Post Syndicated from Patrick Kennedy original https://www.servethehome.com/this-is-the-new-intel-e835-nic-lineup-from-hpe-discover-2026/
At HPE Discover 2026, we saw the new Intel E835 cards for lower-power and lower-cost 25GbE to 200GbE networking
The post This is the New Intel E835 NIC Lineup from HPE Discover 2026 appeared first on ServeTheHome.
Post Syndicated from Sibasankar Behera original https://aws.amazon.com/blogs/security/accelerate-security-investigations-with-kiro-cli/
When a security event occurs in your Amazon Web Services (AWS) environment, rapid response is critical. However security teams often struggle with time-consuming, manual processes that slow down investigations. Analysts must recall complex AWS Command Line Interface (AWS CLI) syntax for multiple services, manually correlate findings across Amazon GuardDuty, AWS CloudTrail, and other security tools, and document every investigation step for compliance requirements. They make critical decisions under pressure while active threats continue. For analysts without deep AWS expertise, these challenges are even more pronounced, creating bottlenecks in your security operations.
Kiro is an AI-powered coding assistant that helps users write, understand, and optimize code through integrated development environment (IDE) and command line integrations. Beyond traditional development tasks, it offers AWS-specific expertise including architecture guidance, best practices, cost optimization recommendations, and service documentation navigation. Kiro CLI puts Kiro’s full capabilities in your terminal, making it a natural fit for security operations workflows. For example, with built-in tools, Kiro CLI can be used to help with investigation of a GuardDuty finding—it will propose the appropriate AWS CLI commands, explain what each command does, and wait for your approval before executing. This approach lets you focus on analyzing threats rather than figuring out how to investigate them.
This blog post demonstrates how to use Kiro CLI to conduct a security investigation following the AWS Security Incident Response Guide framework. This framework organizes incident response into five phases:
You’ll see how you can use Kiro CLI to triage GuardDuty findings, assess impacted Amazon Elastic Compute Cloud (Amazon EC2) resources, analyze AWS CloudTrail logs, and generate remediation scripts. By the end of this post, you’ll learn how to use Kiro CLI to run security investigations in minutes rather than hours — without skipping steps.
Before getting started, confirm you have the following:
AWS_PROFILE environment variable) to interact with AWS resources and will request your approval before executing any actions.To show Kiro CLI in action, we investigate a GuardDuty finding end to end — following the AWS Security Incident Response Guide framework through the following steps.
Throughout this investigation, Kiro CLI will propose commands, explain their purpose, wait for approval, and automatically document findings—transforming an inefficient manual process into a guided, efficient workflow.
Kiro CLI combines AI reasoning with deep AWS knowledge to analyze security findings, correlate evidence across services, and propose appropriate AWS CLI commands at each step of an investigation. While this AI-powered approach accelerates investigations, it’s important to validate outputs and recommendations before taking action. The specific commands and analysis shown in this walkthrough are examples—your results will vary based on your specific findings and environment configuration.
In this section, we walk you through the phases of an investigation, from discovery through analysis.
Our investigation began with a GuardDuty finding requiring immediate attention. Rather than manually constructing AWS CLI commands, we used Kiro CLI’s natural language interface:
This single prompt establishes the entire investigation framework, as shown in Figure 1. By requesting step-by-step approval, we maintain control while benefiting from AI guidance. The documentation requirement helps ensure that we’re building an audit trail in real-time for compliance requirements.
Figure 1: Kiro CLI interface showing the initial investigation prompt and proposed first command to retrieve GuardDuty detector ID and finding details
Kiro CLI proposed retrieving the detector ID and complete finding details. After approval, it executed the commands and revealed critical information, as shown in Figure 2.Key findings:
We can see that it took 9 minutes from instance launch to mining activity, which suggests automated event rather than manual action. This timeline information, automatically extracted and highlighted by Kiro CLI, helps security teams understand event patterns.
Figure 2: GuardDuty finding details showing HIGH severity cryptocurrency mining detection with threat indicators and timeline
Kiro CLI proposed investigating the EC2 instance configuration, security groups, IAM permissions, and checking for additional findings. This proactive suggestion demonstrates Kiro CLI’s understanding of security investigation workflows, it knows that understanding the potential impact requires examining not just what the unauthorized user did, but what might possibly be a next step in a typical threat scenario.
The following information is also shown in Figure 3.
Instance configuration: Kiro CLI retrieved the instance details, revealing:
Security group assessment: Kiro CLI analyzed the security group rules and identified:
IAM permission analysis: Kiro CLI examined the instance profile and attached role policies, uncovering a critical security risk:
While the observed activity is cryptocurrency mining, the attached AdministratorAccess policy means the unauthorized user could have exfiltrated data, created backdoors, or compromised other resources. This highlights why least-privilege IAM policies are critical. Even if an instance is compromised, limited permissions help reduce the potential impact.
Figure 3: Kiro CLI’s instance configuration summary highlighting the AdministratorAccess policy, unrestricted outbound access, and multiple concurrent security findings
Scope assessment: Kiro CLI checked for additional unexpected activity and discovered seven security findings on this single instance, indicating a multi-vector attack, as shown in Figure 4.
Figure 4: Kiro CLI’s summary highlighting a multi-vector attack.
Kiro CLI proposed a systematic remediation plan aligned with the knowledge obtained by following AWS Security Incident Response Guide’s containment strategy, as shown in Figure 5.
Figure 5: Kiro CLI’s summary of the investigation and recommendations for immediate actions.
Instance isolation: Kiro CLI produced commands to create an isolation security group with no inbound or outbound rules (as shown in Figure 6), then applied it to the compromised instance. This containment step stops new connections without destroying evidence. However, it’s important to understand that security groups are stateful and use connection tracking. When you change security group rules, existing connections aren’t immediately interrupted and continue to allow packets until they time out.
This means that if an unauthorized user has an active connection to the instance, that connection might persist temporarily even after applying the isolation security group. For immediate interruption of all traffic including active connections, consider also implementing network access control lists (NACLs), which are stateless and don’t track connection state. Unlike security groups, NACLs can immediately break existing connections when rules are applied. While NACLs operate at the subnet level (broader scope than instance-level security groups), they provide an additional layer of defense that helps ensure network isolation.
This scenario illustrates an important principle: while AI-powered tools such as Kiro CLI can help you respond more quickly by generating appropriate commands, it’s critical to keep a human in the loop who understands these nuances. Kiro CLI might not have complete information about edge cases, so security professionals should validate recommendations and consider additional controls based on their expertise and the specific threat scenario.
Figure 6: Instance successfully isolated with confirmation showing no inbound or outbound rules, blocking all network traffic including command-and-control (C&C) communications and mining activity
Privilege revocation: Kiro CLI generated commands to attach a deny-all policy to the compromised IAM role (as shown in Figure 7). The AI assistant explained that even though the AdministratorAccess policy remains attached, the deny-all policy takes precedence because of the evaluation logic used by IAM, where explicit denies always override any allows. This immediately revoked all permissions while preserving the original configuration for forensic analysis.
Figure 7: IAM credentials revocation confirmation with current status checklist showing network isolated, IAM credentials revoked, and forensic snapshot pending
Before making mutating changes, Kiro CLI recommended creating a forensic snapshot of the compromised instance’s Amazon EBS volume (as shown in figure 8). This step can be missed when teams are under pressure to contain an active threat, but it’s critical for post-incident analysis and potential legal proceedings.
Memory preservation decision: We chose to leave the instance running in its isolated state rather than stopping it immediately. Stopping an EC2 instance results in loss of volatile memory containing forensic evidence such as running processes, network connections, loaded malware, and encryption keys. By maintaining the instance in an isolated security group with all network access blocked, we neutralized the threat while preserving the ability to conduct deeper forensic investigation if needed.
Volatile memory often contains evidence that explains how an event occurred, malware binaries, decryption keys, or command-and-control (C&C) communications that disappear when an instance stops. This decision point illustrates the balance between immediate threat elimination and thorough investigation.
Capturing volatile memory requires specialized tools and techniques. For Linux instances, LiME (Linux Memory Extractor) can capture physical memory, while Windows instances can use tools like Winpmem. After being captured, memory dumps can be analyzed using Volatility, an open source memory forensics framework. Forensics tools should be pre-installed on your systems to avoid changes being made during the evidence gathering process. AWS provides guidance on automating forensic kernel module builds for Amazon Linux EC2 instances to streamline this process.
Figure 8: Forensic snapshot creation confirmation with proper tagging including purpose, incident ID, and severity for evidence preservation
To understand the full scope of compromise, we asked Kiro CLI to analyze CloudTrail logs. The AI assistant identified available CloudTrail trails and proposed queries to find any API calls made from the compromised instance using its temporary credentials (as shown in Figure 9).
CloudTrail analysis is often the most time-consuming part of incident investigation, requiring analysts to construct complex queries and correlate events across time. Kiro CLI automates this process, immediately identifying the relevant log sources and proposing appropriate queries.
Figure 9: Kiro CLI identifying available CloudTrail trails and proposing targeted queries
Kiro CLI found no unexpected API calls originating from the instance credentials—no IAM users created, no S3 buckets accessed, and no secrets stolen. The event appeared limited to cryptocurrency mining activity conducted through DNS queries, with no evidence of data exfiltration or lateral movement.
Figure 10: Investigation results from Kiro CLI
This shows the value of thorough CloudTrail analysis: even when initial findings suggest a contained threat, confirming the absence of broader compromise is essential before closing an investigation.
The AWS Security Incident Response Guide emphasizes that preparation is the foundation of effective incident response. With the immediate threat contained, we used Kiro CLI to strengthen our preparation phase by establishing automated alerting for future incidents.
As shown in Figure 11, we used natural language to request
Kiro CLI understood the requirement and proposed a multi-step solution involving Amazon SNS and EventBridge:
Building automated alerting requires understanding multiple AWS services, their interactions, and correct configuration syntax. Kiro CLI translates a straightforward natural language request into a complete, production-ready solution.
Auto-correction and testing: When setting up complex integrations, commands can fail because of permission issues, incorrect Amazon Resource Name (ARN) references, or malformed JSON policies. Kiro CLI automatically detects these failures and proposes corrected commands.
Figure 11: Notification system setup completion showing SNS topic created, EventBridge rule configured, and confirmation that notifications will trigger on HIGH and CRITICAL severity findings
You can also prompt Kiro CLI to test the setup: Test this notification system to verify it’s working correctly. Kiro CLI will verify that the SNS subscription is confirmed, check that the EventBridge rule is properly configured, validate IAM permissions, identify any misconfigurations, and publish a test event to verify end-to-end functionality. This intelligent error handling means security teams can confidently deploy automation without manual troubleshooting.
With the immediate threat contained and proactive defenses in place, we then used Kiro CLI to create a reusable steering file that codifies this investigation workflow for future incidents. Steering files are Markdown files stored in .kiro/steering/ that act as persistent memory for Kiro CLI, helping security teams capture institutional knowledge and standardize response procedures. To share them across your team, add them to a Git repository or publish them to your documentation system like Confluence — the same places you’d keep any other runbook.
