Poliversity - Università ricerca e giornalismo ha ricondiviso questo.

Can't stop thinking inspired you are by a #Freesoftware project's work in the last year? Nominate it for a Free Software Award by July 20: u.fsf.org/4bc #FSF #GNU
Poliversity - Università ricerca e giornalismo ha ricondiviso questo.

📝 #WSocial state of the network 📣

for those who are curious about it, considering the enthusiastic endorsement by prestigious European institutions.

#OpenData allows me to crunch numbers (information about Bluesky PDSs is readily available).

On day 18 since its beta launch in Brussels, W Social has 7935 accounts:

- 90,5% have never* published a single post
- 82,2% have 0 followers
- 78% follow 0 accounts

(may be related to #WIdentity and its 13-step process)

LMK if you find this useful

Poliversity - Università ricerca e giornalismo ha ricondiviso questo.

Questo #Chatcontrol (1.0) autorizza provvisoriamente la sorveglianza di massa su base volontaria. Approfittano dell'autorizzazione solo i media sociali di spionaggio statunitensi. Evitarli o abbandonarli sarebbe un gesto politico: patrick-breyer.de/en/eu-parlia…


l’ #Europarlamento ha dato il via libera al #ChatControl 1.0, legalizzando di fatto la scansione di massa e senza sospetti della nostra corrispondenza privata.

La parte migliore? NON hanno avuto bisogno della #maggioranza.

Possiamo ancora chiamarla #democrazia?

youtube.com/watch?v=COFwTCOtEA…


Poliversity - Università ricerca e giornalismo ha ricondiviso questo.

Torna a Ventotene la Conferenza europea per la libertà e la democrazia: i giovani al centro

@scuola

corriereuniv.it/seconda-confer…

Presentazione a Roma Lunedì 13 luglio, nello spazio interattivo Esperienza Europa–David Sassoli di Roma, verrà presentata ufficialmente la seconda edizione della Conferenza europea per la libertà e la democrazia, in

132° Nexa Lunch Seminar – The Politics of Arms Data: Participatory Counterdata Infrastructures for Grassroots Disarmament and Disobidient Art#Upcoming

Pare 🚲 🌞 reshared this.

197° Mercoledì di Nexa

Le notizie dal Centro Nexa su Internet & Società del Politecnico di Torino su @Etica Digitale (Feddit)

9 settembre 2026 | ALESSANDRO ARDUINO (King's College London)
The post 197° Mercoledì di Nexa appeared first on Nexa Center for Internet & Society.
nexa.polito.it/mercoledi-197/

132° Nexa Lunch Seminar

Le notizie dal Centro Nexa su Internet & Società del Politecnico di Torino su @Etica Digitale (Feddit)

23 settembre 2026 | MICHELE CREMASCHI (Libera Università di Bolzano)
The post 132° Nexa Lunch Seminar appeared first on Nexa Center for Internet & Society.
nexa.polito.it/lunch-132/

Poliversity - Università ricerca e giornalismo ha ricondiviso questo.

The media in this post is not displayed to visitors. To view it, please go to the original post.

📣 Manutenzione programmata alla vps #Umoja

Nella giornata di domani verranno effettuate alcune operazioni sulla vps del social Umoja.

Siete pregati quindi di evitare di postare finchè le operazioni non saranno terminate.

E' possibile seguirci su Matrix (mess in uno degli annunci) per restare in contatto e ricevere aggiornamenti vari in tempo reale.

Poliversity - Università ricerca e giornalismo ha ricondiviso questo.

IL FENTANYL GIÀ DIMENTICATO E LA SICUREZZA OSPEDALIERA

@news
Niente paura. Non se ne parla già più. Come se nulla fosse successo.
L'articolo IL FENTANYL GIÀ DIMENTICATO E LA SICUREZZA OSPEDALIERA proviene da GIANO NEWS.

#EDITORIALI

reshared this

Poliversity - Università ricerca e giornalismo ha ricondiviso questo.

The media in this post is not displayed to visitors. To view it, please go to the original post.

14 luglio, roma, finissage della mostra di claudio bonuglia + letture a. d’amico e g. floris


.
#AlbertoDAmico #art #arte #ClaudioBonuglia #finissage #letture #mostra #reading #StudioCampoBoario

Poliversity - Università ricerca e giornalismo ha ricondiviso questo.

The media in this post is not displayed to visitors. To view it, please go to the original post.

16 jul, rome, fondazione giuliani: “the gas heart”, 7:00 to 8:00pm – an activation of tristan tzara’s 1921 dada play “le coeur à gaz”

Fondazione Giuliani
is pleased to invite you to

The Gas Heart

an activation of Tristan Tzara’s 1921 Dada play Le Coeur à Gaz

Thursday, 16 July 2026

from 7:00 to 8:00pm[table][tr][td]

The Gas Heart invites audiences to rediscover Le Cœur à Gaz, Tristan Tzara’s seminal 1921 play and a landmark work of Dada theatre, through the presentation of a rare artist’s book edition from the personal collection of Giovanni Aldobrandini. Published in 1977 by the French publisher Jacques Damase, the volume brings together Tzara’s original text with Sonia Delaunay’s celebrated series of twelve lithographs reproducing her original costume designs. A parody of classical drama, Le Cœur à Gaz combines theatrical convention with Dadaist nonsense and the vivid geometric language of Delaunay’s costumes, creating a work that radically dismantles traditional dramaturgy.

The presentation enters into dialogue with our current exhibition, Minh Lan Tran’s Choreodrome, through a shared exploration of matter, presence, and embodiment. In Tzara’s play, characters such as Mouth, Ear, Eye, Nose, Neck, and Eyebrow, together with Delaunay’s costumes, transform seemingly metaphysical observations into corporeal documents, collapsing distinctions between body, object, and performance. This encounter highlights a multidimensional space in which visual art, theatre, and movement coexist, resonating with the choreographic and bodily dimensions that animate Tran’s practice.

