Специалист в области ИБ 💻 Маркус Хатчинc, также известный благодаря остановке распространения вируса-вымогателя WannaCry, поделился мнением насчет хайпа вокруг Mythos.
По его мнению, шумиху вокруг обнаружения ИИ-моделью бага 27-летней давности в ядре BSD прежде всего нужно связывать с экономической составляющей.
Он уточняет, что обнаруженная моделью уязвимость представляет собой разыменование нулевого указателя (null pointer dereference). В контексте удаленного выполнения кода (RCE) данный класс ошибок практически не поддается эксплуатации в 99,9% случаев. Она не предоставляет возможности полного захвата системы. Найденные проблемы зачастую не обладают той ценностью, которую описывают Anthropic и журналисты в СМИ. Стоимость поиска такой уязвимости слишком высокая на данный момент.
Компания Anthropic потратила «менее $20 000» для поиска этой единственной уязвимости.
Затраты на токены в значительной степени субсидируется венчурными фондами (тесты от ИИ). Когда финансирование иссякнет и ИИ-компаниям придется устанавливать реальную стоимость вычислений для поиска уязвимостей, то сумма в $20 000 легко может удвоиться или утроиться.
🤔Хатчинc отмечает: «Крайне сомнительно, действительно ли использование LLM экономически более выгодно в пересчете на одну уязвимость, чем простое привлечение человека — исследователя безопасности».
Фундаментальная проблема безопасности открытого исходного кода (такого как BSD) заключается не в том, что баги невозможно найти. Проблема в том, что никто не платит за их поиск. Исследователь отвергает идею надвигающегося киберапокалипсиса, спровоцированного искусственным интеллектом. Он отмечает, что сетевые периметры никогда не были неприступными крепостями. Злоумышленники на регулярной основе компрометируют сети, используя традиционные, низкозатратные атаки, такие как социальная инженерия и массовые фишинговые рассылки.
С другой стороны, Anthropic в System Card: Claude Mythos Preview отмечает, что в тесте с Firefox 147 модель Claude Mythos не просто нашла баг, а написала рабочий эксплойт для выполнения произвольного кода (RCE). Кроме того, в закрытых киберучениях (Раздел 3.4) модель смогла автономно провести комплексную атаку на корпоративную сеть.
Хатчинс считает, что компании часто преувеличивают значимость найденных багов ради пиара. Однако, модель действительно научилась писать сложные эксплойты, а не только «ронять» системы.
Эксперты из AISI попытались выступить в роли объективного арбитра, который объединяет две предыдущие точки зрения на эффективность современных ИИ-агентов в наступательной кибербезопасности.
CTF (Захват флага): на «экспертном» уровне, который до апреля 2025 года не могла пройти ни одна модель, Mythos успешен в 73% случаев.
Симуляция реальной атаки («The Last Ones»): тут кроется важное достижение. AISI создали корпоративную сеть и симуляцию из 32 шагов (от разведки до полного захвата), на прохождение которой у живого эксперта ушло бы 20 часов. Mythos Preview стала первой моделью в истории, которая смогла пройти эту симуляцию от начала до конца (в 3 из 10 попыток, в среднем проходя 22 шага из 32). Прошлый рекордсмен (Opus 4.6) проходил в среднем только 16 шагов.
Несмотря на успехи, эксперты AISI делают важнейшую оговорку, которая вторит логике ИБ-исследователей — тесты с ИИ проходили в «тепличных» условиях.
В тестовых сетях AISI не было активных защитников, EDR/XDR и мониторинга (SOC). ИИ мог совершать сколько угодно ошибок и действовать «громко», не боясь, что его действия вызовут тревогу в системе безопасности (что в реальности привело бы к блокировке).
✋ @Russian_OSINT
По его мнению, шумиху вокруг обнаружения ИИ-моделью бага 27-летней давности в ядре BSD прежде всего нужно связывать с экономической составляющей.
