Max Knyazev is typing…

[Photo] Помните, я рассказывал, что 18 апреля буду выступать на конференции Merge Conf в Иннополисе?

Sun, 29 Mar 2026 22:05:24 +0300

Помните, я рассказывал, что 18 апреля буду выступать на конференции Merge Conf в Иннополисе? Так вот

У вас есть возможность попасть на конференцию абсолютно бесплатно. У меня есть промокод на один билет, который полностью покроет его стоимость 💰

Я прекрасно понимаю, что у меня подписчики живут в разных городах. Поэтому, к сожалению, даже при желании приехать может случиться так, что не будет возможности

По этой причине я решил, что не буду разыгрывать билет на конференцию. Если у вас есть возможность и желание приехать в Иннополис на конференцию Merge Conf 17-18 апреля, просто напишите мне в лс (@MaxiEnergy). Билет достанется тому, кто напишет первым

Но прошу, пожалуйста, уважайте других людей. Если вы понимаете, что не сможете приехать на конференцию, оставьте возможность пойти на нее тем, кто действительно хочет и может 🤝

На конференции буду не только я, а много разных спикеров с различными докладами. Ну и со мной там тоже можно будет пообщаться, если вы захотите)

#информационная_безопасность
#карьера

[Photo] Пока в Telegram находят zero day, я играю в офисе Яндекса в бильярд и теннис (спасибо [...]

Sat, 28 Mar 2026 23:35:12 +0300

Пока в Telegram находят zero day, я играю в офисе Яндекса в бильярд и теннис (спасибо @maxigacy)

Всем приятных выходных 🫶

P.S. Тем для постов у меня как обычно очень много, но 20к километров по Москве сами себя не натопают, презентация на конференцию сама себя не сделает, статья сама себя не напишет. Обещаю, скоро будет нормальный пост (просто поверьте)

[Photo] Всем привет 👋Как вы помните, ранее я проводил опрос о том, сколько моих подписчиков с [...]

Fri, 20 Mar 2026 17:27:19 +0300

Всем привет 👋

Как вы помните, ранее я проводил опрос о том, сколько моих подписчиков сидят в мессенджере MAX и есть ли вообще смысл дублировать туда контент с канала. Тогда же я вскользь упомянул, что подумываю о собственном сайте. Этот пост как раз об этом

Дальше у меня немного накипело ⤵️

Я придерживаюсь принципиальной позиции в вопросах свободы слова и свободы выбора. Поэтому я не считаю нормальным настолько агрессивно навязывать какой-либо продукт, попутно убирая всех возможных конкурентов под любыми предлогами и фактически не оставляя людям права самим решать, где им общаться и получать информацию. С нашим суверенно-национально-патриотичным мессенджером, на мой взгляд, происходит именно это

Его не просто продвигают через разные крайне любопытные прецеденты вроде

подтверждения возраста на кассе

через него. Людей буквально вынуждают его устанавливать, потому что туда уже перевели и

школьные чаты,

домовые,

и даже

университетские

Поэтому я решил, что создавать там канал не буду ни при каких обстоятельствах. Я не хочу поддерживать то безобразие, которое устроили вокруг его продвижения. И точно не хочу быть причастным к забиванию гвоздей в крышку гроба свободы в дорогой мне стране (как бы громко это ни звучало)

Теперь к теме поста

Поскольку вменяемых альтернатив остается все меньше, я решил сделать собственный сайт, на котором будет собрана информация обо всем, что я делаю. Там будут мои статьи с разных площадок, посты, выступления (конференции, митапы, подкасты и тд), проекты с GitHub, а со временем и другие материалы. Пока что там в основном собраны статьи с Хабра, но я рассчитываю писать и отдельные лонгриды специально для сайта (которые не очень хорошо ложатся в тематику Хабра)

Также я подключил систему оповещений через почту. Работает это довольно просто: вы заходите на сайт в раздел «Подписаться» и выбираете за какими разделами хотите следить. Если вам нужны только посты, как в этом канале, достаточно выбрать раздел «Посты». Затем нужно ввести свою почту и подтвердить ее по ссылке из письма. В результате уведомления о новых публикациях будут приходить вам на email вместе со ссылкой, по которой можно будет сразу открыть нужный материал (статью, пост и тд)

