Não sei se é uma característica dos engenheiros, mas não entendo por que ficam se alongando com um discurso aparentemente plausível, porém sem profundidade. Também é um tema que me interessa, então li com atenção, mas no fim não há conteúdo de fato.
Embora o GitHub não seja o dominante do mercado, eu achava que ele estava na vanguarda da tendência. O escopo de cada projeto é pequeno demais, então a taxa de adoção no mercado é baixa, mas, olhando no conjunto, acho que eles vinham criando muitos conceitos eficazes. Talvez seja porque eu sou desenvolvedor.
Trabalho com desenvolvimento de segurança mobile, e isso me parece um pouco assustador.
No lado dos apps financeiros, até agora a defesa vinha sendo desenhada partindo do pressuposto de que o atacante faria análise manual com Frida ou Ghidra. A profundidade da ofuscação e a lógica de detecção, no fim das contas, também eram baseadas no tempo que uma pessoa leva para analisar, mas ultimamente parece que esse pressuposto está começando a vacilar.
Não consigo apontar exatamente o quê, mas a velocidade é diferente. Dá a sensação de que a indústria de segurança vai mudar completamente...
Criei um servidor MCP e publiquei no npm, então esse relatório do incidente foi bem assustador.
No fim das contas, os servidores MCP também vão direto para npm e PyPI, e há muitos casos em que são instalados sem fixar versão; além disso, ainda não existem coisas como um sistema de denúncia ou trusted publisher. O LiteLLM ficou exposto por pouco mais de 2 horas, mas, vendo esse volume de downloads, fiquei com a sensação de que, se algo assim entrar nesse ecossistema, pode permanecer por bastante tempo.
Pelo que vi, no lado do Claude Code também há casos em que essas configurações de proteção não são aplicadas corretamente no pip install, então, se o fluxo for de um agente instalar pacotes por conta própria, fica meio nebuloso em que ponto isso deveria ser bloqueado.
Testei e, por enquanto, ainda parece um protótipo, então não chega a ser algo que eu recomendaria fortemente; dá para usar daqui a mais ou menos um mês.
A separação entre operadoras de infraestrutura e operadoras de telecomunicações certamente é uma pauta que vale discutir, mas a Suíça é um exemplo extremo demais.
É um país com território pequeno, mas com uma capacidade fiscal nacional enorme.
Isso significa que a densidade de custo viável para investimento é alta.
Os seres humanos repetem os mesmos erros.
Depois da clean room, vem a tensão jurídica. Gostei da frieza.
zzzzz
Uau, isso é realmente absurdo....
O texto é realmente muito bom.
Não sei se é uma característica dos engenheiros, mas não entendo por que ficam se alongando com um discurso aparentemente plausível, porém sem profundidade. Também é um tema que me interessa, então li com atenção, mas no fim não há conteúdo de fato.
Embora o GitHub não seja o dominante do mercado, eu achava que ele estava na vanguarda da tendência. O escopo de cada projeto é pequeno demais, então a taxa de adoção no mercado é baixa, mas, olhando no conjunto, acho que eles vinham criando muitos conceitos eficazes. Talvez seja porque eu sou desenvolvedor.
Como é que as instâncias Mac da AWS ou do GitHub não tiveram problemas até agora...?
Trabalho com desenvolvimento de segurança mobile, e isso me parece um pouco assustador.
No lado dos apps financeiros, até agora a defesa vinha sendo desenhada partindo do pressuposto de que o atacante faria análise manual com Frida ou Ghidra. A profundidade da ofuscação e a lógica de detecção, no fim das contas, também eram baseadas no tempo que uma pessoa leva para analisar, mas ultimamente parece que esse pressuposto está começando a vacilar.
Não consigo apontar exatamente o quê, mas a velocidade é diferente. Dá a sensação de que a indústria de segurança vai mudar completamente...
Criei um servidor MCP e publiquei no npm, então esse relatório do incidente foi bem assustador.
No fim das contas, os servidores MCP também vão direto para npm e PyPI, e há muitos casos em que são instalados sem fixar versão; além disso, ainda não existem coisas como um sistema de denúncia ou
trusted publisher. O LiteLLM ficou exposto por pouco mais de 2 horas, mas, vendo esse volume de downloads, fiquei com a sensação de que, se algo assim entrar nesse ecossistema, pode permanecer por bastante tempo.Pelo que vi, no lado do Claude Code também há casos em que essas configurações de proteção não são aplicadas corretamente no
pip install, então, se o fluxo for de um agente instalar pacotes por conta própria, fica meio nebuloso em que ponto isso deveria ser bloqueado.Bem organizado.
Testei e, por enquanto, ainda parece um protótipo, então não chega a ser algo que eu recomendaria fortemente; dá para usar daqui a mais ou menos um mês.
Lado esperançoso: descoberta de uma vulnerabilidade no Linux
Lado desesperador: descontinuação do bounding no curl
Que horrível.
Já que é um problema relacionado a tempo, isso me faz lembrar do Y2K.. 🤖..
Ultimamente, até o macOS está cumprindo os 49 dias.
A separação entre operadoras de infraestrutura e operadoras de telecomunicações certamente é uma pauta que vale discutir, mas a Suíça é um exemplo extremo demais.
É um país com território pequeno, mas com uma capacidade fiscal nacional enorme.
Isso significa que a densidade de custo viável para investimento é alta.
Lembrei do caso Sreckovich do Park Moon-seong
Ouvi dizer que, entre os produtos da camada Claws, este usa pouquíssima memória, então estou compartilhando.
Continua aumentando.
Vercel em http://localhost:4000
GitHub em http://localhost:4001
Google em http://localhost:4002
Slack em http://localhost:4003
Apple em http://localhost:4004
Microsoft em http://localhost:4005
AWS em http://localhost:4006
Em https://github.com/vercel-labs/emulate/releases/tag/v0.4.0,
agora entraram também Next.js, MongoDB, Stripe, Resend (e-mail) e Okta.