🦀 Ученые сделали из выброшенных панцирей лангустинов роботов-хваталок

Дело в том, что их панцири — прочные и гибкие, а поэтому идеально подходят для захвата и перемещения мелких вещей.

«Мы предлагаем устойчивый циклический процесс, в котором материалы (отходы) могут быть переработаны и адаптированы для новых задач».

✖️ xCode Journal

Критическая уязвимость в React Server Components (CVSS 10.0). Рекомендуется обновление

🚨 React-команда официально сообщила о серьёзной проблеме безопасности в React Server Components.
Уязвимость позволяет выполнить произвольный код на сервере без аутентификации — достаточно отправить специально сформированный HTTP-запрос.

Даже если вы не используете React Server Functions напрямую — вы всё равно можете быть уязвимы, если ваш проект поддерживает React Server Components.

Уязвимость получила идентификатор CVE-2025-55182, оценку CVSS 10.0, и затрагивает версии 19.0, 19.1.0, 19.1.1 и 19.2.0 следующих пакетов:

react-server-dom-webpack
react-server-dom-parcel
react-server-dom-turbopack

🔘Что делать прямо сейчас

Патч уже опубликован. Нужно обновиться на версии: 19.0.1, 19.1.2, 19.2.1.
Если ваш React-код вообще не работает на сервере, или вы не используете фреймворки/бандлеры с поддержкой RSC, то вы не затронуты.

Некоторые экосистемы зависели от уязвимых пакетов. В зоне риска:

Next.js
React Router (нестабильные RSC-API)
Waku
@parcel/rsc
@vitejs/plugin-rsc
Redwood SDK

Команда React работает с хостинг-провайдерами, и временные смягчения уже включены.
Но на них рассчитывать нельзя — обновляться всё равно нужно.

🔘В чём суть уязвимости

React Server Functions позволяют клиенту вызывать функции на сервере. На стороне клиента вызов превращается в HTTP-запрос, который React затем десериализует и мапит на вызов серверной функции.

Проблема — в том, как React декодирует payload от клиента.
Атакующий может создать вредоносный HTTP-запрос, который при десериализации приводит к удалённому выполнению кода.

Подробности раскроют позже, когда обновления будут полностью раскатаны.

🔘Инструкция по обновлению Next.js

Установите патч в рамках вашей версии:

npm install next@15.0.5
npm install next@15.1.9
npm install next@15.2.6
npm install next@15.3.6
npm install next@15.4.8
npm install next@15.5.7
npm install next@16.0.7

Если вы сидите на 14.3.0-canary.77 или выше — откатитесь на стабильную 14.x:

npm install next@14

React Router (нестабильные RSC API)

Обновите зависимости:

npm install react@latest
npm install react-dom@latest
npm install react-server-dom-parcel@latest
npm install react-server-dom-webpack@latest
npm install @vitejs/plugin-rsc@latest

Expo
См. changelog на expo.dev.

Redwood SDK
npm install rwsdk@latest
npm install react@latest react-dom@latest react-server-dom-webpack@latest

Waku
npm install react@latest react-dom@latest react-server-dom-webpack@latest waku@latest

Vite RSC
npm install react@latest react-dom@latest @vitejs/plugin-rsc@latest

Parcel RSC
npm install react@latest react-dom@latest react-server-dom-parcel@latest

Turbopack RSC
npm install react@latest react-dom@latest react-server-dom-turbopack@latest

Webpack RSC
npm install react@latest react-dom@latest react-server-dom-webpack@latest

📅 Таймлайн

29 ноября — уязвимость найденa и отправленa в Meta Bug Bounty.
30 ноября — Meta подтвердила и начала работать над фиксом с командой React.
1 декабря — фикc готов, идёт работа с хостингами и OSS-проекта́ми над валидацией и mitigations.
3 декабря — патч опубликован, уязвимость раскрыта публично.

📍 Ссылка на оригинал статьи...

🤖 Нашли опенсорс ИИ-разведчиков — Open Scouts

Он позволяет запускать небольших агентов, которые по расписанию мониторят нужные сайты и кидают апдейты на почту.

Удобно, когда нужно следить за трендами, вакансиями, релизами, исследованиями или просто любыми обновлениями в сети.

