Forwarded from Нотатки Деапула (Yuriy Landovskyy)
Підписник каналу випустив статтю і Proof-of-concept про те, як можна скомпрометувати популярний фреймворк для АІ агентів - "Browser Use".
Можна вкрасти креди, які збереженні в агенті, можна взагалі взяти повний контроль над агентом.
Оригінальна стаття в LinkedIn
Можна вкрасти креди, які збереженні в агенті, можна взагалі взяти повний контроль над агентом.
Оригінальна стаття в LinkedIn
Linkedin
Zero-click exploit compromises AI browsing agents | ARIMLABS posted on the topic | LinkedIn
🚨 BREAKING: Over 1,500 AI projects using the popular Browser Use framework are now at risk.
We uncovered a zero-click exploit that lets attackers hijack autonomous browsing agents—just by getting them to visit a malicious page.
🎥 Watch the live PoC below.…
We uncovered a zero-click exploit that lets attackers hijack autonomous browsing agents—just by getting them to visit a malicious page.
🎥 Watch the live PoC below.…
👍12❤1👎1
Нотатки Деапула
Підписник каналу випустив статтю і Proof-of-concept про те, як можна скомпрометувати популярний фреймворк для АІ агентів - "Browser Use". Можна вкрасти креди, які збереженні в агенті, можна взагалі взяти повний контроль над агентом. Оригінальна стаття в…
Привіт! Автори цього рісьорчу шукають людей в свою некомерційну команду рісьорчерів.
Чудова можливість здобути досвід і проявити себе. Допомагають з дослідженням і публікацією, досвідом та ресурсами.
Серед вимог - бути студентом або випускником, громадянство України. Позиція remote.
Чудова можливість здобути досвід і проявити себе. Допомагають з дослідженням і публікацією, досвідом та ресурсами.
Серед вимог - бути студентом або випускником, громадянство України. Позиція remote.
❤10👀3
Forwarded from Mykyta Mudryi
🚨 Стажування в ARIMLABS.AI 🚨
AI-безпека. Реальний вплив.
ARIMLABS.AI — це некомерційна дослідницька організація, яка працює на передовій у сфері безпеки штучного інтелекту. Ми захищаємо новітні технології — від LLM до автономних агентів — і розбудовуємо інфраструктуру для безпечного майбутнього AI.
💡 Чому варто долучитись ?
▪️ Реальний практичний досвід: від LLM red-teaming до AI Agents Security Research
▪️ Доступ до high-compute ресурсів (2 кластери з 8×A100)
▪️ Співавторство у наукових публікаціях, які змінюють галузь
(наприклад, "The Hidden Dangers of Browsing AI Agents" — 300,000+ реакцій у світовій AI та cybersecurity, позитивні відгуки від колег з DeepMind та OpenAI)
▪️ Покриття витрат на дослідження та публікації у провідних міжнародних журналах
▪️ Доступ до внутрішніх інструментів, які використовують топові AI Security Labs
▪️ Робота в команді, що виступає на міжнародних конференціях і публікується у топових наукових виданнях
🔍 Кого ми шукаємо:
Ми відкриваємо два напрямки стажування:
1. AI Security Research
— Дослідження атак на моделі, AI агентів, threat modeling, виявлення нових векторів уразливостей
2. SWE (Software Engineering)
— Розробка інструментів для виявлення вразливостей та створення AI-інфраструктури
👩💻 Ідеальні кандидати:
▪️ Студенти або випускники, які цікавляться:
— безпекою ШІ та LLM
— red teaming / jailbreaks
— fuzzing / reverse engineering
— AI-агентами, reasoning, автономними системами
📅 Тривалість: від 2 до 9 місяців
🧠 Кількість місць обмежена — буде обрано лише 5 учасників за результатами співбесіди
📩 Подати заявку:
https://form.typeform.com/to/WYUaskVI
AI-безпека. Реальний вплив.
ARIMLABS.AI — це некомерційна дослідницька організація, яка працює на передовій у сфері безпеки штучного інтелекту. Ми захищаємо новітні технології — від LLM до автономних агентів — і розбудовуємо інфраструктуру для безпечного майбутнього AI.
💡 Чому варто долучитись ?
