А вы могли бы стать белым хакером? А вы могли бы стать белым хакером? А вы могли бы стать белым хакером? А вы могли бы стать белым хакером? Узнать ответ
Код
#подборки

3D‑печать металлов лазером, сообщение стоимостью в 600 миллионов и первый чип тоньше 1 нм

IT-дайджест: главные новости июня 2026 года.

Иллюстрация: Оля Ежак для Skillbox Media

Июнь выдался поистине жарким — как для технологий, так и для целых стран. Россия взялась за импортозамещение подписи кода, США успели запретить и снова разрешить новые модели Anthropic, а одно непрочитанное сообщение обернулось мемом об упущенной выгоде в 600 миллионов долларов. Тем временем IBM совершила революцию в производстве чипов, NIST придумал новый способ 3D‑печати металлов, HTTP впервые за 16 лет обзавёлся новым методом, а phpBB спешно латал уязвимость, которую не замечали десятки лет.

Содержание


Безопасники нашли в phpBB дыру, позволявшую войти в любой аккаунт одним HTTP‑запросом

2 июня 2026 года компания Aikido сообщила о критической уязвимости CVE-2026-48611 в движке интернет‑форумов phpBB. По данным исследователей, она оставалась незамеченной десятки лет и затронула миллионы пользователей.

Уязвимость позволяет обойти аутентификацию и войти под любой учётной записью. Для атаки достаточно знать публичное имя пользователя и отправить один HTTP‑запрос. Доступ обычного пользователя позволяет читать личные сообщения и публиковать посты, а доступ администратора — редактировать и удалять чужие публикации, просматривать IP‑адреса, блокировать и удалять учётные записи. Для остальных действий нужен пароль пользователя.

Проблема затрагивает все версии phpBB до 3.3.16, а также альфа-версию 4.0.0-a2. Это связано с некорректными проверками подлинности в реализации OAuth. Параллельно в ходе проверки специалисты нашли ещё одну ошибку, связанную с миграцией поля профиля. В процессе подготовки исправления команда phpBB обнаружила дополнительную проблему в миграции полей профиля, которая в версиях, начиная с 3.3.8, потенциально могла привести к SQL-инъекции.

Через четыре дня разработчики выпустили версию 3.3.17, которая закрывает эту уязвимость. Заодно они исправили ещё несколько ошибок и переработали вход через сторонние сервисы вроде Google — теперь его проще настраивать. Если у вас есть форум на phpBB, как можно скорее обновитесь: это основной способ защиты. Владельцев крупнейших форумов Aikido уже предупредила сама.

Скриншот: phpbb / Skillbox Media

Учёные научились сплавлять несовместимые металлы лазером для 3D‑печати

Учёные Национального института стандартов и технологий (NIST) придумали способ 3D‑печати металлических сплавов — лазерное перемешивание. Раньше проблема заключалась в том, что разные металлы различаются плотностью, температурой плавления и поверхностным натяжением, поэтому при остывании они расслаиваются на отдельные пятна вместо однородного сплава.

Интересно, что решение оказалось чисто программным и не потребовало замены оборудования. Обычно лазер плавит порошок, двигаясь по прямым линиям, а теперь описывает маленькие петли и закручивает расплав в вихри. Эти вихри перемешивают металлы на атомном уровне. Чтобы проверить метод, команда сварила вместе трудносплавляемый жаропрочный высокоэнтропийный сплав RHEA-19 и титановый Ti-6Al-4V — и получила плотный однородный материал.

При этом высокоскоростная рентгеновская съёмка подтвердила, что атомы действительно перемешались: процесс в реальном времени наблюдали на синхротроне APS в Аргоннской национальной лаборатории, где рентген примерно в 500 миллиардов раз ярче стоматологического. По рассеянию луча учёные фиксировали перестройку атомов во время плавления и застывания.

