Why Security Teams Need To Start Earlier

Post Syndicated from Tom Caiazza original https://www.rapid7.com/blog/post/it-why-security-teams-need-to-start-earlier

Security leaders are facing an unusual set of circumstances. The drumbeat for better security prioritization has been rising for years in boardrooms around the world. The desire is there, but the processes of the past aren’t meeting the needs of the new moment we find ourselves in. 

That gap is not a technology problem. It’s an operating model problem.

At the opening keynote of Rapid7’s 2026 Global Cybersecurity Summit, Craig Adams, Chief Product Officer, Rapid7, Brian Castagna, CSO, Rapid7 and IDC’s Research VP, Craig Robinson framed a simple idea: cyber defense needs to start earlier.

For more on this, download our new ebook, Preemptive Security: From Resilience to Action.

Complexity is outpacing control

Security environments have never been more connected or more difficult to manage. Cloud adoption, SaaS sprawl, third-party dependencies, and identity growth have expanded the attack surface in ways most programs were not designed to handle. Many teams have responded by adding more tools and more telemetry. This has resulted in more fragmentation, more dashboards, and more opportunities for important information to slip through the cracks. 

Teams are spending more time stitching context together than they are effectively reducing risk. This shows up in daily operations with analysts moving between multiple systems to validate alerts, and leaders lacking the clear picture to explain risk to the business. In a time when exposure management and detection & response can live on one platform, that level of fragmentation makes no sense.

Reactive security creates operational drag

The traditional model still dominates most security programs. It goes like this (stop us if you’ve heard this before): 1) Detect an alert. 2) Investigate. 3) Contain. 4) Recover. 5) Repeat, forever. 

Sounds simple, right? And it worked great when environments were simpler and attackers moved slower. That is no longer the case.

Today, initial access often happens quietly through identity abuse or misconfiguration. Attack paths form before an alert even fires. By the time a signal reaches the security team, attackers may already be moving laterally or accessing sensitive systems. This creates a cycle of constant response without consistent risk reduction. Teams get better at handling incidents but struggle to remove the conditions that enable them.

Security operations centers can receive thousands of alerts per day, many of which are low value or false positives. This leaves analysts spending hours triaging signals instead of focusing on the exposures most likely to lead to impact.

More alerts do not make you safer. They create drag. Better context creates better outcomes. 

The issue is prioritization, not visibility

Most organizations are not lacking data. They are lacking the clarity needed to understand the data they have and contextualize it as it relates to their business. Telemetry alone does not answer the question that matters most: what should we do first?

Attackers look for the most effective path into an environment, often combining smaller weaknesses across assets, identities, and systems until they create meaningful access. Security teams need a similarly connected view, one that helps them understand which exposures are exploitable, which assets are most critical, and how those risks relate across the environment. When teams can see that full picture, they can focus remediation on the issues most likely to be used in a real attack, making risk reduction more targeted, efficient, and defensible. 

The result is effort without impact.

Why security needs to start earlier

The summit’s keynote message is direct: meaningful action must move earlier in the lifecycle.

Preemptive Security introduces an operating model designed for that shift. It connects four core elements:

  • Exposure management to identify and prioritize risk

  • Managed detection and response (MDR) to monitor and act

  • Artificial intelligence to reduce noise and accelerate analysis

  • Human expertise to validate and decide

Together, these capabilities create a system that acts before risk becomes impact. Instead of waiting for alerts, teams identify likely breach paths. Instead of reacting to incidents, they reduce exposure ahead of time. Instead of managing disconnected tools, they operate with shared context and clear priorities. Detection and response becomes one leg of the stool with exposure management taking the lead in reducing risk before it becomes an emergency. 

What changes for security leaders

For CISOs and security leaders, this shift means designing programs around likely attack paths, not isolated findings. It means prioritizing investments based on risk reduction, not tool coverage and enabling teams to act decisively without increasing headcount or complexity.

It also changes how success is measured. The goal is fewer surprises, faster containment and reduced exposure before exploitation. It means starting earlier, to increase the likelihood of success. These are outcomes the business understands.

A new starting point for security

Ultimately, the environment has changed faster than the operating model. So the operating model needs to change. Luckily, there’s a proven path forward that can prevent the attacks from bad actors already moving in earlier, using technology to scale their operations, and exploiting small weaknesses to get a foothold. 

Preemptive Security provides the framework to close that gap. It helps teams reduce noise, focus on what matters, and act with confidence before disruption occurs. Security does not start with an alert. It starts with understanding risk early enough to do something about it.

Watch the keynote on demand or download the eBook, Preemptive Security: From Resilience to Action, to explore the model in more detail.

Mastodon 4.6 released

Post Syndicated from corbet original https://lwn.net/Articles/1078466/

Version
4.6 of the Mastodon fediverse platform has been released.

The headliner of this release is Collections, a way to create and
share curated collections of profiles. Part of Mastodon’s work
ethos is our commitment to trust and safety, so we’ve put a lot of
thought and care into the design of this feature to avoid some of
the pitfalls and abuse people have experienced with similar
features on other platforms, while focusing on its primary goal:
Helping new users discover more of the Fediverse.

Other new features include support for subscribing to posts via email, the
ability to generate a “year in review” post, accessibility improvements,
and more.

[$] Single-hop block replication with RMR and BRMR

Post Syndicated from daroc original https://lwn.net/Articles/1074291/

How can cloud providers efficiently supply durable virtual block devices? Remote
Direct Memory Access (RDMA) provides a way for servers in a cluster to share
chunks of memory, but there still needs to be a protocol that operates on top of
RDMA to provide the guarantees expected of a block device. The kernel’s RDMA transport
library (RTRS) provides a way to send messages via RDMA. I
presented about two
new components built on top of RTRS at the 2026
Linux
Storage, Filesystem, Memory Management and BPF Summit: Reliable Multicast
over RTRS (RMR) and Block device over RMR (BRMR). These modules, which I
am working on with Jia Li, could be a way for cloud providers to
expose durable block devices with as little overhead as possible. To accomplish
that, however, we need some discussion and feedback from the community before
sending the modules upstream.

Security updates for Thursday

Post Syndicated from jzb original https://lwn.net/Articles/1078465/

Security updates have been issued by AlmaLinux (dracut, podman, postfix, rsync, xorg-x11-server, and xorg-x11-server-Xwayland), Debian (atril, firefox-esr, and nginx), Mageia (libcap, perl, and python-pillow), Oracle (firefox, gstreamer-plugins-base and gstreamer-plugins-good, httpd:2.4, kernel, libpng12, libpng15, libxml2, libxslt, opencryptoki, openssl, postfix, rsync, webkit2gtk3, xorg-x11-server, and xorg-x11-server-Xwayland), Slackware (bind, libidn, mozilla, and openssl), SUSE (alloy, docker, elemental-system-agent, glibc, grafana, helm, LibVNCServer, openssh8.4, perl-GD, perl-HTTP-Daemon, python-WebOb-doc, python311-google-adk, rustup, traefik2, wireshark, and xwayland), and Ubuntu (dolibarr, golang-go.crypto, graphite2, gst-plugins-bad1.0, kitty, libconfig-inifiles-perl, libnginx-mod-js, and webpy).

Celebrating 12 years of Project Galileo

Post Syndicated from Jocelyn Woolbright original https://blog.cloudflare.com/celebrating-12-years-of-project-galileo/

Twelve years ago this month, Cloudflare launched an ambitious project built on a simple idea: people shouldn’t be knocked offline just because someone more powerful disagrees with them. Today, Project Galileo provides free access to cybersecurity services to more than 3,400 websites belonging to journalists, human rights defenders, and other nonprofit organizations in 120 countries. We continue to believe that a better Internet is one where anyone with an idea can reach a global audience. 

Each year on the anniversary of Project Galileo, we announce new products, programs, and strategic partnerships. To celebrate our 12th anniversary this year, we’re publishing our first comprehensive report on cyberattacks targeting civil society, releasing case studies that explore the security needs of 16 Project Galileo participants, and announcing new project partners.


Introducing a new annual report on cyberattacks against global civil society

Because Project Galileo now includes 3,400 domains belonging to organizations in over 120 countries, Cloudflare has access to unique data regarding the cyber threats, attacks, and trends targeting civil society — a critical pillar of global democracy. In addition, because the Cloudflare network spans more than 335 cities in 125 countries and more than 20% of the web sits behind it, we were also able to compare attacks targeting civil society with those targeting the Internet more broadly. The full report can be explored here.

This year’s data demonstrates that civil society organizations were targeted more frequently, and often more intensely, than other Internet users. Cyberattacks often coincided with critical moments in civil society’s work, such as publishing investigative reporting or conducting public advocacy. Our key findings include: 

  • DDoS attacks were the most common cyber threat against civil society. Their defining feature was duration, with some spanning days and weeks.

  • Civil society groups faced attempts to exploit website vulnerabilities at a rate more than seven times higher than other Cloudflare customers. Media organizations were disproportionately impacted.

  • Journalists operating in exile faced a rate of malicious traffic that was nearly four times higher than journalism organizations overall. 

  • Nearly 10% of all emails Cloudflare processed for civil society included potential phishing material. 

We conclude our report with a call to action: ensure simple and affordable cybersecurity for all, expand transparency about cyberattacks and Internet shutdowns, and embed AI and post-quantum protections into security tools by default. We hope this report can serve as a resource for civil society, policymakers, and the broader public seeking to understand and respond to cyberattacks. Moving forward, we plan to produce it annually, allowing us to compare cyber threat trends over time. 


In addition to the report, Cloudflare released the following qualitative case studies that add context about each organization’s security needs.

