ней. Только Блейдс растерялся, так как не имеет соответствующих защитных фильтров (обесценивание/оскорбление пробило защиты) и инструментов для сопротивления таким нападкам (парирование, ответная агрессия). А происходит это в токсичной форме лишь потому, что она недалекая и не умеет более экологичным способом утилизировать накопленный стресс/напряжение/негатив.
Такого рода нападки «Эй, петушок, ты уже клюнул или как?» можно парировать исходя из контекста. Но идеальным решением будет не парировать словесные нападения, а не создавать условия, в которых на тебя нападают. Джентльмен не оказывается в подворотне.
Брюс использует «болевые точки» коллег лишь для того, чтобы занять удобную ролевую позицию, которая позволит быть ведущим и/или более убедительным в контексте переговоров.
ИИ научился вскрывать чужой код быстрее любого хакера — и индустрия наконец испугалась этого по-настоящему. На этой неделе Linux Foundation вместе с двумя десятками крупнейших корпораций объявила Akrites — коалицию, которая будет латать дыры в открытом софте раньше, чем до них доберутся злоумышленники с ИИ. И это уже не первый такой «общий сбор».
Что такое Akrites. Это единый, конфиденциальный штаб по устранению уязвимостей в том самом open-source, на котором держится критическая инфраструктура всего мира. Среди отцов-основателей — AWS, Google, Microsoft, OpenAI, Anthropic, NVIDIA, IBM, Cisco, Red Hat, Rust Foundation, JPMorgan, Citi и другие. Запуск состоялся 26 июня, финансирование идёт через фонд Alpha-Omega под крылом Linux Foundation.
Как это работает. Вместо десятков разрозненных багрепортов, которые сыплются на измотанных мейнтейнеров, Akrites даёт единую команду реагирования (SIRT) и стандартный процесс координированного раскрытия — с CVE, оценкой по CVSS и протоколом конфиденциальности TLP (всё стартует на уровне TLP:RED). Отдельная фишка — роль «мейнтейнера последней надежды»: если критичный, но заброшенный пакет некому чинить, патч выпустит сам Akrites.
Почему именно сейчас. Как формулируют сами авторы, «современные ИI-модели сканируют большой проект за минуты вместо недель». Это меняет баланс: уязвимости вскрываются быстрее, чем их успевают чинить, а сложные эксплойты становятся доступны даже непрофессионалам. Значит, и оборона обязана стать ИИ-скоростной — иначе атакующие всегда будут на шаг впереди.
Akrites не одинок. Ещё в апреле Anthropic запустила Project Glasswing: её фронтир-модель Claude Mythos в превью уже нашла тысячи серьёзных уязвимостей — в том числе в каждой крупной операционной системе и браузере. Доступ к ней получили Apple, Google, Microsoft, NVIDIA, AWS, CrowdStrike, Palo Alto Networks и Linux Foundation, а охват расширили до 150 критических организаций. Google параллельно поставила охоту за багами на ИИ-конвейер и публично предупредила: хакеры уже атакуют с помощью ИИ.
Парадокс эпохи. Та же сверхспособность, что напугала регуляторов до экспортных запретов (вспомните недавний бан на иностранный доступ к Anthropic Fable 5 и Mythos 5), теперь становится главным щитом. Вечная гонка брони и снаряда окончательно переехала в исходный код — и от того, кто в ней быстрее, зависит безопасность всего, что работает на open-source. То есть практически всего.
Это маленькая по объёму, но крупная по последствиям история о том, как на глазах меняется ремесло поиска уязвимостей. Исследователь под ником Brutecat не сидел ночами, перебирая запросы руками, — он собрал из Claude автономного «пентестера» и за неполные три месяца поставил охоту за дырами в Google на промышленный поток.