На изображении вы видите рентгеновскую съёмку, которая показывает три стадии: до плавления два металла ещё разделены и имеют разное строение, во время плавления их атомы перемешиваются, а после застывания выстраиваются в единую однородную решётку — получается цельный сплав

Изображение: F. Zhang / NIST

Жаропрочные высокоэнтропийные сплавы нужны там, где обычные металлы не выдерживают, — в авиационных и ракетных двигателях, в энергетических и газовых турбинах, в космической технике, ядерных реакторах, гиперзвуковых аппаратах и режущем инструменте. Делать из них детали традиционными методами трудно и дорого, а лазерное перемешивание требует лишь обновления ПО уже установленных промышленных 3D‑принтеров. Так что в перспективе можно ждать более дешёвых и жаростойких деталей, а вместе с ними — более экономичных двигателей и надёжной техники. А там, глядишь, и билет в космос однажды будет стоить не как целая ракета, а как обычный отпуск.

Как потерять 600 миллионов долларов из-за одного непрочитанного сообщения

Мы привыкли к историям про «успешный успех», но тем временем в Сети завирусился пост Алекса Либермана об упущенной возможности. В январе 2022 года ему написал студент MIT Майкл Труэлл и попросил посмотреть его проект Cursor. Сообщение затерялось и так и осталось без ответа — а Алекс лишился 1% акций советника, которые сегодня стоили бы 600 миллионов долларов.

То самое сообщение на 600 миллионов долларов
Скриншот: Alex Lieberman / X

За четыре года Cursor стал одним из самых дорогих ИИ-стартапов и после сделки с Илоном Маском достиг оценки в 60 миллиардов долларов. Либерман поздравил команду и оформил свой фейл как самоироничную пошаговую инструкцию:

«Как потерять 600 миллионов долларов:

  • Шаг 1: Получить сообщение от CEO Cursor в 2022 году.
  • Шаг 2: Не заметить его.
  • Шаг 3: Не ответить.
  • Шаг 4: Не помочь с контентом.
  • Шаг 5: Не договориться об 1% акций за консультации.
  • Шаг 6: Наблюдать, как Cursor продаётся за 60 миллиардов долларов.
  • Шаг 7: Признать, что вы, сэр, стали беднее на 600 миллионов долларов».

Иронии добавляет не только тон, но и тот факт, что Либерман вообще-то учит других бизнесу и работе с контентом. Думаю, после такой истории вы будете чаще заглядывать в почту. Кто знает, вдруг там уже ждёт письмо на миллионы.

HTTP получил новый метод QUERY — такое случилось впервые за 16 лет

В июне 2026 года Инженерный совет Интернета (IETF) опубликовал спецификацию RFC 10008, которая присвоила HTTP‑методу QUERY статус «Предложенного стандарта». Это первый новый HTTP‑метод за 16 лет, и он должен упростить отправку тяжёлых запросов со сложными фильтрами.

Чтобы понять, зачем нужен QUERY, вспомним два привычных метода. GET читает данные и передаёт параметры прямо в адресе: такой запрос легко кэшируется, но длина URL ограничена, он попадает в логи и историю браузера, а сложные фильтры превращаются в громоздкую строку. POST отправляет данные в теле запроса, поэтому подходит для больших структур, но по смыслу считается изменяющим данные — его нельзя безопасно кэшировать и автоматически повторять при сбое. В итоге для обычного поиска ни один вариант не идеален.

Метод QUERY объединяет сильные стороны GET и POST. Он сохраняет семантику безопасного чтения, как GET, но передаёт параметры в теле запроса, как POST. Благодаря этому можно отправлять большие JSON-документы, сложные фильтры и аналитические выборки, не упираясь в ограничение длины URL. При этом QUERY остаётся безопасным и идемпотентным: ответы на него можно кэшировать, а сам запрос — без риска повторять после сетевых сбоев.

Рассмотрим простой запрос к ленте с параметрами поиска:

QUERY /feed HTTP/1.1
Host: example.org
Content-Type: application/x-www-form-urlencoded

q=foo&limit=10&sort=-published

В этом примере клиент обращается к ленте /feed на сервере example.org с помощью метода QUERY. Параметры поиска он передаёт в теле запроса: q=foo — что искать, limit=10 — сколько результатов вернуть, sort=-published — в каком порядке показать. Это похоже на POST, потому что параметры не в URL, а в теле. Но по смыслу запрос как GET: он ничего не меняет на сервере, а только просит отдать данные — поэтому его можно рассматривать как безопасное чтение.