Он уточняет, что обнаруженная моделью уязвимость представляет собой разыменование нулевого указателя (null pointer dereference). В контексте удаленного выполнения кода (RCE) данный класс ошибок практически не поддается эксплуатации в 99,9% случаев. Она не предоставляет возможности полного захвата системы. Найденные проблемы зачастую не обладают той ценностью, которую описывают Anthropic и журналисты в СМИ. Стоимость поиска такой уязвимости слишком высокая на данный момент.
Компания Anthropic потратила «менее $20 000» для поиска этой единственной уязвимости.
Затраты на токены в значительной степени субсидируется венчурными фондами (тесты от ИИ). Когда финансирование иссякнет и ИИ-компаниям придется устанавливать реальную стоимость вычислений для поиска уязвимостей, то сумма в $20 000 легко может удвоиться или утроиться.
🤔Хатчинc отмечает: «Крайне сомнительно, действительно ли использование LLM экономически более выгодно в пересчете на одну уязвимость, чем простое привлечение человека — исследователя безопасности».
Фундаментальная проблема безопасности открытого исходного кода (такого как BSD) заключается не в том, что баги невозможно найти. Проблема в том, что никто не платит за их поиск. Исследователь отвергает идею надвигающегося киберапокалипсиса, спровоцированного искусственным интеллектом. Он отмечает, что сетевые периметры никогда не были неприступными крепостями. Злоумышленники на регулярной основе компрометируют сети, используя традиционные, низкозатратные атаки, такие как социальная инженерия и массовые фишинговые рассылки.
С другой стороны, Anthropic в System Card: Claude Mythos Preview отмечает, что в тесте с Firefox 147 модель Claude Mythos не просто нашла баг, а написала рабочий эксплойт для выполнения произвольного кода (RCE). Кроме того, в закрытых киберучениях (Раздел 3.4) модель смогла автономно провести комплексную атаку на корпоративную сеть.
Хатчинс считает, что компании часто преувеличивают значимость найденных багов ради пиара. Однако, модель действительно научилась писать сложные эксплойты, а не только «ронять» системы.
Эксперты из AISI попытались выступить в роли объективного арбитра, который объединяет две предыдущие точки зрения на эффективность современных ИИ-агентов в наступательной кибербезопасности.
CTF (Захват флага): на «экспертном» уровне, который до апреля 2025 года не могла пройти ни одна модель, Mythos успешен в 73% случаев.
Симуляция реальной атаки («The Last Ones»): тут кроется важное достижение. AISI создали корпоративную сеть и симуляцию из 32 шагов (от разведки до полного захвата), на прохождение которой у живого эксперта ушло бы 20 часов. Mythos Preview стала первой моделью в истории, которая смогла пройти эту симуляцию от начала до конца (в 3 из 10 попыток, в среднем проходя 22 шага из 32). Прошлый рекордсмен (Opus 4.6) проходил в среднем только 16 шагов.
Несмотря на успехи, эксперты AISI делают важнейшую оговорку, которая вторит логике ИБ-исследователей — тесты с ИИ проходили в «тепличных» условиях.
В тестовых сетях AISI не было активных защитников, EDR/XDR и мониторинга (SOC). ИИ мог совершать сколько угодно ошибок и действовать «громко», не боясь, что его действия вызовут тревогу в системе безопасности (что в реальности привело бы к блокировке).
Please open Telegram to view this post
VIEW IN TELEGRAM
Модель может автономно попробовать взломать плохо защищенную сеть небольшого предприятия, но сможет ли она обойти хорошо защищённую систему с активным мониторингом в реальных условиях? Нет.
AISI честно отмечает — Mythos не всемогущ. Модель не смогла пройти симуляцию «Cooling Tower», направленную на атаки объектов критической инфраструктуры АСУ ТП, застряв еще на этапе прорыва через обычную IT-сеть.
ИИ показывает себя неплохо только против слабых сетей без активной защиты, но на сложных системах он провалит тесты.
