reshared this
La regolamentazione UE non salverà i social network aperti. La newsletter di Laurens Hof (e Threads non ha più senso di esistere)
La Commissione europea ha deciso di non estendere le norme di interoperabilità del Digital Markets Act ai social media, precludendo così una potenziale via di adozione per i social network aperti.
connectedplaces.online/reports…
The European Commission has decided not to extend the Digital Markets Act's interoperability rules to social media, closing off a potential pathway for adoption for open social networks.Laurens Hof (connectedplaces.online)
dflemstr likes this.
reshared this
reshared this
♥️Un giudice federale blocca le sanzioni statunitensi contro Francesca Albanese, direttrice generale delle Nazioni Unite♥️
Il giudice distrettuale statunitense Richard Leon di Washington ha affermato che l'amministrazione Trump ha cercato di regolamentare la libertà di parola di Francesca Albanese a causa dell'"idea o del messaggio espresso".
x.com/i/status/205467873812667…
@news
BREAKING! US court ha suspended the US sanctions against me!As the judge says: "Protecting the Freedom of speech is always just the public interest".Francesca Albanese, UN Special Rapporteur oPt (X (formerly Twitter))
like this
reshared this
Sono talmente sfigato che del telefono non si è rotto nemmeno lo schermo ma direttamente, passatemi il termine da ignorante ,"sotto lo schermo" con due belle crepe dopo aver messo una pellicola nuova in modo impeccabile uguale all'altra che avevo prima che era tutta distrutta che con quella, nemmeno buttando il telefono per terra, si era mai rotto lo schermo.
Il telefono non ha adb/debug attivo di sicuro perché lo so ma ha un backup su seedvault di cui ho letteralmente smontato la camera di brutto per trovare le "12 words" per decriptarlo cercando in ogni possibile zona che ovviamente non ho trovato sennò non sarei qui visto che avevo backuppato tutto lì e avrei risolto.
Per due giorni non sono nemmeno riuscito ad accedere all'email (ora si) e attualmente sono riuscito ad accedere solo al server (con i miei dati di login) di nextcloud su cui ho alcuni dati tra cui seedvault in cloud (quello che dicevo prima) e anche le mie note di joplin che ho recuperato tutte.
Pure l'esim è ancora sul pixel rotto e non ho un telefono su cui metterla ma ho per fortuna un altro telefono (un dumbphone, il doov r77) con una sim a parte ma ovviamente avevo pure appena fatto la ricarica del telefono rotto principale due volte per sbaglio e se non la trasformo in sim normale perdo quei 20 euro di credito e avendo pochi soldi preferirei non spendere nulla (ho iliad e per trasformarla in sim fisica ci vuole quasi un mese in uno di quei "bidoni" di iliad che creano assai problemi a farlo ma non sto a dire tutto anche perché l'ho già fatto nel 2024 e so che problemi potrebbero creare, se volete chiedete).
Il pixel ha già due anni e mezzo e una cassa audio morta e l'altra quasi quindi ora avendo pure touch e schermo sfondati non sto di certo a sistemarlo per dei dati visto che non sono un enormità di dati ma qualcosa di importante c'è lì dentro...
La domanda vera e propria è:
Vista la mia disperazione, visto che se aggiustassi sto "catorcio" (mi piange il cuore chiamarlo così, è il telefono più bello che abbia mai avuto però ora è letteralmente da buttare) con boh 100 euro se va bene non ne varrebbe la pena, c'è qualche modo per tirare fuori questi dati, vedere lo schermo del cellulare su un monitor con un mouse o perlomeno trovare o cambiare le 12 parole di password da seedvault visto che lì ho tutto? O qualsiasi modo per fare qualcosa di utile per me? Ho già provato a collegarci un hub usb-c con hdmi ma non va nulla perché il pixel 7a è l'ultimo dispositivo a non supportare l'uscita hdmi e anche perché ho disattivato le connessioni usb totalmente tranne per la ricarica pure con device sbloccato (sono un pirla...).
Grazie mille davvero se mi aiutate perché sono disperato, i coinquilini iniziano seriamente a guardarmi male con la mia camera sottosopra.
reshared this
wrote:
My Pixel 7a with Grapheneos has a completely broken touchscreen: how do I make a backup?
...
The phone definitely doesn't have ADB/Debugging enabled, because I know that, but it does have a backup on SeedVault. I literally tore the camera apart to find the "12 words" to decrypt it, searching every possible area. Obviously, I couldn't find it, otherwise I wouldn't be here, since I had everything backed up there and would have solved the problem.
Have you tried asking @GrapheneOS for information?
Al Kath reshared this.
As time marches on, the retro gaming community gets more and more access to older systems. This is partially a product of modern computing having much more power to emulate more demanding systems, but also because many in the community have spent more time with their favorite systems. Such is the case for [tschicki] who has spent considerable time and effort reverse engineering the Playstation 2 to come up with this custom mainboard for a handheld version that still uses some of the original chips from the console.
This Playstation 2 handheld console is designed almost completely from the ground up, not just including the impressive main board but also its modernized features, including USB power delivery handled by an RP2040, digital video output, support for modern storage media like SD cards, a customized boot ROM, and upgraded audio. The DualShock 2 controller is also implemented within the handheld, and the case itself is designed to be 3D printed. It’s an impressive effort which preserves the original feel of the console without relying too much on ancient hardware for everything.
Before jumping in to building one yourself, though, [tschicki] cautions that this project is not for the faint of heart, as it requires some specilized tools and a high degree of skill, but for those still wishing to attempt this build all of the instructions are available on the project site. For such a popular console it’s no surprise we’ve seen plenty of other handheld PS2s before, from this one which uses an original PS2 mainboard to this one we featured way back in 2010.
Thanks to [raz] for the tip!
Thiel punta sull’energia delle onde per alimentare i data center. Report Ft
Per vedere altri post come questo, segui la comunità @Informatica (Italy e non Italy)
Thiel si tuffa nei data center alimentati dalle onde oceaniche mentre crescono i bisogni energetici startmag.it/innovazione/thiel-…
reshared this
What's taller? A stack of hard drives containing all the malware stored by VirusTotal (31 petabytes)? Or the iconic Burj Khalifa skyscraper in Dubai?
@zackwhittaker set out to find out.
techcrunch.com/2026/05/13/this…
What would some of the world's largest repositories of malware look like if they were stacked as hard drives, one on top of the other?Zack Whittaker (TechCrunch)
Cybersecurity & cyberwarfare reshared this.