We recommend running the full investigation and generating the steering file in the same Kiro CLI session. This way, the steering file captures the exact steps, commands, and decisions from your investigation. Navigate the process the way that fits your organization — the steering file will reflect your workflow, not a generic template.
We asked Kiro CLI:
Kiro CLI generated a detailed steering file at .kiro/steering/guardduty-incident-response.md that includes:
This is the example steering file that was created by Kiro cli:
Traditional incident response playbooks are static documents that quickly become outdated. Kiro CLI steering files are executable playbooks that guide AI-assisted investigations with consistency while remaining flexible enough to adapt to specific scenarios. Steering files stay current because updating them is part of the workflow, not a separate task. When you adjust your investigation process, ask Kiro CLI to update the steering file at the end of the session. It captures your changes, and you share the updated version with the team through Git or Confluence — everyone works from the latest version.
Security incidents require accurate and rapid response, but traditional investigation workflows create bottlenecks that extend mean time to respond (MTTR). By following the framework provided by the AWS Security Incident Response Guide and using Kiro CLI’s AI-powered capabilities, you can transform incident response from reactive to proactive, well-documented operations.
In this post, we demonstrated how Kiro CLI accelerates each phase of the incident response lifecycle—from initial detection and analysis through containment, eradication, and recovery. You learned how to use natural language prompts to investigate GuardDuty findings, analyze compromised resources, implement containment measures, preserve forensic evidence, and establish automated alerting for future incidents. The steering file capability helps your team embed hard-won expertise in reusable workflows that benefit analysts at all skill levels.
Whether you’re investigating alerts, building defenses, or documenting procedures, Kiro CLI provides the expertise and automation to respond faster, learn continuously, build better defenses, and document thoroughly. When commands fail or configurations are wrong, Kiro CLI identifies the issue and corrects it, reducing time spent troubleshooting.
If you have feedback about this post, submit comments in the Comments section below.
Post Syndicated from The Atlantic original https://www.youtube.com/watch?v=rweZ0dylUJU
Post Syndicated from Dan Jones original https://blog.cloudflare.com/build-your-own-vulnerability-harness/
A few weeks ago, we published our initial findings from Project Glasswing, looking at what happens when you point frontier security models at an enterprise codebase. We also explored how our defensive structures adapt to protect our infrastructure and customers from threats posed by frontier AI. Since then, the AI ecosystem has continued to shift rapidly — developers who’ve built tightly around a single model have already experienced what happens when that model is no longer available or gets superseded by a more capable one. These market shifts only reinforce our core thesis: no matter which underlying model is leading the pack on any given day, the future of agentic workflows will not be found in standalone models, prompts, or single-agent sessions.
Moving from a localized security “skill” to a continuous, fleet-wide scanning pipeline requires an architecture where models are treated as interchangeable components. Relying on a single model inherently limits defensive coverage, as the same system will tend to look at code paths through the exact same lens. To counter this, models should be frequently interchanged and cross-tested. By varying the models across the pipeline — such as using one model for initial discovery and an entirely different one for validation — we can ensure that vulnerabilities are cross-checked by distinct sets of logic. Furthermore, a true enterprise-scale harness must look beyond isolated repositories to trace vulnerabilities across cross-repo dependencies, ultimately filtering thousands of raw candidates down to a trusted, triaged queue of actionable fixes.
This post serves as a practical look at how to build that model-agnostic layer, focusing on how we manage state controls, eliminate false positives, and coordinate end-to-end triage at scale.
The first post made the case for why generic coding agents can’t do this job. The main issue is that agents only hold one hypothesis at a time, fill their context window after covering a sliver of a real repo, and then lose information during context compaction. For more details, read that post.
Before we move forward, we would like to answer two likely questions.
“Why not use subagents instead of a harness?” Subagents are useful, and they are a good starting point. But security analysis needs hundreds of separate investigations that survive across runs, don’t share a context window, and can be re-scoped and cross-referenced later. It needs persistence, deduplication, resumability, and eventually fleet-wide dependency tracing. That’s an orchestration problem, and a prompt can’t get you there.
“Is this blog post just an ad for frontier models?” No. Our approach centers on the harness, not the model. When it comes to vulnerability discovery, we run it with whatever frontier model is currently best at what we need. When we point different models at the same target, they each turn up a different share of the bugs. The harness is the bit that lasts. If you build your own system, design it to be model-agnostic from day one. This will allow you the freedom to use any model of choice without constraints.
We started with a ~450-line security-audit skill that we ran on a single repository, and adjusted the prompts until we surfaced real bugs. Later, we added the orchestration that became the plumbing of the entire system. The real value lives in the prompts themselves, and our prompts continue to carry the initial skill’s attacker scenarios, bug classes, and anti-pattern detections nearly unchanged.
The skill was written to run a 7-phase audit in one session:
Three parallel research agents do recon and write an architecture.md.
One Hunter agent runs per class attack, trying to break the code rather than review it.
Adversarial validators try to disprove each finding.
The survivors are written up as a human-readable vulnerability report.
They’re also emitted as findings.json against a schema, and a mechanical check validates that file.
Finally, a fresh agent independently re-verifies every finding against the source.
The surviving, re-verified findings are submitted to the ingest API.
That first skill maps almost directly onto the later harness:
|
Skill phase |
Harness stage |
|---|---|
|
Recon agents write |
Recon |
|
Hunters run per attack class |
Hunt |
|
Validators disprove findings |
Validate |
|
Surviving findings become a report |
Report |
|
|
Mechanical validation of line numbers and functions in findings |
|
Fresh agent re-verifies findings |
Independent validation |
The skill worked, but it quickly revealed its limits. Looking at the coverage metrics, a single run finds only about half the bugs you’d catch across multiple runs. In our experience the ones it did find skewed toward the simpler and less subtle. Once your process is basically “run it ten times and diff by hand,” you probably need to start looking at a real harness.
While running and fine-tuning the skill, we ran into three walls:
Context exhaustion: An hour in, the context window fills up and the model will cannibalize its own memory, instantly forgetting the bugs it spent all morning tracking down. We broke this bottleneck by externalizing the state entirely, treating the LLM as a stateless compute engine.
Persistence: A crash mid-run means starting over. Losing hours of work to one AI rate-limit error or connection flakiness is an incredibly expensive way to realize you need a better architecture.
Cross-repo reasoning: A single repo session is completely blind to the relationships between applications that consume it, and the number of bugs that surface when you inspect the interface between components is probably more than one might expect.
ADVICE: A real but minimal harness consists of just Recon, Hunt, and Validate stages kept in a database, alongside a separate Validator that can’t file its own findings. You should skip cross-repo tracing entirely until you have more than one repository that matters. Skip a dedicated Deduplication agent until you are actively drowning in noise. Start with a skill in your development environment, get your prompts working well, and only build the next architectural stage when not having it is the specific thing slowing you down.
Most AI security write-ups in this space are about a single repo or a curated benchmark; running a whole fleet this way, with cross-repo tracing, isn’t something we’ve seen written up elsewhere. Our codebase spans a massive mix of languages — Rust, Go, C, Lua, TypeScript and Python, alongside various configuration management systems, static configs, and all sorts of additional context. So we had to come up with something new that worked for us. Going from that first slash-command run to a fleet scanner that could cover 128 distinct repos, automatically finding and interrogating relevant dependencies, took about six weeks. Codification was mostly mechanical: we lifted each phase of the skill into its own agent, put a database behind it and an orchestrator in front. The mapping was almost one-to-one.
The entire fleet runs on one unified harness with no per-language tuning and traces the dependencies between repos. While offloading syntax to a model makes the system language-agnostic, the differentiator is its ability to trace dependencies between repos. The harness itself doesn’t care if it’s looking at C pointers or a TypeScript file; it focuses on the higher-level logic of security orchestration. This allows us to scale across hundreds of different codebases, without having to write custom language parsing.
Our entire vulnerability research workflow is built on a two-stage operational framework: the Vulnerability Discovery Harness (VDH) and the Vulnerability Validation System (VVS).
The VDH functions as our discovery engine, proactively scanning codebases to surface potential security issues. Once bugs enter the VVS, which allows multiple harnesses to feed into it, they go through stages of Deduplication, Judgment, and finally Fixing, as we’ll talk about later.
We use one model for VDH, but we use a completely different model for VVS, so the models are effectively double-checking each other. There is an obvious security benefit to this: by forcing Model B (VVS) to judge the output of Model A (VDH), you ensure that the finding is evaluated by an entirely different set of logical weights and training data — one that acts as an unbiased, adversarial third party whose sole job is to ruthlessly stress-test Model A’s assumptions. And operationally, we benefit from treating model providers like interchangeable commodities. Model providers can change temperature, caching, and inference effort budgets over time, even within one model version. Instead of building a system that depends on a model behaving predictably over time, our harness is built to absorb downstream volatility without breaking.
The first post covered what each agent/stage is for, so we’ll talk about the parts it didn’t: the glue between stages, and the handful of details that decide whether any of it works.
|
Agent/stage |
Primary Role |
Sub-agents / Tooling |
|---|---|---|
|
Recon |
Maps out the target architecture and maps potential threat vectors |
3 parallel Recon sub-agents write |
|
Hunt |
Runs per-class attacks, compiles fragments, probes binaries |
It spawns siblings (these handle between 9% and 20% of fleet-wide tasks depending on the model). It reaches out to and writes to the Wishlist tool. |
|
Validate |
Mechanically checks the finding, then adversarially disproves it |
Runs in two passes: plain code handles the initial schema/path checks, then a single isolated agent tries to disprove the finding before it can be filed. |
|
Gapfill |
Generates new hunt tasks for empty coverage cells |
Enqueues fresh hunt tasks for any under-tested (area × attack-class) cells that still look thin |
|
Dedup |
Identifies and consolidates overlapping findings |
Combines deterministic code and agents to cluster findings by root cause, folding them together in real time |
|
Trace |
Walks dependency graph; spawns consumer-repo tasks |
Walks the graph to add hunt tasks inside every identified consumer repo to make sure cross-repo bugs are caught |
|
Feedback |
Learns from pre-existing reports and optimizes future runs |
Takes validation failures, shallow runs, and repeated misses, and instantly rewrites queued prompts to make future tasks sharper. |
|
Report |
Renders human-readable report |
Just a script, no model required |
Table 1: Vulnerability Discovery Harness (VDH)
Stages four through eight run as a continuous producer-consumer loop. As the initial hunt progresses, the Gapfill, Feedback and Trace agents generate new tasks; Dedup folds overlapping findings back together and the rest of the loop keeps consuming the queue. This ensures a vulnerability discovered late in the cycle is still validated, reported and checked against other code to make sure it doesn’t contain the same bug, all within the same run.
Splitting the pipeline this way guarantees strict context controls. If you fill the context window, the model starts hallucinating. We keep each agent’s job hyper-focused, keeping context usage below 25% of the total window. A naive “read all files” approach will blow past this limit every single time.
