Pinperepette. Security engineer.
Smonto cose, studio come funzionano e scrivo quello che trovo.
Analisi tecniche degli algoritmi che controllano il tuo feed
Il codice lo scrive la macchina. Il valore e' nell'orchestrazione. Anatomia completa di un agent system dallo stato dell'arte: Claude Code smontato pezzo per pezzo. Loop ReAct, tool come contratti, orchestrazione parallelo/seriale, permessi a 4 livelli, sub-agent ricorsivi, comunicazione inter-agent con actor model, memoria a 3 strati, evaluation distribuita. Cosa c'e' di genuinamente nuovo e come costruire il vostro.
Il codice sorgente di Claude Code è finito su npm per errore. Un source map da 57 MB, 512.000 righe di TypeScript leggibili. Un Tamagotchi nascosto con 18 specie e sistema di rarità, nomi in codice dei modelli (Capybara, Tengu), undercover mode, un agente che sogna in background. Anatomia completa del leak.
FaIR 2.2.4 smontato pezzo per pezzo. Il modello climatico usato dall'IPCC AR6: 2001 righe di Python, 2064 parametri calibrati, 4 formule dalla stessa radice. 10.000 run Monte Carlo, non-identificabilita', error compensation. 21 grafici, 3 script Python. Tutto riproducibile.
800 tweet "Per Te" contro 800 "Seguiti" su X, catturati nello stesso scroll. Latenza mediana 11.85 ore contro 4.14. Il 70% dei post arriva da gente che non segui. KL divergence, Gini, Snowflake ID, entropia di Shannon, Hawkes, Kaplan-Meier, Power Law. 71 grafici, 15 script Python, dati reali dal tuo feed.
I CAPTCHA sono un test di Turing al contrario, e la matematica li sta uccidendo. CNN da zero che rompe CAPTCHA testuali al 99.9%. ResNet-50 pre-trained che riconosce oggetti nelle griglie senza training aggiuntivo: truck 97.6%, ship 98.4% su foto reali a 96px. 2 script Python, dati reali.
Il bruteforce classico e' morto. Catene di Markov, entropia reale e riduzione dello spazio di ricerca: come si crackano le password nel 2026. 500.000 password analizzate, modello Markov del 1906 che funziona ancora perfettamente. 3 script Python, 10 grafici.
Perche' i detector di testo AI non funzionano sul singolo testo, ma la model attribution tra modelli diversi si'. Claude vs ChatGPT vs Llama: 146 campioni, 16 feature stilometriche, Random Forest al 93.8%. Test di robustezza su 3 temperature e 3 domini: la firma tiene. 5 script Python, 10 grafici.
Da un thread su Twitter a un sistema funzionante. Grafo pesato a cascata per prioritizzare 8100 release/ora, AST diff per trovare modifiche stealth, call_diff per gli argomenti che cambiano di nascosto. PyPI, npm, WordPress. Costruito con un sistema di agenti in una sessione.
Referendum, code ai seggi, e un politico che propone l'ordine alfabetico. La C ha 34 volte piu' cognomi della Q. Teoria delle code con dati reali: TfL Londra (NUMBAT 15 min, 432 stazioni), MTA New York. Kingman's formula, inspection paradox, priority starvation, effetto cascata. 7 script Python, 12 grafici.
Supply chain attacks: typosquatting su PyPI/npm, dependency confusion, il backdoor xz-utils (CVE-2024-3094) e GitHub Actions poisoning. L'attacco non entra dal browser. Entra dal tuo package manager. 7 script Python: monitor real-time PyPI con AI, audit pacchetti installati, typosquatting scanner.
Un pip install, una riga di Python, esce una voce umana. KittenTTS: 14M parametri, 23MB, CPU only. Apro l'ONNX, estraggo i voice vectors dal .npz, interpolo tra voci, confronto 4 varianti. StyleTTS 2 distillato: la diffusion è sparita, WavLM è sparito. Funziona perché il lavoro pesante era già stato fatto offline. 6 script Python, 5 grafici, 15 audio.
Quanto tempo passa tra una CVE e il primo exploit pubblico? NVD + ExploitDB, join su CVE ID, calcolo del delta in giorni. 6,530 match. Il 34% ha exploit pre-disclosure. Tra i delta positivi, la massa e' nei primi 7 giorni. 4 script Python, 3 grafici, backfill NVD separato dal segnale.
Pipeline automatizzata: AFL++ trova il crash, AddressSanitizer classifica il bug, angr genera l'exploit. Da sorgente C a controllo di RIP, zero intervento umano. Un parser vulnerabile, 7 script, un solo comando. Poi: le difese che rompono la pipeline.
Scrivere un rootkit Linux kernel da zero. ftrace hooking su getdents64, nascondere processi, file, connessioni TCP e il modulo stesso. Lab completo su Ubuntu con 6 script. Poi: come trovarlo.
Docker isola, ma non come pensi. Misconfiguration (--privileged, docker.sock), CAP_SYS_ADMIN namespace escape, CVE reali. Cosa separa davvero un container da una VM. Lab 5 script bash, 5 screenshot. gVisor, Kata Containers, Firecracker.
