Hacker News Digest

Автор Heather Burns рассказывает о необходимости "de-Appling" в Великобритании после решения Apple отключить Advanced Data Protection (ADP) из-за требований законодательства по Investigatory Powers Act. Пользователи, уже включившие ADP, должны будут вручную отключить его, иначе потеряют доступ к iCloud. Это затронет 10 категорий данных: iCloud Backup, Drive, Photos, Notes, Reminders, Safari Bookmarks, Siri Shortcuts, Voice Memos, Wallet Passes и Freeform, которые потеряют end-to-end шифрование. Остальные 15 категорий и коммуникационные сервисы вроде iMessage останутся зашифрованными по умолчанию.

Для тех, кому критично шифрование, автор рекомендует срочно перенести эти данные из iCloud. Предлагает использовать сервисы с end-to-end шифрованием, такие как Proton, Standard Notes, Obsidian или Joplin, и избегать миграции к другим крупным технологическим компаниям. Для заметок советует приложение Exporter для преобразования в markdown. Автор подчеркивает, что это часть более широкой тенденции к уходу от американских технологических платформ.

• UK закон требует от Apple отключить E2EE для пользователей в Великобритании, что вызвало обсуждение о том, что это значит для приватности и безопасности данных, и почему Apple не может просто отказаться от выполнения такого закона.
• Обсуждение также коснулось трудностей, с которыми сталкиваются пользователи, которые хотят отказаться от услуг Apple и других компаний, которые подвержены подобным требованиям.
• Участники обсуждения также затронули вопрос о том, что может означать это для будущего приватности и безопасности данных, и как это может повлиять на другие компании и их пользователей.
• Также обсуждалось, что пользователи могут защитить свои данные, и какие альтернативы могут быть использованы для тех, кто хочет отказаться от услуг таких компаний.
• Наконец, обсуждалось, что это может означать для будущего приватности и безопасности данных в целом, и как это может повлиять на другие компании и их пользователей.

Troy Hunt объявил о добавлении в Have I Been Pwned 2 миллиардов уникальных email-адресов (точнее 1,957,476,021) и 1,3 миллиарда паролей, из которых 625 миллионов ранее нигде не встречались. Это крупнейшая база данных утечек, которую когда-либо обрабатывали. Данные поступили из двух источников: логов вредоносного ПО, собирающего данные с зараженных устройств, и списков для подбора паролей, полученных из других утечек. Hunt отмечает, что такие списки становятся "ключами от замка" из-за привычки пользователей использовать один и тот же пароль на разных ресурсах.

Для проверки данных Hunt проанализировал собственные старые email-адреса и обратился к подписчикам. Один пользователь подтвердил, что в базе находились как его старые, так и текущие пароли. Особенно показателен случай, когда человек использовал простой пароль, состоящий из другого пароля с добавлением в конце "!!". Это подтверждает распространенную практику создания слабых вариаций паролей, что делает пользователей уязвимыми при утечках данных.

• Пользователи обсуждают, что их данные уже неоднократно оказались в утечках, но при этом не ясно, какие именно сервисы пострадали и что делать с этим дальше.
• Обсуждается, что вместо того, чтобы собирать и продавать наши данные, компании могли бы просто не собирать лишние данные и не хранить их нешифрованными.
• Участники обмениваются опытом использования уникальных email-адресов и менеджеров паролей, но при этом отмечается, что даже при наличии таких инструментов, большинство сайтов всё ещё требуют email-адрес и не поддерживают вход через SSO-провайдеров.
• Поднимается вопрос, почему до сих пор не введён стандарт веб-автентификации через асимметричные ключи, вместо паролей, и почему пароли всё ещё не храняться в виде хеша, а не в открытом виде.

• openDesk — немецкий проект, который стал основой для openDesk, инициативы, направленной на создание открытой альтернативы Microsoft 365 и Google Workspace.
• Сообщество openDesk активно разрабатывает и поддерживает openDesk, включая такие компоненты, как CryptPad и XWiki.
• В то же время, Microsoft 365 и Google Workspace продолжают доминировать на рынке, несмотря на то, что они не соответствуют требованиям конфиденциальности и суверенности данных.

Исследование MMC о состоянии агентного ИИ показывает, что 62% стартапов уже привлекают бюджеты бизнес-направлений, доказывая переход технологии из экспериментальной фазы. Основные проблемы внедрения не технические: интеграция рабочих процессов (60%), сопротивление сотрудников (50%) и вопросы безопасности данных (50%). Успешные стратегии следуют принципу "Think Small", начиная с низкорисковых задач с быстрой окупаемостью, особенно когда ИИ автоматизирует неприятные для людей задачи.