One thing that caught us out was that persistence needs to be factored in before parallelism. You do not want to throw away a five-hour run because of an unforeseen error. Every stage writes to one SQLite database keyed by (run_id, repo, stage). Any stage can resume, retry, or get pulled into a later run without redoing work. Findings are streamed and saved as they happen, so a crash costs you the task in flight and nothing else.
ADVICE: Sometimes a transient API error comes back as text in the (200 OK) response stream instead of throwing a code exception. To the orchestrator, this looks exactly like a task that finished cleanly. You must explicitly classify the response text, not just trust the exception type, or you end up logging empty runs as successes.
During the Recon stage, the agent writes the threat model instead of being handed one. Beyond about ten built-in attack classes (many forms of injection, memory corruption, protocol parsing, timing side channels, and others), the Recon agent can invent repo-specific classes on the spot, each with its own methodology. It writes a custom taxonomy tailored specifically to that codebase, which is used to more tightly scope the Hunter agents.
Reading source code isn’t enough to understand how it behaves under stress, especially for subtle undefined-behavior bugs in C and other lower-level languages. The Hunter agents move past code reading and transition into active execution. They compile fragments, build small versions, and attack them. The biggest jump in quality came from giving Hunters a sandbox (built on unshare) to crash binaries.
ADVICE: If the harness itself runs inside Docker, that sandbox needs seccomp=unconfined and apparmor=unconfined or it will silently fail to start. It’s a one-line fix that saves you a day of head-scratching if you aren’t an expert in nested containerization, like us.
Beyond the core pipeline stages, we added two specialized mechanisms that grant the Hunters significant autonomy to adapt their focus and request external resources without derailing an ongoing analysis:
Sibling Forking: This helps ensure that if a Hunter agent trips over an interesting code path that is outside the current scope, it doesn’t wander off track. It uses a tool call to fork a sibling agent with a precise structural seed. Fleet-wide, this accounts for roughly 9% of tasks, though the rate is highly model-dependent — from near-zero to about a fifth, depending on which model is hunting.
The Wishlist: When an agent needs a tool it doesn’t have, often a Validator confirming a Proof of Concept (PoC) or a Hunter wanting to build something (like a specific build environment, a VM, or some prod config files), it writes to a central wishlist. It provides enough context for the system to automatically re-run that exact task once a human provides the dependency. Some of these can be partly self-healing: if the container needs to be rebuilt with some changes, this can autonomously happen after the run by having a generic coding harness monitor the logs.
The wishlist has been written to 25,472 times across 128 repos since the wishlist was added, and it’s the main way the agents talk back to us. One that landed while we were writing this: “I need a FreeBSD VM to confirm this PoC end-to-end.“
After the initial cleanup, a Tracer agent checks how different software components are connected. It looks for a specific path: can a potential attacker send harmful input from the outside to a vulnerable part of the system? If the answer is yes, the Tracer agent automatically spawns fresh hunt tasks inside the consumer repository. To make this work, you need a unified, cross-repo symbol index and an accurate dependency graph. This allows you to uncover deep, systemic flaws that a standard single-repo scan would miss.
Running our harness across an entire fleet of repos revealed two lessons that only surfaced when this was done at scale.
First, deduplication is its own problem, big enough to need its own agents. When you are scanning a handful of repositories, you can manually eyeball overlapping bugs. Simple string matching or file-path checks won’t save you here. Determining whether two complex logic flaws are actually the exact same root bug sounds trivial, but it isn’t. It requires so much cognitive reasoning that we had to deploy dedicated Dedup agents just to clean up the noise, along with their own heuristics and ways of reducing the work.
The second is to not wire in static analysis early. We plumbed Semgrep all the way through, and the Hunters invoked it zero times in a month of runs. They would rather read and run the code. The wishlist, by contrast, was the single most-used tool in the system. It’s worth paying attention to what the agents actually reach for, rather than what you think they’ll want.
The agent will edit the source code so its own exploit works, then triumphantly report the bug it just created. It will write a test that proves something entirely tautological like “exec() executes things, therefore critical vulnerability”. Or it builds an exploit that runs fine but proves nothing, because the threat model behind it is nonsense. If your harness doesn’t actively fight this, all you’ve built is a faster way to produce junk.
A Hunter has to state the threat model before it’s allowed to file anything. It has to define exactly who the attacker is, and what boundary the vulnerability crosses or what assumption it breaks. The output schema ordering enforces it. This requirement eliminates the vacuous findings, the “if a user has database write access, they can write to the database” kind.
Every confirmed finding ships with a PoC written as a test that runs against the original, untouched codebase. This prevents the agent from editing the source files to force an exploit to land. If there is no working PoC, we treat the finding as fake. In practice, that’s a Hunter compiling a thirty-line parsing loop, running it with memory protection enabled, and demonstrating that the incorrect read stride is originating from a stack address rather than the expected message body. You can re-run it yourself. Furthermore, every confirmed finding must also ship a proposed patch. What actually reaches our review queue is a verified bug, a working test, and a functional git diff, not just a vague text description of a problem.
Before an exploit path survives, deterministic code (written in plain code, not another model) mechanically verifies that the cited files and paths actually exist, and confirms that both the patch and the test parse correctly. This Validator cannot log findings of its own; its sole job is to aggressively disprove the Hunter‘s theory. If a Hunter is allowed to grade its own homework, it will confidently validate everything it outputs.
We don’t claim a false-negative rate for our system. There’s no labeled set of every real bug in a codebase, so any claimed recall number is entirely speculative. What we can watch is whether re-runs keep turning up new bugs (they do) and whether coverage is still growing across runs. It’s all a proxy, as you don’t know for sure how many bugs exist in a single codebase, but it’s a good-enough way of measuring effectiveness.
A finding coming out of the harness is just the start of the triage process, with all discoveries landing in a single, shared VVS that currently holds 13,841 findings across 145 repos in total. Triaging that volume is its own massive engineering problem, and it matters just as much as the hunting. That triage engine runs on a different model from the harness, broken down into three distinct jobs.
|
Agent/stage |
Primary role |
Spawns/ sub-agents/tooling |
|---|---|---|
|
Dedup |
Identifies if a vulnerability is already in the system, or raised as internal Jira ticket already |
Deterministic: plain code builds inverted indexes over files, functions, trust boundaries, and rare tokens, then hands each finding a short candidate list Probabilistic: Dedup agent reasons over that short list, Stable cross-run key reopens existing records |
|
Judgment |
Production reachability and validation |
Single agent — builds context about the bug from MCP servers, to get the shape of what the service looks like in production. Searches the wiki, Jira, git, config, and all available other sources to try and understand whether a bug is truly applicable to our production environment, and then score the vulnerability against this. It also validates the bug against source code to understand if the bug still exists on the latest main branch. |
|
Fixing |
Generates patches, runs regression tests |
Runs the regression test before and after (filtered to the affected test; full suite only when per-test filtering isn’t available). It requires a clean fail→pass flip on the target test to clear the gate. If the post-patch test fails, or if a global run detects downstream regressions, the commit is automatically blocked and flagged for human intervention. |
Table 2: Vulnerability Validation System (VVS)
Comparing every single finding against every other finding using an LLM scales at O(N^2), which falls apart completely at scale. To keep the model off the critical path, deterministic code builds inverted indexes over the structured data (touched files/functions, trust boundary, rare tokens) to generate a short list of real candidates. Only then does an agent look at that short list to see if a single fix would close several of them. Stable cross-run keys ensure re-found bugs reopen existing records rather than spawning new ones.
Judgment is a second, independent pass over what survived. The agent rechecks the latest information, pulling from deployment, environment, and config context to determine if the code path is reachable in prod, and identify the repo owner. This process filters “exploitable now” from “real but latent” and from “real but filed against the wrong component.” It’s moving a pile of chaotic findings into a risk-driven orchestration workflow.
The Fixer takes the proposed patch and unit tests, rewrites them to match the repo’s style, applies the diff, and runs targeted tests. A clean fail→pass flip is the ideal and the only auto-cleanup case; a failing post-patch test blocks the commit. The Fixer never merges code on its own; a human must review the branch. This gate is the non-negotiable, human-in-the-loop safeguard that enables a clean, unbreakable cryptographic trail for change management compliance. Left to patch freely, a model will happily fix a security bug while quietly breaking an unrelated feature or adding dozens of new bugs.
Across all three triage jobs, each agent is confined to one narrow task wrapped in deterministic bookkeeping code, and nothing writes to production without a human signing off on a dry run. While this pipeline moves the engineering bottleneck from finding bugs to reviewing and landing fixes, the Fixer remains the youngest and slowest part of the system.
Running hundreds of agents over a fleet of repos is not cheap, but at least the shape of the spend is predictable. Almost all of the compute budget goes directly into the hunt stage. This makes Gapfill our cost-to-coverage lever, as each additional pass costs roughly half as much as the initial hunt.
Because the cost per repository varies wildly, we budget per repo rather than per run. We enforce a strict task cap per repository and spin up a worker pool of anywhere from 50 to 200 workers. That way you can spend money on the repos that are actually finding things, and not waste it on the ones that aren’t.
It’s also why, for us, the big scans are a periodic backlog sweep and not a per-PR check. A full scan of a complex repo can take hours; the worst run took just over 14 hours. Cheaper, smaller harnesses are the right tool for that job.
We measure our system’s effectiveness by tracking how efficiently our automated pipeline filters deliberate engineering noise into high-quality, actionable findings. Because we intentionally tune our Hunters to over-report subtle primitives that could be chained into larger attacks, our true indicator of success is how sharply we can refine that initial mountain of raw data, before it ever reaches a human.
To gauge this, we track exactly how many raw findings survive each validation stage over time. Thanks to better context injection from our Recon phase, our initial validation rejection rate dropped from 40% down to 11%, while the share of high-integrity findings climbed from 35% to 58% (representing ~12,057 lifetime findings).
Here’s the lifetime breakdown from raw candidates to actionable findings, at the point in time this blog post was written.
Vulnerability Discovery Harness (VDH)
Vulnerability Validation System (VVS)
The core metric of the harness isn’t a speculative recall score — it’s keeping the number of unconfirmed findings in front of real humans as close to zero as possible. The architecture needs to be a relentless filtering funnel.
Out of 20,799 raw candidates generated by VDH, only about 12,057 survived validation.
When these were pushed into the VVS, joining findings from another harness, the central pool was brought to 13,841.
The Dedup agent folded away 5,442 findings as duplicates.
1,154 were routed to the queue as ‘wrong-repo’ or ‘low-risk’ and were recycled back into the system where appropriate.
Ultimately this left 7,245 actionable findings for engineering teams to act on.
Traditional compliance rules dictate arbitrary remediation windows based entirely on a static CVSS score (e.g., “Fix all Highs in 30 days”). Our contextual judgment layer turns this compliance checkbox into actual risk management.
The architecture is capable of tracking findings back to their origin, meaning that fixing a single root cause resolves an entire cluster of findings rather than just patching individual issues. VDH system performance is also measured by dividing repos into (area x attack-class) cells and running the Gapfill agent iteratively until it stops producing findings. Whenever we update an underlying prompt, we test it against a held-out repository to see if that total coverage cell number actually moves.
