Даже если вы пишете идеальный код, это не значит, что ваш продукт в безопасности. Уязвимости может притащить кто-то другой – начиная от open source библиотек, и заканчивая уязвимостями в компиляторах, CI и VCS системах. Как научиться защищать не только код, вышедший из под ваших рук, но и всю цепочку поставки, нам рассказал Алексей Смирнов, основатель платформы CodeScoring.
Партнёр команды Podlodka — наши давние друзья @AvitoTech. Это команда с крутыми процессами, культурой здравого смысла и эксперимента. Узнать про их технологии, подходы и прокачку компетенций в командах можно по ссылкам:
— LLM против хаоса: как я автоматизировал ревизию прав доступа в админке Авито https://clc.to/RVjkQw
— LLM в кибербезопасности https://clc.to/mvLjSA
Реклама. ООО "Авито Тех”, ИНН 9710089440, erid:2SDnjdq5TKm
Также ждем вас, ваши лайки, репосты и комменты в мессенджерах и соцсетях!
Telegram-чат: https://t.me/podlodka
Telegram-канал: https://t.me/podlodkanews
Страница в Facebook: www.facebook.com/podlodkacast/
Twitter-аккаунт: https://twitter.com/PodcastPodlodka
Ведущие в выпуске:
Евгений Кателла, Егор Толстой
Полезные ссылки:
Supply-chain Levels for Software Artifacts, or SLSA
https://slsa.dev/
Shai-Hulud npm vulnerability
https://www.truesec.com/hub/blog/500-npm-packages-compromised-in-ongoing-supply-chain-attack-shai-hulud
Таксономия атак на цепочку поставки ПО
https://vkvideo.ru/video-229013285_456239031
AI-Enhanced DevTools & DevOps
https://vkvideo.ru/video-22522055_456245659?t=2h34m17s
Исследования от Luntry
https://luntry.ru/research
Исследование уязвимостей GenAI от Veracode
https://www.veracode.com/wp-content/uploads/2025_GenAI_Code_Security_Report_Final.pdf
О черве Shai-Hulud
https://securelist.ru/shai-hulud-worm-infects-500-npm-packages-in-a-supply-chain-attack/113533/
Метод-фреймворк защиты цепочки поставки SLSA
https://slsa.dev/
Доклад "Таксономия атак на цепочку поставки ПО"
https://vkvideo.ru/video-229013285_456239031
Доклад "Безопасная разработка в эпоху GenAI"
https://vkvideo.ru/video-229013285_456239040
Другие доклады про безопасность использования Open Source
https://youtube.com/@codescoring
https://vkvideo.ru/@codescoring
Платформа безопасной разработки CodeScoring
https://codescoring.ru/
Книга "Прозрачное программное обеспечение: Безопасность цепочек поставок ПО"
https://www.piter.com/product/prozrachnoe-programmnoe-obespechenie-bezopasnost-tsepochek-postavok-po
--------
1:59:51
--------
1:59:51
Podlodka #447 – Бережливое управление людьми
В этом выпуске разобрались, почему важно управлять людьми бережливо, и чем бережливое управление отличается от бережного. Гость поделился, что его зацепило в теме выгорания руководителей и почему важно рассматривать это не только как личную проблему, но и как организационный сбой. Конечно же, поговорили про переработки: в каких количествах они допустимы, а в каких уже нет. Обсудили подходы к человекоцентричному управлению и, наконец, то, почему счастье сотрудников – это не просто красивый лозунг, а экономически выгодная стратегия.
Также ждем вас, ваши лайки, репосты и комменты в мессенджерах и соцсетях!
Telegram-чат: https://t.me/podlodka
Telegram-канал: https://t.me/podlodkanews
Страница в Facebook: www.facebook.com/podlodkacast/
Twitter-аккаунт: https://twitter.com/PodcastPodlodka
Ведущие в выпуске:
Аня Симонова, Андрей Смирнов, Стас Цыганов
Полезные ссылки:
Пост в telegram-канале “Тру финансы” со ссылками на обе книги Александра
https://t.me/truefinance/1602
Статьи Александра на Хабре
https://habr.com/ru/users/Sertakov83/articles/
--------
1:51:58
--------
1:51:58
Podlodka #446 – AI-агенты и безопасность
В этом выпуске обсуждаем безопасность AI-агентов: как происходят атаки через tool-calling и промпт-инъекции, и какие угрозы несут недобросовестные тулы и галлюцинации моделей. Разбираемся, что такое MCP-сервера, «USB-C для LLM» и почему одна невинная команда может привести к взлому или утечке.
В гостях Ильдар Исхаков – основатель компании по безопасности AI-агентов и фанат опенсорса. Ильдар рассказал о концепции «летальной триады» и о том, как сохранить баланс между функциональностью и безопасностью с помощью readonly-режимов, guardrails и паттернов вроде CAMEL.
Также ждем вас, ваши лайки, репосты и комменты в мессенджерах и соцсетях!