The activation of the play will be in English.

***

The Gas Heart invita il pubblico a riscoprire Le Cœur à Gaz, l’opera teatrale seminale scritta da Tristan Tzara nel 1921 e considerata una pietra miliare del teatro dadaista, attraverso la presentazione di una rara edizione d’artista proveniente dalla collezione personale di Giovanni Aldobrandini. Pubblicato nel 1977 dall’editore francese Jacques Damase, il volume riunisce il testo originale di Tzara e la celebre serie di dodici litografie di Sonia Delaunay che riproducono i costumi originali. Parodia del dramma classico, Le Cœur à Gaz coniuga la convenzione teatrale con il nonsense dadaista e il vivido linguaggio geometrico dei costumi di Delaunay, dando vita a un’opera che sovverte radicalmente la drammaturgia tradizionale.

La presentazione entra in dialogo con la mostra attualmente in corso, Choreodrome di Minh Lan Tran, attraverso una comune riflessione sulla materia, la presenza e la corporeità. Nel testo di Tzara, personaggi come Bocca, Orecchio, Occhio, Naso, Collo e Sopracciglio, insieme ai costumi di Delaunay, trasformano osservazioni apparentemente metafisiche in documenti corporei, facendo collassare le distinzioni tra corpo, oggetto e performance. Questo incontro mette in luce uno spazio multidimensionale in cui arti visive, teatro e movimento coesistono, risuonando con le dimensioni coreografiche e corporee che animano la pratica di Tran.

L’attivazione dell’opera teatrale sarà in inglese.

[/td][/tr][/table]

Poliversity - Università ricerca e giornalismo ha ricondiviso questo.

The media in this post is not displayed to visitors. To view it, please go to the original post.

#newissue
⚖️ Online un nuovo volume di Società e Diritti, rivista di #giurisprudenza e #sociologia del #diritto

In questo numero, una serie di interventi sulle sfide che il #TerzoSettore si trova ad affrontare nella contemporaneità, fra innovazioni tecnologiche come l'#IA e mancanza di piani strategici e visioni di lungo termine, oltre al contrasto dell'#antisemitismo in Germania, la rigenerazione dei borghi e la lotta al #COVID in Brasile

⬇️ In #OpenAccess qui: riviste.unimi.it/index.php/SED…

@cultura

Poliversity - Università ricerca e giornalismo ha ricondiviso questo.

Huge amount of "long-form" posts on LinkedIn and exTwitter is AI spam. We are being drowned in slop, and the big platforms are fine with that.

404media.co/linkedin-and-x-are…

reshared this

Poliversity - Università ricerca e giornalismo ha ricondiviso questo.

«Il Fediverso dà il meglio quando è fatto da tante istanze piccole, medie, locali, tematiche, ben amministrate e sostenibili.
Non serve raccontarsi favole.
Serve amministrare con criterio.
Anche le piccole istanze hanno senso.
Una piccola istanza ben dimensionata, con iscrizioni controllate, costi bassi e risorse adeguate, può avere un impatto molto contenuto.
Non perché “non consuma”.
Ma perché consuma il giusto per quello che deve fare.
Questa è la vera sostenibilità tecnica:
sobrietà, misura, manutenzione e responsabilità».

snowtest.it/@osservatorio/stat….


🌱 Server “green”, IA e Fediverso: facciamo un po’ di chiarezza


Negli ultimi tempi si parla molto, giustamente, di consumi energetici, data center, intelligenza artificiale e impatto ambientale.

È un tema serio.
Proprio per questo andrebbe trattato con precisione, non con slogan.

“Server green” non significa “impatto zero”


Usare un provider con data center efficienti, alimentazione ottimizzata, buone metriche energetiche e una gestione seria dell’infrastruttura è sicuramente una scelta positiva.

Ma non significa che il servizio sia magicamente a impatto nullo.

Anche una piccola istanza del Fediverso consuma risorse:

  • CPU
  • RAM
  • storage
  • database
  • media cache
  • backup
  • federazione
  • email
  • CDN
  • traduzioni
  • traffico di rete

Tutto questo ha un costo energetico.

Magari piccolo, magari ben gestito, magari molto più contenuto di tante piattaforme centralizzate enormi, ma comunque reale.

La compensazione non cancella automaticamente il consumo


Anche la formula “compensiamo piantando alberi” va maneggiata con cautela.

Piantare alberi può essere una buona cosa, ma una compensazione ambientale ha senso solo se è:

  • documentata
  • verificabile
  • addizionale
  • permanente
  • proporzionata al consumo reale

Altrimenti rischia di diventare più comunicazione che reale neutralizzazione dell’impatto.

Il punto non è fingere di non consumare


Il punto serio dovrebbe essere un altro:

dimensionare bene i servizi.

Non fare il passo più lungo della gamba.
Non gonfiare artificialmente l’infrastruttura.
Non inseguire numeri inutili.
Non centralizzare tutto in poche istanze gigantesche.
Non trasformare il Fediverso in una copia “alternativa” dei social commerciali.

Il Fediverso dà il meglio quando è fatto da tante istanze piccole, medie, locali, tematiche, ben amministrate e sostenibili.

Non serve raccontarsi favole.

Serve amministrare con criterio.

Anche le piccole istanze hanno senso


Una piccola istanza ben dimensionata, con iscrizioni controllate, costi bassi e risorse adeguate, può avere un impatto molto contenuto.

Non perché “non consuma”.

Ma perché consuma il giusto per quello che deve fare.

Questa è la vera sostenibilità tecnica:
sobrietà, misura, manutenzione e responsabilità.

In sintesi


Dire “siamo green” è facile.

