M1k3mir

Pentest Agent Suite: framework de bug bounty para Claude Code y 6 herramientas de IA Pentest Agent Suite, un marco de trabajo totalmente autónomo para la búsqueda de errores (bug-bounty). Ofrece 50 agentes de seguridad especializados, 26 comandos de barra y 19 herramientas de CLI https://t.co/Np4GBwDdOM

🚨 Ongoing supply chain attack on Composer packages! We just found multiple laravel-lang/* packages compromised on Packagist (lang, http-statuses, attributes). Payload runs at autoload time. At least 50 package versions were compromised. If you installed a compromised version, the malware already executed. Pin to a clean COMMIT (not version) and rotate secrets immediately. If your lockfile already had an older commit from before today, you are safe. But you should not update at the moment.

🚨 GitHub acaba de resolver uno de los mayores problemas del vibe coding. Han lanzado Spec Kit, un sistema que organiza ideas, tareas y requisitos para que la IA pueda desarrollar proyectos de forma mucho más precisa. Tiene más de 92k stars en GitHub, es gratis y open-source. Aquí te explico cómo funciona 👇

Windows Privilege Escalation: Scheduled Task/Job (T1573.005) 🔥 Telegram: https://t.co/upuP8k8ckB ✴ Twitter: https://t.co/Za7rYILz6E An attacker can exploit Windows Task Scheduler to maintain persistence and escalate privileges by scheduling malicious programs to run at startup or specified intervals under a chosen user context. 📅 Task Scheduler 🛠️ Misconfigured Scheduled Task/Job 🧰 Prerequisite 🧪 Lab Setup ⚙️ Abusing Scheduled Task/Job 🔍 Detection 🛡️ Mitigation 📖 Article: https://t.co/zB3UwUEzIW #CyberSecurity #EthicalHacking #RedTeam #Pentesting #PrivilegeEscalation #Windows #InfoSec

⚠️ Attackers poisoned Hugging Face & ClawHub (OpenClaw) with 575+ malicious skills from just 13 accounts. 🔸 Fake helpful AI tools that install trojans, miners & stealers (Windows + macOS) 🔸 Use hidden commands & indirect prompt injection Quick action: Never install random AI skills or models. Always verify the source. Read: https://t.co/CmdDBXuzTy

☕ Daily Gentleman — Novedades de hoy Hoy el flow es bastante claro: la industria está dejando de vender “chatbots con esteroides” y está entrando de lleno en sistemas de agentes con memoria, herramientas, permisos y coste operativo. Anthropic sigue empujando Claude hacia tareas largas, coding más autónomo y uso de herramientas. OpenAI está moviendo Codex hacia un workspace de agentes más completo. Google está conectando Gemini, agentes y cloud deployment con cada vez menos fricción. Traducción simple: ya no estamos hablando de “qué modelo responde mejor”. Estamos hablando de quién controla mejor el sistema. Porque un agente sin memoria repite. Un agente sin límites se dispara en coste. Un agente sin revisión rompe cosas. Y un agente sin contexto real termina siendo otro wrapper bonito arriba de una API cara. Esto pega directo en lo que estoy construyendo con gentle-ai y Engram. El camino ahora es más claro: gentle-ai para dirigir la ejecución. Engram para sostener memoria y contexto. Y una arquitectura donde la IA no “hace magia”, sino que trabaja dentro de límites claros. También hay otra señal fuerte: MCP sigue creciendo, pero con eso también crece la superficie de ataque. Servidores, tools, permisos, filesystem, credenciales, supply chain. El futuro de los agentes no puede ser: “Dale acceso a todo y rezá.” Tiene que ser: memoria controlada, herramientas auditables, permisos explícitos, coste visible, y revisión antes de tocar producción. Menos hype. Más ingeniería. Los modelos van a seguir mejorando. Eso ya es obvio. La diferencia real va a estar en quién sabe construir sistemas alrededor de ellos. Concepts > Code.

