Forwarded from PWN AI (Artyom Semenov)
Pillar недавно выпустили крутой отчёт со статистикой по атакам на Генеративный ИИ.
Основной фокус — на практических рисках, с которыми сталкиваются организации при использовании LLM. А сами авторы подчёркивают, что отчёт заполняет пробел в отсутствии такой статистики.
Как можно понять из него - они собирали информацию для отчёта 3 месяца, более чем из 2000 приложений с LLM, а также 500 000 диалогов пользователей из разных отраслей. За основу для отчёта был взят анализ 6 типовых атак (prompt injection, DAN, ascii атаки и т.д).
Результаты, конечно, поражающие:
90% успешных атак привели к утечке конфиденциальных данных
20% попыток jailbreak обошли защитные механизмы решения по безопасности
Среднее время выполнения атаки - 42 секунды, а вот среднее количество запросов, отправленных злоумышленником чтобы атака удалась - 5.
Авторы конечно же сделали прогнозы на то, что угроз будет больше, так как сегодня всё больше организаций начинает использовать RAG и агентов.
PDF - ниже.
Основной фокус — на практических рисках, с которыми сталкиваются организации при использовании LLM. А сами авторы подчёркивают, что отчёт заполняет пробел в отсутствии такой статистики.
Как можно понять из него - они собирали информацию для отчёта 3 месяца, более чем из 2000 приложений с LLM, а также 500 000 диалогов пользователей из разных отраслей. За основу для отчёта был взят анализ 6 типовых атак (prompt injection, DAN, ascii атаки и т.д).
Результаты, конечно, поражающие:
90% успешных атак привели к утечке конфиденциальных данных
20% попыток jailbreak обошли защитные механизмы решения по безопасности
Среднее время выполнения атаки - 42 секунды, а вот среднее количество запросов, отправленных злоумышленником чтобы атака удалась - 5.
Авторы конечно же сделали прогнозы на то, что угроз будет больше, так как сегодня всё больше организаций начинает использовать RAG и агентов.
PDF - ниже.
Forwarded from PWN AI (Artyom Semenov)
The State of Attacks on GenAI - Pillar Security.pdf
15.3 MB
https://www.ncsc.gov.uk/news/pqc-migration-roadmap-unveiled
Великобритания планирует перейти на квантово устойчивого алгоритмы к 2035 году.
Великобритания планирует перейти на квантово устойчивого алгоритмы к 2035 году.
www.ncsc.gov.uk
Cyber chiefs unveil new roadmap for post-quantum cryptography migration
New guidance from the NCSC outlines a three-phase timeline for organisations to transition to quantum-resistant encryption methods by 2035.
Forwarded from BESSEC
Типовой_процесс_безопасной_разработки_для_финтеха.pdf
168.5 KB
Безопасная разработка & Ассоциация Финтех
Ассоциация публично выложила два полезных документа:
⚙ Карта инструментов #DevSecOps разбитая по классам с примерами решений от вендоров и open source
⚙ Схема типового процесса безопасной разработки
p.s. схему докрутить в BPNM и готовый диплом (:
Ассоциация публично выложила два полезных документа:
p.s. схему докрутить в BPNM и готовый диплом (:
Please open Telegram to view this post
VIEW IN TELEGRAM
https://csrc.nist.gov/pubs/ai/100/2/e2025/final NIST обновил рекомендации по типовым атакам на ИИ и способам защиты.
CSRC | NIST
NIST Artificial Intelligence (AI) 100-2 E2025, Adversarial Machine Learning: A Taxonomy and Terminology of Attacks and Mitigations
This NIST Trustworthy and Responsible AI report provides a taxonomy of concepts and defines terminology in the field of adversarial machine learning (AML). The taxonomy is arranged in a conceptual hierarchy that includes key types of ML methods, life cycle…
Черновик стандарта по защите api в cloud native.
https://csrc.nist.gov/pubs/sp/800/228/ipd
https://csrc.nist.gov/pubs/sp/800/228/ipd
CSRC | NIST
NIST Special Publication (SP) 800-228 (Withdrawn), Guidelines for API Protection for Cloud-Native Systems
Modern enterprise IT systems rely on a family of application programming interfaces (APIs) for integration to support organizational business processes. Hence, a secure deployment of APIs is critical for overall enterprise security. This, in turn, requires…
База данных уязвимостей от NIST по прежнему только увеличивает свой бэклог.
https://www.nist.gov/itl/nvd
https://www.nist.gov/itl/nvd
NIST
National Vulnerability Database
NIST maintains the National Vulnerability Database (NVD), a repository of information on software and hardware flaws that can compromise computer security. This is a key piece of the nation’s cybersecurity infrastructure
В связи с уменьшением финансирования OTF инициированного новым президентом США возможны изменения в скорости релизов и поддержки для таких проектов как TOR, OpenVPN, Let's Encrypt.
OTF являлась одним из главных спонсоров вышеуказанных проектов и нескольких других.
https://news.bloomberglaw.com/federal-contracting/open-technology-fund-sues-global-media-agency-over-fund-freeze
OTF являлась одним из главных спонсоров вышеуказанных проектов и нескольких других.
https://news.bloomberglaw.com/federal-contracting/open-technology-fund-sues-global-media-agency-over-fund-freeze
Bloomberglaw
Open Technology Fund Sues Trump Officials Over Budget Freeze (3)
Nonprofit Open Technology Fund is accusing the US Agency for Global Media of unlawfully withholding grant funds authorized by Congress.