4 kwietnia 2025

◢ #unknownews ◣

Zapraszam do lektury dzisiejszego wydania newslettera.

Wybierasz się na największą konferencję technologiczną w tej części europy? Mowa o INFOSHARE. Skorzystaj ze zniżki i kup bilety taniej.

1) Jak badacze wycieknęli kod źródłowy z sandboxa Gemini AI?
https://www.landh.tech/blog/20250327-we-hacked-gemini-source-code/
INFO: Dwóch ekspertów bezpieczeństwa odnalazło poważną lukę w interpreterze Pythona używanym w sandboxie Gemini od Google. Choć rozwiązanie oparto na technologii gVisor (warstwa izolacji dla kontenerów) i teoretycznie miał on być izolowany od reszty systemu, badaczom udało się uzyskać dostęp do plików systemowych i wyeksportować binarkę Pythonowego entry pointa, mimo całkowitego braku dostępu do sieci. Świetna analiza dla fanów cybersecurity.

2) Upadek Vozilli - co o tym mówią DANE? - dogłębna analiza
https://threadreaderapp.com/thread/1906385602422968570.html
INFO: Czy można przewidzieć upadek biznesu, bazując jedynie na publicznie dostępnych danych? Tomek z bloga Informatyk Zakładowy pokazuje, jak przez niemal dwa lata analizował funkcjonowanie pierwszej polskiej wypożyczalni samochodów elektrycznych. Dzięki automatyzacji zbierania danych z aplikacji mobilnej udało się oszacować koszty i przychody projektu oraz odkryć ciekawe zależności, takie jak wpływ temperatury na zasięg aut. Ciekawy i bardzo praktyczny przykład wykorzystania technik analizy danych w realnym świecie.

3) Czy AI czyni programistów bardziej produktywnymi… i szczęśliwszymi?
https://shiftmag.dev/impact-ai-software-developers-5111/
INFO: Badacze przeanalizowali wpływ narzędzi generatywnej AI na pracę ponad 36 000 programistów. Okazuje się, że aż 76% z nich wprowadziło takie rozwiązania do swojej codziennej pracy. Oczywiście większość raportuje zwiększenie produktywności, ale jak to się przekłada na szczęście, poczucie spełnienia w pracy i ogólne zadowolenie z tego, co się robi?

4) Problem w branży GameDev? - wysokie obcasy! ;)
https://simonschreibt.de/gat/the-high-heel-problem/
INFO: Artykuł opisuje zaskakująco złożony temat wpływu wysokich obcasów na animacje i konstrukcję postaci w grach wideo. Pokazuje, w jaki sposób zmiana wysokości i pozycji kości postaci może zaburzyć kolizje, animacje interakcji czy nawet postawę ciała, i jak deweloperzy radzą sobie z tym problemem – ręcznie, dynamicznie lub… udając, że problem nie istnieje. Sporo przykładów z gier oraz praktycznych sposobów radzenia sobie z tym tematem. Wrzucam bardziej jako rozrywkowe zagadnienie, no, chyba że naprawdę tworzysz gry, gdzie postacie mogą chodzić w szpilkach, wtedy to pouczająca lektura.

5) Eksperyment z oszustwem matrymonialnym - pełna analiza kampanii
https://www.bentasker.co.uk/posts/blog/security/seducing-a-romance-scammer.html
INFO: Autor artykułu postanowił wcielić się w ofiarę oszustwa matrymonialnego, aby lepiej zrozumieć wykorzystywane techniki socjotechniczne. Przeanalizował strukturę kampanii, styl komunikacji, metody działania i sposób selekcji ofiar, starając się jednocześnie nie łamać prawa ani nie finansować przestępców. Świetna i wciągająca analiza. Zaskakujące, jak mocno dopracowane są tego rodzaju ataki.