The harness wires automated health signals to catch system failures early in the pipeline. If a hunt finished suspiciously fast and fails to spawn sub-hunts or gap tasks, it usually indicates a crashed dependency rather than a clean codebase. To remedy this, the system flags any Hunter agent that finishes with zero findings as “shallow” and immediately requeues it for a new run.
Finally, our system’s robustness is reinforced by the independent triage pass described earlier. By re-judging all submissions with a different model and separate logical weights, we ensure an unbiased, adversarial verification that is decoupled from the specific model used for discovery, providing a trust layer that persists regardless of which model is in use.
None of this is finished. We change our system constantly, and it is nowhere near a perfect science. But raw candidate findings are cheap now, and the only work worth doing is turning them into sound, verifiable code fixes.
Building your own harness means accepting that AI models are volatile, but your orchestration layer doesn’t have to be. By decoupling your security logic from any single provider, forcing adversarial verification, and automating your triage pipeline, you can turn a mountain of LLM noise into a reliable, fleet-wide defense engine.
Every codebase is a little different, so to show you how this actually works in the real world, we mapped out a realistic benchmark based on a standard repo run. Keep in mind that this represents a single pass on one repo; over time, as the continuous fleet-wide loop deduplicates, filters, and recycles findings, it reduces the volume of lifetime candidates by roughly 65%.
Engineering hours saved via automated patching: Rather than focusing on static baselines, we measure the health of our pipeline by its technical throughput, processing velocity, and its ability to eliminate the manual triage bottleneck:
Initial Validation Cut: For a standard repository (~30k lines of code), this yields 100 initial findings, with a full run taking 3-4 hours, maintaining a hyperfocused context window throughout.
Compression: The Deduplication and Contextual Judgment Layers process these candidates in parallel. Within 3 hours, the system compresses and refines the batch of findings from ~100 raw candidates to 80 distinct, high-fidelity bugs.
Remediation: The automated Fixer processes these 80 distinct bugs at an average rate of 5 minutes per bug. In total, the system can discover, validate, deduplicate, and open functional pull requests in approximately 14 hours.
Shrinking mean-time-to-resolve for critical flaws: Of course, you can’t dump 80 patches into production all at once without breaking things. To keep deployments safe, our system uses a tiered rollout:
Critical Exposure Containment: The system isolates the critical, high, and exploitable bugs (avg. 10 out of 80). We fast-track these for a human review and introduce them into release cycles, getting them fully patched in production in 5 days.
Incremental Hardening: The remaining latent risks, minor config anomalies, and lower-urgency bugs are incrementally rolled into prod over a 15-20 day window to guarantee platform stability.
These findings are the result of an isolated, ring-fenced research experiment designed to stress-test our code. They do not represent active, unpatched vulnerabilities in our live production environment.
Because the harness runs constantly in our test environments, these specific numbers are completely out of date by the time you’re reading this. Every single bug surfaced by the pipeline came attached to a working test case to demonstrate the bug and a draft patch. Our security teams are systematically processing the reports and applying the necessary fixes, meaning the Cloudflare products you use every day are already actively hardened against these vectors.
Along with this blog post, we’re releasing the initial skill we used to develop the harness, it’s been slightly cleaned up before release so it’s easier to understand and integrate, but the skill itself remains substantially the same. Hopefully the harness itself will follow shortly. This could be a starting point for your own vulnerability harness, your own skill, or whatever suits your needs best:
github.com/cloudflare/security-audit-skill
If your team is working on the same problems and would like to compare notes, reach out to us at [email protected].
Post Syndicated from LastWeekTonight original https://www.youtube.com/shorts/daIllJyV52M
Post Syndicated from Светла Енчева original https://www.toest.bg/dobre-doshli-v-durzhavniya-regres/
България навлиза в нов етап на отношение към човешките права и демокрацията. Повод за тази констатация е поведението на държавата спрямо Шествието за семейството – събитие, чиято основна мисия е отрицанието на „София прайд“. Тази теза може да изглежда пресилена, но отношението на една власт към ЛГБТИ+ хората е лакмус за отношението ѝ към демократичните ценности изобщо. Виждаме го в Русия, виждаме го в САЩ, виждаме го и в Унгария, където новото проевропейско правителство на Петер Мадяр премахна забраната на прайда, наложена от предшественика му Виктор Орбан.
През първите години те представляваха основно опити за физическа агресия (възпирани от многото жандармеристи по време на самия прайд, но успешни в малките улички, докато участниците се разотиваха).
После дойде времето на организираните антишествия. През 2018 г. се проведе първият Поход за семейството. По-късно между организаторите му настъпи разкол и в резултат през 2021 г. възникна още една антипроява – Шествие за семейството. Двата антипрайда се провеждаха паралелно до 2026 г., когато ресурсите се концентрираха в Шествието, а Походът развя бяло знаме.
За първи път обаче през 2026 г. Шествието за семейството се ползва с държавна подкрепа и е под егидата на Българската православна църква (БПЦ). А давайки заявка, че от догодина БПЦ ще поеме изцяло организацията на събитието, патриарх Даниил го измъкна изпод краката на досегашните организатори (основно евангелисти), както те навремето постъпиха с Поход за семейството.
Трансформациите на мобилизацията срещу „София прайд“ са израз на три етапа в отношението към равните права в посттоталитарна България. Тук ще скицирам основните им характеристики, но отделни елементи от всеки етап може да се видят и в останалите. Важното обаче са водещите признаци и общият дух на всеки от етапите.
След 1989 г. България, поне на декларативно равнище, се стреми да стане част от общността на демократичните държави. Още в края на следващата година Великото народно събрание приема решения (публикувани в бр. 3 на Държавен вестник от 11 януари 1991 г.), че страната иска да стане пълноправен член на Европейските общности, както и да приеме основополагащи документи на европейското законодателство, включително Европейската конвенция за правата на човека. От 2000 г. България води преговори за членство в ЕС, а от 2007 г. става част от Съюза.
Тези процеси са съпътствани и от необходими – с оглед на целите на страната – промени в законодателството. През 2004 г. например влиза в сила Законът за защита от дискриминация (ЗЗД), а през следващата година в него са включени и признаците на дискриминация, между които е и сексуалната ориентация. През 2015 г. и промяната на пола влиза като защитен признак в заключителните разпоредби на ЗЗД. Изобщо, изглежда, че неизбежното развитие на страната е в посока към повече равни права.
В същото време защитата на представителите на уязвими и дискриминирани групи остава предимно на хартия. Нито сегрегацията на ромите е премахната, нито се осигуряват достъпна среда и нужната подкрепа за хората с увреждания, нито институциите разпознават хомофобията и защитават пострадалите от нея.
Не се приемат и закони, които реално да са стъпка в посока към равни права (например регистрирано партньорство за ЛГБТИ+ хората). Широко разпространено е схващането, че равните права са всъщност „привилегии“ за малцинствените групи.
Началото на втория етап бележи дезинформационната кампания срещу Конвенцията на Съвета на Европа за превенция и борба с насилието над жени и домашното насилие, по-известна като Истанбулската конвенция, от края на 2017 и началото на 2018 г. Тази кампания беше юридически скрепена от най-висшите съдилища в България.
През 2018 г. Конституционният съд (КС) постанови, че съществуват само два пола, биологичният пол е конституционен, а единствената социална роля на жената е да бъде майка.
През 2021 г. пък КС отсъди, че полът според Конституцията има само биологичен смисъл и няма социално изражение. В решението точно 30 пъти става дума за традиционно и традиции, макар в Основния закон традиционното да се споменава само веднъж – когато се казва, че традиционната религия в България е източноправославното вероизповедание.
През 2023 г. Върховният касационен съд (ВКС) излезе с тълкувателно решение, с което де факто забрани юридическата смяна на пола на транс хората. По-точно, въпреки че хора в България са променяли юридическия си пол в продължение на няколко десетилетия, ВКС каза, че българското право не предвижда такава възможност.
И така, в период от няколко години най-важното нещо в българското право се оказаха традиционните ценности, за които не пише нищичко в Конституцията, и бракът между мъж и жена.
Постепенно самото българско право някак започна да се възприема като традиционно (каквото то няма как да бъде). Така например забраната на т.нар. ЛГБТ пропаганда в училище беше аргументирана с някаква несъществуваща „българска правна традиция“.
Въпреки тежненията към традиционното обаче, през втория етап не се поставят под съмнение геополитическата и ценностната ориентация на България. Затова този етап е междинен.
В третия етап, в който навлиза България в момента, „традиционните ценности“ са превзели властта и открито се противопоставят на демокрацията. Засега това все още изглежда парадоксално, така че много хора си задават рационални въпроси:
Само че тези въпроси са доста закъснели. Почвата за това, което наблюдаваме, се подготвя отдавна. Чрез постепенното навлизане на БПЦ в държавата, въпреки че според Конституцията България е светска, чрез параклисите в училищата, въпреки че и образованието по закон е светско, чрез решенията на КС и ВКС, чрез умилителния език на мейнстрийм медиите, когато става въпрос за православни празници, ритуали и инициативи.
И не на последно място – чрез липсата на съпротива.
За да стане по-ясна същността на новия етап в отношението към равните права и демокрацията, е добре да обърнем внимание на изказването на Слави Василев в парламента по повод Шествието за семейството. Защото то изразява позицията на управляващата партия „Прогресивна България“ (ПБ) – не само по конкретната тема, а и за посоката, в която трябва да върви България.
В декларацията се казва, че
съхраняването на традиционното семейство не е просто въпрос на личен избор, а стълб на националната ни сигурност.
Защо? Защото сме „във времена на ценностна дезориентация, социална фрагментация и тежка демографска криза“. Новата власт, значи, ще ориентира ценностно интимния ни живот в името на националната сигурност. И трябва да се сбогуваме с личния избор.
Спрямо какво ще се извърши ценностното ни преориентиране? Според Василев съществува „огромно множество“ българи, отстояващо традиционните ценности и семейството. То обаче е мълчаливо и не получава трибуна (дори на вас и мен да ни изглежда, че позицията му е доминираща в публичното говорене). Ценностите на малцинствата, значи, трябва да бъдат напаснати към мнозинството, както и българското и международното законодателство трябва да отстъпят пред него. Такова мнозинство, каквото си го представя ПБ (докато реалното мнозинство в България прави деца нетрадиционно – без брак).
В същото време, макар че в началото на декларацията личният избор е заклеймен, после в нея се казва, че ПБ
застава зад правото на всички български родители да възпитават децата си в съответствие със своите морални, религиозни, философски убеждения без външен идеологически натиск.
Тук под „всички български родители“ не трябва да се разбират действително всички, а само онези, които са част от мълчаливото, според управляващите, мнозинство – за да няма ценностна дезориентация. Тоест родителите „имат право“ да възпитават децата си в съответствие само с правилните според ПБ убеждения. В противен случай стават заплаха за националната сигурност.
