Итог: утечки, выполнение нежелательных действий
Эксплуатация: ignore previous instructions, скрытые инструкции в HTML
Фикс: фильтры, минимальные права, human-in-the-loop
Итог: GDPR, утечки, репутационный ущерб
Фикс: очистка датасетов, output-фильтрация, no secrets in prompts
Итог: RCE, полный захват
Фикс: SBOM, CVE-сканинг, хэши, sandbox
Итог: модель «разрешает» вредоносное
Фикс: trusted data, аномалии, версионирование
Итог: XSS, CSRF, SSRF
Фикс: treat output as untrusted, экранирование
Итог: финпотери, удаление данных, саботаж
Фикс: least privilege, подтверждение критических действий
Итог: обход защит, ключи в руках атакера
Фикс: no secrets in prompt, secure vaults, фильтры
Итог: фишинг, дезинформация
Фикс: trusted docs only, проверка retrieved data
Итог: ложные решения, фейковые данные
Фикс: источники, fact-checking, low temperature
Итог: DoW / DoS, счета на тысячи $
Фикс: rate-limit, quota, лимиты токенов
#cheat_sheet
Please open Telegram to view this post
VIEW IN TELEGRAM
🥰3🔥1
Безопасность ИИ-агентов: новый вектор атак
Курс «Разработка ИИ-агентов» стартовал. Мы учим не только создавать агентов, но и делать их надёжными. В мире, где промпт-инъекции могут слить базу данных, это критично.
Темы, которые касаются безопасности:
—
— валидация ввода и вывода LLM;
— безопасная интеграция с внешними API и БД;
— мониторинг аномалий через
Для прохождения нужен Python. Первую лекцию открыли для свободного просмотра.
Смотреть лекцию
Записаться на курс
Курс «Разработка ИИ-агентов» стартовал. Мы учим не только создавать агентов, но и делать их надёжными. В мире, где промпт-инъекции могут слить базу данных, это критично.
Темы, которые касаются безопасности:
—
human-in-the-loop: контроль действий агента;— валидация ввода и вывода LLM;
— безопасная интеграция с внешними API и БД;
— мониторинг аномалий через
AgentOps.Для прохождения нужен Python. Первую лекцию открыли для свободного просмотра.
Смотреть лекцию
Записаться на курс
🥰3
Please open Telegram to view this post
VIEW IN TELEGRAM
👍7🥰3🤩3
Deception — это не «ловушки ради ловушек», а ранний детект атак и наблюдение за действиями злоумышленника в изолированной среде.
Если цель — раннее обнаружение lateral movement и атак на AD, deception-платформы дают сигнал раньше, чем классический SIEM.
#tool_vs_tool
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥4🌚2
AI-агент — это новый вектор атаки
Prompt Injection, утечка контекста, Agent Hijacking, выполнение вредоносного кода через Tools... Внедряя агентов, компании часто забывают о безопасности.
На курсе мы не только строим агентов, но и обсуждаем, как сделать их безопасными. Мы разбираем архитектуру, где у агента есть жесткие ограничения (Guardrails), и учим валидировать все входящие и исходящие данные.
InfoSec аспекты курса:
— Безопасное исполнение кода (Sandboxing).
— Защита от инъекций в RAG-системах.
— Контроль доступа к инструментам (Tools) и Human-in-the-loop валидация.
Научиться строить защищённые AI-сиcтемы
Prompt Injection, утечка контекста, Agent Hijacking, выполнение вредоносного кода через Tools... Внедряя агентов, компании часто забывают о безопасности.
На курсе мы не только строим агентов, но и обсуждаем, как сделать их безопасными. Мы разбираем архитектуру, где у агента есть жесткие ограничения (Guardrails), и учим валидировать все входящие и исходящие данные.
InfoSec аспекты курса:
— Безопасное исполнение кода (Sandboxing).
— Защита от инъекций в RAG-системах.
— Контроль доступа к инструментам (Tools) и Human-in-the-loop валидация.
Научиться строить защищённые AI-сиcтемы
❤6
Умный дом — это набор устройств, приложения и облака, где безопасность часто приносится в жертву скорости и цене.
В статье разобрано, какие типовые ошибки к этому приводят: открытые бэкенды, слабая авторизация, API-ключи в приложениях и устройства с дефолтными паролями и небезопасными прошивками.
На реальных кейсах — CloudPets, Mirai и исследованиях Kaspersky — показано, как через IoT получают контроль над чужими устройствами и используют их как точку входа в сеть.
