Взрослый опыт меняет восприятие классической игры: если в детстве SimCity 2000 казалась беззаботным конструктором, где можно безнаказанно экспериментировать с налогами и строить утопии, то теперь каждый виртуальный житель напоминает о реальных последствиях решений. Повышение налогов или запуск казино вызывает не любопытство, а тревогу — ведь за цифрами стоят судьбы, аналогичные нашим собственным.

Игра превращается в зеркало взрослой ответственности: вместо хаотичного строительства возникает желание создавать устойчивые города, где жители защищены от кризисов. Даже звук пробок теперь не просто игровой элемент, а напоминание о реальных проблемах урбанизации. Опыт родительства и владения недвижимостью заставляет относиться к симулятору серьёзнее, почти как к управленческому тренажёру.

• Участники обсуждают, как с возрастом и появлением детей меняется восприятие градостроительных моделей в SimCity и в реальной жизни, в частности, отношение к автомобилям и общественному транспорту.
• Поднимается критика транспортной модели SimCity 2000 и других игр серии за нереалистичность и невозможность построить города, похожие на европейские, с mixed-use застройкой.
• Обсуждаются преимущества и недостатки жизни с детьми в автомобильно-ориентированных пригородах vs. пешеходных/велосипедных городах, с приведением примеров из опыта жизни в разных странах.
• Отмечается, что игровой интерфейс и ограничения SimCity стали частью её очарования, а моды (например, NAM) позволяют приблизить игру к реальности.
• Затрагивается тема моральной ответственности перед виртуальными гражданами и то, как игры отражают и влияют на реальные градостроительные практики и политику.

К созданию базовой модели физики

Флориан Виснер, Маттиас Весслинг, Стивен Бэк

Аннотация

Базовые модели произвели революцию в обработке естественного языка благодаря парадигме «обучил один раз — применяй где угодно», когда единая предобученная модель адаптируется к бесчисленным задачам без переобучения. Доступ к базовой модели физики (PFM) стал бы преобразующим — демократизировал бы доступ к высокоточной симуляции, ускорил научные открытия и устранил необходимость в разработке специализированных решателей.

Мы представляем General Physics Transformer (GPhyT), обученный на 1,8 ТБ разнообразных данных симуляции, который демонстрирует достижимость возможностей базовой модели для физики. Наше ключевое понимание заключается в том, что трансформеры могут научиться выводить управляющую динамику из контекста, позволяя одной модели симулировать взаимодействия жидкость-твердое тело, ударные волны, тепловую конвекцию и многофазную динамику без знания исходных уравнений.

GPhyT достигает трёх критических прорывов:

1. Превосходная производительность в нескольких областях физики
2. Обобщение на полностью новые физические системы через обучение в контексте
3. Стабильные долгосрочные прогнозы через 50-шаговые прогоны

Эта работа открывает путь к универсальной PFM, которая могла бы преобразовать вычислительную науку и технику.

Ключевые слова: Машинное обучение, Искусственный интеллект, Базовые модели, Физическое моделирование

• Представлена модель GPhyT, способная обучаться и предсказывать динамику разнообразных физических систем без явных физических особенностей.
• Основное отличие от PINNs и Neural Operators — способность модели понимать множественные физические системы, а не узкоспециализированные.
• Ключевой проблемой признается нехватка данных, особенно для 3D и реальных задач.
• Поднимается вопрос о сохранении моделью фундаментальных законов сохранения (масса, энергия, импульс), что в текущей версии не реализовано.
• Авторы работают над включением законов сохранения в следующей версии модели, отмечая сложность этой задачи для множественных систем.
• Обсуждается возможность применения подобных моделей в электромагнетизме и других сложных физических областях.
• Высказываются сомнения в проверке физической правдоподобности моделей, заменяющих численные решатели, и сохранении ими инвариантов.

Калифорнийский университет в Беркли передал личные данные более 150 студентов и сотрудников федеральному правительству. Информация включала имена, адреса электронной почты и даты рождения. Университет утверждает, что действовал в соответствии с законом, но многие выражают обеспокоенность нарушением приватности.