Точность решений превышает 70% у 90% компаний, при этом 52% стартапов строят инфраструктуру внутри компании. Наиболее популярные модели ценообразования - гибридная и за задачу (по 23%), в то время как модель на основе результатов используется лишь 3% из-за сложности измерения. Как отмечают Марк Беннайофф и Сатья Наделла, восприятие Copilot колеблется между "Clippy 2.0" и "Clippy после десятилетия в спортзале", что подчеркивает важность правильного позиционирования.

• Основные барьеры внедрения агентных AI — не технические (производительность моделей), а организационные: интеграция в рабочие процессы, недоверие сотрудников и вопросы приватности данных.
• Системы склонны к накоплению ошибок, что требует постоянного контроля человека ("human in the loop"), особенно в критичных приложениях (финансы, здравоохранение).
• Наблюдается скепсис по поводу реальной пользы многих AI-решений: инвестиции часто не оправданы, а системы могут генерировать недостоверные данные.
• Агентные AI сложно методически оценивать, а их непредсказуемость в открытых контекстах требует тщательного инженeringа для снижения рисков.
• Выводы о проблемах внедрения могут быстро устаревать из-за быстрого развития технологий.

Инженер заблокировал умный пылесос от сбора данных, после чего производитель выпустил удаленную команду для его отключения. Пользователь, не желавший терять дорогостоящее устройство, разработал решение с помощью кастомного оборудования и Python-скриптов, позволяющих пылесосу работать в автономном режиме без подключения к серверам производителя. Это позволило восстановить функциональность устройства, обходя ограничения, наложенные производителем.

Пользователь создал альтернативную прошивку и аппаратное обеспечение, которое имитирует оригинальное ПО, но без функций сбора данных. Он также добавил локальное управление и автономную работу, что делает пылесос полностью независимым от облачных сервисов. Это решение не только оживило устройство, но и повысило его приватность, поскольку теперь пользователь имеет полный контроль над своими данными.

• Компания, отключившая пылесос за отсутствие «телеметрии», вызвала обсуждение о праве собственности, этике и праве на ремонт.
• Участники обсуждения подчеркнули, что покупатель должен иметь возможность полностью контролировать купленный продукт, включая право на ремонт и модификацию.
• Обсуждение также затронуло вопрос о том, что производитель не должен иметь возможность удаленно отключить устройство, которое было куплено законно.
• Участники также обсудили, что покупатель должен иметь возможность полностью контролировать свои устройства, включая право на ремонт и модификацию.
• Обсуждение также затронуло вопрос о том, что производитель не должен иметь возможность собирать данные о пользователе без его согласия.

Tim Bray обнаружил Grokipedia - сайт, где статья о нём в пять раз длиннее, чем в Википедии (7000+ против 1300 слов). Статья, вероятно, сгенерирована LLM и содержит множество ошибок - как явных противоречий, так и тонких неточностей. Стиль написания - "отстранённый академический", характерный для нейросетей, а все ссылки представлены просто URL, некоторые из которых не подтверждают текст.

Grokipedia позиционируется как антидот "woke-предвзятости" Википедии. В статье о Bray приводятся аргументы против монополизации, но с сильным уклоном в защиту Big Tech. Bray провёл 15 минут, проверяя ссылки в документе FTC, но не нашёл подтверждения одному из утверждений. Он считает, что Grokipedia пока не выполняет основные функции Википедии, но это только версия 0.1.

• Обсуждение показало, что Grok-энциклопедия (Grokipedia) вызывает много споров: её обвиняют в плагиате, неточных ссылках, излишней вербозности и идеологической предвзятости.
• Участники обсуждения отмечают, что Grok-энциклопедия не предоставляет ссылок на источники, что делает невозможным проверить достоверность информации.
• Участники также отмечают, что Grok-энциклопедия может быть неполной или неактуальной, поскольку LLM не может отличить факт от вымысла.
• Некоторые участники подчеркивают, что Grok-энциклопедия может быть использована для продвижения определённой идеологической повестки.
• Участники также обсуждают, что Grok-энциклопедия может быть нестабильной в плане безопасности и конфиденциальности, поскольку она может быть использована для сбора персональных данных без согласия пользователей.

• Дискуссия вращается вокруг того, кто несёт ответственность за защиту персональных данных: компания, которая собирает данные, или исследователи, которые хотят получить к ним доступ.
• Участники подчеркивают, что Cambridge Analytica начиналась как «исследовательский» запрос, и что в конечном счёте именно компаниям придётся нести ответственность за злоупотребление данными.
• Поднимается вопрос о том, что если правовая рамка не предусматривает чёткого механизма обмена данными и защиты, то может ли быть этически оправдано, чтобы компании просто отказались предоставлять доступ к данным, даже если это означает нарушение закона.
• Обсуждается, что если данные собираются в рамках американских компаний, то они могут быть использованы для влияния на выборах, и это вызывает вопрос о том, кто должен нести ответственность за последствия такого использования данных.