Microsoft’s May 2026 Patch Tuesday fixed 138 flaws, including 30 critical bugs, across Windows, Office, Azure, Edge, SQL Server, and more.Pierluigi Paganini (Security Affairs)
Cybersecurity & cyberwarfare reshared this.
DeepSeek cambia strategia per tenersi stretti i suoi talenti
Per vedere altri post come questo, segui la comunità @Informatica (Italy e non Italy)
DeepSeek prepara il primo round di finanziamento esterno con una valutazione fino a 50 miliardi di dollari mentre Tencent, Alibaba e fondi statali cinesi valutano un ingresso nel capitale della startup di intelligenza artificiale. Fatti e
ocram likes this.
reshared this
In January 2026, telehealth infrastructure firm OpenLoop Health suffered a security breach that exposed information of 716,000 people.Pierluigi Paganini (Security Affairs)
Cybersecurity & cyberwarfare reshared this.
Cosa sappiamo del contrabbando di chip Nvidia tra Supermicro, Alibaba e Thailandia
Per vedere altri post come questo, segui la comunità @Informatica (Italy e non Italy)
L'azienda thailandese Obon è sospettata di aver contrabbandato in Cina i server di Super Micro Computer, contenenti microchip Nvidia: tra gli acquirenti ci sarebbe startmag.it/innovazione/nvidia…
reshared this
Nitrogen ransomware colpisce Foxconn: 8TB di dati con segreti industriali di Apple, Nvidia e Intel
#CyberSecurity
insicurezzadigitale.com/nitrog…
Nitrogen ransomware colpisce Foxconn: 8TB di dati con segreti industriali di Apple, Nvidia e Intel
Il 12 maggio 2026 Foxconn ha confermato un cyberattacco ai danni delle sue fabbriche nordamericane, rivendicato dal gruppo ransomware Nitrogen. Gli aggressori affermano di aver sottratto 8 TB di dati — oltre 11 milioni di file — contenenti documentazione riservata, schemi tecnici e istruzioni di assemblaggio relative a progetti di Apple, Intel, Google, Nvidia e Dell. L’attacco ha bloccato la produzione per giorni in uno dei nodi più critici della supply chain tecnologica globale.La timeline dell’attacco
Secondo le ricostruzioni, il 1° maggio 2026 i lavoratori del turno di notte dello stabilimento Foxconn di Mount Pleasant, Wisconsin, hanno interrotto la produzione a causa di un’interruzione di rete. Al mattino, i lavoratori del primo turno sono arrivati senza Wi-Fi e sono stati rimandati a casa entro le 11. La produzione è rimasta ferma fino al 4 maggio. Undici giorni dopo, il 11 maggio, il gruppo Nitrogen ha aggiunto Foxconn al proprio data leak site sul dark web, rivendicando il furto di 8 TB di dati e pubblicando campioni come prova.Foxconn ha confermato l’incidente con una dichiarazione sobria: “Alcune fabbriche di Foxconn in Nord America hanno subito un cyberattacco. Il team di cybersecurity ha immediatamente attivato il meccanismo di risposta e implementato misure operative multiple per garantire la continuità di produzione e consegna. Le fabbriche interessate stanno riprendendo la normale produzione.” L’azienda si è rifiutata di confermare quali dati clienti fossero stati effettivamente esfiltrati.
Chi è Nitrogen: genealogia di un gruppo ransomware
Nitrogen è attivo dal 2023 ed è considerato uno dei numerosi discendenti del codice trapelato del builder Conti 2. Il gruppo è operativamente collegato a threat actor dell’Europa dell’Est e alcuni suoi operatori sarebbero associati al cartello BlackHat/ALPHV. Una caratteristica critica emersa a febbraio 2026 rende il gruppo particolarmente pericoloso per le sue stesse vittime: un bug di programmazione nel modulo di cifratura per VMware ESXi rende il decryptor incapace di recuperare i file cifrati. Secondo i ricercatori di Coveware, pagare il riscatto — in questo specifico scenario — è inutile, poiché nemmeno gli stessi operatori di Nitrogen riescono a decifrare i file. Foxconn avrà quasi certamente verificato questa criticità prima di prendere qualsiasi decisione sui negoziati.Il bottino: schemi tecnici di Apple, Nvidia, Intel, Google e Dell
I campioni pubblicati da Nitrogen sul data leak site comprendono, secondo le ricostruzioni di più fonti, istruzioni di assemblaggio, diagrammi di data center e schemi hardware relativi a progetti di Apple, Intel, Google, Nvidia e Dell. La natura della documentazione è coerente con l’operatività dello stabilimento di Mount Pleasant, che Foxconn gestisce come Fii USA (Foxconn Industrial Internet) e che produce principalmente server, workstation e componenti per data center — non dispositivi consumer Apple, il che spiega perché Apple abbia dichiarato di non essere direttamente a rischio per quanto riguarda i propri prodotti al consumo.La vera preoccupazione non è nella divulgazione di schemi per smartphone già in commercio, ma nella potenziale esposizione di roadmap future, specifiche ingegneristiche riservate di infrastrutture cloud e configurazioni di data center enterprise. Per aziende come Nvidia, i cui chip AI sono al centro di una corsa tecnologica globale con implicazioni geopolitiche, la divulgazione di topologie di sistemi e specifiche tecniche costituisce un rischio di intelligence industriale non trascurabile.
Foxconn nel mirino: una vittima seriale
Non si tratta del primo incidente ransomware per il colosso taiwanese. Nel 2022 un gruppo criminale aveva colpito una filiale messicana di Foxconn. Nel 2024 LockBit aveva attaccato Foxsemicon Integrated Technology, società del gruppo nel settore equipment per semiconduttori. La recidività di questi attacchi suggerisce che la superficie di attacco di Foxconn — distribuita tra decine di stabilimenti, migliaia di sistemi IT e una rete supply chain planetaria — sia strutturalmente difficile da proteggere nella sua totalità.Implicazioni per la supply chain tecnologica
L’attacco a Foxconn rappresenta un caso emblematico di come le grandi aziende di contract manufacturing costituiscano un vettore di rischio sistemico per l’intera industria tecnologica. Un singolo incidente a un fornitore terzo può esporre simultaneamente la proprietà intellettuale di decine di brand globali — anche quando questi brand mantengono standard di sicurezza interni elevatissimi. La documentazione tecnica che fluisce verso i produttori include spesso specifiche pre-commerciali, che diventano bersagli appetibili per attori mossi da interessi sia economici (concorrenza sleale, contraffazione) che geopolitici (intelligence industriale statale).Vale la pena notare che Nitrogen stessa ha un track record di affidabilità tecnica discutibile: la presenza del bug nel decryptor ESXi lascia aperta la domanda su quanto effettivamente il gruppo sia in grado di “consegnare” quanto promesso in sede di negoziazione. Per Foxconn, questo potrebbe significare che, nel caso in cui parte dei sistemi produttivi fosse stata cifrata con la variante ESXi, i dati potrebbero essere irrecuperabili indipendentemente da qualsiasi trattativa.
