Модель ИИ - является конечным автоматом: да или нет.
Конечный автомат — это математическая абстракция, модель дискретного устройства, имеющего один вход, один выход и в каждый момент времени находящегося в одном состоянии из множества возможных. Конечный автомат (КА) имеет конечное число состояний, переходит между состояниями на основе входных символов (например, букв или слов), работает по жестко заданным правилам (детерминированно или недетерминированно), обрабатывает дискретные последовательности (например, строки).
Почему модели ИИ не являются конечными автоматами?
1) Модели ИИ работают с непрерывными векторными представлениями данных, а не с дискретными состояниями.
Входные данные (слова или символы) преобразуются в векторы (эмбеддинги).
Состояния модели (например, скрытые состояния в RNN) — это векторы в многомерном пространстве, а не конечный набор дискретных значений.
2) Отсутствуют жесткие правила переходов
Конечные автоматы переходят между состояниями по жестко заданным правилам, а в моделях ИИ: переходы между состояниями определяются обученными параметрами (например, весами нейронной сети).
и поведение модели зависит от данных, на которых она обучалась, а не от заранее заданных правил.
3) Контекст произвольной длины
Конечные автоматы ограничены конечным числом состояний и могут обрабатывать только контекст фиксированной длины. Модели ИИ, такие как трансформеры, могут учитывать контекст произвольной длины благодаря механизмам внимания (attention).
4) Обучение и адаптация
Модели ИИ обучаются на данных и могут адаптироваться к новым задачам. Конечные автоматы не обучаются — их поведение задается явно на этапе проектирования.
Когда модель ИИ может быть похожа на конечный автомат?
В некоторых случаях поведение модели ИИ может быть аппроксимировано конечным автоматом, но это лишь упрощение. Например рекуррентные нейронные сети RNN могут запоминать состояния и обрабатывать последовательности, что делает их поведение отчасти похожим на конечные автоматы. Однако RNN работают с непрерывными состояниями и могут обрабатывать контекст произвольной длины.
Некоторые модели ИИ могут обучаться правилам, которые можно интерпретировать как переходы между состояниями, но это лишь частный случай.
А что с GPT (Generative Pre-trained Transformer)?
-GPT использует механизм внимания (attention) для обработки контекста произвольной длины.
-GPT работает с непрерывными векторными представлениями текста.
-GPT обучается на данных и может генерировать текст, который не может быть описан конечным набором правил.
-GPT не является конечным автоматом, так как его поведение не сводится к конечному числу состояний и жестко заданным правилам переходов.
Поэтому нет - это не КА, а иногда очень бы хотелось...
Конечный автомат — это математическая абстракция, модель дискретного устройства, имеющего один вход, один выход и в каждый момент времени находящегося в одном состоянии из множества возможных. Конечный автомат (КА) имеет конечное число состояний, переходит между состояниями на основе входных символов (например, букв или слов), работает по жестко заданным правилам (детерминированно или недетерминированно), обрабатывает дискретные последовательности (например, строки).
Почему модели ИИ не являются конечными автоматами?
1) Модели ИИ работают с непрерывными векторными представлениями данных, а не с дискретными состояниями.
Входные данные (слова или символы) преобразуются в векторы (эмбеддинги).
Состояния модели (например, скрытые состояния в RNN) — это векторы в многомерном пространстве, а не конечный набор дискретных значений.
2) Отсутствуют жесткие правила переходов
Конечные автоматы переходят между состояниями по жестко заданным правилам, а в моделях ИИ: переходы между состояниями определяются обученными параметрами (например, весами нейронной сети).
и поведение модели зависит от данных, на которых она обучалась, а не от заранее заданных правил.
3) Контекст произвольной длины
Конечные автоматы ограничены конечным числом состояний и могут обрабатывать только контекст фиксированной длины. Модели ИИ, такие как трансформеры, могут учитывать контекст произвольной длины благодаря механизмам внимания (attention).
