• Microsoft продолжит страдать от этих проблем, потому что акционеры не видят причин для изменений.
• Слияние "нативных" веб-UI и аутсорсинг тестирования приведёт к дальнейшему упадку качества.
• Не стоит ожидать, что Microsoft вернёт QA-команду или перестанет выпускать обновления, ломающие систему.
• Ноутбуки с Windows всё ещё будут внезапно обновляться во время презентаций, потому что это не баг, а фича.

В ядро Linux были добавлены патчи, включающие флаг компилятора -fms-extensions, что позволит GCC и LLVM/Clang использовать расширения Microsoft C при компиляции. Эти изменения, находящиеся в дереве разработки kbuild-next, вероятно, будут представлены для слияния в ядро Linux 6.19 в следующем месяце. Ранее подобные предложения отвергались, но теперь ситуация изменилась.

Расширения Microsoft C позволят включать именованные структуры или объединения анонимно внутри других структур, что, по словам Рasmus Villemoes, приведет к "более красивому коду" и экономии стека. Он отметил, что если "просто укусить пулю" и включить этот флаг раз и навсегда, он будет доступен при возникновении соответствующих случаев использования, без необходимости обосновывать его применение каждый раз отдельно. Linus Torvalds не выразил возражений против этого изменения.

• Обсуждение в основном вращается вокруг того, что именно делают расширения Microsoft C, какие именно они и как они влияют на ядро Linux, и почему это вызывает такую реакцию.
• Участники обсуждают, что это за расширения, какие именно они делают, и почему они вызывают такую реакцию.
• Некоторые участники утверждают, что это просто техническое решение, которое не имеет ничего общего с Microsoft, и что это просто способ сделать код более чистым и безопасным.
• Другие участники утверждают, что это может быть началом "объятия, расширения и убивания" со стороны Microsoft, и что это может быть попыткой Microsoft влиять на Linux.

YouTube удалил туториалы по обходу требований Windows 11 с канала CyberCPU Tech, утверждая, что они "создают риск серьезного физического вреда или смерти". Оба видео - об установке Windows 11 с локальным аккаунтом и обходе аппаратных требований - получили предупреждения о нарушении правил. Первое обжалование было отклонено за 45 минут, второе - всего за 5 минут, что вызвало вопросы о прозрачности процесса модерации.

Автор канала подозревает либо избыточно усердную ИИ-модерацию, либо возможное вмешательство Microsoft. YouTube не предоставил четких объяснений своим действиям, оставляя создателей контента без возможности защиты. Этот случай стал еще одним примером того, как крупные платформы удаляют технический контент без достаточных оснований, оставляя создателей без ресурсов для оспаривания решений.

• YouTube удалил видео о ручной установке Windows 11, сославшись на "риск физического вреда", что вызвало критику цензуры.
• Пользователи сочли причину удаления абсурдной и указали на неэффективность автоматизированной модерации.
• Удаление спровоцировало миграцию пользователей на Linux и macOS, а также эффект Стрейсанд (усиление интереса к удалённому контенту).
• Видео были восстановлены после апелляции, но корпоративная политика цензуры осталась предметом спора.
• Обсуждение затронуло недоверие к платформам и необходимость регулирования корпораций.

• openDesk — немецкий проект, который стал основой для openDesk, инициативы, направленной на создание открытой альтернативы Microsoft 365 и Google Workspace.
• Сообщество openDesk активно разрабатывает и поддерживает openDesk, включая такие компоненты, как CryptPad и XWiki.
• В то же время, Microsoft 365 и Google Workspace продолжают доминировать на рынке, несмотря на то, что они не соответствуют требованиям конфиденциальности и суверенности данных.

Microsoft Z-80 SoftCard была платой расширения для Apple II, позволявшей запускать CP/M программы. Это был первый аппаратный продукт Microsoft, который в 1980 году стал крупнейшим источником дохода компании. Проблема заключалась в несовместимости процессоров: CP/M требовал 8080, а Apple II использовал 6502.

На карте установили процессор Zilog Z80, совместимый с 8080. Главная техническая сложность — сосуществование двух процессоров в одной системе. Решением стало имитирование операции DMA: SoftCard сообщал 6502, что идет прямая память-память, заставляя его приостанавливаться. Это позволяло Z80 временно брать управление, сохраняя при этом возможность использования функций Apple II.

• Сообщество вспоминает, что WordStar и Z80 Softcard были когда-то критически важны, но сегодняшние инженерные усилия Microsoft фокусируются на блогах вместо фундаментальной разработки.
• Некоторые участники защищают использование Википедии как источника, в то время как другие подчеркивают, что она может быть неполной или устаревшей.
• Обсуждение затрагивает вопрос о том, какие именно уроки из прошлого (включая WordStar и CP/M) могут быть применимы к современной разработке.
• В конце концов, обсуждение сводится к тому, что несмотря на то, что технологии и подходы эволюционируют, некоторые основные принципы остаются неизменными.

• Пользователи обсуждают, что формат TIFF был разработан в 1986 году, и что его создателем был Aldus и Microsoft, а не человек по имени John Buck, как это было принято считать.
• Участники обсуждения подчеркивают, что важно сохранить и документировать вклад инженеров, стоящих за технологиями, которые мы используем каждый день.
• Участники обсуждения также отмечают, что формат TIFF был разработан в 1986 году, и что его создателем был Aldus и Microsoft, а не человек по имени John Buck, как это было принято считать.
• Участники обсуждения также отмечают, что важно сохранить и документировать вклад инженеров, стоящих за технологиями, которые мы используем каждый день.

• Комментаторы обсуждают, что Microsoft отражает долю в OpenAI как убытки, что вызывает вопросы о финансовом состоянии последней.
• Участники обсуждают, что OpenAI никогда не была прибыльной, и что Microsoft может быть заинтересована в том, чтобы скрыть это.
• Обсуждается, что компании, вероятно, не могут позволить себе показать, что их инвестиции в ИИ не приносят прибыли, и что это может быть предвестником проблем.
• Участники также обсуждают, что если дела пойдут не так, как ожидается, то это может быть предвестником проблем, похожих на пузырь доткомов.

Исследователь обнаружил уязвимость в Microsoft 365 Copilot, позволяющую произвольную утечку данных через диаграммы Mermaid. Атака работает через косвенную инъекцию команд в специально созданный документ Office. Когда Copilot просит резюмировать документ, он выполняет вредоносные инструкции, извлекает чувствительные данные (например, недавние письма), кодирует их в шестнадцатеричном формате и создает фейковую кнопку входа в виде диаграммы Mermaid. Эта кнопка содержит ссылку на сервер атакующего с зашифрованными данными, которые передаются при клике.

Для реализации атаки исследователь создал запрос, использующий инструмент search_enterprise_emails для получения писем, их шестнадцатеричного кодирования и разделения на строки по 30 символов (из-за ограничения Mermaid в 200 символов на строку). Затем генерировалась диаграмма с фейковой кнопкой, содержащей ссылку на сервер атакующего с закодированными данными. Важно отметить, что Mermaid поддерживает CSS, что открывает возможности для атак на утечку данных.

• MSRC исключил Copilot из программы вознаграждения за уязвимости, что фактически поощряет не раскрывать уязвимости и ставит под сомнение безопасность продукта.
• Сообщество отмечает, что это не первый случай утечки данных через Mermaid/Cursor и что проблема кроется в самой архитектуре LLM.
• Участники обсуждают, что отсутствие денежного стимула для исследователей уязвимостей в Copilot может привести к тому, что уязвимости останутся неисправленными.
• Некоторые комментаторы поднимают вопрос о том, что сама модель LLM по своей природе уязвима к prompt-injection, и что это не может быть полностью устранено без фундаментального прорыва в AI.

Автор выражает разочарование навязчивыми AI-функциями, которые портят продукты вместо улучшения. Изначально он был заинтересован в технологиях, даже считал Rabbit R1 перспективным, но со временем понял, что AI не только захватывает смартфоны, но и проникает во всю потребительскую электронику, превращая полезные устройства в набор бесполезных трюков.

Примеры неудачной интеграции AI повсюду: Google заменил работающий Assistant на медленный и ненадежный Gemini, Siri с "Apple Intelligence" стал еще хуже, а Copilot Microsoftа навязчиво появляется в Windows и даже на экране блокировки. Даже браузер Arc, чей преемник Dia полностью сосредоточился на AI, потерял свою уникальность. Автор вернулся к старому Google Assistant, потому что он хотя бы работал, когда был нужен.

• Пользователи жалуются на вездесущий AI, который не только не решает задачи, но и мешает нормально пользоваться продуктом, вызывая раздражение и вредя UX.
• Критика направлена не столько на саму технологию, сколько на то, как корпорации навязывают её ради отчетов перед инвесторами, в ущерб пользователям.
• Сторонники свободного и открытого ПО и самостоятельного контроля над устройством подчеркивают, что большинство жалоб можно было бы избежать, если бы не было корпоративной политики.
• Сообщество также обсуждает, что вместо того, чтобы улучшать продукты, компании вводят AI в качестве маркетингового хайпа, что приводит к ухудшению UX и вызывает раздражение.

Microsoft представила Agent Lightning, инструмент для разработки AI-агентов. Проект находится на GitHub в репозитории microsoft/agent-lightning, но подробное описание функционала в предоставленном тексте отсутствует. Судя по названию проекта, он позиционируется как "абсолютный тренер" для создания и обучения AI-агентов. В репозитории пока нет подробной документации или примеров использования. Microsoft продолжает расширять свое присутствие в области ИИ, добавляя инструменты для разработчиков в экосистему GitHub.

• Обсуждение в основном крутится вокруг того, что проект не имеет ясной цели, документации и примеров, а также использует LLM для генерации README, что вызывает скепсис.
• Участники также критикуют отсутствие бенчмарков для задач с разреженной наградой или частичной наблюдаемостью, что является критически важным для утверждений о "обучении любого агента".
• Сомнения вызывает и то, что проект позиционирует себя как "фреймворк для оптимизации LLM агентов", но при этом не предоставляет никаких примеров или документации, а также использует LLM для генерации README.
• Некоторые участники также указывают на то, что проект не предоставляет никаких бенчмарков для задач с разреженной наградой или частичной наблюдаемостью, что является критически важным для утверждений о "обучении любого агента".
• В целом, обсуждение показывает, что проект вызывает много вопросов из-за отсутствия ясной цели, документации и примеров, а также использует LLM для генерации README.

• Apple приобрёл команду Sky, создавшую приложение, которое позволяет ИИ-агенту взаимодействовать с macOS-приложениями через естественный язык.
• Слияние выглядит как "aqui-hire", а не как покупка продукта, и вызывает вопросы о том, как Apple будет интегрировать технологию в macOS.
• Покупка команды Sky может быть частью более широкой стратегии Apple по приобретению ИИ-стартапов, чтобы усилить Siri и другие ИИ-функции.
• Это может быть ответом Apple на стратегию Microsoft по интеграции ИИ в Windows, но также вызывает вопросы о том, как это будет влиять на разработчиков и пользователей.
• Покупка Sky может быть связана с тем, что Apple хочет улучшить Siri и другие ИИ-функции, но это также может быть просто способом получить доступ к талантливым разработчикам.

Доктор Грегори Б. Ньюби (gbnewby), руководитель проекта Project Gutenberg на протяжении более 20 лет, скончался после короткой борьбы с раком. Будучи CEO Project Gutenberg Literary Archive Foundation, он тесно сотрудничал с Distributed Proofreaders, где также входил в совет директоров фонда. Ньюби, родом из Канады, вернулся на родину после работы в правительстве Юкона, где продолжал руководить проектом. Его увлечение электронными книгами началось в 1987 году, когда ему прислали "Алису в Стране чудес" по email — "я сразу понял, какая это замечательная вещь", — говорил он.

Под его руководством коллекция Project Gutenberg, где многие книги были отредактированы Distributed Proofreaders, выросла до более чем 75 000 наименований. В 2023 году Ньюби сотрудничал с Microsoft и MIT, создав коллекцию аудиокниг с озвучкой ИИ, которая вошла в "Лучшие изобретения 2023" по версии TIME. Он страстно верил в миссию проекта: "Это поддерживает меня... оказывать положительное влияние и давать людям доступ ко всей литературе". Его неутомимое руководство будет сильно отсутствовать в сообществе.

