Минобороны США использует Node.js-пакет, который пишет россиянин

Екатерина Быстрова 28 Августа 2025 - 09:15

...

Минобороны США использует Node.js-пакет, который пишет россиянин

Американская компания Hunted Labs подняла тревогу: один из самых популярных Node.js-пакетов — fast-glob — фактически держится на одном человеке. При этом библиотека используется тысячами проектов по всему миру, включая более 30 систем Минобороны США.

Речь идёт об утилите для поиска файлов по шаблонам. Её автор — разработчик под ником mrmlnc. GitHub-аккаунт и личный сайт связывают его с Яндексом: по данным Hunted Labs, это Денис Малиночкин, живущий в Подмосковье.

С точки зрения безопасности ситуация вызывает вопросы: пакет скачивают более 79 миллионов раз в неделю, он встроен в Node.js-контейнеры и тысячи публичных и частных проектов.

Хотя у fast-glob нет зарегистрированных уязвимостей, библиотека имеет доступ к файловым системам, а значит, теоретически может использоваться для кибератак.

Hunted Labs подчёркивает: сам факт того, что у проекта нет внешнего контроля и дополнительных мейнтейнеров, делает его потенциальной мишенью для злоупотреблений.

«Не каждый кусок кода, написанный россиянином, подозрителен сам по себе. Но такие популярные пакеты без надзора — удобная цель для злоумышленников или государственных структур», — отметил сооснователь Hunted Labs Хейден Смит.

После публикации отчёта сам Малиночкин связался с журналистами. Он подтвердил, что действительно является единственным разработчиком fast-glob, но отверг любые предположения о «скрытых» функциях:

«Никто никогда не просил меня манипулировать проектом, встраивать скрытые изменения или собирать системные данные. Я считаю, что open source строится на доверии и разнообразии», — заявил разработчик изданию The Register он.

В Пентагоне пока не прокомментировали, будут ли отказываться от использования fast-glob.

Эксперты же сходятся в одном: сообществу open source нужно внимательнее следить за тем, кто и как поддерживает критичные проекты. Ведь как выразились в Hunted Labs, «открытому ПО не нужен CVE, чтобы быть опасным. Достаточно доступа, незаметности и беспечности».

Следующая главная новость »

Защита мобильных приложений: где бизнес теряет данные?
Регистрируйтесь на эфир!

Екатерина Быстрова 18 Мая 2026 - 17:19

GenAI (генеративный искусственный интеллект) Домашние пользователи Корпорации Microsoft

Разработчиков Microsoft пересаживают с Claude Code на GitHub Copilot

Microsoft решила свернуть использование Claude Code внутри команды Experiences + Devices, куда входят разработчики Windows, Microsoft 365, Outlook, Teams и Surface. Вместо инструмента Anthropic инженерам предлагают переходить на собственный GitHub Copilot CLI.

Доступ к Claude Code компания открыла в декабре прошлого года. Идея была простая: дать тысячам сотрудников попробовать ИИ-инструменты в реальных рабочих задачах и понять, что работает лучше.

По данным источников The Verge, использование Claude Code в этой команде планируют свернуть к концу июня. Инженерам уже предлагают в ближайшие недели начать миграцию на Copilot CLI.

Одна из причин — деньги. Отмена лицензий Claude Code поможет сократить расходы к началу нового финансового года Microsoft, который стартует в июле.

В Microsoft объясняют решение тем, что Copilot CLI проще глубоко встроить в собственные репозитории, процессы разработки, требования безопасности и рабочие сценарии корпорации.

Другими словами, Claude Code был хорош для экспериментов, но когда дело дошло до контроля, интеграций и корпоративной кухни, Microsoft выбрала свой инструмент.

Правда, переход может оказаться не самым гладким. В последние месяцы многие разработчики Microsoft предпочитали Claude Code, а не Copilot CLI. Более того, компания поощряла использовать Claude Code даже сотрудников без серьёзного опыта программирования — дизайнеров и менеджеров проектов, чтобы они могли быстро собирать прототипы идей.

Теперь всё это придётся перекладывать на Copilot CLI, у которого, судя по реакции внутри компании, ещё есть пробелы. Microsoft даже рассматривала покупку Cursor, чтобы закрыть часть этих слабых мест, но затем начала смотреть и на другие ИИ-стартапы, чтобы не привлекать лишнее внимание регуляторов.

При этом Anthropic из экосистемы Microsoft не исчезает. Модели Claude останутся доступны через Copilot CLI наряду с моделями Microsoft и OpenAI. Кроме того, отмена лицензий Claude Code не затронет соглашение Microsoft Foundry, по которому клиенты могут использовать модели Claude Sonnet, Claude Opus и Claude Haiku.

Защита мобильных приложений: где бизнес теряет данные?
Регистрируйтесь на эфир!