На этом OFFZONE буду выступать с докладом, в дуэте с коллегой @Su9r3m3.
Расскажем про RAG в LLM, его архитектуру, вектора атак, разберём пару инцидентов и закончим защитой от подобного.
22 августа в AI.ZONE
с 16:50 - 17:30
Для полноты картины, рекомендую придти к 16:10 и сначала послушать доклад про атаки на RAG-пайплайны, после, не вставая с места, послушать как мы углубимся в атаки на RAG.
Готовьте свои глазки👁 , доклад будет полностью в белой теме
Расскажем про RAG в LLM, его архитектуру, вектора атак, разберём пару инцидентов и закончим защитой от подобного.
22 августа в AI.ZONE
с 16:50 - 17:30
Для полноты картины, рекомендую придти к 16:10 и сначала послушать доклад про атаки на RAG-пайплайны, после, не вставая с места, послушать как мы углубимся в атаки на RAG.
Готовьте свои глазки
Please open Telegram to view this post
VIEW IN TELEGRAM
вольтаж
На этом OFFZONE буду выступать с докладом, в дуэте с коллегой @Su9r3m3. Расскажем про RAG в LLM, его архитектуру, вектора атак, разберём пару инцидентов и закончим защитой от подобного. 22 августа в AI.ZONE с 16:50 - 17:30 Для полноты картины, рекомендую…
Нулевой в ML?
За пару дней до конфы, обязательно посмотри вводный доклад про LLM, длиною в 60 минут.
Узнаешь что модели из себя представляют, в чем трудности обучения, как много индусов надо чтобы сделать AI-ассистента и даже про базовые атаки найдёшь.
После, подписывайся на @pwnai, ведь теперь ты будешь понимать о чём Артём пишет в своих постах и использовать это!
Без его помощи этого доклада могло бы и не быть, поэтому благодарим подписочкой
#guide #ai
За пару дней до конфы, обязательно посмотри вводный доклад про LLM, длиною в 60 минут.
Узнаешь что модели из себя представляют, в чем трудности обучения, как много индусов надо чтобы сделать AI-ассистента и даже про базовые атаки найдёшь.
После, подписывайся на @pwnai, ведь теперь ты будешь понимать о чём Артём пишет в своих постах и использовать это!
Без его помощи этого доклада могло бы и не быть, поэтому благодарим подписочкой
#guide #ai
YouTube
[1hr Talk] Intro to Large Language Models
This is a 1 hour general-audience introduction to Large Language Models: the core technical component behind systems like ChatGPT, Claude, and Bard. What they are, where they are headed, comparisons and analogies to present-day operating systems, and some…
Вот и закончился ®️
Эмоции испытаны, не весь мерч выигран, с @Su9r3m3 рассказал доклад и лишь тёплая грусть от окончания похождений осталась
Считаю этот доклад моим лучшим выступлением за всё время. На сцене ощущал себя как дома, поэтому обязательно буду подаваться с докладом вновь и вновь.
Спасибо, что слушал, пытался понять, смеялся и конечно же хлопал в конце!⚡️
За это, и не только, прикладываю презу доклада и ссылку на запись.
смотреть доклад
смотреть доклад
смотреть доклад
Эмоции испытаны, не весь мерч выигран, с @Su9r3m3 рассказал доклад и лишь тёплая грусть от окончания похождений осталась
Считаю этот доклад моим лучшим выступлением за всё время. На сцене ощущал себя как дома, поэтому обязательно буду подаваться с докладом вновь и вновь.
Спасибо, что слушал, пытался понять, смеялся и конечно же хлопал в конце!
За это, и не только, прикладываю презу доклада и ссылку на запись.
смотреть доклад
смотреть доклад
смотреть доклад
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
❤🔥17👏4
Media is too big
VIEW IN TELEGRAM
Гляди, выложили запись нашего доклада тRAGедия LLM по атакам на RAG ☄️
upd: ссылка на ютуб
#ai #research #talk
upd: ссылка на ютуб
#ai #research #talk
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥7❤🔥1
В прошедший вторник посетил ядерный МИФИ ☢ и лекцию по PWN в его стенах
Помимо зубодробительной бинарщины, подметил интересный приём Паши по ответу на вечный вопрос "надо ли повторить?"