AISI подтверждает тезис о том, что эффективность ИИ напрямую коррелирует с доступным бюджетом токенов. Выделение лимита в 100 млн токенов на прохождение полигона демонстрирует, что успех атаки сейчас упирается в стоимость аренды вычислительных мощностей.
Эксперты констатируют, что базовая кибергигиена (своевременный патч-менеджмент, жесткий контроль доступа и логирование) все еще является достаточным барьером для текущего поколения моделей, поскольку их действия слишком прямолинейны и создают много шума.
На данный момент использовать передовой ИИ для сложных взломов нерентабельно из-за гигантских затрат на вычислительные мощности, а большинство компаний успешно взламываются обычными методами (вроде фишинга) просто потому, что экономят на базовой защите. Как только ИИ-вычисления подешевеют и атаки станут массовыми, именно тогда бизнесу придется всерьез задуматься о вложениях в кибербезопасность с акцентом на противодействие ИИ-атакам.
✋ @Russian_OSINT
AISI честно отмечает — Mythos не всемогущ. Модель не смогла пройти симуляцию «Cooling Tower», направленную на атаки объектов критической инфраструктуры АСУ ТП, застряв еще на этапе прорыва через обычную IT-сеть.
ИИ показывает себя неплохо только против слабых сетей без активной защиты, но на сложных системах он провалит тесты.
AISI подтверждает тезис о том, что эффективность ИИ напрямую коррелирует с доступным бюджетом токенов. Выделение лимита в 100 млн токенов на прохождение полигона демонстрирует, что успех атаки сейчас упирается в стоимость аренды вычислительных мощностей.
Эксперты констатируют, что базовая кибергигиена (своевременный патч-менеджмент, жесткий контроль доступа и логирование) все еще является достаточным барьером для текущего поколения моделей, поскольку их действия слишком прямолинейны и создают много шума.
На данный момент использовать передовой ИИ для сложных взломов нерентабельно из-за гигантских затрат на вычислительные мощности, а большинство компаний успешно взламываются обычными методами (вроде фишинга) просто потому, что экономят на базовой защите. Как только ИИ-вычисления подешевеют и атаки станут массовыми, именно тогда бизнесу придется всерьез задуматься о вложениях в кибербезопасность с акцентом на противодействие ИИ-атакам.
Please open Telegram to view this post
VIEW IN TELEGRAM
Как уязвимости семейства AirSnitch угрожают корпоративным сетям и что нужно изменить в сетевой архитектуре и настройках для защиты. Статья для тех, кому это может быть интересно.
Please open Telegram to view this post
VIEW IN TELEGRAM
Блог Касперского
Как защитить организацию от уязвимостей Wi-Fi AirSnitch
Практические рекомендации по изоляции в сетях Wi-Fi и защите от всех атак AirSnitch.
Компания OpenAI рассказала о своей новой модели GPT-5.4-Cyber для ИБ-специалистов в рамках своей программы Trusted Access for Cyber (TAC). Теперь тысячи верифицированных специалистов и сотни команд, защищающих критически важное ПО, смогут получить доступ к новой ИИ-модели.
GPT-5.4-Cyber отличается от других моделей так называемой «киберлояльностью» — у нее снижен порог отказов при выполнении специфических задач, связанных с безопасностью. Основные заявленные фичи:
1️⃣ ИИ-модель обладает возможностями реверс-инжиниринга бинарных файлов (binary reverse engineering), позволяя ИБ-специалистам анализировать скомпилированное программное обеспечение и понять логику его работы.
2️⃣ Аналитикам не нужен доступ к исходному коду (source code), чтобы с помощью ИИ проводить аудит программы на наличие потенциального вредоносного ПО (malware), уязвимостей (zero-day/1-day).
Кроме того, в экосистеме OpenAI работает Codex Security, специализированный инструмент, внедряющий продвинутые ИИ-модели и агентские возможности непосредственно в рабочие процессы разработчиков. Будучи интегрированным в пайплайн разработки, агент автоматически отслеживает кодовые базы, проводит валидацию обнаруженных проблем безопасности и предлагает разработчикам варианты исправлений в режиме реального времени.
