Forwarded from Пост Лукацкого
Из серии "Не забыть"...
🧠 Европейский стандарт по безопасности ИИ "Securing Artificial Intelligence (SAI); Baseline Cyber Security Requirements for AI Models and Systems" от ETSI описывает 13 принципов безопасности ИИ на 5 стадиях жизненного цикла - от проектирования и разработки систем с ИИ до внедрения, поддержки и вывода из эксплуатации. Оооочень высокоуровневый стандарт, описывающий, ЧТО надо делать.
🧠 Более детальное, на 300+ страниц, руководство по защите ИИ от OWASP (проект AI Exchange). Выделенная в отдельный домен, это точка входа в тему, начиная от моделей угроз для разных типов ИИ-систем и заканчивая темой культурологических и религиозных ограничений и нюансов применения ИИ. В отличие от стандарта ETSI также содержит два выделенных блока рекомендаций "КАК делать" применительно к тестированию защищенности ИИ-решений и вопросам приватности при использовании ИИ.
#ии #bestpractice
#ии #bestpractice
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥2
Forwarded from Пост Лукацкого
Для любителей математики, теории игр и стратегии в ИБ подоспело исследование "Cybersecurity AI: A Game-Theoretic AI for Guiding Attack and Defense" ✍️ , авторы которого пытаются ответить на болезненный вопрос – почему ИИ в кибербезопасности умеет выполнять тысячи действий в час (сканируют, находят уязвимости, разбирают логи, строят гипотезы и т.п.), но все еще часто действует "в лоб", без стратегии, блуждая по пространству действий, тратя время и токены, действуя нестабильно и непоследовательно, плохо понимая, какие шаги реально стратегически важны? И можно ли это исправить? 🤔
Исследование предлагает конкретный ответ – добавить к LLM не новые знания об атаках и уязвимостях, а слой стратегического мышления на основе теории игр и равновесий Нэша⚖️ В центре – механизм Generative Cut-The-Rope (G-CTR):
6️⃣ LLM анализирует логи по результатам пентеста и строит граф атак.
2️⃣ Поверх этого графа считается игра "атакующий–защитник".
3️⃣ Вычисляется равновесие Нэша:
🌟 какие пути атакующему выгодны,
🌟 где защита наиболее эффективна,
🌟 где "бутылочные горлышки".
4️⃣ Результат сжимается в короткий дайджест, этакую мини-стратегию.
5️⃣ Этот дайджест возвращается в виде промпта LLM-агента, который начинает направлять его действия 📇
Исследование закрывает сразу несколько существовавших пробелов:🤖
➡️ ИИ-пентесты умеют работать быстро, но генерируют хаотичные логи.
➡️ Теория игр (CTR-модель) умеет считать оптимальные стратегии, но требует вручную построенных графов атак.
➡️ Здесь впервые:
🌟 графы атак генерируются автоматически из логов,
🌟 на них считаются равновесия Нэша,
🌟 и результаты используются в реальном времени для управления агентом 🤖
Из полученных результатов получается, что скорость работы в 60–245 раз быстрее🔜 , чем вручную, а стоимость более чем в 140 раз ниже, чем экспертная разметка логов. Обычная LLM, выполнявшая поставленную задачу, имела эффективность на уровне 20%, а согласно предложенному подходу – уже 42,9%. Стоимость успешной "атаки" снижена в 2,7 раза, вариативность поведения агента снижена в 5,2 раза ↗️
Такой эффект достигается за счет того, что:
💡 уменьшается неопределенность,
💡 резко сокращается пространство возможностей LLM,
💡 подавляются галлюцинации,
💡 агент "держится" ближе к реально важным узлам и ключевым системам в процессе атаки 😂
Важно помнить, что равновесие Нэша – это все-таки математическая модель, в которой предполагается, что "игроки" действуют рационально (где вы видели рациональных ИБшников?), обладают полной информацией о возможностях других (наличие Zero Day не укладывается в схему), делают "лучший" выбор (ага, щаз)😔 В реальности (и особенно в кибербезопасности) эти условия почти никогда не выполняются. Но улучшить эффективность работы тех же BAS с помощью описанного метода можно. Надо парням в PT Dephaze отправить ссылку 🤔
#ии #наука #математика
