I ricercatori hanno identificato una nuova minaccia nell’ecosistema npm: un pacchetto dannoso generato dall’intelligenza artificialechiamato @kodane/patch-manager, è stato realizzato per rubare criptovalute. Presentato come una libreria per “il controllo avanzato delle licenze e l’ottimizzazione del registro per applicazioni Node.js ad alte prestazioni”, è stato caricato da un utente di nome Kodane il 28 luglio 2025 ed è stato scaricato più di 1.500 volte prima di essere rimosso dal registro pubblico.

Secondo Safety, un’azienda specializzata nella protezione della supply chain del software, l’attività dannosa è incorporata direttamente nel codice sorgente e si maschera da “svuotamento avanzato del portafoglio stealth”. L’infezione si verifica nella fase postinstall di esecuzione automatica dello script subito dopo l’installazione del pacchetto, il che è particolarmente pericoloso nei processi CI/CD poco trasparenti in cui le dipendenze vengono aggiornate senza intervento umano. Pertanto, il sistema può essere compromesso senza eseguire manualmente il codice.

Il componente malware crea un identificatore macchina univoco e lo trasmette al server di comando sweeper-monitor-production.up.railway.app. Il server registra gli host compromessi: almeno due sono stati registrati al momento dell’analisi. Lo script distribuisce il payload in directory nascoste sui sistemi Windows, Linux e macOS, rendendolo difficile da rilevare.

Successivamente, il dispositivo viene scansionato alla ricerca di wallet di criptovalute. Se viene rilevato un file di wallet locale, il drainer preleva automaticamente tutti i fondi su un indirizzo preimpostato nella blockchain di Solana. Il meccanismo funziona in modo autonomo e non richiede l’interazione dell’utente, il che rende l’attacco particolarmente efficace.

Di particolare interesse è il fatto che il pacchetto sembra essere stato generato parzialmente o completamente utilizzando il chatbot Claude di Anthropic. Ciò è indicato dai seguenti segnali rivelatori: emoji nei log, commenti eccessivamente dettagliati e ben strutturati nel codice, numerosi messaggi di console intuitivi e un file README formattato nello stile tipico dei template di Claude. Inoltre, le modifiche al codice sono spesso contrassegnate con la parola “Enhanced” (migliorato), un modello di generazione consolidato di Claude.

Secondo gli analisti, l’attacco evidenzia il rischio in rapida crescita dell’utilizzo di reti neurali per creare codice dannoso , e non un codice qualsiasi, bensì accuratamente elaborato, plausibile e spesso apparentemente “utile”. Ciò complica il compito dei team di sicurezza e degli sviluppatori di supporto: una minaccia può camuffarsi da libreria legittima, superare il vaglio e entrare in produzione senza evidenti segni di malevolenza.

L'articolo “Vibe Coding” per il malware! Un pacchetto dannoso creato dalle AI si affaccia su NPM proviene da il blog della sicurezza informatica.

Fermentation is a culinary art where tiny organisms transform simple ingredients into complex flavors — but they’re finicky about temperature. To keep his brewing setup at the perfect conditions, [Ken] engineered the Fermenter, a DIY insulated chamber controlled by Home Assistant for precision and remote monitoring.

The Fermenter build starts with an insulated chamber constructed from thick, rigid foam board, foil tape, weather strips, and a clever use of magnets to secure the front and top panels, allowing quick access to monitor the fermentation process. The chamber is divided into two sections: a larger compartment housing the fermentation vessel and a smaller one containing frozen water bottles. A fan, triggered by the system, circulates cool air from the bottle chamber to regulate temperature when things get too warm.

The electronics are powered by an ESP8266 running ESPHome firmware, which exposes its GPIO pins for seamless integration with Home Assistant, an open-source home automation platform. A DS18B20 temperature sensor provides accurate readings from the fermentation chamber, while a relay controls the fan for cooling. By leveraging Home Assistant, [Ken] can monitor and adjust the Fermenter remotely, with the flexibility to integrate additional devices without rewiring. For instance, he added a heater using a heat mat and a smart outlet that operates independently of the ESP8266 but is still controlled via Home Assistant.

Thanks [Ken] for sending us the tip on this ingenious project he’s been brewing. If you’re using Home Assistant in a unique way, be sure to send in your project for us to share. Don’t forget to check out some of the other Home Assistant projects we’ve published over the years. Like a wind gauge, maybe. Or something Fallout-inspired.

youtube.com/embed/nyE2-FArnkc?…

hackaday.com/2025/08/03/a-diy-…

Da metà luglio, si è registrato un aumento degli attacchi ransomware da parte della cyber gang Akira contro i dispositivi SonicWall. Secondo Arctic Wolf, gli aggressori stanno utilizzando attivamente le connessioni VPN SSL di questi firewall, con il principale sospetto che stiano sfruttando una vulnerabilità zero-day precedentemente sconosciuta.

Akira è emerso nel marzo 2023 e da allora ha attaccato oltre 300 organizzazioni in tutto il mondo. Tra le vittime figurano Nissan (in Australia e Oceania), Hitachi e la Stanford University. Secondo l’FBI , il gruppo ha ricevuto oltre 42 milioni di dollari dalle vittime ad aprile 2024.

