Open Source Signal #033 / Сигнал відкритих джерел

Editorial frame

What this is: A bilingual editorial filter for public-interest OSINT. Each item explains what happened, why it matters, how a reader can use the insight, and where the method or evidence has limits.

What this is not: Doxxing, live targeting, stolen-data workflows, private-person deanonymization, credential hunting, revenge calls, unsafe operational guidance or unverified accusations against private people.

Rubric map

📡 Signal One

🇺🇦 Ukraine Lens

🛰️ Infrastructure Signals

🛡️ Investigator OPSEC

🤖 AI Verification

⚠️ Risk Watch

📡Signal OneГоловний сигнал

#01

Contested nuclear-plant claims need protected source layers

Source: Reuters · 19 June 2026

What happened

Reuters reported that the Russian-installed management of the Zaporizhzhia nuclear plant said a transport workshop at the plant had been hit by a large drone attack late on June 18 and overnight. The management said a fire broke out, buildings were damaged and the full extent of damage could not yet be assessed because of the threat of further attacks. The report identifies the account as a claim from the plant’s Russian-installed management.

Why it matters

Nuclear-site incidents are high-risk evidence environments. A single source can combine safety concerns, occupation-authority messaging, infrastructure damage, casualty claims and political blame. For accountability work, the value is in preserving the layers without upgrading any one claim into a verified finding.

How to use it

Create a nuclear-site incident record with separate fields for source class, controlling authority, timestamp, affected object type, safety relevance, casualty status, imagery status, independent monitoring, correction history and unresolved claims. Treat later IAEA, Ukrainian, Russian and local statements as separate source classes.

Limits

Do not publish facility layouts, precise coordinates, shift patterns, staff identities, technical vulnerabilities or operational conclusions. A statement by an occupation authority or plant management is a source layer, not independent verification.

Спірні твердження щодо АЕС потребують захищених шарів джерел

Джерело: Reuters · 19 червня 2026

Що сталося

Reuters повідомило, що призначене Росією керівництво Запорізької АЕС заявило про влучання дронів у транспортний цех станції пізно 18 червня та вночі. За цією заявою, виникла пожежа, пошкоджено будівлі, а повний обсяг шкоди ще не можна оцінити через загрозу подальших атак. Матеріал чітко подає це як твердження призначеного Росією керівництва станції.

Чому це важливо

Інциденти на ядерних об’єктах є доказовим середовищем високого ризику. Одне джерело може змішувати питання безпеки, повідомлення окупаційного керівництва, пошкодження інфраструктури, дані про постраждалих і політичні звинувачення. Для роботи з притягнення до відповідальності важливо зберегти ці шари, не перетворюючи жодне твердження на встановлений факт без перевірки.

Як це застосувати

Створіть запис про інцидент на ядерному об’єкті з окремими полями для типу джерела, фактичного контролю над об’єктом, часу, типу пошкодженого об’єкта, значення для безпеки, статусу даних про постраждалих, наявності зображень, незалежного моніторингу, історії уточнень і неперевірених тверджень. Подальші заяви МАГАТЕ, України, Росії та місцевих структур слід вести як окремі класи джерел.

Обмеження

Не публікуйте схеми об’єкта, точні координати, графіки змін, імена працівників, технічні вразливості або оперативні висновки. Заява окупаційної влади або керівництва станції є шаром джерел, а не незалежною перевіркою.

war-crimes-verificationnuclear-safetyzaporizhzhia-nppcontested-claimssource-status

🛰️Infrastructure SignalsІнфраструктурні сигнали

#02

EU cyber support for Ukraine needs an incident-response evidence ledger

Source: Reuters · 15 June 2026

What happened

Reuters reported that the European Union made its emergency cybersecurity support available to Ukraine. The European Commission said Ukraine can activate incident-response services from trusted private providers to help address significant or large-scale cyber incidents.

Why it matters

Cyber incident response can become part of an accountability record. External providers may collect logs, malware samples, timelines, infrastructure data and recovery evidence. Without a clean ledger, useful technical material can be hard to cite, preserve or separate from operationally sensitive information.

How to use it

For each major incident, record the activation date, responding provider, affected sector, evidence collected, chain-of-custody note, legal authority, data-sharing limits, public attribution status, recovery status and what cannot be published.

Limits

Do not publish live response details, network diagrams, credentials, malware indicators that enable reuse, provider access paths or names of exposed private victims. Assistance availability is not proof of a specific attack or attribution.