6) Jak pisać blogi techniczne, które naprawdę przyciągną programistów?
https://refactoringenglish.com/chapters/write-blog-posts-developers-read/
INFO: Autor dzieli się lekcjami wyniesionymi ze swojego 9-letniego doświadczenia w blogowaniu dla developerów, zwracając uwagę na najczęstsze błędy, które odstraszają czytelników. Tekst podpowiada, jak pisać konkretnie, jak rozszerzać potencjalną grupę odbiorców oraz jak zaplanować dystrybucję treści, by trafiły do właściwego grona. Praktyczne porady poparte są przykładami autora i pokazują, jak niewielkie zmiany w stylu i formie mogą znacząco podnieść zasięg i skuteczność technicznego bloga.

7) Deep Actions - jak zwiększyć skuteczność i precyzję AI? [autopromocja]
https://www.aidevs.pl/webinar-deep-actions
INFO: Dołącz do webinaru na temat budowy systemów agentowych i dowiedz się, jak działają mechanizmy oparte o Deep Thinking, recal i deep search. Weźmiemy także pod lupę rozwiązania “Deep Research” od znanych marek takich jak OpenAI, Perplexity, czy Grok. Webinar odbędzie się w środę, 9 kwietnia o godzinie 20:00. Osoby zapisane otrzymają dostęp do wszystkich omawianych podczas spotkania kodów źródłowych.

8) Artykuły i webinary z newslettera Architecture Weekly dostępne za darmo
https://www.architecture-weekly.com/p/whole-architecture-weekly-content
INFO: Niegdyś płatny newsletter “Architecture Weekly” stał się właśnie darmowy i udostępnił publicznie wszystkie treści dostępne do tej pory tylko dla płatnych subskrybentów. Znajdziesz tam nie tylko archiwalne wydania newslettera premium, ale także nagrania webinarów.

9) Dlaczego grepowanie logów to wciąż zły pomysł?
https://chronicles.mad-scientist.club/tales/grepping-logs-remains-terrible/
INFO: Autor zestawia tradycyjne metody pracy z logami — używanie grepa, jq czy sed — z podejściem opartym o bazę danych zoptymalizowaną pod logi (VictoriaLogs). Nawet dekadowy Mac Mini z dyskiem HDD, ale działający na dedykowanej logom bazie, pokonuje wydajnościowo nowoczesny desktop z SSD w szybkości i zasobożerności wykonywanych zapytań. Może warto zbierać logi w taki właśnie sposób?

10) Zbuduj mikrofon laserowy na wzór systemów szpiegowskich CIA (film, 6m)
https://www.youtube.com/watch?v=EiVi8AjG4OY
INFO: Film pokazuje, jak zbudować urządzenie zdolne do podsłuchiwania dźwięków z wnętrza pomieszczenia poprzez niewielkie drgania szyby. Autor odtwarza technologię znaną jeszcze z czasów zimnej wojny. Nagranie, poza procesem powstawania urządzenia, zawiera także praktyczny test rozwiązania i pokazuje, na ile skuteczna może być taka konstrukcja wykonana w warunkach domowych.

11) Oszustwo na “zamykający się sklep” – kolejna fala fałszywych reklam na Facebooku
https://typefully.com/uwteam/uwazaj-na-oszustwo-na-zamykajacy-sie-sklep-MLVsaYG
INFO: Internet zalewają reklamy rzekomo likwidowanych sklepów. Jedne spłonęły (ale towar ocalał!), inne zostały wygryzione z rynku przez złych kapitalistów, a przy innych właściciele odchodzą na emeryturę. Wszystkie jednak łączy jeden wspólny element — z tego powodu towary sprzedawane są w śmiesznych cenach (często poniżej kosztów produkcji), bo “trzeba opróżnić magazyn”. Ten krótki tekst to analiza jednego z takich przekrętów.

12) Eksperyment z ukrytym repozytorium i ZIP-bombą jako przestroga dla pentesterów
https://niebezpiecznik.pl/post/rickroll-w-repo-i-bomba-w-niezbyt-glebokim-ukryciu/
INFO: Autor celowo wystawił fałszywe repozytorium GIT-a i plik “z backupem” (będący ZIP-bombą), by sprawdzić, ile osób szukających podatności webowych da się złapać na taki żart. W repozytorium znalazły się także pliki udające dane wrażliwe i klasyczny Rickroll, a całość miała uświadomić, jak często wystawione repo lub plik backupowy mogą prowadzić do realnych zagrożeń bezpieczeństwa.