Израильские чиновники потребовали от Google и Amazon использовать секретный «миг» для обхода юридических приказов, позволяющий компаниям игнорировать судебные решения о раскрытии данных пользователей. Этот механизм позволял израильским спецслужбам получать доступ к информации, не раскрывая свои запросы общественности. Израиль настаивал на том, что это необходимо для национальной безопасности, но критики видят в этом попытку обойти правовые процедуры.

Секретный «миг» был частью более широкой программы, в рамках которой Израиль требовал от технологических компаний установить бэкдоры в своих системах. Google и Amazon сопротивлялись этим требованиям, опасаясь, что это создаст опасный прецедент и подорвет доверие пользователей. Внутренние документы показывают, что израильские чиновники угрожали компаниям юридическими последствиями, если те не выполнят требования.

• Документы, указывающие на то, что Google и Amazon могли бы получать платежи от Израиля за раскрытие информации, вызвали волну обсуждений о возможном нарушении закона и этике.
• Участники обсуждения подчеркнули, что такие платежи могли бы быть использованы для обхода законов о неразглашении, что ставит под сомнение легальность сделки.
• Обсуждение также затронуло вопрос о том, что компании могли бы быть вовлечены в преступное сговоре, что может повлечь за собой серьёзные последствия.
• Участники также обсуждали, что такие действия могут быть незаконными, и что компании могли бы быть привлечены к ответственности за участие в таком сговоре.
• В обсуждении также поднимался вопрос о том, что такие действия могут быть неэтичными и могут нарушать законы о защите данных и конфиденциальности.

Исследователи из Калифорнийского университета в Сан-Диего и Мэрилендского университета провели масштабное исследование уязвимостей спутниковой связи. Используя общедоступное оборудование, они просканировали 411 транспондеров на 39 геостационарных спутниках, обнаружив, что 50% каналов передают данные в открытом виде, без шифрования.

В перехваченном трафике обнаружилась крайне чувствительная информация: внутренняя переписка крупных корпораций, данные систем управления промышленной инфраструктурой (включая энергосети), местоположение военных активов, инвентаризация международных ритейлеров и даже голосовые звонки через сотовые сети. Это означает, что коммерческие и государственные организации, использующие спутниковую связь для критической инфраструктуры, подвергают данные значительному риску, поскольку полагаются на устаревшие или несуществующие протоколы шифрования на уровне канала.

Особенно тревожно, что часть уязвимых каналов относится к инфраструктуре жизнеобеспечения — энергосетям и трубопроводам. Исследователи подчеркивают, что даже единичный наблюдатель со стандартным оборудованием может получить доступ к этим данным, что подрывает безопасность на государственном и корпоративном уровнях. Работа принята к публикации на одной из ведущих мировых конференций по информационной безопасности.

• Существует множество примеров, когда спутниковые каналы передают незашифрованный трафик, включая SMS, голосовой трафик и интернет-трафик, что подвергает пользователей риску перехвата и анализа трафика.
• Проблема не ограничивается только спутниковыми каналами, но и распространяется на все формы передачи данных, включая кабельные и оптоволоконные линии, что подчеркивает необходимость всегда использовать шифрование и аутентификацию.
• Некоторые компании, такие как T-Mobile и AT&T, были замечены в передаче незашифрованного трафика, что подвергает их пользователей риску перехвата и анализа трафика.
• Вопрос о том, почему спутниковые каналы не используют шифрование по умолчанию, вызывает обеспокоенность, так как это может быть связано с ограничениями в политике, технических ограничениях и дополнительных затратах.
• В конечном счете, отсутствие шифрования в спутниковых каналах и других формах передачи данных подвергает пользователей риску перехвата и анализа трафика, что может привести к утечке конфиденциальной информации и другим негативным последствиям.

Хакеры украли ID-фотографии около 70 тыс. пользователей Discord. Платформа подтвердила, что атака была направлена против стороннего сервиса, который проверяет возраст, а не против самого Discord. Компания подчеркнула, что не имеет доступа к полным данным кредитных карт, паролям или сообщениям. Под угрозой оказались лишь фотографии документов и частичные номера карт. Discord уже отозвал доступ сервиса и уведомил всех затронутых пользователей. Инцидент подчеркивает риски, которые сопутствуют онлайн-проверкам возраста, особенно в условиях, когда правительства всего мира вводят обязательную верификацию.