• Выражена обеспокоенность масштабным использованием исполнительной власти и опасения, что это создаст прецедент для будущих администраций.
• Обсуждается законность аудита и технические детали сбора данных, включая ссылки на соответствующие документы.
• Многие комментаторы проводят параллели с историческими периодами политических преследований, такими как маккартизм или сталинизм.
• Критикуется передача личных данных учащихся и сотрудников властям как вынужденная мера под угрозой потери финансирования.
• Отмечается, что даже небольшой процент целевых проверок создает атмосферу страха и может быть дискриминационным.
• Поднимается вопрос о политизации образования и сложности разделения учебного процесса и идеологии.
• Указывается на риски для академических свобод и потенциальные последствия уступок государственному давлению.

Нельзя сделать скриншот этого.

• Представлен эффект текста, который исчезает при попытке скриншота, но виден в движении.
• Обсуждаются технические обходные пути: запись видео, наложение кадров, изменение масштаба или режимов съёмки.
• Упоминаются аналогичные визуальные эффекты в играх (Branta Games) и на обложках альбомов (Soulwax).
• Предлагаются потенциальные применения: защита конфиденциальных данных, CAPTCHA, недоступные для ИИ задачи.
• Отмечаются проблемы доступности для людей с нарушениями зрения и вызываемая эффектом тошнота.
• Поднимается вопрос о возможности создания обратного эффекта — текста, читаемого только на скриншоте.
• Делается вывод, что метод не является абсолютной защитой, так как обходится видеозаписью.

Slack вымогает у нас дополнительные $195 тыс. в год

Открытое письмо

Hack Club — некоммерческая организация, которая уже почти 11 лет использует Slack для обучения подростков программированию. Мы не были нахлебниками: несколько лет назад, когда Slack перевёл нас с бесплатного тарифа на платный за $5 тыс. в год, мы с радостью согласились.

Однако два дня назад Slack сообщил, что если мы не согласимся доплатить $50 тыс. на этой неделе и затем $200 тыс. ежегодно, наш рабочий пространство будет отключено, а вся история сообщений — удалена.

Можно было бы сказать, что Slack вправе в любой момент отменить льготные условия. Но, на мой взгляд, уведомление за полгода — это минимум при таком резком повышении. По сути, Salesforce (компания с капитализацией $230 млрд) вынуждает небольшую подростковую некоммерческую организацию в срочном порядке найти огромную сумму, иначе мы рискуем потерять все каналы связи. Это абсурд.

Последствия

Крайне сжатые сроки оказались катастрофическими для наших программ. Десятки сотрудников и волонтёров вынуждены срочно обновлять системы, перестраивать интеграции и переносить годы накопленных знаний. Стоимость вынужденной миграции колоссальна.

В любом случае, мы переходим на Mattermost. Этот опыт показал, что контроль над своими данными крайне важен. Если вы — небольшой бизнес, советую тоже задуматься о переходе.

---

Этот пост был написан в спешке — ситуация стала шоком! Если нужны дополнительные детали, напишите мне.

• Slack резко увеличил плату для некоммерческой организации Hack Club в 40 раз с коротким сроком уведомления, угрожая удалить данные.
• Сообщество осудило действия Slack как неэтичные, сравнив их с тактикой вымогательства и указав на риск для других неплатежеспособных клиентов.
• В ответ на негативную реакцию Slack публично извинился и восстановил прежние условия, назвав это ошибкой.
• Hack Club, несмотря на извинения, начал миграцию на альтернативную платформу (Mattermost) из-за потери доверия и желания контролировать данные.
• Обсуждение перешло к рекомендациям по переходу на открытые решения (Zulip, Matrix) и критике бизнес-модели SaaS, ведущей к зависимости от вендора.

Введение в гипервизоры на Rust

1. Введение

• Предварительные требования
• Цели курса
• Мотивация
• Как достигаются цели
• Что вы изучите
• Дизайн фаззера
• Дизайн гипервизора
• Что этот курс НЕ охватывает
• Демо: фаззер на основе гипервизора
• Зачем использовать гипервизор для фаззинга
• Приложения UEFI
• Язык Rust
• Классификация гипервизоров
• Гипервизор vs хост, ВМ vs гость
• Типы гипервизоров

2. Настройка и цикл работы гипервизора

• Включение: активация аппаратной виртуализации
• Настройка: создание структуры контекста гостя
• Переключение: запуск в гостевом режиме
• Возврат: переход обратно в режим хоста
• Обработка: эмуляция событий
• Цели и упражнения главы
• Тестирование с Bochs
• Подготовка к упражнениям
• E#1: Включение VMX/SVM
• E#2: Настройка VMCS/VMCB
• E#3: Конфигурация гостевого состояния
• Причины VM-выходов
• Альтернативный дизайн гипервизора