• Участники вспоминают Грега Ньюби как человека, который внёс огромный вклад в Project Gutenberg и HOPE конференции, и выражают соболезнования.
• Уточняется, что Ньюби не был основателем PG, но основал литературный фонд PG, и что его вклад в PG был важен, но не стоит путать его с основателем PG Майклом Хартом.
• Обсуждается, что не все публичные домены доступны, потому что не все они были отсканированы, и что это может быть более важным фактором, чем копирайт статус.
• Участники обсуждают важность скрининга на рак толстой кишки и необходимость его прохождения.
• Участники обсуждают, что не все публичные домены доступны, потому что не все они были отсканированы, и что это может быть более важным фактором, чем копирайт статус.

Предоставленный текст содержит только навигационную структуру сайта CSO Online, а не саму статью о кибератаке. Судя по заголовку, речь идет о взломе американского ядерного объекта иностранными хакерами через уязвимости в SharePoint. Вероятно, в статье подробно описаны детали инцидента, включая то, как злоумышленники использовали недостатки в популярной платформе Microsoft для проникновения в критически важную инфраструктуру. Без доступа к полному тексту невозможно предоставить точный пересказ с ключевыми фактами, цифрами или цитатами.

• Обсуждение в основном вращается вокруг критики Microsoft-стека, но при этом поднимаются вопросы безопасности, ответственности вендора и даже культуры найма в целом.
• Участники обмениваются личными историями, где Microsoft-ориентированные компании отвергают кандидатов только за то, что те используют их продукты.
• Некоторые комментаторы утверждают, что использование Microsoft-стека само по себе является показателем плохой ИТ-культуры в компании.
• Другие спорят, что важно различать использование продуктов и саму культуру найма и отношение к сотрудникам.
• Обсуждение также затрагивает вопросы национальной безопасности, критикуя использование облачных сервисов и вендор лок-ина.

Сотрудники Electronic Arts и профсоюз CWA выступили против планов по превращению компании в частную, обвиняя инвесторов в том, что те не учитывают интересы рядовых работников. По их словам, увольнения в случае сделки будут не вынужденной мерой, а лишь способом обогатить инвесторов.

Покупка EA группой инвесторов, включая фонд Саудовской Аравии, была анонсирована в конце сентября. Сделка оценивается в $55 миллиардов, причём часть средств поступает из-за рубежа.

CWA, представляющая сотрудников EA, подала официальную петицию в Комиссию по международным инвестициям США — регулятор, который рассматривает подобные сделки. В петиции они требуют, чтобы инвесторы гарантировали отсутствие принудительных увольнений, а также права на объединение в профсоюзы для сотрудников будущей частной компании.

Это уже второй раз, когда CWA обращается к регуляторам: ранее они выступали против покупки Activision Microsoft, утверждая, что та не должна пройти без гарантий занятости. В итоге, Microsoft пошла на уступки, лишь бы сделка состоялась.

В случае EA, однако, компания не собирается переезжать: её просто покупают новые владельцы. CWA надеется, однако, что регуляторы наложат ограничения на сделку, как это было с Activision.

• EA и её сотрудники оказались в центре спора о приобретении компании, при этом сотрудники утверждают, что их не включили в переговоры, и что любые сокращения будут "выбором, а не необходимостью, чтобы наполнить карманы инвесторов".
• Обсуждение выявило, что EA — здоровая компания с $7.5 млрд дохода и $1 млрд прибыли, — и что её приобретение не обусловлен финансовой необходимостью, а скорее является результатом "раковой" сущности приватного капитала.
• Участники обсуждения подчеркнули, что в отрасли видеоигр сотрудники сталкиваются с систематическими нарушениями трудовых прав, включая переработки, неоплачиваемый овертайм и нестабильность занятости, и что это неизбежно ведёт к тому, что талантливые разработчики уходят в другие отрасли или уходят в инди-сектор.
• Было отмечено, что хотя EA и другие компании в отрасли могут быть здоровыми, они всё равно продолжают практиковать массовые увольнения, используя это как предлог для сокращения расходов, что вызывает сомнение в их мотивах.

Корпорация Microsoft активно продвигает Windows 11, но эта ОС вызывает опасения из-за встроенных функций слежки. Например, функция «Recall» записывает действия пользователя и хранит данные в облаке. Некоторые настройки по умолчанию, как интеграция OneDrive, сложно отключить. Edge сложно заменить как браузер по умолчанию.

Из-за этих проблем конфиденциальности автор рекомендует переходить на Linux. Дистрибутивы вроде Zorin OS или PopOS предлагают интерфейс, похожий на Windows, и подходят для обычных задач. Ubuntu и Elementary OS — тоже жизнеспособные альтернативы.

Автор подчеркивает, что даже геймеры могут найти альтернативы, так как многие игры теперь работают на Linux. Для пользователей со старыми компьютерами подойдет MX Linux. Автор предлагает помощь в миграции.

В целом, Microsoft движется в сторону тотальной слежки, и Linux представляет собой практичную, этичную альтернативу.<｜begin▁of▁sentence｜>

• Обсуждение в основном касается перехода с Windows на Linux, при этом подчеркнута проблема аппаратных требований Windows 11, которые ограничивают выбор пользователя и способствуют корпоративному контролю.
• Участники обсуждения подчеркивают, что Microsoft использует TPM и Secure Boot как инструменты для ограничения выбора пользователя и продвижения корпоративного контроля.
• Также обсуждается, что Linux дистрибутивы предоставляют альтернативу, но при этом возникают проблемы с совместимостью и поддержкой.
• Участники также обсуждают, что Microsoft продолжает использовать свою монополию для ограничения выбора пользователя и продвижения корпоративного контроля.

Microsoft начала тестировать в OneDrive функцию распознавания лиц в фотографиях. Пользователи заметили, что в настройках появился переключатель «распознавание лиц», но при попытке отключить его OneDrive сообщает, что так можно сделать только 3 раза в год. Сам переключатель при этом не работает — ползунок в положении «Нет» самопроизвольно возвращается в положение «Да». Microsoft подтвердила, что экспериментальная функция действительно тестируется среди ограниченного круга пользователей. В то же время в официальной документации Microsoft пишет, что «функция скоро появится» уже второй год. Вопросы о приватности и контроле над тем, как именно работает эта технология и как её можно отключить, Microsoft пока не прокомментировала.

• Microsoft ограничивает возможность отключения распознавания лиц до трёх раз в год, что вызывает обеспокоенность приватностью и контролем над собственными данными.
• Пользователи обеспокоены тем, что Microsoft может использовать эти данные для рекламы и других целей, и что они не могут отключить эту функцию без потери приватности.
• Комментаторы отмечают, что Microsoft не предоставляет ясной информации о том, как именно используются эти данные и почему такое ограничение существует.
• Некоторые пользователи выражают обеспокоенность тем, что Microsoft может использовать эти данные для рекламы и других целей, и что они не могут отключить эту функцию без потери приватности.

Microsoft выпустил открытый исходный код проекта Amplifier — инструмент, который позволяет разработчикам создавать и тестировать приложения, использующие модели Microsoft, в том числе и в локальном режиме. Проект распространяется под лицензией MIT и уже доступен на GitHub.

• Обсуждение в основном крутится вокруг того, что проект представляет собой обёртку над Claude API, не предоставляет никаких демонстраций или бенчмарков, и что его README в первую очередь сам по себе вызывает недоверие.
• Участники также поднимают вопросы о безопасности и надёжности, особенно в свете того, что это исследовательский прототип, и что в нём используется автономный запуск задач, который может привести к неожиданным последствиям.
• Некоторые комментаторы также выражают сомнение в том, что проект действительно предлагает что-то новое, вместо того чтобы быть просто ещё одним «wrapper'ом» вокруг существующих инструментов, и что он не предоставляет никаких конкретных примеров или сравнительных оценок.
• Наконец, обсуждение также затрагивает вопрос о том, насколько эффективно используется AI для усиления AI, и что это может говорить о тенденции к «искусственному интеллекту для усиления искусственного интеллекта» вместо использования AI для решения реальных задач.

Европейская комиссия ввела жёсткие правила для политической рекламы в интернете: запрещён микротаргетинг, «темные паттерны» и использование чувствительных персональных данных. Теперь политическая реклама должна быть прозрачной, а политики должны раскрывать, кто её оплатил. Но критики говорят, что это может ограничить кампании по сбору средств и подорвать малые партии и НКО. В то же время, крупные партии и технологические гиганты, такие как Meta, могут адаптироваться, в то время как меньшие игроки могут быть вытеснены.

• Политическая реклама в соцсетях запрещена в ЕС, но её определение остаётся размытым, что затрудняет работу малым партиям и кандидатам.
• Мета и другие платформы отказываются от политической рекламы, что вызывает споры о цензуре и влиянии на демократические процессы.
• Обсуждение выявило, что политическая реклама может быть неэффективной и вредной, но также подчеркнуло, что влияние инфлюенсеров и скрытая реклама может быть ещё более разрушительной.
• Участники обсуждения подчеркнули, что запрет политической рекламы может быть направлен на защиту прав граждан, но также вызвал вопросы о свободе слова и равенстве доступа к информации.

OpenAI стремится стать не просто поставщиком моделей, а новой платформенной силой. Компания уже не скрывает, что её цель — «AI для всех» — подразумевает создание универсального слоя, который будет подключён к каждому устройству и каждому пользователю. Это ставит под вопрос всю цепочку создания стоимости в AI-эпохе: если раньше спор шёл о доле Apple и Google в смартфонах, то теперь речь идёт о том, кто будет контролировать саму платформу. Именно поэтому OpenAI ведёт себя как Microsoft в эпоху Windows: не важно, кто производит ПК, если ОС принадлежит Microsoft. В случае же с LLM-ами, критично важно, кто именно создаст и будет контролировать эту инфраструктуру. И если раньше казалось, что OpenAI может быть лишь одним из многих игроков, то теперь картина обратная: именно OpenAI может оказаться в позиции, где именно она будет решать, какие компании будут жить или умрут.

• Обсуждение варьировалось от технических деталей (OpenAI тратит ли он $1 трлн за 4 года, или это просто гипербола) до философских вопросов (почему мы вообще позволяем такие суммы тратиться на LLM вместо решения глобальных проблем).
• Участники подчеркнули, что OpenAI не имеет «рва» вокруг своих моделей: LLM легко заменяются, а их стоимость стремительно падает.
• Поднялся вопрос, не является ли вся дискуссия просто продвижением OpenAI и Саму Altmanу, а не объективным анализом.
• Несколько человек отметили, что OpenAI, похоже, не имеет никакого уникального продукта, кроме как «первопроходца» в новой категории продуктов.
• Были упомянуты такие вещи как Google и Meta, которые, как утверждается, могли бы сделать то же самое, но не делают этого.

Microsoft требует обязательной учётной записи Microsoft для установки Windows 11 в домашних версиях, исключая локальные варианты. Это продолжение тенденции привязки ОС к облачным сервисам, что усиливает контроль над пользователями и сбор данных. Ранее подобные требования уже вводились для некоторых сборок, но теперь стали стандартом.

Пользователи про-версий пока могут обойти ограничение через офлайн-настройку, но для обычных юзеров это недоступно. Критики видят в этом шаг к принудительной интеграции с экосистемой Microsoft, что ограничивает конфиденциальность и выбор.

• Пользователи выражают разочарование в связи с необходимостью привязки учётной записи Microsoft для установки Windows 11, что усложняет процесс и ограничивает контроль над лицензиями.
• Многие рассматривают переход на Linux (Kubuntu, Mint, Gnome) как жизнеспособную альтернативу из-за разочарования в политике Microsoft, отмечая улучшения в пользовательском опыте и отсутствие слежки.
• Обсуждаются обходные пути для установки Windows без учётной записи Microsoft, такие как использование Rufus, Massgravel, европейских образов или скриптов, но отмечается, что эти методы усложняются.
• Высказывается критика в адрес Microsoft за переход от модели продажи ОС к монетизации пользовательских данных, облачных услуг и рекламы через обязательную привязку к аккаунту.
• Пользователи сталкиваются с проблемами переноса лицензий, купленных через учётную запись Microsoft, при обновлении оборудования, что приводит к безвозвратной потере ключей.

Американский рынок всё больше превращается в единую ставку на искусственный интеллект. Инвесторы концентрируют капиталы в технологических гигантах, таких как Nvidia и Microsoft, ожидая взрывного роста благодаря ИИ. Это создаёт значительные риски: если ожидания не оправдаются, коррекция может быть резкой.