▪️ Реальний практичний досвід: від LLM red-teaming до AI Agents Security Research
▪️ Доступ до high-compute ресурсів (2 кластери з 8×A100)
▪️ Співавторство у наукових публікаціях, які змінюють галузь
(наприклад, "The Hidden Dangers of Browsing AI Agents" — 300,000+ реакцій у світовій AI та cybersecurity, позитивні відгуки від колег з DeepMind та OpenAI)
▪️ Покриття витрат на дослідження та публікації у провідних міжнародних журналах
▪️ Доступ до внутрішніх інструментів, які використовують топові AI Security Labs
▪️ Робота в команді, що виступає на міжнародних конференціях і публікується у топових наукових виданнях
🔍 Кого ми шукаємо:
Ми відкриваємо два напрямки стажування:
1. AI Security Research
— Дослідження атак на моделі, AI агентів, threat modeling, виявлення нових векторів уразливостей
2. SWE (Software Engineering)
— Розробка інструментів для виявлення вразливостей та створення AI-інфраструктури
👩💻 Ідеальні кандидати:
▪️ Студенти або випускники, які цікавляться:
— безпекою ШІ та LLM
— red teaming / jailbreaks
— fuzzing / reverse engineering
— AI-агентами, reasoning, автономними системами
📅 Тривалість: від 2 до 9 місяців
🧠 Кількість місць обмежена — буде обрано лише 5 учасників за результатами співбесіди
📩 Подати заявку:
https://form.typeform.com/to/WYUaskVI
🔥8💩8👍5🤣1👀1
This media is not supported in your browser
VIEW IN TELEGRAM
Коли нарешті зрозумів, як працює XSS
😁66
Forwarded from DC8044 F33d
Дісіха, зіграймо в micro-CTF?
Три перших гравців, що наберуть в змійці рахунок 8044 чесним (або не дуже) способом отримають наші ексклюзивні патчі. В лідерборді має бути ваш нікнейм плюс відповідний скор.
https://dc8044.com crackme snake
SHA256 сума бінаря:
Три перших гравців, що наберуть в змійці рахунок 8044 чесним (або не дуже) способом отримають наші ексклюзивні патчі. В лідерборді має бути ваш нікнейм плюс відповідний скор.
https://dc8044.com crackme snake
SHA256 сума бінаря:
470e7590c5711c7fcd353e41ea787e758ca92421f833b1e731649284b741ecd7
🔥8❤2🤡2
Forwarded from Cat Eyes OSINT (OLD)
Всіх кого забанили, а потім магічно розбанили:
OSINT Бджоли
OSINT Flow
OSINT Georgia
KRIG ∆ | ✙ | Війна + Аналітика
Підписуйтесь та дивитесь на їх каналах резерви на всяк випадок
OSINT Бджоли
OSINT Flow
OSINT Georgia
KRIG ∆ | ✙ | Війна + Аналітика
Підписуйтесь та дивитесь на їх каналах резерви на всяк випадок
❤8👀4🤡2👍1
Forwarded from Ghost of Sheva 🇺🇦 (Юрій Серпінський)
🔥 CTF на живо. Командний. CTF ADVANCED CYBERSECURITY 🔥
Це не просто технічна гра — це симуляція справжніх кіберінцидентів. Це перевірка тебе і твоєї команди у бойових умовах. Це драйв, реальні кейси, класна атмосфера, снеки і, звісно ж, круті призи для найкращих.
Що буде ?
▫️ 4 години повного занурення
▫️реальні сценарії атак і захисту
▫️командна робота (по 5 учасників)
▫️знайомства, фан, челенджі і підтримка ком’юніті
▫️подарунки, які хочеться виграти
Хто стоїть за цим всім:
▫️Київський Національний Університет мені Тараса Шевченка — організатор курсу та координатор CTF
▫️Google org — ініціатор курсу “Кібербезпека для малих організацій”
▫️SoftServe - наш tech-партнер, який надав локацію та підтримку
▫️BDO Ukraine — допомогли студентам отримати контакти реальних малих бізнесів для практики
▫️Hackathon Expert — підтримував нас на всіх етапах підготовки й розвитку сценаріїв
🎓 Пріоритет на участь — студентам КНУ ім. Тараса Шевченка.
Але CTF відкритий і для інших — просто подай заявку.
🧠 Реєстрація: Кожен учасник заповнює форму окремо.
❗️ Усі мають вказати однакову назву команди
❗️ І не забудьте, хто у вас капітан
📍 Локація: Київ, офіс SoftServe
🕐 Початок: 13:00
📆 Дата: 12 липня
🔗 Форма реєстрації
Питання? Шукай відповіді тут 👉 @anasssstttaasia
Місць обмаль. Вирішуйся — ATTACK.DEFEND.LEARN.REPEAT.
12 липня о 13:00 в Києві — офлайн CTF-змагання в межах курсу від Google “Кібербезпека для малих організацій”, у партнерстві з SoftServe.