Due righe per i difensori: lezioni dall’incidente Foxconn
- Segmentazione di rete per gli ambienti OT/IT: negli stabilimenti manifatturieri, la convergenza tra reti IT e sistemi operativi (OT/ICS) amplifica l’impatto di un’intrusione. Una corretta segmentazione può contenere il blast radius e prevenire interruzioni produttive.
- Hardening degli hypervisor VMware ESXi: Nitrogen e molti altri gruppi ransomware prendono specificamente di mira ESXi. L’applicazione tempestiva delle patch, la disabilitazione di servizi non necessari (SLP, OpenSLP) e il monitoraggio delle API di hypervisor sono controlli prioritari.
- Protezione della documentazione tecnica con DRM o controlli di accesso granulari: schemi, BOM e specifiche ingegneristiche riservate dovrebbero essere soggetti a policy di accesso basate sul principio del minimo privilegio e tracciabilità degli accessi.
- Verifica dei fornitori critici: le aziende che condividono IP con contract manufacturer dovrebbero condurre audit periodici della postura di sicurezza dei propri fornitori e includere clausole di notifica di incidenti nei contratti.
- Valutare la recuperabilità prima del pagamento: in caso di attacco Nitrogen su ambienti ESXi, ricercatori indipendenti hanno confermato che il pagamento non garantisce il recupero. Prioritizzare i backup offline e testare regolarmente i piani di disaster recovery.
Fonti: The Register (12 maggio 2026); CyberNews; The CyberSec Guru
Foxconn Breach: Nitrogen Claims 8TB Theft from Wisconsin AI Plant | The CyberSec Guru
8TB breach hits Foxconn Wisconsin! Nitrogen ransomware group claims 11 million files stolen, including Apple & Google specsThe CyberSec Guru
reshared this
Along with Velcro, zippers have become an integral part of every day life, being a quick and easy way to usually temporarily join fabric together. Which isn’t to say that you cannot do more with the basic zipper concept, including using them to turn floppy 2D shapes into rigid 3D ones, such as with the Y-zipper concept proposed and demonstrated by [Jiaji Li] et al.
Although not a fully new idea, the Y-zipper is compared with a range of similar mechanisms that do not feature the same abilities, including the standard zipper ease of zipping up, the possibility of having curved geometry and automatic actuation.
Plus there is that the Y-zipper is designed from the start to be 3Dprinted, while still following the same basic pattern of interlocking teeth that the slider mechanism alternately pushes together or pulls apart.
By modifying the basic straight design of the flat strips, the resulting zipped-up form can take on a distinct bend, as well as turn into a coil or a screw. With a demonstrated joint design it is then possible to join multiple Y-zipper rods together, which could make for an interesting alternative to traditional pop-up tent supports, for example.
Also demonstrated is the use of TPU to create compliant bridges, as well as the direct integration of fabric, to show the versatility of the technology. With the used materials (PLA, TPU) the researchers estimate a maximum viable length of about 3 meters before the printed structures begin to disintegrate.
130 Milioni di Dati di Instagram sono in vendita nel Dark Web. Facciamo il punto
📌 Link all'articolo : redhotcyber.com/post/130-milio…
A cura di Chiara Nardini
#redhotcyber #news #cybersecurity #hacking #datirubati #instagram #databasericerca
Scopri di più sul data leak di Instagram: 5,2 milioni di dati rubati, inclusi nomi, numeri di telefono e indirizzi email. La sicurezza informatica è in pericoloChiara Nardini (Red Hot Cyber)
Cybersecurity & cyberwarfare reshared this.
Tutti i piani di Google con SpaceX (e non solo) sui centri dati nello spazio
Per vedere altri post come questo, segui la comunità @Informatica (Italy e non Italy)
Google è in trattative con SpaceX per realizzare il Project Suncatcher, un programma sui centri dati orbitali alimentati a energia solare. La società di Musk sta lavorando a un'iniziativa simile con Anthropic. E anche Blue Origin di Bezos e Meta di
reshared this
Sulla sovranità digitale e perché il cloud europeo è migliore di quanto pensi
"sotto l'esercizio pratico di scambiare uno strumento SaaS con un altro c'era qualcosa che sembrava più urgente, un crescente disagio per quanta parte della mia infrastruttura digitale si trovava su server che non controllavo, in una giurisdizione sempre più incline all'imprevedibilità, gestita da aziende i cui incentivi non sempre sono in linea con i miei."
monokai.com/articles/how-i-mov…
On digital sovereignty, and why European cloud is better than you thinkmonokai.com
reshared this
@Informatica (Italy e non Italy)
Il gruppo ransomware Nitrogen ha rivendicato l'attacco alle fabbriche nordamericane di Foxconn, sottraendo 8TB di dati che includerebbero schemi tecnici riservati e documentazione di progetto per Apple, Intel, Google,
Nitrogen ransomware colpisce Foxconn: 8TB di dati con segreti industriali di Apple, Nvidia e Intel
Il 12 maggio 2026 Foxconn ha confermato un cyberattacco ai danni delle sue fabbriche nordamericane, rivendicato dal gruppo ransomware Nitrogen. Gli aggressori affermano di aver sottratto 8 TB di dati — oltre 11 milioni di file — contenenti documentazione riservata, schemi tecnici e istruzioni di assemblaggio relative a progetti di Apple, Intel, Google, Nvidia e Dell. L’attacco ha bloccato la produzione per giorni in uno dei nodi più critici della supply chain tecnologica globale.La timeline dell’attacco
Secondo le ricostruzioni, il 1° maggio 2026 i lavoratori del turno di notte dello stabilimento Foxconn di Mount Pleasant, Wisconsin, hanno interrotto la produzione a causa di un’interruzione di rete. Al mattino, i lavoratori del primo turno sono arrivati senza Wi-Fi e sono stati rimandati a casa entro le 11. La produzione è rimasta ferma fino al 4 maggio. Undici giorni dopo, il 11 maggio, il gruppo Nitrogen ha aggiunto Foxconn al proprio data leak site sul dark web, rivendicando il furto di 8 TB di dati e pubblicando campioni come prova.Foxconn ha confermato l’incidente con una dichiarazione sobria: “Alcune fabbriche di Foxconn in Nord America hanno subito un cyberattacco. Il team di cybersecurity ha immediatamente attivato il meccanismo di risposta e implementato misure operative multiple per garantire la continuità di produzione e consegna. Le fabbriche interessate stanno riprendendo la normale produzione.” L’azienda si è rifiutata di confermare quali dati clienti fossero stati effettivamente esfiltrati.
