С ростом популярности AI-ассистентов у разработчиков участились случаи утечки в публичные Git-репозитории конфиденциальных данных, оседающих среди информации, сохраняемой AI-инструментами в рабочее дерево проекта. AI-ассистенты Claude Code, Cursor, Continue, Aider, OpenAI Codex, Copilot, Sourcegraph Cody и Amazon Q в корневом каталоге проекта создают локальные файлы конфигурации и каталоги, в которых среди прочего может сохранятся история операций и данные о контексте.

В сохраняемые AI-ассистентами файлы могут попасть ключи доступа к API, строки подключения к СУБД, ссылки на внутренние ресурсы и учётные данные для подключения к облачным окружениям, полученные AI-ассистентом в процессе выполнения инструкций, после работы с локальными настройками или охваченные в связанном с проектом контексте. Для разработчика оседание подобных данных в файловой иерархии проекта не очевидно, поэтому многие забывают прописать создаваемые AI-ассистентами каталоги в файл .gitignore и после публикации изменений переносят их в публичный git-репозиторий.

Для выявления подобных утечек в публичных репозитриях на GitHub подготовлена утилита claudleak. Тестовое сканирование GitHub показало, что из репозиториев, в которых имеются подкаталоги с настройками AI-ассистентов, примерно 2.4% содержат актуальные ключи или учётные данные, действие которых было подтверждено отдельной проверкой. Автор утилиты столкнулся с проблемой, когда заметил файл «.claude/settings.local.json» в своём репозитории, в котором среди информации оказались ключи доступа и пароли, передававшиеся через переменные окружения.

Разработчикам, использующим AI-ассистенты, рекомендуется добавить в файл .gitignore каталоги .claude/, .cursor/, .continue/, .copilot/ и .aider/, а также настроить их игнорирование через глобальный фильтр командой «git config –global core.excludesfile файл_со_списком».

Источник

Перемещено hobbit из talks

Перед выходом ядра Linux 7.0 планировались некоторые интересные изменения в подсистеме Linux MultiMediaCard «MMC», такие как идентификаторы устройств NXP IW61x для чипов Wi-Fi через SDIO, поддержка дат производства после 2025 года, оптимизация безопасного erase/TRIM для некоторых eMMC-карт Kingston, очистка кода DW_MMC, поддержка Mediatek MT8189 в mtk-sd и различные обновления драйверов SHDCI.

Но Линус Торвальдс, проверив предложенный запрос на слияние, отклонил его, прокомментировав:

Нет.
Эти изменения — полная ерунда, и они даже не компилируются. По-видимому, они никогда не были в linux-next и не тестировались при сборке.
Если мы собираем этот файл core.o при CONFIG_MULTIPLEXER=m:

obj-$(CONFIG_MULTIPLEXER) += mux-core.o

но в include/linux/mux/consumer.h у вас есть

#ifdef CONFIG_MULTIPLEXER

что не будет истинным (поскольку определено CONFIG_MULTIPLEXER_MODULE), поэтому мы получим длинный поток чего-то вроде

drivers/mux/core.c:312:14: error: redefinition of ‘mux_control_states’

потому, что в заголовочном файле mux/consumer.h будет определена фиктивная функция-обертка. Другими словами, коммит ad314348ceb4 («mux: Add helper functions for getting optional and selected mux-state») — это чистый, ничем не разбавленный, непротестированный мусор.
Я не хочу видеть от Вас «исправленный» запрос на слияние. Это совершенно неприемлемо, и я больше ничего от вас не буду принимать в течение ближайшего периода слияния (this merge window). Прекратите присылать мне непротестированный хлам, который не был включен в linux-next и даже не проходит самую поверхностную проверку на наличие проблем.
Вы можете попробовать еще раз для версии 7.1, но только после включения в linux-next и надлежащего тестирования.

Таким образом, изменения в Linux MultiMediaCard теперь придется отложить до начала периода слияния Linux 7.1 в середине апреля, после дебюта стабильной версии Linux 7.0.

>>> Источник

Как ИИ-стартап задумал отсканировать и утилизировать миллионы книг.

Судебные материалы раскрывают, как компании наперегонки добывали всё больше книг, чтобы скормить чат-ботам: в числе прочего, покупали, сканировали и уничтожали миллионы экземпляров

В начале 2024 года руководители Anthropic, стартапа по разработке искусственного интеллекта, взялись за амбициозный проект, одновременно пытаясь держать его в тайне. «Project Panama — это наша попытка провести деструктивное сканирование всех книг мира», — говорилось во внутреннем плане, рассекреченном в судебных материалах на прошлой неделе. «Мы не хотим, чтобы факт нашей деятельности стал известен».