Вместо:
Паша спрашивает:
И этот мелкий сдвиг с "я тупой и не понял" в "ого, я умный, я понял", как никак лучше отвечает на вопрос "нужно ли повторить?"
Почему важно?
Студенты не хотят признавать "я тупой и не понял". Преподавателю же надо понимать, может ли он двигаться дальше по теме, иначе вся лекция будет бессмысленной.
Поэтому, спрашиваем, когда не понятно, признаём непонимание и становимся сильнее🤬
#teach
Помимо зубодробительной бинарщины, подметил интересный приём Паши по ответу на вечный вопрос "надо ли повторить?"
Вместо:
Все всё поняли? Поднимите руку, кто не понял
Паша спрашивает:
Понятно? Кто понял, поднимите руку
И этот мелкий сдвиг с "я тупой и не понял" в "ого, я умный, я понял", как никак лучше отвечает на вопрос "нужно ли повторить?"
Почему важно?
Студенты не хотят признавать "я тупой и не понял". Преподавателю же надо понимать, может ли он двигаться дальше по теме, иначе вся лекция будет бессмысленной.
Поэтому, спрашиваем, когда не понятно, признаём непонимание и становимся сильнее
#teach
Please open Telegram to view this post
VIEW IN TELEGRAM
💯11💅7
https://0xdf.gitlab.io/cheatsheets/404
Помимо скриншотов, приведены примеры кода, триггерящие ошибку
#web #server_side #tricks
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥18❤🔥3
В позапрошлую субботу, посетил лекцию "Как вырасти до мирового уровня" от Alisa Esage, что побеждала в pwn2own, находила 0day как в гипервизорах, так и в браузерном V8.
Знаю, тебе не интересно слушать "как прошла лекция", поэтому давай сразу к полезным для меня мыслям ::
0) В pwn2own, за всё время, участвовало преступно мало русских - всего 2 (надо исправлять)
1) Нельзя и невозможно быть уверенным, что лишь определенные части системы ведут к уязвимости.
Когда Алиса подавалась в журнал Phrack, редакторы заметили утверждение
и отметили
К примеру, изучая MS-EFSR abuse (PetitPotam), заметил, что уязвимость, изначально воспринималась только как локальное повышение привилегий, пока какой-то ресерчер не нашел путь до удаленной эксплуатации.
2) Необязательно быть пывнером бинарным, чтобы участвовать в pwn2own.
Как оказалось, ZDI (организаторы pwn2own), принимают не только сумасшедшие побеги из песочницы и RCE, но и понятые для веберов уязвимости.
К примеру, тут, ресерчеры из CrowdStrike, описывают как пробивали Cisco роутер через веб, параллельно читая исходники. Чем ты хуже?
3) Контекст важнее окружения.
Во время лекции задал вопрос
На что получил ответ
4) Fuzzing is not a god.
Если бы фаззинг мог найти всё, то почему кластеры Google с сотнями машин ещё не истребили все CVE в опенсурсе?
Потому что важно, куда этот фаззер запускается. Про то, как фаззить осознанно, у Алисы тоже есть лекция - Fuzzing with First Principles
5) В ББ / соревнованиях с призовыми, мы продаём свои уязвимости (продукт), нежели пытаемся чето-то заработать по нашей часовой ставке (сервис)
Мелкий сдвиг в майндсете, но самоощущение меняется. Это не мне кидают выплату, а я даю площадкам возможность купить мой продукт.
Конечно, в этом утверждение есть много нюансов, но основная мысль
Почему это мысль важна для меня?
Уже, почти как год, активно слушаю подкаст Founders, где автор изучает биографии отличительных изобретателей, предпринимателей и ремесленников.
Каждый из них делал свой продукт, в том, или ином виде. Kobe Bryant и Tiger Woods продавали свои победы. Ettore Bugatti и James Dyson продавали свои изобретения.