4) Обучение и адаптация
Модели ИИ обучаются на данных и могут адаптироваться к новым задачам. Конечные автоматы не обучаются — их поведение задается явно на этапе проектирования.
Когда модель ИИ может быть похожа на конечный автомат?
В некоторых случаях поведение модели ИИ может быть аппроксимировано конечным автоматом, но это лишь упрощение. Например рекуррентные нейронные сети RNN могут запоминать состояния и обрабатывать последовательности, что делает их поведение отчасти похожим на конечные автоматы. Однако RNN работают с непрерывными состояниями и могут обрабатывать контекст произвольной длины.
Некоторые модели ИИ могут обучаться правилам, которые можно интерпретировать как переходы между состояниями, но это лишь частный случай.
А что с GPT (Generative Pre-trained Transformer)?
-GPT использует механизм внимания (attention) для обработки контекста произвольной длины.
-GPT работает с непрерывными векторными представлениями текста.
-GPT обучается на данных и может генерировать текст, который не может быть описан конечным набором правил.
-GPT не является конечным автоматом, так как его поведение не сводится к конечному числу состояний и жестко заданным правилам переходов.
Поэтому нет - это не КА, а иногда очень бы хотелось...
Confusion Attacks: Exploiting Hidden Semantic Ambiguity in Apache HTTP Server! | Orange Tsai
https://blog.orange.tw/posts/2024-08-confusion-attacks-en/
https://blog.orange.tw/posts/2024-08-confusion-attacks-en/
Orange Tsai
Confusion Attacks: Exploiting Hidden Semantic Ambiguity in Apache HTTP Server!
📌 [ 繁體中文 | English ] Hey there! This is my research on Apache HTTP Server presented at Black Hat USA 2024. Additionally, this research will also be presented at HITCON and OrangeCon. If you’re int
👍1
Forwarded from ISACARuSec
IETF Datatracker
RFC 9700: Best Current Practice for OAuth 2.0 Security
This document describes best current security practice for OAuth 2.0. It updates and extends the threat model and security advice given in RFCs 6749, 6750, and 6819 to incorporate practical experiences gathered since OAuth 2.0 was published and covers new…
🔥1
Forwarded from Банк России
🤳 Банк России утвердил стандарт безопасного использования QR-кодов для платежей и переводов
🟠 Финансовые организации и компании из других сфер, которые применяют QR-код для проведения платежей и переводов, смогут разработать на основе этого регламента внутренние меры защиты.
🟠 В документе в зависимости от видов QR-кодов систематизированы угрозы, которые могут возникнуть на каждом этапе операции. Также представлены типовые способы защиты от этих угроз. Для внесения и снятия денег в банкомате по QR-коду предусмотрены отдельные меры защиты.
Стандарт носит рекомендательный характер и вступит в силу 17 февраля.
Стандарт носит рекомендательный характер и вступит в силу 17 февраля.
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from Echelon Eyes
Databricks AI Security Framework 2.0: что нового во втором релизе фреймворка?
Databricks выпустили Databricks AI Security Framework (DASF) v2.0 – второй релиз своего фреймворка для безопасности конвейера разработки приложений с моделями машинного обучения (MlSecOps).
DASF 2.0 призван помочь организациям, которые активно внедряют инновации в области ИИ и при этом не хотят стать более уязвимыми перед рисками безопасности и конфиденциальности.
Изменения в DASF 2.0:
1️⃣ Релиз приведен в соответствие с нормативным стандартам типа GDRP (Общим регламентом по защите данных Евросоюза) и CCPA (Законом о защите прав потребителей Калифорнии).
2️⃣ Описаны 62 риска безопасности любой системы ИИ.
3️⃣ Риски сопоставлены с общими структурами безопасности ИИ.
4️⃣ Даны рекомендации по 64 элементам управления, которые применимы к любой платформе данных и ИИ.