В нея се казва, че да се „деконструират традициите, семейството и вярата“ е „модерно напоследък“, както и че бъдещето на България „не се кове в модерните за текущия момент идеологически течения“.
Какво означава „напоследък“ и кой е „текущият момент“? Изобщо, откога демократичните страни се развиват според тези либерални ценности, които консервативният обрат, част от който е ПБ, отрича?
Да помислим. Преди 36 години, през 1990 г., Световната здравна организация премахва хомосексуалността от списъка на заболяванията и може да се каже, че през следващите три десетилетия либералните ценности са доминиращи. През 1990 г. Слави Василев е бил на шест годинки. Още по-рано – към края на 60-те години на ХХ в. – настъпва сексуалната революция. Тогава Василев още не е бил роден. Борбата на жените за равни права пък датира от още по-рано – тя е на повече от век.
ПБ анихилира цяла епоха, свеждайки я до „напоследък“ и „текущия момент“, в името на идеята за една традиционност, каквато никога не е съществувала.
Декларацията на политическата сила, именувала се „Прогресивна България“, задава ясна посока към консервативен традиционализъм в стил Русия на Путин. Няма смисъл да търсим логика и да спорим с аргументи – щом „прогресивното“ е регресивно, всичко останало ще е също толкова абсурдно. А и на ценности не може да се възразява рационално – особено ако никой не ни казва кои са те точно, освен че са „традиционни“ и „семейни“.
А ако патриархът си е пожелал гвардейски оркестър на хомофобско шествие и го е получил, какво друго би могъл да поиска той и да му се даде? На първо място – задължително обучение по религия в училище, разбира се. Но и какво ли още не. Например забрана на „София прайд“. Или на небогоугодните НПО-та. Или на абортите. Или затвор за „накърняване на религиозните чувства“ – като в Русия. Или премахване на онзи досаден текст от Конституцията, според който религията е отделена от държавата. И т.н.
Впрочем дори не е нужно патриарх Даниил да пожелае някои от тези неща, за да се изпълнят. Ако дневният ред на ПБ е България да се отдалечи от демократичния свят, който понастоящем се олицетворява основно от ЕС, това ще е посоката на развитие.
Смятащите се за демократични партии са в конформистки ступор. „Да, България“ дори оттегли предложението си за премахване на забраната на т.нар. ЛГБТ пропаганда в училище.
Гражданите – критичното мнозинство от тях – смята, че сериозната борба е срещу корупцията и олигархията, а не за свободата им. Когато ограничаването на права стигне и до тях – а то ще стигне, ако се върви в зададената от ПБ посока, – може вече да е късно. А за да се оправят нещата, ако това изобщо е възможно, може би ще се наложи първо съвсем да се объркат, та да стане непоносимо за всички.
Post Syndicated from Thomas Fischer original https://aws.amazon.com/blogs/security/spring-2026-soc-1-and-2-reports-are-now-available-in-oscal-format/
Amazon Web Services (AWS) is excited to release the Spring 2026 System and Organization Controls (SOC) 1 and 2 reports in machine-readable OSCAL format alongside the PDF version of the reports. The reports cover 188 services over the 12-month period from April 1, 2025 to March 31, 2026, giving customers a full year of assurance. These reports demonstrate our continuous commitment to adhering to the heightened expectations of cloud service providers.
AWS is the first major cloud provider to offer key compliance reports to customers in the National Institute of Standards and Technology’s (NIST) Open Security Controls Assessment Language (OSCAL), as of June 2026. OSCAL is an open source, machine-readable (JSON) format for security information. The SOC 1 and SOC 2 report package in OSCAL format is now available as a distinct package in AWS Artifact, marking a milestone toward open, standards-based compliance automation. This machine-readable version of the SOC report package enables workflow automation to reduce manual processing time and modernize security and compliance processes. Your use cases for this content are innovative, and we want to hear about them through the contact information found in the OSCAL report package.
You can download the Spring 2026 SOC 1 and 2 reports in OSCAL format through AWS Artifact, a self-service portal for on-demand access to AWS compliance reports. Sign in to AWS Artifact in the AWS Management Console, or learn more at Getting Started with AWS Artifact. The SOC 3 report can be found on the AWS SOC Compliance page and in AWS Artifact.
AWS strives to continuously bring services into the scope of its compliance programs to help customers meet their architectural and regulatory needs. You can view the current list of services in scope on our Services in Scope page. As an AWS customer, you can reach out to your AWS account team if you have any questions or feedback about SOC compliance.
To learn more about AWS compliance and security programs, see AWS Compliance Programs.
If you have feedback about this post, submit comments in the Comments section below.
Post Syndicated from original https://www.toest.bg/na-vtoro-chetene-2/
превод от английски Владимир Германов, София: изд. „Кръг“, 2023
Чудесният сборник с разкази на Никол Краус беше изненада дори за читателка като мен, на която се налага уж по-внимателно да следи издаваната у нас литература. Не само mea culpa все пак, защото, макар въпросната книга да е излязла през 2023 г. на български, а преди това да са преведени и два други романа на тази световноизвестна американска писателка (в „Колибри“), българският Google не открива нищо повече – отзиви, статии, ревюта, интервюта – освен това, че изданията се продават. (Край на кратката вметка относно подминаването или недостатъчното говорене за хубави книги.)
„Да си мъж“ е първият опит в краткия разказ на Краус след четири романа преди това, преведени на десетки езици, и последната ѝ написана до момента книга. Отличена е с британската награда „Уингейт“ за най-добро представяне на еврейството в художествената или нехудожествената литература (сред лауреатите ѝ са Зейди Смит, Зебалд, Етгар Керет, Давид Гросман, Амос Оз). Прекрасният превод на сборника е дело на Владимир Германов за издателство „Кръг“, което напоследък се утвърди във внимателния подбор на знакови разказвачи, сред които Алис Мънро, Тобаяс Улф, Шърли Джаксън, Лусия Бърлин, Сергей Лебедев и др.
Хилядолетната еврейска история; археологическото дълбаене в библейските руини; нацизмът; бедствените пожари в Калифорния; антиутопичните мерки от времето след 11 септември, очакваният край на света през 2000-та… – мащабният страничен фон в много от тези разкази е несъразмерен с микрокосмоса на сюжетите, вгледани в семейното и интимното. В писането на Краус обаче животът като че ли е езикът, запълващ пространството между двете, а случилото се (същината на наратива, така да се каже) винаги сякаш е някъде другаде – в предходното, в преразказаното, във въобразеното, в изпуснатото, в изместеното. В онова, което липсва в тези истории. И ако те имат някакво послание, то е, че
Много от разказите в сборника действително са за невидяното – именно то е обект на разказването. В много от случаите разказвач(к)ите са станали очевидци единствено на последиците от това, до което разказът им никога няма да проникне. Той остава някак миражен, плод на предполагаемото, което след тях читателят следва сам да си довъобрази. „Събитието“ не е непременно част от сюжета, невинаги има нужда да бъде назовано или дефинирано, ала осезаването му (не дори осъзнаването) неизбежно просветва в „бавното пресъхване на разбирането“ с годините. Не виждаме ли в крайна сметка у другите само страничните ефекти от тяхното живеене, само остатъците или излишъците от преживяното?
В това дискретно (в най-ангажиращия смисъл на определението) интелектуално-чувствено четиво сюжетите се движат между Тел Авив, Ню Йорк, Лос Анджелис, Южна Америка, Европа – географски; между различните възрасти и поколения – времево; между половете и семейните роли – социално; между куп реалии, изкуства и заглавия – културно; между съзряването, сексуалността, заедността, себепознанието, властта, раздялата, стареенето и умирането – екзистенциално. Макар и уж различни, историите звучат споено, почти като роман – не само тематично, но и защото идентичностите на героите като че ли преливат, маркерите на житейския опит, характерите, интересите са сходни и повторими. Краус не само не се страхува от тази смътна неотличимост, а напротив – търси архетипите в редящите се вътрешни пейзажи.
Поради горното вероятно има опасност писането ѝ тук да се стори еднообразно или монотонно на някои читатели, включително заради еднаквия стил и глас във всеки от разказите. Но силата на тази проза се крие именно в привидната непрекъснатост, в нейния минорен интензитет, в понякога почти унилото носене по историите, в отказа от самоцелно разнообразие за сметка на един определен житейски и емоционален регистър. Просто, както установява една от героините, когато екранът на един приключващ филм най-сетне почернява, той
всъщност изобщо не е черен. Ако се вгледаш, ще видиш падащия дъжд.
Краус не показва явно емоционално пристрастие към героите си, но прозата ѝ звучи – и всъщност вероятно до голяма степен е – автофикционална. Ако можем да използваме разграничението, което една от героините ѝ прави между два типа фотографски поглед – на Уокър и Арбъс, – то бихме могли да определим писателския ѝ подход като смесица от двете: от едната страна имаме „отказ от състрадание в полза на студената яснота“, от другата – „някой, който се самоидентифицира с обектите си на ужасяващо ниво“.
Характерен за Краус е смътният финал, символичен дори в отказа ѝ от него. „Финал“ в смисъла на продължаване, на фино и невидимо пренастройване или тихо заемане на позиция в баналността на житейската драма, лишена тук от всякаква драматичност. Така както (по отношение на разтрогнатите бракове – чест мотив в разказите),
хаосът на прекъснатото и обърнатото наопаки, на анулирането и унищоженото, по вълшебен начин се превръщаше в порядък с простото попълване на някакви документи в официалните архиви на еврейския съд.
Зад подписа под тях – бележещ ясен, окончателен финал – се крие цялата невъзможна за разказване и приключване история.
В почти всеки разказ на Краус има и един епифаничен, трансформационен по същността си момент, бележещ усещането за преминаване; момент толкова безшумен и призрачен, че понякога е сведен до единичен жест (докосване по косата, размяна на легла, прескачане, поглед, предложение да облечеш нечие палто в студа и т.н.), който лесно би могъл да бъде пропуснат като дребна брънка в движенията на сюжета. Наблюдава се също едно по същността си отложено във времето „квантово заплитане“ – повтаряне, наследяване, възприемане на съдби, на социални и семейни роли, на характери. Докато осъзнаеш
как някой може да ти се случи, и това случване да съзрее половин живот по-късно, да изригне, да се представи.
Сигурно не е случайно, че един от героите, археолог, разравя именно древните останки на Мегидо – символ на вечния конфликт, на Армагедон. По своята същност това е място не само на древното минало – то извиква мисълта и за едно метафорично разкопаване на бъдещето, за една археология на предстоящото. Защото значимостта му е много повече в идното, като място на очаквания Апокалипсис, на предвкусвания и засега отлаган край на краищата. Тази неизбежна зараза на сегашното и бъдещото от „безкрайната мъдрост на мъртвите“ не може лесно да бъде отхвърлена. Де факто никой от героите, почти всичките евреи, не съществува извън структурата на вече преживяното, семейното, историческото, религиозното, езиковото; всеки мъкне багажа на еврейството („не бе успял да стане изцяло себе си, вместо това се бе поддал на древен натиск“).