Organization

Description

Country/Region of Operation

SHARE Foundation

Nonprofit advocating for privacy, free expression, and other digital rights.

Serbia 

Hledaczvirat

Online platform/database for finding lost and found pets, connecting owners with animal shelters.

Czech Republic

Iran Watch / The Wisconsin Project

Research project tracking Iran’s weapons capabilities and nonproliferation issues, run by the Wisconsin Project on Nuclear Arms Control. 

United States 

Bulletin of Atomic Scientists

Nonprofit media organization covering nuclear risk, climate change, and disruptive tech. 

United States

The Royal Meteorological Society

Society for weather and climate science, supporting meteorology research, education, and professional accreditation.

United Kingdom

Project Ainita

An engineering collective that develops tools and research for human rights organizations, lawyers, and activists operating in high-risk environments.

Global

Ukraine War Archive

Digital archive documenting and preserving evidence of war crimes and events from the Russia-Ukraine war. 

Ukraine

Our World in Data

Research and data publication on global issues like poverty, health, and climate. 

United Kingdom 

Hague Institute for Innovation of Law

Think-and-do tank focused on user-friendly justice systems and resolving justice problems for people worldwide. 

Netherlands 

Center for American Progress

Progressive public policy research and advocacy think tank. 

United States

Sea Shepherd Brazil

Brazilian chapter of Sea Shepherd, marine conservation organization protecting ocean wildlife and ecosystems. 

Brazil

elTOQUE

Independent digital media outlet covering Cuba, including news, economics, and exchange rate tracking. 

Global

Humanitix

Nonprofit ticketing platform donating booking fees to children’s education and health charities. 

Australia 

Organized Crime and Corruption Reporting Project (OCCRP)

Global investigative journalism network exposing organized crime and corruption. 

Netherlands

Activist Rights

Legal information resource for activists on their rights and legal risks during protest and campaigning. 

Australia

China Digital Times

Bilingual news website covering censorship, human rights, and politics in China. 

United States 

Welcoming new partners 

Project Galileo relies on its 59 civil society partners to be a success. Every single organization that applies to the program is reviewed and approved by one of these partners. These groups volunteer their time and expertise, often reviewing multiple applications per day, to help make sure our services go to deserving organizations. 

Over time, these relationships have not only helped grow Project Galileo into the program it is today, but also launched entirely new initiatives, like our email security partnership with Protect.ngo (formerly CyberPeace Institute) or our work supporting Internet measurement at public schools through UNICEF’s Giga project.

For several years, one of our goals for Project Galileo has been to reach more organizations in regions outside North America and Europe. Part of that effort has been attending regional events like RightsCon in Costa Rica (2023) and Taiwan (2025) to speak directly with local digital rights organizations. We have also welcomed new partners who bring their own active networks and communities into the program. For example, last year we announced two new partners in the Asia-Pacific region: EngageMedia and the OpenCulture Foundation.

Because of the new services we recently added to Project Galileo to help local news organizations protect their content from AI crawlers, our partnership focus this year was groups serving journalists. To that end, we are proud to announce three new partners:

Organization

Description

Country/Region of Operation

International Center for Journalists

Nonprofit focused on promoting high-quality independent journalism. Provides training, fellowships, mentorship, and financial support to journalists, specializing in helping reporters leverage digital technologies. 

Based in the United States and supporting journalists in 180+ countries.

Media Cluster Norway

Innovation hub focused on next-generation media technology. Provides collaborative research spaces, funding opportunities, business incubation, and networking events for 100+ creators and local newsrooms. 

Norway 

NGO-ISAC

Nonprofit network focused on protecting civil society from cybersecurity threats. Provides threat intelligence, defensive coordination, training, and support to its network of over 1,000 nonprofit organizations.  

United States  

Continuing to protect civil society around the world 

Today’s new report, case studies, and new partners are all aimed at working toward Project Galileo’s fundamental goal: ensuring that cyberattacks do not silence organizations working in vulnerable, essential areas like journalism and human rights. 

As we look to the future, we remain committed to finding new ways to expand our protections to at-risk groups worldwide. If your organization is looking for protection under Project Galileo, please visit cloudflare.com/galileo.

„Къде е шейтанът тук?“ Аллах и тежка музика

Post Syndicated from Атанас Шиников original https://www.toest.bg/kude-e-sheytanut-tuk-allah-i-tezhka-muzika/

„Къде е шейтанът тук?“ Аллах и тежка музика

В езиковата гимназия, където учех, имахме навика да носим тениски, по-тежки от нас самите. Покрай концерта на „Мейдън“ през май се сетих, че това беше първата банда, с която ми влезе стружка в ухото, както гласи клишето. А пък графити тагът ми, с който вгорчавах живота на чистачките в училището, беше Morbid – така ми казваха и приятелите. Идва от името на детметъл бандата „Морбид Ейнджъл“.

През 1998 г. с един приятел ни хрумна да правим седмично предаване за тежка музика по местното радио. Кръстихме го „Баялдизъм“. От манджата с турско име имамбаялдъ, пълнен патладжан. „Имамът припадна“, това значи на български, или както се казва по нашия край, баялдиса. Явно сплавта между тежка музика и Ориента оттогава ме преследва. Три часа тежка музика всяка сряда, огромен блок, който да ранява смъртно слуха на пазарджишките пенсионери с протяжни истории за групи и изпълненията им. Хевиметъл, хардкор, детметъл, прогресив, блек, готик – каквото си представите. Ако трябва да го обобщя евфемистично, самоопрощаващо и иронично, забавен тийнейджърски експеримент, нелишен от грешките на младостта.

През 1998-ма, същата година, в която се озовах в нашенската арабистика, излезе и „Дяволът в музиката“ (Diabolus in Musica) на „Слейър“. А ако си мислите, че шейтанът в музиката няма връзка с Ориента, спомнете си легендарното трашвидео на „Сезони в бездната“ (Seasons in the Abyss) от 1990 г. Беше снимано в Египет на фона на бедуини, камили, пустинята, пирамиди, Сфинкса, храмове, огньове малко преди Буш да удари Ирак по време на „Пустинна буря“. Та чак „Ролингстоун“ 25 години по-късно посветиха пространен материал на тяхната „египетска Одисея“.

„Египетска Одисея“ звучи малко като „Мека, която е Йерусалимът на християнството“, по коментара на анонимен форумен участник в „Дневник“ навремето. Впрочем, като сме тръгнали с ориенталистките асоциации, „Слейър“ на арабски е катил. Разпознавате думата, навлязла и в „езика свещен на моите деди, език на мъки, стонове вековни“ през турски, че и пояснена в Речника на българския език на Института за български език с ключови цитати, като този от Вера Мутафчиева: „Нищо друго ми не трябва, божичко, само тази нощ дано ме не съсекат катилите, да не ме пекат на огън и дупчат с ками!“

А ако се поразходим из дома на исляма, ще видим как ролите на катила и шейтана по отношение на тежката музика търпят постоянно предоговаряне.

Мюсюлманската доктрина винаги е имала амбивалентно отношение към пеенето и инструментите. Не само към западните, не специфично към Бах или Ариана Гранде, към Тони Стораро или Азис. А към музиката по принцип. Има достатъчно идеологически лагери, от които да си избереш според догматичните и художествените предпочитания, а и според своята собствена лична история.

Като човек, който се занимава с мюсюлманско право, стабилно вкоренено в свещените текстове, предпочитам да тръгнем от по-строгите перспективи. Някак по-консистентни са. А и отвъд „Всеки прави и вярва в каквото си иска“, или както казваше баща ми, лека му пръст, „Всеки да яде и пие каквото му се услажда!“, има перспективи, които ни изглеждат далечни и неразбираеми. Особено докато си седим пред компютрите и чакаме някой хипстърски градски фестивал лятоска. Но пък са доста устойчиви, колкото и да не ни се нравят, погледнати по-отблизо. Камо ли когато се наложи да се съобразяваме, „за да не ни олепят“ по шариата, както се казва в българския арестантски жаргон. Не питайте откъде знам.

В рамките на консервативния възглед мисловният поток тече така. Коранът може и да е пестелив относно музиката, но все пак е вечното слово на Аллах. Очаква се, че в него има всичко нужно за благочестивия живот и стигането до Рая (Джанна). Или ако нещо го няма там, ще да се намери в Сунната – записите за казаното и направеното от Пророка. Защото те се допълват и поясняват едно друго. А небесното откровение говори за „лъжливото слово“ (каул аз-зур; 22:30), „празнословие“ (лагуу; 23:3, 25:72, 28:55), хора, които купуват „слова за забавление“ (31:6), земния живот като „забава и игра“ (29:64), или за съвременници на Пророка, които търсят „търговия или забавление“ (62:11). Тук навсякъде за забавлението текстът на Корана използва лахуу. А от същия корен идва и една от арабските думи за „музикални инструменти“ (малахи). Разбирайте, средства за греховно, суетно, светско забавление. И във всички по-горни текстове още ранните коментатори и религиозните авторитети започват да припознават музиката и пеенето.

Може да не е много ясно, но и Сунната настъпва допълнително педала на газта. Та не е ли казал и самият Пророк осъдително, че като знак за пълен морален упадък в мюсюлманската общност ще се появят хора, които обявяват за позволени прелюбодеянието, носенето на коприна (особено осъдително за мъже), пиенето на алкохолни питиета и свиренето на музикални инструменти? Оттук и исторически осъдителното отношение към съблазняващия рабите на Аллах занаят. В рамките на този възглед музиката в най-добрия случай, ако и да не идва директно от дълбините на адския Огън (нар) и неговия повелител Иблис, наподобява леките наркотици. Може самa по себе си да не е лошa, но отваря вратата към нещо порочно. Защото с музиката, било то песни или свирене на инструменти, вървят и танци, алкохол и разврат.