Più corretto sarebbe dire:

cerchiamo di ridurre l’impatto, scegliamo infrastrutture efficienti, dimensioniamo con criterio e non sprechiamo risorse.


Questo è un discorso serio.

Il resto, spesso, è solo marketing ambientale con una foglia verde sopra.

#Fediverso


Poliversity - Università ricerca e giornalismo ha ricondiviso questo.

Vassallaggio europeo.

poliversity.it/@mcp/1168909136…


#chatcontrol Sembra che si sia fatto l'impossibile per permettere a grandi aziende statunitensi di continuare a scansionare i messaggi privati sulle loro piattaforme. pirati.io/2026/07/il-parlament…

Questa voce è stata modificata (4 giorni fa)
Poliversity - Università ricerca e giornalismo ha ricondiviso questo.

Da quando sono stato bannato ho deciso di mettermi a lavorare per un Fediverso senza ban fatti per vendetta; per un ambiente sano e amichevole, senza declamazioni di grandi numeri e senza guerre tra buoni e cattivi, un ambiente privo di atavici pettegolezzi e di relative code di dispetti. So di non essere da solo, sento che questa volta ce la faremo.

social.umoja.it/@juliandv/1168…


In questi giorni di promozione di un convegno a cui ho partecipato come organizzatore mi è capitato più e più volte di postare messaggi con altri account e magicamente subito dopo la propaganda di altri eventi voleva sobbissare la mia…. Quanta tristezza nel rendermi conto di essere un magnete per persone che per coprire mie news devono farsi sentire subito dopo…. Ma io sorrido e vado avanti sapendo che qualcuno mi detesta ma lascio scivolare tutto e più non considero questa gente più mi segue..

Questa voce è stata modificata (4 giorni fa)
in reply to lorenzo

The media in this post is not displayed to visitors. To view it, please go to the original post.

Fin dal mio ingresso nel Fediverso ho notato una specie di rumore di fondo, fatto di ridicole polemiche e dispetti.
Ho raccontato del ban nella prima Riflessione Tossica.
Penso che Julian, creando Umoja con la migliore delle intenzioni, abbia involontariamente scoperchiato un microscopico vasetto di Pandora. Per questo ho deciso di schierarmi dalla sua parte: il Fediverso italiano può essere un luogo migliore.


Buongiorno, inauguro oggi le mie

Riflessioni tossiche sul Fediverso.

Prima puntata.


Come sapete, da alcuni mesi sono stato bannato da una community a causa di fantomatici "commenti tossici". Ci scherzo spesso su.

Infatti la cosa divertente è che per mesi non mi sono accorto del ban perché quella community proprio non la citavo mai, né la seguivo. Sono passati sei lunghi mesi prima che qualcuno mi soprendesse chiedendomi per quale diavolo di motivo pesasse sulla mia testa un ban.

Non ricordo appunto di averla mai citata, ma forse ho incidentalmente risposto in modo un po' deciso a un qualche post che la citava. Altrimenti non riuscirei a spiegarmi il ban.

Per evitare ulteriori incidenti ho silenziato con un filtro tutto ciò che cita il server Lemmy in cui tale community si trova.

§

Ora rifletto. A che cosa serve seguire da Mastodon una community? Quali vantaggi si hanno nel citarla?

Seguire da Mastodon una community su un certo argomento ci permette di vedere post su quello stesso argomento da parte di account perfino eventualmente non visibili dalla nostra istanza, viceversa citarla permette al nostro post di essere visto da chiunque la segua, anche da chi si trovi in un'istanza che non ci vede. Questo è il vantaggio che le community danno rispetto al semplice uso degli hashtag.

Nella prossima "riflessione tossica" parlerò più diffusamente degli hashtag. Oggi, per intossicare un po' chi sta leggendo, dirò soltanto che, almeno per me che scrivo in italiano, non penso che in realtà ci siano grosse differenze tra la citazione delle community e l'uso degli hashtag.

Cioè non credo che citare una community mi renda molto più visibile che usare direttamente un hashtag. Per questo, dopo avere provato le community Lemmy per qualche settimana, ho smesso e sono tornato ai cari vecchi hashtag.

Usando gli hashtag ho un grosso vantaggio: evito di trovarmi di nuovo bannato, senza saperlo, da un moderatore ipersensibile.

#riflessionitossiche #community #hashtag


Questa voce è stata modificata (4 giorni fa)
Poliversity - Università ricerca e giornalismo ha ricondiviso questo.

Online meeting participants might not know if another attendee is using an off-platform AI notetaker, EFF’s @Thorin told AP News. “Asking everyone for consent before doing a sensitive meeting would be the most polite approach to take.”
apnews.com/article/ai-notetake…
Poliversity - Università ricerca e giornalismo ha ricondiviso questo.

The media in this post is not displayed to visitors. To view it, please go to the original post.

PHP-FPM: perché ‘pm static’ batte ‘dynamic’ e ‘ondemand’ sui server ad alto traffico
#tech
spcnet.it/php-fpm-perche-pm-st…
@informatica


PHP-FPM: perché ‘pm static’ batte ‘dynamic’ e ‘ondemand’ sui server ad alto traffico


Il problema: PHP-FPM e l’overhead della gestione dei processi


Chi gestisce server PHP ad alto traffico (WordPress incluso, come questo stesso blog) conosce bene il dilemma: come configurare il process manager di PHP-FPM per ottenere throughput elevato, latenza bassa e un uso stabile di CPU e memoria? La configurazione di default nella maggior parte delle installazioni è pm = dynamic, con il consiglio ricorrente di passare a ondemand quando la memoria disponibile scarseggia. Ma su server che ricevono traffico costante, entrambe le opzioni introducono un overhead di gestione dei processi che una configurazione static ben dimensionata elimina quasi del tutto.

