🛑 Критическая уязвимость CVE-2025-32434 обнаружена в PyTorch

ИБ-исследователь Цзянь Чжоу сообщил о критической уязвимости (CVE-2025-32434), затрагивающей все версии PyTorch до 2.5.1 включительно. Ошибка устраняется только с выходом версии 2.6.0. Уязвимость имеет CVSS-оценку 9.3, что соответствует критическому уровню риска, и позволяет злоумышленнику выполнить произвольный код на стороне жертвы без какого-либо взаимодействия пользователя. Единственным условием является факт загрузки модели, созданной атакующим, даже при якобы безопасном параметре weights_only=True.

Долгое время weights_only=True воспринимался как надежная альтернатива небезопасной десериализации с использованием pickle, на чём PyTorch делал акцент в официальной документации. Тем не менее, обнаруженный эксплойт показывает, что даже в этом режиме сохраняется возможность внедрения и исполнения кода. Новость особенно тревожна на фоне того, что многие разработчики полагались на данную настройку, как на основной рубеж защиты при работе с моделями из непроверенных источников.

На фоне инцидента команда PyTorch настоятельно рекомендует незамедлительно обновить 🟢библиотеку до версии 2.6.0, а при невозможности обновления постараться избежать использования torch.load() с внешними файлами и внедрить дополнительную проверку содержимого моделей.

✋ @Russian_OSINT

📲 Будет ли отставка Министра обороны США из-за переписки в Signal?

Как сообщает NPR и Politico, позиции главы Пентагона Пита Хегсета стремительно теряют устойчивость. По информации, полученной от высокопоставленного источника, якобы в скором времени может начаться процесс подбора новой кандидатуры на пост министра обороны в США. Причиной стал очередной виток скандала, связанный с нарушением режимов секретности.

📱Сообщается, что якобы в марте Хегсет передавал в личный чат (с женой, братом и адвокатом) подробности грядущих авиаударов по хуситам в Йемене.

📱Параллельно он делился аналогичной инфой в другом Signal-чате с чиновниками Белого дома, куда попал журналист.

Интересная подробность:

↘️ Чат #1 — “Defense | Team Huddle” (создан лично Хегсетом). Участники: жена, брат, адвокат, ближайшие помощники. Якобы глава Пентагона делился подробностями авиаударов в "семейном чате". Использовался с частного телефона.

↘️ Чат #2 — “Houthi PC small group” (создан советником Трампа по нацбезопасности Майком Уолтцом). Предназначен для координации cреди высших чиновников перед ударами по хуситам. Именно в него был добавлен журналист The Atlantic.

Несмотря на критику, Белый дом публично поддерживает Хегсета. 21 апреля 2025 года пресс-секретарь Каролин Ливитт в интервью для Fox News заявила, что президент Трамп "сильно поддерживает Пита Хегсета", назвав его работу "феноменальной".

Трамп встал на защиту Хегсета. Обеспокоенность противников он назвал “тратой времени”, а утечки делом рук “недовольных бывших сотрудников”. По его словам, лучше “спросить у хуситов, насколько хорошо он работает [Хегсет]”.

Представитель комитета по делам вооружённых сил Джим Хаймс заявил, что произошедшее является тревожным сигналом для национальной безопасности. Сенатор Джин Шахин обвинила президента в безответственном кадровом решении, напомнив о недостаточном управленческом опыте Хегсета.

Не исключено, что Хегсет может стать первой крупной "жертвой" из-за мессенджера и вскоре покинет свой пост, если противники Трампа найдут сильные точки давления.

✋ @Russian_OSINT

👮Американские власти продолжают прессовать 🌐 Google и настаивают на продаже Chrome

Министерство юстиции США заявило, что корпорация Google, используя ИИ-продукты, намеренно укрепляет своё монопольное положение в сегменте онлайн-поиска, трансформируя их в инструмент сохранения контроля над глобальными потоками информации.

Ключевое обвинение состоит в том, что Google, контролируя доминирующее положение в поисковых системах, внедряет искусственный интеллект не как нейтральную технологию, а как рычаг удержания пользовательской зависимости от своей платформы.

От компании требуют продать браузер 🧊 Chrome, а также прекратить эксклюзивные соглашения с производителями устройств. Предлагаемые меры направлены на снижение рыночных барьеров и восстановление конкуренции.