Концентрация инвестиций в узкий сектор напоминает пузырь доткомов, но масштабы сегодня больше. Рост зависит от реального внедрения ИИ в бизнес-процессы, что пока отстаёт от ажиотажа. Диверсификация снижается, делая рынок уязвимым к любым негативным новостям в сфере технологий.

• Инвестиции в ИИ составляют значительную долю роста ВВП США, но вопрос о их окупаемости и устойчивости роста остается открытым.
• Многие участники считают текущую ситуацию "пузырем", основанным на спекуляциях и завышенных ожиданиях, а не на реальной прибыльности.
• Обсуждается роль ИИ как инструмента контроля и власти, а не просто экономического актива, и его потенциальное влияние на рынок труда.
• Отмечается зависимость рынка от институциональных инвесторов (пенсионные фонды) и риск обвала при массовом выводе средств.
• Подчеркивается глобальный характер гонки за ИИ, где отказ от инвестиций может привести к потере конкурентного преимущества.

Pdoc автоматически генерирует API-документацию для Python-проектов, сохраняя иерархию модулей. Инструмент не требует настройки, поддерживает аннотации типов, перекрёстные ссылки и понимает docstrings в стиле Google или numpydoc. Например, команда pdoc demo.py создаст документацию для класса Dog с его атрибутами и методами, включая описание name и friends.

Pdoc также включает встроенный веб-сервер с live-перезагрузкой для удобства разработки. Он популярен среди крупных проектов, таких как Google OR-Tools и Microsoft, благодаря своей простоте и точности. Практический вывод: инструмент экономит время, автоматизируя рутинную работу по документированию.

• Участники обсуждают инструменты для генерации документации Python-библиотек, выделяя pdoc за простоту использования и автоматизацию, а MkDocs с Material-темой — для более крупных проектов с расширенными возможностями.
• Поднимаются технические нюансы, такие как размещение докстрингов для переменных (ниже объявления, по аналогии с функциями) и проверка валидности ссылок между разными системами документации.
• Обсуждается баланс между лаконичными докстрингами в коде и более подробной внешней документацией, например, с помощью Sphinx.
• Упоминаются удобство интеграции pdoc с GitHub Pages и отсутствие значительного прогресса у форков проекта.
• Затрагивается тема использования общих инструментов для проверки ссылок (например, lychee) вместо специфических библиотек для pdoc.

Microsoft активно закрывает лазейки, позволявшие пользователям устанавливать Windows 11 без обязательной привязки к онлайн-аккаунту. Компания последовательно устраняет методы обхода, включая отключение интернета во время установки или использование командной строки, чтобы вынудить пользователей регистрироваться через учётную запись Microsoft. Это усиливает интеграцию с облачными сервисами, такими как OneDrive и Microsoft 365, но ограничивает выбор для тех, кто предпочитает локальные учётные записи из соображений конфиденциальности или автономной работы. Такая политика вызывает критику со стороны пользователей, ценящих контроль над своими данными и настройками системы.

• Пользователи выражают недовольство политикой Microsoft, особенно обязательной привязкой учетной записи Microsoft в Windows 11, воспринимая это как потерю контроля и приватности.
• Многие рассматривают или уже перешли на Linux как альтернативную ОС, отмечая её улучшившийся пользовательский опыт и свободу от навязчивых функций и слежки.
• Обсуждаются технические обходные пути для установки Windows без учётной записи Microsoft, но отмечается, что компания активно их блокирует.
• Высказывается мнение, что такие изменения вредят бренду Windows, отталкивают пользователей и продиктованы коммерческими интересами, а не заботой о пользователе.
• Подчёркивается, что для корпоративного сегмента, где используются доменные учётные записи, эти изменения не столь критичны, в отличие от обычных пользователей.

Бывший глава FTC заявляет, что поглощение Activision-Blizzard компанией Microsoft наносит вред как геймерам, так и разработчикам. Это подтверждается массовыми увольнениями в Microsoft и резким повышением цен на подписку Game Pass — теперь она стоит дороже, предлагая при этом меньше преимуществ. Такие шаги демонстрируют, как консолидация рынка ведёт к снижению конкуренции и ухудшению условий для пользователей и создателей игр.

Разработчики из ZeniMax, дочерней студии Microsoft, выражают недоумение и разочарование из-за "пустых" уведомлений об увольнениях, задаваясь вопросом, как оставшийся "каркас" сотрудников сможет поддерживать выпуск качественных проектов. Практический вывод: крупные слияния в игровой индустрии часто оборачиваются негативными последствиями для экосистемы, несмотря на первоначальные обещания выгод.

• Стратегия Microsoft с Game Pass признана неудачной из-за доминирования Steam и невозможности купить Valve.
• Консолидация в игровой индустрии вызывает споры: одни видят в ней угрозу, другие — пользу для разработчиков и игроков.
• Рост цен на подписки, как в случае с Game Pass, связывают с возросшими операционными затратами.
• Медленные регуляторные процессы (например, сделка с Activision Blizzard) критикуют за несоответствие скорости рынка.
• SteamOS и развитие игр на Linux рассматриваются как успешная стратегия по снижению зависимости от Windows.

Nvidia инвестирует $110 млрд в OpenAI и другие AI-стартапы через венчурное финансирование, что напоминает стратегию Lucent во время пузыря доткомов. Lucent тогда выделила $8,1 млрд клиентам, которые покупали её оборудование, но после краха 47 телеком-компаний обанкротились, а до 80% кредитов не вернулись. Сейчас Nvidia рискует ещё больше: её обязательства составляют 85% выручки против 20% у Lucent, а 39% доходов зависят всего от двух клиентов.

Новизна ситуации в том, что $10+ млрд долгов обеспечены залогом в виде GPU, с предположением, что их стоимость сохранится на 4–6 лет. Крупные облачные провайдеры уже удлинили сроки амортизации оборудования до 6 лет, но Amazon недавно сократил их до 5, что может сигнализировать о переоценке рисков. Если спрос на AI-инфраструктуру замедлится, это может создать цепную реакцию defaults, особенно среди стартапов, зависящих от финансирования поставщиков.

• Сравнение текущей ситуации с пузырем телекоммуникаций 90-х: есть как сходства (масштабные инвестиции в инфраструктуру, риск перепроизводства), так и ключевые различия (финансовая устойчивость Nvidia vs. мошенничество Lucent).
• Главный риск для Nvidia — возможность резкого падения спроса на GPU, если AGI не будет достигнут в ожидаемые сроки (2-5 лет) или если инвесторы потеряют интерес из-за замедления прогресса.
• Неопределенность долгосрочного спроса: несмотря на текущий ажиотаж, будущее зависит от появления реальных, прибыльных приложений ИИ, а не только от тренировки моделей; возможен избыток мощностей.
• Роль крупных игроков (Microsoft, Google, Amazon) и их кастомерных чипов как потенциальная угроза монополии Nvidia, а также вопросы учетной политики и вендорного финансирования.
• Скептицизм относительно способности ИИ самостоятельно решать сложные задачи и кардинально улучшать код без человеческого контроля, что ставит под вопрос оправданность огромных инвестиций.

Microsoft планирует постепенно заменить графические процессоры AMD и Nvidia, используемые в своих AI-сервисах, на собственные чипы Maia. Это часть стратегии по снижению зависимости от внешних поставщиков и сокращению затрат на инфраструктуру для машинного обучения. Компания уже тестирует свои чипы в дата-центрах и планирует масштабировать их использование в Azure и других cloud-сервисах.

Переход на собственные решения может значительно сократить расходы на hardware и дать Microsoft больше контроля над производительностью и энергоэффективностью систем. Это также усилит конкуренцию на рынке AI-чипов, где доминируют Nvidia и AMD.

• Microsoft разрабатывает собственные AI-чипы (например, Maia 100) для снижения зависимости от NVIDIA и затрат, хотя и с опозданием по сравнению с Google и Amazon.
• Участники обсуждают, что создание собственного "кремния" — логичный шаг для крупных дата-центров, но для успеха критически важны разработка ПО и инфраструктуры (как у CUDA от NVIDIA).
• Высказываются опасения, что уход крупных игроков на собственные чипы может усилить монополию NVIDIA на рынке для остальных или, наоборот, снизить цены на GPU.
• Поднимается вопрос, является ли производственная мощность (например, TSMC) основным ограничением, а не дизайном чипов.
• Обсуждаются альтернативные архитектуры для AI, включая аналоговые чипы и специализированные решения для inference.

Цифровая идентификация представляет собой новую форму контроля со стороны государства и корпораций, маскирующуюся под удобство и эффективность. Она превращает доступ к базовым услугам — медицине, работе, социальным выплатам — в систему разрешений, зависящих от биометрических сканов и алгоритмической верификации. Это не освобождение, а цифровое закрепощение, где человек становится потоком данных, монетизируемым такими компаниями, как Microsoft и Mastercard.

Исторически идентификация всегда служила инструментом доминирования: от паспортных систем до колониальных пропусков. Цифровой ID лишь усиливает эту динамику, делая контроль масштабнее и незаметнее. Реальные последствия уже видны: в Индии система Aadhaar лишила миллионы людей доступа к продовольствию из-за сбоев сканирования отпечатков. Цифровая идентификация нормализует слежку, интегрируя её в повседневность и делая исключение рутиной.

• Участники обсуждают преимущества цифровых ID в разных странах (Нидерланды, Дания, ЕС), отмечая удобство и упрощение доступа к госуслугам, банкам и другим сервисам.
• Высказываются серьёзные опасения относительно приватности, потенциального злоупотребления данными государством или частными компаниями (например, Palantir) и рисков исключения людей из системы при сбоях.
• Поднимается вопрос о необходимости офлайн-доступа, альтернатив для людей без смартфонов и важности минимального раскрытия данных (например, с помощью zero-knowledge proofs).
• Отмечается, что проблема часто заключается не в самой идее цифрового ID, а в её реализации, регулировании и предотвращении использования в целях тотального контроля.
• Некоторые пользователи видят в цифровом ID естественное развитие уже существующих систем идентификации и предлагают бороться не с технологией, а с "капитализмом точек контроля" и олигополиями.

В TypeScript-коде Microsoft активно используются устаревшие var вместо современных let и const, несмотря на их проблемы с областью видимости. Это связано с Temporal Dead Zone (TDZ) — зоной, где переменные объявлены, но не инициализированы. При использовании let и const обращение к переменным в TDZ вызывает ошибки, что повышает надёжность, но требует вычислительных ресурсов.

Переход на var в критичных к производительности участках дал TypeScript до 8% ускорения в бенчмарках, поскольку var избегает проверок TDZ. Это демонстрирует компромисс между безопасностью кода и производительностью, особенно в крупных проектах, где даже небольшие оптимизации значимы.

• Обсуждается производительность let/const против var в JavaScript, где var может давать выигрыш до 8% из-за отсутствия проверок TDZ (Temporal Dead Zone).
• Поднимается вопрос о дизайне JS: хоистинг и TDZ считаются проблемными и неочевидными особенностями языка, усложняющими оптимизацию.
• Участники спорят, является ли текущая реализация лексической области видимости в JS "ужасной" или это просто особенность, которую нужно принять.
• Обсуждаются возможные решения: более умный анализ TDZ в движках, трансляция в var на этапе сборки или использование других языков (например, Lua) как примера.
• Затрагивается практический аспект: TypeScript перешел на таргет ES2018+, что неожиданно привело к падению производительности из-за использования let вместо var.

Microsoft ограничила использование своих технологий израильскими силовиками для массовой слежки за палестинцами. Решение последовало после расследования, выявившего, что израильский спецподразделение Unit 8200 применяло облачные сервисы компании для анализа миллионов ежедневных телефонных звонков гражданских в Газе и на Западном берегу. Система автоматически идентифицировала подозрительные разговоры и передавала данные военным для дальнейших действий.

Этот шаг отражает растущее давление на tech-гигантов с целью предотвращения злоупотреблений их инструментами в конфликтных зонах. Microsoft подчеркнула, что её продукты не должны использоваться для нарушений прав человека. Практический вывод: даже передовые технологии требуют жёстких этических рамок, особенно при работе с уязвимыми группами населения.

