Иллюзия безопасности: как я научился обходить виртуальные очереди (и почему клиентская защита — это театр)
Как забавно, но с развитием прогресса мы получили немного старого доброго Советского Союза в интернете - речь про виртуальные очереди. Правда в интернете стоять в очереди не так утомительно, как в реальности, но тоже не очень приятно. Читать далее...
Топ самых интересных CVE за март 2026 года
Всем привет! Подводим итоги марта по части самых интересных CVE. Дайджест был бы неполным без десяточки от Cisco: небезопасная десериализация под RCE в Cisco FMC, активно эксплуатируемая с конца января. Отдельно также отметилась компрометация цепочки поставок сканера уязвимостей Aqua Trivy с далеко...
В фокусе RVD: трендовые уязвимости марта
Хабр, привет! На связи команда инженер-аналитиков R-Vision. Мы проанализировали широкий спектр уязвимостей, выявленных в марте, и включили в дайджест лишь те, что представляют наибольший практический интерес по уровню риска, подтверждённой эксплуатации и актуальности для специалистов по...
Заставляем голосовых ассистентов Марусю и Салют материться без принуждения и спецсредств
Всем привет! В какой-то момент у меня появился простой вопрос: «А можно ли заставить ассистента произнести что-то, что он в норме говорить не должен?» Без API, без навыков программирования, без автоматизации и т.п. Оказалось - можно. Читать далее...
Стратификационный анализ ECDSA-подписей и дефектных режимов генерации nonce
Мы привыкли, что повтор r в ECDSA — это случайный сбой: плохой генератор, ошибка реализации, повтор nonce. Но что, если за одним repeated-r скрывается целое семейство дефектов (defect-family), которое можно не только обнаружить, но и перенести на другие закрытые ключи? Представляем закрытую...
Когда доверие стало уязвимостью: что последние исследования говорят о влиянии ИИ на кибербезопасность
Исследования IBM, ReliaQuest и Resilience показывают, что ИИ сделал киберпреступность гораздо эффективней. У злоумышленников стало меньше барьеров для входа, больше возможностей для масштабирования. При этом главные слабые места остаются прежними: слабые процедуры help desk, плохая видимость...
От логинов до SQL: какие бреши в web-приложениях ищут хакеры и как их устранить
Сегодня веб-приложения остаются основой для функционирования бизнеса. Их стабильность влияет как на финансовую, так и репутационную составляющие организации. Но также внешние ресурсы компаний являются привлекательной целью для злоумышленников. По данным представителей сервиса WAF ГК «Солар», за...
Уязвимости в Spring AI и ONNX: как дыры в ИИ‑фреймворках превращаются в утечки данных и чужие модели
ИИ‑фреймворки давно въехали в прод, но к ним часто относятся как к «научной приблуде», а не к ещё одному входу в ваши данные и инфраструктуру. Spring AI и ONNX крутятся где‑то между ML‑командами, продуктами вендоров и внутренними ассистентами, и на определённом этапе за ними перестают успевать...
6 языков из 6 по ГОСТ Р 71207-2024: как я перестал гадать по двадцати строкам вокруг вызова
Я довольно долго жил с привычной инженерной отговоркой: ну да, поиск по шаблонам шумит, зато работает быстро. Где-то подсветит лишнее, где-то что-то пропустит, но в целом жить можно. Так обычно и живут, пока не появляется внешний корпус, который не интересуют наши внутренние оправдания. У меня...
Март, Jetty и утекшая память
За окном весна, на улице уже вовсю и ярко светит солнце, поют птички и тает последний снег. А в знаменитом сервере Jetty обнаружилась новая дыра космических масштабов. Читать далее...
«Агенты Хаоса»: ИИ стирает сервера, или почему нельзя давать языковым моделям права root
В последнее время ИТ-сообщество активно обсуждает интеграцию автономных ИИ-агентов в реальные рабочие процессы. Свежий препринт под интригующим названием «Агенты Хаоса» подливает масла в огонь: исследователи устроили масштабный red teaming, подключив LLM-агентов к электронной почте, Discord и...
Приказ ФСТЭК России № 117: что меняется в мире защиты информации в России уже на этой неделе
Уже на этой неделе (с 1 марта 2026 года) вступает в свою законную силу и начинает действовать Приказ ФСТЭК России № 117 «Об утверждении требований о защите информации, содержащейся в государственных информационных системах, иных информационных системах государственных органов, государственных...
Взлом LLM-агентов на уровне архитектуры: почему они беззащитны перед структурными инъекциями
Индустрия стремительно переходит от простых чат-ботов к автономным LLM-агентам. Мы даем нейросетям доступ к браузерам, терминалам, базам данных и API (например, через фреймворки вроде AutoGen или OpenHands). Но вместе с делегированием задач возникает критическая проблема: как убедиться, что агент...
Prompt injection для смелых духом: от zero-click атаки на 1.4B устройств до философского джейлбрейка
SQL-инъекцию мы лечили 20 лет и вылечили. Prompt injection — фундаментально нерешаема. Это не я придумал. OWASP ставит её на первое место второй год подряд. Найдена в 73% продакшн AI-систем при аудитах. Вы не за статистикой сюда пришли. Вы пришли за мясом. Ниже — 10 кейсов, которые не попали в...
Февральский «В тренде VM»: уязвимости в продуктах Microsoft
Хабр, привет! На связи Александр Леонов, ведущий эксперт PT Expert Security Center и дежурный по самым опасным уязвимостям месяца. Мы с командой аналитиков Positive Technologies регулярно исследуем информацию об уязвимостях из баз и бюллетеней безопасности вендоров, социальных сетей, блогов,...
Как AI убъет вашу базу: безопасность вайбкодинга в 2026
Не прошло и дня, как я писал про "AI-диспетчера" — генерируешь, проверяешь, мержишь. Выглядит замечательно. Но ни слова про секурити. А между тем, произошло достаточно инцидентов, чтобы понять: модель рабочая, но только если ты действительно проверяешь, а не делаешь вид. А если не проверяешь?...
Введение в DAST, SAST, SCA, IAST и RASP: Гид по инструментам безопасности
Безопасность приложений — это не опция, а необходимость в современной разработке. С ростом числа кибератак и утечек данных разработчики и команды безопасности нуждаются в надежных инструментах для выявления уязвимостей на всех этапах жизненного цикла разработки программного обеспечения (SDLC). В...
Как в Испании заменили знаки аварии на маячки с доступом в сеть и как по ним стали приезжать грабители, а не копы
Когда чиновники из испанской Генеральной дирекции дорожного движения придумывали обязательные "умные" маячки V16, они явно представляли себе будущее в духе умного города: водитель попал в аварию, нажал кнопку, и вся инфраструктура мгновенно узнала о проблеме. Дорожные табло предупреждают других...
Назад