Chi è Nitrogen: genealogia di un gruppo ransomware
Nitrogen è attivo dal 2023 ed è considerato uno dei numerosi discendenti del codice trapelato del builder Conti 2. Il gruppo è operativamente collegato a threat actor dell’Europa dell’Est e alcuni suoi operatori sarebbero associati al cartello BlackHat/ALPHV. Una caratteristica critica emersa a febbraio 2026 rende il gruppo particolarmente pericoloso per le sue stesse vittime: un bug di programmazione nel modulo di cifratura per VMware ESXi rende il decryptor incapace di recuperare i file cifrati. Secondo i ricercatori di Coveware, pagare il riscatto — in questo specifico scenario — è inutile, poiché nemmeno gli stessi operatori di Nitrogen riescono a decifrare i file. Foxconn avrà quasi certamente verificato questa criticità prima di prendere qualsiasi decisione sui negoziati.Il bottino: schemi tecnici di Apple, Nvidia, Intel, Google e Dell
I campioni pubblicati da Nitrogen sul data leak site comprendono, secondo le ricostruzioni di più fonti, istruzioni di assemblaggio, diagrammi di data center e schemi hardware relativi a progetti di Apple, Intel, Google, Nvidia e Dell. La natura della documentazione è coerente con l’operatività dello stabilimento di Mount Pleasant, che Foxconn gestisce come Fii USA (Foxconn Industrial Internet) e che produce principalmente server, workstation e componenti per data center — non dispositivi consumer Apple, il che spiega perché Apple abbia dichiarato di non essere direttamente a rischio per quanto riguarda i propri prodotti al consumo.La vera preoccupazione non è nella divulgazione di schemi per smartphone già in commercio, ma nella potenziale esposizione di roadmap future, specifiche ingegneristiche riservate di infrastrutture cloud e configurazioni di data center enterprise. Per aziende come Nvidia, i cui chip AI sono al centro di una corsa tecnologica globale con implicazioni geopolitiche, la divulgazione di topologie di sistemi e specifiche tecniche costituisce un rischio di intelligence industriale non trascurabile.
Foxconn nel mirino: una vittima seriale
Non si tratta del primo incidente ransomware per il colosso taiwanese. Nel 2022 un gruppo criminale aveva colpito una filiale messicana di Foxconn. Nel 2024 LockBit aveva attaccato Foxsemicon Integrated Technology, società del gruppo nel settore equipment per semiconduttori. La recidività di questi attacchi suggerisce che la superficie di attacco di Foxconn — distribuita tra decine di stabilimenti, migliaia di sistemi IT e una rete supply chain planetaria — sia strutturalmente difficile da proteggere nella sua totalità.Implicazioni per la supply chain tecnologica
L’attacco a Foxconn rappresenta un caso emblematico di come le grandi aziende di contract manufacturing costituiscano un vettore di rischio sistemico per l’intera industria tecnologica. Un singolo incidente a un fornitore terzo può esporre simultaneamente la proprietà intellettuale di decine di brand globali — anche quando questi brand mantengono standard di sicurezza interni elevatissimi. La documentazione tecnica che fluisce verso i produttori include spesso specifiche pre-commerciali, che diventano bersagli appetibili per attori mossi da interessi sia economici (concorrenza sleale, contraffazione) che geopolitici (intelligence industriale statale).Vale la pena notare che Nitrogen stessa ha un track record di affidabilità tecnica discutibile: la presenza del bug nel decryptor ESXi lascia aperta la domanda su quanto effettivamente il gruppo sia in grado di “consegnare” quanto promesso in sede di negoziazione. Per Foxconn, questo potrebbe significare che, nel caso in cui parte dei sistemi produttivi fosse stata cifrata con la variante ESXi, i dati potrebbero essere irrecuperabili indipendentemente da qualsiasi trattativa.
Due righe per i difensori: lezioni dall’incidente Foxconn
- Segmentazione di rete per gli ambienti OT/IT: negli stabilimenti manifatturieri, la convergenza tra reti IT e sistemi operativi (OT/ICS) amplifica l’impatto di un’intrusione. Una corretta segmentazione può contenere il blast radius e prevenire interruzioni produttive.
- Hardening degli hypervisor VMware ESXi: Nitrogen e molti altri gruppi ransomware prendono specificamente di mira ESXi. L’applicazione tempestiva delle patch, la disabilitazione di servizi non necessari (SLP, OpenSLP) e il monitoraggio delle API di hypervisor sono controlli prioritari.
- Protezione della documentazione tecnica con DRM o controlli di accesso granulari: schemi, BOM e specifiche ingegneristiche riservate dovrebbero essere soggetti a policy di accesso basate sul principio del minimo privilegio e tracciabilità degli accessi.
- Verifica dei fornitori critici: le aziende che condividono IP con contract manufacturer dovrebbero condurre audit periodici della postura di sicurezza dei propri fornitori e includere clausole di notifica di incidenti nei contratti.
- Valutare la recuperabilità prima del pagamento: in caso di attacco Nitrogen su ambienti ESXi, ricercatori indipendenti hanno confermato che il pagamento non garantisce il recupero. Prioritizzare i backup offline e testare regolarmente i piani di disaster recovery.
Fonti: The Register (12 maggio 2026); CyberNews; The CyberSec Guru
Foxconn Breach: Nitrogen Claims 8TB Theft from Wisconsin AI Plant | The CyberSec Guru
8TB breach hits Foxconn Wisconsin! Nitrogen ransomware group claims 11 million files stolen, including Apple & Google specsThe CyberSec Guru
reshared this
Kickstarter è l'ultima piattaforma apparentemente costretta a vietare i contenuti per adulti da parte dei processori di pagamento
Kickstarter ha aggiornato le sue linee guida sui contenuti per vietare diverse forme di contenuti NSFW e la colpa potrebbe essere del processore di pagamento Stripe
kotaku.com/kickstarter-is-the-…
Kickstarter has updated its content guidelines to prohibit several forms of NSFW content, and payment processor Stripe may be to blameLewis Parker (Kotaku)
reshared this
Mantieni vivo l'OSS durante l'orario aziendale
Quando il software Open Source si rompe, la resistenza lo risolve: silenziosamente, professionalmente e in orario aziendale.
