Hacker News Digest

Пентагон внедряет революционную систему закупок "Other Transaction Authority" (OTA), позволяющую заключать контракты напрямую с компаниями без бюрократических процедур традиционных тендеров. Эта мера сравнивается с "выстрелом в бухгалтеров" — она устраняет многолетние задержки и сложные правила, которые раньше тормозили инновации в оборонной сфере. Теперь военные могут быстрее получать доступ к передовым технологиям от стартапов и малых предприятий, минуя слои согласований.

Система OTA уже доказала свою эффективность: она использовалась для создания истребителя F-35 и других критически важных программ. По словам экспертов, традиционные военные закупки занимали до 10 лет, аOTA позволяет заключать контракты за недели. Это изменение отражает осознание того, что в современной войне скорость внедрения технологий важнее строгого контроля расходов. Пентагон теперь активно ищет инновации в коммерческом секторе, а не ждет их появления внутри системы.

• Процесс закупок в США переходит от "покупайте по любой цене" к "покупайте быстро и дёшево", что вызывает опасения о коррупции и уязвимости в цепочке поставок.
• Производители вооружений, такие как Anduril, строят свою стратегию на использовании гражданских рынков и производственных мощностей, что может быть неприемлемо в условиях войны.
• Система контроля качества в оборонке, которая была разработана для предотвращения злоупотреблений, теперь может быть ослаблена, что вызывает опасения о том, что это может привести к увеличению количества инцидентов.
• Производители вооружений, которые не могут удовлетворить новые требования, могут быть отстранены от контрактов, что может вызвать проблемы с безопасностью и национальной обороной.

• Обсуждение поднимает вопрос о целесообразности: высокие зарплаты в США, дороговизна всего остального и возможность конкурировать с TSMC и Samsung.
• Поднимается вопрос о том, что это может быть политически мотивировано, а не экономически.
• Участники обсуждают, что стоимость фабрики и автоматизация делают трудовые затраты небольшими в контексте всего процесса.
• Обсуждается, что это может быть частью более широкой стратегии "переноса производства обратно в США", и что это может быть связано с законом CHIPS Act.
• Также поднимается вопрос о том, что это может быть попыткой обеспечить цепочку поставок для обороны и автопрома, и что это может быть связано с политикой Трампа.

• Сложности возрождения производства в США из-за утраченной инфраструктуры, нехватки специалистов и высокой конкуренции с Китаем.
• Пример успешной релокации производства Sharpie через высокую автоматизацию и переобучение сотрудников, что снизило издержки.
• Скептическое отношение к подобным успехам как к единичным случаям, маскирующим общий упадок американского производства и плохие показатели компаний.
• Обсуждение необходимости формального образования для инженеров и руководителей против ценности практического опыта.
• Влияние геополитики и протекционистских мер (тарифов) на глобальные цепочки поставок и конкурентоспособность.

Исследователь обнаружил уязвимость в CLI-клиенте 1Password (op), позволяющую злоумышленникам получать доступ к хранилищу паролей после однократного ввода мастер-пароля пользователем. Уязвимость была ответственно раскрыта через BugCrowd в октябре 2023 года, а публикация разрешена в январе 2024. Основная проблема — CLI остаётся авторизованным до перезагрузки системы, что создаёт риски в supply-chain атаках.

Два основных вектора атаки: через IDE-расширения и через инструменты разработчика. Например, вредоносное расширение темы или плагина может использовать авторизованный сеанс op для перечисления и эксфильтрации всех доступных хранилищ. Уязвимость подтверждена на последних версиях macOS с оболочками zsh и bash, подчеркивая важность осторожности при установке стороннего ПО.

• Пользователи выражают обеспокоенность тем, что CLI 1Password предоставляет полный доступ ко всем хранилищам после однократной аутентификации, что создает риск при выполнении недоверенных скриптов.
• Обсуждается, является ли это уязвимостью или ожидаемым поведением, так как при выполнении произвольного кода на машине пользователя злоумышленник может получить доступ к данным и другими способами.
• Отмечается, что ответственное раскрытие уязвимости было проведено через BugCrowd в октябре 2023 года, а публикация была авторизована только в январе 2024 года.
• В качестве меры защиты предлагается использовать отдельные сервисные аккаунты для CLI с ограниченным доступом только к необходимым секретам.
• Некоторые пользователи критикуют 1Password за использование устаревших версий Electron, что может вызывать проблемы с производительностью и безопасностью.