Це не просто технічна гра — це симуляція справжніх кіберінцидентів. Це перевірка тебе і твоєї команди у бойових умовах. Це драйв, реальні кейси, класна атмосфера, снеки і, звісно ж, круті призи для найкращих.
Що буде ?
▫️ 4 години повного занурення
▫️реальні сценарії атак і захисту
▫️командна робота (по 5 учасників)
▫️знайомства, фан, челенджі і підтримка ком’юніті
▫️подарунки, які хочеться виграти
Хто стоїть за цим всім:
▫️Київський Національний Університет мені Тараса Шевченка — організатор курсу та координатор CTF
▫️Google org — ініціатор курсу “Кібербезпека для малих організацій”
▫️SoftServe - наш tech-партнер, який надав локацію та підтримку
▫️BDO Ukraine — допомогли студентам отримати контакти реальних малих бізнесів для практики
▫️Hackathon Expert — підтримував нас на всіх етапах підготовки й розвитку сценаріїв
🎓 Пріоритет на участь — студентам КНУ ім. Тараса Шевченка.
Але CTF відкритий і для інших — просто подай заявку.
🧠 Реєстрація: Кожен учасник заповнює форму окремо.
❗️ Усі мають вказати однакову назву команди
❗️ І не забудьте, хто у вас капітан
📍 Локація: Київ, офіс SoftServe
🕐 Початок: 13:00
📆 Дата: 12 липня
🔗 Форма реєстрації
Питання? Шукай відповіді тут 👉 @anasssstttaasia
Місць обмаль. Вирішуйся — ATTACK.DEFEND.LEARN.REPEAT.
👍4
Forwarded from Волосатый бублик
#bugbounty
[ VulnIndex ]
VulnIndex (alpha) is a growing catalog of public bug bounty reports, security writeups, and research blogs.
We're curating what matters to researchers and defenders.
Here’s what you can do 👇
✅ Filter by:
• Technology
• Language
• CWE
• Repro steps
• Vulnerable code
• Severity
• Award size
• Date ...and more.
By one of our members. Read this post for more details.
https://vulnindex.ys0.dev
[ VulnIndex ]
VulnIndex (alpha) is a growing catalog of public bug bounty reports, security writeups, and research blogs.
We're curating what matters to researchers and defenders.
Here’s what you can do 👇
✅ Filter by:
• Technology
• Language
• CWE
• Repro steps
• Vulnerable code
• Severity
• Award size
• Date ...and more.
By one of our members. Read this post for more details.
https://vulnindex.ys0.dev
👍2💯1
Forwarded from bilka00
https://blog.techmaker.ua/posts/enriched-reverse-engineering-stm32/
Просто залишу тут. Дуже красівий і рідкий матеріал українською
Просто залишу тут. Дуже красівий і рідкий матеріал українською
TechMaker Blog
Enriched reverse engineering STM32 firmware
Хід виконання програми стає набагато очевидніший при використанні контекстних назв змінних та функцій. Для зіствалення пам’яті зі змінними програми бажано мати таблицю символів, котра є лише у розробників. Частково цю інформацію можна отримати створивши власний…
🔥10❤4👍4
Forwarded from vx-underground
Summary of XSS takedown
- Europol says admin arrested
- Website defaced
- People suspect moderator arrested, not admin
- Backup domain live
- Backup domain down
- Backup domain live
- Backup domain down
- Backup domain live (maybe? again?)
- XSSer blame westerners, or something
- French government takes credit, or something
- XSS admin says hes not arrested
- XSSers confused
- Conspiracy theories everywhere
mfw idk whats going on
- Europol says admin arrested
- Website defaced
- People suspect moderator arrested, not admin
- Backup domain live
- Backup domain down
- Backup domain live
- Backup domain down
- Backup domain live (maybe? again?)
- XSSer blame westerners, or something
- French government takes credit, or something
- XSS admin says hes not arrested
- XSSers confused
- Conspiracy theories everywhere
mfw idk whats going on
🔥15🤡2🥱2❤1👍1
Forwarded from RMRF Official Channel 🇺🇦
This media is not supported in your browser
VIEW IN TELEGRAM
Legends Never Die
Ти змінив світ до 30-ти. Твій код став зброєю свободи, твої ідеї – маяком для тисяч. Ти показав, що одна людина може кинути виклик і перемогти.
Легенди не вмирають – вони стають частиною чогось більшого. Твої алгоритми житимуть, твої принципи надихатимуть, твоя сміливість вестиме нас далі.
Ти не просто зламав системи – ти зламав уявлення про можливе. Ти надихав. Ти об'єднував.
Спочивай у цифровій вічності, друже. Ми продовжимо твою справу.