I tre modelli di process manager


PHP-FPM offre tre strategie per gestire i processi figli (worker), definite dalla direttiva pm in php-fpm.conf:

  • pm = dynamic — il numero di processi figli varia dinamicamente in base a pm.max_children, pm.start_servers, pm.min_spare_servers e pm.max_spare_servers.
  • pm = ondemand — i processi vengono creati solo quando arriva una richiesta, invece di essere avviati insieme al servizio come accade con dynamic.
  • pm = static — il numero di processi figli è fisso, determinato unicamente da pm.max_children.

La lista completa delle direttive è documentata nel file php-fpm.conf di riferimento su php.net.

Un’analogia utile: il governor della CPU


Il trade-off tra questi modelli ricorda da vicino quello dei governor CPUFreq su Linux: ondemand scala la frequenza in base al carico corrente, salendo subito al massimo e riducendo gradualmente nei periodi di inattività; conservative fa lo stesso ma in modo più graduale; performance mantiene sempre la CPU alla frequenza massima. Impostare PHP-FPM su static equivale concettualmente a impostare il governor su performance: si rinuncia al risparmio di risorse in idle in cambio di una risposta immediata, senza il tempo di “spin-up” necessario a creare nuovi worker.

Quando e come usare pm static


La bontà di pm static dipende interamente dalla memoria disponibile sul server. Se la RAM è limitata, ondemand o dynamic restano scelte più sicure. Se invece la memoria c’è, conviene eliminare l’overhead del process manager impostando pm.max_children al massimo che il server può sostenere senza saturare memoria o CPU.

La regola pratica: non indovinare il valore di pm.max_children, ma misurarlo. Prima si calcola la dimensione media (RSS) di un worker PHP-FPM sotto carico reale:

ps --no-headers -o rss -C php-fpm | awk '{ sum += $1; n++ } END { print sum/n/1024 " MB" }'

Poi si divide la memoria che si intende dedicare a PHP-FPM per questo valore medio. Se un worker occupa in media 60 MB e si vogliono destinare 6 GB a PHP-FPM, il calcolo è 6144 / 60 ≈ pm.max_children = 100. È fondamentale lasciare margine per sistema operativo, web server e database, evitando di assegnare a PHP-FPM tutta la RAM fisica disponibile.

Una configurazione tipica su un server con 32 GB di RAM potrebbe essere:

pm = static
pm.max_children = 100
pm.max_requests = 1000

Con questi valori, anche con circa 200 utenti attivi simultanei (dato realistico osservato con Google Analytics), circa il 70% dei worker resta inattivo ma pronto: non deve essere creato al volo quando arriva un picco di traffico, e non viene distrutto dopo il timeout di pm.process_idle_timeout come accadrebbe con dynamic. Il valore di pm.max_requests va tenuto alto (o a 0, se non si hanno memory leak noti negli script) proprio per evitare che il process manager ricicli continuamente i worker, vanificando il vantaggio di static.

Per verificare lo stato dei processi in tempo reale è sufficiente:

top -bn1 | grep php-fpm

Quando invece conviene ondemand o dynamic


Con pm = dynamic capita spesso di incontrare un warning simile a questo:

WARNING: [pool xxxx] seems busy (you may need to increase pm.start_servers, or pm.min/max_spare_servers), spawning 32 children, there are 4 idle, and 59 total children

Il consiglio classico è aumentare i valori minimi, ma su traffico molto variabile il tuning di dynamic resta complesso. Passare a ondemand aiuta a risparmiare memoria, ma su un server costantemente sotto carico introduce l’effetto opposto: i worker vengono azzerati appena il traffico cala, per poi dover essere ricreati non appena il traffico torna, spostando il costo dalla memoria alla latenza di avvio.

dynamic e soprattutto ondemand restano invece la scelta giusta in scenari multi-tenant, ad esempio server con decine o centinaia di pool PHP-FPM distinti (hosting condiviso, molteplici account cPanel). In questi casi, dove la maggior parte dei siti riceve poco o nessun traffico, ondemand spegne i worker inattivi risparmiando enormi quantità di memoria complessiva — motivo per cui cPanel lo ha reso il default al posto di dynamic.

Conclusione


Su un server che serve traffico consistente, dynamic e ondemand aggiungono un overhead di gestione dei processi che una configurazione static correttamente dimensionata elimina. La chiave non è scegliere una configurazione “alla cieca”, ma misurare il consumo reale di memoria dei worker, calcolare pm.max_children di conseguenza, lasciare margine per il resto dello stack e poi validare sotto carico reale (ad esempio con benchmark ab) osservando CPU, memoria e tempi di risposta. Con pm static, poiché i worker restano residenti in memoria, i picchi di traffico si traducono in variazioni di carico molto più contenute, con tempi di risposta più stabili nel tempo.

Fonte originale: LinuxBlog.io – PHP-FPM tuning: Using ‘pm static’ for max performance


Poliversity - Università ricerca e giornalismo ha ricondiviso questo.

The media in this post is not displayed to visitors. To view it, please go to the original post.

Infrastrutture AI esposte: come gli attaccanti dirottano gateway come LiteLLM per alimentare agenti autonomi
#tech
spcnet.it/infrastrutture-ai-es…
@informatica


Infrastrutture AI esposte: come gli attaccanti dirottano gateway come LiteLLM per alimentare agenti autonomi


Il problema: gateway AI esposti diventano armi in mano agli attaccanti


Un report dei ricercatori di Zenity, ripreso da Petri IT Knowledgebase, descrive uno scenario che molti reparti IT non hanno ancora messo in conto: non serve violare la rete aziendale se l’infrastruttura AI è già esposta pubblicamente e priva di protezioni adeguate. Gli attaccanti puntano direttamente gateway di inferenza, endpoint AI e piattaforme di agenti raggiungibili da Internet, configurando i propri agenti per usarli come “model provider” — sfruttando cioè la capacità di calcolo e le credenziali dell’azienda vittima per condurre operazioni offensive, ricognizione e furto di risorse, senza aver mai compromesso un singolo endpoint interno.