5️⃣ Расширено сопоставление с известными фреймворками и стандартами рисков ИИ – MITRE ATLAS , OWASP LLM & ML Top 10, NIST 800-53, NIST CSF, HITRUST, ENISA's Securing ML Algorithms, ISO 42001, ISO 27001:2022.
6️⃣ Появился AI-ассистент.
7️⃣ Добавлена версия фреймворка в xlsx.
8️⃣ Доступен бесплатный часовой курс по обращению с фреймворком и обучающие ролики.
Источник: https://www.databricks.com/resources/whitepaper/databricks-ai-security-framework-dasf
#ИИ #ИБ
Databricks выпустили Databricks AI Security Framework (DASF) v2.0 – второй релиз своего фреймворка для безопасности конвейера разработки приложений с моделями машинного обучения (MlSecOps).
DASF 2.0 призван помочь организациям, которые активно внедряют инновации в области ИИ и при этом не хотят стать более уязвимыми перед рисками безопасности и конфиденциальности.
Изменения в DASF 2.0:
1️⃣ Релиз приведен в соответствие с нормативным стандартам типа GDRP (Общим регламентом по защите данных Евросоюза) и CCPA (Законом о защите прав потребителей Калифорнии).
2️⃣ Описаны 62 риска безопасности любой системы ИИ.
3️⃣ Риски сопоставлены с общими структурами безопасности ИИ.
4️⃣ Даны рекомендации по 64 элементам управления, которые применимы к любой платформе данных и ИИ.
5️⃣ Расширено сопоставление с известными фреймворками и стандартами рисков ИИ – MITRE ATLAS , OWASP LLM & ML Top 10, NIST 800-53, NIST CSF, HITRUST, ENISA's Securing ML Algorithms, ISO 42001, ISO 27001:2022.
6️⃣ Появился AI-ассистент.
7️⃣ Добавлена версия фреймворка в xlsx.
8️⃣ Доступен бесплатный часовой курс по обращению с фреймворком и обучающие ролики.
Источник: https://www.databricks.com/resources/whitepaper/databricks-ai-security-framework-dasf
#ИИ #ИБ
Гении ошибались 40 лет: студент случайно открыл новый способ хранения данных
https://www.securitylab.ru/news/556413.php
https://www.securitylab.ru/news/556413.php
SecurityLab.ru
Гении ошибались 40 лет: студент случайно открыл новый способ хранения данных
Фундаментальная проблема хеш-таблиц получила неожиданное решение.
Forwarded from offsec notes
Keycloak pentest
Articles
Part 1 - Link
Part2 - Link
Tools
Keycloak security scanner - Link
* Начиная с keycloak 17.0+ роут /auth в URL должен быть пропущен (
Articles
Part 1 - Link
* Am I Testing Keycloak?
* Keycloak Version Information
* OpenID Configuration /SAML Denoscriptor
* Realms (Enumeration && Self-Registration Enabled)
* Client IDs
* Scopes
* Grants
* Identity Providers
* Roles
* User Email Enumeration
Part2 - Link
Reconnaissance
* Additional Services and Ports
* Interesting Local Files
* Reconnaissance Conclusion
Exploitation
* Brute Force Login
* Bypassing/Automating CSRF
* JWT Signing Algorithms
* Make the most out of your scopes/roles
* offline_access
* uma_authorization
* profile
* address
* phone
Tools
Keycloak security scanner - Link
* Начиная с keycloak 17.0+ роут /auth в URL должен быть пропущен (
/realms/realm_name/)Csacyber
Pentesting Keycloak Part 1: Identifying Misconfiguration Using Risk Management Tools
Keycloak is an open-source Identity and Access Management (IAM) solution. It allows easy implementation of single sign-on for web applications and APIs.
