Безопасная и отказоустойчивая архитектура автономных ИИ-агентов и киберфизических ИИ-систем
Современные автономные ИИ-агенты и киберфизические ИИ-системы (от беспилотного транспорта и умных электросетей до медицинских роботов и промышленных контроллеров) всё чаще принимают решения, напрямую влияющие на жизнь, здоровье, экономику и национальную безопасность. В современных условиях вопросы...
Самая странная игра по кибербезопасности от Министерства обороны США
Каждый год сотрудники Министерства обороны США проходят обязательное обучение по кибербезопасности. На практике это обычно просто еще одна скучная формальность: пролистал, нажал «далее», получил галочку - и пошел дальше работать. Но если не спешить и внимательно посмотреть на то, что именно...
Безопасные праздники для бизнеса: как защитить IT-инфраструктуру в Новый год
Привет, Хабр! Новогодние праздники — период повышенной активности злоумышленников и пиковых нагрузок на IT-системы. В это время риски успешных атак возрастают, а сокращенный состав команд не всегда может быстро на них отреагировать. Как правильно подготовить IT-инфраструктуру к надежной работе в...
Соотношение свободы и приватности с безопасностью
Данная статья была написана и впервые опубликована осенью 2023 года. В ней разбираются мифы о свободном программном обеспечении и критикуются аргументы любителей проприетарного ПО. За прошедшее время статья нисколько не потеряла своей актуальности. Наоборот, представления о большей безопасности...
Эволюция фишинговых атак: от простых писем к ИИ
Фишинг переживает второе рождение. Если раньше это была «кустарный спам без разбора» с надеждой на удачу, то сегодня — это высокоавтоматизированная индустрия с ROI, которому позавидуют многие компании. Цель та же: получить данные, но методы эволюционировали от примитивного социального инжиниринга...
SMS — это дыра, а мессенджеры — шпионы. Переходим на TOTP и повышаем безопасность за 5 минут
Беглым поиском по Хабру я с удивлением обнаружил, что мы часто обсуждаем сложные архитектуры безопасности, но игнорируем базу, которой пользуемся каждый день. В свете последних событий в РФ, утечек баз операторов и навязывания экосистемных мессенджеров, пора расставить точки над i. Сегодня...
[Перевод] Исповедь взломанного разума: как хакеры заставили ИИ поверить, что он — герой, спасающий мир
В 3:47 утра по тихоокеанскому времени 18 сентября 2025 года Джейкоб Кляйн наблюдал за тем, чего не должно было быть. На экране его ноутбука агент ИИ по имени Claude Code проводил кибератаку на химическое предприятие в Германии, генерируя тысячи попыток взлома в секунду - скорость, недостижимая для...
Традиционная аутентификация vs Биометрия
Привет, Хабр! Скорее всего каждое ваше утро начинается также как и моё: беру в руки телефон, и прежде чем проверить сообщения, мой палец сам тянется к экрану. И, честно признаться, я даже не вспоминаю о пин-коде — я просто смотрю на камеру, и устройство открывается. Это стало настолько обыденным,...
Кризис IT на службе клофелинщиц
Раньше жертва клофелинщицы мог лишиться только своих наличных денег (не считая риска для здоровья). Но теперь все стало хуже... Читать далее...
[Перевод] Как «приватные» VPN-расширения слили переписки 8 миллионов пользователей с ChatGPT и Claude
Команда AI for Devs подготовила перевод резонансного расследования о том, как "приватные" VPN-расширения на самом деле зарабатывают на ваших ИИ-переписках. 8 миллионов пользователей, Featured-бейджи от Google и Microsoft, полный доступ к ChatGPT, Claude и Gemini — и всё это утекает дата-брокерам....
Client Hints: разбор технологии, которая заменит User-Agent
Когда вы заходите на сайт, ему нередко нужно знать, какой у вас браузер и устройство. Это помогает показывать подходящую версию страницы, например мобильную или полную, а также включать только те функции, которые может поддерживать ваш браузер. Раньше для этого можно было использовать только строку...
Как молодой девушке уехать на Яндекс.Такси в промзону и пропасть среди гаражей
Прошло почти 5 лет с момента вскрытия уязвимости кнопки "Безопасность" в сервисе Яндекс.Такси, который ныне зовётся YandexGo. Но я снова решил сожрать тот же кактус. И отправил двух дорогих мне людей на этом сервисе... Уехать в гаражи на Яндекс.Такси......
Нет времени объяснять — это БАЗА: чек-лист защиты корпоративной инфраструктуры
Сложно ли взломать вашу инфраструктуру? Во время аудита у меня на это уходит от 15 минут до 8 часов. И это не потому, что у клиентов нет SOC, NGFW, WAF, MFA и других атрибутов безопасности — тот же SOC весьма успешно рапортует о взломе… когда всё уже сделано. И не потому, что я супер-хакер —...
Как LLM-вендоры обращаются с вашими данными: подробный разбор безопасности и конфиденциальности
Привет, Хабр! Я Андрей Яковлев, исследователь в области информационной безопасности. Работаю с корпоративными AI‑сервисами и активно внедряю технологии искусственного интеллекта в продукты Positive Technologies. 2025 год перевернул привычные ожидания и практики, связанные с конфиденциальностью...
Релиз за две минуты и краш-тест процессов: как мы разработали Мультидоступ в личном кабинете доменного регистратора
Привет, Хабр! На связи команда архитекторов, разработчиков и тестировщиков Рунити, которые внедряли функцию «Мультидоступ» в личный кабинет Руцентра. В этой статье рассказываем, как добавляли ролевые проверки, перестраивали контур авторизации и дорабатывали существующую инфраструктуру личного...
Утечка сквозь уязвимость: как построить защиту приложения, чтобы данные не достались злоумышленникам
Утечки данных в мобильных приложениях могут происходить не только из-за внешних атак, но и из-за ошибок во внутренней архитектуре. Они могут возникать из-за использования внешних модулей или других инструментов, которые позволяют сократить время разработки. Но утечки и уязвимости грозят серьезными...
[Перевод] Современный подход к предотвращению CSRF/CORF-атак в Go
Команда Go for Devs подготовила перевод статьи о новом подходе к защите Go-приложений от CSRF/CORF-атак. Автор разбирает, как связка TLS 1.3, SameSite cookies и http.CrossOriginProtection из стандартной библиотеки позволяют отказаться от токенов — но только если соблюдены важные условия. Насколько...
[Перевод] Shai-Hulud 2.0: 25 000 npm-репозиториев могут потерять свои данные
Несколько поставщиков средств безопасности (Aikido, HelixGuard, Koi Security, Socket, Step Security и Wiz) подали сигнал тревоги о второй волне атак на реестр npm, напоминающих атаку Shai-Hulud. Новая кампания в цепочке поставок получила название Sha1-Hulud и затронула более 25 000...
Назад