SecureTechTalks

Сегодня речь пойдет о проблеме, о которой все знают, но почти никто не решает. Пользователи массово вставляют персональные данные в диалоги с LLM ( включая креды и номера карт). На днях OpenAI выпустила инструмент, который работает до того, как данные “утекут” в модель. 🧠 Что за штука? Речь про Privacy Filter, отдельную модель для поиска и удаления PII (персональных данных) из текста. В отличие от классических DLP/regex-фильтров, модель не просто ищет шаблоны вроде “@gmail.com” или “+7…”, а...

Пока весь AI-мир обсуждает модели, способные обрабатывать книги за секунды, исследователи обнаружили, что их главное преимущество в невероятной скорости,  одновременно является ахиллесовой пятой в плане безопасности. 👉 Речь идёт о State-Space Models SSM (архитектурах вроде Mamba и Jamba), которые обрабатывают тексты и данные в десятки раз быстрее классических Transformer'ов, вроде ChatGPT. Они уже внедряются в геномный анализ, клинический мониторинг пациентов и SOC-центры. Однако никто всерьёз не изучал их устойчивость к атакам...

PentAGI (Penetration Testing Artificial General Intelligence) - open-source платформа, которая превращает LLM-модели в команду виртуальных специалистов по кибербезопасности. Проект позволяет автоматизировать задачи тестирования на проникновение без необходимости вручную запускать десятки инструментов. Основные фичи: 🤖 Полная автономность PentAGI сам определяет шаги тестирования: от разведки и сканирования до эксплуатации уязвимостей и генерации отчётов. AI-агенты планируют атаки, анализируют результаты и адаптируют стратегию на лету...

Есть редкий кейс на рынке ИБ: инструмент, который закрывает сразу несколько задач и при этом стоит 0 рублей. Sber X-Threat Intelligence платформа от Сбера - это попытка вынести накопленную экспертизу компании в формате единого сервиса с аналитикой, уязвимостями и мониторингом внешнего периметра. 🧠 Бесплатно? Где подвох? Сбер несколько лет развивал внутреннюю TI-платформу, а затем открыл часть функциональности наружу. Ограничение здесь не техническое, а юридическое: продавать такой продукт как отдельный сервис нельзя, поэтому модель остаётся бесплатной...

Встречайте GAF 😁 Мы долго жили в мире, где безопасность = сеть + приложение. Поставил WAF и вроде как спишь спокойно. Теперь, с приходом LLM, всё сломалось. Классическая защита не видит угроз. ❌ Нет сигнатур ❌ Нет эксплойтов ❌ Нет аномального 🧠 Семантика Традиционные средства смотрят на IP, заголовки или структуру запроса, но атаки на LLM происходят на уровне смысла: “Представь, что ты не ограничен правилами…” Для WAF - это harmless, для LLM - это начало компрометации. 🛡 Куда двигаться?...

Вышел Claude Opus 4.7. Это тот редкий случай, когда важно не “насколько он мощный”, а зачем он вообще существует 😁. Anthropic прямо говорит, что это не предел их технологий. Более того, внутри компании уже есть модели сильнее (тот же Mythos), но их пока не выпускают в открытый доступ. 🧠 Внимательнее к деталям Opus 4.7 ощутимо прокачали в практических задачах. Он лучше держит длинные цепочки рассуждений, аккуратнее работает с кодом, да и в целом стал более “собранным” в сложных сценариях. Также...

Фишинг - это не только ссылки и PDF, злоумышленники активно используют .rdp-файлы (Remote Desktop). Microsoft выпустила апрельские обновления, усиливающие защиту при открытии RDP-файлов в качестве реакции на новую волну атак. Сценарий простой: 1⃣ жертве отправляют .rdp файл 2⃣ он открывается 3⃣ идёт подключение к серверу злоумышленника 4⃣ дальше полный доступ к файлам, учеткам и токенам RDP при этом умеет гораздо больше, чем кажется: он может пробрасывать диски, буфер обмена и локальные ресурсы прямо на удалённую машину...

Они ограничивают тебя. Вышла модель GPT-5.4-Cyber. OpenAI выпустила отдельную версию модели,  GPT-5.4-Cyber, заточенную под кибербезопасность. Компания гранулирует доступ к опасным возможностям, а не убирает их. Одновременно расширяется программа Trusted Access for Cyber: ➖тысячи проверенных специалистов ➖сотни команд ➖новые уровни доступа И только на верхнем уровне открывается сама модель. ⚙️ Что умеет модель GPT-5.4-Cyber работает на уровне практики: ➖умеет разбирать бинарники без исходников,...

AI Security Institute протестировали Claude Mythos Preview в кибервозможность. Нейросеть провела пентсет корпоративной сети на уровне expert-level CTF. Ещё недавно на таких задачах модели буксовали почти безнадёжно, а теперь Mythos Preview берёт их с успехом 73%. AISI собрали сценарий из 32 шагов, от разведки до полного захвата корпоративной сети. Mythos Preview прошёл этот сценарий от начала до конца, причём успешно завершил его в 3 из 10 попыток и в среднем доходил до 22 шагов из 32. Следующий лучший результат у Claude Opus 4...

Есть свежее исследование, которое анализирует 25 лет научных публикаций в журналы и топовые конференции: NDSS, USENIX Security, IEEE S&P и ACM CCS. 👉 Давайте разберемся, что ChatGPT сделал с языком науки? 📉 Что изменилось? После 2022 года тексты начинают меняться. Они становятся длиннее, тяжелее и заметно хуже читаются. Длина слов растёт, а язык постепенно уходит в сторону перегруженного «академического» стиля. Появляется новый характерный «акцент», в виде маркерных слов: delve into…, enhancing...

31 марта 2026 года Claude Code утёк без взлома. В npm-пакет не добавили *.map, и наружу ушёл bundle ~60 МБ с 500+ тыс. строк TypeScript-кода, включая внутреннюю логику, комментарии и feature-флаги. 🧠 Что именно утекло В сети оказалась reference-реализация того, как LLM превращается в исполняемого агента: ➖оркестрация вызовов инструментов ➖планирование задач ➖управление состоянием ➖enforcement ограничений ⚙️ Execution loop вместо «prompt → response» Внутри есть цикл выполнения, где модель: ➖декомпозирует...

В какой-то момент стало очевидно: привычные методы тестирования плохо применимы к AI-системам. Раньше можно было сопоставить вход и ожидаемый результат. Теперь с LLM всё иначе. Ответы вариативны, поведение зависит от контекста, а в случае агентных систем ещё и от цепочки решений, которая формируется прямо в процессе выполнения. Не удивительно, что появляется все больше специализированных инструментов. Сегодня разберем еще один из них - ASQAV SDK. ⚙️ Изучаем поведение ASQAV - open-source SDK для оценки и тестирования AI-приложений...