Сначала — разведка невиданного масштаба. Чтобы ИИ было где искать, Brutecat с напарником составили карту инфраструктуры Google: выкачали и распаковали 61 200 Android-приложений, расшифровали iOS-сборки, а самодельным Chrome-расширением перехватили трафик 2 800+ доменов. В сумме набралось около 3 600 ключей и точек входа. Главным трофеем стали discovery-документы — машиночитаемые описания API, где перечислены все эндпоинты, параметры и методы.
Дальше в дело вступил ИИ — и тут самое интересное. Чтобы агент не халтурил и не выдумывал находки, Brutecat дал ему три инструмента: probe_api (реально дёргает эндпоинт и возвращает неподделываемый operation ID), report_vulnerability (принимает баг только с этим ID — галлюцинации отсекаются) и confirm_testing_complete (без его вызова агент просто не имел права закончить работу). Сам автор называет это «циклом Ралфа Виггама»: модель гоняли по кругу, пока она не простучит все ~1 500 API. Первый месяц ИИ выдавал 90% мусора — пока промпт не научили отличать «я смог перечислить чужие ID» от «я смог реально достать чужие данные».
Что именно сломалось. Один безоружный запрос к API Google Voice вскрывал номер телефона, резервную почту и переадресацию жертвы — и позволял привязать чужому аккаунту новый номер, вплоть до потенциального SIM-swap. Google присвоил багу высший приоритет P0 и закрыл его за часы. Дыра в портале Widevine давала смотреть DRM-ключи и добавлять себя в любую организацию — под ударом оказывались Netflix, Disney и другие. Были и захват рекламных аккаунтов AdExchange, доступ к чужим кампаниям YouTube TV, и кросс-тенантный доступ к Vertex AI Search — туда можно было подсадить prompt injection прямо в клиентские поисковые ИИ.
Но соль — не в сумме. Итог — около $500 000 наград меньше чем за квартал (саму цифру Google официально не подтверждал). Куда важнее сдвиг, который автор формулирует так: «ИИ не заменил экспертизу — он усилил воркфлоу». Машина не придумывала атаки за человека — она брала на себя рутину и масштаб, превращая одного спеца в целую команду. И это уже системно: за 2025 год Google выплатил $17,1 млн баунти, и заметная доля пришлась именно на находки с участием ИИ. Вопрос, который повисает в воздухе: если один человек с ИИ нашёл столько за три месяца — сколько дыр на этих 1 500 API просто ждут своего агента?
Со мной периодически связываются люди и делятся своим опытом того как их обманули телефонные мошенники. Ситуация примерно одинаковая во всех случаях, но появилось пара НО 😂
Ситуация 1
На самом деле таких ситуаций сразу три: В первом случае мошенник по неосторожности скинул жертве свой реальный номер телефона.
Ну, собственно, как оказалось уровень умственного развития мошенников оставляет желать лучшего 😂
Во втором случае жертва смогла самостоятельно узнать номер мошенника (человек попросил не раскрывать способ) В третьем случае жертвой оказался представитель мессенджера в котором все это дело разворачивалось 😂 Пока эти ситуации висят, жертвы запуганы мошенниками и опасаются подать заявление в полицию. Давайте поддержим пострадавших! Возможно они все же соберутся и накатают заявление. Кстати, они читают мои посты и коментарии под ними.
Ситуация 2
Ко мне обратится дальний родственник с просьбой помочь. Как-то так получилось, что он всех учил как защитить свой аккаунт госуслуг от мошенников (и меня в том числе), а тут оказалось что сам своими руками скинул им пароль 🤦
Ну а что тут сделаешь? Кое-как пострадавший сменил пароль от аккаунта. У человека был установлен запрет на получения кредитов и этого всего. В итоге отделался только легким испугом. И вроде бы мошенник отступил и все на этом.