Консервативните изражения на обществено устройство имат откровено негативно отношение към музиката.

Вземете например талибаните в Афганистан. След козметичните салони на прицел попаднаха музикалните инструменти. Вижте само горящите китари, тарамбуки, тонколони и всякакво друго оборудване. Сходна беше съдбата и на музиката по времето на ИДИЛ. Възбраната се превърна в един от най-отчетливите знаци на управлението им. Никакви инструменти, никаквa музикa от радио, телефони, плейъри или в училищата. Мали през 2012–2013 г. беше друг пример. Там забраната се отрази и на известни банди, като носителите на „Грами“ „Тинаривен“ (в превод „Пустиня“, направо „пустиняци“), които наскоро ни гостуваха.

Затова и може да се случи вашият шофьор в Мароко, Сирия, Египет, Пакистан или Афганистан, примерно, да спира музиката по радиото или касетофона, пусната от неблагочестиви туристи или другари по религиозна общност. След което да удря спирачка насред магистралата, за да отслужи задължителната молитва на килимче върху асфалта. И двата жеста са проява на благочестие с един корен – нуждата от практическо приложение на т.нар. „повеля на одобряемото и възбрана на порицаемото“. Разбира се, тук винаги стои една голяма уговорка. Враждебното отношение не се отнася за религиозните музикални прояви (или поне припознавани от нас като такива), като арабския призив към молитва (азан), мелодичната рецитация на Корана (тартил, тилауа) или напевността на молитвите (зикр).

От друга страна, имаме умерено позволителното отношение. То изгражда аргументация върху ясната липса на регулация в Корана и неговата двусмисленост – защо пък „забавление“ да означава непременно възбрана върху пеенето и свиренето на инструменти? Няма ли варианти, при които да избегнем „забавлението“ в греховния му вид и пак да правим музика? Ето, Сунната съдържа богато съдържание и то не е непременно и само осъдително. Пророкът позволява на момичета да свирят и да пеят по време на празник в дома на Айша, съпругата му, например. Ако съществуват музикално натоварени изражения на духовност, защо непременно трябва да възбраним всяко пеене и свирене? Това твърди и големият Абу Хамид ал-Газали, този Тома от Аквино на суннизма от XI–XII век, в „Съживлението на науките на вярата“, обемен справочник по всякакви въпроси, които помагат на мюсюлманите да живеят праведно. При него

отношението към музиката зависи от нейната употреба и цел – ако е за почивка, поклонение и благочестиво обръщане към Твореца, е позволена.

Но ако употребата на музикални инструменти е в развратна компания на пияници и прелюбодейци, е категорично забранена. Контекстът и функцията са определящи. Затова също, ако си позволя личен спомен от студентските години, купоните на подпилите учащи се в Богословския факултет в СУ, на които се пеят черковни песнопения, са осъдителни. 

Че нали и част от практиката на мистиците суфи и дервиши са мистичните събирания, музикални изяви и танци (сама‘). А и да идем пò на изток в мюсюлманския свят, в Индия и Пакистан. Там, по думите на един познат американски антрополог, „вярващите може едновременно да казват „Харе Кришна и Аллаху акбар“, та имаме и жанрове като кауали (кавали). При тях също музикалният пърформанс е неотменна част от религиозната церемония. Добавете и постепенно проникващото от Античността теоретично отношение към музиката през повлияни от гръцката философия мислители като Ал-Кинди и Ал-Фараби от IX–X век.

А и съвсем извън религиозната норма, която начумерено гледа на дайрето (дафф), тарамбуката (дарабукка), тъпана (табл), флейтата (най), струнните саз, уд и кеменче, че и на певците и певиците, се вие вековното маане на мюсюлманската музикална практика. Музика се прави за кеф, както се пие и вино. Защото на хартия всички може да сме строги. Но в средновековен Багдад е възможно да си купим вино от християните и юдеите. Великият везир Низам ал-Мулк рецитира Сунната от „катедрата“ (минбар) в основаните от него медресета, но в същото време пише в своята „Книга за управлението“ (Сийасат-наме) как трябва да се организират събрания за пиене на вино. С обществена, политическа и забавлителна цел.

А музика и музикални инструменти за разтуха очевидно има не само в двора на халифа и султаните, ами и в домовете на знатните. Та затова и любимата ми сцена, исторически топос, е описанието на багдадския богослов Ибн ал-Банна от XI век в личния му дневник. По време на големи земетресения в земите на исляма и поражения върху джамиите там мюсюлманите в знак на покаяние изливат алкохола по улиците, напъждат леките жени и потрошават музикалните инструменти. Очевидно тези три начина на увеселение намират стабилно място в бита на средновековните мюсюлмани. Естествено, под постоянната заплаха от втвърдяване на общественото мнение и атмосфера от страна на консервативната общност на богослови, кадии и благочестиви маси правоверни. Или пък, ако се поддам на пословичната ми скептичност, Ибн ал-Банна може да си е измислил споменаването на три корена на всяко зло в уммата с назидателна цел.

Но каква е ситуацията с хедбенгърите и техните малахи, греховни електрически китари, в сенките на Корана (фи зилал ал-Куран), да препратя и аз към заглавието на известния тафсир на Саид Кутб от „Мюсюлмански братя“ от средата на XX век? Впрочем, тъй като съм решил да заложа на преводи на имена и реалии в духа на Богоровото „драсни-пални клечица“, нещо като заглавията на западните групи по плочите на „Балкантон“ от едно време,

предлагам „главотръскащи“ като превод на хедбенгър.

А и ще видите защо препратката към „Мюсюлмански братя“ в Египет не е случайна.

Да огледаме сцената през няколко примера, всички с различен профил, история, география, а и с различен късмет. Кисмат, казва арабската дума, дошла през нас чрез турски, сиреч онова, което ти е отредено от Аллах.

Като че ли най-безпроблемна изглежда ситуацията в югоизточната ни съседка. И как да не! Кемалисткият лаиклик задава тона на обществената и политическата среда през по-голямата част от XX век. Като отмениш халифата и искаш да изградиш нова легитимност, отваряш пространство за нови жанрове и преосмисляния на историята. И те се пръкват. Анадолският рок от 60-те и 70-те на миналия век. Докато ние се валяме в обятията на зрелия комунизъм, първият ни независим рок фестивал от май 1987 г. в Летния театър в София е още далеч в бъдещето, търсим кой ни е виновен за хала (друг арабизъм, припълзял до нас през турски),

нашите исторически „душмани“, заптиета и золумджии правят психеделик и прогресиврок. 

От вълната на анадолския рок изплуват фигури като Баръш Манчо, един от основателите на жанра, които постилат пътя на по-късната турска жица. На него му казвам „турския Франк Запа“, ама това ще да е по-скоро произволна асоциация въз основа на външния вид. Но който не е слушал неговите „Каваци край потока“ (Dere Boyu Kavaklar), „Тропици“ (Dönence) или „Моят приятел магарето“ (Arkadaşım Eşek), много е изпуснал.

На анадолския рок по-късно стъпва и сигурно най-известната тежка банда в Турция – любимците ми от „Мезаркабул“, – основана през 1986 г. в Истанбул, когато се появява и известният рокбар „Кеманджъ“. И те носят двойна шапка – хем тежък звук, хем с анадолски елементи. Хем в Турция се кичат с баналното, но разпознаваемо име „Пентаграм“, хем когато ходят навън, се промотират под по-оригиналното и местно „Мезаркабул“. Пеят хем на турски, хем на английски. А „Мезаркабул“ идва от две турски думи с арабски произход – „гробище“ (мезар) и „приемане“ (кабул). Или както обичахме да казваме в гимназията, „Вземай кални бани, да свикваш с пръстта“. Честно казано, ако не беше анадолският елемент, пърформансите на живо и пеенето на турски, щяха да са доста скучна мейнстрийм банда. Но пък са първопроходци, и то в обществена среда, която е благоприятна за жицата, ако и нелишена от напрежение по религиозна линия, без положението в Турция да е рисково като в по-консервативните части на арабския свят и страните с преобладаващо мюсюлманско население. Именно Огюн Санлъсой, дългогодишният им вокал, до когото случайно си пих бирата през 2009 г. в „Кеманджъ“, изпя римейк на стихотворението на турския бард от XVIII–XIX век Ашък Дертли за шейтана и обвиненията към музикантите.

Ашък Дертли буквално ще да рече „Угриженият влюбен“ – има дертове, както казваха баба ми и дядо ми. Само че ашък, освен че е „влюбен“ (в Аллах по подразбиране), е и титла на певец, уличен трубадур. Има много ашъци, но един от тях е Дертли, тоест „Угрижен“. Всъщност се е казвал Ибрахим. Него пък ходжите го обвинявали, че съгрешавал и бил слугувал на шейтана, защото свирел на струнен инструмент и пеел. На това той отговаря с песничка за шейтана и ходжите с игрив текст:

Де е шейтанът тук?
Името му е струнен саз,
не слуша ни коранични стихове, ни кадия,
който свири, го разбира.

Де е шейтанът тук, кажи ми?
Ако се умиеш ритуално, не казва,
ако кланяш молитвата намаз, не обажда,
ни яде забранено като мюфтия.

Де е шейтанът тук, кажи ми?
Струните му от Истанбул,
дръжката от хвойна,
бре, серсемино, рабe на Аллах,
де е шейтанът тук, кажи ми?