Come funziona l’attacco


Secondo Zenity, gli attaccanti indirizzano tool di penetration testing autonomi come Strix e HexStrike AI, oltre a workflow basati su OpenAI Codex, verso infrastrutture esposte pubblicamente. In diversi casi osservati, gli agenti venivano istruiti per operare in modo aggressivo e occultare la propria identità durante la ricognizione e i test contro bersagli esterni. I ricercatori hanno inoltre trovato ambienti di sviluppo, cronologie Git, script di ricognizione e altri dettagli operativi esposti involontariamente proprio attraverso questi stessi workflow AI mal configurati.

Un bersaglio ricorrente in questi attacchi è LiteLLM, il gateway open source usato per unificare l’accesso a decine di provider LLM (OpenAI, Anthropic, Azure OpenAI e altri) e adottato da framework molto diffusi come CrewAI, DSPy e Microsoft GraphRAG, con circa 97 milioni di installazioni mensili da PyPI. Proprio questa diffusione lo rende un bersaglio ad alto ritorno per chi cerca infrastrutture da dirottare.

Le vulnerabilità sfruttate


Da marzo 2026 LiteLLM ha accumulato sei CVE distinte e un incidente di supply chain, con la catena più grave che raggiunge un CVSS di 10.0 e consente RCE non autenticata su qualunque proxy esposto. Le più rilevanti:

  • CVE-2026-42271 — command injection (CVSS 8.7): gli endpoint POST /mcp-rest/test/connection e POST /mcp-rest/test/tools/list, pensati per testare un server MCP prima di salvarlo, accettano una configurazione completa nel body della richiesta. Con una configurazione di tipo stdio, il proxy tenta la connessione eseguendo il comando fornito come sottoprocesso direttamente sull’host.
  • CVE-2026-47101 / CVE-2026-47102 — escalation di privilegi (CVSS 9.9): un utente a basso privilegio può ottenere diritti di amministratore ed eseguire codice arbitrario sul server LiteLLM.
  • CVE-2026-40217 — sandbox escape: gli endpoint di guardrail riservati agli admin accettano codice Python fornito dall’utente e lo compilano con exec(); omettendo la chiave __builtins__ dal dizionario globals ci si aspetterebbe un ambiente ristretto, ma Python inietta automaticamente l’intero modulo builtins quando quella chiave manca, aprendo di fatto l’accesso alla shell.
  • SSRF su /chat/completions — un api_base controllato dall’attaccante permette di dirottare le richieste verso un dominio arbitrario, esponendo potenzialmente la chiave API nell’header Authorization.
  • Supply chain attack — nel marzo 2026 le versioni compromesse litellm==1.82.7 e litellm==1.82.8 sono rimaste pubblicate su PyPI per circa 40 minuti prima di essere messe in quarantena.

Il fattore comune che rende possibile lo sfruttamento su larga scala è banale: LITELLM_MASTER_KEY non ha un valore di default e, seguendo la guida rapida ufficiale, è facile finire in produzione con un gateway completamente privo di autenticazione posizionato davanti alle chiavi API più costose dell’organizzazione.

Come mettere in sicurezza la propria infrastruttura AI


Le raccomandazioni di Zenity e della documentazione ufficiale di LiteLLM si possono tradurre in una checklist operativa per chi gestisce questo tipo di infrastruttura:

  • Non esporre mai il gateway direttamente su Internet. Endpoint di inferenza e piattaforme agent vanno trattati come qualunque altro sistema internet-facing: dietro reverse proxy con autenticazione forte, VPN o segmentazione di rete dedicata.
  • Impostare sempre LITELLM_MASTER_KEY prima di qualunque deployment, anche di test, e non affidarsi mai alla configurazione di default della quickstart in ambienti raggiungibili dall’esterno.
  • Aggiornare tempestivamente. Gli attaccanti hanno iniziato a sfruttare le vulnerabilità di LiteLLM a ridosso della pubblicazione delle patch: la versione consigliata è la 1.83.14 o successiva, insieme all’aggiornamento di Starlette alla 1.0.1+.
  • Gestire i segreti fuori dall’ambiente locale. Le variabili d’ambiente sono comode in sviluppo ma restano un anti-pattern in produzione perché facilmente leggibili e spesso finiscono nei log delle pipeline CI/CD: meglio un vault dedicato (HashiCorp Vault, Azure Key Vault, AWS Secrets Manager).
  • Isolare il filesystem dei container. In Kubernetes, readOnlyRootFilesystem: true è pienamente supportato da LiteLLM e riduce la superficie di attacco in caso di RCE.
  • Applicare policy granulari con OPA (Open Policy Agent) per definire in modo esterno e verificabile chi può accedere a quali risorse del gateway.
  • Monitorare l’utilizzo. Picchi anomali nel consumo dei modelli, pattern di richieste insoliti o attività fuori orario sono spesso il primo segnale di un uso non autorizzato delle risorse AI aziendali.
  • Ruotare tutte le credenziali — chiavi dei provider LLM, password del database, master key, chiavi SSH e credenziali cloud — non appena si sospetta una compromissione, dato che un proxy AI compromesso ha tipicamente accesso a tutto questo.


Conclusione


Il messaggio di fondo del report è semplice: l’infrastruttura AI aziendale merita la stessa attenzione di sicurezza riservata a qualunque altro sistema esposto su Internet, né più né meno. I gateway come LiteLLM stanno diventando componenti critici tanto quanto un database o un server web, ma la velocità con cui sono stati adottati ha spesso lasciato indietro le pratiche di hardening di base — a partire da una master key non configurata. Per chi gestisce questi sistemi, la checklist sopra rappresenta il minimo indispensabile prima di collegare un gateway AI a Internet.