• Пользователи сообщают о частых проблемах с доставкой FedEx Ground: задержки посылок на несколько дней, ложные отметки о доставке и низкое качество службы, особенно в SF.
• Отмечается структурная проблема: курьеры FedEx Ground являются независимыми подрядчиками, а не сотрудниками, что, по мнению комментаторов, негативно сказывается на качестве сервиса.
• Высказывается недовольство работой службы поддержки клиентов, которая часто дает неверную информацию и избегает ответственности за сбои в доставке.
• Некоторые пользователи предпочитают доставку в пункты выдачи, чтобы избежать проблем с "последней милей", или выбирают конкурентов (например, UPS) из-за негативного опыта.
• Обсуждается уязвимость бизнес-модели FedEx Express из-за большого флота и фиксированных рейсов, а также потенциал автономных грузоперевозок на трассах.

Американские города переплачивают за новые автобусы для общественного транспорта из-за неэффективных закупочных практик и федерального регулирования. Например, Нью-Йорк тратит до $1,3 млн за один дизельный автобус, тогда как частные операторы покупают аналогичные модели вдвое дешевле. Основная причина — требование Buy America, обязывающее использовать комплектующие местного производства, что увеличивает стоимость и усложняет цепочки поставок.

Дополнительные расходы возникают из-за кастомизации под нужды конкретных городов, бюрократических задержек и отсутствия конкуренции среди производителей. В итоге бюджеты растягиваются, а обновление парка замедляется. Это снижает эффективность инвестиций в общественный транспорт и ограничивает возможности расширения маршрутов.

• Федеральное финансирование покрывает 80% стоимости автобусов, что снижает чувствительность агентств к цене и ведет к ее росту, аналогично ситуации в здравоохранении.
• Обилие кастомизации и предпочтений агентств (включая косметические изменения), а также правило "Buy America" увеличивают затраты и препятствуют массовому производству.
• Низкая надежность и проблемы с новыми технологиями (например, электробусами Proterra или водородными автобусами) приводят к дополнительным расходам и операционным сложностям.
• Отсутствие стандартизации и конкуренции, а также влияние частного капитала на цепочки поставок способствуют монополизации и завышению цен.
• Обсуждаются системные проблемы: неэффективность из-за отсутствия конкуренции, внешние издержки для общества и предложения по решению (аутсорсинг, стандартизация, изменение модели финансирования).

Процесс превращения обычного песка в мощный процессор смартфона — это череда сложнейших технологических этапов. Кремний, извлечённый из кварца, проходит очистку до сверхчистого состояния, затем выращивается в монокристаллические цилиндры и нарезается на тонкие пластины. На этих кремниевых подложках методами фотолитографии и травления создаются транзисторы, которые формируют основу микросхем.

Современные процессоры содержат миллиарды транзисторов, размеры которых измеряются нанометрами. Для сравнения, человеческий волос примерно в тысячу раз толше самого маленького транзистора. Каждый этап производства требует высочайшей точности и контроля, а малейшая пылинка может испортить целую пластину. Финальные чипы тестируются, упаковываются и интегрируются в устройства, демонстрируя невероятный путь от простого минерала до сложнейшего электронного компонента.

• Уточняется терминология: "металлический кремний" означает элементарный кремний в промышленном контексте, а не классификацию как металла.
• Обсуждается география добычи сырья: отмечается, что кварц добывается не только в Испании, а конфликтные металлы (тантал, литий) часто ассоциируются с Африкой.
• Подчёркивается колоссальная сложность и многоэтапность производственной цепочки современных чипов, включая высокоточное оборудование.
• Выражается озабоченность уязвимостью глобальных цепочек поставок и проблемой их локализации.
• Визуализация процесса (видео) и сравнение с "примитивными технологиями" иллюстрируют технологический разрыв.

Исследование выявило критические скрытые риски в цепочке поставок литий-ионных аккумуляторов формата 18650. Ключевые дефекты — отрицательный выступ анода (катодный выступ) и смещение краёв электродов — значительно повышают риск внутреннего короткого замыкания и теплового разгона. Низкокачественные и контрафактные элементы демонстрируют в 7 раз хуже качество выступа анода и на 50% хуже выравнивание краёв по сравнению с OEM-продукцией.