Кіберпідтримка ЄС для України потребує журналу доказів реагування на інциденти

Джерело: Reuters · 15 червня 2026

Що сталося

Reuters повідомило, що Європейський Союз відкрив для України механізм екстреної кіберпідтримки. Європейська комісія заявила, що Україна зможе залучати послуги реагування на інциденти від перевірених приватних постачальників для роботи зі значними або масштабними кіберінцидентами.

Чому це важливо

Реагування на кіберінциденти може стати частиною доказового запису. Зовнішні постачальники можуть збирати журнали подій, зразки шкідливого коду, хронології, дані про інфраструктуру й докази відновлення. Без чіткого журналу такі технічні матеріали важко цитувати, зберігати або відділяти від інформації, чутливої для безпеки.

Як це застосувати

Для кожного значного інциденту фіксуйте дату активації допомоги, залученого постачальника, постраждалий сектор, зібрані докази, примітку про ланцюг збереження, правову підставу, межі обміну даними, статус публічної атрибуції, стан відновлення і те, що не можна публікувати.

Обмеження

Не публікуйте поточні деталі реагування, схеми мереж, облікові дані, індикатори шкідливого коду, які можна використати повторно, шляхи доступу постачальників або імена приватних постраждалих. Наявність механізму допомоги не доводить конкретну атаку або її атрибуцію.

infrastructure-signalscybersecurityukraineincident-responseevidence-custody

🇺🇦Ukraine LensУкраїнська оптика

#03

A 150,000-drone aid package is a procurement dataset, not only a headline number

Source: Reuters · 18 June 2026

What happened

Reuters reported that Britain plans to provide 150,000 drones to Ukraine by the end of 2026 as part of a £752 million funding package announced at a Ukraine Defense Contact Group meeting in Brussels.

Why it matters

Large military-aid announcements become public datasets: donor, amount, currency, delivery window, equipment class, implementing agency, procurement route, maintenance burden and later battlefield or accountability claims. The headline number is only the first row.

How to use it

Create an aid-package record with donor, date, amount, currency, equipment category, delivery deadline, public source, implementation status, later updates and uncertainty. Link it to procurement and budget records, not to live operational use.

Limits

Do not infer deployment locations, unit allocation, delivery routes, stock levels, tactics or effectiveness. A funding announcement is not proof that every item has been delivered or used.

Пакет допомоги на 150 000 дронів — це набір даних про постачання, а не лише заголовкова цифра

Джерело: Reuters · 18 червня 2026

Що сталося

Reuters повідомило, що Велика Британія планує передати Україні 150 000 дронів до кінця 2026 року в межах пакета фінансування на 752 мільйони фунтів, оголошеного під час зустрічі Контактної групи з питань оборони України в Брюсселі.

Чому це важливо

Великі оголошення про військову допомогу перетворюються на публічні набори даних: донор, сума, валюта, період постачання, клас обладнання, відповідальна структура, спосіб закупівлі, потреби в обслуговуванні та подальші твердження щодо застосування або відповідальності. Заголовкова цифра — лише перший рядок.

Як це застосувати

Створіть запис про пакет допомоги: донор, дата, сума, валюта, категорія обладнання, крайній термін постачання, публічне джерело, стан виконання, подальші оновлення й непевність. Пов’язуйте його із закупівельними та бюджетними записами, а не з поточним бойовим застосуванням.

Обмеження

Не робіть висновків про місця розгортання, розподіл між підрозділами, маршрути постачання, складські залишки, тактику або ефективність. Оголошення про фінансування не доводить, що кожна одиниця вже доставлена або використана.

ukraine-lensmilitary-aidprocurementdronespublic-records

🛡️Investigator OPSECБезпека дослідника

#04

AI chat records are becoming evidence requests

Source: Reuters · 15 June 2026

What happened

Reuters reported that a New York state judge blocked a subpoena seeking an OpenAI user’s ChatGPT records in a civil lawsuit, finding the material protected as litigation-related work product. The subpoena had sought prompts, uploaded material and outputs connected to legal filings or communications.

Why it matters

Investigators increasingly use AI tools to draft timelines, translate sources, review evidence and prepare legal or advocacy notes. Those chats may later be treated as records, sought in discovery or contested as protected work. This changes how teams should handle sensitive prompts and uploaded files.

How to use it

Add AI-use logging rules: what tool was used, whether files were uploaded, whether private names were included, whether the output entered an evidence record, and whether the chat must be preserved, deleted under policy or excluded from sensitive work.

Limits

This is a civil-law discovery ruling, not a universal rule for every jurisdiction or context. Do not upload names of protected witnesses, raw personal data, private addresses, unreleased evidence or privileged material to consumer AI tools without an approved policy.