Secondo Arctic Wolf Labs, gli attacchi sono iniziati il 15 luglio. In molti casi, l‘accesso non autorizzato è stato registrato tramite la VPN SSL dei dispositivi SonicWall. I ricercatori sottolineano che il metodo esatto di penetrazione iniziale non è stato ancora determinato. Sebbene la versione con vulnerabilità zero-day sembri la più probabile, non si possono escludere completamente scenari con credenziali compromesse (attacchi brute-force, attacchi a dizionario e attacchi di massa).

Una volta ottenuto l’accesso, gli aggressori hanno rapidamente crittografato i dati, un modello coerente con gli attacchi monitorati dall’ottobre 2024. Tutto indica una campagna mirata e a lungo termine contro SonicWall. Gli aggressori stanno seguendo uno schema consolidato: distruggere definitivamente i backup, lasciando le vittime senza possibilità di recuperarli.

Si noti inoltre che questi attacchi utilizzano un metodo atipico di accesso VPN: invece dei tradizionali provider di comunicazione, gli aggressori si connettono tramite piattaforme di hosting. Questo consente di distinguere il traffico dannoso da quello legittimo.

L’indagine è in corso, ma si consiglia agli amministratori di SonicWall di disattivare temporaneamente la VPN SSL, abilitare la registrazione avanzata, abilitare il monitoraggio delle attività degli endpoint e bloccare l’accesso alla VPN dagli indirizzi IP di hosting finché non saranno disponibili le patch.

Questa raccomandazione è stata pubblicata una settimana dopo un avviso di SonicWall stessa, che richiedeva un aggiornamento urgente dei dispositivi della serie SMA 100. Riguardava la vulnerabilità critica CVE-2025-40599, che consente l’esecuzione di codice arbitrario su dispositivi non protetti con diritti di amministratore.

Sebbene non vi siano dati di utilizzo attivo di questa vulnerabilità, l’azienda sottolinea che i dispositivi sono già coinvolti in attacchi che utilizzano login e password rubati, anche per l’installazione del nuovo rootkit OVERSTEP scoperto dai ricercatori del Google Threat Intelligence Group.

SonicWall ha inoltre raccomandato vivamente agli amministratori delle versioni virtuali e fisiche di SMA 100 di esaminare i registri delle attività, cercare indicatori di compromissione e contattare immediatamente l’assistenza se rilevano segnali di violazione.

L'articolo Akira ransomware prende di mira i dispositivi SonicWall con un bug 0day proviene da il blog della sicurezza informatica.

Gli specialisti di Kaspersky Lab hanno scoperto una nuova backdoor e si chiama GhostContainer, basata su strumenti open source. I ricercatori ritengono che la comparsa di questo malware possa essere parte di una sofisticata campagna mirata rivolta a grandi organizzazioni in Asia, comprese le imprese high-tech. Presumibilmente, l’obiettivo degli aggressori è lo spionaggio informatico.

Il malware è stato scoperto in risposta a un incidente che ha coinvolto attacchi all’infrastruttura di Exchange nel settore pubblico. I ricercatori si sono concentrati sul file App_Web_Container_1.dll, che si è rivelato essere una backdoor multifunzionale complessa basata su diversi progetti open source. Il malware è in grado di espandersi dinamicamente e di acquisire nuove funzionalità caricando moduli aggiuntivi.

L’installazione di una backdoor conferisce agli aggressori il pieno controllo del server Exchange, aprendo numerose opportunità per ulteriori attività dannose. Il malware utilizza diversi metodi per eludere il rilevamento e si maschera da componente server per confondersi con le operazioni standard.

La backdoor può fungere da server proxy o tunnel, il che, secondo gli esperti, espone l’intera rete interna dell’azienda a minacce esterne e crea anche il rischio di fuga di dati riservati.

“La nostra ricerca ha dimostrato che gli aggressori sono tecnicamente molto competenti: comprendono le vulnerabilità dei sistemi Exchange e sono in grado di creare e migliorare strumenti complessi per lo spionaggio basati su codice pubblicamente disponibile”.

Inoltre Kaspersky ha aggiunto “Sebbene i primi incidenti siano stati registrati in Asia, esiste la possibilità che gli aggressori possano utilizzare il malware scoperto in altre regioni. Sebbene al momento non ci siano informazioni sufficienti per attribuire GhostContainer a un gruppo noto, continueremo a monitorare l’attività della backdoor per comprendere meglio il panorama delle minacce informatiche”, commenta Sergey Lozhkin, responsabile del GReAT per le regioni APAC e META.

L'articolo Scoperta la nuova backdoor GhostContainer che minaccia le istanze Exchange delle aziende asiatiche proviene da il blog della sicurezza informatica.

SoftBank ha annunciato che la sperimentazione di stazioni base 4G e 5G installate su dirigibili inizierà in Giappone nel 2026. I dirigibili solleveranno le apparecchiature a un’altezza di 20 km, nella stratosfera, dove non ci sono praticamente venti forti. Una piattaforma ad alta quota di questo tipo fornirà una connessione diretta ai normali smartphone e promette una latenza dimezzata rispetto al sistema satellitare Starlink. Il funzionamento delle piattaforme stratosferiche sarà più economico.

La giapponese SoftBank si affida agli sviluppi della startup americana Sceye di Moriarty, nel New Mexico. L’accordo di cooperazione è stato firmato nel 2020. Nell’ottobre 2023, il team congiunto di Sceye e SoftBank ha effettuato la prima chiamata internazionale annunciata pubblicamente al mondo dal Ruanda a Tokyo utilizzando una piattaforma cellulare stratosferica.