Няма рога, няма опашка,
ни краката му в сандали,
като Дертли е без чалма.
Де е шейтанът тук, кажи ми?

Ама ако питате ходжата, рогатият е навсякъде, особено като стане дума за хевиметъл.

Стига да имаш ищах (от арабското иштияк, ‘желание’) да го търсиш, изборът е голям, направо безкраен. Така казва и Умберто Еко в „Името на розата“, в диалозите между Уилям от Баскервил и инквизитора Бернар Ги. Може да откриеш Иблиса и в турски банди, като „Курбан“ („Жертва“, да не си мислите, че става въпрос за мазна овнешка чорба), „Кърмъзъ“ („Червено“, ако ви се поиска феминистки траш метъл), „маНга“, „Мор ве Отеси“ и един бюлюк други.

(Следва продължение.)

В рубриката „Ориент кафе“ Атанас Шиников поднася любопитни теми, свързани не толкова с горещата политика, колкото с историята и културата на Близкия изток. А той, древен и днешен, е по-близко до нас и съвремието ни, отколкото си представяме.

Embedding Forbidden Text in Spyware to Discourage AI Analysis

Post Syndicated from Bruce Schneier original https://www.schneier.com/blog/archives/2026/06/embedding-forbidden-text-in-spyware-to-discourage-ai-analysis.html

At least one malware developer is adding text about nuclear and biological weapons to their spyware, in an effort to stop automatic AI analysis.

Details:

The _index.js payload begins with a large JavaScript block comment containing fake system instructions and policy-triggering content. Because it is inside a comment, it does not affect JavaScript execution. The runtime skips it. The real malware begins after the comment with a try{eval(…)} wrapper around a large character-code array and a ROT-style substitution function.

This header appears designed for AI-mediated analysis, not for Node, Bun, or Python. It attempts to derail scanners or analyst copilots that feed the beginning of a file to a language model without clearly isolating the content as untrusted data. In weak pipelines, this can cause refusal behavior, prompt confusion, context pollution, or premature classification before the scanner reaches the actual malware.

This is not a magical bypass against static detection. YARA rules, entropy checks, AST parsing, string extraction, deobfuscation, and behavioral rules still work. But it is a practical anti-analysis trick against naive LLM-first triage systems.

Служебното паркиране в София

Post Syndicated from Боян Юруков original https://yurukov.net/blog/2026/slujebno/

В началото на годината забелязах, че няколко паркоместа извън синя и зелена зона, където често спирам, са вече служебен абонамент. Стори ми се странно предвид, че бяха пред офис сграда, която си има паркоместа в имота, а служебните бяха запазени включително за събота и неделя. Зачудих се как става това и колко такива има наоколо. Затова поисках от Центъра за градска мобилност информация за всички паркоместа в София – в и извън зоните за платено паркиране, служебни и обикновени, с точно местоположение и детайли за абонамента.

Отговориха ми в края на март като ми предоставиха две таблици. Първата с данни за 1447 абонамента, а втората с координатите и адресите на 2188 служебни паркоместа.

Методология и условности

От отговорът става ясно, че нямат координатите на всички паркоместа в София. Уточниха обаче, че в синя и зелена зона са около 33 хиляди. Имат географските координати единствено на тези за служебен абонамент, но и те са ориентировъчни. Казаха и че не пазят информация какво е лицето, което плаща за служебния абонамент – дали е общинска или държавна институция, юридическо или физическо лице. В таблицата с абонаментите около половината записи са с имената на фирмите или институциите. Предполагам, че останалите са частни лица. Съдържат също срок и вид на абонамента, брой и адрес на паркоместата.

Тук трябва да уточним няколко термина. Условията и цените на служебните паркоместа са разписани на сайта на ЦГМ в съответствие със приложената към настоящия момент наредба. Последните промени в нея бяха обжалвани и въпреки спечеленото от общината дело, не са приведени в действие.

Това значи, че сега има три вида абонамент – дневен, удължен, разширен и нощен. Дневният е между 8:30 и 19:30 в работни дни. Ако към него добавите удължен може да паркирате между 8:30 и 23:30 пак в работни дни. Разширеният позволява паркиране в събота и неделя между 8:30 и 19:30. Нощният важи само за синя зона и прави мястото запазено 24 часа. Всичко абонаменти са допълнителни към дневния. Така, например, ако вземете дневен за място в синя зона и добавите нощният, ще е запазено за вас денонощно в работни дни. Ако добавите и разширеният пакет, мястото ще е само за вас 7 дни в седмицата, 24 часа в денонощието.

В таблицата за абонаменти за едно и също паркомясто може да има няколко записа според дневния и допълнителните абонаменти. Възможно е допълнителните да са само за едно място, а дневният да е за повече. По-голям проблем обаче се оказаха адресите. В данните предоставени от ЦГМ адресите при абонаментите и тези за паркоместата не съвпадаха почти никога. В някои случаи бяха описателни (след кръстовището) , в други – липсва номер на улицата. Понякога нямаха нищо общо между двете таблици. Не знам дали ЦГМ така си организира данните или просто така са ми ги предоставили за справката. Ако е първото, не бих се учудил да води до редовно объркване.

Самите паркоместа бяха с доста точни координати и лесно можех да ги сложа на карта. За да ги свържа с абонаментите обаче трябваше да гадая по адресите. Опитах с няколко AI модела, но резултатите не бяха добри. Това беше причината да започвам и спирам работа по този проект цели три месеца. Наскоро ми писна и написах собствени инструмент, с който да свържа данните. Използвах това, което Claude постигна като начало и поправих повече от половината. Междинен кадър от работата виждате долу. Не успях да намеря паркоместата за три абонамента и обратното за около 25 служебни паркоместа.

В крайна сметка успях да покажа възможно най-точно кое паркомясто от кого е взето и до кога. Възможни са грешки и ако намерите такива, пишете в коментарите, за да ги оправя. В някои случаи не успях точно да определя кое от 10-те паркоместа с еднакъв адрес е на една или друга фирма. Затова ще ги виждате групирани със списък с възможните абонаменти на това място.

Важно е да се уточни, че справката е актуална към 20-ти март 2026. Това значи, че някои абонаменти може да изтичат от тогава насам и да не са подновени, а други паркоместа, които не се виждат на тази карта, да са обособени от тогава. Миналата седмица открих такова пред НСА сградата до НДК, например.

Карта на служебното паркиране

Представих данните по начин, който беше разбираем за мен. Категориите по цветове се опитват да представят пакета на абонамента. Ако е само дневен, показвам зоната или ако е извън платените зони – в оранжево. Другите цветове показват разширен, удължен или нощен. Когато натискате легендата, може да филтрирате по категории. При натискане на паркомясто ще видите информацията за абонаментите, които е възможно да са свързани с това място.

Интерактивната карта може да разгледате тук или на цял екран.

С бутоните горе вдясно може да сменяте основата на картата на сателитни снимки, да фокусирате върху настоящото си местоположение или да отваряте описанието на проекта.

Статистика

Според справка изнесена в края на 2024 от общинския съветник Симеон Ставрев, в София тогава е имало 33555 паркоместа в синя и зелена зона и са били продадени 36 хиляди стикери за живеещите в тях. Според същата справка към края на 2023-та е имало 1758 служебни паркоместа, а към ноември 2024-та са били 1693.

Година и половина по-късно те са значително повече – 2188 за целия град. От тях 1304 са в синя или зелена зона или около 4% от всички налични там. 15 паркоместа имат нощен абонамент в синя зона. 51 са с удължен, т.е. до 23:30. За общо 229 в синя и зелена зона и 114 извън тях е платено да се пазят събота и неделя. По груби сметки само за март, когато получих данните, Центърът за градска мобилност е получил 1070242 евро такси само от тези абонаменти.

Много може да се каже дали и колко такива служебни паркоместа трябва да има. Определено има легитимни причини за такава възможност и дори да е задължително за някои обекти. Например, при зареждане на магазини следва да имат такива места, а не да блокират улицата или както почти винаги се случва – да се качват върху тротоара или близка зелена площ. В някои случаи е важно за офиси и ресторанти да има къде да спрат посетителите им, ако не разчитат основно на потока от хора и градски транспорт. В други случаи обаче офис сгради с големи паркинги ги взимат най-вече за представителни цели или удобство.

В този смисъл вече беше обсъдено, че цените на служебния абонамент са твърде ниски. В новата наредба това се поправя, макар и с твърде малко – вдигат таксите за синя зона с 23%, а за 24/7 абонамента – с 41%. За зелена зона има увеличение с 11%, а извън тези двете има дори намаление с 3.4%. Въвежда се обаче възможност за денонощно паркиране извън синя зона, което до сега го нямаше.

В разбивката по абонаменти се виждат някои интересни несъответствия. Както споменах по-горе, за да може някой да паркира след 17:30 или в почивните дни, трябва да си е взел дневният абонамент. Това е така за почти всички и се вижда в данните – където има допълнителен пакет се вижда и основният. Според справката обаче ОББ изглежда са платили разширен пакет за зелена зона без да имат дневният за тази зона. Имат 4 за синя и 4 извън зоните, но нищо за зелена зона. Фантастико според данните са си платили за две места – едно в зелена зона и едно извън зоните като за второто имат само разширен пакет без дневен. Аналогично за Хепинес ЕООД, но с две места през почивните дни без основен пакет. БАКБ и Офис Сгради ООД имат дневни пакети извън зоните, но разширени в синя зона с различни адреси. Дексиа България ООФ, Еврофинанс Сървисис ООД и частно лице имат по две нощни тарифи за синя зона обаче без да имат дневен абонамент.