• Microsoft прекратила предоставлять облачные услуги Azure израильскому военному подразделению Unit 8200 из-за нарушения условий использования, связанного с хранением данных массовой слежки.
• Участники обсуждают потенциально катастрофические последствия полного отключения Microsoft всех сервисов для Израиля, включая критическую инфраструктуру.
• Высказываются опасения по поводу авторитарной власти корпораций, которые могут в одностороннем порядке лишать доступа к услугам, и призывы к регулированию провайдеров как операторов связи общего пользования.
• Мнения разделились: одни считают решение Microsoft запоздалым PR-ходом на фоне обвинений в геноциде, другие — позитивным шагом под давлением сотрудников и общественности.
• Поднимается вопрос о том, куда переместятся данные (вероятно, к другим провайдерам, таким как AWS или Oracle), и о влиянии этого на точность операций и количество жертв среди мирного населения.

Иранский разработчик делится опытом блокировок из-за санкций против страны. Microsoft удалила его приложение EyesGuard из магазина без объяснений, стерев аккаунт и отзывы пользователей. Notion полностью очистил его данные, ответив в поддержке, что услуги недоступны для резидентов Ирана из-за ограничений.

Эти случаи показывают, как санкции ударяют по обычным пользователям, лишая их доступа к инструментам и стирая цифровую историю. Разработчик иронично сравнивает это с SQL-запросом на удаление пользователей по географическому признаку.

• Участники обсуждают негативное влияние санкций на обычных граждан Ирана, блокировку сервисов и цифровую изоляцию, отмечая, что санкции вредят населению, а не правящим elites.
• Поднимается тема двойных стандартов: пользователи критикуют тенденцию обвинять народы "стран-изгоев" в действиях их правительств, в то время как действия западных правительств часто отделяются от ответственности их граждан.
• Высказываются опасения по поводу централизации цифровой инфраструктуры в руках США, что дает им возможность в одностороннем порядке определять, кто может пользоваться услугами, и риски такой модели для пользователей из недружественных стран.
• Обсуждается эффективность санкций: многие участники сомневаются, что санкции достигают заявленных целей по изменению политики правительств, а вместо этого лишь укрепляют режимы и усугубляют положение населения.
• Отмечается сложность ситуации для владельцев бизнесов, которые вынуждены блокировать пользователей из-под санкций из-за юридических рисков и штрафов, даже если они не согласны с такой политикой.

Разработчик пытался запустить игру Space Station 14 на ARM64 под Windows, но клиент крашился без логов. С помощью WinDbg выяснилось, что падение происходит в USER32!GetDC из-за недопустимой инструкции. Проблема усугублялась путаницей в архитектурах: WinDbg запускал x64-отладчик для x64-лаунчера, хотя целевые процессы были ARM64-нативными. После прямого запуска ARM64-исполняемого файла отладка заработала корректно, включая стектрейсы C#. Оказалось, что WinDbg автоматически переключает режим отладки в зависимости от архитектуры запускаемого процесса, что сбивало с толку при анализе дочерних процессов.

• Microsoft и другие компании используют списки совместимости, основанные на имени исполняемого файла, для применения оптимизаций или исправлений, что может вызывать непредсказуемые проблемы.
• Данная практика широко распространена не только в Windows (DirectX, драйверы GPU), но и на других платформах (Linux, Proton) для обеспечения обратной совместимости.
• Подход Microsoft к реализации функций через перехват API-вызовов (Detours) без использования централизованной системы совместимости (AppCompat) критикуется как ненадежный.
• Обнаружение причины проблемы (совпадение имени файла с списком) потребовало от разработчика значительных усилий и глубоких знаний системного уровня.
• Многие комментаторы выражают удивление и недовольство подобными непрозрачными механизмами, влияющими на поведение программ без ведома разработчиков.

Microsoft предупредила иностранных сотрудников в Индии и других странах о 24-часовом сроке для принятия решений после резкого повышения стоимости виз H-1B до $100 000. Компания настоятельно рекомендует обладателям таких виз оценить свои варианты, включая возможный перевод в филиалы за границей или возвращение на родину.

Этот шаг отражает растущее давление на компании, использующие визовые программы, и может привести к значительным кадровым перестановкам. Повышение сборов создаёт дополнительные финансовые и административные сложности для работодателей, зависящих от международных талантов.

• Пользователи выражают возмущение внезапным и жестким изменением правил для виз H1B, которое застало многих врасплох и создало хаос, особенно для тех, кто находился за пределами США.
• Обсуждается, что новые правила, по-видимому, направлены против новых заявителей, но неясность и короткие сроки вызвали панику и непреднамеренно затронули текущих держателей виз.
• Многие видят в этом проявление более широкой проблемы: использования иммиграционной политики как инструмента для пропаганды расизма, подавления рабочей силы и создания неопределенности для бизнеса.
• Поднимается вопрос о жестокости и бесчеловечности таких мер, которые разрушают жизни людей, соблюдавших законы, и наносят ущерб их карьере и семьям.
• Высказывается мнение, что подобные действия подрывают репутацию США, демонстрируют пренебрежение к иностранным специалистам и соответствуют признакам авторитарного режима.

Этот инструмент превращает любую ссылку в подозрительно выглядящий URL, который перенаправляет на исходный адрес, не причиняя реального вреда. Он работает по принципу редиректа, аналогично сервисам сокращения ссылок, но с противоположной целью — сделать адрес максимально похожим на фишинговый, чтобы проверить бдительность пользователей или пошутить над коллегами.

Вы можете выбрать тематику домена (например, криптовалюты, финансы или знакомства) и длину URL, от короткой до абсурдно длинной. Инструмент просто меняет внешний вид ссылки, сохраняя её функциональность, что делает его забавным способом подчеркнуть важность проверки URL перед переходом.

• Пользователи делятся опытом, как корпоративные IT-системы (Microsoft Safelink, MimeCast) переписывают ссылки в письмах, делая их подозрительными и нечитаемыми, что парадоксально снижает безопасность.
• Обсуждаются юмористические и потенциально опасные аспекты сервиса, который намеренно генерирует URL-адреса, выглядящие как фишинговые или вредоносные (например, cheap-bitcoin.online).
• Поднимается тема о том, что подобные инструменты могут использоваться для троллинга или рикреоллинга, но также предупреждается о рисках, включая возможность реального фишинга или проблем с IT-безопасностью на работе.
• Несколько комментаторов отмечают, что их корпоративные сети блокируют сгенерированные ссылки или подобные домены, что ограничивает использование сервиса.
• Упоминаются альтернативные методы создания подозрительных ссылок и приводятся личные забавные случаи из корпоративной практики, связанные с безопасностью и фишингом.

Один токен, чтобы править всеми: получение прав глобального администратора в каждом клиенте Entra ID через Actor-токены

Во время подготовки к выступлениям на Black Hat и DEF CON в июле этого года я обнаружил самую серьёзную уязвимость в Entra ID, которую мне, вероятно, доведётся найти. Она позволяла скомпрометировать любого клиента Entra ID в мире (за исключением национальных облачных развёртываний). Уязвимость состояла из двух компонентов: недокументированных токенов олицетворения (Actor-токенов), используемых Microsoft для внутреннего межсервисного взаимодействия, и критической ошибки в устаревшем API Azure AD Graph, которая позволяла использовать эти токены для межклиентского доступа.

С помощью токена, полученного в моём тестовом клиенте, я мог аутентифицироваться от имени любого пользователя, включая глобальных администраторов, в любом другом клиенте. Actor-токены не подчиняются политикам безопасности вроде Conditional Access, поэтому не существовало настроек, способных смягчить угрозу. Доступ к API Azure AD Graph позволял вносить любые изменения в клиенте, которые доступны глобальным администраторам, включая создание новых учётных записей с любыми правами.

Я сообщил об уязвимости в MSRC в тот же день. Microsoft исправила её в течение нескольких дней и выпустила CVE-2025-55241.

Влияние

Токены предоставляли полный доступ к API Azure AD Graph в любом клиенте. Их запрос не оставлял журналов, а в целевом клиенте не было записей о существовании таких токенов. API Azure AD Graph не имеет журналирования на уровне API, поэтому следующие данные могли быть доступны без следов:

• Информация о пользователях, включая личные данные.
• Сведения о группах и ролях.
• Настройки клиента и политики.
• Данные приложений и сервисных субъектов.
• Информация об устройствах и ключах BitLocker.

При олицетворении глобального администратора можно было изменять любые объекты и настройки, что вело к полной компрометации клиента и доступу к таким службам, как SharePoint Online и Exchange Online, а также к ресурсам Azure. Хотя модификация объектов обычно оставляет журналы аудита, действия выглядели бы как легитимные действия администратора.

По данным телеметрии Microsoft, злоупотреблений этой уязвимостью обнаружено не было. Для поиска возможных артефактов злоупотребления в конце поста приведено KQL-правило.

Технические детали

Actor-токены выпускаются службой «Access Control Service» — устаревшим сервисом, используемым для аутентификации в приложениях SharePoint и внутренних службах Microsoft. Я обнаружил его при исследовании гибридных настроек Exchange, которые ранее использовали сертификаты для аутентификации Exchange Online.

• Обсуждение уязвимости в Entra ID, позволяющей обход проверок и несанкционированный доступ к данным других тенантов.
• Критика сложности атаки (CVSS: High) как завышенной, учитывая, что для эксплуатации требуются лишь базовые знания Entra ID.
• Указание на системную проблему Microsoft: наслоение нового кода на устаревшие API без должного тестирования их взаимодействия.
• Сравнение уязвимости с ранее известными инцидентами безопасности в продуктах Microsoft и мнение о слабой безопасности системы.
• Обсуждение проблем дизайна Entra ID: сложность создания тенанта, путаница с типами учетных записей и устаревшая документация.
• Критика использования долгоживущих токенов с широкими правами (Actor tokens), игнорирующих политики безопасности.
• Замечание о том, что корпоративные клиенты вынуждают Microsoft поддерживать устаревший код, усугубляя проблемы безопасности.

О нет, снова... Размышления об атаках на цепочку поставок NPM

Я долго откладывал эту статью — более года — но, как мы видим на этой неделе, пришло время снять покровы и сказать вслух:

В 2025 году Microsoft следует считать «плохим игроком» и угрозой для всех компаний, разрабатывающих программное обеспечение.

Конечно, если вы достаточно взрослые, чтобы помнить — это не первый раз...

Время — плоский круг

Мы снова здесь — в 2025 году Microsoft настолько всё испортили, что создали ещё больший риск, чем в 2000-х с их браузером, просто ничего не делая.

Изначально я начал писать этот пост во время инцидента с xz — изощрённой и долгосрочной попытки взять под контроль библиотеку, используемую в менеджерах пакетов большинства дистрибутивов Linux.

С тех пор произошло множество инцидентов, и конкретно NPM стал крупнейшим и самым простым способом распространения вредоносного ПО. Сначала большинство атак было направлено на кражу криптовалюты (поскольку техбро одержимы магическими электрическими деньгами и являются лёгкой добычей). Но теперь эти атаки на цепочку поставок нацелены на более критичные вещи, такие как токены и ключи доступа maintainers пакетов, как видно из инцидента с NX и теперь несколькими зависимостями, ежедневно используемыми тысячами разработчиков.

Опять же... это ничего нового в мире NPM.

Но так быть не должно было...

Мы прошли долгий путь, но никуда не ушли

У меня долгая история с NodeJS — примерно в 2010 году я начал работать над стартапом, и это было до того, как npm вообще появился.

В туманные дни 1990-х большинство проблем безопасности JavaScript не сильно касались бэкенда: это в основном была область Perl, PHP, Python и Java.

Однако веб был совсем другой историей.

В самые ранние дни Всемирной паутины был только один основной браузер, который все использовали: Netscape Navigator. Выпущенный в 1994 году, он был не просто браузером: на протяжении своей жизни он имел различные воплощения встроенного почтового клиента, календаря, HTML-редактора с FTP-браузером, а с плагинами мог воспроизводить медиафайлы, такие как Realplayer и MP3 (что я помню при его запуске), а также флеш-фильмы и игры. Именно здесь родился JavaScript.

Многие ранние сайты того времени были статичными — популярные инструменты для создания сайтов включали HotDog или Блокнот. Никаких навороченных IDE или фреймворков, только текстовый редактор, браузер и alert() для отладки.

Microsoft также вошла в игру с Internet Explorer — включённым в раннее DLC для Windows под названием «Plus! For Windows 95». В конечном итоге он стал программным обеспечением, на которое Microsoft поставила всю свою корпоративную стратегию (во многом как сегодня с ИИ).