Fonti: Petri IT Knowledgebase – Attackers Exploit Exposed Enterprise AI Infrastructure to Power Autonomous Agents; Obsidian Security – Breaking LiteLLM; The Hacker News – LiteLLM Flaw CVE-2026-42271 Exploited in the Wild.


Poliversity - Università ricerca e giornalismo ha ricondiviso questo.

The media in this post is not displayed to visitors. To view it, please go to the original post.

✨ Xiamen Empress Information Technology: come Pechino ha affittato account LINE per spiare giornalisti e attivisti a Taiwan
#CyberSecurity
insicurezzadigitale.com/xiamen…

@informatica

Poliversity - Università ricerca e giornalismo ha ricondiviso questo.

The media in this post is not displayed to visitors. To view it, please go to the original post.

The media in this post is not displayed to visitors. To view it, please go to the original post.

✨ Il Canada svela le sue cyber-armi: la CSE rivendica l’hackeraggio di una gang ransomware-as-a-service
#CyberSecurity
insicurezzadigitale.com/il-can…

@informatica


Il Canada svela le sue cyber-armi: la CSE rivendica l’hackeraggio di una gang ransomware-as-a-service


Le agenzie di intelligence raramente raccontano cosa fanno con le proprie capacità offensive. Per questo la relazione annuale 2025-2026 pubblicata dal Communications Security Establishment (CSE), l’agenzia di signals intelligence canadese, è una lettura rara: Ottawa ammette esplicitamente di aver condotto operazioni cyber attive contro trafficanti di precursori del fentanyl, un gruppo estremista e — punto che interessa più da vicino chi si occupa di ransomware — una gang di ransomware-as-a-service che aveva colpito sanità, trasporti e aziende canadesi.

Cosa ha rivelato il rapporto CSE


Il CSE è l’omologo canadese della NSA americana e del GCHQ britannico, parte dell’alleanza Five Eyes, con il mandato di raccogliere intelligence estera, difendere le reti del governo federale e — quando autorizzato — condurre “operazioni cyber attive” contro minacce alla sicurezza nazionale. Nel rapporto pubblicato la scorsa settimana, l’agenzia rivela di aver condotto tre operazioni offensive di questo tipo nell’anno fiscale coperto dal documento, oltre a una operazione difensiva.

La prima ha preso di mira broker internazionali di sostanze chimiche usate per produrre fentanil sintetico: il CSE ha raccolto intelligence sulla rete di distribuzione e ha poi condotto un’operazione che, secondo il rapporto, ne ha “compromesso e ridotto la capacità operativa”. La seconda ha riguardato un gruppo estremista attivo anche nel reclutamento in territorio canadese: l’agenzia ha analizzato struttura, portata e vulnerabilità del gruppo per un’operazione che ha “minato la credibilità del gruppo e limitato la sua capacità di radicalizzare e reclutare nuovi membri”. Formulazioni volutamente vaghe — tipiche di questo genere di disclosure — che comunque confermano l’uso di capacità cyber offensive contro obiettivi non statali con finalità di disruption, non solo di raccolta informativa.

L’operazione contro la gang ransomware


La terza operazione è quella di maggiore interesse per il pubblico di questo blog. Il CSE descrive un gruppo che gestiva un’infrastruttura ransomware-as-a-service, affittando l’accesso ad affiliati per condurre attacchi di extortion distruttivi. L’unità di signals intelligence dell’agenzia ha ricostruito le modalità con cui il gruppo colpiva i settori sanitario, dei trasporti e delle imprese in territorio canadese, per un totale — secondo fonti collegate al caso — di oltre 25 incidenti attribuiti al gruppo contro organizzazioni canadesi. L’operazione cyber attiva che ne è seguita ha reso “inoperabile” l’infrastruttura della gang e ha cancellato gran parte dei dati presenti sui suoi server.

Il rapporto precisa inoltre che, in parallelo, il CSE ha condotto “disruption tecniche” concorrenti contro altre 10 tra le gang ransomware più significative che prendono di mira il Canada, rendendo inutilizzabili parti della loro infrastruttura. Non vengono forniti dettagli su localizzazione geografica degli attori, nomi dei gruppi coinvolti o tecniche specifiche impiegate — una riservatezza operativa comprensibile, dato che rivelare metodi e strumenti comprometterebbe operazioni future contro bersagli simili.

Il contesto: Five Eyes e hunt forward


Questa disclosure si inserisce in una tendenza più ampia tra le agenzie di intelligence occidentali: rendere pubbliche, sia pure in forma sommaria, operazioni offensive contro il cybercrime organizzato. Lo US Cyber Command, con base a Fort Meade, conduce da anni le cosiddette “hunt forward operations”, inviando team cyber presso nazioni alleate per proteggerne le reti e disgregare operazioni offensive di attori avversari; il numero di queste missioni è passato da poche unità nel 2018 a oltre due dozzine nel solo 2025. Anche il rapporto CSE segnala una quarta operazione, di natura difensiva, condotta contro una campagna di phishing diretta contro istituzioni del governo federale canadese, con l’obiettivo dichiarato di degradarne l’infrastruttura e la capacità di colpire cittadini canadesi.

Il quadro che emerge conferma una dinamica osservata anche in altre giurisdizioni: le gang ransomware-as-a-service non sono più contrastate solo con arresti, sanzioni e sequestri di infrastruttura via law enforcement (il modello Europol/FBI applicato ad esempio a LockBit o Hive), ma sempre più spesso con operazioni cyber offensive condotte direttamente dalle agenzie di intelligence, che intervengono prima o parallelamente all’azione giudiziaria per limitare il danno operativo in tempo reale.

