Docker запускает MCP Catalog: Стандартизация для AI-агентов

Docker анонсировал MCP Catalog (интегрирован в Docker Hub) и MCP Toolkit. Цель – принести порядок в экосистему MCP (Model Context Protocol), который становится стандартом для взаимодействия AI-агентов с внешними инструментами (API, базы, сервисы). Docker проводит аналогию с ранними днями контейнеров: MCP имеет огромный потенциал, но сейчас это "дикий запад" – фрагментированное обнаружение инструментов, проблемы с доверием, безопасностью и аутентификацией.

Что Docker предлагает для решения этих проблем (и почему это важно для нас):

1. Централизованное Обнаружение и Доверие: MCP Catalog на Docker Hub станет местом для поиска проверенных MCP-инструментов (>100 от партнеров вроде Stripe, Elastic, Grafana, Neo4j, New Relic на старте). Это должно упростить поиск и снизить риск использования непонятных или вредоносных серверов.
2. Стандартизация и Простота Запуска: Инструменты будут распространяться как контейнеры через инфраструктуру Docker Hub. MCP Toolkit позволит запускать MCP-серверы "в один клик" из Docker Desktop или через новый CLI docker mcp, без ручной возни с зависимостями (git clone, npx).
3. Безопасность "Из Коробки": Запускаемые через Toolkit серверы будут работать в изолированных средах (память, сеть, диск). Обещают встроенное управление учетными данными и OAuth, интегрированное с Docker Hub, для упрощения аутентификации и отзыва доступа.
4. Управление: Gateway MCP Server будет динамически "пробрасывать" включенные инструменты совместимым AI-клиентам (Claude, Cursor, OpenAI, VS Code и др.). В будущем обещают enterprise-контролы для управления доступом.

По сути, Docker стремится стать стандартной платформой для развертывания, управления и обеспечения безопасности MCP-компонентов, применяя те же принципы (изоляция, централизованный реестр, управление доступом), которые сделали успешными контейнеры. Это может значительно упростить внедрение и контроль над использованием AI-агентов в корпоративной среде.

😶 Отлично, теперь кроме управления образами контейнеров, сетями и вольюмами, админам предстоит рулить еще и каталогом AI-инструментов, их правами и секретами. Плюс проверять, не пытается ли AI-агент через MCP-сервер дропнуть базу данных "по просьбе" хитрого промпта.

Типичный 🥸 Сисадмин

🎹 Уязвимость SSL.com позволяла получать сертификаты для чужих доменов

Исследователь нашёл дыру в системе проверки SSL.com:
— Для получения сертификата нужно было создать DNS TXT-запись с email.
— Но SSL.com проверял не целевой домен, а домен из email
— Пример: email vulture@example.com → сертификат для example.com, даже если он вам не принадлежит.
— Так получили сертификат для aliyun.com (облачный сервис Alibaba) без прав на домен.

Фактически это означает, что любой, кто заметил ошибку в процессе проверки SSL.com, мог запросить и получить TLS-сертификат для чужого сайта. Затем эти сертификаты могли использоваться для подделки настоящего сайта, фишинга, атак типа man-in-the-middle и так далее.

Типичный 🥸 Сисадмин

Правило 3-2-1 соблюдено: 3 копии, 2 разных носителя (один картонный), 1 копия вне офиса (на этом же столе) 😁
#предложка

Типичный 🥸 Сисадмин

🫥 ChatGPT вместе с Cursor успешно написали эксплойт к недавней критической CVE в SSH-сервере Erlang/OTP — и это до появления проверок концепции в публичном доступе!

Нейронкам хватило описания CVE, чтобы понять проблему, найти коммит с патчем и сопоставить его с уязвимым кодом. Далее они написали PoC, протестировали и отладили.

У исследователя на это ушёл один вечер и набор базовых промптов.