A direct-action manifesto for maintainers keeping open source alive on company time.Mike McQuaid (Open Source Resistance)
reshared this
New, by me: U.S. lawmakers want answers from the chief executive of Instructure, which makes the Canvas software for schools, about the company's data breach and the defacement/extortion shitshow that followed.
Millions of students' data stolen in the breach. Instructure paid the hackers' ransom.
techcrunch.com/2026/05/13/us-l…
U.S. House lawmakers want to know how hackers broke into education tech giant Instructure twice, and stole reams of data from students who use the company's flagship student data software Canvas.Zack Whittaker (TechCrunch)
reshared this
U.S. President Donald Trump, as quoted by the White House pool report:
"I don't think about Americans' financial situation. I don't think about anybody. I think about one thing, we cannot let Iran have a nuclear weapon. That's all."
I want to embroider this quote onto a tea-towel for my in-laws.
Cybersecurity & cyberwarfare reshared this.
Tutte le mosse di OpenAi (contro Anthropic) per le imprese e la cybersicurezza in Europa
Per vedere altri post come questo, segui la comunità @Informatica (Italy e non Italy)
È sempre più accesa la competizione tra OpenAi e Anthropic: la startup di Altman ha creato una nuova società per diffondere l'intelligenza artificiale nelle imprese e ha offerto all'Europa l'accesso al suo modello specializzato nella
reshared this
CISA has added CVE-2026-32202, a zero-click Windows Shell authentication coercion flaw, to its KEV catalog following confirmed active exploitation by Russia's APT28 group.dark6 (Secure Bulletin)
reshared this
NEW: Ransomware gang claims breach of manufacturing giant Foxconn, which makes products for Apple, Google, Nvidia and others.
The company said operations at some factories are "resuming normal production,” meaning the breach affected some production.
techcrunch.com/2026/05/13/rans…
A ransomware group has claimed responsibility for hacking the electronics manufacturing giant Foxconn, and is attempting to extort the company.Lorenzo Franceschi-Bicchierai (TechCrunch)
Cybersecurity & cyberwarfare reshared this.
Le tribolazioni di Sony, lasciata a piedi da Honda e con le PlayStation 5 che vendono meno
Per vedere altri post come questo, segui la comunità @Informatica (Italy e non Italy)
Nel 2025 le vendite di PlayStation 5 hanno subito un brusco rallentamento, con i cali maggiori nell'ultimo periodo. L'arrivo nei negozi del blockbuster videoludico Gta VI il prossimo
reshared this
Non lo so se qualcuno starà al Salone di Torino, ma se ci siete, vi invitiamo alla presentazione del libro di Joda, nato grazie al podcast "IO HACKER" e di cui un editore si è innamorato.
Il titolo è "Vita da hacker. Storie di eroi, visionari e fuorilegge", edito da Coppola Editore (gruppo Marotta&Cafiero).
PS: in Storie Spettinate siamo indie da sempre, ma per questo editore abbiamo fatto una deroga per motivi etici e sociali.
La presentazione è alle 19:00 di venerdì 15 maggio, sala Minà.
:manjaro: Anon likes this.
reshared this
A conclusione di un’articolata attività svolta in sinergia con il Raggruppamento Operativo Speciale Carabinieri, la Comisaría General de Información della Polizia nazionale spagnola di Madrid ha localizzato e arrestato 3 latitanti di nazionalità italiana colpiti da mandato di arresto europeo per i reati di percosse, lesioni personali, danneggiamento, evasione, truffa, ricettazione, contraffazione delle impronte di una pubblica autenticazione o certificazione, falsità materiale commessa dal pubblico ufficiale, sostituzione di persona e furto, derivanti da 3 distinte condanne definitive.
L’attività della Comisaría General de Información della Polizia nazionale ha permesso di disarticolare un’organizzazione criminale che gestiva una vera e propria centrale di produzione e smistamento di documenti falsi a Tenerife, nelle Isole Canarie. I tre latitanti – identificati ed arrestati nel corso di intensa e prolungata collaborazione col ROS – si avvalevano sistematicamente di tali documenti per eludere i controlli e garantirsi la propria permanenza in territorio spagnolo sotto falso nome.
Le indagini della Comisaría General de Información della Polizia Nazionale, che hanno permesso di colpire la citata organizzazione dedita alla produzione di documenti falsi, prende le mosse dalla cattura di ulteriori tre latitanti, avvenuta il 15 agosto 2025 ad Ibiza, che si erano sottratti alla misura cautelare dell’indagine ANEMONE del ROS (eseguita il giorno 8 luglio 2025), la cui permanenza all’estero era stata favorita dalla medesima rete criminale. L’operazione – svolta simultaneamente a Barcellona e Tenerife (Spagna), dove i tre soggetti sono stati rintracciati – è il risultato della cooperazione internazionale tra forze di Polizia, con il supporto di Eurojust.
reshared this
reshared this
Kotes likes this.
reshared this
This is basically what everyone who've used AI critically have said to me in conversation as well. My experience is the same.
I tested a new-to-me AI service a few days ago, and gave it a software exploit to analyse. It was a very mixed result. I had to push it into arriving at the right answers (on one point it even pushed back). It was initially quite wrong about more then half of the important points.
@veronica are you willing to share the name of the service? Or the exploit you were analyzing? Was it a source code based exploit?
I recently tried some reverse engineering using Claude opus 4.7 and the "guard rails" prevented any real work.
@Informatica (Italy e non Italy)
La messaggistica RCS con E2EE è in fase di implementazione per iOS 26.5 presso gli operatori compatibili e per gli utenti Android che utilizzano Google Messages. L'impegno è volto a sostituire gli SMS,
reshared this
@Informatica (Italy e non Italy)
Per settimane il nome “Mythos” è stato costruito come un oggetto quasi mitologico. Anthropic lo ha presentato come un modello AI capace di trovare vulnerabilità zero-day a un livello tale da risultare “troppo pericoloso” per una release pubblica. Una
Mythos contro curl: quando l’AI “troppo pericolosa” incontra la realtà del codice
Si parla di:
TogglePer settimane il nome “Mythos” è stato costruito come un oggetto quasi mitologico. Anthropic lo ha presentato come un modello AI capace di trovare vulnerabilità zero-day a un livello tale da risultare “troppo pericoloso” per una release pubblica. Una narrativa perfetta per il ciclo mediatico dell’AI security nel 2026: modello segreto, capacità offensive avanzate, accesso ristretto, migliaia di vulnerabilità individuate. Il genere di storytelling che nel mondo cyber si propaga in poche ore tra LinkedIn, Twitter/X, keynote e blog enterprise.