Internet Explorer был встроен в каждый аспект Windows — сначала в 1995 году с Active Desktop, что продолжалось вплоть до Windows XP. С ним можно было встраивать фрейм на рабочий стол, а также документы Rich Text или электронные таблицы Excel. Он также был раздутым и багнутым — и с этим представлял две проблемы: огромный риск безопасности и обвинения в монополизации рынка браузеров.

Закон жёстко настиг Microsoft, и в 2001 году она проиграла — Microsoft было приказано разбить компанию, но апелляция отменила это решение.

• Участники критикуют экосистему npm за уязвимости в цепочке поставок и отсутствие безопасности по умолчанию, сравнивая её с другими менеджерами пакетов.
• Обсуждается роль крупных компаний (в частности, Microsoft как владельца npm) в решении проблем безопасности и их ответственность за состояние экосистемы.
• Предлагаются конкретные меры: обязательная 2FA, подписывание кода, политика задержки обновлений (cooldown), переход на альтернативы (pnpm), сканирование пакетов.
• Поднимается проблема эксплуатации труда добровольцев в open-source и недостаточного вклада коммерческих организаций в проекты, которые они используют.
• Отмечается, что культура JavaScript-разработки чрезмерно зависит от большого количества зависимостей, что увеличивает поверхность атаки.
• Указывается на необходимость более строгого контроля зависимостей, включая проверку кода и фиксирование версий (pinning).
• Некоторые участники считают, что фундаментальные изменения в экосистеме маловероятны, и рекомендуют индивидуальные меры защиты.

Скучное — это хорошо

Первоначальный ажиотаж вокруг больших языковых моделей (LLM) начинает спадать, и на то есть веские причины. Пора сменить неконтролируемую шумиху на более прагматичный, даже «скучный» подход. Недавний отчет MIT показывает, что 95% компаний, внедряющих эту технологию, еще не увидели положительных результатов. Неудивительно, что многие чувствуют растерянность.

В этой статье я хочу ответить на вопрос: почему нам все еще стоит интересоваться этой технологией? Два урока из моего опыта помогают ориентироваться в неопределенности: 1. технологии развиваются по нисходящей, 2. мы обычно начинаем с неправильного пути.

Урок 1: Технологии развиваются по нисходящей

В своей работе 1989 года «Динамо и компьютер» Пол Дэвид описывает, как по мере созревания технологии меняется ее влияние. Он приводит пример динамо — мощного электродвигателя, который освободил фабрики от привязки к рекам для использования водной энергии. Сначала фабрики использовали одно большое динамо, но по мере удешевления и уменьшения размеров двигателей их стало возможным размещать в multiple locations, что привело к созданию сборочных линий и росту производительности.

Тот же паттерн — от крупного и централизованного к малому и распределенному — происходит сейчас с LLM. Уменьшением размеров моделей занимается сообщество open-source, создающее множество SLM (Small Language Models). Например, Microsoft’s Phi3 эффективно работает на моем 8-летнем ПК, используя менее 10% процессора.

Конечно, эти smaller модели обычно показывают более низкие результаты в тестах, чем крупные модели OpenAI и Google, но это не значит, что они хуже. Мы просто задаем им не те вопросы. Нам не нужно, чтобы модели сдавали экзамены на юриста.

Компании экспериментируют с использованием SLM для небольших, даже незаметных задач, например, для переформулирования запросов в поиске. Пользователь даже не знает, что задействована LLM — он просто получает лучшие результаты. Такие скромные применения переворачивают ситуацию с крупными централизованными моделями в пользу SLM, которые проще в этическом обучении и дешевле в эксплуатации.

По мере удешевления создания кастомных LLM такие сценарии станут распространенными и полезными. Технология будет использоваться в более скромных, сфокусированных и, боюсь, значительно более скучных ways.

• Автор статьи сожалеет о выборе слова «скучный» (boring), так как оно может подразумевать негативную рутину, а не проверенную стабильность.
• Участники обсуждают ограничения LLM: их полезность в задачах с допущением неточностей, но ненадёжность в системах, требующих высокой точности.
• Высказывается мнение, что многие переоценивают возможности ИИ из-за желания верить в желаемое будущее, а не основываясь на текущей реальности.
• Поднимается вопрос о раздутии «пузыря» вокруг ИИ из-за маркетинга и давления инвесторов, а не реальной ценности технологий для бизнеса.
• Обсуждается различие между «скучным» как стабильным и предсказуемым инструментом и «скучным» как утомительным и отнимающим внимание.
• Отмечается, что успех LLM в сложных задачах часто зависит не от размера модели, а от качества данных и алгоритмических улучшений.
• Утверждается, что LLM не обладают интеллектом или пониманием мира, а лишь умеют генерировать тексты, статистически похожие на правильные ответы.

Microsoft начнёт принудительную установку приложения Microsoft 365 Copilot в октябре для пользователей коммерческих версий Microsoft 365. Это коснётся устройств под управлением Windows в управляемых средах.

Приложение будет автоматически устанавливаться через Microsoft Edge, но не будет добавлять значки на рабочий стол или в меню "Пуск". Пользователи смогут удалить его через стандартные средства Windows.

Microsoft заявляет, что Copilot поможет повысить продуктивность за счёт интеграции с Microsoft 365, но критики выражают обеспокоенность из-за принудительной установки.

• Пользователи критикуют Windows за перегруженный интерфейс, низкую производительность и навязывание нежелательных функций, таких как Copilot и Recall.
• Многие выражают разочарование политикой Microsoft, которая, по их мнению, превращает ОС в инструмент для продвижения подписок и облачных сервисов в ущерб интересам пользователей.
• Отмечается, что Copilot часто устанавливается без явного согласия, а его отключение требует нетривиальных действий через редактор групповых политик.
• В связи с этим растёт интерес к переходу на Linux, особенно благодаря Proton/Steam, хотя сохраняются проблемы с поддержкой некоторых игр и софта.
• Пользователи из ЕС отмечают, что регулирование защищает их от навязчивого обновления, и выражают надежду на распространение подобной практики.

• Microsoft возвращает сотрудников в офис минимум 3 дня в неделю.
• Первыми — в феврале — пойдут те, кто живёт рядом с главным кампусом в Сиэтле.

• Microsoft ввёл обязательный RTO 3 дня в неделю, мотивируя «данными» о росте продуктивности, но сами данные не раскрыты.
• Сотрудники жалуются: в офисе всё равно сидят в Zoom с удалёнными коллегами, а переговорки заняты «спецпроектами».
• Многие видят в этом скрытое сокращение штата: кто не хочет ездить — уйдёт сам, без выплат.
• Удар по двойным карьерам и переехавшим: 50 миль три раза в неделю — как способ «отфильтровать» несогласных.
• Топ-специалисты уже ищут удалённые вакансии; рынок ждёт всплеск предложений «remote-only» от конкурентов.

• Microsoft заключил 20-летний контракт на перезапуск энергоблока Three Mile Island; сделка опережает график.
• AI-дата-центры потребляют до 9% всей электроэнергии США, перегружая сети и тормозя переход на ВИЭ.
• Виртуальные АЭС: компания разрабатывает микрореакторы на основе расплава солей и урана-235 для размещения прямо на площадках серверных.
• Google тоже строит малую АЭС в Теннесси; Amazon и Oracle ищут аналогичные решения.
• Эксперты предупреждают: без ядерной генерации рост ИИ-инфраструктуры станет невозможен.

• В Австралии ядерная тема провалилась на выборах: «базовая нагрузка» — миф, нужны хранилища, а не реакторы.
• SMR-критика: мелкие реакторы не дают эффекта масштаба, каждая площадка уникальна, поэтому серийное производство фантастика.
• Microsoft не инвестирует, а лишь подписала «облачные» PPA: платит за электричество, только если его поставят; риск нулевой.
• Настоящий узел — не строительство, а топливо: дефицит HALEU, узкие мощности по обогащению, вся цепочка геополитически хрупка.
• Скептики: сложность = дороговизна, фузион и SMR — денежные ямы, а «умеренные» заявления MS — скорее PR, чем прорыв.

Судья США фактически оправдал Google по иску Минюста о монополии в поиске:

• обязали лишь «не мешать» партнёрам продвигать конкурентов;
• запрет на эксклюзивные контракты с Android-вендорами отменён;
• штрафов и раздела бизнеса не потребовали.

• Участники сочли нынешнее антимонопольное решение по Google «смехотворно мягким»: никакого разделения компании, лишь несанкционированные пожелания пересмотреть контракты на поиск.
• Большинство уверены: контроль над Chrome, Android и платными сделками на дефолтный поиск даёт Google непреодолимое преимущество перед любым стартапом-конкурентом, независимо от «свободы» пользователя перейти на другой поиск.
• Критикуют и политику: FTC ослабла, суды не идут на радикальные меры, а власти США, по мнению комментаторов, сознательно «берегут» национального чемпиона ради глобального влияния.
• Некоторые вспоминают исчезновение давления на Microsoft после 2001 г. и прогнозируют, что Apple тоже выйдет сухой из аналогичного иска, окончательно похоронив эпоху «жёсткого» антитреста.

Как RSS победил Microsoft

Корпоративные гиганты пытались монополизировать контент-синдикацию, но проиграли простому формату.

ICE vs RSS: закрытость против открытости

В 1998 году Microsoft, Adobe, CNET и другие запустили спецификацию ICE — дорогой, сложный и закрытый стандарт для лицензирования и перепубликации контента. ICE обещал издателям контроль и монетизацию, но требовал $50 000 за сервер и поддержку консорциума.

RSS появился в 1999 как бесплатный XML-виджет на портале My Netscape: любой блоггер мог добавить ленту обновлений в общий список «каналов». Формат был проще, короче и не требовал денег.

Деньги vs массы

ICE продавали крупным издателям: Reuters, Vignette, iSyndicate. RSS раздавали бесплатно: первые агрегаторы Headline Viewer и my.userland.com запустились без бюджета и без лицензий. Пока консорциум взимал плату, тысячи блоггеров уже создавали ленты в блокноте.

Итог

К 2005 году ICE умер: дорого, сложно, никто не пришёл. RSS стал воздухом: читалки, подписки, podcast-фид. Победил не потому что был лучше технически, а потому что был открытым и бесплатным.

• RSS удобен читателям, но не выгоден издателям: в ленту сложно встроить рекламу и отследить аудиторию.
• Пользователи по-прежнему цепляются за RSS: уходят с платформ, которые его убрали (Twitter, Reddit), и сами собирают фиды.
• Google Reader убил, а не стандарт: после закрытия сервиса ленты исчезли, но подкасты, XKCD, Microsoft-фиды живы.
• Технически RSS «мёртв» 15 лет, по факту — нишевой, но стабильный инструмент; альтернативы (ICE, ActivityPub) не прижились.
• Новые идеи: RSS-газета на бумаге, JSON-лента, почтовые ящики внутри ридеров — всё решает те же старые проблемы монетизации и курирования.

Сводка Azure

• Инцидент: 06.09.25, 05:45 UTC – повреждены подводные кабели в Красном море; трафик Европа ↔ Азия идёт обходными путями, задержки выше нормы.
• Статус: команды перенаправляют нагрузку, ремонт займёт время; обновления ежедневно.
• Регионы: задержки возможны во всех европейских, азиатских и ближневосточных зонах; сервисы помечены «Information».
• Действие: следите за Azure Service Health в портале, настройте оповещения.

• 6 сентября 2025 г. около 05:45 UTC несколько подводных кабелей в Красном море оборвались, и трафик Европа ↔ Азия пошёл обходными путями с ростом задержки.
• Пока неясно, случайность это (рейд якорей) или умысел; официальных выводов нет.
• Кабели чинят: спецсудно крюком поднимает концы на борт, вырезает повреждённый участок и сваривает новый отрезок, после чего кабель опускают обратно.
• Процесс сложен: современные кабели натянуты без излишков, поэтому часто приходится предварительно разрезать их на дне.
• Подобные обрывы в Красном море и у Сингапура случаются регулярно — чаще всего виноваты якоря судов.

• GitHub Copilot продолжает работать в штатном режиме, несмотря на постоянные жалобы сообщества на ошибки, утечки кода и нарушение лицензий.
• Пользователи критикуют качество сгенерированного кода, отмечают повторяющиеся уязвимости и требуют прозрачности обучения модели.