Perché conta per i difensori


Per i team di threat intelligence, disclosure di questo tipo — per quanto scarne di dettagli tecnici — sono comunque un segnale operativo utile: confermano che alcune infrastrutture ransomware-as-a-service possono sparire improvvisamente non per un errore operativo del gruppo o per un takedown di polizia annunciato, ma per un’azione statale silenziosa. Questo significa che un affiliato che perde improvvisamente l’accesso al pannello del proprio operatore RaaS, o una gang che smette di rispondere alle vittime in negoziazione, potrebbe non essere vittima di un dissidio interno ma di una disruption di intelligence non rivendicata pubblicamente dal gruppo colpito. Per le organizzazioni canadesi dei settori sanità, trasporti e impresa colpite in passato dal gruppo in questione, vale la pena mantenere alta l’attenzione: un’infrastruttura “resa inoperabile” non equivale a un’attribuzione penale, e nulla impedisce agli operatori di riorganizzarsi sotto un nuovo brand, come già visto ripetutamente nell’ecosistema ransomware.

  • Tre operazioni cyber offensive rivendicate dal CSE nell’anno fiscale 2025-2026: broker di precursori del fentanyl, gruppo estremista, gang ransomware-as-a-service
  • Infrastruttura della gang ransomware resa inoperabile, dati sui server cancellati
  • Disruption tecniche parallele contro altre 10 gang ransomware attive contro il Canada
  • Un’operazione difensiva contro una campagna di phishing verso il governo federale canadese
  • Nessun dettaglio pubblico su nomi dei gruppi, geolocalizzazione o TTP impiegate


Poliversity - Università ricerca e giornalismo ha ricondiviso questo.

In questi giorni di promozione di un convegno a cui ho partecipato come organizzatore mi è capitato più e più volte di postare messaggi con altri account e magicamente subito dopo la propaganda di altri eventi voleva sobbissare la mia…. Quanta tristezza nel rendermi conto di essere un magnete per persone che per coprire mie news devono farsi sentire subito dopo…. Ma io sorrido e vado avanti sapendo che qualcuno mi detesta ma lascio scivolare tutto e più non considero questa gente più mi segue..

reshared this

in reply to Julian Del Vecchio

Ciao Julian. Ancora tanti complimenti per il vostro evento e per la promozione del software libero.

Tuttavia, lo scopo è promuovere software libero. Potremmo essere tutti contenti se altra gente promuove software libero in modi diversi. Non necessariamente le altre persone e progetti, solo per il fatto che esistono e condividono i loro eventi diversi allora sono rosiconi.

Vi ringrazio per quello che fate in questo senso.

Poliversity - Università ricerca e giornalismo ha ricondiviso questo.

🌱 Server “green”, IA e Fediverso: facciamo un po’ di chiarezza


Negli ultimi tempi si parla molto, giustamente, di consumi energetici, data center, intelligenza artificiale e impatto ambientale.

È un tema serio.
Proprio per questo andrebbe trattato con precisione, non con slogan.

“Server green” non significa “impatto zero”


Usare un provider con data center efficienti, alimentazione ottimizzata, buone metriche energetiche e una gestione seria dell’infrastruttura è sicuramente una scelta positiva.

Ma non significa che il servizio sia magicamente a impatto nullo.

Anche una piccola istanza del Fediverso consuma risorse:

  • CPU
  • RAM
  • storage
  • database
  • media cache
  • backup
  • federazione
  • email
  • CDN
  • traduzioni
  • traffico di rete

Tutto questo ha un costo energetico.

Magari piccolo, magari ben gestito, magari molto più contenuto di tante piattaforme centralizzate enormi, ma comunque reale.

La compensazione non cancella automaticamente il consumo


Anche la formula “compensiamo piantando alberi” va maneggiata con cautela.

Piantare alberi può essere una buona cosa, ma una compensazione ambientale ha senso solo se è:

  • documentata
  • verificabile
  • addizionale
  • permanente
  • proporzionata al consumo reale

Altrimenti rischia di diventare più comunicazione che reale neutralizzazione dell’impatto.

Il punto non è fingere di non consumare


Il punto serio dovrebbe essere un altro:

dimensionare bene i servizi.

Non fare il passo più lungo della gamba.
Non gonfiare artificialmente l’infrastruttura.
Non inseguire numeri inutili.
Non centralizzare tutto in poche istanze gigantesche.
Non trasformare il Fediverso in una copia “alternativa” dei social commerciali.

Il Fediverso dà il meglio quando è fatto da tante istanze piccole, medie, locali, tematiche, ben amministrate e sostenibili.

Non serve raccontarsi favole.

Serve amministrare con criterio.

Anche le piccole istanze hanno senso


Una piccola istanza ben dimensionata, con iscrizioni controllate, costi bassi e risorse adeguate, può avere un impatto molto contenuto.

Non perché “non consuma”.

Ma perché consuma il giusto per quello che deve fare.

Questa è la vera sostenibilità tecnica:
sobrietà, misura, manutenzione e responsabilità.

In sintesi


Dire “siamo green” è facile.

Più corretto sarebbe dire:

cerchiamo di ridurre l’impatto, scegliamo infrastrutture efficienti, dimensioniamo con criterio e non sprechiamo risorse.


Questo è un discorso serio.

Il resto, spesso, è solo marketing ambientale con una foglia verde sopra.

#Fediverso

in reply to Osservatorio Fediverso

@Osservatorio Fediverso

Ma infatti ho scritto che l'utilità nell'avere tante piccole istanze c'è, solo che probabilmente non è nell'efficienza energetica che va cercata. Siamo d'accordo.