Poi però Mythos è stato testato contro uno dei progetti open source più scrutinati del pianeta: curl. E lì il racconto ha iniziato a incrinarsi.
Un software scritto come si deve
A raccontarlo è stato direttamente Daniel Stenberg, storico maintainer di curl e figura ormai centrale nel dibattito sulla collisione tra AI e vulnerability research. Nel suo lungo post pubblicato sul blog personale, Stenberg descrive il risultato dell’analisi effettuata con Mythos sul repository di curl: cinque vulnerabilità segnalate come “confirmed security vulnerabilities”. Dopo il triage umano del team sicurezza di curl, il bilancio finale si è ridotto a una sola vulnerabilità reale, classificata a bassa severità, tre falsi positivi e un semplice bug non-security. (daniel.haxx.se)Ed è qui che il tema diventa interessante, perché il punto non è tanto “Mythos non funziona”. Anzi. Stenberg stesso riconosce che il report contiene analisi tecniche solide e bug descritti bene, con un numero relativamente basso di falsi positivi rispetto alla media degli scanner AI attuali. Il problema è un altro: il gap enorme tra la narrativa costruita attorno al modello e i risultati concreti osservabili sul campo.
La frase più pesante dell’intero post è probabilmente questa:
“the big hype around this model so far was primarily marketing”
Un software largamente usato
Una dichiarazione che arriva non da un opinionista qualsiasi, ma da uno dei maintainer open source più esposti al fenomeno AI-assisted vulnerability hunting. Negli ultimi mesi Stenberg ha documentato pubblicamente l’esplosione di report generati da AI, il collasso qualitativo di molti bug bounty submission e il nuovo scenario che lui stesso definisce “high-quality chaos”.Il contesto infatti è fondamentale. curl non è un target qualunque. È software vecchio di decenni, onnipresente, analizzato continuamente da ricercatori, aziende, fuzzing infrastructure, static analyzer, LLM e offensive security team. Il progetto ha già attraversato una vera ondata di AI-powered auditing nel 2025 e 2026, con centinaia di issue segnalate e decine di CVE pubblicate.
In altre parole: Mythos non stava entrando in un territorio inesplorato. Stava arrivando su un codice già passato attraverso un livello di scrutiny estremo.
Ed è qui che la promessa implicita di Anthropic sembra perdere consistenza. Se un modello viene presentato quasi come una svolta paradigmatica nella vulnerability discovery offensiva, ci si aspetta almeno un salto qualitativo evidente rispetto agli strumenti precedenti. Non necessariamente centinaia di 0-day critici, ma almeno pattern nuovi, classi di bug differenti, chaining più sofisticati o insight architetturali difficili da intercettare con gli attuali sistemi AI-assisted SAST.
Secondo Stenberg, questo salto non si è visto.
Anzi, il maintainer di curl arriva a sostenere che altri strumenti AI usati in precedenza avevano già prodotto quantità maggiori di bugfix. Mythos forse è “leggermente migliore”, scrive, ma non abbastanza da cambiare realmente il paradigma della code analysis.
Questa distinzione è cruciale perché separa due fenomeni che oggi vengono continuamente confusi nel marketing AI security.
Il primo fenomeno è reale: i moderni LLM stanno diventando estremamente efficaci nell’analisi del codice. Stenberg lo dice chiaramente. Gli strumenti AI contemporanei trovano vulnerabilità meglio dei tradizionali static analyzer. La differenza rispetto a cinque anni fa è concreta e misurabile.
Il secondo fenomeno invece è narrativo: trasformare questo miglioramento incrementale in una retorica quasi apocalittica, dove ogni nuovo modello viene descritto come un cyber-weapon rivoluzionario capace di destabilizzare l’intero ecosistema software.
Ed è proprio questa seconda parte che il caso Mythos sembra mettere in discussione.
L’hype dell’AI ormai incontrollabile
Perché il rischio, nel settore cybersecurity, è che l’hype finisca per sostituire il metodo. La comunicazione attorno a Mythos ha funzionato perfettamente: accesso ristretto, dichiarazioni sulla pericolosità del modello, riferimenti a migliaia di zero-day trovati internamente, programma limitato a poche organizzazioni strategiche. Tutti elementi che costruiscono scarsità, percezione di superiorità tecnologica e senso di urgenza.Ma quando il modello viene finalmente osservato in un caso reale e pubblico, il risultato appare molto più ordinario: un buon AI-assisted code analyzer che trova un low severity issue in un progetto maturissimo e già massacrato da anni di auditing.
Non è poco. Ma non è nemmeno la rivoluzione promessa.
La parte forse più interessante dell’intera vicenda è che Stenberg non assume una posizione anti-AI. Al contrario. La sua analisi è molto più sofisticata della solita polarizzazione “AI sì / AI no”. Lui riconosce apertamente che gli LLM stanno cambiando il vulnerability research landscape. Il problema, semmai, è che il settore sta sovrastimando la distanza tra i nuovi modelli “frontier” e ciò che gli strumenti AI moderni già fanno oggi.
Ed è una riflessione che nel mondo offensive security merita attenzione.
Perché se Mythos — il modello presentato come troppo pericoloso per essere rilasciato — produce risultati sostanzialmente comparabili agli strumenti già esistenti, allora forse la vera trasformazione non è l’arrivo di un singolo modello “superiore”, ma la democratizzazione progressiva dell’AI-assisted vulnerability discovery.
Una differenza enorme.
Nel primo scenario, il vantaggio resta concentrato nelle mani di pochi laboratori frontier AI. Nel secondo, invece, la capacità offensiva si distribuisce rapidamente: più ricercatori, più scanner, più auditing, più rumore, più CVE, più triage umano necessario.
Ed è esattamente il futuro che Stenberg sembra vedere arrivare: non una singola AI onnipotente, ma un ecosistema saturo di agenti capaci di produrre contemporaneamente valore tecnico reale e quantità industriali di “security slop”.
Un mondo dove il problema non è più trovare vulnerabilità. È distinguere quelle importanti dal resto.
reshared this
Geopolitica e tecnologia: dal petrolio all’intelligenza artificiale
📌 Link all'articolo : redhotcyber.com/post/geopoliti…
A cura di Massimo Dionisi
#redhotcyber #news #geopolitica #energia #risorseenergetiche #petrolio #gas #infrastrutturedigitali
La geopolitica globale cambia volto: petrolio, intelligenza artificiale, cyberwar, droni e infrastrutture critiche ridefiniscono il confronto tra Stati Uniti, Iran e potenze mondiali.Massimo Dionisi (Red Hot Cyber)
Cybersecurity & cyberwarfare reshared this.