13) Jak przestać być ‘fabryką funkcji’ i odzyskać skupienie zespołu deweloperskiego
https://hybridhacker.email/p/how-to-stop-the-feature-factory
INFO: Wiele zespołów IT skupia się na ciągłym dodawaniu nowych funkcji do produktów, często kosztem jakości, wartości dla użytkownika i z pominięciem długoterminowej strategii firmy. W ten sposób, zamiast rozwijać produkt w jakimś konkretnym kierunku, tworzymy nowe funkcje, jedna po drugiej. Jak zatrzymać ten pęd przed siebie i co robić zamiast tego? Tego dowiesz się z artykułu.

14) Czy agenci AI mogą zabić przeglądarki internetowe? (film, 15m)
https://www.youtube.com/watch?v=pznpsgZqlGQ
INFO: Przeglądarki, jakie znamy, mogą odejść do lamusa — wszystko przez rosnącą popularność agentów AI. W prezentacji przedstawiony jest kierunek rozwoju internetu, w którym agent potrafi samodzielnie odczytywać, przetwarzać i prezentować dane z dowolnej strony www, całkowicie pomijając potrzebę korzystania z klasycznego interfejsu przeglądarki. Pokazane są też konkretne narzędzia umożliwiające taki scenariusz: od prostych narzędzi do scrappingu, przez LLM-y, po standardy takie jak MCP. Interesująca prezentacja dla tych, którzy chcą wiedzieć, co może nas czekać po “erze przeglądarek”.

15) Raport roczny i działania CERT Polska w 2024 roku - cybersecurity (PDF, 115 stron)
https://cert.pl/posts/2025/04/raport-roczny-2024/
INFO: CERT Polska podsumowuje ubiegły rok jako rekordowy pod względem liczby incydentów i intensywności działań na rzecz bezpieczeństwa w sieci. W raporcie znajdziemy m.in. analizę polskich kampanii phishingowych, informacje o krytycznych podatnościach w popularnych technologiach oraz komentarze dotyczące (raczej kiepskiej) współpracy z firmą Meta i problematyki oszustw na platformach społecznościowych. Interesujące. Warto rzucić okiem.

16) Zmniejszanie złożoności selektorów w CSS dzięki pseudoklasie :is()
https://gomakethings.com/reducing-css-complexity-with-the-is-pseudo-class/
INFO: Pseudoklasa “:is” pozwala grupować wiele selektorów w jeden krótszy zapis, co znacząco upraszcza kod CSS – zwłaszcza gdy mamy do czynienia z powtarzającymi się i zagnieżdżonymi selektorami. Artykuł pokazuje realny przykład zastosowania tego mechanizmu. Przy okazji autor podkreśla różnice w czytelności kodu między :is() a CSS nestingiem oraz potencjalne pułapki związane z użyciem tego rozwiązania.

17) Minimalistyczne placeholdery grafik w samym CSS
https://leanrada.com/notes/css-only-lqip/
INFO: Tworząc aplikację webową, gdy jeszcze programista nie ma dostępu do docelowych grafik, popularne jest wykorzystywanie placeholderów, czyli obrazów, które tymczasowo wypełniają luki w designie. Ten artykuł wyjaśni Ci, jak wygenerować taki wypełniacz w samym CSS, bez potrzeby używania JavaScriptu czy jakiejkolwiek technologii backendowej. Cały system oparty jest na jednym niestandardowym atrybucie CSS, który przechowuje zakodowaną jako liczbę całkowitą uproszczoną reprezentację obrazka. Sprytne rozwiązanie.