Forwarded from Inf0 | ИБ, OSINT
Spring Security — это фреймворк, который сфокусирован на обеспечении аутентификации и авторизации в Java-приложениях
Он предоставляет набор API и классов для лёгкой настройки и реализации различных функций безопасности в веб-приложениях
Некоторые ключевые особенности Spring Security:
🔵 поддержка нескольких механизмов аутентификации, например, на основе форм или токенов;
🔵 надёжные возможности авторизации на основе ролей и разрешений;
🔵 поддержка различных протоколов безопасности, таких как HTTPS, OAuth и SAML;
🔵 широкие возможности ведения логов и аудита для мониторинга событий, связанных с безопасностью
Как и все остальное в экосистеме Spring, этот фреймворк бесплатен, имеет открытый исходный код и поддерживается замечательной командой VMWare
Понятные объяснения и наглядные примеры научат вас:
Лауренциу Спилкэ 2025
#Book #Spring #Tools
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from Codeby
mitmproxy2swagger — утилита для автоматического преобразования захваченного трафика через mitmproxy в OpenAPI Specification. Установка происходит через
Использование
1️⃣ Для создания спецификации сначала запускаем mitmweb — веб-интерфейс, встроенный в mitmproxy, с помощью команды
2️⃣ Изучаем наш целевой сайт, самостоятельно переходим на разные эндпоинты, генерируя трафик. Далее необходимо сохранить полученные пакеты в файл и запустить команду:
<api_prefix> Это базовый URL-адрес API, который мы хотим проанализировать.
3️⃣ При выполнении первого прохода в файле схемы появляются эндпоинты API, которые удалось вычленить из файла, с префиксом ignore. Его необходимо удалить и запустить второй проход, тем самым сгенерировав описания конечных точек:
4️⃣ Финальный шаг — скопировать полученное описание в swagger для получения удобочитаемой документации.
‼️ Удобным является поддержка в mitmproxy2swagger формата har. Можно также осуществить взаимодействие с целевым веб-сайтом и экспортировать трафик из браузера DevTools на вкладке Network и проделать шаги 2-4.
pip3 install mitmproxy2swagger или docker:git clone git@github.com:alufers/mitmproxy2swagger.git
cd mitmproxy2swagger
docker build -t mitmproxy2swagger .
Использование
mitmweb. Теперь необходимо настроить браузер, чтобы весь трафик проходил через mitmproxy.mitmproxy2swagger -i <path_to_mitmptoxy_file> -o <path_to_output_schema> -p <api_prefix>
<api_prefix> Это базовый URL-адрес API, который мы хотим проанализировать.
mitmproxy2swagger -i <path_to_mitmptoxy_file> -o <path_to_output_schema> -p <api_prefix>
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from GitHub Community
Go-test-coverage — это инструмент, предназначенный для оповещения о проблемах, когда тестовое покрытие падает ниже заданного порога, что обеспечивает более высокое качество кода и предотвращает регрессию тестового покрытия с течением времени.
5️⃣ GitHub
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from Cyber Detective
Nuclei AI Prompts
Nuclei v3.3.9 (@pdiscoveryio) has -ai option to generate and run nuclei templates on the fly in natural language.
This is a list of prompts for this option:
- sensitive data exposure
- SQLi
- XSS
- SSRF
and more
https://github.com/reewardius/Nuclei-AI-Prompts
By twitter.com/reewardius
Nuclei v3.3.9 (@pdiscoveryio) has -ai option to generate and run nuclei templates on the fly in natural language.
This is a list of prompts for this option:
- sensitive data exposure
- SQLi
- XSS
- SSRF
and more
https://github.com/reewardius/Nuclei-AI-Prompts
By twitter.com/reewardius
❤1
Forwarded from white2hack 📚
Идём_по_киберследу_Анализ_защищенности_Active_Directory_c_помощью.pdf
10 MB
Идем по киберследу. Анализ защищенности Active Directory c помощью утилиты BloodHound, Дмитрий Неверов, 2025
👍2