Так как мой сайт не имеет отношения к Telegram, он, надеюсь, сможет спокойно работать и дальше без лишних проблем. По крайней мере до тех пор, пока интернет у нас окончательно не переведут в режим «только по белым спискам» (а в них мой сайт вряд ли попадет)

Телеграм-канал я продолжу вести до тех пор, пока за это не введут уголовную ответственность. На сайте в разделе с постами я пока просто буду дублировать посты отсюда, чтобы вы могли читать их и без входа в Telegram, если у вас не получается это сделать из-за введенных ограничений

P.S. Пока что на сайте нельзя оставлять комментарии, но я планирую постепенно докручивать функциональность, так что не исключаю, что рано или поздно такая возможность тоже появится. Если у вас возникнут сложности с подпиской на посты, напишите мне в личку (@MaxiEnergy) или на почту maxiknyaz@mail.ru

И огромное спасибо всем, кто продолжает меня читать несмотря ни на что ❤️

[Photo] Улетаю в командировку...

Tue, 17 Mar 2026 19:31:01 +0300

Улетаю в командировку... но не сейчас, а через месяц 📆

17-18 апреля в университете Иннополис (соответственно, в Иннополисе) пройдет конференция Merge Conf, в которой я участвую в качестве спикера

Уже 18 апреля я расскажу про концепцию CBOM, отвечу на все вопросы аудитории, пообщаюсь с коллегами и, надеюсь, просто классно проведу время 🥂

В Иннополисе я буду все дни конференции, поэтому надеюсь успеть прогуляться и посмотреть город (в котором я еще никогда не был)

P.S. Если бы вы такую мою фотку увидели на билборде с надписью "Голосуй за Князева", проголосовали бы?)

#информационная_безопасность
#карьера

[Media] Последние пару месяцев я натыкаюсь на большое количество новостей о разных ИИ-агентах, [...]

Sat, 14 Mar 2026 19:41:45 +0300

Последние пару месяцев я натыкаюсь на большое количество новостей о разных ИИ-агентах, их безопасности и возможностях эксплуатации этих решений для различного рода атак. Контента накопилось прилично, поэтому давайте обсудим

Начнем с базы. Reuters недавно писал, что исследователи 293 дня сканировали сеть и нашли 175 108 публичных серверов Ollama в 130 странах. Люди ставили LLM локально, но оставляли его слушать 0.0.0.0 вместо 127.0.0.1 (фатальная ошибка). В итоге любой пользователь сети мог кидать промпты локально установленной нейронке, а в ряде случаев даже запускать инструменты, дергать функции и вытаскивать данные. В итоге вышло так, что 7,5 % системных промптов реализовывали вредоноснов (в том или ином виде), почти половина серверов рекламировали tool-calling, а небольшая группа хостов работала онлайн 87 % времени, фактически как бесплатный ботнет для спама и фишинга. Вся эта история говорит нам о чем? Да о том, что даже локальные инструменты нужно использовать правильно и корректно. В данном случае же никто ничего не ломал, пользователи сами открывали доступ к LLM. Поэтому помним, что беспечность с безопасностью связана отрицательно. Но идем дальше

Последнее время очень сильно завирусился Clawdbot... а нет, уже Moltbot... а нет, уже OpenClaw (сколько раз можно название менять?). Если вы вдруг пропустили эти сотни статей, постов и новостей об этом ИИ-агенте (как вам это удалось?), это опенсорсный инструмент, который запускается локально и может взаимодействовать с вашим компьютером и приложениями через мессенджеры (Telegram, WhatsApp и тд). Он выполняет задачи автономно, управляет календарем и почтой, отправляет сообщения, ищет информацию, запускает скрипты и автоматизирует рабочие процессы. На GitHub у него уже порядком 160к звезд (на момент публикации этого поста, естественно). Так вот

Злоумышленники уже пользуются путаницей с названиями и клонируют репозитории с малварью. Исследователи находят сотни открытых инстансов с API-ключами Anthropic, токенами Telegram и месяцами переписок. Forbes довольно подробно пишет об этом (рекомендую ознакомиться). Но ведь есть те, кто стремится использовать ИИ-агентов в рамках ИБ. Вот тут чуть подробнее проговорим

Важно понимать и то, что классическая ИБ исходит из того, что субъект предсказуем. Конкретные инструменты выполняют вполне логично ограниченный набор функций и используются для отдельных классов задач. С ИИ-агентами этого не происходит в большинстве случаев. Потому что очень сложно предсказывать их поведение. Лукацкий справедливо пишет, что тот же самый OpenClaw требует слишком много прав, а без них он мало чем отличается от "Shortcuts на macOS"

#информационная_безопасность

GitHub
GitHub - openclaw/openclaw: Your own personal AI assistant. Any OS. Any Platform. The lobster way. 🦞
Your own personal AI assistant. Any OS. Any Platform. The lobster way. 🦞 - openclaw/openclaw

[Photo] Всем привет 👋Следующие три дня я буду сидеть в качестве эксперта на хакатоне "Nu [...]