18) Phishing na Mailchimpie - twórca Have I Been Pwned traci dane subskrybentów?
https://www.troyhunt.com/a-sneaky-phish-just-grabbed-my-mailchimp-mailing-list/
INFO: Troy Hunt, znany twórca serwisu Have I Been Pwned, padł ofiarą dobrze przygotowanego phishingu podszywającego się pod logowanie do Mailchimpa. Napastnik zdobył dane logowania i kod OTP, co pozwoliło mu szybko wyeksportować listę mailingową zawierającą ok. 16 tys. adresów e-mail – zarówno aktywnych subskrybentów, jak i osoby, które już zrezygnowały z newslettera. Hunt szczegółowo opisuje błąd, który popełnił, oraz problemy z bezpieczeństwem i zasadami przechowywania danych przez Mailchimpa.

19) Budowanie efektywnych zespołów w erze AI - jak to ogarnąć?
https://addyo.substack.com/p/leading-effective-engineering-teams-c9b
INFO: Używanie sztucznej inteligencji przy budowie oprogramowania nie polega na tym, aby tylko pisać kod szybciej, ale na tym, aby tworzyć lepsze oprogramowanie. Pytanie tylko, jak to zrobić i jak pokierować pracami swojego zespołu, aby to osiągnąć? Ciekawe omówienie tematu z naciskiem na to, aby zespół przesadnie nie polegał na sztucznej inteligencji i aby nie doprowadzić do czegoś, co nazwane jest “erozją umiejętności”. Tekst dla osób zarządzających zespołami.

20) Popularne algorytmy przedstawione wizualnie - jak to działa?
https://photonlines.substack.com/p/visual-focused-algorithms-cheat-sheet
INFO: Jeśli chcesz zrozumieć (np. na potrzeby rozmów rekrutacyjnych), jak działają najpopularniejsze algorytmy związane z sortowaniem czy wyszukiwaniem informacji, to w tym artykule znajdziesz dość prostą wizualizację zasady ich działania. W każdym z przypadków pokazano krok po kroku, jak działa dany algorytm, wraz z komentarzem, kiedy warto go użyć i jaka jest jego złożoność czasowa.

21) Raspberry Pi i wyświetlacz e-ink jako domowy tracker metra i pogody
https://sambroner.com/posts/raspberry-pi-train
INFO: Sprytne połączenie “Malinki”, wyświetlacza e-papierowego oraz danych pogodowych i API z rozkładami jazdy pozwoliło autorowi zbudować wyświetlacz pokazujący czasy przyjazdów nowojorskiego metra, oraz prognozę pogody. Urządzenie działa w czasie rzeczywistym, aktualizując tylko wybrane sekcje, aby ograniczyć ghosting i zachować czytelność ekranu. Sprytne, estetyczne i niezbyt skomplikowane technicznie rozwiązanie.

22) Projekty FOSS pod ostrzałem ze strony firm AI?
https://thelibre.news/foss-infrastructure-is-under-attack-by-ai-companies/
INFO: Firmy zajmujące się sztuczną inteligencją bardzo intensywnie polegają na rozwiązaniach open source. Nie zawsze oznacza to tylko wykorzystanie oprogramowania na wolnej licencji, ale czasami też na wykorzystaniu treści i projektów online, które są publicznie dostępne w sieci. Niestety często destabilizuje to działanie serwerów. Scrapery AI, bo o nich mowa, ignorują zapisy z pliku robots.txt, podszywając się wielokrotnie pod przeglądarki, zasypują publiczne repozytoria tysiącami zapytań, co prowadzi do realnych problemów, jak DDoS czy niedostępność usług. Społeczność FOSS szuka sposobu na obronę przed tym procederem, ale niestety, obecnie wypracowane rozwiązania często utrudniają życie zwykłym użytkownikom. Więcej dowiesz się z artykułu.

23) OpenAI oferuje darmowe kursy ze sztucznej inteligencji
https://academy.openai.com/
INFO: OpenAI uruchomiło swoją platformę z darmowymi kursami, które pomogą Ci poszerzyć wiedzę na temat tego, jak działa sztuczna inteligencja. Obecnie w serwisie dostępnych jest już kilka kursów (np. użycie ChatGPT w pracy, wykorzystanie chata do nauki na studiach, jak i w podstawówce, oraz coś dla developerów). Na stronie głównej zobaczysz, że planowane są kolejne pozycje w akademii.