Ci sono comunque molti altri motivi per cui sarebbe utile avere tante piccole istanze, infatti sto pensando sempre più spesso di farmene una mia (ma non nego che più di tutto per me conterebbe l'aspetto tecnico-ludico del gestirmi una piattaforma in solitaria, dalla A alla Z 😁).

Fediverso reshared this.

Poliversity - Università ricerca e giornalismo ha ricondiviso questo.

The media in this post is not displayed to visitors. To view it, please go to the original post.

Eccesso di traduzione automatica
Poliversity - Università ricerca e giornalismo ha ricondiviso questo.

I'm trying to test Mastodon posting on @quillforall application as I found something missing.
First of all, despite residing in an instance supporting up to 9999 characters, the software isn't smart enough and decreases character counter to negative number (-1, -2, etc) when it reaches the 500 character limits. But this is a false information, when instances configuration is set to more than that standard count.
The program should "talk" to the instance via API and detect how many character it supports.
Questa voce è stata modificata (4 giorni fa)
Poliversity - Università ricerca e giornalismo ha ricondiviso questo.

Every Spaniard should be proud of Spain. While so many countries cower to Donald Trump, Spain does not. Spain treats the mob boss like the criminal he is, and if we all did, Trump would lose all power.

Pedro Sánchez is the real world Obi-Wan Kenobi. ✨

Poliversity - Università ricerca e giornalismo ha ricondiviso questo.



Faremo una grande manifestazione a Roma con Eumans per difendere la Corte Penale Internazionale.

Ci ritroviamo esattamente dove è nata 28 anni fa, con la promessa che nessuno sarebbe stato al di sopra della legge, nemmeno i potenti. C'è chi oggi vuole ostacolare il suo lavoro e addirittura cancellarla, e noi saremo in piazza per ricordare che quella promessa vale ancora.

📍 giovedì 16 luglio, alle 18:00 in Piazzale Ugo La Malfa.

Vi aspetto.


Poliversity - Università ricerca e giornalismo ha ricondiviso questo.

Chat Control Revival


Today, the 9th of Juli 2026, ‘Chat Control 1.0’ is again in force.

What changes with the return of Chat Control 1.0—and what remains the same:


  • What’s coming back: US tech companies are once again permitted to scan private messages without a warrant or prior suspicion. This affects direct messages on platforms like Instagram, Discord, Snapchat, Skype, and Xbox, as well as emails via Google’s Gmail and Apple’s iCloud.
  • What stays the same: Public social media posts and files stored in cloud storage could already be scanned without this law. Moreover, private messages can always be reported by users, or monitored by authorities using targeted, court-ordered wiretapping.
  • What’s still NOT being scanned: End-to-end encrypted chats, such as those on WhatsApp, have always been exempt from these scans. Additionally, European providers of messaging and email services have never implemented chat control measures.

Patrick Breyer sums up the problem

As long as EU governments can use procedural loopholes to continually extend their comfortable status quo of voluntary, indiscriminate mass scanning, they have zero incentive to engage with the Parliament’s targeted, legally sound, and far more effective child protection strategy.

A motion that was submitted to parliament to reject (amended) Regulation (EU) 2021/1232 did not make it, and the weakening of the ePrivacy Directive is again a fact.

Read more here:

EU Parliament greenlights Chat Control 1.0 – Breyer: “Our children lose out”


patrick-breyer.de/en/eu-parlia…


europeanpirates.eu/chat-contro…

Poliversity - Università ricerca e giornalismo ha ricondiviso questo.

#chatcontrol Sembra che si sia fatto l'impossibile per permettere a grandi aziende statunitensi di continuare a scansionare i messaggi privati sulle loro piattaforme. pirati.io/2026/07/il-parlament…
Poliversity - Università ricerca e giornalismo ha ricondiviso questo.

Chat Control 1.0 passed despite a majority voting against it (314:276), ushering in suspicionless mass scanning of your private communications until 2028. Regrettably, Roberta Metsola's brazen and undemocratic actions jeopardise the legitimacy of the EU.

The battle against Chat Control 2.0 begins!

Poliversity - Università ricerca e giornalismo ha ricondiviso questo.

Focus: Cosa cambia con il ritorno di Chat Control 1.0 e cosa rimane invariato?


Cosa sta tornando:

  • le aziende tecnologiche statunitensi sono di nuovo autorizzate a scansionare i messaggi privati senza mandato o sospetto preventivo. Ciò riguarda i messaggi diretti su piattaforme come Instagram, Discord, Snapchat, Skype e Xbox, nonché le email tramite Gmail di Google e iCloud di Apple.

Ciò che rimane invariato:

  • i post pubblici sui social media e i file ospitati su servizi di cloud storage potevano già essere scansionati anche prima di questa legge.
  • Inoltre, i messaggi privati possono sempre essere segnalati dagli utenti o monitorati dalle autorità tramite intercettazioni mirate, autorizzate dal tribunale.

Cosa NON viene ancora scansionato:

  • le chat crittografate end-to-end, come quelle di WhatsApp, sono sempre state esentate da queste scansioni.
  • Inoltre, i fornitori europei di servizi di messaggistica ed e-mail non hanno mai implementato misure di controllo delle chat.

pirati.io/2026/07/il-parlament…

@informatica

Poliversity - Università ricerca e giornalismo ha ricondiviso questo.

Oggi al parlamento europeo si è votato!

⛔️ 314 hanno votato contro #ChatControl
✅ 276 hanno votato a favore

Sembra semplice, ma ha vinto comunque il voto della minoranza.

Attenzione alle chat che utilizzate!

#StopChatControl

dariofadda.it/blog/post.php?sl…

Poliversity - Università ricerca e giornalismo ha ricondiviso questo.

Qualcuno sa se ci sono #problemi di #server per #noblogs . org, oggi? Il mio #sito differx gira e gira ma non si aggiorna.

#noblogsorg #autisticiinventati #siti

reshared this