Tale piattaforma, oltre alle apparecchiature ricetrasmittenti, è dotata di potenti batterie e pannelli solari flessibili che ricoprono l’involucro esterno del dirigibile. Grazie alle batterie e alle celle solari, il velivolo, più leggero dell’aria, può rimanere in quota fino a un anno, rimanendo in posizione grazie all’ausilio di motori elettrici.

SoftBank non ha ancora deciso se le comunicazioni cellulari ad alta quota saranno utilizzate in modo permanente in aree scarsamente popolate o se le piattaforme saranno attivate in caso di necessità, ad esempio in caso di emergenze e calamità naturali. Un’operazione di prova prevista per il 2026 consentirà calcoli più precisi e una decisione informata.

L’azienda sottolinea che le piattaforme ad alta quota non sono solo ripetitori. Per l’utente, connettersi alla “torre” del dirigibile sarà impercettibile come passare da una stazione base a terra all’altra durante gli spostamenti. Ciò è stato possibile, in parte, grazie alla decisione dell’Unione Internazionale delle Telecomunicazioni, che nel 2023 ha assegnato alle piattaforme stratosferiche una gamma di frequenze da 700 MHz a 2,6 GHz, un ordine di grandezza inferiore rispetto a prima. Ciò ha reso possibile la connessione diretta dei comuni smartphone a tali stazioni, cambiando di fatto le regole del gioco in questo mercato emergente.

Allo stesso tempo, SoftBank non nasconde il fatto che i dirigibili come piattaforma sono tutt’altro che perfetti. La struttura stessa rappresenta il 30% della massa, mentre un altro 30% è costituito dalle apparecchiature energetiche. Rimangono solo circa 250 kg per il carico utile. Ciononostante, una di queste stazioni stratosferiche può sostituire fino a 25 torri di terra, il che rende il progetto economicamente promettente.

Inoltre, SoftBank sta anche sviluppando piattaforme ad alta quota su veicoli più pesanti dell’aria con un’ala rigida, che promette di presentare in seguito. Ognuna delle piattaforme occuperà la sua nicchia e sarà in grado di competere con i satelliti orbitali in una serie di compiti.

L'articolo SoftBank lancia le stazioni radio base 4G e 5G su dirigibili nella stratosfera proviene da il blog della sicurezza informatica.

When Beyblades first came out a couple of decades ago, they quickly became a fad across Japan and several Western countries. There was a whole ecosystem of parts that you could buy and use to build competitive fighting spinning tops. These days, though — 3D printers are ubiquitous. There’s very little stopping you from printing whatever Beyblade-compatible parts your heart desires, as [JettKuso] demonstrates.

For [JettKuso], the rubber attack tips were a personal favorite. They had high grip on the plastic arena floor and would allow a top to make rapid, aggressive moves that would knock other tops out of the arena. Not desiring to import specific Beyblade parts at great expense, he decided to print some rubber tips and associated parts instead. The result? Squishy Beyblades!

[JettKuso] built various tops with official and custom TPU parts, and put them in battles to see what worked and what didn’t. In many cases, the TPU replacement parts didn’t make a big difference or proved worse than the standard parts. However, when [JettKuso] got crazy, he found one thing that kind of worked. A mega-heavy TPU top blade, which weighed as much as the standard metal rings, was able to successfully win battles against less competitive standard builds.

Ultimately, the video serves as a testament to the developers of the original toys themselves. It’s not so simple to just print up some parts and have them be competitive with the tried-and-tested gear that comes off the store shelves. The experience ultimately gave [JettKuso] a greater appreciation for all the thought that went into the commercial toys. Video after the break.

youtube.com/embed/2X2Xjc4tsfI?…

hackaday.com/2025/08/02/squish…

Sometimes, brilliant perspectives need a bit of an introduction first, and this is clearly one. This video essay by [Cleggy] delivers what it promises: an ode to the aesthetic of light. But he goes further, materializing his way of viewing things into a beautiful physical build — and the full explanation of how to do it at home.

What’s outstanding here is not just the visual result, but the path to it. We’ve covered tons of different LED matrices, and while they’re all functional, their eventual purpose is left up to the builder, like coasters or earknobs. [Cleggy] provides both. He captured a vision in the streets and then built an LED matrix from scratch.

The matrix consists of 1024 hand-soldered diodes. They’re driven by a Raspberry Pi Pico and a symphony of square waves. It’s not exactly a WS2812 plug-and-play job. It’s engineered from the silicon up, with D-latches and demultiplexers orchestrating a mesmerizing grayscale visual.

Pulse-width modulation (PWM) is the secret ingredient of this hack. [Cleggy] dims each white pixel separately, by varying the duty cycle of its light signal. The grayscale video data, compressed into CSV files, is parsed line-by-line by the Pico, translating intensity values into shimmering time slices.

It transforms the way you see and perceive things. All that, with a 1000 LED monochrome display. Light shows are all highly personal, and each one is a little different. Some of them are really kid stuff.

youtube.com/embed/cWpT_prTC54?…

hackaday.com/2025/08/02/an-ode…

Learning Morse Code is no longer a requirement for HAMs in many jurisdictions, but it’s still a nice skill to have. [I_void(warranties)] wanted to learn, but couldn’t find a trainer that fit his style. What to do but build it yourself? Since we’re in the midst of a challenge, he took up the gauntlet and turned his need to learn Morse into a 1 hertz Morse code game.