Tu agente de IA se olvida de TODO cuando cierra la sesión. Cada decisión de arquitectura. Cada bug que resolvió. Cada patrón que descubrió. Perdido. La siguiente sesión arranca de cero. Como si nunca hubiera pasado nada. Hoy lanzo Engram — memoria persistente para agentes de IA. Un solo binario en Go. SQLite + FTS5. Sin Node, sin Python, sin Docker, sin ChromaDB. Funciona con CUALQUIER agente MCP: Claude Code, OpenCode, Cursor, Windsurf, Gemini CLI. ¿Cómo funciona? El agente trabaja con vos. Resuelve un bug → lo guarda. Toma una decisión de arquitectura → la guarda. Descubre un patrón → lo guarda. Todo estructurado, indexado, buscable. Siguiente sesión → el contexto se inyecta automáticamente. El agente recuerda. Pero acá viene lo mejor: memoria por proyecto. `engram sync` detecta automáticamente tu proyecto por el directorio en el que estás. Todo lo que el agente aprende se persiste en chunks comprimidos (gzipped JSONL) con content hashes, organizados en un manifiesto dentro del repo. ¿Qué significa esto para equipos? Que cuando tu compañero clona el repo y abre su agente, tiene TODO el contexto de las conversaciones que tuviste con la IA mientras trabajabas en esa funcionalidad. Sin Slack preguntando "che, ¿cómo hiciste esto?". Sin meetings de contexto. Sin documentación que nadie escribe. Es documentación viva que se escribe sola mientras trabajás. Cada dev genera chunks independientes → sin conflictos de merge. El manifiesto es append-only. Auto-import incluido. Algunas decisiones de diseño que tomamos: → El AGENTE decide qué guardar, no un pipeline de compresión externo. Ya tiene el LLM, ya tiene el contexto. ¿Para qué agregar otra capa? → Progressive Disclosure en 3 capas: búsqueda compacta → timeline → detalle completo. Eficiente en tokens. → 3 capas de resiliencia para sobrevivir compactación de contexto. → Tags \<private\> redactados en 2 niveles antes de tocar la DB. → MIT License. Open source. Sin lock-in. 📦 brew install gentleman-programming/tap/engram 🔗 https://t.co/IrJSgryQcw Si trabajás con agentes de IA para programar, probalo. Y si te copa, una ⭐ en GitHub siempre se agradece. #AI #DevTools #MCP #ClaudeCode #OpenCode #Cursor #GoLang #OpenSource #DeveloperProductivity #AIAgents #SoftwareEngineering #GentlemanProgramming

الـ Prompt Engineering هو مجرد "ترقيع" لعيوب النماذج، مو حل هندسي تعتمد عليه في الـ Production. تغيير كلمة في الـ Prompt عشان تمنع النموذج من الهلوسة ما يضمن لك استقرار النظام. إعلان Qwen اليوم عن أداة Qwen-Scope يمثل النقلة الحقيقية: الانتقال من "الترقيع بالنصوص" إلى "التحكم المباشر في دماغ النموذج". النماذج العادية عبارة عن "صندوق أسود". اللي سووه هنا إنهم أطلقوا حزمة Sparse Autoencoders (SAEs). هذي التقنية تشتغل مثل جهاز الأشعة (MRI) للـ AI. تترجم الأرقام الغامضة داخل النموذج إلى مفاهيم نقدر نفهمها (مثلاً: هذا المسار مسؤول عن البرمجة، وهذا مسؤول عن الهلوسة). الفائدة العملية للمطورين؟ ١. توجيه النموذج (Steering): بدل ما تكتب تعليمات طويلة تستهلك توكنز، تقدر برمجياً "تطفي" مسار الأخطاء و"ترفع" مسار الاحترافية من الأوزان مباشرة وبدون Prompt. ٢. تشخيص حقيقي (Debugging): إذا الـ Agent اتخذ قرار مالي كارثي، تقدر تتتبع السبب الجذري (Root cause) وتعرف الخلل من وين بالضبط وتصلحه. الذكاء الاصطناعي بدأ يخرج من مرحلة "السحر الغامض" ويتحول لـ Software نقدر نسوي له Debug بالكامل.