Записи розмов із ШІ стають об’єктом доказових запитів

Джерело: Reuters · 15 червня 2026

Що сталося

Reuters повідомило, що суддя штату Нью-Йорк заблокувала повістку, яка вимагала записи користувача ChatGPT у цивільній справі проти приватного кредитора, визнавши ці матеріали захищеними як підготовлені для судового спору. Запит стосувався запитів до ШІ, завантажених матеріалів і відповідей, пов’язаних із юридичними документами або комунікаціями.

Чому це важливо

Дослідники дедалі частіше використовують інструменти ШІ для підготовки хронологій, перекладу джерел, перегляду доказів і створення юридичних або адвокаційних нотаток. Такі розмови можуть згодом розглядатися як записи, запитуватися в межах розкриття доказів або оскаржуватися як захищені матеріали. Це змінює підхід до чутливих запитів і завантажених файлів.

Як це застосувати

Додайте правила обліку використання ШІ: який інструмент застосовано, чи завантажувалися файли, чи містив запит приватні імена, чи потрапила відповідь до доказового запису і чи треба зберегти розмову, видалити її за політикою або не використовувати ШІ для такого чутливого завдання.

Обмеження

Це рішення щодо розкриття доказів у цивільній справі, а не універсальне правило для всіх юрисдикцій і ситуацій. Не завантажуйте до споживчих інструментів ШІ імена захищених свідків, сирі персональні дані, приватні адреси, неопубліковані докази або привілейовані матеріали без затвердженої політики.

investigator-opsecai-recordslegal-discoverysource-protectionevidence-handling

🤖AI VerificationШІ та верифікація

#05

Battlefield AI needs data-governance notes before it becomes evidence

Source: Reuters · 12 June 2026

What happened

Reuters interviewed the head of Ukraine’s defence ministry AI centre, who described the growing role of AI in drone operations, planning, battlefield data analysis and future networked decision support. He said Ukraine is trying to integrate AI and data-driven decision-making more deeply into defence systems while maintaining human involvement.

Why it matters

AI-assisted military systems may later generate logs, recommendations, target classifications, incident records or after-action material. For accountability work, the crucial question is not only what the system output said, but what data it used, who reviewed it, what confidence level was shown and how the record was preserved.

How to use it

For AI-related evidence, record model or system name if public, data source class, date, operator role, reviewer role, confidence score if present, human decision point, preserved output, later correction and whether publication could expose tactics or protected people.

Limits

Do not publish live system details, training data samples, targeting logic, sensor coverage, unit workflows or model weaknesses. Public comments about AI strategy are not enough to infer specific operational use or legal responsibility.

Військовий ШІ потребує нотаток про управління даними ще до того, як стане доказом

Джерело: Reuters · 12 червня 2026

Що сталося

Reuters поговорило з керівником центру ШІ Міністерства оборони України, який описав зростання ролі ШІ в роботі з дронами, плануванні, аналізі бойових даних і майбутній мережевій підтримці рішень. Він заявив, що Україна намагається глибше інтегрувати ШІ та ухвалення рішень на основі даних в оборонні системи, зберігаючи участь людини.

Чому це важливо

Військові системи з підтримкою ШІ можуть згодом створювати журнали, рекомендації, класифікації об’єктів, записи про інциденти або післяподієві матеріали. Для роботи з притягнення до відповідальності важливо не лише те, що видала система, а й те, які дані вона використала, хто переглянув результат, який рівень упевненості було показано і як збережено запис.

Як це застосувати

Для доказів, пов’язаних із ШІ, фіксуйте назву моделі або системи, якщо вона публічна, клас джерел даних, дату, роль оператора, роль перевіряча, рівень упевненості за наявності, момент людського рішення, збережений результат, подальші виправлення і ризик розкриття тактики або захищених людей.

Обмеження

Не публікуйте поточні деталі систем, зразки навчальних даних, логіку вибору цілей, покриття сенсорів, порядок роботи підрозділів або слабкі місця моделей. Публічних коментарів про стратегію ШІ недостатньо, щоб робити висновки про конкретне застосування або юридичну відповідальність.

ai-verificationukrainedata-governancehuman-reviewevidence-logs

🤖AI VerificationШІ та верифікація

#06

LLM-generated test code needs semantic-fidelity checks

Source: arXiv · 16 June 2026

What happened

An arXiv preprint evaluated whether grammar-level mutation combined with LLM-based code synthesis can help test PKCS#1 v1.5 signature-verification implementations for specification compliance. The authors found that LLM hallucination in generated scripts was the main factor limiting effectiveness, with a large gap between operational reliability and semantic fidelity.