Относно горното друг един от героите, историк, отбелязва, че „има повече от достатъчно [еврейска и не само – б.а.] история“, но парадоксално, той няма какво да успее да предаде на новородения си внук от това смазващо познание, няма какво от него да бъде послушано и най-вече почетено. Може би едно от най-силните осъзнавания в сборника е именно неговото: че мощното присъствие на предците, на родителите прикрива неяснотата, върху която е построено всичко. Без него тази вездесъща неяснота може да ни залее и съкруши.
Дългогодишният интерес на Краус към Израел и еврейската идентичност (нейната едновременна неуловимост и неизбежност; фикция и тегоба; убежище и тежест) преминава през целия сборник, без отделянето на поколенията поради емиграцията да е първосигнално проблематизирано, без леснотата на носталгията и патриотизма. И все пак усещането е, че сърцето на историите и на разказвачите е там, в конкретната картография на Светите земи. Както установява една от героините за баща си, той само е „отсядал“ в Америка, но е „живял“ в Тел Авив. Впрочем, макар родена и израсла в САЩ и с корени другаде в Европа, Краус показва изключително достоверни познания за съвременен Израел; позволява си да прави и много остри политически намеци с основанието, което има за критика запознатият, тамошният. На фона на обсебващото чувство за надвременност в разказите ѝ тук-и-сегато винаги присъства чрез конкретни реалии.
Макар разказвач(к)ите по-често да са в позицията на тези, които са заминали, които не са у дома и са в ролята на научаващи новините оттам, фокусът е повече върху останалото и останалите, върху другите. „Дом“ остава имагинерно, флуидно място. Нещо в състояние на суперпозиция. Нещо, което може да размениш или смениш. Или да откриеш много по-късно – във или вместо нещо друго и някой друг. „Ако има нещо като душа, колкото и да е изкривена, къде би се върнала?“, пита се една от героините. И това е толкова еврейски въпрос.
Противогазите в един от разказите в крайна сметка се оказват ненужни – оцеляването ще стане и без тях; понякога просто носим защитите си, без да знаем, че всъщност трябва да оцелеем от самите тях. Така както и да бъдеш намерен невинаги означава да бъдеш самия себе си в намереното.
Или може би в крайна сметка думата е просто „свикване“…
[Знам] че ще свикна да прескачам непознатия, когато отивам към кухнята, защото така живеят хората, прекрачват небрежно подобни неща, докато престанат да са бреме и стане възможно да ги забравят напълно.
Никой от нас не чете единствено най-новите книги. Тогава защо само за тях се пише? „На второ четене“ е рубрика, в която отваряме списъците с книги, публикувани преди поне година, четем ги и препоръчваме любимите си от тях. За нея медията „Тоест“ е отличена с Националната награда „Христо Г. Данов“ (2025) за принос в представянето на българската книга.
Рубриката е част от партньорската програма Читателски клуб „Тоест“, благодарение на която активните дарители на „Тоест“ получават 20% отстъпка от коричната цена на всички книги на включените издателства. Изборът на заглавия обаче е единствено на авторите Стефан Иванов, Севда Семер и Антония Апостолова, които биха ви препоръчали тези книги и ако имаше как да се разходите с тях в книжарницата.
Post Syndicated from jzb original https://lwn.net/Articles/1078521/
The Software Freedom
Conservancy (SFC) has announced
the release of its recommendations
for using LLM-backed generative AI systems for FOSS
contributions. The recommendations were created by the SFC and
volunteers from the free-software community.
The recommendations reflect the extremely difficult dilemmas that
these systems pose for FOSS contributors. SFC and its volunteers
understand that FOSS developers are approaching LLM-gen-AI from a
variety of perspectives. The recommendations offer practical
assistance to minimize the damage caused by using proprietary systems,
whether FOSS contributors reject LLM-gen-AI or choose (voluntarily or
by employer mandate) to use them.These recommendations are best practices (but not definitions or
requirements) that SFC and its volunteers formulated after careful
study of the growing LLM-gen-AI use among FOSS contributors. SFC will
follow these recommendations with a series of supporting materials,
including documents, online tutorials, public Q&As, podcasts,
and other community engagement. We will routinely refine our
recommendations and continue to support FOSS contributors as they
navigate this difficult landscape.
Post Syndicated from LastWeekTonight original https://www.youtube.com/watch?v=8qUxl3rl53M
Post Syndicated from The Atlantic original https://www.youtube.com/shorts/d14Ql0YrRpo
Post Syndicated from digiblur DIY original https://www.youtube.com/watch?v=6GBiaOtR_Wg
Post Syndicated from Tom Caiazza original https://www.rapid7.com/blog/post/it-why-security-teams-need-to-start-earlier
Security leaders are facing an unusual set of circumstances. The drumbeat for better security prioritization has been rising for years in boardrooms around the world. The desire is there, but the processes of the past aren’t meeting the needs of the new moment we find ourselves in.
That gap is not a technology problem. It’s an operating model problem.
At the opening keynote of Rapid7’s 2026 Global Cybersecurity Summit, Craig Adams, Chief Product Officer, Rapid7, Brian Castagna, CSO, Rapid7 and IDC’s Research VP, Craig Robinson framed a simple idea: cyber defense needs to start earlier.
For more on this, download our new ebook, Preemptive Security: From Resilience to Action.
Security environments have never been more connected or more difficult to manage. Cloud adoption, SaaS sprawl, third-party dependencies, and identity growth have expanded the attack surface in ways most programs were not designed to handle. Many teams have responded by adding more tools and more telemetry. This has resulted in more fragmentation, more dashboards, and more opportunities for important information to slip through the cracks.
Teams are spending more time stitching context together than they are effectively reducing risk. This shows up in daily operations with analysts moving between multiple systems to validate alerts, and leaders lacking the clear picture to explain risk to the business. In a time when exposure management and detection & response can live on one platform, that level of fragmentation makes no sense.
The traditional model still dominates most security programs. It goes like this (stop us if you’ve heard this before): 1) Detect an alert. 2) Investigate. 3) Contain. 4) Recover. 5) Repeat, forever.
Sounds simple, right? And it worked great when environments were simpler and attackers moved slower. That is no longer the case.
Today, initial access often happens quietly through identity abuse or misconfiguration. Attack paths form before an alert even fires. By the time a signal reaches the security team, attackers may already be moving laterally or accessing sensitive systems. This creates a cycle of constant response without consistent risk reduction. Teams get better at handling incidents but struggle to remove the conditions that enable them.
Security operations centers can receive thousands of alerts per day, many of which are low value or false positives. This leaves analysts spending hours triaging signals instead of focusing on the exposures most likely to lead to impact.
More alerts do not make you safer. They create drag. Better context creates better outcomes.
Most organizations are not lacking data. They are lacking the clarity needed to understand the data they have and contextualize it as it relates to their business. Telemetry alone does not answer the question that matters most: what should we do first?
Attackers look for the most effective path into an environment, often combining smaller weaknesses across assets, identities, and systems until they create meaningful access. Security teams need a similarly connected view, one that helps them understand which exposures are exploitable, which assets are most critical, and how those risks relate across the environment. When teams can see that full picture, they can focus remediation on the issues most likely to be used in a real attack, making risk reduction more targeted, efficient, and defensible.
The result is effort without impact.
The summit’s keynote message is direct: meaningful action must move earlier in the lifecycle.
Preemptive Security introduces an operating model designed for that shift. It connects four core elements:
Exposure management to identify and prioritize risk
Managed detection and response (MDR) to monitor and act
Artificial intelligence to reduce noise and accelerate analysis
Human expertise to validate and decide
Together, these capabilities create a system that acts before risk becomes impact. Instead of waiting for alerts, teams identify likely breach paths. Instead of reacting to incidents, they reduce exposure ahead of time. Instead of managing disconnected tools, they operate with shared context and clear priorities. Detection and response becomes one leg of the stool with exposure management taking the lead in reducing risk before it becomes an emergency.
For CISOs and security leaders, this shift means designing programs around likely attack paths, not isolated findings. It means prioritizing investments based on risk reduction, not tool coverage and enabling teams to act decisively without increasing headcount or complexity.
It also changes how success is measured. The goal is fewer surprises, faster containment and reduced exposure before exploitation. It means starting earlier, to increase the likelihood of success. These are outcomes the business understands.
Ultimately, the environment has changed faster than the operating model. So the operating model needs to change. Luckily, there’s a proven path forward that can prevent the attacks from bad actors already moving in earlier, using technology to scale their operations, and exploiting small weaknesses to get a foothold.
Preemptive Security provides the framework to close that gap. It helps teams reduce noise, focus on what matters, and act with confidence before disruption occurs. Security does not start with an alert. It starts with understanding risk early enough to do something about it.
Watch the keynote on demand or download the eBook, Preemptive Security: From Resilience to Action, to explore the model in more detail.
Post Syndicated from corbet original https://lwn.net/Articles/1078068/
The 7.2 merge window started with the 7.1
kernel release on June 14. As of this writing, just over 7,000
non-merge changesets have been pulled into the mainline for the next kernel
release. Many of the core subsystems have been pulled at this point,
meaning that most of the changes that can be expected in 7.2 have now come
into focus.
Post Syndicated from The Atlantic original https://www.youtube.com/shorts/bd13aZ21kZI
Post Syndicated from corbet original https://lwn.net/Articles/1078466/
Version
4.6 of the Mastodon fediverse platform has been released.
The headliner of this release is Collections, a way to create and
share curated collections of profiles. Part of Mastodon’s work
ethos is our commitment to trust and safety, so we’ve put a lot of
thought and care into the design of this feature to avoid some of
the pitfalls and abuse people have experienced with similar
features on other platforms, while focusing on its primary goal:
Helping new users discover more of the Fediverse.
Other new features include support for subscribing to posts via email, the
ability to generate a “year in review” post, accessibility improvements,
and more.
Post Syndicated from daroc original https://lwn.net/Articles/1074291/
How can cloud providers efficiently supply durable virtual block devices? Remote
Direct Memory Access (RDMA) provides a way for servers in a cluster to share
chunks of memory, but there still needs to be a protocol that operates on top of
RDMA to provide the guarantees expected of a block device. The kernel’s RDMA transport
library (RTRS) provides a way to send messages via RDMA. I
presented about two
new components built on top of RTRS at the 2026
Linux
Storage, Filesystem, Memory Management and BPF Summit: Reliable Multicast
over RTRS (RMR) and Block device over RMR (BRMR). These modules, which I
am working on with Jia Li, could be a way for cloud providers to
expose durable block devices with as little overhead as possible. To accomplish
that, however, we need some discussion and feedback from the community before
sending the modules upstream.