Особую тревогу вызвала информация о том, что Google выплачивает Samsung «огромные суммы» за предустановку своего приложения Gemini на смартфоны с возможностью продления договора до 2028 года. Аналитики отмечают, что подобные схемы создают замкнутый цикл, в котором ИИ-решения не освобождают рынок, а напротив, цементируют господство одной платформы.

Юридическая стратегия Министерства юстиции базируется на прецедентах, в которых были приняты решения о демонтаже монополий, таких как AT&T и Standard Oil. Исторически в кейсе Standard Oil (1911) произошло разделение на 34 независимых компаний. А в случае с AT&T, было разделение на одну основную компанию и семь региональных операторов.

Однако представители Google утверждают, что предлагаемые меры не только избыточны, но и подрывают инновационный потенциал страны, в то время как ИИ-продукты якобы не подпадают под юрисдикцию данного иска.

Символично то, что на скамье свидетелей должен выступить представитель 👩‍💻 OpenAI.

👆Решение о возможной продаже браузера Chrome компанией Google в рамках антимонопольного дела Министерства юстиции США ожидается не ранее августа 2025 года.

✋ @Russian_OSINT

👩‍💻 Новая ИИ-модель требует новых подходов? Или как правильно промптить по методике OpenAI

Как сообщает Forbes, в 2025 году 52% взрослых американцев уже используют LLM (ChatGPT, Claude, Copilot и др.), а 34% — ежедневно хотя бы 1 раз. ChatGPT остаётся лидером среди ИИ-моделей. У компании около 400 млн активных пользователей в неделю (по всему миру).

Недавно вышла новая версия GPT-4.1, которая работает чуть иначе, поэтому старые приёмы промптинга могут работать не столь эффективно.

Многие до сих пор используют простейшие запросы, которые лишь поверхностно задействуют возможности ИИ. Потом удивляются, что результат выглядит шаблонно и безлико.

👇Вот что рекомендует сама OpenAI для GPT-4.1, чтобы раскрыть потенциал модели:

🤯1. Структурируйте свои команды:

💠Роль и цель: укажите, кем должен выступать ChatGPT и какую задачу решает
💠Инструкции: чётко распишите, что нужно сделать
💠Логика рассуждений: опишите, как подойти к решению
💠Формат ответа: определите, как должен выглядеть результат
💠Примеры: покажите образцы желаемого вывода
💠Контекст: добавьте всю необходимую вводную информацию
💠Финальные указания: напомните о ключевых условиях или ограничениях

Не обязательно использовать все элементы сразу, но структурированный подход всегда лучше, чем полотно из текста.

📌 Даже частичное применение этой структуры резко повышает качество откликов.

🧩 2. Форматирование имеет критическое значение. Тесты OpenAI показали, что XML-теги обеспечивают лучшую обработку.

Формат JSON плохо справляется с длинными контекстами, особенно при работе с несколькими документами. Вместо этого используйте структуру вида:

ID: 1 | TITLE: Лиса | CONTENT: Быстрая рыжая лисица перепрыгнула через ленивую собаку.

🧠 3. Создавайте автономных ИИ-агентов: ChatGPT может работать как полноценный агент, выполняющий задачи практически без участия человека. Он может помнить контекст, пользоваться инструментами (веб-поиск, выполнение кода) и решать сложные задачи поэтапно.

В каждом "агентском запросе" нужно стоит указывать:
💠Persistence: «Продолжай, пока не достигнешь результата»
💠Tool-usage: «Используй инструменты вместо предположений»
💠Planning: «Сначала подумай, а потом действуй»

📈 С добавлением этих пунктов производительность в задачах программирования выросла на 20%.

📚 4. Используйте длинные контексты на полную мощность. 4.1 обрабатывает до 1 млн токенов, но:
💠Размещайте инструкции в начале и в конце контекста
💠Чётко указывайте: использовать только «внешний контекст» или можно обращаться к внутренним знаниям.

Пример: "Используй только документы из предоставленного контекста для ответа на запрос пользователя"

🔗 5. Используйте “Chain-of-thought”

Anthropic и другие компании тоже исследуют, как ИИ принимает решения. При составлении запросов общайтесь с моделью как с любознательным стажёром. Чётко, по делу, с контекстом.Результаты значительно улучшатся.

