Новости

• 27.05.2026
• Сбер: в 2025 году через криптообменники было выведено около 295 млрд рублей похищенных средств
  Заместитель председателя правления Сбербанка Станислав Кузнецов на Международном форуме по безопасности сообщил, что в 2025 году мошенники вывели через криптовалюту около 295 млрд рублей похищенных у россиян и бизнеса средств. По данным аналитиков банка, в России действует около 900 онлайн- и офлайн-точек обмена криптовалюты, включая площадки в теневом сегменте интернета.
• Новые шаги Microsoft по борьбе с неправомерными интимными изображениями
  Компания распространила использование хешей платформы StopNCII.org на потребительские сервисы Teams Free, OneDrive и Xbox — ранее технология применялась в поиске Bing. Шаг приурочен к вступлению в силу в США закона Take It Down Act, устанавливающего федеральные меры против распространения интимных изображений, опубликованных без согласия (NCII), включая сгенерированные ИИ.
• В модуле rewrite NGINX обнаружено второе за девять дней переполнение буфера: CVE-2026-9256
  F5 раскрыла уязвимость переполнения кучи в ngx_http_rewrite_module, получившую неофициальное имя nginx-poolslip. Эксплуатация возможна удалённо и без аутентификации через специально подготовленные HTTP-запросы и приводит к падению воркер-процесса, а при отключённом ASLR — потенциально к выполнению кода. Исправления выпущены в NGINX Open Source 1.31.1 и 1.30.2.
• В Gitea закрыта уязвимость, открывавшая приватные контейнерные образы без аутентификации
  В реестре контейнеров Gitea — открытой платформы для самостоятельного хостинга Git-репозиториев — обнаружена уязвимость CVE-2026-27771, позволявшая неаутентифицированным пользователям скачивать приватные образы. По данным исследователей, проблема оставалась незамеченной около четырёх лет и затрагивает свыше 30 тыс. инсталляций. Исправление вошло в Gitea 1.26.2.
• Charter Communications подтвердила киберинцидент после заявления ShinyHunters о краже данных
  Один из крупнейших операторов широкополосного доступа в США Charter Communications (бренд Spectrum) признал факт киберинцидента после того, как вымогательская группировка ShinyHunters пригрозила опубликовать похищенные данные. По заявлению компании, чувствительная персональная информация клиентов и данные CPNI не были вывезены, тогда как злоумышленники утверждают, что выгрузили 40 млн записей из Salesforce-инстанса оператора.
• CISA обязала федеральные ведомства США за четыре дня устранить активно эксплуатируемую уязвимость в плагине LiteSpeed для cPanel
  Агентство по кибербезопасности и защите инфраструктуры США (CISA) внесло уязвимость CVE-2026-48172 в каталог известных эксплуатируемых уязвимостей и потребовало от федеральных агентств обновить серверы до полуночи 29 мая. Брешь в пользовательском плагине LiteSpeed для cPanel позволяет удалённо повышать привилегии до root. Разработчик подтвердил активную эксплуатацию и выпустил исправление.
• Минцифры расширило список данных о россиянах, которые операторы должны передавать силовикам
  Минцифры обновило требования к операторам связи для проведения оперативно-разыскных мероприятий, расширив перечень данных, которые они должны собирать и передавать силовым структурам, пишет «Коммерсантъ».
• CrowdStrike отключила ботнет Glassworm, атаковавший разработчиков через расширения VSCode и пакеты npm
  Компания CrowdStrike совместно с Google и Shadowserver Foundation провела скоординированную операцию по отключению Glassworm — ботнета, который с начала 2025 года заражал разработчиков через троянизированные расширения для редакторов кода и пакеты в открытых репозиториях. Инфраструктура управления использовала блокчейн Solana, DHT BitTorrent и Google Calendar в качестве «мёртвых ящиков» и считалась устойчивой к традиционным методам отключения.
• Верховный суд России впервые обобщит судебную практику по делам, связанным с ИИ
  По поручению председателя Верховного суда РФ Игоря Краснова будет проведён масштабный анализ дел с участием нейросетей: от ответственности за вред, причинённый решениями алгоритмов, до использования дипфейков и обучения больших языковых моделей без согласия авторов. По итогам обобщения ВС может выпустить разъяснения для нижестоящих судов.
• Минобрнауки готовит обновление ФГОС: в вузовские программы добавят модули по работе с ИИ