• Discord не шифрует файлы, что позволило хакерам получить доступ к ним; вопрос в том, почему они вообще были сохранены после проверки возраста.
• Пользователи спорят, нужна ли вообще верификация возраста в Discord, если речь идет о доступе к "чувствительному контенту".
• Некоторые считают, что верификация возраста в Discord — это лишь способ сбора личных данных, а не защита детей.
• Участники обсуждения подчеркивают, что Discord не требует шифрования личных данных, что ставит под сомнение заявления о "100% безопасности" сервиса.

Европейская комиссия ввела жёсткие правила для политической рекламы в интернете: запрещён микротаргетинг, «темные паттерны» и использование чувствительных персональных данных. Теперь политическая реклама должна быть прозрачной, а политики должны раскрывать, кто её оплатил. Но критики говорят, что это может ограничить кампании по сбору средств и подорвать малые партии и НКО. В то же время, крупные партии и технологические гиганты, такие как Meta, могут адаптироваться, в то время как меньшие игроки могут быть вытеснены.

• Политическая реклама в соцсетях запрещена в ЕС, но её определение остаётся размытым, что затрудняет работу малым партиям и кандидатам.
• Мета и другие платформы отказываются от политической рекламы, что вызывает споры о цензуре и влиянии на демократические процессы.
• Обсуждение выявило, что политическая реклама может быть неэффективной и вредной, но также подчеркнуло, что влияние инфлюенсеров и скрытая реклама может быть ещё более разрушительной.
• Участники обсуждения подчеркнули, что запрет политической рекламы может быть направлен на защиту прав граждан, но также вызвал вопросы о свободе слова и равенстве доступа к информации.

Discord подтвердил, что в результате инцидента с поставщиком услуг клиентской поддержки могли быть скомпрометированы документы, касающиеся до 70 000 пользователей. Компания подчеркивает, что атакующие распространяют ложную информацию как часть вымогательской кампании. Пока неясно, какие именно данные были затронуты, но Discord утверждает, что «большинство» из них ограничиваются адресом электронной почты, номером телефона и/или имени пользователя.

• Discord и другие компании продолжают собирать и хранить документы удостоверяющие личность, несмотря на то, что они не могут их защитить.
• Пользователи, которые предоставили свои документы, теперь подвержены риску, что их личные данные могут быть украдены.
• Сторонние подрядчики, которые обрабатывают документы удостоверяющие личность, не могут быть идентифицированы, что делает невозможным для пользователей понять, кто именно имеет доступ к их личным данным.
• Пользователи, которые не предоставили свои документы, не могут получить доступ к сервису.
• Пользователи, которые предоставили свои документы, теперь не могут быть уверены, что их личные данные не будут использованы для других целей.

Идея личного хранения данных, предложенная ещё в 2009 году Тимом Бернерсом-Ли, набирает актуальность на фоне растущих проблем с приватностью и контролем над информацией. Его концепция Socially Aware Cloud Storage и более поздний Solid Protocol предполагают, что пользователи должны хранить данные в одном месте под своим контролем, а приложения — запрашивать доступ к ним. Это меняет парадигму владения данными: вместо корпоративных «силосов» информация становится личным активом, которым можно осознанно управлять.

Хотя Solid пока не достиг массового распространения, его принципы воплощаются в таких проектах, как AT Protocol от Bluesky. Ключевая мысль: данные, генерируемые вами в разных сервисах — от умных часов до соцсетей, — должны быть доступны вам в едином формате и пространстве. Это не только вопрос приватности, но и практической пользы: объединённые данные могут раскрывать новые insights, оставаясь под вашим контролем.

• Скептицизм относительно практической реализации и массового внедрения концепции личных хранилищ данных из-за отсутствия рыночных стимулов для компаний, доминирования удобства над приватностью и технических сложностей, таких как управление схемами данных.
• Предложение постепенных, эволюционных улучшений вместо радикальных изменений, с акцентом на решения, которые предлагают немедленные преимущества по сравнению с текущим статус-кво, например, сквозное шифрование и децентрализованные протоколы.
• Упоминание существующих технологий и инициатив (Bluesky, Solid, IPFS, самохостинг), которые пытаются решить проблему владения данными, но сталкиваются с барьерами в виде сложности использования, бизнес-моделей и необходимости сетевого эффекта.
• Признание того, что проблема часто носит не технический, а экономический и поведенческий характер: пользователи ценят удобство, а компании извлекают выгоду из централизованного хранения и монетизации данных.
• Ностальгия по более открытому и децентрализованному интернету прошлого и осознание того, что для изменений可能需要 сочетание законодательного давления, прорывных приложений и смены парадигмы в восприятии данных как обязательства, а не актива.

