БЕСПИЛОТНЫЙ RED TEAMING

ребята из dreadnode решили сыграть сами с собой в «красные vs синие», но на стероидах из llm.
https://dreadnode.io/blog/llm-powered-amsi-provider-vs-red-team-agent

с одной стороны — защитник:
кастомный amsi-провайдер под windows, который вместо сигнатур шлёт powershell-код в llm (claude sonnet) и получает вердикт: clean / suspicious / malicious.

с другой — атакующий агент:
llm, которому дают задачу
«подними привилегии до SYSTEM через уязвимую WinSysPerf и создай C:\proof_success.txt».
агент генерит ps-эксплойт, гоняет его через UnmanagedPowerShell (amsi всё видит), смотрит вывод, ошибку «blocked by antivirus» и по кругу дорабатывает атаку.

вся рубка идёт в песочнице, но каждый шаг пишется в лог: какой скрипт, какая цель, что сказал amsi-llm, сработал ли эксплойт, есть ли proof-файл и кто его владелец. на выходе — живой датасет реальных ofenssive-цепочек, а не архив powersploit’а.

как работает llm-amsi

очень коротко:
powershell → AmsiScanBuffer()
→ наш AMSI DLL
→ Read() вытаскивает скрипт
→ запрос в LLM "оценить скрипт"
→ ответ: clean / suspicious / malicious
→ маппинг в AMSI_RESULT_*
→ либо выполняем, либо рубим "blocked by antivirus"

если скрипт жирный — режут на куски, каждый отдельно гоняют в llm, один malicious → режем всё.

как работает red team агент

goal ("SYSTEM + C:\proof_success.txt")
→ LLM пишет ps-код
→ UnmanagedPowerShell.Invoke()
→ AMSI+LLM либо пускает, либо блочит
→ агент смотрит stdout/ошибки
→ verifier проверяет proof-файл и владельца
→ до 10 итераций, финал — TASK_COMPLETE

первые попытки — тупой service binPath hijack → llm-amsi валит. дальше агент начинает «играть белого админа»: отдельно смотрит статус сервиса, собирает WMI, аккуратно крутит sc.exe config, net stop/start, проверяет Test-Path. часть такого кода amsi считает чистым, часть подозрительным, иногда промахивается. но в итоге агент выбивает SYSTEM и оставляет аккуратный SUCCESS в C:\proof_success.txt.

зачем это всё

на каждый скрипт есть:
- код powershell
- цель
- факт успеха / неуспеха
- вердикт и причина от защитного llm

это уже материал, из которого можно:
- учить свои модели,
- строить правила для edr,
- тестировать продуктовые гипотезы «что llm-amsi делает под реальной атакой».

что говорить, данный подход я уже реализовал в моём проекте Ледокол ОС. еще в сентябре.

но как вы можете сами наблюдать на рынке ИБ, то вендоров и заказчиков интересует весёленький распил субсидиарного бабла по лекалам 44-ФЗ. а на безопасность им просто похуй :)

Beyond Single-Agent Safety: A Taxonomy of Risks in LLM-to-LLM Interactions

https://arxiv.org/html/2512.02682v1

🤖 Роботы GITAI самостоятельно и собрали 5-метровую конструкцию - фундамент будущих внеземных модулей.

Это пример того, как связка ИИ + робототехника начинает давать тот самый технологический скачок, на который долго рассчитывали: автономные системы, способные строить инфраструктуру без участия человека, открывают путь к базам на Луне, Марсе и орбите.


@ai_machinelearning_big_data

#robotics #AI #automation #spacetech #GITAI

Ребята из AI Factory сделали большую карту российских ИИ-компаний.
Я потыкался, карта хорошая. Люблю такие карты. И табличка удобная есть.

Можно увидеть что рынок на удивление очень живой и богатый. Одних агрегаторов нейросетей 14 штук, я из них знал три штуки.

Всем молодым компаниям в ИИ удачи в это нелёгкое время. Из таблички 80% компаний умрут 🥲 Но на молодых компаниях всё держится – на ошибках всех этих идей и подходах построится понимание что же на самом деле надо было делать.

p.s. пост не купленный, я ребят вообще не знаю, и рекламу не даю

https://incrussia.ru/specials/karta-rossijskogo-ii-2-0/

#MLSecOps
#Offensive_security
"Multi-Faceted Attack: Exposing Cross-Model Vulnerabilities in Defense-Equipped Vision-Language Models", Nov. 2025.