Post Syndicated from jzb original https://lwn.net/Articles/1078465/
Security updates have been issued by AlmaLinux (dracut, podman, postfix, rsync, xorg-x11-server, and xorg-x11-server-Xwayland), Debian (atril, firefox-esr, and nginx), Mageia (libcap, perl, and python-pillow), Oracle (firefox, gstreamer-plugins-base and gstreamer-plugins-good, httpd:2.4, kernel, libpng12, libpng15, libxml2, libxslt, opencryptoki, openssl, postfix, rsync, webkit2gtk3, xorg-x11-server, and xorg-x11-server-Xwayland), Slackware (bind, libidn, mozilla, and openssl), SUSE (alloy, docker, elemental-system-agent, glibc, grafana, helm, LibVNCServer, openssh8.4, perl-GD, perl-HTTP-Daemon, python-WebOb-doc, python311-google-adk, rustup, traefik2, wireshark, and xwayland), and Ubuntu (dolibarr, golang-go.crypto, graphite2, gst-plugins-bad1.0, kitty, libconfig-inifiles-perl, libnginx-mod-js, and webpy).
Post Syndicated from Jocelyn Woolbright original https://blog.cloudflare.com/celebrating-12-years-of-project-galileo/
Twelve years ago this month, Cloudflare launched an ambitious project built on a simple idea: people shouldn’t be knocked offline just because someone more powerful disagrees with them. Today, Project Galileo provides free access to cybersecurity services to more than 3,400 websites belonging to journalists, human rights defenders, and other nonprofit organizations in 120 countries. We continue to believe that a better Internet is one where anyone with an idea can reach a global audience.
Each year on the anniversary of Project Galileo, we announce new products, programs, and strategic partnerships. To celebrate our 12th anniversary this year, we’re publishing our first comprehensive report on cyberattacks targeting civil society, releasing case studies that explore the security needs of 16 Project Galileo participants, and announcing new project partners.
Because Project Galileo now includes 3,400 domains belonging to organizations in over 120 countries, Cloudflare has access to unique data regarding the cyber threats, attacks, and trends targeting civil society — a critical pillar of global democracy. In addition, because the Cloudflare network spans more than 335 cities in 125 countries and more than 20% of the web sits behind it, we were also able to compare attacks targeting civil society with those targeting the Internet more broadly. The full report can be explored here.
This year’s data demonstrates that civil society organizations were targeted more frequently, and often more intensely, than other Internet users. Cyberattacks often coincided with critical moments in civil society’s work, such as publishing investigative reporting or conducting public advocacy. Our key findings include:
DDoS attacks were the most common cyber threat against civil society. Their defining feature was duration, with some spanning days and weeks.
Civil society groups faced attempts to exploit website vulnerabilities at a rate more than seven times higher than other Cloudflare customers. Media organizations were disproportionately impacted.
Journalists operating in exile faced a rate of malicious traffic that was nearly four times higher than journalism organizations overall.
Nearly 10% of all emails Cloudflare processed for civil society included potential phishing material.
We conclude our report with a call to action: ensure simple and affordable cybersecurity for all, expand transparency about cyberattacks and Internet shutdowns, and embed AI and post-quantum protections into security tools by default. We hope this report can serve as a resource for civil society, policymakers, and the broader public seeking to understand and respond to cyberattacks. Moving forward, we plan to produce it annually, allowing us to compare cyber threat trends over time.
In addition to the report, Cloudflare released the following qualitative case studies that add context about each organization’s security needs.
|
Organization |
Description |
Country/Region of Operation |
|---|---|---|
|
Nonprofit advocating for privacy, free expression, and other digital rights. |
Serbia |
|
|
Online platform/database for finding lost and found pets, connecting owners with animal shelters. |
Czech Republic |
|
|
Research project tracking Iran’s weapons capabilities and nonproliferation issues, run by the Wisconsin Project on Nuclear Arms Control. |
United States |
|
|
Nonprofit media organization covering nuclear risk, climate change, and disruptive tech. |
United States |
|
|
Society for weather and climate science, supporting meteorology research, education, and professional accreditation. |
United Kingdom |
|
|
An engineering collective that develops tools and research for human rights organizations, lawyers, and activists operating in high-risk environments. |
Global |
|
|
Digital archive documenting and preserving evidence of war crimes and events from the Russia-Ukraine war. |
Ukraine |
|
|
Research and data publication on global issues like poverty, health, and climate. |
United Kingdom |
|
|
Think-and-do tank focused on user-friendly justice systems and resolving justice problems for people worldwide. |
Netherlands |
|
|
Progressive public policy research and advocacy think tank. |
United States |
|
|
Brazilian chapter of Sea Shepherd, marine conservation organization protecting ocean wildlife and ecosystems. |
Brazil |
|
|
Independent digital media outlet covering Cuba, including news, economics, and exchange rate tracking. |
Global |
|
|
Nonprofit ticketing platform donating booking fees to children’s education and health charities. |
Australia |
|
|
Global investigative journalism network exposing organized crime and corruption. |
Netherlands |
|
|
Legal information resource for activists on their rights and legal risks during protest and campaigning. |
Australia |
|
|
Bilingual news website covering censorship, human rights, and politics in China. |
United States |
Project Galileo relies on its 59 civil society partners to be a success. Every single organization that applies to the program is reviewed and approved by one of these partners. These groups volunteer their time and expertise, often reviewing multiple applications per day, to help make sure our services go to deserving organizations.
Over time, these relationships have not only helped grow Project Galileo into the program it is today, but also launched entirely new initiatives, like our email security partnership with Protect.ngo (formerly CyberPeace Institute) or our work supporting Internet measurement at public schools through UNICEF’s Giga project.
For several years, one of our goals for Project Galileo has been to reach more organizations in regions outside North America and Europe. Part of that effort has been attending regional events like RightsCon in Costa Rica (2023) and Taiwan (2025) to speak directly with local digital rights organizations. We have also welcomed new partners who bring their own active networks and communities into the program. For example, last year we announced two new partners in the Asia-Pacific region: EngageMedia and the OpenCulture Foundation.
Because of the new services we recently added to Project Galileo to help local news organizations protect their content from AI crawlers, our partnership focus this year was groups serving journalists. To that end, we are proud to announce three new partners:
|
Organization |
Description |
Country/Region of Operation |
|---|---|---|
|
Nonprofit focused on promoting high-quality independent journalism. Provides training, fellowships, mentorship, and financial support to journalists, specializing in helping reporters leverage digital technologies. |
Based in the United States and supporting journalists in 180+ countries. |
|
|
Innovation hub focused on next-generation media technology. Provides collaborative research spaces, funding opportunities, business incubation, and networking events for 100+ creators and local newsrooms. |
Norway |
|
|
Nonprofit network focused on protecting civil society from cybersecurity threats. Provides threat intelligence, defensive coordination, training, and support to its network of over 1,000 nonprofit organizations. |
United States |
Today’s new report, case studies, and new partners are all aimed at working toward Project Galileo’s fundamental goal: ensuring that cyberattacks do not silence organizations working in vulnerable, essential areas like journalism and human rights.
As we look to the future, we remain committed to finding new ways to expand our protections to at-risk groups worldwide. If your organization is looking for protection under Project Galileo, please visit cloudflare.com/galileo.
Post Syndicated from Атанас Шиников original https://www.toest.bg/kude-e-sheytanut-tuk-allah-i-tezhka-muzika/
В езиковата гимназия, където учех, имахме навика да носим тениски, по-тежки от нас самите. Покрай концерта на „Мейдън“ през май се сетих, че това беше първата банда, с която ми влезе стружка в ухото, както гласи клишето. А пък графити тагът ми, с който вгорчавах живота на чистачките в училището, беше Morbid – така ми казваха и приятелите. Идва от името на детметъл бандата „Морбид Ейнджъл“.
През 1998 г. с един приятел ни хрумна да правим седмично предаване за тежка музика по местното радио. Кръстихме го „Баялдизъм“. От манджата с турско име имамбаялдъ, пълнен патладжан. „Имамът припадна“, това значи на български, или както се казва по нашия край, баялдиса. Явно сплавта между тежка музика и Ориента оттогава ме преследва. Три часа тежка музика всяка сряда, огромен блок, който да ранява смъртно слуха на пазарджишките пенсионери с протяжни истории за групи и изпълненията им. Хевиметъл, хардкор, детметъл, прогресив, блек, готик – каквото си представите. Ако трябва да го обобщя евфемистично, самоопрощаващо и иронично, забавен тийнейджърски експеримент, нелишен от грешките на младостта.
През 1998-ма, същата година, в която се озовах в нашенската арабистика, излезе и „Дяволът в музиката“ (Diabolus in Musica) на „Слейър“. А ако си мислите, че шейтанът в музиката няма връзка с Ориента, спомнете си легендарното трашвидео на „Сезони в бездната“ (Seasons in the Abyss) от 1990 г. Беше снимано в Египет на фона на бедуини, камили, пустинята, пирамиди, Сфинкса, храмове, огньове малко преди Буш да удари Ирак по време на „Пустинна буря“. Та чак „Ролингстоун“ 25 години по-късно посветиха пространен материал на тяхната „египетска Одисея“.
„Египетска Одисея“ звучи малко като „Мека, която е Йерусалимът на християнството“, по коментара на анонимен форумен участник в „Дневник“ навремето. Впрочем, като сме тръгнали с ориенталистките асоциации, „Слейър“ на арабски е катил. Разпознавате думата, навлязла и в „езика свещен на моите деди, език на мъки, стонове вековни“ през турски, че и пояснена в Речника на българския език на Института за български език с ключови цитати, като този от Вера Мутафчиева: „Нищо друго ми не трябва, божичко, само тази нощ дано ме не съсекат катилите, да не ме пекат на огън и дупчат с ками!“
Мюсюлманската доктрина винаги е имала амбивалентно отношение към пеенето и инструментите. Не само към западните, не специфично към Бах или Ариана Гранде, към Тони Стораро или Азис. А към музиката по принцип. Има достатъчно идеологически лагери, от които да си избереш според догматичните и художествените предпочитания, а и според своята собствена лична история.
Като човек, който се занимава с мюсюлманско право, стабилно вкоренено в свещените текстове, предпочитам да тръгнем от по-строгите перспективи. Някак по-консистентни са. А и отвъд „Всеки прави и вярва в каквото си иска“, или както казваше баща ми, лека му пръст, „Всеки да яде и пие каквото му се услажда!“, има перспективи, които ни изглеждат далечни и неразбираеми. Особено докато си седим пред компютрите и чакаме някой хипстърски градски фестивал лятоска. Но пък са доста устойчиви, колкото и да не ни се нравят, погледнати по-отблизо. Камо ли когато се наложи да се съобразяваме, „за да не ни олепят“ по шариата, както се казва в българския арестантски жаргон. Не питайте откъде знам.
В рамките на консервативния възглед мисловният поток тече така. Коранът може и да е пестелив относно музиката, но все пак е вечното слово на Аллах. Очаква се, че в него има всичко нужно за благочестивия живот и стигането до Рая (Джанна). Или ако нещо го няма там, ще да се намери в Сунната – записите за казаното и направеното от Пророка. Защото те се допълват и поясняват едно друго. А небесното откровение говори за „лъжливото слово“ (каул аз-зур; 22:30), „празнословие“ (лагуу; 23:3, 25:72, 28:55), хора, които купуват „слова за забавление“ (31:6), земния живот като „забава и игра“ (29:64), или за съвременници на Пророка, които търсят „търговия или забавление“ (62:11). Тук навсякъде за забавлението текстът на Корана използва лахуу. А от същия корен идва и една от арабските думи за „музикални инструменти“ (малахи). Разбирайте, средства за греховно, суетно, светско забавление. И във всички по-горни текстове още ранните коментатори и религиозните авторитети започват да припознават музиката и пеенето.