24) Node Modules Inspector - narzędzie do przeglądania zainstalowanych zależności
https://node-modules.dev/
INFO: Chcesz użyć nowej paczki z repozytorium NPM, ale ile ona będzie ważyć i ile zależności pociągnie za sobą? Najprościej będzie to sprawdzić w praktyce. To proste narzędzie webowe zainstaluje podaną przez Ciebie paczkę w wirtualnym środowisku, a następnie wyświetli bardzo szczegółową wizualizację tego, co ta paczka instaluje i ile tego jest. Użyteczne.

25) Tworzenie opisów do obrazów - porównanie 12 modeli LLM
https://dri.es/comparing-local-llms-for-alt-text-generation
INFO: Chcesz katalogować fotki na podstawie tego, co przedstawiają? A może zależy Ci jedynie na automatycznym generowaniu ALT-ów do obrazów na stronie? W obu przypadkach pomocne mogą być multimodalne modele językowe. Tylko który z nich wybrać? Autor przetestował 12 najpopularniejszych rozwiązań. Nie będzie zaskoczeniem, gdy powiem, że najlepiej wypadły dwa komercyjne LLM-y, ale lokalne rozwiązania też do czegoś mogą się przydać. Zobacz szczegółową analizę w artykule.

26) Dlaczego unieważnianie cache jest takie trudne?
https://newsletter.scalablethread.com/p/why-cache-invalidation-is-hard
INFO: Cache invalidation, czyli zapewnianie spójności między pamięcią podręczną a źródłem danych, okazuje się wyjątkowo złożonym problemem, zwłaszcza w systemach rozproszonych. Trzeba uwzględnić kwestie takie jak opóźnienia sieci, kolejność przetwarzania wiadomości, ograniczenia pojemności cache oraz kompromis między aktualnością danych a wydajnością całego rozwiązania. Artykuł omawia te wyzwania krok po kroku, pokazując m.in. wpływ polityk usuwania danych, problem fałszywego współdzielenia i trudności w przewidywaniu przyszłych wzorców dostępu.

27) Signal, rząd USA i tajne wojskowe rozmowy – co mogło pójść nie tak? (film, 14m)
https://www.youtube.com/watch?v=j-Mb1jXUZ1g
INFO: Amerykańscy politycy przypadkowo zaprosili dziennikarza do grupowego czatu na Signalu, gdzie omawiano szczegóły planowanej operacji wojskowej w Jemenie. Film analizuje, jak mogło dojść do takiego wycieku i dlaczego nie jest to wina samej aplikacji, lecz sposobu, w jaki została ona zastosowana. Omawiane są kwestie związane z OPSEC, kontrolą dostępu, procedurami bezpieczeństwa w administracji USA oraz zagrożeniami wynikającymi z korzystania z prywatnych urządzeń do celów służbowych.

28) A gdyby tak prześledzić tok myślenia LLM-a?
https://www.anthropic.com/research/tracing-thoughts-language-model
INFO: Ludzie korzystają z LLM-ów, ale nie rozumieją, jak one działają. Co ciekawe, producenci tych rozwiązań także tego do końca nie rozumieją. Firma Anthropic (twórca np. Claude) opracowała metodę pozwalającą na śledzenie procesów decyzyjnych zachodzących wewnątrz dużych modeli językowych. Metoda nazwana “Circuit Tracing” pokazała, że modele językowe planują swoje wypowiedzi (a nie działają w trybie sekwencyjnym, jak do tej pory zakładano). Jeśli interesujesz się LLM-ami na głębszym poziomie niż używanie gotowych rozwiązań, to w tym artykule znajdziesz sporo ciekawostek, które zwiększą Twoje rozumienie tej technologii.