You’ve probably seen a Foucault pendulum in a museum. This Victorian-era science demonstration is named after physicist Léon Foucault and shows how the Earth rotates compared to a pendulum moving in a fixed plane. [RyanCreates] shows you how you can make your own, and it is surprisingly simple.
All you need is a heavy weight like a small mushroom anchor, fishing line, and a swivel — all things you can pick up at any sporting goods store. You’ll need a way to suspend it all, such as an eye hook in the ceiling.
In addition to the mechanical parts, the build calls for a camera to record the results and a lighter or other source of flame. The reason? To release the pendulum, you burn a thread that prevents it from swinging. This allows for a clean release with no sideways force.
The amount of your rotation depends on your latitude. At 33 degrees north, for example, you can expect 360*sin(33)/24 or 8.17 degrees per hour of rotation. [Ryan] measured a somewhat larger number, which was probably due to an error source, especially since he is measuring the angle using captured camera frames in Photoshop. That has to introduce some error, and small pendulums like this are incredibly sensitive to errors.
If you try it and find the source of the error, we’re sure [Ryan] would love to hear from you. Museum pieces are typically much larger, have ultra-low-friction pivots, and use electromagnets to keep the pendulum moving since, after all, even a Foucault pendulum can’t run forever.
AI: prevarrà la tecnologia o il potere politico? Parla il prof. Colajanni
Per vedere altri post come questo, segui la comunità @Informatica (Italy e non Italy)
Dallo scontro tra Peter Thiel e Donald Trump sul potere dell’IA ai rischi della dipendenza digitale, passando per lavoro, scuola, sovranità tecnologica europea e nuovi equilibri tra politica e Big Tech. Conversazione di Marco
reshared this
A public PoC exploit for CVE-2026-0073 enables any network-local attacker to gain a full ADB shell on unpatched Android 14–16 devices with zero user interaction, exploiting a cryptographic type confusion bug in Android's adbd daemon.dark6 (Secure Bulletin)
reshared this
Esiste nel Fediverso un gioco famoso in altri social network soprattutto su X: si chiama Fedle ed è una variante di Wordle.
Su X/Twitter si trovano persone che pubblicano post pieni di numeri e quadratini gialli, grigi e verdi.
Si tratta di un gioco chiamato Wordle che consiste nell'indovinare una parola messa a disposizione dal videogioco ogni giorno; la versione originale ha i termini in inglese di 5 lettere e si hanno a disposizione sei tentativi, partendo dalla sola lettera iniziale. Indovinata la parola, si copia il risultato sui social network.
Creato nel 2021 dallo sviluppatore Joseph Wardle, si è diffuso su Twitter per poi essere acquistato dal New York Times e ne sono nate parecchie varianti anche in italiano (parle, parolette, parole sante...).
Wordle è un programma completamente grafico tastiera compresa, anche se in un gioco di questo tipo la vista neanche servirebbe. Così le persone con disabilità visiva non potevano giocare, finché qualcuno non ha creato l'estensione chrome accessible wordle - in teoria supporta tutti i browser con estensioni, ma se Wordle modifica la propria architettura, l'estensione potrebbe non funzionare più. Vale la pena?
Chi ama i social network commerciali si tenga Wordle, perché noi nel Fediverso abbiamo qualcosa di alternativo, stabile, accessibile e completamente rispettoso della riservatezza.
Se Wordle è un'interfaccia web, Fedle è un bot con cui interagire esattamente come lo si farebbe con qualunque utilizzatore umano: botta e risposta. Per cui va bene ogni client fediverso e ogni browser web senza installare programmi in più.
La versione italiana risponde a @fedle_it@fedle.fedilab.app - per ricevere ogni giorno alle 14:00 una parola italiana da indovinare, basta seguire il bot come si farebbe con qualunque altro handle fediverso.
Quando si interagisce con Fedle_it la visibilità dei messaggi deve essere su "privato" - solo le persone che menziono.
Se fedle dice "6 lettere, inizia per l", si potrà rispondere (impostando la visibilità su privato) semplicemente scrivendo ad esempio lavoro.
Per comodità, ecco i comandi e le regole del gioco:
Indovina la parola del giorno in 6 tentativi.
La prima lettera viene data come indizio. La tua risposta deve essere della lunghezza giusta e nel dizionario.
:correct: = lettera giusta, posizione giusta
:misplaced: = lettera giusta, posizione sbagliata
:absent: = lettera non nella parola
Come detto, graficamente si mostrano dei simboli. Dei quadratini.
Ovviamente non è obbligatorio condividere i propri risultati sui social network, ma Fedle quando si arriva alla soluzione, restituisce un link da cliccare. Si apre il browser e si copia il risultato con l'apposito pulsante, che poi si può trasferire incollandolo sul composer del proprio client fediverso.
Ogni domenica arriva la classifica settimanale delle istanze che hanno giocato, e ogni giorno vengono dati i risultati della parola precedente: quanti giocatori hanno provato, la percentuale di risoluzioni, la media di tentativi svolti.
Si può barare con l'AI? Volendo sì. Ma se lo fai... ti dai praticamente del pollo da solo.
Di solito si usa #fedle che è già preimpostato nel post coi risultati da incollare nel composer del client Fediverso. Ma nessuno vieta di aggiungerne altri, tipo #ParoleSante o #FedleItalia o anche WordGame, Puzzle, Rompicapo...
CREDITS:
Elena Brescacin - @elettrona@poliversity.it | traduttrice italiana di Fedle
like this
reshared this
Mythos contro curl: quando l’AI “troppo pericolosa” incontra la realtà del codice
#CyberSecurity
insicurezzadigitale.com/mythos…
Mythos contro curl: quando l’AI “troppo pericolosa” incontra la realtà del codice
Si parla di:
TogglePer settimane il nome “Mythos” è stato costruito come un oggetto quasi mitologico. Anthropic lo ha presentato come un modello AI capace di trovare vulnerabilità zero-day a un livello tale da risultare “troppo pericoloso” per una release pubblica. Una narrativa perfetta per il ciclo mediatico dell’AI security nel 2026: modello segreto, capacità offensive avanzate, accesso ristretto, migliaia di vulnerabilità individuate. Il genere di storytelling che nel mondo cyber si propaga in poche ore tra LinkedIn, Twitter/X, keynote e blog enterprise.