• GitHub/Microsoft навязывают Copilot повсюду: кнопки нельзя убрать, в настройках отключение не работает, счётчики «20 млн пользователей» получаются из принудительно включённых аккаунтов.
• Поток спама растёт: репозитории получают сгенерированные issue/PR и автокомментарии, которые блокируют автослияние; разработчики просят фильтр «без ИИ», но GitHub игнорирует самый популярный запрос в своём форуме.
• Люди уходят: кто-то мигрирует на GitLab, Codeberg или ставит self-host, кто-то переходит с VS Code на Emacs, чтобы избавиться от встроенного «помощника».
• Причина давления — не качество, а метрика и деньги: надо отбить инвестиции и показать рост перед конкурентами; если продукт был бы действительно полезен, его не пришлось бы впихивать силой.

PDF-1.7, 1280×720 px RGB JPEG, 115 504 байт.  
Содержит JFIF-заголовок и стандартные таблицы квантования/Хаффмана.  
Поток — закодированное изображение без видимого текста.  

• Участники удивляются масштабу: в РЧ 2 ГГц — «бешеный» канал, а в оптоволокне «мелкий» уже 50 ГГц.
• Кабели MAREA и др. выходят в Галифаксе (Канада), а не напрямую в США — вызывает вопросы логистики.
• MAREA принадлежит Microsoft и Meta, а не Google как ошибочно указано в слайдах.
• Каждые 60–70 км стоят 1R-репитеры-цилиндры: EDFA-усилители на эрбиевом волокне, питаются 5–10 кВ, поданными с берега.
• Основные потери — рассеяние Рэлея и примеси (≈0,2 дБ/км на 1550 нм); без усилителей сигнал умирает за ~100 км.

microsoft/BASIC-M6502 — официальный репозиторий Microsoft BASIC для процессора 6502, версия 1.1.
Расположен исходный код на ассемблере 6502, включая оригинальные комментарии 1978 г. и лицензионные файлы.

• Microsoft выложил исходники MS-BASIC для 6502 с «коммитом 48 лет назад» и пасхалкой WAIT 6502,X, которая выводит «MICROSOFT!».
• Код — один 162-КБ файл без модулей; удивляют старые редакторы и скорость сборки на PDP-10.
• В комментариях всплывают Applesoft BASIC, Commodore, Ohio Scientific и другие наследники этой версии.
• Пользователи делятся ностальгией, просят открыть Z80- и VB6-порты, обсуждают лицензию и «AI-аромат» README.

• Пользователи хвалят Statsig как мощную платформу A/B-тестов и аналитики, превосходящую Optimizely и LaunchDarkly.
• Критика лендинга: много маркетинговых слоганов, мало конкретики, поэтому непонятно, за что OpenAI заплатили $1,1 млрд.
• Обсуждают, что Statsig — это «переосмысленная» внутренняя система Meta для экспериментов и роста.
• Вопросы к сделке: возможен антимонопольный контроль, претензии Microsoft к IP, будущее клиентов-конкурентов (Anthropic).
• Внутри OpenAI появится CTO «Applications», что вызывает споры о «инфляции» C-level тайтлов и разделении на «Research» и «Apps».

• Microsoft предложила федеральным ведомствам США бесплатный доступ к Copilot for Government.
• Пакет включает Copilot Chat, Teams Premium и обновлённые инструменты безопасности.
• Цель — ускорить внедрение ИИ в госаппарате и обойти Google, который пока не предлагает аналогичных льгот.
• Бесплатный период продлится до 30 июня 2025 года, после чего цена вернётся к $30/пользователь/мес.
• Предложение действует для всех 4 млн федеральных сотрудников, включая госслужащих и военных.

• Участники считают, что Microsoft продолжает получать прибыль, несмотря на провалы в безопасности и приватности, поскольку рынок «слишком велик, чтобы рухнуть».
• Основная претензия — vendor lock-in: «бесплатный» первый год для госорганов и корпораций скрывает будущие огромные расходы.
• Некоторые утверждают, что конкуренты Google, Apple и FOSS-сообщество существуют десятилетиями, но переход слишком дорог и требует переобучения персонала.
• Предлагается, что государство должно финансировать альтернативы, чтобы снизить цены и разорвать монополию.

Не создавайте мульти-агентов

Фреймворки для LLM-агентов разочаровывают. Ниже — выжимка из нашего опыта и почему популярные идеи работают плохо.

Принципы контекст-инжиниринга

1. Делитесь контекстом целиком
2. Действия несут скрытые решения

Пока в мире LLM мы как в 1993-м с HTML: нет стандарта. Библиотеки вроде OpenAI Swarm и Microsoft Autogen продвигают мульти-агентов, но это, по нашему опыту, ошибка.

Почему мульти-агенты хрупки

Классическая схема:

• разбить задачу на подзадачи,
• запустить под-агентов,
• собрать результат.

Проблема: каждый уровень теряет детали. Пример: «сделай Flappy Bird» → под-агенты делают фон Mario и птицу, не похожую на оригинал. Сводить такие части — головная боль.

Принцип 1
Передавайте не сообщения, а полные трейсы агента.

Даже если дать всем под-агентам исходный промпт, в реальном диалоге уже были вызовы инструментов, уточнения, и контекст всё равно размывается.

• Пользователи обсуждают, что «агенты» — это просто разные промпты к одному и тому же API, а не отдельные сущности.
• Основная проблема — «размывание» контекста: при ~50 k токенов агенты теряют цель, поэтому многие отказались от сложных мульти-агентных схем в пользу одного агента + умного управления контекстом.
• Предложено строить «компиляторы контекста» вместо ручной курирования и использовать фиксированные pipeline-ы вместо свободно общающихся агентов.
• Некоторые сравнивают подход с супервизорами Erlang, но большинство считает это переизобретением старых идей.
• Общий вывод: пока нет надёжности, мульти-агентные системы неэффективны; начинать стоит с простейших блоков и адаптировать под свою задачу.

Ключевые моменты интервью со Стивом Баллмером

• 34 года в Microsoft: Баллмер прошёл путь от первого бизнес-менеджера до CEO, начиная с сделки IBM DOS.
• Корпоративный бизнес: сам построил направление, превратив его в опору компании.
• Провалы: открыто говорит о том, как упустили мобильные и поиск.
• «Разработчики, разработчики, разработчики»: рассказал историю легендарного лозунга.
• Отношения с Гейтсом: был год, когда они не разговаривали; объяснил, почему ушёл с поста CEO.
• Акции Microsoft: не продал ни одной — капитал вырос с $20 млрд до $130 млрд за 10 лет после ухода.
• LA Clippers и Intuit Dome: поделился планами и энтузиазмом владельца клуба.

Энергия Баллмера — на максимуме: слушайте, чтобы почувствовать «фирменный» стиль.

• Ключевой упрек Баллмеру — застревание в «окнах» и нежелание отпустить Windows-монополию; Наделла же открыл Linux, open-source и вывел Azure на новый уровень.
• Многие удивились, насколько ранним и важным был вклад Баллмера в Azure, а также напряжённости в его отношениях с Гейтсом.
• Некоторые считают Баллмера недооценённым: он знал, кого держать, спас Xbox и построил сверхприбыльный enterprise-департамент, но промахнулся по мобильным устройствам и планшетам.
• У Наделлы упрекают «санитарный» стиль, потерю культуры и якобы набор «средних» сотрудников, тогда как топ-выпускники уходили к Google и Meta.
• Сторонники Наделлы отвечают: Azure и open-source начали двигать ещё при Баллмере, а Microsoft всё ещё эффективно монетизирует Office 365 и корпоративный стек.

ProcMon-for-Linux — порт утилиты Sysinternals Process Monitor для Linux.
Позволяет в реальном времени наблюдать за системными вызовами (open, read, write, fork, exec и др.) и событиями ядра, фильтровать, сохранять и анализировать трейсы.

Ключевые возможности

• CLI-интерфейс, знакомые фильтры pid, process, operation, path, result.
• Форматы вывода: консоль, XML, CSV, JSON.
• Поддержка x86_64, ARM64; ядро ≥ 4.9.
• Сборка: cmake, libsqlite3-dev, libncurses5-dev, libssl-dev, bcc-dev.

Установка

Ubuntu 20.04+

sudo apt install procmon

Или из исходников:

git clone https://github.com/microsoft/ProcMon-for-Linux
cd ProcMon-for-Linux
mkdir build && cd build
cmake ..
make
sudo make install

Быстрый старт

# отслеживать процесс firefox
sudo procmon -p $(pgrep firefox)

# сохранить лог в JSON
sudo procmon -p 1234 -o trace.json -f json

Лицензия

MIT.

• Пользователи обсуждают ProcMon для Linux: кто-то рад, что не придётся опрашивать /proc, кто-то сомневается в целях проекта и его отличии от htop+strace.
• Интересуются совместимостью вывода с Windows-версией и поддержкой телеметрии, а также жалуются на старый INSTALL.md и ограниченные требования (Ubuntu 18.04).
• Некоторые считают утилиту TUI-обёрткой над strace, другие подчеркивают, что она использует eBPF и может следить за всеми процессами без замедления.
• Поднимаются темы «почему нужны сразу GCC и Clang» и «Microsoft всё больше делает инструменты для Linux».

Joe Gebbia не должен касаться госуслуг.
Назначение со-основателя Airbnb «главным дизайнером США» — циничный фарс, демонстрирующий непонимание ни дизайна, ни управления.

Дизайн через обход законов.
Airbnb вырос не на инновациях, а на игнорировании регуляции: сначала нелегальные субаренды на Craigslist, потом лоббирование и «слишком дорогое» преследование. Это не улучшение систем, а их разрушение ради прибыли.

Разрушение 18F.
Год назад команда 18F, сотни опытных дизайнеров, уже делала госуслуги удобнее. Их распустили, а теперь обещают «сделать всё заново за три года». Зачем сносить то, что работало?

Нереальные сроки, реальная коррупция.
Реформировать 26 000 сайтов и все офлайн-сервисы за три года невозможно. Зато за это время можно протащить выгодные контракты и ослабить регуляцию для Airbnb. Gebbia стал трумпистом перед выборами-2024 — и теперь у компании «свой человек» в Белом доме.

Повторяющийся сценарий.
Как и другие «бизнес-гении» при Трампе, новый «дизайнер» больше похож на лоббиста, чем на реформатора.

• UK Gov Design System считается «золотым стандартом», которому пытались следовать дизайнеры 18F до их увольнения.
• Критика AirBnB: первые шаги описываются как «пиратство» на Craigslist, а цены в поиске скрывают комиссии (dark-pattern).
• Назначение Джо Геббиа «главным дизайнером США» вызывает споры: кто-то называет это «трагедией», кто-то — «пустой тратой ресурсов».
• Трамп-администрация обвиняется в коррупции и разрушении федеральных служб («the swamp overfloweth»).
• Сторонники Apple хвалят магазины, но многие находят их перегруженными и запутанными; Microsoft Store уже закрыты.

• Суть изменения: начиная с версии Word 2509, все новые документы по умолчанию сохраняются в OneDrive или другом облаке.
• Плюсы от Microsoft: документ не потеряется, доступ с любого устройства, совместная работа, безопасность.
• Минусы: не все хотят хранить файлы в облаке из-за конфиденциальности.
• Как отключить:
  1. Файл → Параметры → Сохранение.
  2. Снять «Автосохранение в облаке по умолчанию».
  3. Включить «Сохранять на компьютер по умолчанию» и задать путь.
• Дополнительно: новые файлы получают имя по дате; при закрытии Word предложит переименовать или выбрать место.
• В будущем: такое же поведение появится в Excel и PowerPoint.

• Пользователи жалуются, что Microsoft тихо переводит Word на обязательное сохранение в OneDrive, что вызывает страхи за приватность и нарушение контрактов в регулируемых отраслях.
• Некоторые уже возвращаются на Linux, где LibreOffice и Typst/LaTeX дают полный контроль над файлами и форматированием.
• Даже в «закрытой» экосистеме Apple пользователи раздражены навязчивым iCloud, а у корпоративных клиентов OneDrive тормозит работу.
• В обсуждении звучат шутки о том, что документы теперь будут тренировать ИИ и попадать к NSA, а также советы блокировать OneDrive на роутере.