При этом важно отметить, что если метод QUERY приживётся, то он не заменит GET или POST. Он лишь заполнит текущий пробел между ними — и сделает веб чуть менее хаотичным. Сегодня многие сервисы используют POST даже для обычного поиска и фильтрации, хотя по смыслу это операции чтения, — QUERY позволит делать их «правильным» способом. Для обычного пользователя изменение почти незаметно, но для разработчиков — настоящий мастхэв.

Читайте также:

Методы GET и POST в HTTP

Новые модели Anthropic попали под запрет в США, но быстро вернулись

9 июня 2026 года Anthropic представила две новые модели Claude — Mythos 5 и Fable. Почти сразу после анонса их запретили в США, но спустя несколько недель переговоров и доработки механизмов защиты доступ восстановили.

Mythos 5 — самая мощная модель, которую когда-либо обучала Anthropic. Её специализация — кибербезопасность: Mythos 5 умеет находить уязвимости в коде и продумывать сценарии их эксплуатации, поэтому Anthropic отдаёт её защитникам критической инфраструктуры. При этом модель сильна и в естественных науках — биологии, химии и медицине, а также решает сложные исследовательские задачи. Именно из‑за такого потенциала доступ к Mythos 5 получают лишь доверенные партнёры через программу Project Glasswing.

Fable 5 — самая мощная из общедоступных моделей Anthropic, ориентированная на длительную автономную работу. Она способна часами вести проект, планировать его по этапам, делегировать задачи агентам и выполнять самопроверку. Основное отличие от Mythos 5 — встроенные предохранители. То есть запросы, относящиеся к кибербезопасности, биологии и химии, проходят проверку фильтрами‑классификаторами и блокируются при наличии потенциальной опасности. Например, если вы попросите Fable 5 найти уязвимость в чужой программе, классификатор заблокирует выдачу ответа.

Именно исключительная сила моделей в кибербезопасности и биологии и встревожила власти: они испугались, что их используют во вред
Изображение: Anthropic

Главный риск в этом случае — джейлбрейк, то есть попытка обойти встроенные ограничения модели с помощью хитро сформулированных запросов. Если классификатор ошибётся или пропустит вредный запрос, пользователь сможет получить пошаговые инструкции и код для потенциально опасных действий. Именно опасения по поводу таких сбоев в защите и стали причиной запрета.

И как раз после релиза исследователи Amazon нашли способ заставить Fable 5 искать уязвимости в чужом коде и даже генерировать код для атаки. Узнав об этом, власти США, сославшись на нацбезопасность, запретили доступ к моделям для иностранных граждан — а поскольку проверить гражданство в реальном времени было нельзя, Anthropic пришлось отключить их вообще для всех.

Однако Anthropic не согласилась с такими мерами и всего за пару недель вместе с властями доработала защитные механизмы. Теперь классификатор блокирует выявленный способ обхода в более чем 99% случаев. 30 июня Министерство торговли США сняло ограничения, и с 1 июля доступ к моделям восстановили.

IBM представила первый в мире чип с техпроцессом менее 1 нанометра

IBM анонсировала первую в мире технологию производства чипов с техпроцессом менее 1 нанометра. По мнению компании, эта разработка открывает новый этап развития полупроводниковой отрасли, которая всё ближе подходит к физическим пределам масштабирования транзисторов.

Главной особенностью разработки стала наностековая архитектура, в которой транзисторы размещаются вертикально — в отличие от традиционных плоских структур. Каждый транзистор включает три нанолиста толщиной около 5 нм, причём на каждом из них сформировано по 15 рядов атомов кремния. Как отмечает директор IBM Research и научный сотрудник IBM Джей Гамбетта:

«Благодаря нашей новой наностековой архитектуре мы не просто создаём более компактные транзисторы — мы заново изобретаем способ производства микросхем, обеспечивая значительно большую мощность и энергоэффективность. Эта первая в отрасли инновация продолжает традицию лидерства IBM в области технологий следующего поколения и закладывает основу для следующей эры вычислительной техники».