Как следует из документов, примерно через год на эту цель был освоен бюджет в десятки миллионов долларов. Эти деньги потратили, чтобы приобрести книги и сре́зать корешки, а затем отсканировать страницы и вкачать больше знаний в ИИ-модели, лежащие в основе продуктов по типу популярного чат-бота Claude.

Дело против Anthropic — это часть волны исков, которые против компаний ИИ подавали авторы, художники, фотографы и новостные издания. Как показывают судебные материалы, техногиганты лихорадочно и порой втайне участвуют в гонке, чтобы получить интеллектуальное наследие человечества.

В одном из недавно обнародованных документов Anthropic сообщила, что сооснователь компании Бен Манн в июне 2021 года в течение 11 дней лично скачивал художественную литературу и нон-фикшн с LibGen, теневой библиотеки с книгами и другим нарушающим авторские права контентом. К делу приложен скриншот его браузера, где он скачивает файлы с помощью программ для файлообмена.

В июле 2022 года Манн восторженно отзывался о запуске нового сайта Pirate Library Mirror. Сайт заявлял о наличии огромной базы книг и указывал: «Мы сознательно нарушаем авторское право в большинстве стран». Манн разослал коллегам-антропиковцам ссылку на сайт с припиской: «как нельзя кстати!!!»

Купить, разрезать, отсканировать и на переработку

Когда проект по покупке и сканированию физических книг Project Panama только начинался, Anthropic обратилась к ветерану Кремниевой долины. Компания наняла Тома Тёрви, руководителя в Google, который двумя десятилетиями ранее помогал создать знаменитый, но юридически спорный проект Google Books.

Как следует из материала дела, поначалу Anthropic рассматривала возможность покупать книги у библиотек или в магазинах подержанных книг. К примеру, книги хотели закупать в Strand, известном нью-йоркском магазине, который часто щеголяет слоганом про 18 миль полок новых и бывших в употреблении книг3. Согласно документу, описывающему встречу Anthropic по приобретению контента в марте 2024 года, магазин был «заинтересован в предоставлении подержанных книг».

Сотрудники Anthropic также обсуждали вариант либо обратиться к библиотекам США, в том числе к Нью-Йоркской публичной библиотеке4, либо, как говорится в документах, «новой библиотеке, хронически недофинансируемой».

Неясно, какие из этих предложений Anthropic реализовала, если вообще хоть какие-нибудь. На запрос по электронной почте представитель Strand сообщил, что в итоге никаких книг магазин компании Anthropic не продал. Нью-Йоркская публичная библиотека на запрос о комментарии не ответила.

В итоге Anthropic приобрела миллионы книг, нередко партиями по десятки тысяч, говорится в материалах дела. Ключевую роль в этом играли книжные сети, включая ретейлера подержанных книг Better World Books и британскую компанию World of Books.

Из судебных документов удалены полное число отсканированных книг и их стоимость. Тем не менее в проектном предложении одного подрядчика, который в конечном счёте работал с Anthropic, отмечалось: ИИ-компания «ищет опытного поставщика услуг сканирования документов, чтобы сконвертировать от 500 тыс. до 2 миллионов книг за шестимесячный период».

Better World Books и World of Books в понедельник не ответили на запросы о комментарии.

В документе описывается, что будет делать компания по сканированию. «Гидравлическая режущая машина» будет «аккуратно разрезать» книги; затем страницы «будут сканироваться на высокоскоростных, высококачественных сканерах промышленного уровня». И, наконец, говорится в документе, подрядчик «согласует вывоз отработанных книг с компанией по переработке отходов».

Источник

Разработчики восьми дистрибутивов Linux, специализирующихся на предоставлении окружений для запуска компьютерных игр, сформировали рабочую группу Open Gaming Collective (OGC) для совместной разработки унифицированного набора компонентов и продвижения подготовленных изменений в основной состав проектов, образующих открытый игровой стек. К инициативе присоединились дистрибутивы Universal Blue (Bazzite), Nobara, ChimeraOS, Playtron, Fyra Labs, PikaOS, ShadowBlip и ASUS Linux.

Предполагается, что совместная работа над дублирующимися в разных дистрибутивах задачами позволит высвободить время и сфокусировать внимание на развитии специфичной для каждого дистрибутива функциональности. При создании патчей к существующим пакетам участники по возможности будут добиваться принятия подготовленных изменений в основные проекты (upstream), вместо поддержания отдельных наборов патчей, привязанных к поставляемым в дистрибутивах пакетам.