3. Виртуализация памяти

• Терминология
• Традиционная страничная организация x64
• Вложенная страничная организация
• Связь с гипервизором
• Ошибки страниц во вложенной организации
• Структурные элементы вложенной организации
• Сравнение традиционного и вложенного подходов
• Цели и упражнения главы
• E#4: Включение вложенной организации
• E#5: Построение структур и трансляция адресов
• E#6: Реализация copy-on-write и быстрого восстановления памяти
• Продвинутые темы

4. Интроспекция ВМ для фаззинга

• Проблема 1: Ненужное выполнение кода

• Пользователи высоко оценивают качество и полезность материалов по созданию гипервизора и операционной системы, связывая их с предыдущей работой автора.
• Высказывается критика в адрес формата материалов (Markdown/HTML) и пожелание иметь возможность скачивания в PDF для архивации.
• Отмечается, что материал представляет собой конспект/слайды курса и может быть сложен для понимания без предварительных знаний или посещения занятий.
• Возникает дискуссия о практической ценности таких материалов для самообразования без наличия глубоких базовых знаний.
• Упоминается растущий интерес к теме создания гипервизоров, о чём свидетельствует частое появление подобных руководств.
• Предлагаются технические решения для создания PDF-версии (например, печать в PDF через браузер).
• В комментариях присутствует лёгкое обсуждение терминологии (значение слова "hypervisor") и личный опыт работы в данной области.

• Пользователи высоко оценили технологические возможности очков, особенно качество записи видео, звука и инновационный нейронный браслет для управления.
• Ключевой проблемой остаются серьёзные опасения по поводу конфиденциальности, сбора данных для обучения ИИ и отсутствия возможности отказаться от этого вне ЕС.
• Многие выражают недоверие к Meta как компании из-за прошлых скандалов и опасений по поводу рекламы и контроля над вниманием пользователя.
• Социальная приемлемость устройств ставится под сомнение: скрытые камеры вызывают опасения о съёмке без согласия, а уведомления в поле зрения могут мешать живому общению.
• Отмечается ограниченная функциональность из-за отсутствия API или SDK для разработчиков, что закрывает возможности для кастомизации и расширения.
• Некоторые видят потенциал для нишевого применения: в качестве ассистивного устройства или для активностей на открытом воздухе без телефона.
• Батареи хватает примерно на 6 часов, что недостаточно для полноценного использования в течение всего дня.

Я ухожу с поста сопровождающего libxml2, поэтому проект временно остаётся без поддержки.

До конца 2025 года я буду исправлять регрессии в релизе 2.15.

Спасибо за вашу тяжёлую работу!

Спасибо за долгое сопровождение libxml2!

Я изучаю код libxml2 и libxslt. У меня есть время на поддержку, но нужно разобраться с последними изменениями, например, с управлением буферами ввода-вывода. Как лучше связаться для вопросов?

Спасибо за поддержку ключевых библиотек интернета, используемых в миллионах продуктов по всему миру. Удачи!

От лица миллионов пользователей благодарю за вашу работу!

• Основной сопровождающий libxml2, Nick Wellnhofer, уходит после десяти лет неоплачиваемой работы и форкает проект под лицензией AGPL.
• Сообщество обсуждает кризис поддержки критически важной инфраструктуры из-за проблем с финансированием open-source.
• Поднимается вопрос о чрезмерной сложности XML и необходимости больших библиотек вроде libxml2; предлагаются более минималистичные альтернативы (например, TinyXML2, libexpat).
• Упоминается спорная политика безопасности libxml2 «без эмбарго», что вызывает обеспокоенность по поводу будущих уязвимостей.
• Обсуждается бизнес-модель продажи исключений из GPL для коммерческого использования как потенциальное решение для поддержки.
• Отмечается упадок XSLT из-за проблем с libxml2 и планы по удалению его поддержки из браузеров.
• Высказывается мнение, что сложные стандарты вроде XML с большими RFC являются неустойчивыми и что при выборе технологий следует учитывать простоту поддержки.

Один токен, чтобы править всеми: получение прав глобального администратора в каждом клиенте Entra ID через Actor-токены

Во время подготовки к выступлениям на Black Hat и DEF CON в июле этого года я обнаружил самую серьёзную уязвимость в Entra ID, которую мне, вероятно, доведётся найти. Она позволяла скомпрометировать любого клиента Entra ID в мире (за исключением национальных облачных развёртываний). Уязвимость состояла из двух компонентов: недокументированных токенов олицетворения (Actor-токенов), используемых Microsoft для внутреннего межсервисного взаимодействия, и критической ошибки в устаревшем API Azure AD Graph, которая позволяла использовать эти токены для межклиентского доступа.