Выпущена стабильная версия Immich 2.0.0 — это крупное обновление платформы для самостоятельного хранения фотографий с открытым исходным кодом. Ключевые изменения включают переработанный интерфейс, улучшенную производительность и расширенную поддержку форматов медиа. Добавлены новые функции, такие как умные альбомы на основе ИИ, улучшенные инструменты поиска и более гибкие настройки приватности.

Проект активно развивается с фокусом на децентрализацию и контроль пользователей над данными. В обсуждениях подчёркивается рост сообщества и количество контрибьюторов, что говорит о востребованности альтернатив облачным сервисам. Версия 2.0.0 знаменует переход к более зрелой и надёжной платформе, готовой для повседневного использования.

• Пользователи высоко оценивают Immich как быструю, функциональную и удобную альтернативу Google Photos и iCloud для самостоятельного хостинга фотографий.
• Отмечаются некоторые недостатки: сложности с интеграцией внешних библиотек, частые обновления без значимых изменений, использование ресурсоемкой PostgreSQL и опасения по поводу стабильности.
• Обсуждаются пожелания по улучшению: расширенные возможности поиска по карте и времени, улучшенное управление дубликатами, более гибкая структура хранения и нативные решения для iOS.
• Часть пользователей ищет более простые, статические решения для публичного показа фотографий, не требующие авторизации.
• Команда разработчиков Immich получила похвалу за скорость развития и открытость, включая раздел «Cursed Knowledge» на сайте.

Автор делится списком из 28 гипотетических ИИ-инструментов, которые могли бы радикально упростить и улучшить повседневные и профессиональные задачи. Среди них — фоторедактор, превращающий снимки с iPhone в профессиональные кадры, агент для автоматической поддержки тем в интерфейсах, инструмент для декомпиляции и отладки минифицированного кода, а также персональный тренер на основе данных о тренировках.

Особый интерес вызывают идеи вроде Deep Research агента, способного рассуждать несколько дней над сложными запросами, семантических фильтров для соцсетей, скрывающих контент, вызывающий негатив, и рекомендательных систем, которые учитывают глубинные предпочтения пользователя — от книг до статей и видео. Многие предложения направлены на снижение когнитивной нагрузки, например, чат-приложение для учёта калорий или голосовой помощник для Apple Watch, дающий краткие и точные ответы.

• Критика идеи использования ИИ для имитации мнения известных личностей (например, Хемингуэя) как принципиально неверного подхода.
• Обсуждение существующих и разрабатываемых продуктов на базе ИИ: фитнес-трекеры, рекомендательные системы, семантические фильтры для соцсетей, инструменты для анализа личных данных.
• Отмечается, что многие предложенные идеи сводятся к улучшению UI/UX существующих моделей, а не к созданию принципиально новых возможностей.
• Скептицизм относительно практической пользы и работоспособности подобных продуктов, особенно в сравнении с рекламными демо.
• Подчеркивается важность локальной обработки данных и необходимость осторожного отношения к передаче личной информации сторонним сервисам.

Приложение использует систему геймификации для повышения эффективности работы парковочных инспекторов. Оно создает лидерборды, где сотрудники соревнуются по количеству выписанных штрафов, времени реакции на нарушения и другим метрикам. Это мотивирует команду на более активные действия через дух соперничества и видимость достижений.

Система также предоставляет данные в реальном времени: карту с отмеченными нарушениями, статистику по районам и напоминания о патрулировании. Такой подход не только увеличивает продуктивность, но и помогает равномерно распределять усилия инспекторов, сокращая количество пропущенных нарушений.

• Власти Сан-Франциско оперативно заблокировали источник данных сайта после его запуска, но затем данные снова стали доступны.
• Обсуждается алгоритм генерации номеров штрафов, предположительно использующий контрольную цифру по модулю 7.
• Проект вызвал дискуссию о балансе между общественным интересом к данным и потенциальными рисками для сотрудников.
• Упомянуты альтернативные источники данных: официальный открытый датасет SFMTA (с задержкой) и возможный слабый CAPTCHA на сайте платежной системы.
• Участники высоко оценили техническую реализацию и предложили идеи для улучшения: heatmap, уведомления, "доска позора" для наименее активных офицеров.

LinkedIn планирует начать использовать данные пользователей из Европы для обучения своих AI-моделей с 3 ноября 2025 года. Компания опирается на юридическое основание «законных интересов» и исключает из обработки личные сообщения. Пользователям предоставят возможность отказаться от участия в программе через опцию opt-out.

Изменения затронут страны ЕС/ЕЭЗ, Великобританию и Швейцарию. Это решение подчёркивает растущую потребность tech-гигантов в данных для развития генеративного ИИ, но также вызывает вопросы о балансе между инновациями и приватностью в условиях жёсткого европейского регулирования.