Исследование предлагает конкретный ответ – добавить к LLM не новые знания об атаках и уязвимостях, а слой стратегического мышления на основе теории игр и равновесий Нэша
Исследование закрывает сразу несколько существовавших пробелов:
Из полученных результатов получается, что скорость работы в 60–245 раз быстрее
Такой эффект достигается за счет того, что:
Важно помнить, что равновесие Нэша – это все-таки математическая модель, в которой предполагается, что "игроки" действуют рационально (где вы видели рациональных ИБшников?), обладают полной информацией о возможностях других (наличие Zero Day не укладывается в схему), делают "лучший" выбор (ага, щаз)
#ии #наука #математика
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥1
Forwarded from Ethical Machines
7 февраля пройдет T-Sync Conf — классная и правда необычная конференция. Здесь можно будет лично познакомиться с ребятами, которые делают разные продукты в T, и заглянуть на стенд LLM Platform, где вас ждет много интересного (на картинке, кстати, структура наших продуктов) 👀
Что можно будет сделать на стенде:
🟣 узнать у техлида платформы Паши, как устроены интеграции между продуктами
🟣 расспросить продакт-лида платформы Лешу про подходы к этапам разработки
🟣 обсудить с продактом RAG-платформы Пашей SOTA подходы в RAG
🟣 наконец, разобраться, что такое MCP, и узнать у продакта ARP Дениса, а как наши юзеры их применяют
🟣 и поболтать со мной о том, как сейчас строят Observability вокруг AI-продуктов, и как это делаем мы, и что происходит в треке LLM Security
Почему конференция необычная? Потому что никаких классических докладов. Только стенды, только демо и только живое общение
Кроме стенда LLM-Platform будет еще много всего интересного, а также возможность поучаствовать в хакатоне
Так что регистрируйтесь, и увидимся с вами 7 февраля в 11 💅
Что можно будет сделать на стенде:
Почему конференция необычная? Потому что никаких классических докладов. Только стенды, только демо и только живое общение
Кроме стенда LLM-Platform будет еще много всего интересного, а также возможность поучаствовать в хакатоне
Так что регистрируйтесь, и увидимся с вами 7 февраля в 11 💅
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from GitHub Community
Agentset — это платформа с открытым исходным кодом для создания, оценки и выпуска готовых к использованию RAG- и агентных приложений.
Она предоставляет комплексные инструменты: прием данных, векторное индексирование, оценку/тестирование, чат-платформу, хостинг и удобный для разработчиков API.
🐱 GitHub
Она предоставляет комплексные инструменты: прием данных, векторное индексирование, оценку/тестирование, чат-платформу, хостинг и удобный для разработчиков API.
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from Standoff 365
Спасибо всем, кто поделился ими. Вы крутые!
Мы собрали ваши ссылки, и получилась папка с полезным контентом, который всегда будет под рукой. В ней 68 каналов и более 140 000 подписчиков! Это суперпространство для находок
Сохраняйте, отправляйте другу и ищите вдохновение! Здесь его точно много
Кого случайно пропустили — пишите в комментарии, и мы дополним список.
Увеличиваем шансы на поиск крита и создаем сильное комьюнити
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from Хакер | Red Team
Red Team AI Pentest Operator (2025)
Главная идея курса — ИИ — это оркестр, а ты — дирижёр и оператор.
Мы соберём мощную лабораторию на основе LLM для пентеста — без цензуры, с боевыми навыками и полным контролем.
Только реально работающие техники применения ИИ в Red Team и пентесте.
☑️ Смотреть бесплатно
Хакер | Red Team 🧸 @Red_Team_hacker
Главная идея курса — ИИ — это оркестр, а ты — дирижёр и оператор.
Мы соберём мощную лабораторию на основе LLM для пентеста — без цензуры, с боевыми навыками и полным контролем.
Только реально работающие техники применения ИИ в Red Team и пентесте.