  Глава Минобрнауки РФ Валерий Фальков сообщил, что федеральные государственные образовательные стандарты (ФГОС) высшего образования будут пересмотрены и дополнены модулями по обучению работе с искусственным интеллектом. Заявление сделано на круглом столе об использовании ИИ в учебном процессе и при подготовке дипломных работ. По словам министра, доля сгенерированного нейросетями текста в выпускных квалификационных работах российских студентов растёт.
• Минпромторг исключил из параллельного импорта ПК, серверы и СХД ведущих иностранных производителей
  С 27 мая 2026 года в России запрещён ввоз по параллельному импорту компьютеров, ноутбуков, серверов, систем хранения данных и накопителей от Acer, Asus, HP, Intel, Samsung и ряда других вендоров. Изменения внесены приказом Минпромторга № 4769 от 26 сентября 2025 года; ведомство объясняет решение наличием российских аналогов и поставок из дружественных стран.
• Phoronix: CPU NVIDIA Vera уверенно обошёл EPYC и Xeon в первых Linux-тестах
  Phoronix опубликовал первые публичные Linux-бенчмарки серверного Arm-процессора NVIDIA Vera, рассчитанного на инфраструктурные задачи агентного ИИ. По среднему геометрическому результату Vera заметно опередил Grace и одиночный Xeon 6980P и оказался выше EPYC 9575F, но тесты проходили на ранней платформе и с ограничениями методики.
• Qumulo представила Cloud AI Accelerator для доступа AI-нагрузок к GPU без копирования данных
  Qumulo объявила о доступности Cloud AI Accelerator — решения для подачи распределённых корпоративных данных к GPU-ресурсам в разных облаках и гибридных средах без предварительного копирования. В архитектуре используется инфраструктура Cisco, включая UCS для локальных и гибридных развертываний.
• Applied Digital построит в Луизиане кампус дата-центров для ИИ за $3,6 млрд
  Applied Digital планирует построить в округе Рапидс, штат Луизиана, кампус Delta Forge 1 для нагрузок ИИ и высокопроизводительных вычислений. Проект стоимостью $3,6 млрд должен получить 300 МВт критической IT-нагрузки, первые операции ожидаются в середине 2027 года.
• I Squared Capital купит 10 дата-центров Cogent и вложит до $1 млрд в платформу для ИИ-инференса
  I Squared Capital запускает в США платформу дата-центров для колокации, высокоплотных размещений и инфраструктуры инференса ИИ. Стартовым активом станет покупка десяти площадок Cogent Fiber за $225 млн; на развитие платформы компания намерена направить до $1 млрд.
• NJIT разрабатывает фреймворк для проверки безопасности ИИ-кода
  Исследователи Технологического института Нью-Джерси работают над инструментом, который должен добавлять требования безопасности к генерации кода и проверять результат статическим и динамическим анализом. Проект финансируется трехлетним грантом Национального научного фонда США на $450 тыс.
• В Starlette исправлена уязвимость BadHost, затрагивающая FastAPI-сервисы
  В Starlette, ASGI-фреймворке Python и основе FastAPI, раскрыта уязвимость BadHost (CVE-2026-48710). При определенных реализациях middleware она позволяет обойти проверки доступа через специально сформированный HTTP-заголовок Host; исправление доступно в Starlette 1.0.1 и новее. Особое внимание стоит уделить LLM-шлюзам, MCP-серверам и другим сервисам на FastAPI/Starlette с кастомной авторизацией по пути.
• MITRE передаёт Caldera в инкубатор Apache Software Foundation
  Некоммерческая организация MITRE передаёт платформу автоматизированной эмуляции противника Caldera в Apache Incubator под именем Apache Caldera (Incubating). Переход под управление Apache Software Foundation должен расширить участие сообщества и обеспечить вендор-нейтральное управление проектом.
• Redis закрыл уязвимость use-after-free в Lua-скриптинге (CVE-2026-23631) с риском RCE
  Разработчики Redis выпустили исправления для пяти уязвимостей, в том числе use-after-free в подсистеме Lua-скриптинга, которая через механизм синхронизации master-replica может приводить к удалённому выполнению кода. CVSS-оценка проблемы — 6.1, для эксплуатации требуется аутентификация. Red Hat также опубликовала собственное уведомление по CVE-2026-23631.
• Yandex B2B Tech готовит ИИ-сервис VibeCraft для сборки сайтов и веб-приложений по описанию
  Корпоративное подразделение «Яндекса» анонсировало VibeCraft — платформу, которая по текстовому промпту собирает сайты, CRM, трекеры, опросы и мини-игры. Сервис опирается на SourceCraft, Yandex Cloud и Yandex AI Studio; код проекта доступен в репозитории и может быть доработан вручную. Ранний доступ открыт по заявкам, официальный запуск намечен на июнь 2026 года.

1

2