Forwarded from Около DevOps
Remote Prompt Injection in GitLab Duo Leads to Source Code Theft
https://www.legitsecurity.com/blog/remote-prompt-injection-in-gitlab-duo
https://www.legitsecurity.com/blog/remote-prompt-injection-in-gitlab-duo
Legitsecurity
Remote Prompt Injection in GitLab Duo Leads to Source Code Theft
The Legit research team unearthed vulnerabilities in GitLab Duo.
AgentHopper: An AI Virus
Статья показывающая как в нынешнее время с множеством AI агентов можно сделать плохие действия на машинах использующих эти агенты для работы
также видео из статьи
https://www.youtube.com/watch?v=vlF0sblunQY
Статья показывающая как в нынешнее время с множеством AI агентов можно сделать плохие действия на машинах использующих эти агенты для работы
также видео из статьи
https://www.youtube.com/watch?v=vlF0sblunQY
Embrace The Red
AgentHopper: An AI Virus Research Project
AgentHopper: A proof-of-concept AI Virus
Весьма интересный автономный AI агент для поиска уязвимостей с помощью LLM
https://github.com/usestrix/strix/
Берешь генеришь API ключ для подключения к LLM от OpenAI, и натравливаешь агент на свое приложение для тестирования, будь то урл приложения, исходный код на диске или проект на гитхабе, и вперед
Кто пробовал ставь 👌
Кто собирается 👏
https://github.com/usestrix/strix/
Берешь генеришь API ключ для подключения к LLM от OpenAI, и натравливаешь агент на свое приложение для тестирования, будь то урл приложения, исходный код на диске или проект на гитхабе, и вперед
Кто пробовал ставь 👌
Кто собирается 👏
GitHub
GitHub - usestrix/strix: Open-source AI agents for penetration testing
Open-source AI agents for penetration testing. Contribute to usestrix/strix development by creating an account on GitHub.
👏2
Статья на SiliconANGLE описывает три уязвимости в искусственном интеллекте Google Gemini, выявленные компанией Tenable Holdings. Эти уязвимости, названные "Gemini Trifecta", касаются Gemini Cloud Assist, Gemini Search Personalization Model и Gemini Browsing Tool. Они демонстрируют риски, связанные с косвенной инъекцией команд и необходимость усиленной безопасности AI-систем.
Gemini Cloud Assist: Уязвимость позволяла злоумышленникам подменять данные логов и внедрять вредоносные команды, которые могли запускаться при запросе на объяснение логов.
Gemini Search Personalization Model: Здесь злоумышленники могли использовать вредоносные сайты для внедрения поддельных запросов в историю поиска пользователя, что приводило к утечке личной информации.
Gemini Browsing Tool: Уязвимость позволяла обойти защиту Google и отправлять данные на контролируемые злоумышленниками URL, при этом пользователь не замечал никаких аномалий.
Авторы статьи подчеркивают, что эти уязвимости используют доверенные потоки данных, и рекомендуют подходить к интеграции AI как к активной угрозе, внедряя многоуровневую защиту и регулярно тестируя системы на устойчивость к инъекциям.
Gemini Cloud Assist: Уязвимость позволяла злоумышленникам подменять данные логов и внедрять вредоносные команды, которые могли запускаться при запросе на объяснение логов.
Gemini Search Personalization Model: Здесь злоумышленники могли использовать вредоносные сайты для внедрения поддельных запросов в историю поиска пользователя, что приводило к утечке личной информации.
Gemini Browsing Tool: Уязвимость позволяла обойти защиту Google и отправлять данные на контролируемые злоумышленниками URL, при этом пользователь не замечал никаких аномалий.
Авторы статьи подчеркивают, что эти уязвимости используют доверенные потоки данных, и рекомендуют подходить к интеграции AI как к активной угрозе, внедряя многоуровневую защиту и регулярно тестируя системы на устойчивость к инъекциям.
SiliconANGLE
‘Gemini Trifecta’ vulnerabilities in Google AI highlight risks of indirect prompt injection
A new report out today from network security company Tenable Holdings Inc. details three significant flaws that were found in Google LLC's Gemini artificial intelligence suite that highlight the risk
https://speakerdeck.com/dk999/to-the-docs-and-beyond
Интересная дека из данного поста с описанием несколькими видами векторов атак
Интересная дека из данного поста с описанием несколькими видами векторов атак
Speaker Deck
To the docs and beyond!
<strong>Developer Documentation</strong>, as the name suggests, acts as a point of solid reference and hence, plays an integral role from a developer's …
CVE-2025-49844
Ух ты интересная уязвимость в редиске, там же ссылка на эксплоит для получения shell доступа RedisShell на гитхабе. В общем лучше обновить версию Redis'а если ещё это не сделано.
Ух ты интересная уязвимость в редиске, там же ссылка на эксплоит для получения shell доступа RedisShell на гитхабе. В общем лучше обновить версию Redis'а если ещё это не сделано.
ptsecurity.com
Трендовые уязвимости
Трендовыми уязвимостями называются наиболее опасные недостатки безопасности, требующие оперативного устранения или принятия компенсирующих мер. Они либо уже активно эксплуатируются злоумышленниками, либо могут быть использованы ими в ближайшее время. В M…
Forwarded from Около DevOps
Ох, как обычно новогодние праздники весьма нередко связаны с появлением новых дыр в безопасности. Видимо в свободное от работы время, появляется время на поиск дыр в безопасности
https://www.huntress.com/blog/esxi-vm-escape-exploit
0-day уязвимость, которая еще не пофиксана судя по описанию
и тут сама CVE
https://support.broadcom.com/web/ecx/support-content-notification/-/external/content/SecurityAdvisories/0/25390
https://www.huntress.com/blog/esxi-vm-escape-exploit
0-day уязвимость, которая еще не пофиксана судя по описанию
и тут сама CVE
https://support.broadcom.com/web/ecx/support-content-notification/-/external/content/SecurityAdvisories/0/25390
Huntress
ESXi Exploitation in the Wild | Huntress
Huntress outlines a complex, multi-step attack designed to break out of guest VMs and target the ESXi hypervisor, using potential zero-day vulnerabilities and sneaky VSOCK communication.