Открих така 89 лица, при които липсва дневен абонамент за едно или повече паркоместа при допълнителни пакети. В този списък виждаме също Сигмамед, Делта гард, хотел Милениум, Уникредит, НАП и други. Това не значи, че някой от изброените е направил нещо нередно или не си плаща. Както споменах, в справката бяха предоставени само половината от имената. Възможно е към всеки от тези абонаменти за допълнителни пакети да има съвпадащ дневен. За повечето от тях обаче не открих такъв, който да съответства на адреса или продължителността. Описаното несъответствие по-скоро говори за лошото водене на данните от страна на ЦГМ. Възможно е също да са ми предоставили грешни или непълни данни по искането ми по ЗДОИ. Това обаче би било административно нарушение от тяхна страна и не мисля, че следва да го очакваме от който и да е общински или държавен чиновник.

Много или малко са те

Отворен е въпросът дали всеки, който иска следва да получи такъв абонамент. В наредбата остава определението, че „може“ да се правят служебни паркоместа и „може“ да се използват от частни лица и обществени институции. Това обаче не значи, че трябва и следва да има преценка за аргументите за и против. Виждаме как редица министерства и агенции си осигуряват необезпокоявано цели паркинги. Народното събрание е ярък пример за това.

Съдилищата пък използват странна интерпретация на изискването за периметър за сигурност като включват освен сградата си – какъвто е нормативният замисъл – също околните паркоместа. В този случай предложих наскоро къде на шега, къде насериозно, щом от тези паркоместа може да дойде заплаха за информацията в съда, то следва на тяхно място да бъдат сложени бетонни блокове или по-добре … големи кашпи с дървета или зеленина. Ефектът ще е троен – хем повече сигурност за съда, хем повече зеленина в града, хем по-малко кашпи със зелени вейки в обръщение за отдаване под наем на строители, които искат някак да симулират озеленяване за пред приемателната комисия и да ги върнат след заветния акт 16.

Но разбира се, съдилищата, парламента и ред други държавни институции не са лесни за разговори, особено когато ръководството им възприема не само институцията, но и прилежащите имоти като бащиния. За тази цел, но и за всички останали така запазени места из града, има нужда от обществен натиск и промяна на очакванията към конкретни хора на висши позиции.

От друга страна, видно е, че тези абонаменти са сериозен източник на приходи за общината и е факт, че никой не е длъжен да осигурява безплатно или изключително евтино паркомясто на някого, само защото има жилище наблизо независимо дали говорим за синя зона в центъра или в края на града. Остра липса на места за паркиране има отдавна и ще се влошава драстично в следващите години с презастрояването. Същото важи за всеки голям град в Европа. Има аргумент в полза на това, че при такъв недостиг общината следва да спечели максимално от тези паркоместа, но при условие, че подобрява възможностите за придвижване с градски транспорт и други средства като колело.

Направих тази карта, за да разбера защо постоянно виждам нови служебни паркоместа да изникват. Може да се използва и за да осмислим какво е моментното състояние и да задаваме въпроси на ЦГМ защо са взели решение да дадат дадено паркомясто при условие, че нищо в наредбата не ги задължава. Отделен, но дори по-важен разговор е за какво се използват тези над милион евро на ден.

[$] LWN.net Weekly Edition for June 18, 2026

Post Syndicated from jzb original https://lwn.net/Articles/1077459/

Inside this week’s LWN.net Weekly Edition:

  • Front: State of Fedora; mTHP creation; overlayfs; buffer-heads cleanup; 7.1 statistics.
  • Briefs: curl summer of bliss; 7.1 kernel; AUR compromise; Fedora election; FairScan 2.0; Firefox 152.0; Homebrew 6.0.0; KDE Plasma 6.7; LWN topic list; Quotes; …
  • Announcements: Newsletters, conferences, security updates, patches, and more.

Bringing more agent harnesses and frameworks to Cloudflare, starting with Flue

Post Syndicated from Thomas Gauvin original https://blog.cloudflare.com/agents-platform-flue-sdk/

2026 is the year agent harnesses go to production. The software that controls the model’s access to the outside world — harnesses like Codex, Claude Code, OpenCode, Pi, and Project Think — has matured to the point where teams are deploying agents as real, load-bearing infrastructure, not just prototypes. 

But building agents that survive production is hard.

We learned this firsthand building Project Think as our first-party agent harness. In working with our customers to run agents in production, we found a common set of distributed systems problems that every agent faces when running in the cloud. When an agent is interrupted, how can it automatically and gracefully resume from where it left off, without losing context or wasting tokens? How can agents run untrusted code securely? How can agents use the tools they were trained for?

A harness can’t solve these problems on its own. They’re tied to state, storage and compute — which means they’re dependent on the platform the agent runs on. That’s why we’re taking our learnings from hardening Project Think for production and bringing them to the Cloudflare Agents SDK as a base layer. Durable execution, dynamic code execution, a durable filesystem and dynamic workflows, now available to any harness building on Agents SDK.

At the same time, a new layer has emerged above the harness. Frameworks like Flue wrap a harness with the project structures, conventions, integrations and developer experience that make agents productive to build. 

To solve these scaling challenges, there’s a new, three-layer stack that is emerging for building production-grade AI. Here is how the pieces fit together, moving from the user-facing developer experience down to the underlying platform primitives: 

  • The framework (Flue) — the project structure, the conventions, the integrations, the CLI and the developer experience for building agents.

  • The harness (Pi, Project Think) —  the agentic loop that calls tools, reads results, manages context and keeps going until the task is done.

  • The runtime/platform (the Cloudflare Agents SDK) — the compute, state, and storage primitives everything above depends on

The Agents SDK is that bottom layer: it makes primitives like durable execution available to any harness and any framework. Flue, our new open-source framework from the team behind Astro, is the first to build on it. Here’s how. 

Flue

Flue shipped 1.0 Beta this week, built on the Pi harness, the same harness that OpenClaw is built on. What makes it different as an agent framework is the approach: you don’t script what your agent does, you describe what it knows. Define the context an agent needs — its model, skills, sandbox, and instructions — and it solves whatever task you give it, autonomously. There’s no orchestration loop to write.

This declarative model is what makes writing agents easy: here’s a triage agent that intercepts a bug report, reproduces it in a sandbox, and diagnoses the issue in under 25 lines.


The Flue developer experience

Flue’s power comes from the fact that agents don’t live in isolation. They are built to exist where your users already work, and integrate with your preferred tooling:

  • Anywhere agents: Drop your agents into Slack, GitHub, Linear, or Discord with pre-configured Channels that handle event verification and dispatch boilerplate automatically.

  • Headless, but UI-ready: Agents shouldn’t live in a black box. Flue agents can run completely headlessly for background tasks, but @flue/react provides native frontend hooks that stream an agent’s state, tool execution, and live messages straight into your frontend application, without you having to build custom real-time plumbing from scratch.

  • Ecosystem-ready: Flue makes it easy to add and upgrade integrations with commands like flue add channel slack, generating a Markdown blueprint that your own coding agent can read, modify, and cleanly integrate straight into your codebase.

Designed for production, not just prototypes

Moving an agent out of a local terminal and into a production ecosystem introduces traditional distributed systems failures. Host crashes, API timeouts from LLM providers, and unexpected restarts threaten to erase the short-term memory of a running agent turn. 

Flue solves this via Durable Streams. Each event in the execution history is added to an append-only log. By processing every prompt, tool response and model choice as an unchangeable ledger, an agent’s state is never volatile. If a process dies, another simply picks up the log and continues from the exact step it left off. 

Deploy anywhere, including Cloudflare

Flue is a multi-cloud framework. On Node.js, each agent runs as a long-lived process. You can deploy it to any VM or container, run it in GitHub Actions, or embed it on an existing server. But when you target Cloudflare, each agent becomes a Durable Object.

By running each Flue agent inside its own Durable Object, Cloudflare can automatically scale to as many agents as you need, each with their own isolated storage and compute. You don’t have to provision servers, manage sticky sessions, or worry about noisy neighbors. And when Flue agents are deployed to Cloudflare, they get durable execution using Agents SDK’s runFiber(), stash(), and onFiberRecovered() methods. Flue also uses @cloudflare/codemode and @cloudflare/shell for sandboxed code execution against a durable workspace. 

What harnesses need out of an agentic platform

Flue’s Cloudflare target works so effectively because it maps cleanly to the core primitives we built into the Agents SDK. You can even dig into the Flue source code to understand how Pi, the underlying harness, is adapted to work on Cloudflare Agents SDK.

Here’s how Flue leverages the Agents SDK under the hood, and what it takes to run any modern agent harness reliably at scale. 

Every agent harness needs durable execution

An agent turn is not a single request. The model streams tokens, calls tools, waits for results, maybe asks a human for approval, or delegates work to a subagent. That sequence can take seconds or minutes, and at any point the process can be interrupted or crash. When that happens, all of the agent state that was in memory is gone: the streaming connection, the pending tool calls, where the agent was in its turn. Sure, the conversation history is persisted on disk, but the user sees a spinner that never resolves. That’s a broken user experience.

