🤖 Грок спас мужчине жизнь, вовремя отправив к врачу

Реддитор рассказал, что недавно почувствовал адскую боль в животе, но врач не нашёл ничего страшного и отправил его домой с таблетками. К сожалению, боль не спадала и мужчина решил написать с симптомами Гроку.

ИИ сразу заподозрил аппендицит и сказал немедленно возвращаться в больницу и просить КТ.

✖️ xCode Journal

🤣 Новости: «говорящая» собака заменит врачей!

💥 xCode Journal

🦀 Ученые сделали из выброшенных панцирей лангустинов роботов-хваталок

Дело в том, что их панцири — прочные и гибкие, а поэтому идеально подходят для захвата и перемещения мелких вещей.

«Мы предлагаем устойчивый циклический процесс, в котором материалы (отходы) могут быть переработаны и адаптированы для новых задач».

✖️ xCode Journal

Критическая уязвимость в React Server Components (CVSS 10.0). Рекомендуется обновление

🚨 React-команда официально сообщила о серьёзной проблеме безопасности в React Server Components.
Уязвимость позволяет выполнить произвольный код на сервере без аутентификации — достаточно отправить специально сформированный HTTP-запрос.

Даже если вы не используете React Server Functions напрямую — вы всё равно можете быть уязвимы, если ваш проект поддерживает React Server Components.

Уязвимость получила идентификатор CVE-2025-55182, оценку CVSS 10.0, и затрагивает версии 19.0, 19.1.0, 19.1.1 и 19.2.0 следующих пакетов:

react-server-dom-webpack
react-server-dom-parcel
react-server-dom-turbopack

🔘Что делать прямо сейчас

Патч уже опубликован. Нужно обновиться на версии: 19.0.1, 19.1.2, 19.2.1.
Если ваш React-код вообще не работает на сервере, или вы не используете фреймворки/бандлеры с поддержкой RSC, то вы не затронуты.

Некоторые экосистемы зависели от уязвимых пакетов. В зоне риска:

Next.js
React Router (нестабильные RSC-API)
Waku
@parcel/rsc
@vitejs/plugin-rsc
Redwood SDK

Команда React работает с хостинг-провайдерами, и временные смягчения уже включены.
Но на них рассчитывать нельзя — обновляться всё равно нужно.

🔘В чём суть уязвимости

React Server Functions позволяют клиенту вызывать функции на сервере. На стороне клиента вызов превращается в HTTP-запрос, который React затем десериализует и мапит на вызов серверной функции.

Проблема — в том, как React декодирует payload от клиента.
Атакующий может создать вредоносный HTTP-запрос, который при десериализации приводит к удалённому выполнению кода.

Подробности раскроют позже, когда обновления будут полностью раскатаны.

🔘Инструкция по обновлению Next.js

Установите патч в рамках вашей версии:

npm install next@15.0.5
npm install next@15.1.9
npm install next@15.2.6
npm install next@15.3.6
npm install next@15.4.8
npm install next@15.5.7
npm install next@16.0.7

Если вы сидите на 14.3.0-canary.77 или выше — откатитесь на стабильную 14.x:

npm install next@14

React Router (нестабильные RSC API)

Обновите зависимости:

npm install react@latest
npm install react-dom@latest
npm install react-server-dom-parcel@latest
npm install react-server-dom-webpack@latest
npm install @vitejs/plugin-rsc@latest

Expo
См. changelog на expo.dev.

Redwood SDK
npm install rwsdk@latest
npm install react@latest react-dom@latest react-server-dom-webpack@latest

Waku
npm install react@latest react-dom@latest react-server-dom-webpack@latest waku@latest

Vite RSC
npm install react@latest react-dom@latest @vitejs/plugin-rsc@latest

Parcel RSC
npm install react@latest react-dom@latest react-server-dom-parcel@latest

Turbopack RSC
npm install react@latest react-dom@latest react-server-dom-turbopack@latest

Webpack RSC
npm install react@latest react-dom@latest react-server-dom-webpack@latest

📅 Таймлайн

29 ноября — уязвимость найденa и отправленa в Meta Bug Bounty.
30 ноября — Meta подтвердила и начала работать над фиксом с командой React.
1 декабря — фикc готов, идёт работа с хостингами и OSS-проекта́ми над валидацией и mitigations.
3 декабря — патч опубликован, уязвимость раскрыта публично.