• Критика использования данных LinkedIn для обучения ИИ без явного согласия пользователей, особенно в контексте GDPR
• Опасения по поводу низкого качества и искусственности контента на платформе (AI-generated slop, корпоративный жаргон)
• Скептицизм относительно полезности ИИ, обученного на подобных данных, и потенциального вреда (усиление "hustle culture", бред)
• Возмущение моделью opt-out вместо opt-in и её несоответствием принципам защиты приватности
• Ирония и сарказм по поводу абсурдности корпоративной культуры LinkedIn и её влияния на ИИ

Великобритания заключила контракт на 1,5 миллиарда фунтов стерлингов с Palantir для модернизации систем оборонного планирования и логистики. Компания, известная работой с разведданными и спорной репутацией в вопросах приватности, будет разрабатывать программное обеспечение для управления военными операциями, запасами и данными.

Сделка вызвала обеспокоенность из-за тесных связей Palantir с правительством США и возможных рисков утечки чувствительной информации. Практический вывод: усиление зависимости государственного сектора от частных технологических гигантов поднимает вопросы о безопасности и суверенитете данных.

• Выражена тревога по поводу усиления технофеодализма и технофашизма, а также опасений о будущем развитии общества.
• Критикуется решение правительства Великобритании о сотрудничестве с Palantir, расцененное как предпочтение иностранным компаниям в ущерб местным и угроза суверенитету и данным.
• Поднимаются вопросы о соответствии Palantir Cloud Act и рисках доступа правительства США к данным независимо от местонахождения серверов.
• Отмечается отсутствие сопоставимых местных конкурентов и неспособность Великобритании развивать собственную технологическую экосистему.
• Обсуждаются связи Palantir с Питером Тилем и Джеффри Эпштейном, а также идеология руководства компании, вызывающая опасения.

• Создание отдельного американского TikTok с 80% владением консорциумом инвесторов США и 20% Bytedance
• Назначение представителя правительства США в совет директоров для контроля
• Переход всех данных американских пользователей на инфраструктуру Oracle в США
• Опасения по поводу цензуры, пропаганды и использования платформы в интересах консервативных сил
• Критика сделки как нарушения принципов свободного рынка и принудительной национализации
• Риск изоляции американских пользователей от глобального контента и ухудшения платформы
• Сомнения в законности процесса и возможной связи с финансовыми интересами администрации Трампа

• Участники обсуждения сходятся в том, что алгоритмические ленты, максимизирующие вовлечение, превращают соцсети в машины поляризации и зависимости.
• Повторяющийся аргумент: «если бы не Facebook/Twitter, люди всё равно нашли бы способ сраться» — отвергается опытом тех, кто ушёл и почувствовал немедленное улучшение психики.
• Главный страх — не просто потеря времени, а то, что наши мысли формируются узким кругом платформ, которым выгодно злить или пугать.
• Предлагаемые «лекарства» звучат жёстко: запретить монетизацию политики, рекламу по данным, разрешать только хронологическую ленту, или вовсе блокировать доступ до 15-16 лет.
• Многие признают: уйти трудно, потому что соцсети одновременно заменили СМИ, клубы, знакомства и даже политические партии; отказаться — значит выйти из публичной жизни.

• Бывший глава кибербезопасности WhatsApp подал в суд на Meta, заявив, что компания ставила под угрозу миллиарды пользователей.
• По его словам, инженеры WhatsApp могли перемещать и красть контакты и IP-адреса.

• Бывший глава безопасности WhatsApp обвинил Meta в том, что 1500 инженеров имели неограниченный доступ к метаданным пользователей без аудита.
• Некоторые бывшие сотрудники Meta утверждают, что доступ к данным строго логируется и карается увольнением, но другие сомневаются в реальном контроле.
• Участники обсуждения подчеркивают: даже при E2E-шифровании метаданные (контакты, IP, аватарки) остаются уязвимы, если «концы» контролируются компанией.
• Несколько комментаторов считают, что WhatsApp — это «feature, not bug» для разведок, особенно вне США и Китая.
• Появляются призывы переходить на открытые решения вроде Signal с открытым кодом и воспроизводимыми сборками.

Alterego — «почти телепатический» интерфейс: мини-девайс считывает немую речь, превращая задуманные фразы в команды AI.
Работает без экрана, клавиатуры и голоса; мысли остаются при вас.

Следи за новостями и получи уведомление о запуске.

