Surreal Cloud 🌌

A algunos se les filtra una función o algo menor, a otros se les filtra el código fuente al completo 😁 Me refiero a Claude, gracias a un error en npm se pudo acceder a gran parte del código fuente de Claude Code, en especifico de su herramienta CLI. Lógica interna, funciones que ni habían salido oficialmente, montones de cosas xd lo peor es que esto no es primera vez que les pasa, parece que proteger esos archivos no es su fuerte. Alguien había hecho un fork del código en Github (de hecho aún se encuentran copias) y por miedo a una demanda lo porteó a Python (usando IA, la ironía), sin embargo ya no queda ni rastro jaja. La cosa es que el código ya está por ahí, y aunque sea propietario, más de un proyecto lo va a usar, ingeniería inversa pues, no necesitas usar el código exacto de algo para que te sea útil, puedes usarlo para entender como hacer lo mismo sin usar ese código. Desde proyectos open source hasta empresas, más de uno estará revisando que pueden implementar

Tema random: ¿tienen Balatro en PC pero no en Android o IOS? Desde hace tiempo hay herramientas para convertir una build legal de Balatro de Steam a una apk de Android, gracias a lo portable que es el motor de juego usado. Aunque desde que salió la versión oficial perdieron fuerza pero, siguen estando unas cosas curiosas. Esta herramienta por ejemplo cambia la orientación y adapta Balatro por una orientación totalmente vertical para jugar sin girar el móvil, es más cómodo de lo que esperaba. Esta otra es el nuevo estándar y puede cambiar la experiencia completamente, hace accesible convertir Balatro a una app android o IOS, desde el mismo navegador, le inyecta el motor de mods, so siguiendo un par de cosas, se le pueden añadir mods de contenido y demás igual que la versión de steam, para extender aún más lo que ofrece 🤔 En fin, es increible la cantidad de herramientas de todo tipo que hay sobre Balatro, hay hasta una lista larga aquí

Una mejor forma de enfocar esto habría sido: mostrar que cliente usa el usuario, o mostrar el aviso si el cliente rompe el TOS. Un aviso de este tipo potencia el estigma de que todos los forks son cosas como Ayugram xD Y no, eso es un mito y es meter a todos en el mismo saco. Pero weno, Telegram y sus alucinaciones 😇 Mejor no digo más :v

Telegram ahora mostrará un aviso de "seguridad" en los perfiles de los usuarios avisando de si usan un cliente no oficial... Ya da flojera explicar esto, es potenciar un estigma estúpido y no es algo que haces cuando tienes una API abierta y un ecosistema open source, ¿para que lo tienes entonces? Meh, yo no me escondo, 4 años usando forks porque los clientes oficiales me aburren y sus mayores novedades la mayoría del tiempo tienen que ver con cosas que nadie usa 😁 Una vez dije que Telegram solo usó al código abierto y el ecosistema de forks resultante para tener validación, han pasado los años, Telegram sigue sin tener nada de respeto por el movimiento que hizo de esta app lo que es hoy 😶

So, desde casi la primera release de CuteMusic he estado por ahí, recomendando y promoviendo esta app como si fuera algo mio, porque creí en Sosauce y su proyecto. Pero CuteMusic ha muerto, sep... Ha muerto para renacer como: Chocola Es el mismo proyecto, mismo mantenedor, mismos traductores (holi) pero bueno, el nombre ha sido cambiado. ¿Por qué? bueno, las cosas cambian, Sosauce ya no es un niño genio, ya es casi un adulto (el tiempo vuela) so, sintió que quería un cambio, y se respeta. Yo lo apoyo, sé que no podremos detener el hate o las criticas y más sabiendo la influencia del anime en esto (Nekopara) pero, meh, es su app, es su vida 😁 ¿Fue la mejor forma de decidir un cambio de nombre? idk, quizás habría sido mejor una transición ordenada hacía el nuevo nombre pero, ya fue.

