25 марта 2026

Помните, совсем недавно OpenAI объявляли о сделке с Disney по лицензированию на три года использования персонажей Disney, Marvel, Pixar и Star Wars в Sora?

Закрытие Sora — а, кроме закрытия приложения, компания закрывает и другие видеовозможности и вообще прекращает какую-либо активность в генерации видео, — означает еще и разрыв этой сделки с Disney. Ну, и потерю 1 млрд долларов, которые в рамках сделки Disney должны были инвестировать в OpenAI.

Копейки какие-то, господи, что уж там…

Федеральный судья Рита Лин в ходе рассмотрения иска Anthropic к Пентагону заметила, что запрет администрации Трампа на использование госструктурами моделей Anthropic выглядит как наказание компании за то, что она публично раскрыла свой контрактный спор с Пентагоном. По словам судьи, действия правительства «похожи на попытку подорвать Anthropic» и потенциально нарушают Первую поправку. Решение по делу пока не вынесено, но судья запросила дополнительные доказательства.

Китайские регуляторы ограничили выезд из страны двух сооснователей AI-стартапа Manus — гендиректора Сяо Хуна и главного научного сотрудника Цзи Ичао — в ходе проверки сделки по продаже компании Meta за 2 миллиарда долларов. Как сообщает Financial Times, оба были вызваны на встречу в Национальную комиссию по развитию и реформам, где их допросили о возможных нарушениях правил прямых иностранных инвестиций. Формального расследования пока не открыто, обвинения не предъявлены.

Пекин обеспокоен тем, что китайские AI-компании переносят юрисдикцию в Сингапур, чтобы обойти экспортный контроль и продаться западным покупателям. Manus проделали именно этот маршрут: компания основана в Китае в 2022 году, после раунда от американской Benchmark переехала в Сингапур, а затем была куплена Meta.

Как мы уже знаем по истории с Ant Group и Джеком Ма, китайские власти совершенно не будут стеснять себя экономическими соображениями, если надо продемонстрировать политический подход. В прошлый раз вполне получилось, так что и сейчас сигнал всем желающим повторить путь Manus ясно показано, как именно надо вести себя в Поднебесной… простите, в Китайской Народной Республике.

Не могу не порадоваться этой новости. Товарищи гики, вы же все сильно радовались, когда Евросоюз полез регулировать технические параметры гаджетов, обязывая всех внедрять USB-C и дойдя до требования снабжать устройства сменяемыми батареями, мол, наконец-то заменить уставшую батарею в смартфоне опять будет очень просто? Ну вот — одной из причин, почему в Европе до сих не продаются новые смарт-очки Ray-Ban Display, является как раз требование менять батареи, что в случае с носимыми гаджетами практически является блокирующим. Потому что очки с камерой и средствами коммуникации с точки зрения регуляций от смартфона отличаются незначительно.

Еще одна причина — всё те же сложности с AI функциями и их совместимостью с европейскими правилами privacy и грядущим AI Act.

Если добавить нехватку комплектующих, сдерживающих наращивание объемов производства, то напрашивается вполне определенный вывод — зачем стараться пробиться на сложный рынок, если товара все равно недостаточно? Не лучше ли сконцентрироваться на тех, где таких барьеров нет?

Вот поэтому эти очки продаются пока только в США.

Ладно, вот вам новость, от которой гудят твиттеры.

Пакет LiteLLM версии 1.82.8, опубликованный в репозитории PyPI, оказался скомпрометирован: в него встроили вора учётных данных, закодированного в base64 и спрятанный в файле litellm_init.pth. Особенность формата .pth в том, что Python исполняет его автоматически при запуске любого скрипта в окружении, где установлен пакет — даже без явного импорта. Это значит, что само действие «pip install» уже запускало вредоносный код. PyPI поместил пакет в карантин спустя несколько часов, но за это время вор мог собрать содержимое SSH-ключей, конфигураций AWS, Azure, Docker, Kubernetes, а также историю командной строки и кошельки криптовалют.

Цепочка атаки начинается не с LiteLLM, а с компрометации Trivy — инструмента для сканирования безопасности, который использовался в CI-пайплайне самого LiteLLM. Атакующие, по всей видимости, через уязвимость в Trivy получили доступ к секретам CI-окружения, включая токены публикации на PyPI, и затем выпустили заражённую версию пакета напрямую. Это не первый случай, когда средство защиты становится уязвимым местом, конечно.

Предсказуемо “настоящие” программисты сделали вид, что никогда раньше не существовало supply chain атак и начали комментировать, что вот навайбкодили.

Из хорошего — версия 1.82.8 пробыла в публичном доступе около часа. Так что потенциальных жертв не должно быть очень много. Из среднеплохого — собственно код, собирающий данные, присутствует и в 1.82.7, но там отсутствует .pth скрипт. Сейчас текущая версия на PyPi 1.82.6, но вообще-то это nightly, что только подтверждает старую мудрость — предпочитайте stable-версии, будет спокойнее.

Сегодня не пятница, но посмеяться всегда можно. Не знаю, как вам, а мне понравился топ10 теорий заговора в open-source: — Dependabot на самом деле предназначен для глобальной слежки за командами программистов, обобщенные данные реакции на уязвимости продаются рекрутерам. — Синтаксис Dockerfile специально очень похож на bash, но не полностью, чтобы зарабатывать на консалтинге для тех, кто путается в сходстве. — Инцидент с удалением пакета left-pad в 2016 году послужил прикрытием для криптовалютной махинации. — Директория node_modules функционирует как распределенный реестр с 2012 года. — Rust использует механизмы нейрохимического вознаграждения: сложность проверки заимствований (borrow checker) настроена так, чтобы вызывать у разработчиков привязанность через преодоление трудностей. — Jia Tan (псевдоним человека, стоявшего за взломом xz) на самом деле группа человек, находящихся в разных часовых поясах (о, я это даже встречал прямо во время инцидента). — Git не был написан за 2 недели, это секретная разработка финской армии, которую Торвальдс получил через свои связи, оставшиеся после срочной службы. — Денис Пушкарев, разработчик core-js, был осужден за ДТП, с места которого скрылся, после того, как начал изучать аномалии в данных об установке npm, которые показывали, что большое количество запросов поступали из государственных учреждений, причем запрашивались версии пакетов, которые никогда не публиковались. Его просьба о донатах, размещенная в пакете, на самом деле была зашифрованными метаданными этой телеметрии. — Все популярные open-source проекты с 10к звезд на Github на самом деле поддерживается одним из 14 мейнтейнеров — их отобрали из большого количества PhD и финансируют по линии DARPA.

Не, по-моему, очень благородное безумие, как вам?

Версия iOS 26.4 потребует от владельцев iPhone в Великобритании подтверждение возраста для доступа к ряду сервисов и приложений с рейтингом 18+. Можно верифицироваться через кредитную карту, водительское удостоверение или паспорт.

Великобритания стала первым европейским рынком, где Apple внедряет эту систему.

Формально Apple действует добровольно — закон Online Safety Act не распространяется на магазины приложений и мобильные операционные системы. Но это очень условно — правительство Великобритании не стесняется говорить о “сотрудничестве с Apple”.

Это серьезный компромисс со стороны Apple — компания, сделавшая приватность пользователей своим кредо, теперь просит их загрузить фото документов.