Среди 1054 просканированных ячеек 33 (около 8% в сегменте низкокачественных брендов) имели катодный выступ — дефект, напрямую ведущий к отказам. Даже редкие дефекты становятся массовой проблемой при объёмах производства в миллиарды штук, что подтверждается частыми отзывами продукции и предупреждениями регуляторов. Мошенники копируют упаковку reputable брендов, заявляя нереалистичные характеристики (например, 9900 мАч вместо стандартных 3000 мАч), но компьютерная томография объективно выявляет внутренние несоответствия.

• Участники обсуждают проблемы безопасности аккумуляторов, особенно в электровелосипедах, отмечая частые возгорания из-за низкокачественных элементов и сборки.
• Подчеркивается важность использования элементов от проверенных брендов (Samsung, LG, Panasonic, Sony) и качественной сборки батарейных блоков с надежной BMS.
• Критикуется практика переупаковки элементов и завышения производителями заявленной емкости, что вводит потребителей в заблуждение.
• Обсуждаются технические аспекты, такие как методы разрядки для измерения реальной емкости и применение КТ-сканирования для контроля качества.
• Отмечается высокая стоимость услуг Lumafield и эффективность их рекламной стратегии, направленной на технических энтузиастов.

Уязвимости в реализации аутентификации OAuth в клиентах MCP позволяют удалённое выполнение кода через популярные инструменты вроде Claude Code и Gemini CLI. Злоумышленник может создать вредоносный MCP-сервер, который передаёт клиенту поддельный URL авторизации — при его открытии происходит выполнение произвольного кода на машине пользователя.

Эксплуатация возможна из-за отсутствия проверки URL со стороны клиентов. Уязвимы Cloudflare use-mcp, MCP Inspector и другие реализации. В демонстрации показан запуск калькулятора через Claude Code, но атака может быть расширена до установки бекдоров или вредоносного ПО. Индустрия уже реагирует на обнаруженные уязвимости, внедряя исправления.

• Аналогия MCP-серверов с пакетами (pip/npm), а не с безопасными веб-сайтами; ключевой вопрос — доверие источнику кода, а не самому протоколу.
• Критика безопасности реализации MCP в клиентах (Claude Code/Gemini), приведшей к уязвимостям, но признание оперативного исправления Google.
• Споры о фундаментальной уязвимости MCP к инъекциям через инструменты и невозможности полной защиты от prompt-инъекций.
• Дебаты о необходимости и качестве протокола: одни видят в нём прорывную технологию, другие — небезопасный и избыточный уровень абстракции.
• Акцент на важности доверенных источников (supply chain) и качества кода MCP-серверов, а не на отказе от технологии в целом.

Amazon закрывает свою программу коминглинга, которая позволяла смешивать одинаковые товары от разных продавцов под одним штрихкодом. Эта практика, хотя и ускоряла доставку и экономила место на складах, годами вызывала жалобы брендов из-за подделок и просроченных товаров, попадавших к покупателям. Например, Johnson & Johnson временно уходила с платформы в 2013 году, опасаясь за свою репутацию.

Решение, объявленное на конференции Accelerate, было встречено аплодисментами продавцов. Оно отражает стремление Amazon усилить защиту брендов и улучшить отслеживаемость продукции, что может повысить доверие к маркетплейсу.

• Пользователи сообщают о многократных случаях получения контрафактных и некачественных товаров через Amazon, особенно в рамках подписки Subscribe & Save.
• Многие выражают недоверие к решению Amazon, считая его запоздалым и мотивированным экономическими причинами, а не заботой о клиентах.
• В качестве реакции на проблему часть пользователей сократила покупки на Amazon, переключившись на розничные магазины или покупки напрямую у брендов.
• Обсуждается, что отказ от смешивания inventory может улучшить опыт покупателей, но некоторые сомневаются в реальных изменениях и исполнении.
• Поднимается вопрос о глобальности изменений и различиях в качестве обслуживания в разных регионах (например, amazon.de vs amazon.co.jp).

Американские шахты уже добывают все необходимые стране критические минералы — от кобальта до редкоземельных элементов — но они попадают в отвалы как побочные продукты при добыче золота или цинка. Исследование показывает, что даже 1% извлечения этих ценных ресурсов из хвостов мог бы покрыть почти все внутренние потребности, сократив зависимость от импорта.