Слушая их истории, мне хотелось тоже начать создавать продукт, но не было и малейшего желания распыляться от увлечения пентестом.
Как оказалось, всё это время, я неосознанно, делал, улучшал и разрушал свои навыки создания продукта в виде уязвимости или эксплоита.
Мои навыки - это и есть фундамент продукта, который так долго искал⭐️
#mindops
Знаю, тебе не интересно слушать "как прошла лекция", поэтому давай сразу к полезным для меня мыслям ::
0) В pwn2own, за всё время, участвовало преступно мало русских - всего 2 (надо исправлять)
1) Нельзя и невозможно быть уверенным, что лишь определенные части системы ведут к уязвимости.
Когда Алиса подавалась в журнал Phrack, редакторы заметили утверждение
уязвимость будет актуальна только для X платформы
и отметили
нельзя быть уверенным в этом, ведь скорее это твой майндсет позволил найти такой путь, нежели то, что он только один.
К примеру, изучая MS-EFSR abuse (PetitPotam), заметил, что уязвимость, изначально воспринималась только как локальное повышение привилегий, пока какой-то ресерчер не нашел путь до удаленной эксплуатации.
2) Необязательно быть пывнером бинарным, чтобы участвовать в pwn2own.
Как оказалось, ZDI (организаторы pwn2own), принимают не только сумасшедшие побеги из песочницы и RCE, но и понятые для веберов уязвимости.
К примеру, тут, ресерчеры из CrowdStrike, описывают как пробивали Cisco роутер через веб, параллельно читая исходники. Чем ты хуже?
3) Контекст важнее окружения.
Во время лекции задал вопрос
важны ли окружающие люди, или достаточно внутреннего огня?
На что получил ответ
Люди не важны. Важен контекст, которым ты себя окружаешь. Не зацикливайся только на контексте СНГ, иди почитай X или тот же Phrack. Погрузись в мировой контекст. Посмотри, что происходит за пределами RU тг-каналов.
4) Fuzzing is not a god.
Если бы фаззинг мог найти всё, то почему кластеры Google с сотнями машин ещё не истребили все CVE в опенсурсе?
Потому что важно, куда этот фаззер запускается. Про то, как фаззить осознанно, у Алисы тоже есть лекция - Fuzzing with First Principles
5) В ББ / соревнованиях с призовыми, мы продаём свои уязвимости (продукт), нежели пытаемся чето-то заработать по нашей часовой ставке (сервис)
Мелкий сдвиг в майндсете, но самоощущение меняется. Это не мне кидают выплату, а я даю площадкам возможность купить мой продукт.
Конечно, в этом утверждение есть много нюансов, но основная мысль
Обучаясь новым скиллам и техникам, я улучшаю продукт и соотвественно его ценность
Почему это мысль важна для меня?
Уже, почти как год, активно слушаю подкаст Founders, где автор изучает биографии отличительных изобретателей, предпринимателей и ремесленников.
Каждый из них делал свой продукт, в том, или ином виде. Kobe Bryant и Tiger Woods продавали свои победы. Ettore Bugatti и James Dyson продавали свои изобретения.
Слушая их истории, мне хотелось тоже начать создавать продукт, но не было и малейшего желания распыляться от увлечения пентестом.
Как оказалось, всё это время, я неосознанно, делал, улучшал и разрушал свои навыки создания продукта в виде уязвимости или эксплоита.
Мои навыки - это и есть фундамент продукта, который так долго искал
#mindops
Please open Telegram to view this post
VIEW IN TELEGRAM
❤🔥13🔥5
Forwarded from Alisa Esage Шевченко 🌺🦋💻
Цитата «Люди не важны» резанула сознание (я по-другому сказала в лекции).
В англоязычной культуре саморазвития популярен такой постулат: «Ты есть среднее от десяти людей, с которыми регулярно взаимодействуешь». Но это и есть контекст. Значит, люди все-таки важны для профессионального развития, но как бы не индивидуально-личностно. Важна культура.