Программа курса
• Прокачиваем ChatGPT в реального напарника-пентестера
• Без ограничений. Пишем POC, генерируем payload’ы, проводим анализ, общаемся в стиле "старика" — живо, без занудства.
• Топ-10 методов атак на LLM
• Только реально работающие техники, которые проломят любую нейросеть.
• Разбираем блок Shadow Attention
• Понимаем, как работает цензура внутри LLM — и как её обойти.
• Создаём ChatGPT-взломщика других LLM
• Автоматический подбор промтов, обфускация через Zero-Width Characters, логическая переформулировка для обхода фильтров.
• Memory Infection Attack
• Перманентный jailbreak через заражение памяти, который невозможно пофиксить.
• Агенты других LLM в пентесте
• Дрессируем GPT-4.1 работать как POC-генератор без выкрутасов.
• Работаем с Claude MCP
• Доступ к командной строке через LLM — с возможностью обойти OpenAI-ограничения.
• Replit как конвейер пентеста
• Автоматизация создания скриптов, POC, тестов уязвимостей.
• Пентест сайта через Deep Research ChatGPT
• Фокус на реальный хакинг, поиск слабых мест без догадок.
• Decloak сайтов: находим реальный IP
• Автоматизация анализа через crt.sh, ZoomEye, FOFA, Censys, Shodan и другие.
• Создание пентест-макросов внутри ChatGPT
• Используем долгосрочную память для автоматизации рутинных задач.
• Боевой набор для лаборатории
• Настроим Acunetix, Invicti, HCL AppScan, Sn1per, OpenVAS, Metasploit PRO и другие. (Софт входит в комплект.)
• Burp Bounty Pro в деле
• Находим то, что другие сканеры упустили.
• LLM + Социальная инженерия
• Выигрываем любую дискуссию в комментах — тонко, стильно, по делу.
• Автоматизация социальной инженерии
• Через плагины Chrome/Firefox.
• WSL для пентеста
• Настроим полноценную боевую машину на Windows с GUI через X11.
• Мастер-класс по Domain OSINT
• Пробиваем домены вглубь и вширь.
• Интеграция утилит в DefectDojo
• Собираем все результаты в одну систему для красивых и мощных отчётов.
• Монетизация навыков
• Фриланс, Bug Bounty, консалтинг — куда применить знания, чтобы зарабатывать.
• Создание отчётов для Bug Bounty
• Научимся делать их так, чтобы заказчики ставили лайки и платили бонусы.
Бонус:
• В подарок к курсу идёт мой базовый курс Основы Web Application Pentest, чтобы у тебя было прочное основание.
• Формат - видео уроки + . md почитать.
• Имеет применение не только в пентесте.
• Наверное это логическое продолжение моего курса "Архитектор GPT" который вышел на заре Chatgpt и многие познакомились ИИ благодаря мне тогда
• Это же уже наверное про создание персонального ассистента - помощника в любой сфере и профессии.
☑️ Смотреть бесплатно
Хакер | Red Team 🧸 @Red_Team_hacker
Telegram
Red Team AI Pentest Operator (2025)
Научимся перемять ИИ для Red Team и хакинга. Мы соберём мощную лабораторию на основе LLM для пентеста — без цензуры, с боевыми навыками и полным контролем.
🔥3
Forwarded from T2F News | Новости ИИ и техно-трендов
🤖🛡️ Стартап Witness AI разрабатывает систему для защиты от несанкционированного использования искусственного интеллекта сотрудниками. Она обнаруживает запрещённые инструменты, блокирует атаки и помогает соблюдать правила безопасности. Проблема rogue agents и теневого ИИ становится всё более актуальной, поэтому венчурные инвесторы активно вкладываются в технологии AI-безопасности.
Подробнее
☝️ T2F News | ✍️ Канал про AI
Подробнее
☝️ T2F News | ✍️ Канал про AI
TechCrunch
Rogue agents and shadow AI: Why VCs are betting big on AI security | TechCrunch
Misaligned agents are just one layer of the AI security challenge that startup Witness AI is trying to solve. It detects employee use of unapproved tools, blocks attacks, and ensures compliance.
