Скриншот: Один из примеров фрагментов переписки между соискателем и «Оливией». Исследователи: Ян Кэрролл и Сэм Карри

Кэрролл говорит, что заинтересовался безопасностью сайта McHire после того, как увидел пост на Reddit, в котором жаловались на чат-бота, тратящего время соискателей на бессмысленные ответы. Он и Карри начали взаимодействовать с ботом, тестируя его на уязвимость к “инъекциям подсказок” (prompt injection) — технике, позволяющей обмануть большие языковые модели. Не найдя уязвимостей такого рода, они решили зарегистрироваться как франчайзи McDonald’s, чтобы получить доступ к внутренней части сайта, но наткнулись на любопытную ссылку для входа сотрудников Paradox.ai.

Ради интереса Кэрролл попробовал одни из самых популярных логинов и паролей: сначала “admin”, затем “123456” — и второй вариант сработал.

«Это встречается чаще, чем вы думаете», — говорит он. Судя по всему, двухфакторной аутентификации у этого входа не было.

С этими данными для входа Кэрролл и Карри получили админ-доступ к тестовому “ресторану” McDonald’s на платформе McHire и обнаружили, что все указанные там “сотрудники” были разработчиками Paradox.ai, скорее всего из Вьетнама. Они нашли ссылку на тестовые вакансии в этом несуществующем филиале McDonald’s, подали на одну из них заявку и увидели её на внутренней стороне платформы. (В своём блоге Paradox.ai отмечает, что эта тестовая учётная запись «не использовалась с 2019 года и давно должна была быть удалена».)

Тогда Кэрролл и Карри обнаружили вторую критическую уязвимость: начав изменять ID своей заявки (число выше 64 миллионов), они заметили, что можно просто уменьшать число и таким образом просматривать чужие анкеты и контактные данные.

Из соображений этики и страха нарушить закон, они просмотрели лишь ограниченное количество записей, но все, что они проверили, содержали реальные данные. (Paradox.ai утверждает, что исследователи просмотрели всего 7 записей, из которых 5 содержали личные данные.) Кэрролл и Карри передали WIRED выборку с именами, контактами и датами подачи заявок. WIRED связался с двумя соискателями по этим данным — оба подтвердили, что действительно подавали заявки в McDonald’s в указанные дни.

Хотя утечка не затронула наиболее чувствительные данные, Кэрролл и Карри подчеркивают, что риск для соискателей был выше из-за привязки данных к факту их попыток устроиться в McDonald’s.

«Если бы кто-то реально воспользовался этой уязвимостью, риск фишинга был бы огромным», — говорит Карри. — «Это не просто личные данные и резюме — это данные людей, ищущих работу в McDonald’s и ожидающих письма с ответом».

Злоумышленники могли бы, например, выдать себя за рекрутеров и запросить банковские реквизиты для якобы оформления прямого депозита.

«Если бы вы хотели провернуть мошенничество с зарплатой — это был бы отличный способ», — добавляет он.

Также, по их словам, само наличие (или отказ) от трудоустройства в McDonald’s могло бы быть источником стыда для некоторых людей. Однако Кэрролл подчёркивает, что не видит в этом ничего постыдного:

«Я с уважением отношусь к работникам McDonald’s. Я сам туда часто хожу».

https://www.wired.com/story/mcdonalds-ai-hiring-chat-bot-paradoxai/

Figma наконец-то завезла эффект Glass, теперь wysiwyg-дизайн приложений под 26ую систему больше не завязан на Sketch. Можно регулировать уровень рефракции, направление света, глубину стекла, матовость и дисперсию

А Эппл соответственно опубликовали свою библиотеку интерфейсных элементов:

https://www.figma.com/community/file/1527721578857867021/ios-and-ipados-26

Оззи Осборн ушел максимально красиво — отыграв монументальный концерт, со всеми попрощавшись и «окруженный любовью» приказал долго жить. Легенда, что уж тут сказать, покойся с миром!

Ого, вот это релизик: Blender наконец-то портируют на планшеты

Разработчики Blender анонсировали активную адаптацию программы для планшетов с поддержкой мультитач и стилуса, таких как Apple iPad Pro, Microsoft Surface и Wacom MovinkPad. Цель проекта — сделать Blender доступным на устройствах без клавиатуры и мыши, сохранив при этом всю мощность настольной версии.

Первой платформой для тестирования станет iPad Pro с Apple Pencil. Интерфейс будет переработан под сенсорное управление: уменьшенная плотность информации, всплывающие меню, поддержка жестов и кастомные шаблоны рабочего пространства. В приоритете — задачи скульптинга и быстрой работы с объектами.

Новые решения в UI/UX будут полезны и пользователям настольных ПК, особенно тем, кто работает с графическими планшетами.

Первый живой показ Blender на iPad состоится на SIGGRAPH 2025 в Ванкувере. После этого в Blender HQ в Амстердаме пройдёт воркшоп по доработке дизайна и рабочих процессов. Проект находится на ранней стадии, и команда приглашает разработчиков и дизайнеров присоединиться к работе.

(На видео: черновой прототип интерфейса)

https://code.blender.org/2025/07/beyond-mouse-keyboard/

Imagine a few years pass and there’s a whole generation of ipad birds screaming emojis

https://youtu.be/hCQCP-5g5bo

Опять коммуналка растёт:
Spotify поднимает цену Premium-подписки за пределами США

Spotify объявил о повышении стоимости Premium-подписки в ряде стран Европы, Южной Азии, Ближнего Востока, Африки, Латинской Америки и Азиатско-Тихоокеанского региона. Повышение составит примерно €1 в месяц — например, с €10,99 до €11,99, как указано в письме пользователям из одной из стран ЕС.

Хотя конкретные страны в заявлении не названы, уже известно о росте цен для новых пользователей в Испании, Италии и Португалии. В странах, где цены поднимались ранее (Франция, Бельгия, Люксембург, Нидерланды), новых повышений пока не зафиксировано.

Повышение цен произошло вскоре после публикации отчёта Spotify за квартал: несмотря на рост числа платных подписчиков, прогноз по прибыли оказался ниже ожиданий аналитиков, а акции упали на 11,5%, что привело к потере $16 млрд капитализации.

https://www.theverge.com/news/718038/spotify-premium-subnoscription-price-increase-outside-us

Мда, жестко

можно так вот немного докидывать мозгов

А тексты вам тоже GPT-5 пишет?

Ура

Это кстати видео из этой серии
https://www.youtube.com/watch?v=kt6Wne1szrg

Круто. Чуваки перенесли принцип работы объемной гравировки внутри стекла и томографии на фотополимеризацию смолы (текущие принтеры просто используют послойную экспозицию двухмерной матрицы)

http://youtu.be/L7QnADt04ZU

Ещё из плохих новостей — Reddit в погоне за бабками ограничит доступ Internet Archive к своему контенту.


11 августа 2025 года Reddit сообщил, что заблокирует Internet Archive (Wayback Machine) от индексации большинства страниц платформы из-за случаев, когда AI-компании использовали сохранённые копии для обхода политики и сбора данных. Архиву будет доступна только главная страница Reddit, что фактически лишит возможности сохранять посты, комментарии и профили.

Reddit заявляет, что ограничения введены для защиты приватности пользователей и будут усиливаться с сегодняшнего дня. Компания ранее заключала сделки на предоставление данных с Google и OpenAI, но блокировала поисковики и API для бесплатного сбора данных, а также подала иск к Anthropic за несанкционированный скрейпинг. Internet Archive подтвердил, что ведёт переговоры с Reddit

оооо ура цивилизация