In concept it is quite simple: a message beeps out in Morse, with a corresponding LED flash, all in one second. The player then has one second to type think they heard. Get it done fast enough, and a character LCD will tell you if you scored.

The project is based around an Arduino Nano; thanks to easily-available libraries, a PS/2 keyboard can serve as input and a 2×16 LCD as feedback with no real effort expended. For the audible component of the Morse challenge, an 8-ohm speaker is driven right off a pin on the Arduino. We won’t claim this efficient design only took one second to put together, but it probably didn’t take too long.

Of course this trainer, unlike some we’ve seen, only helps you learn to listen to the stream of dots and dashes. None of the others ever tried to fit a One Hertz theme, or [I_void(warranties)]’s particular learning style. For some, decoupling send and receive might be just the ticket to finally learning Morse one second at a time.

hackaday.com/2025/08/02/2025-o…

The key to Short Takeoff and Landing (STOL) operations is the ability to fly slow– really slow. That’s how you get up fast without a long takeoff roll to build up speed. Usually, this involves layers of large flaps and/or leading edge slots, but [rctestflight] on YouTube decided he wanted to take a more active approach with a fully blown wing.

The airplane in question is R/C, of course, and good thing: these wings would be a safety nightmare for a manned aircraft. With a blown wing, air is blown out of a slot on the top end of the wing, producing a high-speed, high-pressure zone that keeps the wing flying when it would otherwise be completely stalled out. As long as everything works, that’s great! If an engine fails, well, suddenly you aren’t flying anymore — and you’re going too slow to glide. It ends badly.

[rctestflight] doesn’t have to worry about that, though, because this foamboard and pink styro R/C aircraft carries nothing that can’t survive a crash. (A couple of electric ducted fans (EDCs), an Ardupilot, a radio, and a battery are all pretty shock-resistant.) The EDCs sit midway down the chord of the wings, and blow air into a plenum carved into the foam. On each wing, the exhaust from the fans is driven rearward from a slot created by a piece of carbon fiber. This air serves not only as a lift-enhancement but also as the plane’s sole propulsion and a component of its control system.

Propulsion makes sense: all that air washing back of the wing was bound to create thrust, but control? Well, if you run the EDCs at different speeds, you’re going to create a different amount of thrust on each side of the aircraft. Differential thrust on a twin-engined aircraft can usually control yaw, but on this plane, it will also speak to pitch as the wing with more thrust will experience greater lift, causing that wing to rise and forcing the other to drop. It’s an interesting control scheme, but ultimately [rctestflight] decided he did not trust it enough not to add in ailerons.

The blown wing does work, however, with the plane having a very, very impressively short takeoff distance– doubly so for a seaplane. We shouldn’t be surprised, though. [rctestflight] has been at this a long time; we’ve seen everything from human-carrying hydrofoils to a series of solar soarers, to a 3D-printed rover-tank from the prolific YouTuber.

We still wouldn’t ride in it, though.

youtube.com/embed/o6FMjOl0TRA?…

hackaday.com/2025/08/02/this-p…

We’re saddened to report the passing of Shunsaku Tamiya, the man behind the Tamiya line of models. What was surprising about this, though, is how many of our readers and writers alike felt touched by the Tamiya model company. I mean, they made great models, and they’re definitely a quality outfit, but the outpouring of fond memories across a broad spectrum was striking.

For example, we originally ran the story as breaking news, but our art director Joe Kim spent a good part of his childhood putting together Tamiya kits, and felt like he absolutely had to do a portrait of Mr. Tamiya to pay his respects. I presume Joe is more on the painting-the-models end of the spectrum of Tamiya customers, given his artistic bent. Jenny’s writeup is absolutely touching, and her fond remembrances of the kits shines through her writing.

Myself, I’m on the making-small-robots end of the spectrum, and was equally well served. Back in the early ’90s, the “twin motor gearbox” was a moderately challenging and tremendously rewarding build for me, but it was also the only variable-ratio small motor gearbox that we had easy access to for making small bots to run around the living room.

Indeed, the Tamiya line included a whole series of educational models and components that were just perfect for the budding robot builder. I’m sure I have a set of their tank treads or a slip clutch in a box somewhere, even today.

It’s nice to think of how many people’s lives were touched by their kits, and to get even a small glimpse of that, you just need to read our comment section. We hope the company holds on to Mr. Tamiya’s love for quality kits that inspire future generations, whether they end up becoming artists, engineers, or simply hackers.

This article is part of the Hackaday.com newsletter, delivered every seven days for each of the last 200+ weeks. It also includes our favorite articles from the last seven days that you can see on the web version of the newsletter. Want this type of article to hit your inbox every Friday morning? You should sign up!

hackaday.com/2025/08/02/thanks…

Nel panorama sempre più affollato dei robot umanoidi, il nuovo Unitree R1 ha fatto notizia non solo per le sue capacità acrobatiche, ma soprattutto per un prezzo che rompe gli schemi: circa 5.900 dollari (circa 5.500 euro). Un costo sorprendente se pensiamo che i modelli precedenti – come il G1 della stessa Unitree – arrivavano a sfiorare i 99.000 yuan (oltre 12.000 euro).