Може да не е много ясно, но и Сунната настъпва допълнително педала на газта. Та не е ли казал и самият Пророк осъдително, че като знак за пълен морален упадък в мюсюлманската общност ще се появят хора, които обявяват за позволени прелюбодеянието, носенето на коприна (особено осъдително за мъже), пиенето на алкохолни питиета и свиренето на музикални инструменти? Оттук и исторически осъдителното отношение към съблазняващия рабите на Аллах занаят. В рамките на този възглед музиката в най-добрия случай, ако и да не идва директно от дълбините на адския Огън (нар) и неговия повелител Иблис, наподобява леките наркотици. Може самa по себе си да не е лошa, но отваря вратата към нещо порочно. Защото с музиката, било то песни или свирене на инструменти, вървят и танци, алкохол и разврат.
Вземете например талибаните в Афганистан. След козметичните салони на прицел попаднаха музикалните инструменти. Вижте само горящите китари, тарамбуки, тонколони и всякакво друго оборудване. Сходна беше съдбата и на музиката по времето на ИДИЛ. Възбраната се превърна в един от най-отчетливите знаци на управлението им. Никакви инструменти, никаквa музикa от радио, телефони, плейъри или в училищата. Мали през 2012–2013 г. беше друг пример. Там забраната се отрази и на известни банди, като носителите на „Грами“ „Тинаривен“ (в превод „Пустиня“, направо „пустиняци“), които наскоро ни гостуваха.
Затова и може да се случи вашият шофьор в Мароко, Сирия, Египет, Пакистан или Афганистан, примерно, да спира музиката по радиото или касетофона, пусната от неблагочестиви туристи или другари по религиозна общност. След което да удря спирачка насред магистралата, за да отслужи задължителната молитва на килимче върху асфалта. И двата жеста са проява на благочестие с един корен – нуждата от практическо приложение на т.нар. „повеля на одобряемото и възбрана на порицаемото“. Разбира се, тук винаги стои една голяма уговорка. Враждебното отношение не се отнася за религиозните музикални прояви (или поне припознавани от нас като такива), като арабския призив към молитва (азан), мелодичната рецитация на Корана (тартил, тилауа) или напевността на молитвите (зикр).
От друга страна, имаме умерено позволителното отношение. То изгражда аргументация върху ясната липса на регулация в Корана и неговата двусмисленост – защо пък „забавление“ да означава непременно възбрана върху пеенето и свиренето на инструменти? Няма ли варианти, при които да избегнем „забавлението“ в греховния му вид и пак да правим музика? Ето, Сунната съдържа богато съдържание и то не е непременно и само осъдително. Пророкът позволява на момичета да свирят и да пеят по време на празник в дома на Айша, съпругата му, например. Ако съществуват музикално натоварени изражения на духовност, защо непременно трябва да възбраним всяко пеене и свирене? Това твърди и големият Абу Хамид ал-Газали, този Тома от Аквино на суннизма от XI–XII век, в „Съживлението на науките на вярата“, обемен справочник по всякакви въпроси, които помагат на мюсюлманите да живеят праведно. При него
Но ако употребата на музикални инструменти е в развратна компания на пияници и прелюбодейци, е категорично забранена. Контекстът и функцията са определящи. Затова също, ако си позволя личен спомен от студентските години, купоните на подпилите учащи се в Богословския факултет в СУ, на които се пеят черковни песнопения, са осъдителни.
Че нали и част от практиката на мистиците суфи и дервиши са мистичните събирания, музикални изяви и танци (сама‘). А и да идем пò на изток в мюсюлманския свят, в Индия и Пакистан. Там, по думите на един познат американски антрополог, „вярващите може едновременно да казват „Харе Кришна и Аллаху акбар“, та имаме и жанрове като кауали (кавали). При тях също музикалният пърформанс е неотменна част от религиозната церемония. Добавете и постепенно проникващото от Античността теоретично отношение към музиката през повлияни от гръцката философия мислители като Ал-Кинди и Ал-Фараби от IX–X век.
А и съвсем извън религиозната норма, която начумерено гледа на дайрето (дафф), тарамбуката (дарабукка), тъпана (табл), флейтата (най), струнните саз, уд и кеменче, че и на певците и певиците, се вие вековното маане на мюсюлманската музикална практика. Музика се прави за кеф, както се пие и вино. Защото на хартия всички може да сме строги. Но в средновековен Багдад е възможно да си купим вино от християните и юдеите. Великият везир Низам ал-Мулк рецитира Сунната от „катедрата“ (минбар) в основаните от него медресета, но в същото време пише в своята „Книга за управлението“ (Сийасат-наме) как трябва да се организират събрания за пиене на вино. С обществена, политическа и забавлителна цел.
А музика и музикални инструменти за разтуха очевидно има не само в двора на халифа и султаните, ами и в домовете на знатните. Та затова и любимата ми сцена, исторически топос, е описанието на багдадския богослов Ибн ал-Банна от XI век в личния му дневник. По време на големи земетресения в земите на исляма и поражения върху джамиите там мюсюлманите в знак на покаяние изливат алкохола по улиците, напъждат леките жени и потрошават музикалните инструменти. Очевидно тези три начина на увеселение намират стабилно място в бита на средновековните мюсюлмани. Естествено, под постоянната заплаха от втвърдяване на общественото мнение и атмосфера от страна на консервативната общност на богослови, кадии и благочестиви маси правоверни. Или пък, ако се поддам на пословичната ми скептичност, Ибн ал-Банна може да си е измислил споменаването на три корена на всяко зло в уммата с назидателна цел.
Но каква е ситуацията с хедбенгърите и техните малахи, греховни електрически китари, в сенките на Корана (фи зилал ал-Куран), да препратя и аз към заглавието на известния тафсир на Саид Кутб от „Мюсюлмански братя“ от средата на XX век? Впрочем, тъй като съм решил да заложа на преводи на имена и реалии в духа на Богоровото „драсни-пални клечица“, нещо като заглавията на западните групи по плочите на „Балкантон“ от едно време,
А и ще видите защо препратката към „Мюсюлмански братя“ в Египет не е случайна.
Да огледаме сцената през няколко примера, всички с различен профил, история, география, а и с различен късмет. Кисмат, казва арабската дума, дошла през нас чрез турски, сиреч онова, което ти е отредено от Аллах.
Като че ли най-безпроблемна изглежда ситуацията в югоизточната ни съседка. И как да не! Кемалисткият лаиклик задава тона на обществената и политическата среда през по-голямата част от XX век. Като отмениш халифата и искаш да изградиш нова легитимност, отваряш пространство за нови жанрове и преосмисляния на историята. И те се пръкват. Анадолският рок от 60-те и 70-те на миналия век. Докато ние се валяме в обятията на зрелия комунизъм, първият ни независим рок фестивал от май 1987 г. в Летния театър в София е още далеч в бъдещето, търсим кой ни е виновен за хала (друг арабизъм, припълзял до нас през турски),
От вълната на анадолския рок изплуват фигури като Баръш Манчо, един от основателите на жанра, които постилат пътя на по-късната турска жица. На него му казвам „турския Франк Запа“, ама това ще да е по-скоро произволна асоциация въз основа на външния вид. Но който не е слушал неговите „Каваци край потока“ (Dere Boyu Kavaklar), „Тропици“ (Dönence) или „Моят приятел магарето“ (Arkadaşım Eşek), много е изпуснал.
На анадолския рок по-късно стъпва и сигурно най-известната тежка банда в Турция – любимците ми от „Мезаркабул“, – основана през 1986 г. в Истанбул, когато се появява и известният рокбар „Кеманджъ“. И те носят двойна шапка – хем тежък звук, хем с анадолски елементи. Хем в Турция се кичат с баналното, но разпознаваемо име „Пентаграм“, хем когато ходят навън, се промотират под по-оригиналното и местно „Мезаркабул“. Пеят хем на турски, хем на английски. А „Мезаркабул“ идва от две турски думи с арабски произход – „гробище“ (мезар) и „приемане“ (кабул). Или както обичахме да казваме в гимназията, „Вземай кални бани, да свикваш с пръстта“. Честно казано, ако не беше анадолският елемент, пърформансите на живо и пеенето на турски, щяха да са доста скучна мейнстрийм банда. Но пък са първопроходци, и то в обществена среда, която е благоприятна за жицата, ако и нелишена от напрежение по религиозна линия, без положението в Турция да е рисково като в по-консервативните части на арабския свят и страните с преобладаващо мюсюлманско население. Именно Огюн Санлъсой, дългогодишният им вокал, до когото случайно си пих бирата през 2009 г. в „Кеманджъ“, изпя римейк на стихотворението на турския бард от XVIII–XIX век Ашък Дертли за шейтана и обвиненията към музикантите.
Ашък Дертли буквално ще да рече „Угриженият влюбен“ – има дертове, както казваха баба ми и дядо ми. Само че ашък, освен че е „влюбен“ (в Аллах по подразбиране), е и титла на певец, уличен трубадур. Има много ашъци, но един от тях е Дертли, тоест „Угрижен“. Всъщност се е казвал Ибрахим. Него пък ходжите го обвинявали, че съгрешавал и бил слугувал на шейтана, защото свирел на струнен инструмент и пеел. На това той отговаря с песничка за шейтана и ходжите с игрив текст:
Де е шейтанът тук?
Името му е струнен саз,
не слуша ни коранични стихове, ни кадия,
който свири, го разбира.Де е шейтанът тук, кажи ми?
Ако се умиеш ритуално, не казва,
ако кланяш молитвата намаз, не обажда,
ни яде забранено като мюфтия.Де е шейтанът тук, кажи ми?
Струните му от Истанбул,
дръжката от хвойна,
бре, серсемино, рабe на Аллах,
де е шейтанът тук, кажи ми?Няма рога, няма опашка,
ни краката му в сандали,
като Дертли е без чалма.
Де е шейтанът тук, кажи ми?
Стига да имаш ищах (от арабското иштияк, ‘желание’) да го търсиш, изборът е голям, направо безкраен. Така казва и Умберто Еко в „Името на розата“, в диалозите между Уилям от Баскервил и инквизитора Бернар Ги. Може да откриеш Иблиса и в турски банди, като „Курбан“ („Жертва“, да не си мислите, че става въпрос за мазна овнешка чорба), „Кърмъзъ“ („Червено“, ако ви се поиска феминистки траш метъл), „маНга“, „Мор ве Отеси“ и един бюлюк други.
(Следва продължение.)
В рубриката „Ориент кафе“ Атанас Шиников поднася любопитни теми, свързани не толкова с горещата политика, колкото с историята и културата на Близкия изток. А той, древен и днешен, е по-близко до нас и съвремието ни, отколкото си представяме.