ZDI Registered a Critical Vulnerability in Telegram — Don't Panic On March 26, an entry ZDI-CAN-30207 concerning Telegram appeared in the database of the Zero Day Initiative — the largest independent vulnerability hunting program. The vulnerability was discovered by researcher Michael DePlante from Trend Micro. Details are classified: according to ZDI regulations, the specifics will be disclosed either as soon as the messenger fixes the issue, or on July 24, 2026, if it does not. There is no information about the vulnerability being exploited "in the wild" by actual hackers. Right now, no one except the researcher and Telegram developers knows what the vulnerability entails. The popular theory about animated stickers is speculation and rumor, not facts known from this entry. All other "details" being spread by media and channels are either conjecture or descriptions of already fixed old vulnerabilities. There is no need to panic. What to do: • Update Telegram immediately when new versions are released. • Use the official Telegram app to receive the update with the fix on the very first day. • No other specific protective measures can be taken — the nature of the vulnerability is unknown. Telegram's Reaction The messenger's press service stated to Durov's Code that the vulnerability does not exist. Their argument: all stickers are checked by servers, therefore "the existence of such an exploit is impossible". The @tginfo editors find this reaction strange. For some reason, Telegram commented specifically on the speculations about stickers, even though the attack vector has not been disclosed and might have nothing to do with them. It is unclear why the messenger chose to refute rumors instead of simply confirming their work on the ZDI report. The assertion itself that the exploit does not exist due to server-side verification is technically flawed: server validation is merely one of the protection layers, which itself can contain errors and may not cover all possible scenarios. Moreover, stickers that cause the Android app to crash still exist today, which already calls into question the comprehensiveness of the claimed check. The messenger's response to Durov's Code is a declaration, not an argument. It will only be possible to confirm or deny the existence of the problem after the details are published or a patch is released. What Open Data Says From the ZDI entry, the preliminary severity score — 9.8 out of 10 — and the attack vector parameters are known. If the assessment is correct, the vulnerability can be exploited remotely over the network, requires no user interaction and no system privileges, and potentially allows an attacker to gain full access to the user's data. These are serious parameters, however, the preliminary score is set by the researcher and may be adjusted. Context It is not the first time Telegram has faced critical vulnerabilities. In 2020, Shielder researchers discovered 13 vulnerabilities in the rlottie library for animated stickers, including out-of-bounds write errors that allowed for remote memory corruption on the device. Telegram fixed the specific bugs but did not change the processing architecture. Potentially, animated stickers remain a broad attack surface, so it cannot be ruled out that the new vulnerability exploits them specifically. In 2024, a flaw was discovered in Telegram Desktop that allowed programs to be disguised as videos, making it easier to convince a victim to click and launch them. In 2025, a similar EvilLoader vulnerability was found on Android. At the same time, the Russian vulnerability broker Operation Zero offered up to $4 million for zero-click exploits in Telegram, while a representative of the messenger told Forbes that "Telegram has never been vulnerable to zero-click exploits." Practice shows that Telegram prefers to patch specific holes without addressing systemic security problems, and such rhetoric about the "absolute impossibility" of exploits does not inspire confidence against the backdrop of this history.

Curioso, Telegram ha respondido a lo de la vulnerabilidad: Esta vulnerabilidad no existe, el investigador afirma falsamente que un sticker corrupto de Telegram puede usarse como vector de ataque, ignorando por completo el hecho de que todos los stickers subidos a Telegram se verifican en los servidores antes de que puedan reproducirse en las aplicaciones de Telegram. Realmente nadie puede saber si Telegram dice la verdad o no porque ajá, el reporte no es público xD así que chiste. Pero bueno, desde el lado de Telegram: no existe ninguna vulnerabilidad 🤔 Como nota, Telegram casi siempre toma una postura hostil en estos casos, incluso cuando es algo comprobado, aunque bueno, en este caso nadie puede confirmar quien tiene razón porque el reporte no es accesible

Lo que se sabe por la gravedad de la calificación tan alta y quien tiene la información es que es una vulnerabilidad critica de alto nivel, un zero-day (es decir: que tienes 0 días para comenzar a corregirla, una vez que la empresa sabe de esto debe corregirlo lo más rápido posible porque el riesgo es demasiado alto como para tardar) Con un 9.8 esto no es una vulnerabilidad cualquiera, es una gorda. ¿Nos contará Telegram de esto cuando lo corrija o habrá que esperar a Julio para leer el reporte completo? jaja, normalmente las empresas evitan dar muchos detalles así que yo no apostaría a que sea Telegram quien nos cuente lo que pasó 🤔 Edit: en realidad no habría que esperar a Julio, Julio es el tope, el limite, en realidad un reporte debería ser presentado cuando pasen dos cosas: Telegram haya corregido la vulnerabilidad y en ZDI haya sido confirmado esto, una vez que eso pasa, se acelera la publicación de un reporte detallado.

😀 News is circulating that experts have discovered a critical zero-day vulnerability in Telegram, which requires no OS privileges or victim interaction. 3Side specialists note that any Telegram account can be hacked remotely over the network and is characterized…

¿Se ha descubierto una vulnerabilidad en Telegram? 🤔 pues, no lo sé No hay mucha información pero Zero Day Initiative (ZDI) que es el programa de recompensas por vulnerabilidades más grande del mundo está listando en "Upcoming" una vulnerabilidad reportada…

¿Se ha descubierto una vulnerabilidad en Telegram? 🤔 pues, no lo sé No hay mucha información pero Zero Day Initiative (ZDI) que es el programa de recompensas por vulnerabilidades más grande del mundo está listando en "Upcoming" una vulnerabilidad reportada sobre Telegram. Por lo que leí, cuando sale en Upcoming es porque la vulnerabilidad ya fue confirmada por ZDI y reportada oficialmente a la empresa afectada, en este caso a Telegram. Esto significa que la información es confidencial, solo se públican detalles genericos y una calificación, en este caso la calificación es de 9.8, es una calificación muy alta, sería una vulnerabilidad muy grave Este tipo de practicas es normal sin embargo, obviamente no vas a mostrar toda la información sobre algo así de inmediato, normalmente se espera que la empresa tome sus medidas con el reporte, un parche o algo, y luego es que se revela la información. Sin embargo hay un tiempo limite, para el 24 de Julio Por ahora nos quedaremos con la curiosidad

"El desastre de LiteLLM y los agentes de IA" Mi experiencia y opinión con estos agentes, el chisme de la vulnerabilidad de LiteLLM y reflexiones tontas de un ramdom 😁 Y como siempre, la portada ahí dando pena, lo estoy abrazando como el estilo del blog, okno. De nuevo hecha en excalidraw y editada posteriormente en GIMP, poco a poco. Bueno, ahí lo dejo