Forwarded from PWN AI (Artyom Semenov)
Pillar недавно выпустили крутой отчёт со статистикой по атакам на Генеративный ИИ.
Основной фокус — на практических рисках, с которыми сталкиваются организации при использовании LLM. А сами авторы подчёркивают, что отчёт заполняет пробел в отсутствии такой статистики.
Как можно понять из него - они собирали информацию для отчёта 3 месяца, более чем из 2000 приложений с LLM, а также 500 000 диалогов пользователей из разных отраслей. За основу для отчёта был взят анализ 6 типовых атак (prompt injection, DAN, ascii атаки и т.д).
Результаты, конечно, поражающие:
90% успешных атак привели к утечке конфиденциальных данных
20% попыток jailbreak обошли защитные механизмы решения по безопасности
Среднее время выполнения атаки - 42 секунды, а вот среднее количество запросов, отправленных злоумышленником чтобы атака удалась - 5.
Авторы конечно же сделали прогнозы на то, что угроз будет больше, так как сегодня всё больше организаций начинает использовать RAG и агентов.
PDF - ниже.
Основной фокус — на практических рисках, с которыми сталкиваются организации при использовании LLM. А сами авторы подчёркивают, что отчёт заполняет пробел в отсутствии такой статистики.
Как можно понять из него - они собирали информацию для отчёта 3 месяца, более чем из 2000 приложений с LLM, а также 500 000 диалогов пользователей из разных отраслей. За основу для отчёта был взят анализ 6 типовых атак (prompt injection, DAN, ascii атаки и т.д).
Результаты, конечно, поражающие:
90% успешных атак привели к утечке конфиденциальных данных
20% попыток jailbreak обошли защитные механизмы решения по безопасности
Среднее время выполнения атаки - 42 секунды, а вот среднее количество запросов, отправленных злоумышленником чтобы атака удалась - 5.
Авторы конечно же сделали прогнозы на то, что угроз будет больше, так как сегодня всё больше организаций начинает использовать RAG и агентов.
PDF - ниже.
Forwarded from PWN AI (Artyom Semenov)
The State of Attacks on GenAI - Pillar Security.pdf
15.3 MB
https://www.ncsc.gov.uk/news/pqc-migration-roadmap-unveiled
Великобритания планирует перейти на квантово устойчивого алгоритмы к 2035 году.
Великобритания планирует перейти на квантово устойчивого алгоритмы к 2035 году.
www.ncsc.gov.uk
Cyber chiefs unveil new roadmap for post-quantum cryptography migration
New guidance from the NCSC outlines a three-phase timeline for organisations to transition to quantum-resistant encryption methods by 2035.
Forwarded from BESSEC
Типовой_процесс_безопасной_разработки_для_финтеха.pdf
168.5 KB
Безопасная разработка & Ассоциация Финтех
Ассоциация публично выложила два полезных документа:
⚙ Карта инструментов #DevSecOps разбитая по классам с примерами решений от вендоров и open source
⚙ Схема типового процесса безопасной разработки
p.s. схему докрутить в BPNM и готовый диплом (:
Ассоциация публично выложила два полезных документа:
p.s. схему докрутить в BPNM и готовый диплом (:
Please open Telegram to view this post
VIEW IN TELEGRAM
https://csrc.nist.gov/pubs/ai/100/2/e2025/final NIST обновил рекомендации по типовым атакам на ИИ и способам защиты.
CSRC | NIST
NIST Artificial Intelligence (AI) 100-2 E2025, Adversarial Machine Learning: A Taxonomy and Terminology of Attacks and Mitigations
This NIST Trustworthy and Responsible AI report provides a taxonomy of concepts and defines terminology in the field of adversarial machine learning (AML). The taxonomy is arranged in a conceptual hierarchy that includes key types of ML methods, life cycle…
Черновик стандарта по защите api в cloud native.
https://csrc.nist.gov/pubs/sp/800/228/ipd
https://csrc.nist.gov/pubs/sp/800/228/ipd
CSRC | NIST
NIST Special Publication (SP) 800-228 (Withdrawn), Guidelines for API Protection for Cloud-Native Systems
Modern enterprise IT systems rely on a family of application programming interfaces (APIs) for integration to support organizational business processes. Hence, a secure deployment of APIs is critical for overall enterprise security. This, in turn, requires…