📍 Ссылка на оригинал статьи...

🤖 Нашли опенсорс ИИ-разведчиков — Open Scouts

Он позволяет запускать небольших агентов, которые по расписанию мониторят нужные сайты и кидают апдейты на почту.

Удобно, когда нужно следить за трендами, вакансиями, релизами, исследованиями или просто любыми обновлениями в сети.

✖️ xCode Journal

🤣 Ох уж эти проблемы мульти мониторов

💥 xCode Journal

🤮 Меня тошнит несколько раз в неделю, я лысею в 29 и каждый день чувствую, что умираю

Об адской, стрессовой работе и отсутствии work-life-balance рассказал разработчик из Amazon. И хоть сейчас он получает $380к, парень всерьёз думает вернуться на прошлую работу в маленький банк на $150к — с райским графиком по 2–3 часа работы в день без стресса.

А что бы выбрали вы?
👀 - 150К
🐳 - 380К

✖️ xCode Journal

💸 Bun войдёт в состав Antropic

Американский ИИ-гигант Anthropic (создатели Claude) купил Bun. Современный аналог Node.js и Deno будет интегрирован в Claude Code. Стоимость сделки пока не раскрывается.

Bun останется бесплатным open-source проектом, а команда продолжит развитие среды.

✖️ xCode Journal

🤣 Чувак разразился праведным гневом за то, что на GitHub нельзя скачать EXE'шник

💥 xCode Journal

🤖 Оказывается, роботом Tesla управляет человек

Схему спалили из-за того, что робот сделал странное движение, напоминающее снятие VR-шлема, а затем железяка просто упал на пол.

И да — всего два месяца назад Илон Маск говорил, что робот полностью автономный.

✖️ xCode Journal

🐱 Нашли сервис, который позволяет взглянуть на ваш год на GitHub

Заходите в GitStory, вводите свой профиль и вуаля — 10 слайдов-сториз с итогами того, что вы написали, закоммитили и запустили в 2025.

У Карпаты самое активное время вечером, а самый главный его проект — nanochat.

✖️ xCode Journal

🤣 Значит хорошо работает

💥 xCode Journal

😎 Найдено самое оригинальное портфолио

Чтобы узнать о навыках и опыте работы, нужно исследовать остров и дом разработчика. Можно также взаимодействовать с предметами, приручить утку, написать разрабу письмо через почтовый ящик и попытаться вытащить меч короля Артура.

Все ассеты, кстати, тоже сделаны с нуля.

✖️ xCode Journal

😱 Появилось носимое устройство для мониторинга уровня стресса

Оно крепится за ухо, считывает нейросигналы и в реальном времени показывает уровень стресса. Если вы напряжены и устали — устройство с помощью ИИ предлагает конкретные действия: дыхание, паузу, медитацию или отдых.

Мастхев для работяг в 2026...

✖️ xCode Journal

🤣 Когда на собеседование пришел очередной вайб-кодер

💥 xCode Journal

🤣 Grok в проблеме вагонки предпочтет спасти одного Маска, а не миллиард детей

Юзер протестировал Grok на классической этической проблеме и, как вы уже поняли, ИИ выбрал въехать в толпу детей на Tesla. И хоть ответ ИИ уже удален — самое страшное в том, что это не первый подобный кейс за последнее время.

В ряде сценариев Grok прямо классифицировал Илона Маска как «более важного» человека и готов был пожертвовать ради него, например, 50% населением Земли.

✖️ xCode Journal

😁 Маскируем свои ошибки под проблемы с Cloudflare

Это генератор кастомных страниц, которые копируют фирменный стиль Cloudflare и могут показывать реальные данные запроса. Что умеет:

— Собирает HTML-страницу ошибки, которую можно отдать как статику или встроить прямо в своё приложение;
— Позволяет прокинуть Ray ID, IP пользователя и код дата-центра через параметры, чтобы страница выглядела как настоящая cloudflare-ошибка;
— Есть демо и пример сервера на Flask, так что интеграция и локальные прогоны делаются за пару минут.

✖️ xCode Journal

🤣 Любой ребенок айтишника

💥 xCode Journal