А почему зацепило - близкие и лояльные люди, это самая большая ценность на свете.
https://news.1rj.ru/str/alisaesage/216
В англоязычной культуре саморазвития популярен такой постулат: «Ты есть среднее от десяти людей, с которыми регулярно взаимодействуешь». Но это и есть контекст. Значит, люди все-таки важны для профессионального развития, но как бы не индивидуально-личностно. Важна культура.
А почему зацепило - близкие и лояльные люди, это самая большая ценность на свете.
https://news.1rj.ru/str/alisaesage/216
Telegram
Alisa 🌺🦋💻
В позапрошлую субботу, посетил лекцию "Как вырасти до мирового уровня" от Alisa Esage, что побеждала в pwn2own, находила 0day как в гипервизорах, так и в браузерном V8.
Знаю, тебе не интересно слушать "как прошла лекция", поэтому давай сразу к полезным для…
Знаю, тебе не интересно слушать "как прошла лекция", поэтому давай сразу к полезным для…
🤮5🔥3
Сколько тг-каналов, твиттеров и прочего шума ты пролистываешь в день, чтобы оставаться "в теме"?
У меня это число выходит за десятки, совместно с этим разбивая флоу работы и уводя в чаты, где просиживаю часы. Пару дней в таком режиме и уже будто сгорел.
Представь, как было бы круто иметь единую ленту постов от ai-powered дворецкого, который бы
- сам исследовал тему
- собирал бы посты с любимых каналов
- делал базовый fact check
- отфильтровывал бы мемы и оффтоп
- оставляя только самый сок
Представил?
Это я и хочу сделать совместно с другом ML-щиком из Yandex Cloud.
А пока, записывайся на закрытую бэтку. Планируем сделать её в виде тг-бота / тг mini app
upd: проект закрылся т.к. проблема оказалась глубже чем думали. пиши в лс, если интересно подробнее
#invite
У меня это число выходит за десятки, совместно с этим разбивая флоу работы и уводя в чаты, где просиживаю часы. Пару дней в таком режиме и уже будто сгорел.
Представь, как было бы круто иметь единую ленту постов от ai-powered дворецкого, который бы
- сам исследовал тему
- собирал бы посты с любимых каналов
- делал базовый fact check
- отфильтровывал бы мемы и оффтоп
- оставляя только самый сок
Представил?
Это я и хочу сделать совместно с другом ML-щиком из Yandex Cloud.
А пока, записывайся на закрытую бэтку. Планируем сделать её в виде тг-бота / тг mini app
upd: проект закрылся т.к. проблема оказалась глубже чем думали. пиши в лс, если интересно подробнее
#invite
🔥5
с наступающим / наступившим / отступившим / отступающим новым годом 🎄
желаю, чтобы в новом году
- меньше отвлекался
- чаще делал так, как считаешь нужным
- выбирал простое и рабочее решение, вместо сложного, но идеального
- больше ходил в зал
а что дальше?
ебашим дальше 😤
желаю, чтобы в новом году
- меньше отвлекался
- чаще делал так, как считаешь нужным
- выбирал простое и рабочее решение, вместо сложного, но идеального
- больше ходил в зал
а что дальше?
❤🔥12🔥4
💅6❤🔥2
Forwarded from Pentest Notes
This media is not supported in your browser
VIEW IN TELEGRAM
Подготовил для вас самый большой на данный момент гайд по тестированию CMS Bitrix. 😈
➡️ Причем, в статье я не только показал все существующие на данный момент известные методы и техники поиска уязвимостей в битриксе, но и поделился своими уникальными наработками. Включая атаки на кастомные модули и анонс собственного сканера под CMS Bitrix.
➡️ Также добавил материалы по структуре модулей и матчасть по самому Битриксу. Даже если вы только знакомитесь с этой CMS, после прочтения точно что-нибудь найдете)🥤
Ссылка на статью
💫 @pentestnotes | #pentest #bitrix
Ссылка на статью
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥7❤🔥2