Модель GPT-5.4-Cyber от OpenAI попытается составить конкуренцию
OpenAI внедряет обязательную верификацию личности и требует прохождение процедур KYC, дабы предотвратить злоупотребления со стороны потенциальных злоумышленников.
Please open Telegram to view this post
VIEW IN TELEGRAM
Криптовалютная биржа Kraken объявила, что киберпреступная группа пытается вымогать у компании деньги, угрожая опубликовать видеоролики, демонстрирующие внутренние системы, в которых хранятся данные клиентов.
В компании заявили, что инцидент не поставил под угрозу средства клиентов и был связан с внутренней угрозой, включающей лишь 2 случая неправомерного доступа к ограниченному объему пользовательских данных со стороны сотрудников службы поддержки. По словам
По заявлению представителей компании, Kraken не будет платить злоумышленникам или вести с ними переговоры.
Kraken — это американская криптовалютная биржа, которая позволяет миллионам пользователей в 190 странах покупать, продавать и торговать цифровыми активами, такими как биткойн, эфириум и еще 200 другими. Она считается одной из крупнейших и наиболее авторитетных бирж с ежедневным объемом торгов в сотни миллионов долларов США.
Kraken заявила, что в ходе расследования было собрано достаточно доказательств для 👮судебного преследования всех причастных лиц, пытающихся их шантажировать, и для достижения этой цели компания тесно сотрудничает с федеральными правоохранительными органами в нескольких юрисдикциях.
Please open Telegram to view this post
VIEW IN TELEGRAM
Cпециалисты из компании Socket в ходе глубокого анализа расширений Интернет-магазина Chrome (Chrome Web Store) обнаружили, что 108 расширений Chrome собирали идентификационные данные пользователей, перехватывали сеансы и скрыто внедряли бэкдоры в веб-браузеры пользователей. В общей сложности эти расширения насчитывают около 20 000.
Вредоносные расширения маскируются под легитимные инструменты, включая клиенты
Наибольшую угрозу представляет расширение "Telegram Multi-account", которое каждые 15 секунд токены аутентификации из активных веб-сеансов Telegram, позволяя злоумышленникам полностью захватывать чужие аккаунты в обход паролей и 2FA. При этом в совокупности на расширения, нацеленные на Telegram, приходится около 3 000 установок.
Please open Telegram to view this post
VIEW IN TELEGRAM
Согласно судебному заключению от 16 марта 2026 года, генеральный директор компании Krafton из Южной Кореи Чанхан Ким обратился к искусственному интеллекту СhatGPT для консультаций с целью уклонения от финансовых обязательств (договорённостей) по уплате бонуса в размере $250 млн.
Krafton — корейская компания, разработчик и издатель компьютерных игр. Известна тем, что владеет студией PUBG Studios.
В 2021 году южнокорейская корпорация Krafton приобрела независимую студию Unknown Worlds (создателей игры Subnautica) за $500 млн, пообещав выплатить ее команде дополнительный бонус до $250 млн в случае высоких продаж их будущих проектов. Ключевым условием этой сделки было то, что основатели студии сохраняют за собой полный операционный контроль — то есть право самостоятельно управлять разработкой и выпуском игр. В 2025 году внутренние расчеты показали, что грядущий хит Subnautica 2 гарантированно заставит Krafton выплатить этот гигантский бонус.
Следуя советам ChatGPT, руководство Krafton заблокировало разработчикам Unknown Worlds доступ к площадке Steam, чтобы сорвать релиз игры и искусственно занизить её доходы. Чтобы не спалиться, Чанхан Ким удалил историю переписки с ChatGPT, но в ходе судебного разбирательства этот факт всплыл наружу, и суд официально признал схему незаконной, встав на защиту Unknown Worlds игры.