В настоящее время в OGC запущено два проекта - пакет с Linux-ядром OGC Kernel, сфокусированным на оптимальную производительность и эффективность при выполнении игровых приложений, и форк развиваемого компанией Valve композитного сервера Gamescope, включающий поддержку дополнительного оборудования. В составе OGC также планируют совместно развивать фоновый процесс InputPlumber для обработки событий с разных устройств ввода и патчи к различным пакетам компании Valve, используемым в SteamOS.

Дистрибутив Bazzite, основанный на технологиях Fedora Silverblue и оптимизированный для запуска игр, принял решение перейти на использование ядра OGC Kernel, заменить HHD (HandHeld Daemon) на InputPlumber, интегрировать в Steam UI поддержку управления RGB-подсветкой и кулерами, и начать тестирование применения Faugus Launcher в качестве потенциальной замены платформы Lutris.

>>> Источник

Тесты начнутся весной.

Летом 2026 года в России может появиться новая модель получения смартфона. Компания «Бюро цифровых проектов» планирует выдавать устройства без предоплаты и ежемесячных абонентских плат. Стоимость телефона и связи покроет просмотр рекомендаций (например, баннеров или видеороликов) в интерфейсе телефона.

Чтобы получить смартфон, нужно будет пройти идентификацию по паспорту. Просмотр рекомендаций не будет мешать звонкам или использованию приложений. Однако если пользователь полностью отключит показ любой рекламы, ему придется вернуть устройство, как указано в соглашении. Телефон при этом не блокируется.

Просмотр рекомендаций не является обязательным условием для совершения звонков, отправки сообщений или использования приложений. Устройство будет работать на Android 16. Все приложения и сбор данных будут подключаться только с согласия пользователя и в рамках российского законодательства.

Первые 1500 устройств весной 2026 года получат участники закрытого тестирования. Подать заявку на участие сможет любой желающий через сайт проекта.

Источник

Авторы книг расширили коллективный иск против NVIDIA — и предъявили внутренние документы компании. Из них следует, что корпорация вела переговоры с Anna’s Archive, крупнейшей пиратской библиотекой в мире, о доступе к 500 ТБ книг для обучения своих языковых моделей.

Началось с того, что сотрудник команды NVIDIA по стратегии данных написал в Anna’s Archive напрямую. Его интересовало, как получить «высокоскоростной доступ» к коллекции — такая услуга стоила десятки тысяч долларов.

Дальше — интереснее. Anna’s Archive сама предупредила NVIDIA, что ее библиотека собрана и поддерживается нелегально. Пираты даже спросили, есть ли у сотрудника внутреннее разрешение на такие переговоры — видимо, уже обжигались с другими AI-компаниями, тратя время впустую. Через неделю руководство NVIDIA дало зеленый свет.

Помимо Anna’s Archive, в иске фигурируют и другие источники: LibGen, Sci-Hub, Z-Library и датасет Books3. Авторы также обвиняют NVIDIA в том, что она распространяла скрипты для автоматического скачивания пиратских датасетов среди корпоративных клиентов.

Прецедент уже есть: в сентябре 2025 Anthropic урегулировала аналогичный иск за $1.5 млрд — компания признала скачивание книг с пиратских сайтов для обучения Claude. Суд тогда постановил: обучать на легально купленных книгах можно, пиратить — нельзя.

PS Делаем выводы о реальной стоимости поделий нвидлы…

Гулагский источник

Алан Поуп (Alan Pope), бывший менеджер по инжинирингу и взаимодействию с сообществом в компании Canonical, обратил внимание на новую волну атак на пользователей каталога приложений Snap Store. Вместо регистрации новых учётных записей, злоумышленники начали выкупать просроченные домены, фигурирующие в email зарегистрированных разработчиков snap-пакетов. После перекупки домена злоумышленники перенаправляют почтовый трафик на свой сервер и получив контроль над email, инициируют процесс восстановления забытого пароля для доступа к учётной записи.