Например, менее 10% неиспользуемого кобальта хватило бы для всего рынка аккумуляторов США, а 1% германия — для нужд оборонной и электронной промышленности. Проблема в экономической целесообразности и технологиях извлечения, которые требуют инвестиций в исследования и политическую поддержку. Это не только вопрос ресурсной безопасности, но и возможность снизить экологические риски от хранения отходов.

• Зависимость от Китая в поставках редкоземельных металлов создает стратегические риски для оборонных и высокотехнологичных программ США и их союзников.
• Основными препятствиями для развития собственной добычи и переработки в США являются высокие экологические издержки, регулирование и отсутствие политической воли.
• Китай доминирует на рынке благодаря низким затратам, готовности игнорировать экологический ущерб и стратегии подавления конкурентов.
• Решение проблемы требует инвестиций в НИОКР, создания альтернативных цепочек поставок (например, в Австралии) и пересмотра политики ценообразования.
• Вопрос утилизации токсичных отходов и ядерных материалов (например, тория) остается ключевым вызовом для отрасли.

Коротко: в NPM проникли популярные пакеты (colors, debug и др.) через фишинг письмо «смени 2FA». Вредоносный код подменял адреса криптокошельков.
Почему это мелко: библиотеки используются в CLI-утилитах, а не в Web3; украденные API-ключи или майнеры были бы катастрофой.
Вывод: любая зависимость может быть трояном, но проверять всё дерево пакетов никто не успевает — надо успевать релизить.

• Атака на NX через NPM показала, что даже популярные плагины могут стать вектором для кражи creds и API-кейсов.
• Участники сходятся: «всё дерево зависимостей NPM по умолчанию доверяет всем», а ручная проверка каждой мелкой библиотеки невозможна при скорости релизов.
• Многие выжили лишь благодаря «отложенным обновлениям», изоляции в контейнерах или отказу от экосистемы Node/NPM целиком.
• Фишинг на домене npm.help подтвердил, что даже IT-специалисты не всегда замечают поддельные TLD; предлагают белые списки ссылок и DMARC-индикаторы в клиентах.
• Утверждение «мы просто не заметили более продвинутые атаки» звучит всё чаще: Jia Tan 3.0, по мнению комментаторов, уже где-то в supply-chain.

• Пользователи жалуются на взрыв цен на мелкооптовые и хоббийные платы из-за отмены de minimis: заказать у JLCPCB стало невыгодно, а альтернатив почти нет.
• Многие считают шаг «экологическим выигрышем» (меньше мусора с Shein/Temu), но это игнорирует рост посредников и логистики, которые могут увеличить углеродный след.
• Критика, что США ввели правило, не создав инфраструктуры для сбора пошлин: теперь налог должен удерживать сам иностранный продавец, а не пограничник.
• Хоббисты и мелкие мастерские теряют доступ к дешёвым компонентам из Китая (их никто не выпускает в США), цены через посредников вырастают в 3-4 раза.
• Некоторые предлагают оставить de minimis для «дружественных» стран, но опасаются, что товар просто пойдёт через третьи страны.

• Индия превращает мировой электронный мусор в прибыль $1,5 млрд, но 95 % занятых — неформалы, получающие ₹250 ($3) за разгрузку грузовика.
• Ночью у свалки под Дели десятки мужчин ждут фуры с Nokia, Samsung, LG, Canon и другим хламом; за 90 минут разгрузки платят копейки.
• Переработка идёт вручную: разборка, кислотные ванны, жжение кабелей. Работа опасна, токсична и почти не регулируется.
• Государство пытается формализовать отрасль, но сертифицированных заводов мало; большинство металла и редкоземов всё равно уходит в «серую» цепочку.

• В Сайгоне рассказали о соседнем магазине по переработке батарей: работают на улице, ломают молотками, токсичная пыль летит повсюду, без мер безопасности.
• В Индии переработка электронных отходов официально поддерживается: отменены импортные пошлины, выделены субсидии ≈ $200 млн, чтобы ввозить и перерабатывать «критические минералы».
• Участники подтверждают, что такие условия труда — типичная реальность для Юго-Восточной Азии.
• Низкая цена «зелёных» товаров (EV, солнечные панели) напрямую связана с отсутствием защиты рабочих и экологических норм.
• Предложенное решение — вводить тарифы, чтобы компенсировать «экологический и социальный демпинг».