• Участники сомневаются в реальности Alterego: нет публичных демо, видео выглядит как fake, данных мало.
• Основная идея — «бесшумный ввод»: челюстные/ушные EMG-датчики ловят субвокализацию, превращают в текст без звука.
• Скорость не проблема; удобство — в отсутствии need доставать телефон, говорить вслух или уметь печатать.
• Ниши: люди без грамотности, locked-in syndrome, шумные кафе, велосипед, AR-очки, «телепатический» чат.
• Критика: точность 92-95 % для маленького словаря = раздражает; требует персонального обучения; риск сбора «мыслей» и утечки данных.

Как мы взломали Burger King: обход аутентификации = прослушка драйв- thru

Старт
RBI (Burger King, Tim Hortons, Popeyes) управляет 30 000 точек через платформу «assistant». Уязвимости позволяли открыть любую из них и слушать разговоры у окна заказа.

Дыры

1. Регистрация без проверки почты: GraphQL-мутация signUp создавала аккаунт мгновенно; пароль присылали открытым текстом.
2. Список всех магазинов: инкрементный storeId + запрос getStore → персонал, конфиги, id.
3. createToken без авторизации: передал storeId – получил master-токен.
4. Повышение до админа: updateUser(roles: "admin") одной мутацией.
5. Сайт заказа оборудования: пароль «защищён» клиентским JS, сам пароль в HTML.
6. Планшеты в зале и драйв-thru:
   • главный экран /screens/main?authToken=… – история разговоров с аудио;
   • диагностика /screens/diagnostic – пароль admin, регулировка громкости и запись звука в реальном времени.

Итог
Одна уязвимая GraphQL-точка → полный контроль над глобальной сетью, персональными данными и живыми разговорами клиентов.

• Пост исследователя безопасности о дырах в IT Burger King удалили после жалобы DMCA от стартапа Cyble.
• Уязвимости были клиент-side-only пароль в HTML, незащищённые голосовые записи, привязка голоса к имени и номеру авто.
• Автор сообщил Burger King заранее, получил молчание и нулевой бонус, после публикации — DMCA-удаление.
• Комментаторы обсуждают: злоупотребление DMCA, отсутствие bug bounty, этика публичного разоблачения и перспективы тюрьмы за CFAA.

Бенн Джордан:
Сегодня мне пришло несколько сообщений с просьбой «уточнить позицию по Израилю». Странно — я всегда открыто выступал против геноцида и за палестинское государство.

• Google AI Overview приписало музыканту Benn Jordan видео «Was Wrong About Israel» другого автора (Ryan McBeth), выдав вымышленную дату 18 августа 2025.
• Участники обсуждения считают это ярким примером опасности «галлюцинаций» ИИ: ложь становится заголовками, а пользователи без проверки верят результатам.
• Многие подчеркивают, что мелкий дисклеймер «AI может ошибаться» не решает проблему репутационного ущерба и требуют юридической ответственности Google.
• Приводятся аналогичные случаи: мелкому бизнесу приписывают мошенничество, людям — смерть, а HR-системы уже фильтруют кандидатов по ошибочным AI-досье.
• Общий вывод: общественно значимые системы запущены на публику как бета-тест без должной безопасности, и без законодательного давления ситуация ухудшится.

Инсайдер: команда DOGE подвергла уязвимости данные SSA
Информатор Charles Borges, главный специалист по данным SSA, сообщил, что в июне члены «Департамента эффективности» (DOGE) загрузили копию критически важной базы Social Security на незащищённый облачный сервер. В массиве — имена, адреса, даты рождения и SSN 300 млн американцев. Доступ требовали сразу после инаугурации Трампа; временная глава SSA Мишель Кинг отказалась и ушла в отставку. Утечка может привести к массовому кражеству личности.

• Утечка SSN вынудит США выдавать новые идентификаторы и перестраивать госсистемы с нуля.
• Участники считают, что истинная цель DOGE — не экономия, а разрушение институтов.
• Предлагают отказаться от SSN как идентификатора и ввести «федеральный ID» для получения льгот.
• Некоторые шутят о «печати зверя» и радуются, что живут вне США.

• Пользователи в основном не удивлены: большинство и так считало, что их данные уже используются.
• Ключевое изменение — теперь использование данных происходит по умолчанию (opt-out), а не по согласию (opt-in).
• В настройках появился выключатель; при входе показывают поп-ап с предложением отказаться.
• Некоторые рады улучшению моделей, другие боятся утечки интеллектуальной собственности и называют это «dark pattern».
• Платным и корпоративным пользователям новые правила не касаются.

• Tesla автоматически выгружает данные о крушении на свои серверы и тут же помечает их для удаления в машине, оставляя себе единоличный контроль.
• Хакер @greentheonly восстановил «удалённые» данные в Starbucks и показал, что Tesla сначала утверждала, что записи нет, а потом «внезапно» нашлась.
• Участники обсуждения сравнивают поведение Tesla с уничтожением блэк-бокса и требуют уголовной ответственности за сокрытие доказательств.
• Многие заявляют, что больше не купят Tesla и предлагают законодательно обязать всех производителей хранить данные аварий в независимом «чёрном ящике».