( читать дальше... )

>>> Источник (OpenNet)

Роскомнадзор (РКН) планирует создать и внедрить механизм фильтрации интернет-трафика с использованием инструментов машинного обучения в этом году. На эти цели выделят 2,27 млрд рублей, следует из плана цифровизации РКН, который направлен правкомиссии по цифровому развитию. По мнению экспертов, с помощью таких инструментов РКН может научиться эффективнее блокировать запрещенные ресурсы, а также ограничивать работу VPN-сервисов

Что считаете: кто-то заработал, а остальные пострадали в дело и без дела…? (понятно же что это работать так как оглашается не сможет…)

Источник

Разработчики языка Rust предупредили о выявлении в репозитории crates.io пакетов finch-rust, sha-rust, evm-units и uniswap-utils, содержащих вредоносный код (про последние два отдельная новость на ЛОРе была опубликована ранее).

( читать дальше... )

>>> Источник

Джулиан Андрес Клоде (Julian Andres Klode), основной сопровождающий проект APT, объявил о решении добавить код на языке Rust в пакетный менеджер APT, а также включить в число обязательных зависимостей компилятор Rust, стандартную библиотеку Rust и PGP-инструментарий от проекта Sequoia, написанный на Rust. Изменения намерены реализовать не раньше мая 2026 года, чтобы дать разработчикам портов Debian полгода на реализацию корректной работы инструментария Rust или сворачивание порта.

На Rust планируют реализовать компоненты APT, требующие повышенного внимания с точки зрения безопасности, такие как парсеры форматов deb, ar и tar, а также код для проверки цифровых подписей. Ранее, в состав APT 3.0 уже была добавлена возможность использования написанной на Rust утилиты sqv для проверки цифровых подписей вместо вызова gpgv.

Андреас обосновывает предстоящее изменение важностью того, чтобы «проект мог двигаться вперёд и опираться на современные инструментарии и технологии, а не буксовать, пытаясь заставить работать современное программное обеспечение на устаревших системах».

Ранее сообщалось, что из-за ошибки в uutils в Ubuntu 25.10 перестала работать автоматическая проверка наличия обновлений.

Оригинал:

Hi all,

I plan to introduce hard Rust dependencies and Rust code into
APT, no earlier than May 2026. This extends at first to the
Rust compiler and standard library, and the Sequoia ecosystem.

In particular, our code to parse .deb, .ar, .tar, and the
HTTP signature verification code would strongly benefit
from memory safe languages and a stronger approach to
unit testing.

If you maintain a port without a working Rust toolchain,
please ensure it has one within the next 6 months, or
sunset the port.

It's important for the project as whole to be able to
move forward and rely on modern tools and technologies
and not be held back by trying to shoehorn modern software
on retro computing devices.

Thank you for your understanding.
-- 
debian developer - deb.li/jak | jak-linux.org - free software dev
ubuntu core developer                              i speak de, en

>>> Источник

Добрый день!

Хочу услышать мнение аудитории в вопросе выбора Алт-линукса на домашний ПК, какой выбор наиболее оптимален на долгосрок (+игры)? Также интересуют аргументы.

На данный момент, посмотрев все представленное на офф. сайте, я склоняюсь к стартеркиту на гноме, т.к. стабильная пакетная база, отсутствие лицензионных притязаний в случае если захочется и на работе поставить такое же, ну и привык уже к гному…

Добрый день.

Недавно я переименовал в Fedora сабволиумы с «root» и «home» на «@» и «@home», поправил fstab и сделал grub2-mkconfig. Жил нормально, все было Ок, но после очередного обновления не смог нормально загрузиться, т.к. он откуда-то подтянул старое наименование корневого сабволюума «root» (т.е. попытался загрузиться в отсутствующий subvol).

Вопрос: откуда он это подтянул и как это исправить на будущее (я так и не нашел где беда)?

Мой fstab:

UUID=40157871-c86d-4a55-9ef7-877d2daa566f /                       btrfs   subvol=@,compress=zstd:1,ssd,discard 0 0

UUID=94b9c40c-72d9-41e4-9155-d65d2b51b1bb /boot                   ext4    defaults        1 2

UUID=08A9-265A          /boot/efi               vfat    umask=0077,shortname=winnt 0 2

UUID=40157871-c86d-4a55-9ef7-877d2daa566f /home                   btrfs   subvol=@home,compress=zstd:1,ssd,discard 0 0

/dev/disk/by-uuid/626673A741DC56BB /home/sm0ke/DATA auto nosuid,nodev,nofail,x-gvfs-show 0 0

Решено: сама «полечилась» проблема при мигрировании на федора 43 (я так и не нашел откуда он подтягивал это наименование, думаю это следствие того, что федорка делает какие-то толи снимки, толи образы кусков системы и при обновлении оттуда загрузку зачем-то подпихивает)