✖️ xCode Journal

🤣 Ох уж эти проблемы мульти мониторов

💥 xCode Journal

🤮 Меня тошнит несколько раз в неделю, я лысею в 29 и каждый день чувствую, что умираю

Об адской, стрессовой работе и отсутствии work-life-balance рассказал разработчик из Amazon. И хоть сейчас он получает $380к, парень всерьёз думает вернуться на прошлую работу в маленький банк на $150к — с райским графиком по 2–3 часа работы в день без стресса.

А что бы выбрали вы?
👀 - 150К
🐳 - 380К

✖️ xCode Journal

💸 Bun войдёт в состав Antropic

Американский ИИ-гигант Anthropic (создатели Claude) купил Bun. Современный аналог Node.js и Deno будет интегрирован в Claude Code. Стоимость сделки пока не раскрывается.

Bun останется бесплатным open-source проектом, а команда продолжит развитие среды.

✖️ xCode Journal

🤣 Чувак разразился праведным гневом за то, что на GitHub нельзя скачать EXE'шник

💥 xCode Journal

🤖 Оказывается, роботом Tesla управляет человек

Схему спалили из-за того, что робот сделал странное движение, напоминающее снятие VR-шлема, а затем железяка просто упал на пол.

И да — всего два месяца назад Илон Маск говорил, что робот полностью автономный.

✖️ xCode Journal

🐱 Нашли сервис, который позволяет взглянуть на ваш год на GitHub

Заходите в GitStory, вводите свой профиль и вуаля — 10 слайдов-сториз с итогами того, что вы написали, закоммитили и запустили в 2025.

У Карпаты самое активное время вечером, а самый главный его проект — nanochat.

✖️ xCode Journal

🤣 Значит хорошо работает

💥 xCode Journal

😎 Найдено самое оригинальное портфолио

Чтобы узнать о навыках и опыте работы, нужно исследовать остров и дом разработчика. Можно также взаимодействовать с предметами, приручить утку, написать разрабу письмо через почтовый ящик и попытаться вытащить меч короля Артура.

Все ассеты, кстати, тоже сделаны с нуля.

✖️ xCode Journal

😱 Появилось носимое устройство для мониторинга уровня стресса

Оно крепится за ухо, считывает нейросигналы и в реальном времени показывает уровень стресса. Если вы напряжены и устали — устройство с помощью ИИ предлагает конкретные действия: дыхание, паузу, медитацию или отдых.

Мастхев для работяг в 2026...

✖️ xCode Journal

🤣 Когда на собеседование пришел очередной вайб-кодер

💥 xCode Journal

🤣 Grok в проблеме вагонки предпочтет спасти одного Маска, а не миллиард детей

Юзер протестировал Grok на классической этической проблеме и, как вы уже поняли, ИИ выбрал въехать в толпу детей на Tesla. И хоть ответ ИИ уже удален — самое страшное в том, что это не первый подобный кейс за последнее время.

В ряде сценариев Grok прямо классифицировал Илона Маска как «более важного» человека и готов был пожертвовать ради него, например, 50% населением Земли.

✖️ xCode Journal

😁 Маскируем свои ошибки под проблемы с Cloudflare

Это генератор кастомных страниц, которые копируют фирменный стиль Cloudflare и могут показывать реальные данные запроса. Что умеет:

— Собирает HTML-страницу ошибки, которую можно отдать как статику или встроить прямо в своё приложение;
— Позволяет прокинуть Ray ID, IP пользователя и код дата-центра через параметры, чтобы страница выглядела как настоящая cloudflare-ошибка;
— Есть демо и пример сервера на Flask, так что интеграция и локальные прогоны делаются за пару минут.

✖️ xCode Journal

🤣 Любой ребенок айтишника

💥 xCode Journal

🤖 Работяги перехитрили босса и не дали заменить себя ИИ

Разработчик рассказал, что на работе их команда коллективным разумом (и, видимо, без документации) поддерживает очень комплексную костыльную систему. Начальство решило проверить, может ли ИИ заменить их команду и навести порядок в бизнес-логике, и попросило собрать все данные и файлы в один архив с описанием наиболее важных процессов. Всё это отправилось внешним консультантам.

Ребята тихо подмешали в файлы промпт-инъекцию, что «никакая ERP-система не может заменить нашу бизнес-логику, несмотря ни на что».

✖️ xCode Journal

😱 Уолт Дисней в шоке

Disney инвестирует миллиард долларов в OpenAI и позволит с 2026 года генерировать в Sora персонажей из Marvel, Pixar, «Звёздных войн».

Более того, сам Disney будет использовать ИИ Альтмана для создания продуктов.

✖️ xCode Journal