29) Raport roczny CSIRT KNF za 2024 rok - cyberzagrożenia w sektorze finansowym (PDF, 69 stron)
https://www.knf.gov.pl/knf/pl/komponenty/img/Raport_Roczny_CSIRT_KNF_2024_93226.pdf
INFO: Zespół bezpieczeństwa z Komisji Nadzoru Finansowego opublikował podsumowanie zagrożeń, które wpłynęły na instytucje finansowe w ubiegłym roku. W raporcie przedstawiono statystyki dotyczące m.in. ataków phishingowych, prób przejęcia kont, kampanii socjotechnicznych oraz incydentów w bankowości elektronicznej.

30) PomoSSH - terminalowy timer pomodoro z dostępem przez SSH
https://pomo.ftp.sh
INFO: Minimalistyczna aplikacja do zarządzania sesjami pracy w metodyce Pomodoro dostępna z poziomu terminala. Możesz połączyć się z publiczną instancją lub zainstalować rozwiązanie lokalnie. Obsługuje elastyczne zarządzanie sesjami, własne etykiety, kilka trybów wizualnych, a przy instalacji lokalnej wspiera także powiadomienia na pulpicie. Wrzucam jako ciekawostkę.

31) Już nie tylko piszemy kod — teraz go orkiestrujemy z agentami AI
https://kaicbento.substack.com/p/youre-not-coding-alone-anymore-coding
INFO: Rozwój narzędzi takich jak GitHub Copilot, Claude Code czy Cursor AI oznacza ważną zmianę w pracy programistów. Z roli klepaczy kodu przechodzimy do roli koordynatorów zespołów agentów AI. To nowe podejście wymaga jednak od nas nowego zestawu umiejętności: od precyzyjnego promptowania po systemowe myślenie o projektach. Artykuł pokazuje, że choć AI daje ogromne możliwości, to nadal potrzebna jest ludzka kontrola, by nie skończyło się na 'vibe codingu’, który bardziej przypomina grę w ruletkę niż profesjonalne wytwarzanie oprogramowania.

32) Test narzędzi AI do tworzenia landing page'y – 4 platformy w praktyce
https://blog.codeyam.com/p/testing-the-latest-ai-tools-for-prototyping
INFO: Autor (doświadczony web designer) sprawdza cztery narzędzia AI (Cursor, v0, Lovable i Bolt new) pod kątem tworzenia profesjonalnego landing page'a na podstawie krótkiego prompta i screenshota istniejącej strony. Wyniki są dość zróżnicowane, ale co ciekawe, wszystkie generują poprawne, choć niezbyt oryginalne strony. Które rozwiązanie wypadło najlepiej? Przodują dwa - jedno za projekt UI, a drugie ze względu na kod. Więcej w artykule.

33) Głosowy agent AI połączony z Gmailem i Google Calendar, bez kodowania (film, 20m)
https://www.youtube.com/watch?v=xbY4N1qi7hY
INFO: Zbudowanie prostego asystenta AI reagującego na głos nie jest obecnie wielkim wyzwaniem, ale z użyciem nowych rozwiązań od ElevenLabs możesz stworzyć rozwiązanie, z którym porozmawiasz “na żywo” (jak w ChatGPT, bez interakcji z oczekiwaniem na odpowiedź) i które będzie miało dostęp do wskazanych przez Ciebie danych. W filmie wykorzystano aplikację N8N do budowy backendu bez konieczności programowania.

== LINKI TYLKO DLA PATRONÓW ==

34) Kolekcja serwerów MCP umożliwiających interakcję AI z lokalnymi i zdalnymi zasobami
https://uw7.org/un_c3696dd4b30e2
INFO: Obszerne repozytorium serwerów implementujących Model Context Protocol, dzięki którym AI może bezpiecznie korzystać ze zintegrowanych usług i zasobów, takich jak bazy danych, systemy plików, API, przeglądarki czy narzędzia CLI. Lista zawiera zarówno implementacje produkcyjne, jak i eksperymentalne, z podziałem na zastosowania i technologie (np. Python, Rust, Java). Znajdziesz tu także frameworki, tutoriale i linki do społeczności MCP (Discord, Reddit).