В IBM считают, что производство можно будет запустить уже в ближайшие пять лет. Новый чип размером с ноготь сможет вмещать около 100 миллиардов транзисторов — почти вдвое больше, чем 2‑нм чип образца 2021 года. По расчётам компании, это даст до 70% экономии энергии по сравнению с 2‑нм поколением. То есть устройства смогут работать быстрее или дольше от батареи при тех же габаритах, а ресурсоёмкие задачи вроде генеративного ИИ и облачных вычислений будут требовать меньше энергии.

Российские IT-компании берутся за импортозамещение подписи кода

Российские IT-компании начали разработку собственной системы подписи кода. Поводом стал отзыв SSL‑сертификатов у японского удостоверяющего центра GlobalSign, обнаживший опасность зависимости от зарубежных поставщиков.

Напомним, что GlobalSign до последнего оставался единственным крупным центром, продолжавшим работать с Россией. Собственная система подписи кода должна закрыть эту уязвимость и снизить риск повторного отзыва сертификатов, от которых зависит проверка подлинности обновлений и дистрибутивов.

Как сообщает РБК, создание Отраслевого технологического удостоверяющего центра ведётся в рамках рабочей группы «Единое пространство доверия», работающей на базе Национального технологического центра. Среди участников — «РусБИТех-Астра», «Сбертех», «Базальт СПО», «Открытая мобильная платформа», «КриптоПро», «ИнфоТеКС», «Лаборатория Касперского» и другие.

Подпись кода — это цифровая «печать», которая подтверждает, что программу выпустил конкретный разработчик и что после выпуска её не подменяли. Если подписи нет, злоумышленник может выдать вредоносное обновление за легитимное, и система не сможет распознать подделку. А при массовом отзыве сертификатов даже подлинные приложения начинают считаться недоверенными — и обновления перестают приходить миллионам пользователей.

Правда, даже с новой системой останется проблема доверия. Чтобы компьютер или телефон принимал российский сертификат, устройство должно доверять корневому центру, который его выпустил. Но Windows, macOS и iOS не добавят такой центр в доверенные по умолчанию — это решение Apple и Microsoft. Значит, сертификаты придётся ставить вручную или через специальные режимы, иначе система будет считать небезопасными даже легитимные программы.

Так выглядит цепочка доверия сертификата подписи кода в Windows: сертификат CryptoPro подтверждается корневым центром GlobalSign. Если зарубежный центр отзовёт сертификат, вся цепочка станет недоверенной, а подписанные программы — небезопасными
Скриншот: Windows / Skillbox Media

Полезные сайты, которые стоит посетить

Submarine Cable Map — интерактивная карта подводных интернет-магистралей от TeleGeography. На ней видно, где именно проложены кабели, в каких местах они выходят на берег, какие компании и провайдеры участвуют в их обслуживании, а также ключевые технические параметры линий. Карта хорошо объясняет, почему повреждение кабеля где-нибудь в Красном море может замедлить интернет и вызвать перебои связи в странах за тысячи километров.

Скриншот: Submarine Cable Map / Skillbox Medi

WenWare — это игра-головоломка, где по 360-градусной панораме нужно угадать место и год исторического события. Сайт превращает изучение прошлого в настоящий квест: вы рассматриваете детали, находите подсказки и шаг за шагом пытаетесь определить эпоху. Можно играть одному или в мультиплеере, а встроенный интерактивный атлас помогает исследовать локации и связанные с ними события.

Скриншот: WenWare / Skillbox Media

URLScan — мощная песочница для безопасного анализа ссылок и сайтов. Сервис открывает URL в изолированной среде, фиксирует сетевые запросы, выполняемые скрипты и скачиваемые файлы, делает скриншот страницы и формирует отчёт. Инструмент полезен, когда нужно быстро проверить подозрительную ссылку, разобраться с возможным фишингом или понять, что именно происходит при открытии веб‑страницы — без риска для устройства.

Скриншот: URLScan / Skillbox Media

LivePlasma — сервис, который помогает находить похожих по жанру музыкантов и книги. Достаточно ввести имя любимого артиста или название книги — и вы получите рекомендации в виде карты связей. Но сразу предупреждаем: на этой карте легко залипнуть, переходя от одного неожиданного открытия к другому.

