Последние новости: Open Source

OpenAI расширила инициативу Daybreak и делает ставку на автоматизацию исправления уязвимостей. Компания признаёт: ИИ уже ускорил поиск багов, но рынок безопасности упёрся в новый узкий участок — исправления. Уязвимость сама по себе никого не защищает. Пользователей защищает патч, который прошёл …

Исследователи обнаружили крупную схему с поддельными сайтами загрузки, которые маскировались под популярные инструменты для анализа кода, реверс-инжиниринга и OSINT. В числе приманок — Ghidra, dnSpy, SpiderFoot, ILSpy, grpcurl, MQTT Explorer, MFCMAPI, CrystalDiskMark и другие проекты

Исследователи CrowdStrike, Google и Shadowserver Foundation отключили инфраструктуру GlassWorm — самораспространяющегося вредоносного червя, который атаковал разработчиков через расширения VS Code, OpenVSX, npm- и Python-пакеты, а затем использовал украденные токены для заражения новых репозиториев и пакетов. Операция прошла 26 мая 2026 …

ИИ-аудит на стероидах: Anthropic показала, как ИИ меняет поиск багов. 23 тысячи находок и очередь на проверку

Киберпреступники превратили взлом open source в конкурс: $1 000 за самый крупный supply chain. Риск — массовые атаки на цепочки поставок

Вокруг fsnotify, одной из популярных Go-библиотек для отслеживания изменений файловой системы, разгорелся спор о правах мейнтейнеров. Участники экосистемы начали проверять релизы, обсуждать форки и задавать вопрос, кто реально контролирует проект. Публичных признаков вредоносного кода в релизах fsnotify сейчас нет. Риск …

Google Threat Intelligence Group впервые зафиксировала zero-day-эксплойт, который, с высокой вероятностью, был разработан с помощью ИИ. Целью стала неназванная популярная open-source веб-панель администрирования. Ошибка позволяла обойти 2FA при наличии валидных логина и пароля. Эксплойт был написан на Python и содержал …

GitHub Actions, токены и релизы стали новой поверхностью атаки. Доверять пакетам «потому что они популярные» больше нельзя.

Cisco открыла исходный код инструмента, который позволяет отслеживать происхождение ИИ-моделей и их компонентов — он показывает, из каких данных, зависимостей и сторонних моделей собран конкретный AI-сервис и помогает выявлять риски ещё до запуска в продакшене.

Взлом Vercel затронул данные конфигурации: компания советует срочно ротировать секреты

Marimo не успел обновиться: критическую RCE начали эксплуатировать в тот же день. Одна публикация — и сразу атака, хакеры собрали эксплойт по описанию

Новая волна Contagious Interview затронула сразу пять экосистем открытого ПО. Вредоносные пакеты маскировались под инструменты для разработчиков и загружали второй этап заражения.

Популярную библиотеку Axios заразили через npm: Microsoft назвала безопасные версии

Популярная JavaScript-библиотека axios оказалась в центре серьезного инцидента с цепочкой поставок ПО (supply chain attack). Исследователи StepSecurity сообщили, что в npm были опубликованы две вредоносные версии пакета, axios@1.14.1 и axios@0.30.4.

LiteLLM скомпрометировали через PyPI: вредоносные версии крали ключи и токены