Ma cosa può fare davvero il R1? E possiamo immaginarlo davvero come assistente domestico?

youtube.com/embed/bxa93wSbtDQ?…

Tecnologia e caratteristiche

R1 è alto circa 1,21 metri, pesa 25 kg e ha ben 26 gradi di libertà che gli permettono movimenti complessi e fluidi: capriole, pugni, calci rotanti, perfino verticali. Il tutto grazie a una combinazione di motori ad alta coppia, giunti avanzati e un modulo di intelligenza artificiale capace di riconoscere voce, immagini e rispondere ai comandi.

Integra:

• Telecamera binoculare per la visione 3D
• Microfoni e altoparlanti stereo
• Connettività Wi‑Fi 6 e Bluetooth 5.2
• Batteria rimovibile che garantisce circa 1 ora di autonomia

E nelle faccende di casa?

Qui arriva la (parziale) delusione:

• La versione base del R1 non ha mani funzionanti; può muovere le braccia, ma non afferrare o manipolare oggetti.
• L’autonomia ridotta e la necessità di script o comandi manuali rendono complesso pensare a un robot che lavi i piatti o passi l’aspirapolvere.

Chi vuole davvero provare a trasformarlo in un aiuto domestico deve guardare alla versione EDU, dotata di mani tattili e modulo di calcolo più potente, ma a un prezzo più alto.

A cosa serve davvero oggi?

Il R1 non è (ancora) il maggiordomo robotico che sogniamo, ma ha un potenziale enorme:

• Robotica educativa e ricerca
• Sperimentazione di IA e algoritmi di percezione e movimento
• Dimostrazioni ed eventi (immaginate un robot che fa parkour dal vivo)
• Sviluppo di applicazioni custom per aziende o università

Perché è importante

Il vero punto forte del R1 è il prezzo: meno di 6.000 dollari significano che startup, ricercatori e maker possono finalmente mettere le mani su un umanoide programmabile, senza dover investire cifre a sei zeri.

In più, Unitree ha dimostrato che è possibile progettare robot complessi con costi relativamente accessibili, accelerando una corsa che potrebbe trasformare profondamente mercati come:

• la formazione tecnica e universitaria
• l’intrattenimento live e digitale
• l’industria e la robotica collaborativa

Conclusione

Il Unitree R1 oggi è più performer da palco che domestico. Ma, se guardiamo alla velocità con cui l’azienda cinese sta migliorando design e prezzi, possiamo immaginare un futuro non troppo lontano in cui avere un robot umanoide in casa non sarà più fantascienza, ma una realtà accessibile.

Per ora, chi vorrà provare a farlo cucinare o pulire dovrà armarsi di pazienza, tanto codice… e probabilmente qualche upgrade hardware.

L'articolo Costa 5 iPhone, salta, tira pugni ma ancora non lava i piatti. R1, il robot cinese che sta sconvolgendo il web proviene da il blog della sicurezza informatica.

La Cyberspace Administration of China (CAC) ha espresso preoccupazione per la recente proposta degli Stati Uniti di integrare funzionalità di tracciamento e localizzazione nei chip avanzati destinati all’esportazione. Questa misura potrebbe compromettere le prospettive di vendita di Nvidia nel mercato cinese, proprio poche settimane dopo la revoca del divieto statunitense all’esportazione dei chip H20 dell’azienda.

In un comunicato diffuso giovedì, la CAC ha reso noto di aver convocato Nvidia per chiarire se il chip H20 contenesse potenziali rischi di sicurezza, in particolare la presenza di una “backdoor”: un meccanismo nascosto in grado di aggirare le normali misure di autenticazione o sicurezza, aprendo la strada a possibili accessi non autorizzati. Nvidia, dal canto suo, ha negato categoricamente ogni rischio. Un portavoce dell’azienda ha dichiarato:

“La sicurezza informatica è di fondamentale importanza per noi. Nei chip Nvidia non sono presenti meccanismi di backdoor a cui altri possano accedere o che possano controllare da remoto”.

Questa vicenda si inserisce in un contesto di tensioni crescenti nella guerra tecnologica tra Stati Uniti e Cina. La revoca del divieto all’esportazione dell’H20 – imposto ad aprile – è arrivata dopo che Nvidia aveva progettato questo chip appositamente per il mercato cinese, cercando di aggirare le restrizioni introdotte dagli Stati Uniti alla fine del 2023 sui chip AI più avanzati.

All’inizio del mese, il CEO di Nvidia, ha compiuto una visita ufficiale in Cina, partecipando a numerosi eventi pubblici e incontrando funzionari governativi. Durante il viaggio, Huang ha ribadito l’impegno dell’azienda per sostenere lo sviluppo dell’intelligenza artificiale nel Paese, cercando di consolidare il rapporto con Pechino.

Una domanda che resta forte

Secondo Charlie Chai, analista presso la società di ricerca tecnologica 86Research, l’iniziativa della Cina avrebbe più un significato simbolico che pratico:

“Non crediamo che la Cina imporrà vincoli così severi da compromettere realmente l’operatività di Nvidia. La carenza di alternative fa sì che la Cina abbia ancora bisogno dei chip Nvidia per alimentare la ricerca scientifica e lo sviluppo tecnologico”.

Oltre alle aziende private, i chip Nvidia risultano fondamentali anche per istituti di ricerca statali, università e persino enti militari. Stando a quanto riportato da Reuters, la scorsa settimana Nvidia avrebbe ordinato 300.000 chip H20 alla propria fonderia partner, la Taiwan Semiconductor Manufacturing Co. (TSMC), per rispondere alla forte domanda del mercato cinese.