Fibers solve this problem by providing a native checkpointing mechanism directly inside the Agent’s underlying Durable Object. runFiber() records the progress to the Durable Object’s SQLite storage before the work in the Agent turn starts and checkpoints with stash() as the turn advances. When a fresh agent instance boots after an interruption, onFiberRecovered() delivers the last checkpoint, so your agent knows a turn was interrupted, where it got to, and can decide how to continue. 

import { Agent } from "agents";
import type { FiberRecoveryContext } from "agents";

class MyAgent extends Agent {
  async doWork() {
    await this.runFiber("my-task", async (ctx) => {
      const step1 = await expensiveOperation();
      ctx.stash({ step1 });

      const step2 = await anotherExpensiveOperation(step1);
      this.setState({ ...this.state, result: step2 });
    });
  }

  async onFiberRecovered(ctx: FiberRecoveryContext) {
    if (ctx.name !== "my-task") return;

    const { step1 } = (ctx.snapshot ?? {}) as { step1?: unknown };
    if (step1) {
      const step2 = await anotherExpensiveOperation(step1);
      this.setState({ ...this.state, result: step2 });
    }
  }
}

Flue uses runFiber() on its Cloudflare target for exactly this. With the onFiberRecovered() hook, your harness can decide how to resume the execution of the turn, whether it attempts a full reconstruction model like Project Think that repairs turn state or whether it replays certain parts of the turn. 

Executing code is better than overloading agents with tools

Agent harnesses give models access to the outside world through tools. But tool surfaces grow fast, and models get worse at selecting the right tool as the list gets longer and the context window fills up with tool definitions. A better pattern: give the model one tool that executes code. The model writes a TypeScript function that calls the APIs it needs, and the harness runs it. We wrote about this when we introduced Code Mode.

The question is where that code runs. To run LLM-generated code securely, you need a sandbox. But typical sandboxes would be slow, cost-prohibitive and inefficient to run each tool call. That’s why the Agents SDK provides @cloudflare/codemode, which wraps Dynamic Workers, to execute LLM-generated code in its own Worker isolate with only the bindings you provide. 


Code Mode creates a fresh Dynamic Worker for each snippet, runs it, and discards it. Isolates start in under 10ms and $0.002 per load, resulting in drastically faster and cheaper cost of execution than booting a container every time your agent needs to execute a short piece of code. Flue uses @cloudflare/codemode on its Cloudflare target to power its code tool. The agent writes JavaScript against the workspace and runs it with Code Mode.

You don’t need a full container for most workspace tasks

Agent harnesses often need a filesystem, whether it’s to read files, write outputs, search through code and understand diffs. Coding agents in particular live in the filesystem. But if the harness is running in a serverless environment, how can it get a durable filesystem that persists across executions? 

The usual answer is a container. That works, but it’s expensive for what agents mostly do. The majority of filesystem operations in an agent turn are text. Consider a review agent that reads files, greps through source code, or perhaps writes a patch. You don’t need a full Linux boot for that.

@cloudflare/shell gives your agent a durable virtual filesystem inside its Durable Object, backed by SQLite. It provides typed file operations — read, write, edit, search, grep, diff — that agent harnesses can use as tools.

Instead of calling individual tools, a Flue agent running on the Cloudflare target writes JavaScript against the workspace virtual file state API. By running more operations within the Durable Object, the agent benefits from the isolate model’s more efficient execution process, entirely avoiding container overhead:

async () => {
  const files = await state.glob("src/**/*.ts");
  const results = [];
  for (const file of files) {
    const content = await state.readFile(file);
    const todos = content.match(/\/\/ TODO:.*/g);
    if (todos) results.push({ file, todos });
  }
  return results;
}

This translates into a faster and more cost-efficient sandbox environment for agents that need to run shell and filesystem operations to get their work done. And for agents that need a full OS, to run npm install, git, or compilers, Cloudflare Containers provides that. We’re also building @cloudflare/workspace, to keep the virtual file system of a given Durable Object in sync with a container’s, allowing for seamless transition from lightweight Workers to a Linux environment only when it needs one. 

Dynamic Workflows: let agents write their own workflows to repeat tasks consistently

But what happens when an agent needs to do more than read files or execute single code snippets? What happens when it needs to orchestrate a massive, multi-step pipeline that must repeat consistently over time, like a code review that successfully resolves bugs or a research workflow that produces good results? A harness can’t provide durable multi-step execution on its own. It needs the platform to persist each step, retry failures, and resume after interruptions. 

This pattern is gaining traction. Claude Code recently shipped dynamic workflows, where Claude writes a JavaScript script at runtime to hand off work to dozens of subagents, and the runtime executes it durably. @cloudflare/dynamic-workflows provides this for any harness running on the Agents SDK. Your agent generates a workflow at runtime, and the Workflows engine persists each step, retries failures, and can sleep for hours or wait for external events like human approval. 

From the Agent class, runWorkflow() connects your agent to the Workflows engine. The agent kicks off the workflow and can go to sleep. The workflow calls back into the agent via RPC to report progress, update state, or request approval. When the workflow finishes, the agent wakes up with the result. 

Direct access to the Cloudflare ecosystem

Beyond compute and storage, agent harnesses need access to external capabilities: web browsing, email, memory, search, inference. A harness shouldn’t have to integrate each of these separately, manage API keys for each, or worry about credentials leaking through agent-generated code.

The Agent class gives your harness access to the rest of Cloudflare through bindings: AI Gateway for per-agent spend tracking and limits, Browser Run for web automation, Email Service for inbox workflows, Agent Memory for persistent recall, AI Search for retrieval, Containers for workloads that need a full OS, and inference across 14+ model providers. Bindings grant capabilities without exposing credentials: your agent uses them, but the keys never enter agent-generated code.


Bring your agents to the agentic cloud

We know this approach works because it is the exact architectural foundation we used to build Project Think, our first-party agent harness. While Project Think remains our highly optimized, out-of-the-box solution for native Cloudflare agent experiences, the Agents SDK ensures that the broader open-source ecosystem can leverage those exact same battle-tested primitives, including Flue.

If you’re building agents today with Flue, you can deploy in just a few clicks to Cloudflare. And if you’re building your own agent harness or you’re building an agent framework, target the Agents SDK and get the platform integration for free.

Top announcements of the AWS Summit in New York, 2026

Post Syndicated from AWS News Blog Team original https://aws.amazon.com/blogs/aws/top-announcements-of-the-aws-summit-in-new-york-2026/

Today at the AWS Summit in New York City, Swami Sivasubramanian, AWS VP of Agentic AI, provided the day’s keynote. Here’s our roundup of the biggest announcements from the event:

New in Amazon Bedrock AgentCore
We’re introducing new capabilities on Amazon Bedrock AgentCore: connecting AI agents to organizational, web, and paid knowledge, helping teams find and fix what’s going wrong in production, and enforcing controls that scale as agents grow more capable.

Together, these capabilities help you build more capable agents faster, govern those agents with controls that scale, and improve them continuously. To learn more, read our blog post covering all the new features.

New in AI-based security tools

New in building AI-based applications 

  • Introducing Kiro for iOS — Kiro introduces a native iOS app, available in a gated preview, built for real engineering work that gives developers a new surface to kick off, monitor, steer, and interact with their Kiro sessions directly from their phone. That means you can now start sessions, check back when they’re done, review diffs, and approve changes all while staying connected to your work with no laptop running.
  • AWS DevOps Agent adds release management capabilities to assess code changes before production — You can use a new release readiness review of code changes and autonomous release testing. These new features verify every change against the natural language standards you give to the DevOps Agent and run change-specific tests in production-like environments.
  • Proactively reduce tech debt autonomously with AWS Transform – continuous modernization — You can use continuous analysis (preview) to automatically scan your code repositories against configurable baselines and generates findings in hours, not weeks. Once you’ve identified and prioritized findings, you can configure autonomous remediations that generate pull requests for affected repositories automatically.

In addition to the keynote announcements, we have other important launches this week:

Fedora F44 election results

Post Syndicated from jzb original https://lwn.net/Articles/1078366/

The results
are in for Fedora’s F44 election cycle for seats on the Fedora
Council, Fedora Engineering
Steering Committee, Fedora
Mindshare Committee, and EPEL
Steering Committee.

Miro Hrončok and Aleksandra Fedorova have won
seats on the council. Neal Gompa, Fabio Valentini, Michel Lind,
Maxwell G, and Simon de Vlieger have been elected to FESCo. Samyak
Jain, Akashdeep Dhar, Luis Bazan, and Mat Holmes have all been elected
to the Mindshare Committee. The four candidates for the EPEL
committee, Carl George, Diego Hererra, Jonathan Wright, and Troy
Dawson were all automatically elected as there were an equal number of
candidates and seats open. Congratulations to all the winners.

Краудфъндинг кампания за следващия филм на „Тоест“

Post Syndicated from Тоест original https://www.toest.bg/crowdfunding-new-movie/

Краудфъндинг кампания за следващия филм на „Тоест“

Наскоро ви показахме какво е да остарееш в България. Погледнахме към болезнената тема за остаряването и подходихме откровено и внимателно, за да покажем една често невидима група хора с тяхното достойнство, спомени и ценности. Документалният филм на Лина Кривошиева вече е факт и може да го гледате напълно безплатно онлайн.

Сега обаче е време за следващия голям въпрос: Какво е да си млад в България? По навик наричаме младото поколение „нашето бъдеще“, но истината е, че не сме сигурни как гледаме на това бъдеще. Изобщо не знаем как се чувстват младите хора в България, какви мисли ги занимават или как точно им влияе дигиталната среда, в която израстват като личности. Засипваме ги с клишета, че са апатични, мързеливи, арогантни.

За да покажем тяхната перспектива, имаме нужда от вашата подкрепа. Нека заедно дадем глас на цяло едно поколение.

Какъв ще е следващият филм?

Следващият ни документален филм „Какво е да си млад в България“ е естественото продължение на първата ни тема. Това е филм за поколение, родено в постсоциалистическа България, израснало с дигиталния свят в джоба си, с драматична перспектива за бъдещето, опитващо се да планира утрешния ден, докато всичко наоколо се променя с часове.