🙂 — То ли ещё будет
👍 — Так-то это круто

🥸 godnoTECH - Новости IT

Вышел nginx 1.28

Новые фичи для админов:
1. «proxy_pass_trailers» — передача хвостовых заголовков от бэкенда к клиенту.
2. «keepalive_min_timeout» — гибкое управление keep-alive соединениями.
3. Кэш SSL-сертификатов через переменные («ssl_certificate_cache max=1000»).
4. Поддержка Musl libc — для фанатов минималистичных дистрибутивов.
5. Директива «resolve» в upstream — динамическое обновление IP без downtime.

Типичный 🥸 Сисадмин

👨‍💻 Китайцы опубликовали локальную модель GLM-4-32B, которая программирует на уровне Sonnet 3.5.

Например, на видео она с первого раза сделала игру «Змейка» с автопилотом.

Модель потребляет меньше памяти, чем конкуренты, а контекстное окно — 32 тысячи символов.

HuggingFace с моделью тут, а протестировать нейронку в вебе бесплатно можно тут.

🥸 godnoTECH - Новости IT

😎 Порой Сисадмины делятся историями о самых креативных (и не очень) способах, которыми пользователи пытались злоупотребить IT-системами или обойти установленные правила. Вот некоторые из таких случаев.

На одном заводе рабочие проявили недюжинную изобретательность, оборудовав скрытую комнату отдыха в заброшенном техническом проеме между цехами. Протащили туда интернет от ближайшей розетки через дешевый роутер, поставили старые компьютеры, диванчик. Спалились, когда безопасник во время обхода засек левую Wi-Fi сеть.

Иногда злоупотребления достигают серьезных масштабов. Вызвали как-то аудиторов в одну контору перед продажей. IT-инфраструктура вроде работает, но как-то странно настроена. Оказалось, местный IT-директор несколько лет держал свой небольшой хостинг-бизнес на оборудовании компании, используя их интернет-канал и даже стойки в серверной. Оборудование списывалось или закупалось "про запас". Вскрылось только при глубокой проверке перед сделкой.

Майнинг на рабочем оборудовании – тоже весьма распространенная история. Офисные майнеры маскируют под системные процессы (svchost, python и т.д.), используют вычислительные мощности серверов или просто незаметно подключают свое оборудование. Ловят таких обычно по активности в сети, перегреву оборудования или счетам за электричество. Классикой жанра является использование рабочего интернета для скачивания фильмов и музыки через торренты, а файловые серверы иногда превращаются в личные медиаархивы.

Были случаи, когда корпоративный Wi-Fi медленный или его нет, некоторые пользователи приносят свой домашний роутер и подключают его к сети, часто неправильно, вызывая конфликты IP-адресов и падение локальной сети.

Часто проблемы возникают из-за простого человеческого фактора или не самых сложных схем. Сотрудник может решить сам настроить бэкап, но из-за незнания написать скрипт, который каждый час делает полную копию данных, быстро забивая сервер. Или пользователь может купить точно такой же ноутбук, как выдают на работе, и принести его айтишникам с выдуманной проблемой, надеясь на бесплатную настройку. Чтобы система не блокировалась при бездействии и статус в корпоративном мессенджере оставался "активен", сотрудники используют иммитаторы активности (шевелят мышкой или клавой) или запускают скрипты, имитирующие активность.

Типичный 👌 Сисадмин

Нанотехнологии крепления с использованием эластичных полимеров.

Типичный 🏥 Сисадмин

Опубликована нейросетевая утилита Zev, которая подскажет команду для терминала по её описанию

Если пользователь забыл структуру команды, то он может описать её на естественном языке прямо в терминале. Языковая модель проанализирует запрос и выведет подходящие команды с кратким описанием. Команду из выдачи можно скопировать и выполнить в этом же окне терминала.

Код утилиты написан на Python, а в основе используется языковая модель. Есть два варианта: можно подключить API от OpenAI или использовать локальную нейросеть через Ollama.

Саму утилиту в терминале можно запустить двумя способами: zev — интерактивный режим с пошаговым выполнением, zev <запрос> — прямой вопрос. Код утилиты открыт и доступен на GitHub.

Пользуемся? 😄

Типичный 🥸 Сисадмин