Но тут не все так прозрачно как могло бы показаться, особенно для меня после того как набил шишек на разработке своей системы авторизации и завершении сеансов. У меня начал дергаться глаз от флешбеков того что в этой системе может пойти не так:
Заваривайте чаек, берите закуски, сейчас будет небольшое расследование на человеческом (непрограммистком) языке :)
На самом деле в теме безопасности (хоть какой-то) мне пришлось начать разбираться с момента работы над собственным сервисом для общения. Будучи зарегистрированным на форуме с настоящими профессиональными разработчиками смог довольно плотно с ними пообщаться. В какой-то момент приступил к разработке собственной системы авторизации, обмена токенами, завершения работы приложения, почитал статеек. Собственно так понял на своей шкуре как весь этот механизм работает и реализовал его надежно у себя.
О токенах
У токенов есть и достоинства и недостатки. Ох, придется заняться нудятиной и рассказывать обывателю что и как работает 😅 Но без этого, к сожалению, для ЛЛ могу заключить так: в госуслугах существует проблема в безопасности, дальше можете не читать.
JWT-токен (JSON Web Token) — это способ передачи информации между двумя сторонами. В случае авторизации пользователя в сервисе, сервер передает пользователю файл в котором, улосвно, написано: можно доверять что это Иванов Иван Иванович до 03.06.2026, до 18:00, подпись сервера. Ключевым моментом здесь является подпись сервера. Только сервер может подписать документ.
Наглядно это можно представить так: я - сервер, Иван - пользователь. Вы подходите ко мне с паспортом. Я выполняю роль нотариуса, по паспорту смотрю что вы - это вы, составляю бумажку и и ставлю свою подпись и дату до которой считать документ действительным. С этого момента любой человек, который предоставит эту бумажку будет распознан мной как Иван. Если документ устарел, то придется показать паспорт повторно (ввести пароль). Чтобы постоянно не вводить пароль придумали следующую штуку: при демонстрации паспорта я выписываю сразу 2 бумажки: - 1 бумажка удостоверяет что вы - это вы и срок ее действия 1 час - 2 бумажка удостоверяет что вы - это вы и срок ее действия 7 дней
Вторую бумажку можно использовать для обновления первой бумажки. То есть Иван может подойти ко мне и сказать: у меня просрочилась первая бумажка, но у меня есть вторая и мне нужно получить две новые бумажки (первую и вторую) с продленным сроком действия.
В приложениях эти действия делаются сами собой и пользователь их не замечает. Это избавляет пользователя от многократного периодического ввода пароля.
Проблемы токенов
У этого подхода есть плюсы и минусы. Заострим внимание на проблемах и на их решениях. Очевидный минус - вор похитил бумажку или сделал ее копию. Теперь сервер не знает что бумажка похищена и будет считать мошенника Иваном до момента пока срок действия бумажки не пройдет. Как решается? Разработчики решают эту проблему по-разному:
- кто-то говорит: "хорошо, все равно через условные 5 мин срок действия бумажки пройдет, что программа может успеть сделать за 5 мин?"
- кто-то вводит механизм версионирования. Это значит, что помимо срока действия документа на бумажку записывается версия документа. И если версия ниже, чем версия на сервере, то документ считается недействительным.
Как это работает: 1) Иван получил бумажку с сроком действия, версия 1 и подписью сервера; 2) Вор украл \ скопировал бумажку Ивана; 3) Иван узнал о компроментации, вышел из приложения и снова в него зашел. После этого сервер выдал Ивану бумажку с новым сроком работы и уже версией 2; 4) Вор обратился к серверу, сервер проверил дату, но заметил, что документ устарел и не принял его; Вор остался "за бортом".
Это один из самых простых способов завершения работы и ограничения доступа.
Изучаем сервис Госуслуги
Приглашаю внимательно посмотреть как будет вести себя сервис когда пользователь сменил пароль.
Рассматривать ситуацию когда пользователь вышел из приложения на одном из своих устройств - бессмысленно т.к. в этом случае претензий к сервису нет.
Проводим эксперимент. Каждый может провести его самостоятельно. Для этого потребуется 2 телефона с доступом в интернет и сервис госуслуги (+ номер к которому привязан аккаунт).