Why it matters

Investigators increasingly use AI to write scrapers, validators, converters and test scripts for evidence pipelines. A script can run successfully while testing the wrong condition. For evidence work, passing execution is not the same as correct verification.

How to use it

For AI-generated test code, require a human-readable specification, known positive and negative fixtures, deterministic tests, versioned prompts, saved outputs and a review note explaining why the test checks the intended condition.

Limits

This is a preprint focused on one cryptographic testing setup. Do not generalise its exact rates to every model or task. The useful lesson is procedural: separate whether generated code runs from whether it means what it claims to mean.

Код перевірки, створений мовною моделлю, потребує перевірки змістової точності

Джерело: arXiv · 16 червня 2026

Що сталося

Препринт на arXiv оцінює, чи може поєднання граматичних мутацій і створення коду мовними моделями допомогти перевіряти реалізації PKCS#1 v1.5 на відповідність специфікації. Автори дійшли висновку, що вигадки в згенерованих сценаріях були головним чинником, який обмежував ефективність, а між технічною працездатністю і змістовою точністю виникав великий розрив.

Чому це важливо

Дослідники дедалі частіше використовують ШІ для написання збирачів даних, перевірок, конвертерів і тестових сценаріїв для доказових процесів. Сценарій може успішно запускатися, але перевіряти не ту умову. Для доказової роботи успішне виконання коду не дорівнює правильній перевірці.

Як це застосувати

Для тестового коду, створеного ШІ, потрібні зрозуміла для людини специфікація, відомі позитивні й негативні приклади, детерміновані тести, збережені версії запитів, збережені результати та примітка перевіряча про те, чому тест перевіряє саме потрібну умову.

Обмеження

Це препринт про конкретну задачу криптографічного тестування. Не переносіть його точні показники на всі моделі або завдання. Практичний урок процедурний: відділяйте питання, чи код запускається, від питання, чи він справді робить те, що заявлено.

ai-verificationcode-reviewtestingsemantic-fidelityresearch

⚠️Risk WatchМежі й ризики

#07

High-risk AI systems need access, vendor and shutdown fields

Source: Reuters · 12 June 2026

What happened

Reuters reported that U.S. bank regulators are increasing scrutiny of how financial firms use AI, including questions about data access, governance controls, high-risk uses, third-party vendors, subcontractors, human oversight, contingency planning and shutdown controls.

Why it matters

The same governance questions apply to investigative and accountability systems that use AI: what data can the system see, who supplies it, who can stop it, what happens if it fails and how decisions are reviewed. These fields matter before an AI output is used in a public claim.

How to use it

Add an AI-system register for sensitive work: purpose, data-access scope, vendor, subcontractor exposure, human reviewer, shutdown authority, failure plan, audit logs, retention period and public-use limits.

Limits

Bank supervision does not automatically set rules for NGOs or newsrooms. Use it as a checklist model, not as legal advice. Do not store sensitive witness or victim data in systems without clear access limits and retention rules.

Системам ШІ з високим ризиком потрібні поля доступу, постачальників і аварійного вимкнення

Джерело: Reuters · 12 червня 2026

Що сталося

Reuters повідомило, що банківські регулятори США посилюють увагу до того, як фінансові компанії використовують ШІ. Серед питань — доступ до даних, правила управління, застосування у сферах високого ризику, сторонні постачальники, субпідрядники, людський нагляд, резервні плани та механізми аварійного вимкнення.

Чому це важливо

Ті самі питання управління стосуються розслідувальних і доказових систем, які використовують ШІ: які дані бачить система, хто її постачає, хто може її зупинити, що відбувається в разі збою і як переглядаються рішення. Ці поля важливі ще до того, як результат ШІ використають у публічному твердженні.

Як це застосувати

Додайте реєстр систем ШІ для чутливої роботи: мета, межі доступу до даних, постачальник, ризики субпідрядників, відповідальний перевіряч, право аварійного вимкнення, план на випадок збою, журнали аудиту, строк зберігання і межі публічного використання.

Обмеження

Банківський нагляд не встановлює автоматичних правил для громадських організацій або редакцій. Використовуйте його як модель переліку перевірок, а не як юридичну пораду. Не зберігайте чутливі дані свідків або постраждалих у системах без чітких меж доступу й правил зберігання.

risk-watchai-governancevendor-riskdata-accessaudit-logs