Fri, 13 Mar 2026 23:57:55 +0300

Всем привет 👋

Следующие три дня я буду сидеть в качестве эксперта на хакатоне "Nuclear it hack" от МИФИ, на котором студенты будут решать кейсы от разных компаний-партнеров (и от нас, конечно же, тоже)

Последние две недели мы вместе с коллегами придумывали кейс. В итоге участникам в нашей секции нужно будет разработать… локальный сканер секретов и чувствительных данных в коде 🥳

Инструмент очень актуальный и, на мой взгляд, дает волю для креатива, потому что мы не ограничиваем полет фантазии участников в решении этого кейса. Можно пилить CLI, можно прицепить веб-интерфейс, можно использовать любой стек технологий. Главное, чтобы оно работало)

Уже завтра мы поставим четкие задачи участникам, а в субботу будем принимать промежуточные решения. Финальная защита пройдет 8 марта

P.S. Если кто-то из моих подписчиков регистрировался и будет участвовать в хакатоне, залетайте на наш кейс. Обещаю, сильно валить не буду (но оценивать решения буду честно) 🥂

#информационная_безопасность
#карьера

[Photo] Вы любите кофе?

Tue, 03 Mar 2026 13:06:49 +0300

Вы любите кофе? Лично я его обожаю в абсолютно разных вариантах. Хоть латте, хоть раф, хоть на воде, хоть на миндальном (я как представитель поколения зумеров, да еще и житель Москвы, должен подпитывать стереотипы). Но поговорим мы сегодня не совсем о кофе 😉

Буквально только что на Хабре вышла моя новая статья, в которой я постарался рассказать про безопасность цепочки поставок (Supply Chain Security на языке Шекспира) через метафору процесса приготовления кофе. К ее написанию я пришел довольно просто: SBOM часто объясняют как список продуктов или ингредиентов, а когда я подумал об атаках на цепочку поставок (шальные мысли очень любят мою голову), я пил кофе. Все эти компоненты подружились у меня в черепной коробке и создали идею, которую я смог развить в полноценную статью

В двух словах идея статьи такая: зерна (код и зависимости), обжарка (CI/CD и сборка), фильтр (SBOM), вода (инфраструктура) и бариста (люди и процессы) вместе создают вам кофе, который вы пьете, не контролируя выполнение каждого отдельного компонента и этапа. Вы просто доверяете всей этой цепочке. И если где-то по пути вам подмешали «что-то лишнее», на выходе может получиться что-то нормальное на вид, но жуткое на вкус (или даже небезопасное для здоровья). Подробнее с моими размышлениями вы можете ознакомиться в самой статье, а здесь мы перейдем к тому, ради чего мне вообще захотелось написать этот пост (ну кроме того, чтобы просто рассказать вам про выход моей статьи, естественно 😏)

Мне кажется, индустрия наконец перестала притворяться, что современная разработка представляет собой просто написание софта. Сейчас разработка больше похожа на сборку продукта. Мы уже не столько пишем ПО, сколько конструируем решение, на основе огромного количества готовых чужих деталей, которые в свою очередь живут вообще собственной жизнью. Зависимости, которые мы добавили в проект, тянут транзитивные зависимости (о которых мы необязательно и не всегда в курсе). Пакеты обновляются без нашего согласования (поэтому не рекомендую использовать latest нигде). Расписывать тут можно много

Но в итоге то это все приходит к тому, что безопасность вот этого сложного комплексного продукта больше не равна безопасности вашего репозитория. Можно вылизать свой код до блеска, оттриажить все SAST-файндинги, закрыться правилами… и все равно получить инцидент, потому что слабое звено вообще оказалось не на нашей стороне, а где-то в зависимости, которую кто-то там неудачно обновил 🤌