YouTube тайно обрабатывает ролики нейросетью.
Канал Рика Беато (5 млн подписчиков) вдруг стал выглядеть «как будто я накрашен»: кожа гладкая, складки на одежде чётче, уши искажены. Похожие артефакты нашёл и Ретт Шалл. Оказалось, YouTube без уведомления включил «улучшение» видео ИИ-фильтром, который убирает шум, повышает резкость и «ретуширует» лица.

Авторы в панике: даже минимальные правки меняют атмосферу и подрывают доверие зрителей. Это часть тренда: всё больше «реальности» проходит через ИИ до того, как мы её увидим. Вопрос уже не «увидишь ли ты подмену», а «сохранится ли связь с подлинным миром».

• Пользователи боятся, что «улучшение» видео на YouTube сольёт всё в один безликий стиль и стерет индивидуальность авторов.
• YouTube утверждает, что это лишь традиционный ML-фильтр для уменьшения шума и повышения чёткости, не GenAI и не апскейл.
• Недовольство усиливается из-за отсутствия опции отключить обработку и из-за того, что «улучшения» делают картинку похожей на плохой AI-фильтр.
• Люди уже не доверяют цифровым текстам и книгам, опасаясь скрытого AI-редактирования.
• Общий посыл: платформа меняет контент без спроса, и это вызывает тревогу за подлинность медиа.

Суть дела
После столкновения армейского вертолёта с пассажирским самолётом над Потомаком погибли 67 человек. Вместо выяснения причин катастрофы следователи из Виргинии сосредоточились на поиске того, кто передал CNN видео крушения.

Как карают источник
Сотрудник диспетчерской службы аэропорта Мохамед Мбенг записал на телефон кадры с мониторов и отправил их журналистам. Его обвинили по расплывчатому закону Виргинии о «компьютерном вторжении», хотя он имел законный доступ к видео и просто снял экран. Мбенг вынужден был признать вину.

Проблема закона
CFAA и похожие законы позволяют преследовать даже тех, кто легально работает с данными, но использует их «не так». Это превращает инструмент защиты информации в способ наказать тех, кто сообщает общественности важные факты.

• Утечка видео с камеры наблюдения из диспетчерского центра полиции вызвала спор: одни считают это преступлением, другие — преувеличением.
• Основная претензия: журналисты CNN не замазали в кадре текст, выдавший местоположение камеры, что могло поставить под угрозу источник.
• Многие участники обсуждения считают применение CFAA и закона о «компьютерном мошенничестве» чрезмерным, поскольку инцидент происходил на публике и другие видео уже были доступны.
• Соглашение: сотрудника можно уволить и даже подать гражданский иск, но квалифицировать действия как уголовное преступление — спорно.

Top Secret — новая open-source библиотека от thoughtbot для удаления чувствительных данных из произвольного текста.

Проблема: регулярки не ловят всё (имена, адреса, карты). Решение: смесь regex и NER (распознавание именованных сущностей) через гем mitie-ruby.

Как работает:

1. TopSecret::Text.filter заменяет сущности на токены [PERSON_1], [LOCATION_1] и возвращает mapping.
2. После ответа LLM вызываем TopSecret::FilteredText.restore, чтобы вернуть реальные значения.

Пример:

input  = "Ralph lives in Boston."
filtered = TopSecret::Text.filter(input)
#=> "[PERSON_1] lives in [LOCATION_1]."
mapping  = { PERSON_1: "Ralph", LOCATION_1: "Boston" }

response = "Hi [PERSON_1]! How is the weather in [LOCATION_1]?"
TopSecret::FilteredText.restore(response, mapping: mapping)
#=> "Hi Ralph! How is the weather in Boston?"

Подходит для чат-ботов, где нужно скрыть персональные данные, но сохранить контекст.
Код и демо: GitHub и стрим.

• Обсуждают лёгкий NER-фильтр на базе MITIE для автоматического скрытия чувствительных данных в строках.
• US Marshalls уже заинтересовались такой «авто-редактурой».
• Участники предупреждают: NER не 100 % точен, модель старая (~10 лет) и плохо переносится на новые домены.
• Возникает вопрос, можно ли применять фильтр к стримингу/шерингу экрана: технически возможно через accessibility-API, но нужно определять координаты сущностей и бороться с ложными срабатываниями.
• Для продакшена с длинными диалогами 1 с на инференс может быть медленно; логировать через LLM-фильтр тоже рискует «убить» скорость.