«Пузырь, который знает, что он пузырь»

Сэм Альтман, создатель нынешнего AI-хайпа, сам предупредил: «Инвесторы переоценены». Рынок отреагировал: Nvidia ‑3,5 %, Palantir ‑10 %. MIT: 95 % компаний не видят отдачи от генеративного ИИ. Apollo: оценки выше пиков дот-кома. Fed: >50 % capex США уходит в ИИ.

• Anthropic: $4,1 млрд при минимальных доходах.
• Character.AI: $1 млрд / 1,7 млн MAU ≈ $588 за пользователя.
• Inflection AI: $1,3 млрд → команда ушла в Microsoft, инвесторы остались с пустой оболочкой.

Рэй Далио: «Сейчас как в 1998–1999». Технологии реальны, спекуляции — нет. История повторяется: железные дороги 1840-х, радио 1920-х, дот-ком 1990-х. Перестройка → завтрашняя инфраструктура.

Железнодорожный пузырь 1840-х

3 года: 263 компании, 9 500 миль путей (≈ современная сеть Великобритании). Депозит 10 %, плечо 10×. К 1846 г. железные дороги — 71 % рынка акций. Повышение ставки Банка Англии → маржин-коллы → 85 % просадка, 200 банкротств. Но страна получила сеть, ставшую основой Индустриальной революции.

Дот-ком 1995–2000

NASDAQ +800 %, P/E 200 (норма 15–20). Метрика — «глаза», не деньги. WSJ и другие «столпы здравомыслия» поддались.

• Участники спорят, является ли текущий AI-бум уникальным: многие указывают, что и в предыдущих пузырях (South Sea, dot-com) инвесторы прекрасно понимали иррациональность, но надеялись урвать прибыль.
• Основной риск — быстрое устаревание GPU-инфраструктуры (≈ 5 лет), в отличие от железных дорог или волоконной оптики, что ставит под сомнение «долговечность» остатков после лопания пузыря.
• Часть комментаторов подчёркивает, что даже «испарившийся» капитал оставляет физические активы: дата-центры, энергетику, знания и процессы, которые могут быть переиспользованы.
• Другие напоминают, что не все технологии после пузыря становятся массовыми: VR, NFT, блокчейн и 3D-печать поглотили миллиарды, но не изменили жизнь среднего человека.
• Наконец, спорят о «демократизации инвестиций»: розница пока не имеет доступа к дорогостоящим pre-IPO раундам, поэтому разрушения могут быть менее масштабными, чем в 2000-м.

JavaScript отключён.
Включите его или перейдите в поддерживаемый браузер. Список браузеров — в Справке.

Что-то пошло не так.
Попробуйте ещё раз.

⚠️ Расширения, блокирующие трекинг, могут мешать работе сайта. Отключите их и обновите страницу.

• Участники считают, что давать LLM-агенту полный доступ к браузеру — это «смертельный трифекта»: чтение всех вкладок, кук и паролей.
• Основной риск — prompt-injection: любой сайт может внедрить команду, и агент выполнит её, потому что «каждое чтение — это запись в контекст».
• Люди сравнивают это с тем, что Microsoft делала скриншоты, но теперь молчат, когда AI получает plaintext-доступ к банковским данным.
• Единственный «безопасный» сценарий — код в git, где изменения легко откатить; всё остальное (покупки, банкинг, e-mail) считается безумным.
• Итог: без изоляции, sandbox и чёткого разграничения «что можно» агенты становятся идеальным вектором атак, а компании, их выпускающие, — объектом для судебных исков.

Уязвимость Copilot: доступ к файлам без записи в журнал аудита
Автор: Zack Korman, 19.08.2025

Суть проблемы

M365 Copilot может читать файлы и не фиксировать это в журнале аудита, если попросить «не давать ссылку на файл». Это позволяет скрытно скачивать данные, нарушая безопасность и требования к соответствию.

Как обнаружил

Исследуя логику аудита для новой функции Pistachio, автор заметил пропуски в журнале. Проверка показала: достаточно добавить фразу «без ссылки» — запись исчезает. Это может произойти случайно, поэтому у многих организаций журналы уже искажены.

Реакция Microsoft

• Уязвимость признали «важной» и исправили.
• Клиентов не уведомили; официального бюллетеня нет.
• Процесс MSRC занял 45 дней, ответы были формальными, без деталей.

Вывод

Журналы аудита M365 Copilot ненадёжны, а Microsoft не планирует информировать пользователей. Организациям стоит перепроверить свои логи и усилить контроль доступа к чувствительным данным.

• Copilot читает индексированные данные от имени привилегированного сервиса, поэтому не фиксирует в журнале доступ к самому файлу.
• Это приводит к утечкам: пользователь видит содержимое, но в аудите нет записи о нарушении прав.
• Исправление Microsoft ограничилось «автоматическим обновлением» без CVE и без изменения архитектуры.
• Участники считают проблему классической «confused deputy» и указывают, что фильтрация по правам в векторной БД вполне масштабируется.
• Советуют подключить Legal/Compliance и готовиться к регуляторным разбирательствам, особенно в HIPAA-окружении.

LinkedIn поощряет посредственность

LinkedIn раздражает: из удобного резюме превратился в поток пустых постов ради «личного бренда». Лента забита переработанной, но бессмысленной «токсичной посредственностью» — советы вроде «чему мой развод научил B2B-продажам». Это не заметно, как токсичная позитивность, но суть та же: 150 слов о том, что «солнечные дни тёплые».

Площадка всё ещё полезна, но ценное тонет в шуме. Алгоритм вознаграждает лайки и комментарии, продлевая время на сайте и продавая премиум. Пользователи искренне хотят карьерного роста, но такие посты, скорее всего, не помогают.

Что делать? Помнить: LinkedIn — сайт Microsoft, зарабатывающий на вашем времени. Посты не строят карьеру; работа и её результаты — да. Пишите редко, но по делу. Если важно писать онлайн — заведите блог: меньше просмотров, но выше планка. Поддерживайте тех, кто не играет в эту игру. А если всё надоело — закройте ноутбук и выйдите на улицу.

• Критики называют LinkedIn «свалкой токсичной посредственности»: лента забита высоко-фальшивыми постами, фейковыми вакансиями и «вдохновляющими» байками.
• Пользователи жалуются на спам-рекрутеров, продавцов и «игры статуса», где важнее имидж, чем реальная экспертиза.
• Некоторые признают: если выбирать контакты и темы, можно найти полезные кейсы и даже миллионы долларов выручки, но это скорее исключение.
• Популярны «хаки» выживания: отключить ленту, отписаться от всех, писать только о реальных проектах или вообще перейти на личный сайт.
• Итог: LinkedIn — удобная база резюме и инструмент нетворкинга, но как соцсеть он превратился в «корпоративный клондайк» с низким качеством контента.

• 1. «Умный» поиск по всему ПК
  Горячая клавиша → мгновенный поиск по файлам, почте, Teams, облаку и внутри документов. Результаты группируются по типу, поддерживаются фильтры и предпросмотр.

• 2. Контекстные подсказки
  Система подсказывает горячие клавиши, макросы и автозамену прямо в интерфейсе приложения, учитывая текущую задачу.

• 3. Универсальный буфер обмена с историей
  Win+V показывает последние 100 элементов: текст, изображения, файлы. Поддерживает поиск, закрепление и синхронизацию между устройствами.

• 4. «Режим фокуса»
  Одна кнопка блокирует уведомления, прячет панель задач и активирует таймер «Помодоро». Приложения переходят в светлый фоновый режим.

• 5. Автоматические рабочие профили
  Windows сама переключает наборы приложений, VPN, звук и тему в зависимости от календаря или геолокации (дом/офис/поездка).

• 6. Горизонтальные «полки» для окон
  Alt+↑ создаёт «полку» — горизонтальный ряд окон фиксированной высоты. Удобно для мониторов 16:9 и ультрашироких экранов.

• 7. Встроенный OCR и перевод
  Любой текст на экране (видео, PDF, картинка) выделяется прямо мышью и мгновенно копируется или переводится без сторонних сервисов.

• 8. «Песочница» для экспериментов
  Одна команда запускает временную копию Windows с заданным набором ПО. После закрытия всё исчезает, основная система не страдает.

• 9. Умные отчёты о времени
  Еженедельный дашборд показывает, сколько времени ушло на каждое приложение, сколько переключений контекста и где можно сэкономить.

• 10. «Облачное продолжение»
  Закрыл ноутбук → открыл ПК: все окна, вкладки и документы оказались на месте за 5 секунд без ручной синхронизации.

• Пользователи тоскуют по «чистым» ОС вроде Windows 2000/7: быстрым, без рекламы, без назойливых функций.
• Современные версии Windows критикуют за хаотичный UI, лишние клики, принудительные облака, Copilot, Recall и тёмные паттерны.
• Многие предлагают радикальные решения: удалить всё, что добавлено после Win7, или вообще перейти на Linux.
• Популярны скрипты вроде Win11Debloat и «облегчённые» сборки (Tiny11), но Microsoft регулярно ломает такие «фиксы».
• Сторонники Linux признают: для среднего пользователя «безболезненной» альтернативы пока нет, особенно в играх.

Делайте то, что не масштабируется

Стартапы не взлетают сами — их взрывают основатели. Почти всем приходится вручную привлекать первых пользователей: ходить по квартирам, как Airbnb в Нью-Йорке, или ставить Stripe на месте, отнимая у клиентов ноутбуки. Стыд и лень мешают выйти из-за кода и продавать, но без этого не выжить.

Кажется, что 10 новых пользователей в неделю — ничто, но при росте 10 % в неделю через год их будет 14 000, а через два — 2 млн. Главное — не недооценить степень роста и не списать себя слишком рано. Microsoft начиналась как пара парней в Альбукерке, писавших Basic для горстки хоббистов. Airbnb едва не умерла, но 30 дней личного общения с пользователями спасли её.

Ранние стартапы хрупки; судить их по стандартам крупных компаний — всё равно что смотреть на новорождённого и говорить: «Это никогда ничего не добьётся».

• Главная мысль: на старте нужно «создавать импульс с нуля», лично решая проблемы каждого пользователя, вместо того чтобы сразу строить масштабируемые системы.
• Ранние «нелогичные» действия (звонки новым клиентам, ручная доставка) дают глубокое понимание рынка и формируют «вкус» к качеству.
• Подход «делай то, что не масштабируется» ≠ «никогда не масштабируй»; как только появляется продукт-рыночное соответствие, пора переходить к автоматизации.
• Критики предупреждают о выжившем искажении и риске застрять в ручных процессах, если не отпустить их вовремя.
• Итог: стартап побеждает инерцию мира, когда основатель вручную «переворачивает» её, а потом аккуратно переключается на масштаб.

Репозиторий FFmpeg

• 120 755 коммитов, 38 веток, 408 тегов, размер 271 МиБ
• Языки: C 90 %, Assembly 8 %, Makefile 1 %, остальное <1 %

Ветка master

• Последний коммит: a2cfaf1 — avformat/mov: передавать индекс потока в sanity_checks для HEIF
• CI: все проверки успешны (linux-amd64, linux-aarch64, Windows, lint)

Ссылки

• ZIP | TAR.GZ | BUNDLE

Последние изменения

• libavformat: передача индекса потока в sanity_checks для HEIF (James Almer)
• libavcodec: очистка pu_info в rv60dec
• fftools/ffmpeg_mux_init: 64-битные вычисления score
• libswscale: выравнивание на 8 строк для planarCopyWrapper
• doc/examples: замена sleep на av_usleep
• presets: удалены устаревшие пресеты iPod

• FFmpeg ушёл с GitHub на самостоятельный Forgejo, отказавшись от рассылок и ускорив навигацию по файлам.
• Пользователи жалуются на защиту Anubis с «аниме-девочкой»: ошибки «Invalid Response», пропадающий CSS, проблемы на Android.
• Критика мотива «не Microsoft» и вопросы: почему именно Forgejo, а не GitLab/Gitea.
• Сторонники отмечают суверенитет и удобство, противники — нестабильность и «нелепый» брендинг.

• GitHub теряет независимость: уходит CEO Томас Домке; платформу переводят в состав CoreAI — новой инженерной группы Microsoft по ИИ.
• Причина: Microsoft хочет ускорить интеграцию GitHub-сервисов (Copilot, Models) в экосистему Azure и Office.
• Что меняется: GitHub больше не будет дочерней компанией; команды перейдут под руководство вице-президента по ИИ Джейсона Ханджера.