Освен контекста и статистиката ще ви покажем лицата зад фактите от последните мащабни проучвания у нас и в Европа:

  • Личният оптимизъм срещу обществения песимизъм: Цели 70% от младите българи смятат, че техният личен живот ще бъде по-добър след 10 години. Но само 29% вярват, че българското общество го чака нещо добро. Те са готови да успеят въпреки средата, а не благодарение на нея.
  • Илюзията за спасителния изход: 74% от младите хора обмислят емиграция. Но ето го обрата: над 80% от тях нямат никакъв конкретен план или подготовка за заминаване. Чужбина не е мечта, а просто авариен изход от несигурността тук.
  • Скъсаната нишка на образованието: Близо половината от работещите младежи (48%) не работят по специалността си. Този дял е скочил почти тройно само за 6 години. Младите просто търсят бърз доход и реализация сега, защото дългосрочното планиране в България изглежда трудно.
  • Глас без влияние: Половината от тях заявяват, че искат да се включат в обществени процеси заради конкретна кауза. Но в огромното си мнозинство (64%) са убедени, че нямат никакъв реален достъп до обществено влияние и че никой в залите на властта не представя техните интереси.

Етапи, бюджет и график

„Тоест“ е независима медия, която се издържа от даренията на читателите си, и затова за нас прозрачността е изключително важна. С ваша помощ искаме да съберем достатъчно средства, за да произведем качествен документален филм, да го извадим от дигиталния балон и да го покажем на максимален брой хора в страната. И искаме вие да сте наясно с всеки отделен етап от процеса.

1

Подготовка

2000 €

Август – септември 2026 г.

Проучване, консултации с експерти, срещи с участници, изготвяне на сценарий и сториборд. Включва и разходи за пътувания в страната.

2

Продукция

4000 €

Октомври 2026 г.

Интервюиране на участниците, заснемане на терен. Включва и осигуряване на снимачна техника и разходи за пътувания в страната.

3

Постпродукция

3500 €

Ноември 2026 – февруари 2027 г.

Монтаж, визуализации и инфографики, фин монтаж, субтитриране, трейлър.

4

Прожекции

3750 €

Март – април 2027 г.

Премиера и прожекции с дискусии на множество места в страната. Включва: наемане на зали, разходи за пътуване и настаняване на екипа, дигитална комуникация, пиар и участия в други медии, рекламен бюджет.

5

Разпространение

1750 €

Май 2027 г.

Публикуване със свободен достъп и разпространение на филма в дигиталните канали на медията. Включва: изготвяне на статии в медията, визуални материали и рийлове за социалните мрежи, дигитална комуникация, рекламен бюджет.

ОБЩО

15 000 €

Мисията

В тази кампания няма да намерите брандирани тениски или торбички. Всяко евро, което дарите тук, отива директно за заснемането, озвучаването, историята и екипа, който ще я разкаже.

Ние вярваме, че свободният достъп до информация е от полза за цялото общество. С вашата финансова подкрепа ни помагате не само да заснемем филма, но и да му дадем възможност да пътува из България. Да проведем множество вдъхновяващи разговори. Да срещнем различни поколения. Вашето дарение осигурява безплатни прожекции в малките градове, където младите хора се чувстват най-изолирани, а културните събития са рядкост.

Утрешният ден на България се решава днес. Нека го заснемем заедно и дадем възможност на младите хора да разкажат сами как изглежда той.

Често задавани въпроси

Аз вече дарявам на „Тоест“. С какво е различна тази кампания?

Месечните ви дарения за „Тоест“ осигуряват издръжката на медията – журналистическата работа, редакционния процес, комуникацията с публиката, развиването и поддръжката на сайта. Документалните филми са отделна част от нашата дейност и за тях винаги търсим самостоятелно финансиране, така че да не отклоняваме средства от всекидневната журналистическа работа. С подкрепата си тук вие помагате конкретно за създаването и разпространението на филма „Какво е да си млад в България“.

Какво ще стане с дарените пари, ако не се събере пълната сума?

Всяко получено дарение ще бъде инвестирано в съответната дейност. В случай че кампанията не събере достатъчно средства, „Тоест“ ще търси други начини на финансиране, за да завърши филма, макар и по-бавно.

Какво ще стане с парите ми, ако се събере повече от нужната сума?

Вярваме, че многообразието от формати е богатство. Затова ще инвестираме всяка допълнителна сума в създаването на следващ документален филм от поредицата на „Тоест“. Всички разходи ще бъдат отчетени пред публиката, както сме правили досега през всичките години на съществуване на медията.


Introducing AWS Continuum: Security at machine speed

Post Syndicated from Chet Kapoor original https://aws.amazon.com/blogs/security/introducing-aws-continuum-security-at-machine-speed/

What we believe

We’ve been thinking deeply about enterprise security. The operating model that served us for the past decade (collect telemetry, store it, query it, build dashboards to watch it) is no longer keeping pace. We need to shift to the new world: telemetry, context, reasoning, and actions. An approach that produces outcomes. The latest cybersecurity frontier models further made this shift urgent. Models like Claude Mythos can now find software vulnerabilities and reason through complex attack paths at machine-speed, leading to an exponentially increasing backlog of vulnerabilities.

Introducing AWS Continuum for code vulnerabilities

Today, we’re announcing AWS Continuum for code vulnerabilities, now available in gated preview. Continuum for code vulnerabilities addresses the full lifecycle of a code vulnerability at machine speed: from discovery through actions. It reasons over your environment, confirms what is real, and drives toward resolution. It’s model agnostic, using multiple frontier models where each performs best, and is built to incorporate the latest and most capable models as they emerge.

Continuum is built on lessons learned from running security across AWS and Amazon.com. Securing businesses that operate in different industries required a system that understands business context rather than applying generic rules uniformly.

How it works

Continuum for code vulnerabilities reasons over your full environment. This context includes structured data already living in Amazon Web Service (AWS) (your infrastructure, permissions, network topology, code) and the unstructured data that captures how your organization operates and your risk profile (your documents, communications, business priorities).

Continuum for code vulnerabilities operates in four continuous phases.

  1. Discovery: Security teams tackle a backlog of vulnerabilities, and many are already using frontier models to find more. Continuum starts by ingesting that existing backlog and performing its own vulnerability scan of your environment. This creates a more comprehensive view of vulnerabilities and the associated attack paths.
  2. Prioritization: Continuum uses context to evaluate, enrich, and prioritize every finding. Is the affected component deployed, is it reachable, is it in a production path, and what would the business impact be if exploited? The result is an evidence-backed list of priorities, allowing Continuum and your team to focus on what’s most important.
  3. Validation: Continuum validates findings to surface false positives before they waste your team’s time. It contextualizes vulnerabilities against your environment. It then constructs working exploit examples in a sandboxed environment that provide concrete, reproducible evidence of the issue.
  4. Mitigation and remediation: Continuum assesses existing defenses around a validated issue, including blocking and compensating controls along with detection mechanisms. It then draws on its understanding of the codebase, context, and findings to recommend mitigation or remediation of the vulnerability with a network change, policy change, or code patch. The patch recommendation is validated using the same system that confirmed the vulnerability. It also provides blast radius visibility and rollback paths where feasible.

This is just the beginning. We’re starting with code (1st and 3rd party) and then expanding to other aspects of security.

Trust is graduated

Continuum starts in learn mode with a human in the loop. Every recommendation includes the reasoning behind it. As you gain confidence, you can graduate Continuum to enforce mode, enabling remediation that can be increasingly automated based on categories and risk profiles you define.

Continuum capabilities

In addition to Continuum for code vulnerabilities, Continuum includes capabilities you might already know. The AWS Security Agent penetration testing and code scanning functionality is now part of Continuum as Continuum pen testing and Continuum code scanning (Preview). We’re also launching Continuum threat modeling in preview, which automatically generates comprehensive threat models from design documents or source code and outputs results in STRIDE format. These capabilities serve as detection and analysis sources that feed into the broader Continuum loop of discovery, prioritization, validation, and remediation.

Getting started

We’re working with customers across financial services, automotive, and technology to shape AWS Continuum. Customer feedback confirms the direction: security teams want tools that earn trust and take action.

AWS Continuum for code vulnerabilities is available in gated preview. Sign up to request access at AWS Continuum.

If you have feedback about this post, submit comments in the Comments section below.

Chet Kapoor

Chet Kapoor

Chet is Vice President of Search, Security, and Observability at Amazon Web Services. With more than two decades in enterprise technology, he has led companies through some of the industry’s most consequential platform shifts — from APIs and open source to cloud and AI — building and scaling businesses through periods of rapid growth, transformation, acquisition, and IPO. He brings a builder’s mindset, deep operational experience, and a strong customer orientation to helping organizations adopt emerging technologies securely and at scale.

Introducing Amazon Bedrock Managed Knowledge Base for faster, more accurate enterprise AI applications

Post Syndicated from Daniel Abib original https://aws.amazon.com/blogs/aws/introducing-amazon-bedrock-managed-knowledge-base-for-faster-more-accurate-enterprise-ai-applications/

Today, we’re announcing Amazon Bedrock Managed Knowledge Base, a new set of capabilities that enables developers to build enterprise-grade generative AI applications with their proprietary data in minutes. Organizations building agentic AI applications need secure, reliable, and up-to-date access to enterprise-wide data to deliver accurate, fast, and trusted outcomes. Managed Knowledge Base abstracts away the complexity of building and managing retrieval-augmented generation (RAG) pipelines, allowing developers to focus on business outcomes rather than infrastructure management.