Скриншот: LivePlasma / Skillbox Media

Интересное на Reddit

Сабреддит r/pcmasterrace взорвался одним из самых необычных тредов в духе мрачной истории: девушка проснулась ночью от выстрела — пуля соседки пробила стену и угодила прямо в её игровой ПК. Компьютер изменил траекторию пули и буквально спас хозяйку, которая спала в кровати. Закалённое стекло разлетелось по всей комнате, но никто не пострадал. Соседка прибежала в истерике и с извинениями — по её словам, пистолет случайно выстрелил из‑за собаки.

Виновницу привлекли за халатность, но она сразу взяла ответственность и пообещала всё компенсировать. Комьюнити отреагировало на историю с юмором: шутки про «RAM пошёл от Trident к Ballistic», гиперболические перечни уничтоженного железа, мемы «PC Gaming saved my life» и отсылки к Warhammer — «даже после смерти оно продолжает служить». И всё же сквозь смех чувствуется искреннее уважение к девушке и её верному железу, которое в критический момент защитило хозяйку. Многие пользователи отметили, что это тот редкий случай, когда ПК отработал значительно больше своей стоимости.

История получилась опасной, но вместе с тем трогательной и человечной. Девушка не держит зла на соседку, подчёркивая её искреннее раскаяние. А ПК теперь навсегда войдёт в легенды как настоящий страж, который спас человека.

Фото: angelbabyzz / Reddit

В r/linux появился заметный призыв к действию: компьютеры дорожают из‑за роста цен на RAM и SSD, а миллионы iPad с вполне мощным железом рискуют превратиться в «кирпичи», как только Apple прекратит поддержку iPadOS. Автор поста предлагает ослабить ограничения на установку сторонних ОС — это позволило бы сохранить устройства в работе и заметно продлить им жизнь.

Большинство комментаторов поддержали идею и быстро перевели разговор в плоскость регулирования — особенно в Евросоюзе, где Apple недавно обязали перейти на USB‑C. В обсуждении предлагают закрепить принцип right to repair не только для железа, но и для софта. Обычно под этим понимают право владельца на ремонт, обслуживание и доработку устройства, а при необходимости — на легальную установку альтернативных систем или прошивок.

Впрочем, нашлись среди пользователей и скептики: по их мнению, одного разрешения недостаточно, пока законы вроде DMCA запрещают обход защиты и изучение кода. Сначала нужно снять эти ограничения — иначе право на ремонт так и останется декларацией, а добровольно Apple вряд ли пойдёт на изменения.

Интересно, что критика досталась не только Apple: разработчики Android так же легко бросают устройства уже через 2-3 года после выпуска. Реддиторы осудили саму корпоративную культуру — выпускать мощное железо, а затем искусственно обесценивать его через софт, подталкивая к покупке новой модели. В итоге вывод дискуссии один: пока «устаревание по расписанию» остаётся удобной бизнес‑моделью, спасти технику от преждевременной ссылки на свалку может только жёсткое регулирование. Впрочем, производители, вероятно, отлично это понимают и сделают всё для того, чтобы подобных инициатив не допустить.

В r/technology разошлась история о том, как Ford заменил опытных инженеров ИИ, а когда тот не справился — вернул людей обратно. Комментаторов особенно задела жалоба вице-президента: специалисты «ушли, не успев передать знания ИИ‑системам». Реддиторы встали на сторону уволенных, а сам кейс стал наглядной иллюстрацией разрыва между хайпом вокруг ИИ и реальностью, где многолетний опыт нельзя автоматизировать одним кликом. Согласны?

Когда ИИ обещал заменить всех, но что-то пошло не так
Кадр: сериал «Давай ещё, Тэд» / 20th Century Fox Television

Больше интересного про код — в нашем телеграм-канале. Подписывайтесь!

Освойте 45+ топовых нейросетей в одном курсе
На курсе Skillbox вы на практике изучите ИИ-инструменты. Сможете делать за минуты то, на что раньше уходили часы.
Узнать о курсе
Практический курс: «Нейросети» Узнать о курсе
Понравилась статья?
Да

Пользуясь нашим сайтом, вы соглашаетесь с тем, что мы используем cookies 🍪

Ссылка скопирована