Telegram-чат: https://t.me/podlodka
Telegram-канал: https://t.me/podlodkanews
Страница в Facebook: www.facebook.com/podlodkacast/
Twitter-аккаунт: https://twitter.com/PodcastPodlodka
Ведущие в выпуске:
Стас Цыганов, Аня Симонова
Полезные ссылки:
Archestra.AI
https://archestra.ai
Блог Simon Willison
https://simonwillison.net/2025/Sep/18/agents/
Статья “Why AI systems may never be secure, and what to do about it”
https://www.economist.com/science-and-technology/2025/09/22/why-ai-systems-may-never-be-secure-and-what-to-do-about-it
Статья “Anthropic: How we built our multi-agent research system”
https://simonwillison.net/2025/Jun/14/multi-agent-research-system/
Статья “An Introduction to Google’s Approach to AI Agent Security”
https://simonwillison.net/2025/Jun/15/ai-agent-security/
Google's Approach for Secure AI Agents
https://research.google/pubs/an-introduction-to-googles-approach-for-secure-ai-agents/
Статья “Design Patterns for Securing LLM Agents against Prompt Injections”
https://simonwillison.net/2025/Jun/13/prompt-injection-design-patterns/
Код для статьи "Defeating Prompt Injections by Design"
https://github.com/google-research/camel-prompt-injection
Статья “CaMeL offers a promising new direction for mitigating prompt injection attacks“
https://simonwillison.net/2025/Apr/11/camel/
--------
53:00
--------
53:00
Podlodka #445 – Векторные базы
В этом выпуске разбираемся, что такое векторные базы данных – зачем они понадобились, если есть SQL и текстовый поиск, как устроены под капотом и в чём их ключевое отличие от привычных подходов. Объясняем простыми словами: как данные превращаются в векторы, как по ним происходит быстрый поиск и почему это вообще работает.
В гостях Андрей Васнецов – основатель Qdrant. Вместе обсуждаем, откуда пошёл хайп, что изменилось с приходом LLM, как на практике применяются векторные базы (не только в RAG), какие есть популярные движки и встроенные решения в Postgres и ClickHouse, а также с какими подводными камнями, ограничениями и компромиссами сталкиваются команды при работе.
Партнёр команды Podlodka — наши давние друзья @AvitoTech. Это команда с крутыми процессами, культурой здравого смысла и эксперимента. Узнать про их технологии, подходы и прокачку компетенций в командах можно по ссылкам:
Статья “Как DS-инженеры совершенствуют автогенерацию описаний и пополняют индекс объявлений Авито” https://clc.to/G1TJ5g
Статья “Как аналитики Авито с помощью ML помогают людям выбирать хорошие авто с пробегом” https://clc.to/TMFC5A
Реклама. ООО "Авито Тех”, ИНН 9710089440, erid:2SDnjdPnvxw
Также ждем вас, ваши лайки, репосты и комменты в мессенджерах и соцсетях!
Telegram-чат: https://t.me/podlodka
Telegram-канал: https://t.me/podlodkanews
Страница в Facebook: www.facebook.com/podlodkacast/
Twitter-аккаунт: https://twitter.com/PodcastPodlodka
Ведущие в выпуске:
Андрей Смирнов, Егор Толстой
Полезные ссылки:
Интервью Осетинской
https://youtu.be/_GwPpxtMcNs
Андрей в подкасте TeamleadTalks
https://youtu.be/agYxjnc8mdU
Главная разработка Андрея
https://github.com/qdrant
--------
1:19:18
--------
1:19:18
Podlodka #444 – Архитектура LLM
Берты, трансформеры, эмбеддинги, аттеншены, энкодеры с декодерами и другие страшные слова – все это разберем в выпуске с Владиславом Танковым, директором по AI в JetBrains, попутно разложив большие языковые модели на составные части.
Также ждем вас, ваши лайки, репосты и комменты в мессенджерах и соцсетях!
Telegram-чат: https://t.me/podlodka
Telegram-канал: https://t.me/podlodkanews
Страница в Facebook: www.facebook.com/podlodkacast/
Twitter-аккаунт: https://twitter.com/PodcastPodlodka
Ведущие в выпуске:
Женя Кателла, Андрей Смирнов
Полезные ссылки:
Illustrated Transformer
https://jalammar.github.io/illustrated-transformer/
Attention is all you need
https://arxiv.org/abs/1706.03762
Illustrated BERT
https://jalammar.github.io/illustrated-bert/
GPT-family models overview
https://towardsdatascience.com/meet-gpt-the-decoder-only-transformer-12f4a7918b36/
A bit of overview of tokenization
https://huggingface.co/learn/llm-course/en/chapter6/1
Podlodka – это еженедельное аудио-шоу про IT и все, что с ним связано. Формат наших выпусков - это полное погружение в тему вместе с приглашенным гостем. В каждый выпуск мы зовём интересных и именитых профессионалов в разных областях.
Мы любим обсуждать архитектуру, делиться опытом промышленной разработки и спорить на горячие темы.
Подкаст Подлодка ведут четверо весёлых и опытных инженеров с примесями менеджеров:
- Егор Толстой — руководил командами разработки в Rambler&Co и Avito.
- Катя Петрова — руководила командой дизайн-системы в Авито.
- Евгений Кателла — руководил отделом Android в Rambler&Co и мобильным направлением в Яндекс Еде.
- Стас Цыганов — руководил мобильными командами в Туту.ру. Автор книги VIPER и роадмапа тимлида.
- Анна Симонова — джедай организации митапов, конференций, и развития сообществ.
- Андрей Смирнов — руководил отделами разработки в X5 Tech, IPONWEB и Rambler&Co
New Zealand