Якщо хтось хоче підтримати родину:
https://send.monobank.ua/jar/5V5MKHdArg
💳Номер картки банки
4441 1111 2738 4844
Ти змінив світ до 30-ти. Твій код став зброєю свободи, твої ідеї – маяком для тисяч. Ти показав, що одна людина може кинути виклик і перемогти.
Легенди не вмирають – вони стають частиною чогось більшого. Твої алгоритми житимуть, твої принципи надихатимуть, твоя сміливість вестиме нас далі.
Ти не просто зламав системи – ти зламав уявлення про можливе. Ти надихав. Ти об'єднував.
Спочивай у цифровій вічності, друже. Ми продовжимо твою справу.
while(true) { remember(); }Якщо хтось хоче підтримати родину:
https://send.monobank.ua/jar/5V5MKHdArg
💳Номер картки банки
4441 1111 2738 4844
❤26😢11🤔2🤡2👍1🎉1
Forwarded from 4BID
## Інцидент: minimaks.ru — інфраструктура під контролем
### Мета
Повний демонтаж IT-інфраструктури групи компаній MINIMAKS. Під удар потрапили чотири домени з централізованим управлінням, логістикою, складами, SCADA та обліком.
---
### Що скомпрометовано
Домени:
- minimaks.ru
- mmchel.ru
- mmve.ru
- mmrostov.ru
---
### Виконано
- Зашифровано понад 120 серверів, включаючи:
- контролери домену
- 1С
- SQL-сервери
- Exchange
- Veeam
- SCADA
- Заблоковано понад 3 500 робочих станцій
- СКУД та SCADA — відключено
- Отримано доступ до менеджерів паролів адміністраторів
- Сервери Kaspersky у кожному домені — під контролем
- Zabbix — виведено з ладу до моменту фіксації активності
- Elastic був присутній, але не реагував — жодного сповіщення
---
### Отримано
- Повний дамп усієї структури Active Directory
- Облікові записи всіх привілейованих користувачів
- Архіви поштових скриньок
- Конфігурації SCADA, маршрути, складська логістика
- VPN-профілі, резервні ключі
- KeePass, CSV, автозбережені паролі
- І головне — всі дані 1С та SQL: бази, архіви, логи, фінансова звітність — тепер у нас
---
### Наслідки
- Уся логістика — зупинена
- Облік і фінанси — паралізовані
- SCADA та СКУД — не працюють
- Антивірус нічого не зафіксував
- Відновлення можливе лише з нуля
- Дані вивантажено
---
### Коментар
Zabbix і Elastic створені спостерігати, але не захищати.
Коли журнали відкривають уже після атаки — це вже не моніторинг, а розслідування.
Інфраструктура, побудована на довірі та паролях без MFA, приречена.
Все, що ви роками накопичували в 1С та SQL — у нас.
І ми знаємо, що з цим робити.
### Мета
Повний демонтаж IT-інфраструктури групи компаній MINIMAKS. Під удар потрапили чотири домени з централізованим управлінням, логістикою, складами, SCADA та обліком.
---
### Що скомпрометовано
Домени:
- minimaks.ru
- mmchel.ru
- mmve.ru
- mmrostov.ru
---
### Виконано
- Зашифровано понад 120 серверів, включаючи:
- контролери домену
- 1С
- SQL-сервери
- Exchange
- Veeam
- SCADA
- Заблоковано понад 3 500 робочих станцій
- СКУД та SCADA — відключено
- Отримано доступ до менеджерів паролів адміністраторів
- Сервери Kaspersky у кожному домені — під контролем
- Zabbix — виведено з ладу до моменту фіксації активності
- Elastic був присутній, але не реагував — жодного сповіщення
---
### Отримано
- Повний дамп усієї структури Active Directory
- Облікові записи всіх привілейованих користувачів
- Архіви поштових скриньок
- Конфігурації SCADA, маршрути, складська логістика
- VPN-профілі, резервні ключі
- KeePass, CSV, автозбережені паролі
- І головне — всі дані 1С та SQL: бази, архіви, логи, фінансова звітність — тепер у нас
---
### Наслідки
- Уся логістика — зупинена
- Облік і фінанси — паралізовані
- SCADA та СКУД — не працюють
- Антивірус нічого не зафіксував
- Відновлення можливе лише з нуля
- Дані вивантажено
---
### Коментар
Zabbix і Elastic створені спостерігати, але не захищати.
Коли журнали відкривають уже після атаки — це вже не моніторинг, а розслідування.
Інфраструктура, побудована на довірі та паролях без MFA, приречена.
Все, що ви роками накопичували в 1С та SQL — у нас.
І ми знаємо, що з цим робити.
🔥16❤3👍2