Supply chain атаки поэтому так и бесят. Ты то вроде все сделал правильно, а тебя ломают через «инструмент», «плагин», «пакет», «обновление», «образ» (нужное подчеркнуть), а не через то, что ты сам написал. И мне кажется, главный сдвиг последних лет в том, что мы постепенно все таки уходим от убийственной концепции уровня "Безопасность как бонус" к "Security by design"

Современная безопасность не заключается в том, чтобы развернуть один сканер и поставить галочку в отчете. Нужно видеть свою цепочку поставок как полноценную систему. Понять, где начинаются точки доверия, кто может влиять на сборку, какие компоненты мы реально проверяем и тд. А Security by design в контексте цепочки поставок (да и вообще) скорее является привычкой думать не только о коде, который мы пишем, но и о пути, который этот код проходит до прода

Потому что пользователь видит только чашку кофе. Он не обязан разбираться в зернах, фильтрах и обжарке. Ему бы просто хотелось выпить нормальный кофе. И если что-то пойдет не так, он не будет разбираться, на каком этапе произошла ошибка. Ответственность всегда останется на том, кто ему этот кофе приготовил ☕️

P.S. Буду вам очень благодарен, если прочитаете статью и поделитесь своим мнением в комментариях (здесь или на Хабре)

#информационная_безопасность

[Video] Сегодня попал на фильм «Как получить доступ ко всему: реверс-инжиниринг», первые показ [...]

Tue, 03 Mar 2026 02:22:14 +0300

Сегодня попал на фильм «Как получить доступ ко всему: реверс-инжиниринг», первые показы которого прошли вчера в Кибердоме (я в это время сидел в универе, ибо начало нового семестра в аспирантуре) 🎬

Сегодня (но на несколько часов раньше) фильм также успел посмотреть @szybnev с канала https://t.me/poxek (с которым мы крайне классно поболтали об ИИ и многом другом после вот этого митапа). Присоединюсь к его отзыву, фильм мне тоже понравился 🤌

Документальное кино о людях, для которых «разобрать» — базовый принцип мышления. Фильм описывает историю советского и российского реверс-инжиниринга за последние 100 лет. Это попытка простым языком объяснить, чем на самом деле занимаются IT-реверсеры, и дать возможность почувствовать себя частью чего-то большого.

— описание фильма с сайта «Кибердом»

Сам по себе фильм является документальным, но в нем присутствуют и художественные вставки, которые очень хорошо работают на захват внимания. Сама работа получилась крайне занимательной. Реверс-инженеринг куда ближе, чем может изначально показаться. Если вы в детстве пытались разбирать какие-то игрушки, чтобы понять, почему машинка двигается, фильм вам понравится 🫰

Однозначно советую к просмотру. Вы можете его заценить на RUTUBE, Иви и PREMIER

#информационная_безопасность
#обзор_фильма

[Video]

Wed, 04 Mar 2026 20:28:26 +0300

[Photo] Всем привет 😊Кандидатские экзамены остались позади (философию и историю науки в суббо [...]

Tue, 17 Feb 2026 19:38:09 +0300

Всем привет 😊

Кандидатские экзамены остались позади (философию и историю науки в субботу я тоже сдал на отлично), а ко мне внезапно пришло осознание того, что я не был еще ни на одной конференции/митапе в этом году... так тут еще и дружбан (@maxigacy) с докладом выступает

Такое пропустить я не мог, потому что друга надо было поддержать (задав ему наболее неудобные и сложные вопросы после доклада 😄), а еще из-за того, что это MEPhI CTF × BI.ZONE Meetup #4, который прямо сейчас проходит в офисе BI.ZONE

В программе у нас несколько докладов, в числе которых есть «SAST Taint Analysis with LLM verification» (обязательно его послушаю) и «Атакуем Guardrails в AI-системах», с которым как раз выступает старший инженер по информационной безопасности Яндекса и по совместительству мой хороший друг, Максим Гусев (на момент выхода этого поста, видео с его выступлением скорее всего уже прикреплено в комментариях)

А так все стандартно: фоточка с бейджем, доклады, разговоры об ИБ, ИИ и многом другом + приятная компания и возможность провести вечер вторника не за экраном ноутбука

P.S. Как и обещал, уже на этих выходных выйдет нормальный пост. Мы все дружно дождались момента, когда я стал чуть свободнее. Ура)

#информационная_безопасность
#карьера