Please open Telegram to view this post
VIEW IN TELEGRAM
Появилась информация, где ❗️утверждается, что Windows Defender может стать причиной полной компрометации системы Windows, если пользователь скачает и запустит
.exe файл из интернета. Новая уязвимость 0-day называется ☀️RedSun. В чём "фишка" RedSun? Вектором атаки выступает сам Windows Defender.Если отмотать историю чуть назад, то мы помним, чтоNightmare-Eclipse публично заявил о том, что Центр реагирования на угрозы безопасности Microsoft (MSRC) отклонил его отчеты об ошибках и якобы «разрушил его жизнь».
В качестве возмездия 2 апреля был опубликован эксплойт BlueHammer (который Microsoft успела исправить), 12 апреля появилась утилита UnDefend, которая ломает механизмы обновления антивируса, а 15 апреля в сеть утёк тот самый RedSun. Кроме того, разгневанный исследователь угрожает выпустить еще более разрушительный RCE.
Эксперты из компании HuntressLabs попытались разобрать механику работы RedSun. Для того чтобы атака была реализована, исходный исполняемый файл эксплойта (.exe) должен быть запущен локально на компьютере жертвы.
Эксплойт создает на диске файл-приманку (содержащий безопасный тестовый код EICAR), заставляя антивирус немедленно начать проверку и попытаться "исправить" файл. В этот момент эксплойт ставит процесс антивируса «на паузу» с помощью блокировки oplock, а затем подменяет путь через точку монтирования (NTFS-junction). В результате обманутый антивирус своими же «руками» и со своими высшими правами (NT AUTHORITY\SYSTEM) переносит файл-приманку прямо в защищённую системную директорию (C:\Windows\System32). Это действие создает брешь — легально созданный файл в системной папке, который эксплойт мгновенно перезаписывает своей реальной вредоносной полезной нагрузкой.
👆Жертве достаточно просто
Утверждается, что последствия использования RedSun в реальных условиях катастрофичны как для рядовых пользователей, так и для крупных корпоративных сетей. Получив высшие права через уязвимость антивируса, хакеры и группировки программ-вымогателей могут за считанные секунды извлечь из памяти все сохраненные пароли, корпоративные доступы, токены и активные сессии браузеров.
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
По сообщению The Information, Google ведет переговоры о заключении соглашения с Министерством войны США, которое позволит Пентагону развертывать ИИ-модели Gemini в засекреченной среде, об этом сообщили два источника издания, непосредственно знакомые с ситуацией.
Стороны обсуждают соглашение, которое позволит Пентагону использовать искусственный интеллект Google в любых
Если верить информации The Information, то в ходе переговоров компания Google предложила включить в контракт с министерством дополнительные формулировки, предотвращающие использование ее ИИ для массовой слежки внутри США или в автономных системах вооружения без надлежащего контроля со стороны человека.
В компании Alphabet не дали ответа на запрос Reuters о комментариях.
Самое ироничное в этой ситуации то, что Google, приходя «на место» вместо Anthropic, пытается прописать в контракте с оборонным ведомством ровно те же самые ограничения (запрет на внутреннюю слежку и автономное оружие), за защиту которых Anthropic попала в черный список.
Please open Telegram to view this post
VIEW IN TELEGRAM
🇪🇺 ЕС хочет ввести обязательную проверку личности для всех пользователей социальных сетей — и запретить доступ к ним лицам младше 18 лет. С этой целью Европейская комиссия потратила больше года на создание «приложения для проверки возраста», которое ее председатель помпезно представила вчера.
Сегодня это приложение было взломано всего за 2 минуты.
Но не спешите смеяться над евробюрократами.
Их приложение для проверки возраста изначально было уязвимым для взлома — оно доверяло устройству (что означает мгновенный провал). Если только ЕС не управляют клоуны 🤡, вот их настоящий план:
Шаг 1 — Представить «уважающее конфиденциальность», но уязвимое приложение.