Poi però Mythos è stato testato contro uno dei progetti open source più scrutinati del pianeta: curl. E lì il racconto ha iniziato a incrinarsi.
Un software scritto come si deve
A raccontarlo è stato direttamente Daniel Stenberg, storico maintainer di curl e figura ormai centrale nel dibattito sulla collisione tra AI e vulnerability research. Nel suo lungo post pubblicato sul blog personale, Stenberg descrive il risultato dell’analisi effettuata con Mythos sul repository di curl: cinque vulnerabilità segnalate come “confirmed security vulnerabilities”. Dopo il triage umano del team sicurezza di curl, il bilancio finale si è ridotto a una sola vulnerabilità reale, classificata a bassa severità, tre falsi positivi e un semplice bug non-security. (daniel.haxx.se)Ed è qui che il tema diventa interessante, perché il punto non è tanto “Mythos non funziona”. Anzi. Stenberg stesso riconosce che il report contiene analisi tecniche solide e bug descritti bene, con un numero relativamente basso di falsi positivi rispetto alla media degli scanner AI attuali. Il problema è un altro: il gap enorme tra la narrativa costruita attorno al modello e i risultati concreti osservabili sul campo.
La frase più pesante dell’intero post è probabilmente questa:
“the big hype around this model so far was primarily marketing”
Un software largamente usato
Una dichiarazione che arriva non da un opinionista qualsiasi, ma da uno dei maintainer open source più esposti al fenomeno AI-assisted vulnerability hunting. Negli ultimi mesi Stenberg ha documentato pubblicamente l’esplosione di report generati da AI, il collasso qualitativo di molti bug bounty submission e il nuovo scenario che lui stesso definisce “high-quality chaos”.Il contesto infatti è fondamentale. curl non è un target qualunque. È software vecchio di decenni, onnipresente, analizzato continuamente da ricercatori, aziende, fuzzing infrastructure, static analyzer, LLM e offensive security team. Il progetto ha già attraversato una vera ondata di AI-powered auditing nel 2025 e 2026, con centinaia di issue segnalate e decine di CVE pubblicate.
In altre parole: Mythos non stava entrando in un territorio inesplorato. Stava arrivando su un codice già passato attraverso un livello di scrutiny estremo.
Ed è qui che la promessa implicita di Anthropic sembra perdere consistenza. Se un modello viene presentato quasi come una svolta paradigmatica nella vulnerability discovery offensiva, ci si aspetta almeno un salto qualitativo evidente rispetto agli strumenti precedenti. Non necessariamente centinaia di 0-day critici, ma almeno pattern nuovi, classi di bug differenti, chaining più sofisticati o insight architetturali difficili da intercettare con gli attuali sistemi AI-assisted SAST.
Secondo Stenberg, questo salto non si è visto.
Anzi, il maintainer di curl arriva a sostenere che altri strumenti AI usati in precedenza avevano già prodotto quantità maggiori di bugfix. Mythos forse è “leggermente migliore”, scrive, ma non abbastanza da cambiare realmente il paradigma della code analysis.
Questa distinzione è cruciale perché separa due fenomeni che oggi vengono continuamente confusi nel marketing AI security.
Il primo fenomeno è reale: i moderni LLM stanno diventando estremamente efficaci nell’analisi del codice. Stenberg lo dice chiaramente. Gli strumenti AI contemporanei trovano vulnerabilità meglio dei tradizionali static analyzer. La differenza rispetto a cinque anni fa è concreta e misurabile.
Il secondo fenomeno invece è narrativo: trasformare questo miglioramento incrementale in una retorica quasi apocalittica, dove ogni nuovo modello viene descritto come un cyber-weapon rivoluzionario capace di destabilizzare l’intero ecosistema software.
Ed è proprio questa seconda parte che il caso Mythos sembra mettere in discussione.
L’hype dell’AI ormai incontrollabile
Perché il rischio, nel settore cybersecurity, è che l’hype finisca per sostituire il metodo. La comunicazione attorno a Mythos ha funzionato perfettamente: accesso ristretto, dichiarazioni sulla pericolosità del modello, riferimenti a migliaia di zero-day trovati internamente, programma limitato a poche organizzazioni strategiche. Tutti elementi che costruiscono scarsità, percezione di superiorità tecnologica e senso di urgenza.Ma quando il modello viene finalmente osservato in un caso reale e pubblico, il risultato appare molto più ordinario: un buon AI-assisted code analyzer che trova un low severity issue in un progetto maturissimo e già massacrato da anni di auditing.
Non è poco. Ma non è nemmeno la rivoluzione promessa.
La parte forse più interessante dell’intera vicenda è che Stenberg non assume una posizione anti-AI. Al contrario. La sua analisi è molto più sofisticata della solita polarizzazione “AI sì / AI no”. Lui riconosce apertamente che gli LLM stanno cambiando il vulnerability research landscape. Il problema, semmai, è che il settore sta sovrastimando la distanza tra i nuovi modelli “frontier” e ciò che gli strumenti AI moderni già fanno oggi.
Ed è una riflessione che nel mondo offensive security merita attenzione.
Perché se Mythos — il modello presentato come troppo pericoloso per essere rilasciato — produce risultati sostanzialmente comparabili agli strumenti già esistenti, allora forse la vera trasformazione non è l’arrivo di un singolo modello “superiore”, ma la democratizzazione progressiva dell’AI-assisted vulnerability discovery.
Una differenza enorme.
Nel primo scenario, il vantaggio resta concentrato nelle mani di pochi laboratori frontier AI. Nel secondo, invece, la capacità offensiva si distribuisce rapidamente: più ricercatori, più scanner, più auditing, più rumore, più CVE, più triage umano necessario.
Ed è esattamente il futuro che Stenberg sembra vedere arrivare: non una singola AI onnipotente, ma un ecosistema saturo di agenti capaci di produrre contemporaneamente valore tecnico reale e quantità industriali di “security slop”.
Un mondo dove il problema non è più trovare vulnerabilità. È distinguere quelle importanti dal resto.
reshared this
Ryan Barrett
in reply to Ryan Barrett • • •posted my full archive:snarfed.org/category/emailtohe…
a few favorites:snarfed.org/2021-08-15_57159snarfed.org/2021-04-03_57155snarfed.org/2020-10-10_57142
these gave me whiplash:
and my all time favorite:snarfed.org/2019-03-11_57081
2019-03-11_57081
Ryan (Ryan Barrett)