Passkeys, WebAuthn e FIDO2: perche' la tua prossima password non sara' una password. ECDSA P-256, challenge-response, Secure Enclave, origin binding. Lab Node.js con @simplewebauthn + script Python ECDSA.
Mechanistic Interpretability: come aprire un LLM e leggere i suoi pensieri. GPT-2 small smontato pezzo per pezzo. 144 attention heads, circuito IOI a 26 head, Sparse Autoencoders con 24.576 feature, feature steering. 6 lab Python, tutto su CPU. Il nostro Golden Gate Claude.
Gli AI agent non vedono lo stesso web degli umani. Un server Flask con scoring a 6 layer, 5 tecniche di prompt injection invisibili, e la prova che stessa URL puo' servire due realta' diverse. 2681 caratteri di differenza tra quello che vedi tu e quello che vede la macchina.
Email Forensics: SPF, DKIM, DMARC e il tracciato che nessuno legge. Spoofing reale su Gmail, tracking pixel con server locale, Message-ID fingerprinting, Header Order Fingerprinting. 7 script Python, 3 tentativi di spoofing, 6 screenshot. Solo header, terminale e la capacita' di leggere quello che il client di posta nasconde.
Non servono cookie. Non servono login. Il tuo browser ha gia' detto tutto. Canvas, WebGL, audio, font, WebGPU, WASM timing, speech synthesis. 21 superfici di entropia, uno script che le raccoglie tutte, e la prova che la modalita' incognito non serve a niente.
Un POST e il server Next.js e' tuo. CVE-2025-55182: prototype pollution nel Flight protocol di React, CVSS 10.0. Lab Docker incluso. Exploit, uid=0(root), e una fix di una riga.
Analisi statica di un Lumma Stealer reale. PE header, 7 sezioni sospette, certificato rubato a Spotify, payload cifrato con entropia 7.15, 4 server C2. Tutto dal terminale con Python, senza eseguire una sola istruzione.
Ho nascosto un audio morse dentro una foto e l'ho postata su X. 4 tecniche di steganografia, 3 distrutte dalla compressione JPEG. Una sopravvive. Spread spectrum, DCT, LSB, QIM: perche' solo una resiste al bulldozer.
22.313 domini della PA italiana analizzati con 6 script Python. Zero intrusioni, solo protocolli pubblici. DNS, HTTP, TLS: cosa succede quando ascolti l'infrastruttura dello Stato.
Il compilatore ottimizza via il codice di sicurezza che il programmatore ha scritto. memset cancellato, null check eliminati, overflow check rimossi. Codice C, disassembly Clang 16 con -O2, zero warning.
Tre di notte, la iena vede una luce nel capannone. Le telecamere non coprono quell'angolo. Un Raspberry Pi 3 da cassetto, tre router, 2000 mq. CSI, BLE, mDNS, bettercap e nmap per sapere chi c'e' senza telecamere. Zero budget, solo segnali.
Face ID smontato pezzo per pezzo. TrueDepth, infrarossi, depth map, 128 numeri e un'app da 50 righe di Swift. Reverse engineering di BiometricKit.framework, Secure Enclave, e la scoperta che il telefono ti vede al buio. Zero budget, solo iPhone e Mac.
Signal Protocol smontato pezzo per pezzo. Double Ratchet, X3DH, Curve25519. Poi la Svezia vuole una backdoor, il UK ordina ad Apple di aprire iCloud, e gli AI agent rendono tutto irrilevante. Il lucchetto e' perfetto, ma la porta e' aperta.
CVE-2026-2441: un font CSS crasha Chrome e ti esegue codice. Use-after-free nel rendering engine, puntatore dangling, heap spray. Lo zero-day smontato dal commit Chromium al proof-of-concept.
Senza le correzioni di Einstein, il GPS deriva di 11.5 km al giorno. Relativita' speciale e generale smontate pezzo per pezzo. Trilaterazione, pseudorange, dilatazione temporale. Con dati reali dall'iPhone.
Il Mersenne Twister smontato pezzo per pezzo. 624 osservazioni, inversione del tempering, stato completo. Predico ogni output futuro: shuffle, choice, randint. Il random del computer non esiste.
Come Stable Diffusion trasforma rumore gaussiano in immagini. Forward process, U-Net, VAE, CLIP, denoising step by step. Tutto in locale su CPU, 64 secondi dal nulla a una nave pirata.
Il tuo processore legge dati che non dovrebbe toccare e fa finta di niente. Tre esperimenti in C, un Mac Intel, zero permessi. Spectre v1 smontato pezzo per pezzo.
La iena parla nel sonno. Il telefono anche. 16 ore di cattura bettercap su un iPhone a schermo spento. 1314 pacchetti, 43 server Apple, 1691 broadcast mDNS. Zero interazioni umane.
Un LLM smontato pezzo per pezzo. Tokenizzazione, embeddings, attention, hallucinations. La iena chiede sulle api, il modello inventa. Ollama in locale, zero fuffa.
Come Shazam riconosce una canzone in 5 secondi in un ristorante pieno. FFT, constellation map, hashing combinatoriale e reverse engineering dell'APK.
I 7 segnali nascosti di Phoenix misurano la tua attenzione senza che tu lo sappia. Modelli bayesiani, teoria dell'informazione, processi di Hawkes e strategie di exploit.