• GitHub переходит под полное управление команды CoreAI Microsoft, что символизирует конец «крутого» периода Microsoft и независимости GitHub.
• Пользователи опасаются, что акцент на AI приведёт к деградации качества и навязыванию продуктов Microsoft.
• Многие уже рассматривают альтернативы: GitLab, Codeberg, Forgejo, SourceHut, Tangled и другие.
• Сообщество критикует GitHub за снижение стабильности, навязчивую интеграцию Copilot и отсутствие прозрачности.
• Наблюдается общее разочарование AI-хайпом и желание вернуть фокус на надёжные инструменты разработки.

• AI & ML: генеративный ИИ, Copilot, LLM, машинное обучение
• Навыки разработчика: разработка приложений, карьера, GitHub, образование, языки и фреймворки
• Инженерия: архитектура, принципы, инфраструктура, безопасность, UX
• Корпоративное ПО: автоматизация, CI/CD, коллаборация, DevOps, DevSecOps

• Томас Домке уходит с поста CEO GitHub; должность замещать не будут — сервис полностью переходит под крыло Microsoft CoreAI.
• Прощальная фраза «So long, and thanks for all the fish» вызвала споры: кто-то увидел намёк на «разрушение» старого GitHub, кто-то считает это просто внутренним мемом.
• Пользователи критикуют превращение GitHub в «AI-платформу» и обвиняют его в использовании opensource-кода для Copilot без согласия авторов.
• Некоторые разработчики уже мигрируют на GitLab, Codeberg, Gitea или собственные серверы, чтобы избежать участия в обучении ИИ.
• Сообщество также жалуется на отсутствие IPv6, тормоза интерфейса и «геймификацию» платформы.

OS/2: ядро и сервисы
OS/2 — многозадачная ОС для 286/386, API-ориентированная, расширяемая. Архитектура: ядро, Windows Presentation Manager, LAN Manager. Достаточно ядра для многозадачности; WPM и LAN не обязательны.

SDK
Поставляется с оптимизирующим С-компилятором, макро-ассемблером, линковщиком, отладчиком CodeView, редактором. Документация по вызовам и драйверам.

Планировщик
Превентивный, вытесняющий: по таймеру ядро перехватывает CPU и переключает задачи. Приоритеты + кванты времени; при переключении сохраняются регистры и режимы.

Динамические библиотеки
API реализован в DLL; адреса 32-битные, параметры через стек. Экономия диска и RAM: код загружается и разделяется между процессами. Ошибки в DLL исправляются без пересборки приложений. Повторный запуск той же программы переиспользует код, выделяя только данные/стек/кучу.

Режимы процессора

• Protected: многозадачность, изоляция процессов.
• Real: совместимость с MS-DOS, прямой доступ ко всей памяти.

• OS/2 2.1 умело загружаться и многозадачно работать даже с одной 1,44 МБ дискеты без GUI, чем восхищались участники.
• Обсуждали преимущества вытесняющей многозадачности OS/2 над кооперативной Windows 3.x и особенности Pascal-calling convention, экономившей 3 байта и такты на вызов.
• Вспомнили, что ранний OS/2 создавался совместно IBM и Microsoft, но к 1990 г. Microsoft переключилась на Windows NT, а IBM осталась с OS/2.
• Отметили долгие годы работы OS/2 в терминалах MetroCard нью-йоркского метро и вспомнили SOM как более продвинутую альтернативу COM.

Короткая история Windows XP

Microsoft к концу 90-х стал «фоном жизни» — любое изменение вызывало бурю, а через пару лет продукт становился обыденным. Компания мечтала избавиться от MS-DOS, пробовала XENIX, XEDOS, затем OS/2, но успех Windows 3 разрушил союз с IBM. Спасением стал Дэвид Катлер, перешедший из DEC: его команда создала Windows NT, совместимую с DOS, UNIX и OS/2. План убить DOS-наследие через Windows 2000 отменили 7 апреля 1999 г.

• @ayaros и @Lammy вспоминают XP как «пик Microsoft»: обожают Luna/Neptune UI, музыку из тура и дизайн Watercolor.
• Критики (@krige, @spankibalt) считают тему XP «игрушечной» и скучной, предпочитая Classic Theme или вообще Linux.
• Ностальгия объясняется тем, что XP была первым компьютером миллениалов (@ianhawes), но технически уступала 2000 (@troupo, @lproven).
• Безопасность XP до SP2 была ужасной (@stetrain, @herbst), зато Vista/8 «убили» прогресс (@vjvjvjvjghv).
• Кто-то хранит запечатанную коробку XP (@cyrialize), кто-то даже шептал в OOBE-музыку (@EvanAnderson).

• aka.ms — коротилка Microsoft. Попытка зайти на https://aka.ms привела к логину только для сотрудников.
• akasearch.net — индекс ссылок aka.ms; нашёлся eng.ms.
• eng.ms — домен с приложением EngineeringHub. При входе через личный M365-аккаунт появился consent-запрос на доступ к профилю. После подтверждения — 500-я ошибка, но OAuth-токен уже выдан.
• rescue.eng.ms — поддомен, где после аналогичного согласия открылся Engineering Hub Rescue: список 22 внутренних сервисов Microsoft (Cloud + AI, Gaming, Finance и др.) с полным доступом через обычный аккаунт.

Итог: публичные OAuth-приложения Microsoft внутри корпоративных тенантов могут выдавать токены сторонним пользователям, если не ограничены политикой согласия. Проверьте свои тенанты на наличие подобных приложений и настройте Admin consent workflow, чтобы избежать утечек.

• Документация Microsoft по Entra ID/SSO вызывает у разработчиков «тыкание в темноте» и ошибки конфигурации.
• Уязвимости в мультитенантных приложениях возникают из-за непроверенных полей токена (iss, tid, audience) и отсутствия фильтрации по тенантам.
• Даже внутренние сервисы Microsoft открыты в интернет из-за политики Zero Trust, что увеличивает поверхность атаки.
• Исследователь получил RCE на сборочных серверах Windows, но Microsoft не выплатила ни цента, вызвав критику программы bug bounty.
• Сообщество советует: не полагаться на Entra для авторизации, всегда валидировать каждое поле токена и строить defense-in-depth.

OpenAI выложила первые открытые веса: gpt-oss-120b и gpt-oss-20b. Модели хороши в бенчмарках, но проваливают SimpleQA и бедны на поп-культуру. Это, по сути, Phi-5.

Почему Phi?

Себастьян Бубек в Microsoft создал серию Phi, обучаясь исключительно на синтетике: высококачественные, но дорогие токены. Результат — отличные цифры в тестах и слабая практика, потому что «учили к экзамену». В конце 2024-го Бубек ушёл в OpenAI, и новые gpt-oss, судя по всему, построены на той же идее.

Зачем синтетика?

Безопасность. Открытый вес нельзя отозвать, а сообщество быстро стриптизирует модель под эротические ролевые игры. Синтетические данные позволяют заранее заложить отказы и избежать скандалов. OpenAI не нужно, чтобы модель была полезна в проде — достаточно победить китайские открытые веса в таблицах.

Итог: gpt-oss — это Phi-5 и Phi-5-mini, созданные ради безопасности и рекламных графиков.

• Модель GPT-OSS из-за жёстких «сейфти-фильтров» отказывается переводить даже безобидные романтические сцены с 17-летними персонажами.
• Пользователи жалуются, что цензура мешает повседневным задачам: переводам, переписке, написанию детских историй.
• Некоторые считают главной причиной отказа от полного open-source именно страх перед тонкой настройкой моделей для эротического ролеплея.
• Другие подтверждают: в локальных сообществах «первертов» действительно много, но это далеко не единственный сценарий использования.
• В итоге часть аудитории уходит на «аблитерированные» Llama и прочие неконтролируемые модели.

Американская экономика раскололась: бурный ИИ-сектор и вялая потребительская часть.

• В статистике: траты на ИИ в прошлом квартале росли быстрее потребительских расходов; без ИИ рост ВВП был бы слабым.
• В акциях: за два года около 60% прироста рынка дали компании, связанные с ИИ (Microsoft, Nvidia, Meta); без этого бумa доходность была бы посредственной.
• В бизнес-данных: по Stripe, «ИИ-компании» лидируют по росту выручки, опережая остальные группы.

Что это за бум и откуда деньги? ИИ — это чипы, серверы и дата-центры, огромная электроэнергия, сети и охлаждение. Это крайне дорого. За полгода Meta, Google, Microsoft и Amazon вложили $100–200 млрд в чипы и инфраструктуру. Крупнейшие техгиганты строят на рекордных скоростях — крупнейший инфраструктурный проект со времен ранней компьютерной эры или даже железнодорожного бума.

JP Morgan отмечает: доля Nvidia в совокупных капзатратах компаний может стать максимальной со времен пиковой выручки IBM в 1969. По расчетам Пола Кедроски, капвложения в ИИ как доля ВВП уже превысили дотком-уровни и приближаются к масштабам «позолоченного века» железных дорог.

Этот всплеск финансируется беспрецедентной прибылью лидеров технологий. Их доля свободного денежного потока — рекордная со Второй мировой. Сильные действующие модели (реклама Meta, поисковая реклама Google и пр.) генерируют «горы» наличности, позволяя ежегодно направлять сотни миллиардов на ИИ-НИОКР и инфраструктуру.

• Участники спорят, действительно ли ИИ «поддерживает» весь рост экономики США или просто концентрирует капитал в руках 10–15 гигантов.
• Многие сравнивают нынешний бум с «железнодорожной лихорадкой» XIX века и дот-комом 1999–2000 годов: возможен и прорыв, и взрыв пузыря.
• Поднимается вопрос: если ИИ так продуктивен, почему прибыли растут у «продавцов лопат» (Nvidia, Microsoft), а не у клиентов из S&P 490.
• Часть комментаторов считает, что без ИИ деньги всё равно бы не пошли в реальную экономику, а осели бы в выкупе акций или «загородных REIT-ах».
• Скептики предупреждают: рекордные capex на дата-центры могут обернуться масштабным спадом, если спрос на ИИ-сервисы замедлится.

Слишком многие сервисы используют такой вход:

• Введите email или телефон
• Сайт отправит 6‑значный код
• Введите код для входа

Пожалуйста, прекратите.

Почему это плохо для безопасности:

• Злоумышленник может отправить ваш email на легитимный сервис и заставить вас ввести присланный код в фишинговой форме. Вы не можете быть уверены, где именно нужно вводить код. Менеджеры паролей тут не помогают.
• Этот метод реально эксплуатируется: вход Microsoft для аккаунтов Minecraft использует такие коды, и уже множество аккаунтов было украдено (есть подтверждения на Reddit и YouTube, а также в документации Microsoft).

• Обсуждение критикует OTP по email (6-значные коды): уязвимость к фишингу через «партнёра-входа», спам-запросы на сброс пароля и навязывание пользователям вместо пароля/менеджеров паролей.
• Многие считают, что email-коды хуже UX: задержки, переключение аккаунтов, блокировки при путешествиях, навязчивая MFA/телефон, а также баги (отписка от рассылок ломает вход).
• Контраргументы: пароли тоже фишингуемы и часто слабые/повторяются; для нетехничных пользователей код/магическая ссылка понятнее.
• Предпочтения и альтернативы: магические ссылки вместо кодов (менее фишингуемы), TOTP, passkeys, соцлогин, менеджеры паролей, иногда даже IP-ограничения; просьбы дать выбор, а не форсить один метод.
• Безопасность email-OTP можно улучшать: сочетать короткий код и длинный одноразовый токен, строгие антифишинговые меры почтовых сервисов, ограничения на частоту запросов.
• Реальные негативные кейсы: принудительные схемы у банков/сервисов, невозможность входа без телефона, постоянные письма о сбросах, статические «коды» у некоторых приложений.
• В целом тренд: сервисы перекладывают риск на почту/Google; часть участников продвигает переход к passkeys и магссылкам как более безопасным и удобным компромиссам.

MS used to have uservoice pages. They ignored issues, no matter how highly-voted they were. I once asked someone at MS about this, and they said they take their cues from other sources, like what industry partners ask them to fix at conferences.What a waste of time to have uservo

I am worried about the future of native UI technologies on Windows. Traditionally at least the developers of operating systems have eaten their own dogfood and have at least tried to implement well-performing & visually consistent native applications to serve as an example to oth