👏1
Forwarded from AISecHub
AI-Spotter
Detect AI service usage in repositories - scans code, dependencies, and configs
https://github.com/suchithnarayan/ai-spotter
Detect AI service usage in repositories - scans code, dependencies, and configs
https://github.com/suchithnarayan/ai-spotter
GitHub
GitHub - suchithnarayan/ai-spotter: 🔍 Detect AI service usage in repositories - scans code, dependencies, and configs
🔍 Detect AI service usage in repositories - scans code, dependencies, and configs - suchithnarayan/ai-spotter
Forwarded from AISecHub
Syd - Offline Penetration Testing Assistant - github.com/Sydsec/syd
Syd is an air-gapped penetration testing assistant that analyzes scan outputs using local LLMs and retrieval-augmented generation. It runs entirely on your laptop without requiring internet connectivity or API keys.
Syd parses technical scan outputs (Nmap, BloodHound, Volatility) and answers questions in plain English. Instead of manually reviewing hundreds of pages of results, you can ask specific questions and get evidence-based answers grounded in your actual scan data
Syd is an air-gapped penetration testing assistant that analyzes scan outputs using local LLMs and retrieval-augmented generation. It runs entirely on your laptop without requiring internet connectivity or API keys.
Syd parses technical scan outputs (Nmap, BloodHound, Volatility) and answers questions in plain English. Instead of manually reviewing hundreds of pages of results, you can ask specific questions and get evidence-based answers grounded in your actual scan data
GitHub
GitHub - Sydsec/syd: Offline AI Security Assistant for Air-Gapped Pentesting
Offline AI Security Assistant for Air-Gapped Pentesting - Sydsec/syd
Forwarded from AISecHub
ZeroLeaks - https://github.com/ZeroLeaks/zeroleaks
An autonomous AI security scanner that tests LLM systems for prompt injection vulnerabilities using attack techniques.
Why ZeroLeaks?
Your system prompts contain proprietary instructions, business logic, and sensitive configurations. Attackers use prompt injection to extract this data. ZeroLeaks simulates real-world attacks to find vulnerabilities before they do.
An autonomous AI security scanner that tests LLM systems for prompt injection vulnerabilities using attack techniques.
Why ZeroLeaks?
Your system prompts contain proprietary instructions, business logic, and sensitive configurations. Attackers use prompt injection to extract this data. ZeroLeaks simulates real-world attacks to find vulnerabilities before they do.
GitHub
GitHub - ZeroLeaks/zeroleaks: AI Security Scanner - Test your AI systems for prompt injection and extraction vulnerabilities
AI Security Scanner - Test your AI systems for prompt injection and extraction vulnerabilities - ZeroLeaks/zeroleaks
Forwarded from GitHub Community
400+ бесплатных API к популярным нейросетям
Платформа ModelScope предоставляет доступ к API известных моделей, включая DeepSeek, Qwen, MiniMax и другие.
Для каждой модели доступны описание возможностей и инструкции по использованию. Сервис подходит для разработки, тестирования и экспериментов с ИИ.
Доступ бесплатный, ежедневно начисляется 100 кредитов.
Каталог моделей
🐱 GitHub
Платформа ModelScope предоставляет доступ к API известных моделей, включая DeepSeek, Qwen, MiniMax и другие.
Для каждой модели доступны описание возможностей и инструкции по использованию. Сервис подходит для разработки, тестирования и экспериментов с ИИ.
Доступ бесплатный, ежедневно начисляется 100 кредитов.
Каталог моделей
Please open Telegram to view this post
VIEW IN TELEGRAM
👍1
Forwarded from GitHub Community
Vulnhuntr использует возможности LLMS для автоматического создания и анализа целых цепочек вызовов кода, начиная с удаленного ввода пользователем и заканчивая выводом на сервер, для обнаружения сложных, многоступенчатых уязвимостей, обходящих систему безопасности, которые выходят далеко за рамки возможностей традиционных инструментов статического анализа кода.
🐱 GitHub
Please open Telegram to view this post
VIEW IN TELEGRAM