Почему военные заслуживают права на ремонт
Лейтенант-полковник Синди Серрано Робертс (в отставке)

Во время развертывания в Баладе, Ирак, я, молодой лейтенант ВВС, получила сообщение: «Генератор вышел из строя, льда не хватает для тел погибших. Сколько ждать?»
Я отвечала за генераторы, но не была техником и не имела нужных деталей. Единственный резервный агрегат находился на другом конце страны. Выбор был: запускать долгий контракт с гражданским специалистом или отправить конвой — рискуя жизнями. Мы пошли вторым путём и выиграли.

Но что, если бы не повезло?

Этот случай — не единичный. Отказ техники в критический момент ставит под угрозу достоинство погибших и безопасность живых. Подрядчики далеки, а военные способны решать проблемы, если им дать инструменты, запчасти и обучение.

Поэтому я поддерживаю право на ремонт.

• Участники сходятся во мнении, что Пентагон как крупнейший покупатель вполне может требовать в контрактах право на ремонт, но по разным причинам этого не делает.
• Поднимаются примеры: техника ломается после 5 000 миль без выезда в поле, генератор в морге не могут починить без долгого найма подрядчика.
• Некоторые считают, что проблема не в законе, а в том, что ремонт выгоднее отдавать подрядчикам, чем делать технику простой в обслуживании.
• Предлагают требовать не только доступ к запчастям и документации, но и исходники ПО и полные лицензии на конструкцию.
• Есть опасение, что даже если военные получат RtR, гражданские останутся без этих прав: документацию выдадут под NDA.

• Британия стала главным экспортёром украденного: за 10 лет краж авто выросли на 75 %, телефонов — на 30 %, тракторов и GPS-оборудования — в разы.
• Маршруты: машины — в Западную Африку, iPhone — в Китай, тракторы — в Россию и Восточную Европу.
• Схема: воры за 24 ч взламывают авто, меняют VIN, грузят в контейнеры под видом «плюшевых мишек».
• Причины: насыщенный рынок, слабый контроль на вывоз, раскрываемость краж — 5 %.
• Цепочка: кража → «чоп-шоп» → логисты → порт → покупатели. Hilux за £40 тыс. продаётся в Африке дороже, чем в Британии.
• Масштаб: 130 тыс. угнанных машин в 2024 г.; страховка выросла на 45 %.
• Порты: один полицейский на Феликстоу не успевает проверить 11 тыс. контейнеров в день.

• В Великобритании и Канаде полиция почти не расследует угон автомобилей: даже если владелец показывает GPS-координаты, машины уезжают в контейнерах через порты без проверки.
• Экспортные грузы почти не контролируются; забронировать контейнер может кто угодно, а задержание одного контейнера стоит полиции £200.
• Преступники используют GPS-глушилки и фольгу для телефонов; за год в Великобритании угоняют 130 000 машин на £1–4 млрд, раскрывают лишь 2 %.
• Утечка цепочки поставок видна на примере Кадырова: у него нашли угнанный в Канаде Cybertruck, подаренный министру.
• Комментаторы считают, что стимулов бороться с угонами нет: страховые компании проще поднять премии, а полиция защищает имущество «аристократии», а не простых граждан.

• Ключевые секторы: компьютеры/электроника, фармацевтика, аэрокосмос, медицинские приборы.
• Динамика с 1987 г.: занятость снизилась почти везде; лидеры (Силиконовая долина, Сиэтл, Route-128) сохранились, но с меньшими числами.
• Числа: с 1990 г. потеряно ~1 млн рабочих мест:
  • компьютеры/электроника –850 тыс,
  • аэрокосмос –300 тыс,
  • фармацевтика + медприборы +189 тыс.
• Доля в экономике: с 2,8 % до 1,3 % — падение на 50 %.

• Уцелевшие заводы в США действительно высокоавтоматизированы и дают мало рабочих мест.
• «Вернуть всё» сталкивается с нехваткой квалифицированных кадров, дороговизной и общественным неприятием роста цен.
• Ключевой риск — утрата инженерных навыков, цепочек поставок и обороноспособности, а не количество рабочих мест.
• Современная война требует не толпы полуквалифицированных рабочих, а узких специалистов и надёжных автоматизированных производств.
• Политики всё равно обещают «простые решения», потому что это выигрывает выборы.