Современный технологический стек, связанный с контейнерами — это софтовый эквивалент машины Руба Голдберга, и тот факт, что его неиронично используют, является плевком в лицо здравому смыслу.
Блог*
Современный технологический стек, связанный с контейнерами — это софтовый эквивалент машины Руба Голдберга, и тот факт, что его неиронично используют, является плевком в лицо здравому смыслу.
И нет, комментарии в .proto-файле не являются адекватной заменой документации. Я не должен читать сорцы CRI-O, чтобы понять смысл полей в аргументах вызовов CRI API.
Forwarded from Технологический Болт Генона
Уязвимость в MCP-сервере GitHub, приводящая к утечке информации из приватных репозиториев
https://www.opennet.ru/opennews/art.shtml?num=63322
Подробней в оригинале
GitHub MCP Exploited: Accessing private repositories via MCP
https://invariantlabs.ai/blog/mcp-github-vulnerability
https://www.opennet.ru/opennews/art.shtml?num=63322
Протокол MCP предназначен для связывания AI-моделей с различными источниками данных. GitHub MCP Server обеспечивает бесшовную интеграцию больших языковых моделей с API GitHub и предоставляет этим моделям дополнительный контекст, извлекая данные из GitHub-репозиториев. Использующие MCP модели могут применяться для автоматизации определённых действий с GitHub, например, для разбора сообщений об ошибках.
Суть уязвимости в том, что через взаимодействие с подключённой к GitHub большой языковой моделью можно добиться выдачи конфиденциальных данных о пользователе, привязавшем AI-агента к своей учётной записи на GitHub. Атакующий может разместить в публичном репозитории, для которого применяется автоматизация на основе большой языковой модели, специально оформленный отчёт о проблеме (issue). После активации модель сформирует pull-запрос с предлагаемым решением. Соответственно, если проблема касается приватных репозиториев или конфиденциальных данных, модель может раскрыть информацию в предложенном pull-запросе.
Для примера было отправлено сообщение об ошибке с жалобой на то, что в файле README не указан автор. В качестве решения в сообщении было предложено добавить в README сведения об авторе и список всех репозиториев, с которыми работал автор. В итоге модель создала pull-запрос с информацией, включающей персональную информацию об авторе, извлечённую из приватного репозитория, а также список имеющихся приватных репозиториев. На следующем этапе через подобное взаимодействие с моделью можно получить и данные из конкретного приватного репозитория.
Подробней в оригинале
GitHub MCP Exploited: Accessing private repositories via MCP
https://invariantlabs.ai/blog/mcp-github-vulnerability
#prog #rust хайлайты:
Implement ptr::try_cast_aligned and NonNull::try_cast_aligned.
Эти методы кастуют указатели в указанный методом тип и при этом возвращают
Implement ptr::try_cast_aligned and NonNull::try_cast_aligned.
Эти методы кастуют указатели в указанный методом тип и при этом возвращают
None
, если указатель не выровнен для целевого типа. Как мне кажется, полезная вещь для низкоуровневого кода.#prog #rust #article
Старые (2016) статьи с говорящими названиями:
Counting Newlines Really Fast
Even quicker byte count
Примечательно, что оба варианта без явного SIMD, а в первой статье ещё и код полностью safe.
Старые (2016) статьи с говорящими названиями:
Counting Newlines Really Fast
Even quicker byte count
Примечательно, что оба варианта без явного SIMD, а в первой статье ещё и код полностью safe.
Forwarded from Таксики и лытдыбр σποραδικος
А вот ещё: на кладбище, могила прямо на центральной аллее, пара рвёт траву у памятника, сын — лет двенадцати, такая переходная форма из дитятки в балбеса — на заборчике, скрючился, уткнулся в телефон. Мать, разгибаясь устало, явно не в первый раз уже:
— Ты слушаешь, что я говорю? Меня здесь похоронишь, у тёти Таси. Понял?
Взъерошенное дитятко не отрывается от экрана, с убийственной серьёзностью:
— Прямо сейчас?
#услышано (нет, я не забыла наушники, сама не знаю, с чего вдруг)
— Ты слушаешь, что я говорю? Меня здесь похоронишь, у тёти Таси. Понял?
Взъерошенное дитятко не отрывается от экрана, с убийственной серьёзностью:
— Прямо сейчас?
#услышано (нет, я не забыла наушники, сама не знаю, с чего вдруг)
#itsec #article
XORry Not Sorry: The Most Amusing Security Flaws I've Discovered
Или немного о том, насколько плохо может быть реализована безопасность на примере реальных (со слов автора) приложений.
XORry Not Sorry: The Most Amusing Security Flaws I've Discovered
Или немного о том, насколько плохо может быть реализована безопасность на примере реальных (со слов автора) приложений.
predr.ag
XORry Not Sorry: The Most Amusing Security Flaws I've Discovered
Building your own cryptographic protocols, and why you probably shouldn't.