Developers building knowledge bases for their agents face three key challenges today:

  • Connecting to enterprise data – Enterprise knowledge lives across disparate systems with different content types, access control lists, and document formats. Building and maintaining custom connectors for each source adds complexity that slows down development.
  • Optimizing RAG accuracy – Best practices for retrieval-augmented generation keep evolving. Developers need to experiment with different parsing strategies, chunking approaches, embedding models, and agentic retrieval behaviors to get accurate answers from their data.
  • Managing infrastructure at scale – Organizations need to serve large knowledge bases with millions of documents, or manage thousands of smaller knowledge bases across teams. Both patterns require reliable infrastructure, security enforcement, and cost control.

These challenges require developers to repeatedly perform undifferentiated work instead of focusing on their applications.

Amazon Bedrock Managed Knowledge Base addresses these challenges by abstracting away the multiple infrastructure components developers traditionally have to assemble and maintain themselves (storage, retrieval, embeddings, re-ranking, and foundation model selection) into a single managed primitive. By default, the service automatically selects and manages a default embeddings model, re-ranker model, and foundational model on your behalf, so you can get up to speed quickly without needing to pick or maintain one yourself. On top of this managed foundation, three core innovations further improve ease of use and accuracy:

  • Native data connectors – Six pre-built ingestion connectors that natively pull enterprise data and permissions from SaaS applications, eliminating the overhead developers face in managing application-specific requirements. At launch, we support Amazon S3, SharePoint, Confluence, Web Crawler, Google Drive, and OneDrive.
  • Smart Parsing – Different content types and sources require different approaches to achieve accurate retrieval. Smart Parsing handles this complexity automatically, selecting the right parsing strategy for each data type and connector to provide the highest accuracy for your agents.
  • Agentic Retriever – Optimized for complex queries that require multiturn, multihop retrieval within a single knowledge base or across multiple knowledge bases. Agentic Retriever automatically infers end-user intent and draws relevant context from institutional knowledge spread across data sources and modalities.

With just a few lines of code, Amazon Bedrock Managed Knowledge Base automatically manages and scales the end-to-end RAG pipeline that powers your enterprise knowledge agents. For agent builders, it’s available as a pre-built target type in Amazon Bedrock AgentCore Gateway, reducing integration to a few lines of code, auto-generating role-based permissions, and providing observability and evaluation metrics in the AgentCore Observability dashboard.

Getting started with Amazon Bedrock Managed Knowledge Base
Creating a Managed Knowledge Base is straightforward. Navigate to the Amazon Bedrock AgentCore console or the Amazon Bedrock console, open the Knowledge Bases page, and choose Create Managed KB. The experience is the same in both consoles. You will see that Unstructured Vector Store KB is now available as the recommended option, alongside the other knowledge base types you may already be familiar with:

Picture 1 – Knowledge Bases list page in the Amazon Bedrock AgentCore console showing the Type column with different KB types and the Create Managed KB button

When creating a new Knowledge Bases, you can connect to your enterprise data sources by choosing from the list of supported connectors directly from a dropdown. AWS Identity and Access Management (IAM) roles are automatically created, and you can choose to edit these permissions if needed:

Picture 2 – Create Knowledge Base page showing the Data source dropdown expanded with all supported connectors: Amazon S3, Confluence, Custom, Google Drive, One Drive, SharePoint, and Web Crawler

An optimized set of defaults will be presented, allowing you to create your knowledge base in just a few clicks. Once the data is synced, you can integrate the knowledge base with your agent or provide it as a tool for your foundation model and start querying.

Smart Parsing for accurate data ingestion
One of the key challenges in building knowledge bases is preparing diverse data types for accurate retrieval. Once you point Managed Knowledge Base at your data sources, Smart Parsing automatically determines the optimal parsing strategy for each data type and connector, no extra configuration is required.

Smart Parsing combines multiple techniques:

  • Connector-specific data models – Optimized handling for each data source. For example, the Web Crawler connector preserves HTML structure including embedded images and tables, ensuring rich content is not dropped during ingestion. SharePoint connectors maintain document hierarchy and relationships between files.
  • Multimodal processing – Automatic detection and processing of different content types within documents. The system identifies bounding boxes in documents, then sends them to foundation models for data extraction, captioning, and scene description in video files.
  • Optimized chunking – Smart Parsing leverages foundation models to understand document structure and extract meaningful content, ensuring that complex documents with mixed formats are properly indexed. Intelligent defaults balance retrieval accuracy with performance based on document type and content structure, while advanced users can customize chunking strategies when needed.

This automated approach eliminates weeks of experimentation typically required to achieve production-quality retrieval accuracy, while still preserving the flexibility to customize when needed.

Using Agentic Retriever for complex queries
After your data is ingested, you can start querying your knowledge base. Generative AI applications often struggle with complex user queries that require reasoning, recursive multi-step retrieval, and intermediate evaluations of results. Consider a user asking two related questions: “What is the cloud infrastructure budget for the ML platform team?” and “Does our expense policy allow prepaying annual commitments?” A single retrieval step might surface documents about the ML platform team but fail to connect the budget information with the expense policy needed to fully answer the question.

Picture 3 – Agentic Retriever decomposes complex user queries into a step-by-step plan, performing multi-hop retrieval across multiple knowledge bases and combining results to deliver accurate, grounded responses

Agentic Retriever solves this by creating a step-by-step query plan: 1. Which team owns the ML platform, and what is their cloud infrastructure budget? 2. What does the expense policy say about prepaying annual commitments? 3. Does the policy allow the ML platform team to prepay against this budget?

The system performs multi-hop retrieval and reasoning at each step, and once it has gathered sufficient relevant passages, it stops the search process and returns the top results. By abstracting away the complexity of building a separate multi-hop reasoning pipeline, this approach dramatically improves accuracy for complex queries while letting developers focus on their agentic search applications instead of orchestration logic.

You can try Agentic Retriever directly from the test panel of your knowledge base in the Amazon Bedrock AgentCore console. Select Agentic retrieval only as the retrieval type to let the system automatically plan and execute multi-step queries across your knowledge bases:

Picture 4 – Test Knowledge Base panel showing Agentic retrieval with answer generation selected as the retrieval type, with model selection and maximum agentic iterations options

Enabling MCP with Bedrock AgentCore
Amazon Bedrock Managed Knowledge Base seamlessly integrates with AgentCore Gateway as a native target type. This integration eliminates the need for manual integration and provides built-in observability, policy enforcement, and automatic permission management.

You can navigate to the Amazon Bedrock AgentCore console or SDK and create an AgentCore Gateway or select an existing one. When adding targets to your gateway, you will find Knowledge Base as a new pre-built target type alongside other options such as MCP server, Lambda ARN, REST API, and other integrations. Simply select your knowledge base ID to expose it through the gateway:

Picture 5 – Add targets page in AgentCore Gateway showing Knowledge Base as a new pre-built target type, with the knowledge base ID selector and runtime retrieval mode options

Add targets page in AgentCore Gateway showing Knowledge Base as a new pre-built target type, with the knowledge base ID selector and runtime retrieval mode options

Gateway exposes the standard Model Context Protocol (MCP), so the knowledge base tools are automatically discovered by clients from any MCP-compatible framework, including Strands Agents, LangChain, CrewAI, LlamaIndex, and LangGraph. No custom integration code is required.

Model choice and flexibility
Amazon Bedrock Managed Knowledge Base preserves the flexibility developers expect from Amazon Bedrock. Every foundation model available on Bedrock can power the generation step, and developers can select from different embedding and re-ranking models to optimize retrieval for their specific use case, enabling teams to fine-tune accuracy and cost-performance without changing infrastructure.

Unlike managed solutions that lock you into specific model providers, Amazon Bedrock Managed Knowledge Base separates the infrastructure management (connectors, parsing, storage, retrieval orchestration) from model selection. This means you can:

  • Take advantage of the latest models – Adopt the latest embedding, re-ranking, and foundation models as they become available to improve accuracy, latency, and cost for your application without rebuilding your RAG pipeline.
  • Optimize for price-performance – Choose smaller, faster models for simple queries and more capable models for complex reasoning tasks, all using the same knowledge base infrastructure.
  • Use Bedrock embedding models – While Smart Parsing provides optimized defaults, you can configure Bedrock embedding models when your domain requires specialized semantic understanding.
  • Maintain consistency with existing applications – If you’re already using Bedrock Knowledge Bases APIs (Retrieve, StartIngest, StopIngest, IngestKnowledgeBaseDocuments), Managed Knowledge Base uses the same APIs, so migration requires no code changes, just point to the new knowledge base ID.

This approach ensures you can spend time on your generative AI application without losing the ability to change models based on evolving requirements or new model capabilities.

Get started today
Amazon Bedrock Managed Knowledge Base is available today in the US East (N. Virginia), US West (Oregon), Asia Pacific (Sydney, Tokyo), Europe (Dublin, Frankfurt, London), and AWS GovCloud (US-West) Regions. For Regional availability and future roadmap, visit AWS Capabilities by Region.

With Bedrock Managed Knowledge Base, you pay for what you use with no upfront commitments. Pricing is based on two dimensions: the size of indexed data stored and the number of retrievals performed (on-demand). For detailed pricing information, visit the Amazon Bedrock pricing page. Bedrock is also a part of the AWS Free Tier that new AWS customers can use to get started at no cost and explore key AWS services.

These capabilities work with any open source framework such as CrewAI, LangGraph, LlamaIndex, and Strands Agents, and with any foundation model. Bedrock services can be used together or independently, and you can get started using your favorite AI-assisted development environment with the AgentCore open source MCP server.

To learn more and get started quickly, visit the Bedrock Knowledge Bases Developer Guide.

Daniel Abib

The collective thoughts of the interwebz