Полный статический архив статей GigaTap о VPN, privacy, OPSEC и безопасности.
- Агенты Google выходят из демо в рабочую среду - Google строит для AI-агентов не чат, а инфраструктуру: sandbox, CLI, API, Android-инструменты, DevTools и путь к деплою.
- Медицинский AI обгоняет доказательства - AI Now предупреждает: больницы быстро внедряют коммерческий AI, а независимых проверок, правил и данных о последствиях пока не хватает.
- k6 2.0 выводит AI-тестирование в CLI - Grafana добавила в k6 2.0 CLI-команды для AI-ассистентов, новый Assertions API, каталог расширений и более зрелый xk6.
- LiteRT-LM делает edge-AI Google ближе к практике - Google продвигает LiteRT-LM как слой запуска Gemma на устройстве. Важны не только токены в секунду, но память, сессии и ускорители.
- Открытый код — не лозунг, а модель доверия - Guardian Project объясняет, почему инструменты для приватности и обхода цензуры должны открывать код, а не требовать слепой веры.
- OpenSSF растёт под давлением CRA и AI - OpenSSF отчиталась о росте, но главный смысл квартала — переход open source security от разговоров к практическим обязательствам.
- RemotePE: Lazarus снова играет вдолгую - RemotePE показывает ставку Lazarus на скрытый доступ: социнженерия, загрузчики, выполнение в памяти и минимум следов.
- Уязвимость Robot OS угрожает контурам OT - Критическая command injection в Robot OS может дать удалённый доступ к роботизированным системам без учётных данных.
- TeamPCP бьёт через доверенные каналы разработчиков - SANS ISC описывает волну TeamPCP: VS Code, PyPI и npm. Риск не только в пакетах, а в доверенных путях обновления и публикации.
- Токенизированные акции упираются в ликвидность - Токенизированные акции обещают доступ и быстрые сделки, но главный риск — дробление ликвидности, цен и ответственности.
- TrapDoor превращает инструменты разработчика в ловушки для секретов - TrapDoor крадет токены, ключи, кошельки и cloud-секреты через npm, PyPI и Crates.io. Под ударом crypto, DeFi и AI-разработчики.
- Ubuntu закрыла ошибки в Intel IoT Real-time Kernel - Ubuntu выпустила USN-8305-1 для Intel IoT Real-time Kernel: нужен reboot, а сторонние kernel modules могут потребовать пересборки.
- Zero-click быстрее открывает вход атакующим - По данным Rapid7 за I квартал 2026 года, эксплуатация уязвимостей обогнала социальную инженерию как главный путь первичного доступа.
- AWS KY3P: меньше хаоса в проверках поставщика - Отчет KY3P по AWS помогает клиентам собрать доказательства по рискам поставщика, но не снимает ответственность за свою облачную среду.
- AWS Managed AD получил API для управления учетками - AWS добавила Directory Service Data APIs для пользователей и групп в Managed Microsoft AD. Это упрощает автоматизацию жизненного цикла и реагирования.
- Китайский PhaaS вышел за пределы кражи паролей - GTIG описывает зрелый китайскоязычный рынок PhaaS: фокус смещается с паролей на перехват OTP и сессий в реальном времени.
- Тихое обновление ChromeOS LTS закрывает серьезные дыры - Google выпускает ChromeOS LTS-144 144.0.7559.252: 11 исправлений безопасности, включая 8 High, в компонентах браузера и web API.
- Gordon в Docker: AI ближе к shell — и к риску - Docker встроил Gordon в Docker Desktop 4.74+ и CLI: агент видит контейнерный контекст, предлагает правки и действует только после одобрения.
- Drupal уже прощупывают через SQL-инъекцию - CVE-2026-9082 затрагивает Drupal с PostgreSQL: попытки эксплуатации уже видны, но массовый взлом не подтвержден.
- EOL-зависимости требуют отдельной оценки риска - Устаревшие зависимости — не просто старый код. Если поддержка закончилась, обычный процесс патчей может уже не сработать.
- Инцидент GitHub снова проверяет доверие к репозиториям - GitHub расследует доступ к внутренним репозиториям. Это не доказательство взлома клиентов, но повод проверить секреты и права.
- Kali365: новый риск MFA-фишинга для Microsoft 365 - FBI предупреждает о Kali365: сервис помогает угонять Microsoft 365 через device code flow и сессии, даже без кражи пароля.
- Протесты в Кении вышли на уровень Африканской комиссии - ARTICLE 19 подняла вопрос свободы выражения, медиа, мирных собраний и цифровых прав в Кении на 87-й сессии ACHPR.
- Бэкдор в Laravel Lang: проверьте Composer до утечки секретов - Socket сообщает о RCE-бэкдорах в пакетах Laravel Lang. Проверьте composer.lock, хосты, CI/CD и секреты.