Просто заходим в свой аккаунт с двух телефонов: - телефон 1 пусть принадлежит мошеннику (для ясности подчеркну, вы передали ему код из СМС, он смог с его помощью залогиниться) - телефон 2 пусть принадлежит владельцу
Данная ситуация имитирует момент кражи JWT-токена.
Теперь вы осознали факт кражи и решили что-то с этим делать. Что вы будете делать, какие ваши действия? Допустим в полицию вы позвонили (как и в моем случае), что дальше?
Смена пароля? Смените пароль на Госуслугах через телефон 2. После успешной смены пароля попробуйте использовать телефон 1 (телефон мошенника). Как видим, мошенник как был в аккаунте, так и продолжает в нем быть, смена пароля не помогла.
Собственно этот момент меня и смутил в данном сервисе. Пошел дальше, закрыл приложение на телефоне мошенника, открыл его через 15 минут зашел в приложение с помощью четырехзначного пароля:
И все зашлось без всяких проблем. Это все, что нужно знать про то, как можно "грамотно" реализовать двухфакторную аутентификацию 😂
Ребят, россиян 120 млн человек, почему я сталкиваюсь с подобными проблемами? Отмечу, это не первая проблема, которая была зщамечена мной в данном сервисе. Какие-то проблемы (которые подсвечивал сервису) они правили, какие-то - нет. По мере развития своих профнавыков кидаю в сервис репорты. И этот случай скинул:
1/7
Госуслуги могут замять мое обращение и ответить что все "соответствует ТЗ и проблем у нас нет". Собственно так они и отвечают, когда не хотят ничего менять. И будут в какой-то мере правы так как если вы разбираетесь в тонкостях работы системы авторизации, то вы наверняка знаете что можно завершить сессию вора в каком-то разделе госуслуг. Вот только попробуйте найти куда они спрятали этот раздел. И кто у нас разбирается в этих тонкостях? Рядовой пользователь не знает тонкостей, не имеет представления чем авторизация отличается от аутентификации, а на мой вопрос про "вышел из сессий?" спросил "что это такое и с чем едят?":
Надеюсь пост был полезен и вы узнали немного больше о безопасности. А Госуслуги, надеюсь, сделают что-то с ответственным за безопасность сервиса. Например, кинут его "в костер" 😂
-- По вечерам разрабатываю сервис для общения. Кому интересен сервис для общения, можете подписаться куда-нибудь на меня, попробуете его в числе первых. Постепенно буду продолжать делиться успехами разработки.
До конца рабочего дня она так и не появилась. В телеграме — одна серая галочка, время последнего визита — 03:12 ночи. Звонки идут в пустоту. Я уже начал накручивать себе самые жуткие сценарии, работа валилась из рук. Около шести вечера не выдержал, подошел к девчонкам из соседнего отдела, с которыми она тесно общалась. Наврал с три короба про срочные документы и выпросил номер её родной сестры.
Звоню. Представляюсь. Осторожно спрашиваю, всё ли в порядке. И тут на меня выливается ушат ледяной воды. Оказывается, моя коллега недавно переехала и живет одна на первом этаже. И последние пару недель она жаловалась сестре, что по ночам кто-то постоянно трется под её окнами на улице — то ли подростки, то ли просто случайные прохожие, но ей было очень не по себе. Она и так была на нервах.
А теперь представьте реальность: 3 часа ночи. Гробовая тишина. Внезапно начинает орать будильник. Она спросонья, в темноте хватает телефон, чтобы его выключить, и видит на ярком экране здоровенными буквами: «НЕ ОГЛЯДЫВАЙСЯ НА ОКНО». У человека случилась самая настоящая, полноценная паническая атака. В состоянии аффекта она решила, что тот, кто стоял под окном, каким-то образом взломал её телефон. По словам сестры, она даже не смогла встать с кровати, чтобы проверить замки — просто забилась в угол и просидела так до рассвета, боясь пошевелиться.