С помощью токена, полученного в моём тестовом клиенте, я мог аутентифицироваться от имени любого пользователя, включая глобальных администраторов, в любом другом клиенте. Actor-токены не подчиняются политикам безопасности вроде Conditional Access, поэтому не существовало настроек, способных смягчить угрозу. Доступ к API Azure AD Graph позволял вносить любые изменения в клиенте, которые доступны глобальным администраторам, включая создание новых учётных записей с любыми правами.

Я сообщил об уязвимости в MSRC в тот же день. Microsoft исправила её в течение нескольких дней и выпустила CVE-2025-55241.

Влияние

Токены предоставляли полный доступ к API Azure AD Graph в любом клиенте. Их запрос не оставлял журналов, а в целевом клиенте не было записей о существовании таких токенов. API Azure AD Graph не имеет журналирования на уровне API, поэтому следующие данные могли быть доступны без следов:

• Информация о пользователях, включая личные данные.
• Сведения о группах и ролях.
• Настройки клиента и политики.
• Данные приложений и сервисных субъектов.
• Информация об устройствах и ключах BitLocker.

При олицетворении глобального администратора можно было изменять любые объекты и настройки, что вело к полной компрометации клиента и доступу к таким службам, как SharePoint Online и Exchange Online, а также к ресурсам Azure. Хотя модификация объектов обычно оставляет журналы аудита, действия выглядели бы как легитимные действия администратора.

По данным телеметрии Microsoft, злоупотреблений этой уязвимостью обнаружено не было. Для поиска возможных артефактов злоупотребления в конце поста приведено KQL-правило.

Технические детали

Actor-токены выпускаются службой «Access Control Service» — устаревшим сервисом, используемым для аутентификации в приложениях SharePoint и внутренних службах Microsoft. Я обнаружил его при исследовании гибридных настроек Exchange, которые ранее использовали сертификаты для аутентификации Exchange Online.

• Обсуждение уязвимости в Entra ID, позволяющей обход проверок и несанкционированный доступ к данным других тенантов.
• Критика сложности атаки (CVSS: High) как завышенной, учитывая, что для эксплуатации требуются лишь базовые знания Entra ID.
• Указание на системную проблему Microsoft: наслоение нового кода на устаревшие API без должного тестирования их взаимодействия.
• Сравнение уязвимости с ранее известными инцидентами безопасности в продуктах Microsoft и мнение о слабой безопасности системы.
• Обсуждение проблем дизайна Entra ID: сложность создания тенанта, путаница с типами учетных записей и устаревшая документация.
• Критика использования долгоживущих токенов с широкими правами (Actor tokens), игнорирующих политики безопасности.
• Замечание о том, что корпоративные клиенты вынуждают Microsoft поддерживать устаревший код, усугубляя проблемы безопасности.

Телеканал ABC приостановил показ шоу Джимми Киммела на неопределённый срок после его высказываний о Чарли Кирке.

• Выражается обеспокоенность отменой шоу Джимми Киммела за высказывания, которые участники считают допустимыми в рамках свободы слова, несмотря на их спорность.
• Обсуждается роль FCC и федерального правительства в этом инциденте, что многими воспринимается как нарушение Первой поправки и опасный прецедент цензуры.
• Участники проводят параллели с предыдущими случаями отмены (как Билл Махер) и отмечают, что как левые, так и правые инициируют «культуру отмены», но методы правых с привлечением госорганов считаются более опасными.
• Высказывается мнение, что корпорации (включая Disney/ABC) действуют из краткосрочных коммерческих интересов и трусости, а не из принципов, что наносит урон демократии.
• Поднимается вопрос о концентрации медиа-власти (на примере Nexstar, владеющего множеством станций) и упадке эры телевизионных ток-шоу на фоне изменений в медиапотреблении.
• Некоторые участники видят в произошедшем часть более широкой политической борьбы и предупреждают об эскалации взаимных обвинений и репрессий.
• Отмечается, что заявления Киммела о стрелке и Трампе не воспринимаются частью обсуждения как достаточно оскорбительные или ложные для оправдания таких мер.