SecureTechTalks

Сервисы «падают» всегда неожиданно, но когда вы узнаёте об этом от клиента, то это уже управленческий провал. 🚨 Что за инструмент? Uptime Kuma - это self-hosted система мониторинга аптайма. По сути, аналог SaaS-решений вроде UptimeRobot или Pingdom, только без передачи данных третьим лицам. Вы сами разворачиваете инструмент в Docker или на сервере и можете контролировать: 🌐 доступность сайтов 🔐 API-эндпоинты 🖥 TCP/HTTP(S) сервисы 🗄 базы данных 📡 DNS, MQTT, Steam-серверы и многое другое ...

🧩 Представьте себе, кто-то получил доступ к сценарию поведения вашего автономного агента, заглянул в его настройки, понял, как он «думает», и начал им управлять. Звучит абсурдно, но прецедент уже был 😢. 🧠 Где скрыта уязвимость Современные агенты хранят не только код, но и правила интерпретации: роли, сценарии, шаблоны действий. Получил доступ к этим артефактам и ты уже не просто похититель секретов, ты архитектор чужих решений. Меняешь формулировки - корректируешь поведение. Агент начинает выполнять действия не по заданной политике, а согласно новым указаниям...

На arXiv вышло новое исследование про использование языковой модели в качестве генератора атак на другую языковую модель. 🧠 Коротко о главном Исследователи собрали автоматический цикл: 1️⃣ Атакующая модель генерирует вредный или запрещённый запрос. 2️⃣ Целевая модель с защитами пытается его отклонить. 3️⃣ Оценщик проверяет удалось ли обойти фильтр. 4️⃣ Если не удалось, то атакующая модель меняет формулировку и пробует снова. Итого имеем сотни или даже тысячи итераций. Подход чем то напоминает brute-force по оптимизации jailbreak-атак...

Мы всё чаще видим, как ассистенты ИИ взаимодействуют с внешними системами: открывают сайты, читают документы, запускают плагины, работают с API. Несомненно это удобно, но там, где есть внешние входы, есть и путь для атаки. Именно на этом фоне OpenAI внедряет две важные функции безопасности: Lockdown Mode и Elevated Risk labels. Их цель снизить риск prompt injection-атак и утечки данных при взаимодействии ChatGPT с внешними источниками. 🧱 Что такое Lockdown Mode Lockdown Mode - это опциональный режим повышенной безопасности для особо чувствительных рабочих контекстов...

? Brute-force часто воспринимают как что-то устаревшее. На митапах обсуждают zero-day и AI-атаки, а перебор паролей звучит почти скучно. Однако множество инцидентов до сих пор начинаются с подбора пароля. 🧠 Что делает Brutus Brutus - инструмент для системного тестирования аутентификации. Он помогает понять, как ведёт себя login-механизм под нагрузкой и при ошибках. С его помощью можно проверить: 🔍 есть ли user enumeration ⏱ реально ли работает rate limiting 🔐 корректно ли реализован lockout...