Хотя GPT-4.1 не предназначен для сложных рассуждений по умолчанию, вы можете заставить его «думать вслух».

📌 Пример: "Сначала подумай шаг за шагом — какие данные нужны для ответа на запрос?"

💡 Такие хитрости повышают точность и помогают модели “думать вслух”, что критично для анализа, вывода и принятия решений. Особенно эффективно при работе с файлами или анализе нескольких источников.

====

🙂GPT-4.1 не пользовался, поэтому прокомментировать не смогу. Тут только опытным путём пробовать и экспериментировать.

Пишут, что ChatGPT-4.1 гораздо точнее интерпретирует команды, чем его предшественники, которые склонны додумывать факты.

📚Есть ещё смысл сюда заглянуть — https://cookbook.openai.com/examples/gpt4-1_prompting_guide

✋ @Russian_OSINT

🇷🇺 В Госдуму внесли законопроект о запрете рекламы эзотерических и энергетических услуг.

📄 Перечисленный список это отдельное искусство. Посмеялся. Чего только нету:

1. Алхимик
2. Астролог
3. Аура-диагност
4. Биоэнергетический терапевт
5. Ведьма
6. Духовный наставник (гуру)
7. Игропрактик
8. Космоэнергет
9. Кристаллотерапевт
10. Маг
11. Медиум
12. Нейрограф
13. Нейрокодировщик
14. Нумеролог
15. Нутрициолог (без мед. образования)
16. Практик осознанных сновидений
17. Расстановщик
18. Регрессолог
19. Рейки-мастер
20. Рунист
21. Рунолог
22. Специалист по васту
23. Специалист по тантре
24. Специалист по фэншуй
25. Таролог
26. Хилер
27. Хиромант
28. Цифропсихолог (Цифровой психолог)
29. Чакра-терапевт
30. Чакролог
31. Ченнелер
32. Эзотерический коуч
33. Энергетический очиститель
34. Энергопрактик
35. Энергосессиолог
36. Энерготерапевт

🙃 Нейрокодировщикам и цифропсихологам предлагается ченнелить на Headhunter в поисках нового ремесла.

✋ @Russian_OSINT

Канал 🔨SecAtor — @true_secator пишет интересное:

Исследователи Dr.Web раскрыли новую вредоносную кампанию с использованием шпионского ПО для Android, нацеленную на российских военнослужащих под видом картографического ПО Alpine Quest.

По всей видимости, основной целью кампании является контроль за перемещениями и позициями российских военных, прежде всего в зоне проведения СВО.

При этом шпионское ПО (отслеживается Dr.Web как Android.Spy.1292.origin) скрыто внутри легитимных версий Alpine Quest - мобильного приложения, которое используется российскими военными для координации войсковых операций.

Зараженные приложения распространяются в виде APK-файла через каналы в Telegram, рекламирующие пиратскую PRO-версию приложения, и даже через некоторые российские порталы приложений для Android.

Причем изначально злоумышленники размещали ссылки для загрузки приложения в одном из российских каталогов приложений через Telegram, однако позднее троянизированная версия распространялась напрямую в виде APK-файла в качестве обновления приложения.

После установки на устройство Android вредоносное приложение выглядит и функционирует так же, как оригинал, что позволяет ему оставаться незамеченным в течение длительного времени, собирая при этом конфиденциальные данные.

После заражения цели шпионское ПО собирает данные с устройства и отправляет их на удаленный сервер. В их числе: номер телефона жертвы, список контактов, данные геолокации и данные о локальных файлах.

По данным Dr.Web, злоумышленники особенно заинтересованы в поиске и извлечении «конфиденциальных документов», которые военнослужащие могли отправить через Telegram и WhatsApp.

Они также крадут locLog, файл AlpineQuest, который регистрирует данные о местоположении и может использоваться для воспроизведения перемещений жертвы во времени.

Кроме того, шпионская программа поддерживает возможность загрузки и запуска дополнительных модулей, значительно расширяющих ее функциональность.

Несмотря на то, что Dr.Web не называет источник атаки, атрибутировать угрозу в данном случае не составляет особого труда - это очевидно.