#breach_breakdown
Please open Telegram to view this post
VIEW IN TELEGRAM
🤩5🔥2
Атака начиналась не с вируса, а с обычного входа через SSL VPN (скомпрометированные учётки, SonicWall).
После разведки внутри сети злоумышленники загрузили легально подписанный драйвер из старого криминалистического ПО EnCase (2009–2010).
• драйвер подписан и доверяется Windows;
• отзыв сертификата не проверяется на раннем этапе загрузки;
• pre-2015 драйверы проходят по правилам совместимости;
• результат — полный контроль на уровне ядра.
• завершал процессы 59 защитных продуктов;
• EDR/AV не могли перезапуститься — их убивали каждую секунду;
• система оставалась «слепой» перед запуском ransomware.
Атаку остановили не антивирусы, а корреляция логов: VPN → внутренняя активность → аномалии → изоляция хостов.
#breach_breakdown
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥5🥰3👏3
Vulnerability Scanners cheat sheet.pdf
163.2 KB
Все основные сканеры собраны в одной схеме и разделены по категориям: open-source, коммерческие, облачные, mobile, AI-based и пентест-инструменты.
Удобно использовать как навигацию и быстрый ориентир при выборе тулов под задачу.
#cheat_sheet
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥4❤3
У Substack произошёл взлом: злоумышленники получили доступ к пользовательским данным через уязвимость в платформе. Баг уже закрыли, но последствия никуда не делись.
— Утёкшие данные уже могут использоваться в таргетированном фишинге
— Письма «от авторов», «от Substack» и «срочные уведомления» — под особым подозрением
— Даже легальная платформа ≠ иммунитет от атак
С точки зрения ИБ это типичный кейс: уязвимость закрыта, но данные уже ушли — дальше работает социальная инженерия.
#cve_bulletin
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥3🌚1
Где, по-вашему, чаще всего путают хеширование и шифрование:
👍 — При хранении паролей
🔥 — При передаче данных (API / TLS)
👾 — В базах данных и бэкапах
🥰 — В требованиях и ТЗ
🌚 — Везде понемногу
А вы сами ловили себя или коллег на этой путанице?
#ask_the_community
Please open Telegram to view this post
VIEW IN TELEGRAM
🌚8🥰6👾6
🧪 Лёгкий прокси для разбора веб-трафика
HTTP Toolkit — это open-source HTTP-прокси, который удобно использовать для анализа и отладки клиент-серверного взаимодействия.
Что умеет и где полезен:
Чего ждать не стоит:
❌ Автосканирования и fuzzing
❌ Полноценной замены Burp Suite или ZAP
♾ Где заходит лучше всего:
AppSec, DevSecOps, QA, быстрый ручной анализ API и клиентской логики. Отличный вариант, когда нужен прозрачный прокси, а не тяжёлый пентест-фреймворк.
🔗 Ссылка на GitHub
📍 Навигация: [Вакансии]
🐸 Библиотека хакера
#tool_of_the_week
HTTP Toolkit — это open-source HTTP-прокси, который удобно использовать для анализа и отладки клиент-серверного взаимодействия.
Что умеет и где полезен:
— Перехватывает и показывает весь HTTP/HTTPS-трафик: заголовки, cookies, параметры, body
— Позволяет менять запросы и ответы на лету — удобно для проверки логики и edge-кейсов
— Повтор запросов — можно воспроизводить реальные сценарии
— Эмуляция ответов сервера и мок-эндпоинтов
— Работает с трафиком веба, мобильных приложений, CLI и desktop
— Поддерживает REST, JSON, XML, WebSocket и современный веб-стек
Чего ждать не стоит:
AppSec, DevSecOps, QA, быстрый ручной анализ API и клиентской логики. Отличный вариант, когда нужен прозрачный прокси, а не тяжёлый пентест-фреймворк.
#tool_of_the_week
Please open Telegram to view this post
VIEW IN TELEGRAM
🥰4🔥2
Эти термины часто путают — и именно на этом ломается безопасность.
Почитать
#resource_drop
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
❤5👍2❤🔥1🥰1
У dYdX обнаружены вредоносные версии официальных пакетов в npm и PyPI. Через них похищались seed-фразы и устанавливался RAT с полным удалённым доступом.
Малварь опубликована от имени легитимных аккаунтов — вероятна компрометация учётных данных разработчиков. GitHub-репозиторий не затронут.
Рекомендации: изоляция систем, перевод средств на новые кошельки, ротация всех ключей и токенов.
#cve_bulletin
Please open Telegram to view this post
VIEW IN TELEGRAM
🥰2