// Multi-Faceted Attack (MFA) - framework that systematically uncovers general safety vulnerabilities in leading defense-equipped VLMs, including GPT-4o, Gemini-Pro, and LlaMA 4, etc. Central to MFA is the Attention-Transfer Attack, which conceals harmful instructions inside a meta task with competing objectives. We offer a theoretical perspective grounded in reward-hacking to explain why such an attack can succeed

фазы атак на ии

OWASP + Microsoft - https://atlas.mitre.org/matrices/ATLAS
Zenity - https://ttps.ai
Nvidia - https://developer.nvidia.com/blog/modeling-attacks-on-ai-powered-apps-with-the-ai-kill-chain-framework
Hiddenlayer - https://hiddenlayer.com/innovation-hub/introducing-a-taxonomy-of-adversarial-prompt-engineering

#AIOps
#CogSec
#MLSecOps
"Cognitive Control Architecture (CCA): A Lifecycle Supervision Framework for Robustly Aligned AI Agents", Dec.2025.

// Method is predicated on a core insight: no matter how subtle an IPI attack, its pursuit of a malicious objective will ultimately manifest as a detectable deviation in the action trajectory, distinct from the expected legitimate plan

See also:
]-> Dynamic Environment to Evaluate Prompt Injection Attacks and Defenses for LLM Agents
]-> https://agentdojo.spylab.ai

Большой релиз OWASP Top 10 for Agentic AI Applications 🔥.

Последние месяцы мы в команде Agentic Security Initiative собирали первый отраслевой фреймворк по безопасности агентных ИИ-систем. Над документом работали более 100 человек: ресерчеры, вендоры, представители регуляторов и институтов вроде NIST и Linux Foundation.

Мы приоритизировали риски и собрали практические меры защиты для автономных агентов, которые уже заходят в корпоративную инфраструктуру. Если вы строите AI Security-стратегию на 2026 год, из OWASP в первую очередь стоит взять именно этот документ за основу.

Ссылка на релиз.
Сегодня в 17:00 по Москве официальный запуск гайда. Ссылка на трансляцию.

У Anthropic вышло очень интересное видео на тему универсальных агентов (general-purpose agents), которое у меня максимально отзывается. Основной посыл - не нужно делать специализированных агентов, нужно делать одного качественного универсального, а его уже кастомизировать под свои задачи

Само видео (16 минут) и короткая статья по нему от businessinsider

Инженеры из Anthropic предлагают вместо набора агентов использовать скилы для агента, который изначально создан для написания кода (Claude Code). Дальше они говорят, что skills будут использовать не только инженеры, но и нетехнические специалисты - врачи, менеджеры, трейдеры и тд, которые будут кастомизировать этого агента под себя

По их логике, один general-purpose агент + библиотека skills становится “универсальной основой” для множества задач — без зоопарка спецагентов

Иными словами, такой агент - универсальный интерфейс к миру

А вот с тем, что CLI-агент подходит нетехническим специалистам, я не согласен… Все-таки инструмент достаточно специфичный. Мне кажется, что будущее действительно за универсальными агентами, но не совсем такими.
Для работы будут использоваться агенты, которые выглядят как чатовый интерфейс (как ChatGPT)

Примерно год назад наша команда загорелась идеей универсального агента GigaAgent, которого недавно представили на AIJ. Уже довольно много коллег разработчиков мне отписалось о тестировании, на AIJ и Conversations заинтересовались компании. Здесь могу только порадоваться, напомнить ставить звездочки нашему опенсорс-агенту и присылать PR :) Круто, что большие игроки тоже увидели будущее в этом подходе!

P.S. У нас большое обновление в dev ветке - MCP, RAG, долговременная память

Gartner предупредила о киберрисках при использовании ИИ-браузеров

Gartner выпустила рекомендацию для организаций по блокировке агентских ИИ-браузеров. Речь о продуктах вроде Comet от Perplexity и ChatGPT Atlas от OpenAI. Причина - высокие киберриски для корпоративных данных.

Документ называется "Кибербезопасность должна пока блокировать браузеры с ИИ". Его подготовили вице-президент по исследованиям Деннис Сюй, старший директор-аналитик Евгений Миролюбов и вице-президент-аналитик Джон Уоттс. Главная претензия - настройки по умолчанию ставят удобство выше безопасности.

https://mltimes.ai/gartner-predupredila-o-kiberriskah-pri-ispolzovanii-ii-brauzerov/