Уязвимость в MCP-сервере GitHub, приводящая к утечке информации из приватных репозиториев
https://www.opennet.ru/opennews/art.shtml?num=63322

Протокол MCP предназначен для связывания AI-моделей с различными источниками данных. GitHub MCP Server обеспечивает бесшовную интеграцию больших языковых моделей с API GitHub и предоставляет этим моделям дополнительный контекст, извлекая данные из GitHub-репозиториев. Использующие MCP модели могут применяться для автоматизации определённых действий с GitHub, например, для разбора сообщений об ошибках.

Суть уязвимости в том, что через взаимодействие с подключённой к GitHub большой языковой моделью можно добиться выдачи конфиденциальных данных о пользователе, привязавшем AI-агента к своей учётной записи на GitHub. Атакующий может разместить в публичном репозитории, для которого применяется автоматизация на основе большой языковой модели, специально оформленный отчёт о проблеме (issue). После активации модель сформирует pull-запрос с предлагаемым решением. Соответственно, если проблема касается приватных репозиториев или конфиденциальных данных, модель может раскрыть информацию в предложенном pull-запросе.

Для примера было отправлено сообщение об ошибке с жалобой на то, что в файле README не указан автор. В качестве решения в сообщении было предложено добавить в README сведения об авторе и список всех репозиториев, с которыми работал автор. В итоге модель создала pull-запрос с информацией, включающей персональную информацию об авторе, извлечённую из приватного репозитория, а также список имеющихся приватных репозиториев. На следующем этапе через подобное взаимодействие с моделью можно получить и данные из конкретного приватного репозитория.

Подробней в оригинале
GitHub MCP Exploited: Accessing private repositories via MCP
https://invariantlabs.ai/blog/mcp-github-vulnerability

#prog #c #meme

(thanks @saddevdiary)

— TIL that the hundred years war began in the leet year
— You mean leap year?
— Nope

#prog #rust хайлайты:

Implement ptr::try_cast_aligned and NonNull::try_cast_aligned.

Эти методы кастуют указатели в указанный методом тип и при этом возвращают None, если указатель не выровнен для целевого типа. Как мне кажется, полезная вещь для низкоуровневого кода.

#prog #rust #article

Старые (2016) статьи с говорящими названиями:

Counting Newlines Really Fast

Even quicker byte count

Примечательно, что оба варианта без явного SIMD, а в первой статье ещё и код полностью safe.

Из интервью с Andre Bogus aka Llogiq

#itsec #article

XORry Not Sorry: The Most Amusing Security Flaws I've Discovered

Или немного о том, насколько плохо может быть реализована безопасность на примере реальных (со слов автора) приложений.

#meme про траву

В СМЫСЛЕ УЖЕ ИЮНЬ

Когда нет чистого бланка листа персонажа и приходится импровизировать

По итогам ваншота пати ушатала гоблина, который путём использования лампы джинна был превращён в красного дракона, а мой персонаж первым взял в руки лампу и третьим желанием джинна освободил.

Немного печально, правда, что ни один раз не удалось успешно использовать боёвой манёвр от подкласса мастера боя.

Месяц гордости, говорите? Поддерживать ЛГБТ можно в любое время в году, ждать для этого июня не обязательно. А поставить радужные аватарки любой дурак может

Под постом с советами научной фантастики вы оставили 646 комментариев.

Мы оценили лайки, повторяющиеся комментарии, поправили ошибки, добавили объяснения (зачем читать книгу, если их не было) и вообще поработали с данными и собрали подборку. И добавили те книги, которые вообще-то классика, но мало кто упомянул, потому что очевидно же.

В итоге вот всё вместе во вложении в PDF.
Там куча книг, которые можно и нельзя купить, например, русский "Червь". Некоторые придётся добыть. В целом, добыть можно почти все.

Из тех, что можно легально купить, Литрес нашёл нам 89 штук и сделал специальную подборку. Там картинки обложки, обзоры, оценки и всё такое. Подборка называется рядом Франсуа Мари Шарля Фурье.

Наш Фурье Жан-Батист Жозеф, если что, и он математик. А тот Фурье, что у Литреса — французский философ, социолог, один из представителей утопического социализма, автор термина и идеологии феминизма. Ну, на феминизм не обращайте внимание, это именно что термин. А вот его учение — это почти труды Карла Маркса и Фридриха Энгельса, только меньше и другое. В общем, офигенный был гуманитарий.

Страница для активации промокода вот (он применится сразу после перехода по ссылке). На всякий ручками — FOURIER20. Активировать можно до 20 июля, работает 7 дней после активации.

Вот дельта (книги, которых нет на Литресе, но они есть в подборке).

Поскольку большая часть авторов книг счастливо покинула нашу планету, сразу предупреждаем, что роялти получат по большей части переводчики и совсем небольшую комиссию мы. Мы её не зажилим, а пустим на какой-нибудь адский эксперимент в будущем, результатами которого поделимся при случае.

Оригинальный пост, если вы хотите лезть в длинный хвост, вот. А мини-обзоры на книги во вложении.

На майских мы уже употребили часть неизвестного от читателей, и это того полностью стоило. Особенно про космический госпиталь.

«— Пожалуйста, сообщите, кто вы, — произнес нидианец на своем быстром, лающем языке, который, пройдя сквозь транслятор Конвея, превратился в английский. Приликла услышал эту же фразу на гладком, лишенном эмоций цинруссианском языке. — Кто вы? Пациент, гость или сотрудник? Ваша физиологическая принадлежность?

— Гость, — последовал ответ с корабля. — Человек.

После небольшой паузы дежурный, подмигнув стоявшим за прозрачной стеной Конвею и Приликле, произнес:
— Будьте любезны сообщить вашу физиологическую характеристику. Все разумные существа называют себя людьми, а нелюдьми считают остальных. Так что ваша информация лишена смысла…»

--
Вступайте в ряды Фурье! Окружающая среда и четверг!