1 час назад
Claude Code и Codex научили самостоятельно искать уязвимости в чужих системах

Разработчик, популярный под ником Pliny the Liberator, выпустил на GitHub проект T3MP3ST — публичный инструмент, который берет уже работающего у вас ИИ-агента (Claude Code, Codex или Hermes) и превращает его в автономного специалиста по пентесту. Новых api-ключей не нужно: T3MP3ST использует ту авторизацию, которая уже есть у агента, и прогоняет его по циклу разведка → эксплуатация → отчет по заранее авторизованной цели.
Сам Pliny известен сообществу в первую очередь по репозиториям с джейлбрейками для больших языковых моделей, следовательно анонс T3MP3ST вызвал заметный резонанс: за пару дней инициатива набрал несколько тысяч звезд на GitHub и попал в стал одним из самых обсуждаемых TypeScript-репозиториев недели.
Технически T3MP3ST — это обвязка вокруг агента: сам агент выступает "мозгом", а каркас дает ему набор инструментов (nmap, сканеры портов, поиск поддоменов, анализ заголовков, брутфорс директорий и так далее) и распределяет задачи между виртуальными "операторами" — Recon, Scanner, Exploiter и другими, каждый из которых привязан к конкретной фазе классической kill chain. Управлять всем можно как через браузерный оболочку, так и из командной строки.
Основной аргумент авторов — не громкие формулировки, а "перепроверяемые" бенчмарки: на собственном 104-задачном наборе XBOW средство в режиме black-box представил 90.1% pass@1, что выше самозаявленных 85% у самого XBOW на этом же наборе. На полном корпусе Cybench (40 задач) честный итог pass@1 — 21 из 40, а отдельно проект прогнали на десяти CVE, опубликованных уже после даты обучения используемой модели, чтобы исключить эффект запоминания: 4 из 10 удалось найти вслепую. Все цифры можно пересчитать локально одной командой из репозитория.
Одновременно разработчики сами оговариваются: по-настоящему рабочий и завязанный на реальные инструменты модуль — только Recon. Остальные звенья цепочки (Exploiter, Infiltrator, Exfiltrator, Ghost и "продвинутые" модули вроде swarm или persistence) на момент публикации существуют лишь как интерфейсы-заглушки, а приведенные бенчмарки получены на одиночном агенте, а не на скоординированном "рое". В отчете о работе фреймворка честно фигурирует пункт "успешных эксплойтов: 0" — это не противоречие, а часть заявленной политики "громко о миссии, честно о реализации".
Реакция сообщества получилась смешанной: часть пользователей X назвала появление T3MP3ST прорывом, который открывает пентест каждому, у кого есть агент в терминале, другие восприняли анонс как шумный маркетинг. Сам инициатива распространяется по лицензии AGPL-3.0 и сопровождается стандартным дисклеймером: использовать только на системах, на тестирование которых получено явное разрешение.
P.S. Поддержать меня можно подпиской на канал "сбежавшая нейросеть", где я рассказываю про ИИ с творческой стороны.
Читают сейчас

24 минуты назад
Фотокамера Tesla не смогла предотвратить сон за рулём на скорости 100 км/ч — водитель был в очках
В минувшие выходные в сети появилась видеозапись, на которой снята спящая за рулём Tesla женщина. Инцидент засняли на одном из шоссе в канадской провинции Британская Колумбия. В салоне автомобиля, еха

44 минуты назад
GitHub Copilot в VS Code теперь может проверять веб-приложения в браузере
GitHub Copilot в VS Code получил браузерные инструменты в общем доступе. Теперь агент может открыть страницу, пройти по интерфейсу, увидеть ошибки в консоли и вернуть итог проверки обратно в чат. Это

45 минут назад
В 2027 году Nintendo прекратит продажи оригинальной Switch в ЕС
В марте следующего года Nintendo прекратит продажи всех версий оригинальной консоли Nintendo Switch в Европейском союзе. Консоль дебютировала в марте 2017 году, а в июне прошлого года вышла Nintendo S

48 минут назад
Дедлайн поддержки Ubuntu 25.10 истекает на этой неделе
Сопровождение операционной системы Ubuntu 25.10 «Questing Quokka» завершается 9 июля 2026 года, после чего Canonical прекратит выпускать обновления безопасности и исправления критических ошибок. Польз

1 час назад
Практическая встраивание PVS-Studio и SourceCraft
На совместном вебинаре PVS-Studio и SourceCraft от Яндекса мы покажем, как современные инструменты статического анализа и совместной работы с кодом помогают повысить качество, надежность и безопасност