L'articolo Allarme Backdoor! La Cina preoccupata di possibili interferenze tramite i chip Nvidia proviene da il blog della sicurezza informatica.

When your GPU fan goes rogue with an unholy screech, you either shell out for a new one or you go full hacker mode. Well, [ashafq] did the latter. The result is a delightfully nerdy fan controller powered by an ATTiny85 and governed by a DS18B20 temperature sensor. We all know a silent workstation is golden, and there’s no fun in throwing money at an off-the-shelf solution. [ashafq]’s custom build transforms a whiny Radeon RX 550 into a cool, quiet operator. Best of all: it’s built from bits likely already in your junk drawer.

To challenge himself a bit, [ashafq] rolled his own temperature-triggered PWM logic using 1-wire protocol on an ATtiny85, all without libraries or bloated firmware. The fan’s speed only ramps up when the GPU gets toasty, just like it should. It’s efficient and clever, and that makes it a fine hack. The entire system runs off a scavenged 12V fan. He could have used a 3D printer, but decided to stick onto the card with double-sided tape. McGyver would approve.

The results don’t lie: idle temps at 40 °C, load peaking at 60 °C. Quieter than stock, smarter than stock, and way cheaper too. The double-sided tape may not last, but that leaves room for improvement. In case you want to start on it yourself, read the full write-up and feel inspired to build your own. Hackaday.io is ready for the documentation of your take on it.

Modifying fans is a tradition around here. Does it always take a processor? Nope.

hackaday.com/2025/08/02/an-att…

Dopo due anni di piccole modifiche alle funzionalità di intelligenza artificiale del browser Edge, recentemente Microsoft ha aggiunto la modalità Copilot al browser Edge, entrando ufficialmente nel mercato dei browser con intelligenza artificiale.

Nello specifico, la funzione AI nel browser Edge non è più solo una barra laterale di chat come in precedenza. La nuova modalità Copilot consente all’AI di leggere e comprendere il contenuto delle pagine web, ad esempio aiutando a interpretare una pagina di documentazione tecnica o a fornire una panoramica di visualizzazione per un video di YouTube.

Può anche navigare contemporaneamente su tutte le pagine web aperte e, quando hai difficoltà a passare da una pagina all’altra di un prodotto o di un hotel, può aiutarti a creare una tabella di confronto per aiutarti a prendere una decisione. Microsoft ha anche aggiunto funzionalità di chat vocale, che ti consentono di comprendere le pagine web e di comunicare con l’intelligenza artificiale in tempo reale.

Queste funzionalità potrebbero sembrare simili a quelle dei browser AI attualmente sul mercato, ma il CEO di Microsoft Satya Nadella le ha elogiate molto, affermando: “Questo è il primo passo per ridefinire il browser per l’era dell’intelligenza artificiale”.

Questa funzionalità è attualmente in fase sperimentale e Microsoft afferma che aggiungerà gradualmente nuove funzionalità alla modalità Copilot. Un’altra implicazione di questa sperimentazione è che la modalità Copilot è attualmente “gratuita per un periodo di tempo limitato”. Considerando che Copilot si basa ancora sui modelli di base di OpenAI, ciò significa che è possibile utilizzare gratuitamente molte delle funzionalità a pagamento di ChatGPT.

Ad esempio, è possibile utilizzare la funzionalità a pagamento DeepResearch di ChatGPT in modalità Copilot. Nadella ha anche rivelato che lancerà una funzionalità di task agent, che consentirà agli utenti di delegare attività a Copilot durante la navigazione sul web. Un imprenditore nel campo dell’intelligenza artificiale l’ha definita un’alternativa gratuita a ChatGPT Agent. ChatGPT Agent è attualmente disponibile solo per gli utenti Plus e superiori, con una quota mensile minima di 20 dollari.

Questa è probabilmente la maggiore attrattiva di Edge rispetto ad altri browser basati su intelligenza artificiale. Prima che OpenAI lanci ufficialmente il proprio browser, è possibile utilizzare la versione alternativa di ChatGPT in Edge, il che fornisce a Sam Altman un’ulteriore scusa per lasciare Microsoft.

L'articolo Microsoft Edge lancia la modalità Copilot seguendo quanto fatto da Chrome proviene da il blog della sicurezza informatica.

L’intelligenza artificiale sta diventando sempre più un assistente per i programmatori, ma uno studio di Veracode ha dimostrato che la praticità comporta un rischio per la sicurezza. Un’analisi di 100 modelli linguistici principali (LLM) ha rivelato uno schema allarmante: in quasi la metà dei casi, i modelli generano codice vulnerabile.

Secondo un rapporto di Veracode, il 45% del codice generato dalle attività conteneva vulnerabilità note. E questo vale anche per i modelli più nuovi e potenti. La situazione non è cambiata molto negli ultimi due anni, nonostante il progresso tecnologico.

Sono stati condotti test su 80 task in quattro linguaggi di programmazione: Java, JavaScript, C# e Python. Sono state verificate le vulnerabilità più comuni: SQL injection, XSS, log injection e utilizzo di crittografia non sicura.