Утром в истерике позвонила сестре. Та примчалась с мужем, пришлось бежать в аптеку за сильными успокоительными, потому что её трясло. Телефон она просто выключила от греха подальше. Сестре я честно, запинаясь, признался, чьих это рук дело. Объяснил про «очень смешную» шутку с Сири. В трубке повисла долгая, тяжелая пауза. А потом мне очень тихо, без криков, но так, что у меня мороз по коже пошел, объяснили, какое я инфантильное ничтожество.
Сегодня она взяла больничный до конца недели. На мои сообщения с извинениями (я накатал целую поэму во все мессенджеры) ответа нет, хотя в WhatsApp появились синие галочки. Руководству сестра, видимо, обрисовала ситуацию, потому что после обеда меня вызывал начальник и очень холодно посоветовал «подумать о своем поведении в коллективе».
Короче, шутка удалась. Только теперь я, кажется, испортил психику человеку и, скорее всего, буду искать новую работу, потому что смотреть ей в глаза я просто не смогу.
Вчера, ради шутки, возле заблокированного телефона коллеги, лежавшего на столе во время её отсутствия, я сказал: - Привет Сири. Заведи будильник на 3 часа ночи и назови его большими буквами "НЕ ОГЛЯДЫВАЙСЯ НА ОКНО". Айфон пробубнил в ответ что-то вроде: - Хорошо. Будильник на 3 часа ночи установлен.
Сегодня она не вышла на работу. Начальство не предупредила. Трубку не берет. Я не знаю что мне делать. Кажется я натворил что-то ужасное.
Данный этап занимает все дошкольное и школьное детство, и мы не претендуем на серьезный анализ тенденций этого периода психического развития ребенка. Однако если попытаться выделить самое общее в этом значительном и разнообразном отрезке жизни, то можно, наверное, сказать, что это самый плодотворный самый спокойный период социализации ребенка. Он становится более управляем близкими, постепенно научается руководствоваться правилами социального взаимодействия, произвольно сосредоточиваться и направленно учиться. Важно выделить также успехи в развитии вербального мышления, появление способности к обобщению и формированию понятий.
В это время собственный опыт взаимодействия со средой и людьми организуется с помощью обобщенного человеческого знания, структурируется дифференцированная и устойчивая картина мира, в которой, может быть, более важное место, чем причинно-следственные связи, занимают нравственные правила и законы. Можно предположить, что эти успехи обеспечиваются развитием у ребенка индивидуальных аффективных механизмов четвертого уровня организаций поведения и сознания. Так же, как в раннем возрасте, ребенок осваивает индивидуальные способы адаптации к устойчивым условиям жизни, но, если раньше шло формирование индивидуального аффективного стереотипа в отношениях с миром, то теперь складывается его способность к самостоятельному эмоциональному контролю.
Одним из косвенных доказательств правильности этого предположения может послужить анализ особенностей вновь появляющейся в этот спокойный период развития уязвимости ребенка. Мы проследили уже что до сих пор все успехи ребенка в отработке аффективных механизмов адаптации к стабильной среде всегда оборачивались для него ростом ранимости в контактах с миром, характер которой тесно связан с увеличением чувствительности к впечатлениям разрабатываемого уровня сознания. И если в период от года до трех лет ребенок был особенно чувствителен к сенсорным качествам, этологическому смысла ситуации, к сбою в реализации индивидуально опредмеченных noтребностей, то теперь он становится более стеснительным, более ранимым в оценке своего соответствия ожиданиям других людей. В это время возникают и фиксируются страхи не оправдать ожидания, быть отвергнутым другими. Именно подобный тип уязвимости может свидетельствовать о развитии у ребенка индивидуальных механизмов эмоционального контроля.
Аффективная сфера человека. Взгляд сквозь призму детского аутизма / Никольская О.С. М.: Центр лечебной педагогики, 2000
