Современные уязвимости современных LLM-агентов
На первый взгляд, современные ИИ-модели кажутся надёжно защищёнными: строгие ограничения, фильтры и чётко заданные сценарии взаимодействия с пользователем. Однако реальность быстро меняется. Всё чаще исследователи и энтузиасты сталкиваются с атаками, которые позволяют обойти эти защитные меры. В...
[Перевод] Кризис парольной безопасности: 94% повторно используют слабые пароли
Новое исследование, охватившее более 19 миллиардов паролей из свежих утечек данных, подтверждает: мир столкнулся с масштабным кризисом повторного использования ненадежных комбинаций. Простые клавиатурные шаблоны вроде «123456» по-прежнему лидируют, а 94% паролей либо дублируются, либо применяются...
GigaHeisenberg или преступный ИИ
tl;dr: Обойдём цензуру у LLM (GigaChat от Sber) и сгенерируем запрещенный (разной тематики) контент. Опробуем очень простую технику jailbreak’а в одно сообщение (не мультишаговый/multi-turn), которая пока работает на любой LLM (проверим не только на GigaChat, но и на других). И небольшой бонус в...
[Перевод] Что не так с MCP (Model Context Protocol)?
Анализ уязвимости и ограничения Model Context Protocol для подключения инструментов к ИИ-ассистентам. Узнаете, как оценить риски MCP-интеграций в своих проектах и минимизировать угрозы безопасности Читать далее...
[Перевод] Пароли больше не в моде? Что такое Passkeys?
Все мы бывали в подобной ситуации. Вы пытаетесь войти в свой банковский аккаунт, используя имя пользователя и пароль, но в ответ получаете стандартную ошибку «неверный пароль». Вы перепроверяете свой менеджер паролей, пробуете несколько вариантов, но после слишком большого количества неудачных...
Повышение защищенности Active Directory для чайников и не очень
В корпоративных средах развертывание Active Directory (AD) — де-факто стандарт для администрирования ИТ-инфраструктуры на Windows. Да, в России есть тренд импортозамещения и сопутствующее ему «переползание» на отечественные решения типа Astra Linux-ALD Pro и так далее. Но пока еще Windows стоит...
«Взлом» Telegram-игры или минусы вайбкодинга
С каждым днем все больше продуктов создается и запускается с помощью ИИ. К сожалению, с безопасностью у них пока не очень. Читать далее...
Технологии на службе мира: Почему когнитариат должен объединиться против милитаризации
Чтение книги The Technological Republic за авторством генерального директора компании Palantir Technologies Алекса Карпа сподвигло меня на следующие размышления. Читать далее...
Почему запрет на переключение вкладок не спасает онлайн-тесты от списывания
Онлайн-тестирование стало важной частью современного образования и процесса найма сотрудников. Многие платформы и компании пытаются бороться с мошенничеством, внедряя технические ограничения — например, запрет на переключение вкладок в браузере. Но насколько это эффективно на практике? И что...
Не попадись на крючок: 7 признаков фишингового письма или сообщения
Каждый из нас хоть раз получал странное письмо якобы от банка, соцсети или госслужбы с просьбой срочно перейти по ссылке, ввести данные или открыть вложение. Это фишинг — старый как мир, но все еще до обидного эффективный метод мошенничества. Он не ломает системы напрямую, он «ломает» нас —...
PAM-платформа против техник MITRE ATT&CK
В этой статье вы узнаете, как PAM-платформа СКДПУ НТ может использоваться для митигации техник злоумышленников, описанных в матрице MITRE ATT&CK. Показываем, какие конкретные механизмы защиты можно применить на практике. Будет интересно: Специалистам по ИБ, которые хотят глубже разобраться в...
Какие функции родительского контроля полезны на каждом этапе развития вашего ребенка (мнение родителя)
Родительский контроль — это функции технических устройств, позволяющие ограничить доступ ребенка в сеть, экранное время девайса, установить разрешение на использование приложений. Но что разрешать и что запрещать, на что опираться, принимая такие решения? Тема актуальна семьям, чья жизнь плотно...
Как я начал бояться вайб-кодинга, или почему мы доверяем ИИ больше, чем коллегам
Ещё год назад я смеялся над мемами про Copilot, который "пишет весь код за тебя". Теперь - я уже не смеюсь. Потому что вижу, как всё чаще код влетает в main почти без участия человека. Его не пишут - его принимают. Почти как оракульское послание. Это не всегда плохо. Но иногда - страшно. Читать...
[Перевод] Прочтите это, если планируете работать с Next.js
Выбор технологического стека для проекта — это важное решение, которое всегда имеет последствия. В больших корпорациях (в особенности) такой выбор зачастую предполагает, что придётся долгие годы придерживаться запланированного, и этот выбор в долгосрочной перспективе скажется на всей дорожной карте...
Как один разработчик предотвратил крупнейшую кибератаку: история взлома XZ Utils
Прошел ровно год с момента, когда мир с открытым ртом следил за расследованием одного из самых изощрённых бэкдоров в истории Linux. История с библиотекой xz Utils напоминала триллер: внедрение под реальным именем, доверие сообщества, закладки в коде — и случайное обнаружение в самый обычный рабочий...
[Перевод] Пять вещей, которые не стоит рассказывать ChatGPT
Не позволяйте вашем мыслям стать учебным материалом для ИИ — или всплыть в случае утечки данных. Неважно, какого чат-бота вы выберете: чем больше вы делитесь, тем полезнее он становится. Пациенты загружают результаты анализов для расшифровки, разработчики отправляют фрагменты кода для отладки....
Пять простых* задач по кибербезопасности для разработчика
Привет! Это Маша из AppSec Альфа-Банка. Я люблю, чтобы разработчикам было интересно, а продукты компании были безопасными. Наша команда безопасной разработки подготовила для вас примеры уязвимостей, которых можно избежать в своем коде. Мы показали примеры в виде задач, предложили решение и пути...
Несколько правил организации багатона по кибербезопасности
Привет! Это Маша из AppSec Альфа-Банка. Недавно мы провели первый (для себя) багатон по кибербезопасности, прошедший при совместной работе ИТ, AppSec, команд Внутрикома и DevRel. Главными целями были пропаганда безопасной разработки и сближение разработчиков и команды AppSec. Расскажем, как мы...