Java ha mostrato i risultati peggiori: solo il 28,5% delle soluzioni era sicuro. I migliori sono stati Python (61,7%) e JavaScript (57%). Gli sviluppatori attribuiscono questo risultato alla qualità dei dati di training: Java era spesso utilizzato prima dello studio attivo delle SQL injection e i modelli erano in grado di “imparare” i cattivi esempi.

Gli LLM sono particolarmente scarsi nel gestire XSS e log injection, con un punteggio di superamento non superiore al 13%. La situazione è migliore con SQL injection ed errori crittografici, con un livello di sicurezza del codice che raggiunge l’80-85%.

La dimensione del modello non ha praticamente alcun effetto sul risultato. Anche i modelli LLM con più di 100 miliardi di parametri mostrano lo stesso tasso di successo del 50% dei modelli più piccoli con meno di 20 miliardi.

I ricercatori sottolineano che gli LLM generalmente non sono efficaci nel sanificare i dati di input, soprattutto senza contesto. Il problema è aggravato dal fatto che la maggior parte dei modelli è stata addestrata su codice disponibile pubblicamente su GitHub e altri siti, che spesso contengono esempi non sicuri, a volte anche intenzionalmente, come in progetti educativi come WebGoat.

Veracode avverte che le aziende che stanno già implementando l’intelligenza artificiale nella fase di sviluppo, sia tramite piattaforme open source, appaltatori o low-code, potrebbero aumentare inconsapevolmente il rischio di violazioni dei dati e attacchi.

Il CEO di Val Town, Steve Kraus, chiama questo codice “vibe code” nel suo blog: è instabile, si rompe continuamente e richiede molto debug. Secondo lui, il “vibe coding” crea debito tecnico alla stessa velocità con cui l’intelligenza artificiale genera righe di codice. Può andare bene per i prototipi, ma non per progetti seri.

L'articolo Vibe Coding fuori controllo. L’IA Genera codice vulnerabile, ma tutti se ne fregano proviene da il blog della sicurezza informatica.

[Arkandas] had a problem. They liked reading in bed, but their bedroom lamps weren’t cutting it—either too bright and direct, or too dim and diffuse. The solution was custom lighting, and a new project began.

The concept was simple—build a custom controller for a set of addressable LED lighting strips that would be installed in the bedroom. Specifically, in the headboard of the bed, providing controllable light directly where it was needed. The strips themselves were installed in aluminum channel with plastic diffusers to give a nice smooth light. [Arkandas] then tasked an ESP32 to control the strips, using the FastLED library to work with WS2812B LEDs, and also the Adafruit NeoPixel library for using SK6812 LEDs and their extra white channel. The ESP32 was set up to provide a web interface for direct control over the local network. [Arkandas] also made good use of the FauxmoESP library to enable the device to be controlled via Amazon Alexa, which fit nicely into their existing smarthome setup. Files are on Github for the curious.

The final build works well, creating a soft light in the habitable area of the bed that can also be readily controlled via voice commands or via web. We’ve seen the ESP32 do other great feats in this arena before, too, albeit of the more colorful variety. Meanwhile, if you’re cooking up your own smart lighting solutions, don’t hesitate to tell the tipsline!

hackaday.com/2025/08/02/custom…

Google ha iniziato a indicizzare le conversazioni di ChatGPT che gli utenti condividono tramite il pulsante “Share“. Il problema è venuto alla luce per la prima volta grazie a un’inchiesta giornalistica di Fast Company, che ha rivelato – attraverso l’utilizzo delle Google Dorks – che nei risultati di ricerca di Google apparivano circa 4.500 conversazioni ChatGPT.

A prima vista (come riporta un post su linkedin di Jean Bonnenfant), per molti questa novità suona come un incubo per la privacy: le proprie domande, riflessioni o perfino idee di business rischiano di diventare pubbliche e ritrovarsi visibili nei risultati di ricerca. Tuttavia, guardando più in profondità, questa mossa potrebbe trasformarsi in una rivoluzione per il mondo del digital marketing, offrendo opportunità senza precedenti in ottica SEO e content marketing.

Chiunque abbia mai lavorato nel marketing digitale conosce l’importanza della search intent: capire cosa cercano davvero gli utenti, quali problemi vogliono risolvere e quali domande si pongono. Fino a ieri, per scoprirlo si utilizzavano strumenti di keyword research, forum, social media e interviste dirette.

Ora, grazie a questa indicizzazione, basta cercare su Google usando la formula site:chatgpt.com/share seguita da una parola chiave per scoprire le domande reali che le persone stanno ponendo a un’intelligenza artificiale su un determinato tema.

Questo è un vero e proprio tesoro nascosto di ricerche di mercato gratuite: centinaia, migliaia o addirittura milioni di conversazioni che rivelano dubbi, paure e curiosità del pubblico. È come accedere direttamente alla parte più spontanea e intima dei processi di ricerca, senza filtri e senza la timidezza che talvolta blocca gli utenti sui social o nei forum pubblici.

Ma non finisce qui. Per chi crea contenuti, queste conversazioni sono una miniera d’oro: domande che nessuno ha ancora trattato, problemi troppo specifici per emergere dai tradizionali tool SEO, o curiosità che le persone non osano chiedere apertamente in pubblico. Tutto questo materiale può diventare fonte di articoli, video, podcast e post social estremamente mirati e utili per il proprio pubblico.

In pratica, si sta creando una sorta di database pubblico di conversazioni AI-utente: un nuovo tipo di contenuto generato dagli utenti (UGC) che racconta in modo diretto le esigenze reali delle persone. Le aziende e i brand che sapranno sfruttare per primi questa risorsa potranno ottenere un vantaggio competitivo notevole, anticipando trend, rispondendo a domande non ancora coperte e intercettando nuovi segmenti di pubblico.

Naturalmente, resta il tema della privacy: molti non si rendono conto che, condividendo una conversazione, questa diventa potenzialmente pubblica e indicizzabile. La buona notizia è che OpenAI offre un’opzione per disattivare questa condivisione pubblica semplicemente deselezionando la casella “Share” al momento della condivisione. In ogni caso, questo cambiamento segna l’inizio di una nuova era per il content marketing, dove la voce autentica delle persone che dialogano con l’IA diventa parte integrante del web che tutti possiamo esplorare.

L'articolo Le Chat con ChatGPT condivise su Google! Minaccia per la privacy o opportunità SEO? proviene da il blog della sicurezza informatica.

La senatrice Segre parlando di quanto sta facendo Israele ai palestinesi usa termini forti, "abominio", "disumanità", "squadrismo" non fa certo sconti, ma il genocidio ancora non lo vede, oppure lo vede ma ancora non riesce a denunciarlo.

È una persona che ha attraversato l'inferno scalza e probabilmente dopo averlo fatto risulta troppo difficile ammettere che quell'inferno è ancora lì e che adesso ad alimentarne il fuoco sono "i salvati", il gruppo di cui ci siamo sentiti parte per una vita intera.

Usare il termine "genocidio" per lei è troppo ma quello che dice a me basta.

Credo siano altri quelli a cui dobbiamo chiedere conto delle loro reticenze.

rainews.it/articoli/2025/08/ga…

Gaza, Segre sull'ammonimento di Grossman: “La parola genocidio è troppo carica di odio”

La senatrice a vita ha commentato le parole dello scrittore israeliano: “Per anni ho rifiutato di utilizzare questa parola ('genocidio'). Adesso non posso trattenermi dall'usarla”

^{Redazione di Rainews (RaiNews)}

Il presidente russo Vladimir Putin ha firmato una legge che stabilisce la responsabilità amministrativa per i proprietari di servizi VPN e introduce multe per chi cerca deliberatamente e ottiene l’accesso a materiale estremista.

La scorsa settimana, il disegno di legge n. 755710-8 è stato esaminato dalla Duma di Stato della Federazione Russa in terza lettura e approvato dal Consiglio della Federazione. Ora il testo del documento è pubblicato sul portale ufficiale di informazione giuridica. Gli emendamenti entreranno in vigore il 1° settembre 2025.

A metà luglio si è saputo che sono state proposte modifiche al Codice della Federazione Russa sui reati amministrativi, prevedendo, in particolare, multe per chi “cerca deliberatamente” materiali palesemente estremisti su Internet e vi accede.

Il nuovo articolo 13.53 del Codice degli illeciti amministrativi della Federazione Russa prevede una multa per i cittadini da 3.000 a 5.000 rubli (circa 50 euro), che può essere ricevuta per la ricerca di materiali palesemente estremisti su Internet e per avervi accesso, “compreso l’utilizzo di software e hardware per l’accesso a risorse informative, reti di informazione e telecomunicazioni, il cui accesso è limitato”.

Si tratta di 5.500 materiali estremisti inseriti nell’elenco pubblicato dal Ministero della Giustizia o specificati nel comma 3 dell’articolo 1 “Sul contrasto alle attività estremiste”.

Un altro nuovo articolo, l’articolo 13.52 del Codice degli illeciti amministrativi della Federazione Russa (violazione della procedura per l’utilizzo di software e hardware per l’accesso a risorse informatiche, reti informatiche e di telecomunicazione, il cui accesso è limitato, sul territorio della Federazione Russa) prevede sanzioni pecuniarie per i proprietari di software e hardware che accedono a tali risorse. Questa definizione include sia le VPN sia altri mezzi per aggirare i blocchi.

Fornire accesso a risorse proibite comporterà una sanzione amministrativa per i cittadini pari a 50.000-80.000 (800 euro) rubli, per i funzionari da 80.000 a 150.000 (1500 euro) rubli, per le persone giuridiche da 200.000 a 500.000 (5000 euro) rubli.

Inoltre, è stato proposto di integrare l’articolo 14.3 del Codice degli illeciti amministrativi della Federazione Russa (violazione della legislazione sulla pubblicità) con una disposizione in base alla quale ai cittadini verrà imposta una multa da 50.000 a 80.000 rubli per la distribuzione di pubblicità per l’accesso software e hardware a risorse informative con accesso limitato (per i funzionari, la multa sarà da 80.000 a 150.000 rubli e per le persone giuridiche, da 200.000 a 500.000 rubli).

Il disegno di legge e i relativi emendamenti hanno suscitato aspre critiche anche da parte di deputati e personalità pubbliche. Va notato che la scorsa settimana il capo del Ministero dello sviluppo digitale, Maksut Shadayev, ha assicurato a Vladimir Putin che gli utenti comuni non hanno nulla di cui preoccuparsi: le forze dell’ordine dovranno dimostrare che la persona stava intenzionalmente cercando informazioni proibite.

L'articolo La Russia introduce multe per l’accesso a materiale estremista tramite VPN proviene da il blog della sicurezza informatica.