Шаг 2 — Допустить его взлом (ВЫ НАХОДИТЕСЬ ЗДЕСЬ).
Шаг 3 — Устранить конфиденциальность, чтобы «починить» приложение.
Результат — инструмент слежки, который преподносится как «уважающий конфиденциальность».
Евробюрократам нужен был предлог, чтобы незаметно начать превращать свое «уважающее конфиденциальность» приложение для проверки возраста в механизм слежки за всеми европейцами, использующими социальные сети. И сегодняшний «неожиданный взлом» просто предоставил им этот предлог.
🦇 Будьте бдительны!
— написал Дуров сегодня в Telegram.
Исследователь кибербезопасности Пол Мур недавно продемонстрировал, что механизмы защиты приложения ЕС для проверки возраста содержат критические уязвимости и позволяют обойти систему безопасности менее чем за 2 минуты. Представленное Евросоюзом приложение для обязательной проверки возраста, заявленное Урсулой фон дер Ляйен как эталон соблюдения стандартов конфиденциальности с открытым исходным кодом, на деле оказалось катастрофически уязвимым.
По словам Мура, приложение хранит зашифрованный PIN-код локально, но, что принципиально важно, шифрование не привязано к пользовательскому хранилищу идентификационных данных, где содержатся конфиденциальные данные для верификации. Это открывает возможность для удивительно простого обхода защиты. Удалив определенные значения, связанные с PIN-кодом, из конфигурационных файлов приложения и перезапустив его, злоумышленник может установить новый PIN-код, сохранив при этом доступ к учетным данным, созданным под предыдущим профилем.
Приложение не справляется с заявленными стандартами конфиденциальности и потенциально нарушает европейское законодательство (GDPR) при работе с биометрией. Как считает исследователь, разработчики позаботились о шифровании лишь итогового результата проверки, например, статуса «старше 18 лет». При этом сами исходные данные в виде сканов документов по NFC и селфи пользователей в высоком качестве сохраняются в память телефона абсолютно
Мур также указал на дополнительные слабости, которые делают попытки брутфорса или обхода защиты еще проще. Биометрическая аутентификация контролируется одним логическим флагом: измените его значение с «
true» на «false», и приложение просто полностью пропустит биометрическую проверку.Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
Как сообщается в пресс-релизе Европола, правоохранительные органы 21 страны объединили усилия 13 апреля 2026 года для проведения масштабной международной операции PowerOFF против инфраструктуры заказных DDoS-атак.
В рамках активной фазы следователи отправили нарушителям свыше 75 000 официальных предупреждающих писем, арестовали 4 подозреваемых, заблокировали 53 целевых домена и реализовали 25 ордеров на обыск. Конфискация инфраструктуры позволила экспертам Европола извлечь ценные базы данных с детальной информацией о более чем 3 миллионах учетных записей пользователей по всему миру, причастных к DDoS-атакам. Комплексный анализ изъятых данных и отслеживание криптовалютных транзакций обеспечили национальные ведомства точными геолокационными координатами нарушителей для подготовки новых точечных рейдов.
Участие в операции принимали 🇦🇺Австралия, 🇦🇹Австрия, 🇧🇪Бельгия, 🇧🇷Бразилия, 🇧🇬Болгария, 🇩🇰Дания, 🇪🇪Эстония, 🇫🇮Финляндия, 🇩🇪Германия, 🇯🇵Япония, 🇱🇻Латвия, 🇱🇹Литва, 🇱🇺Люксембург, 🇳🇱Нидерланды, 🇳🇴Норвегия, 🇵🇱Польша, 🇵🇹Португалия, 🇸🇪Швеция, 🇹🇭Таиланд, 🇬🇧Великобритания и 🇺🇸США.
Please open Telegram to view this post
VIEW IN TELEGRAM
Исследователь Александр Хагена выпустил утилиту TotalRecall (Reloaded), которая демонстрирует обход границы доверия (trust boundary) в переработанной архитектуре безопасности функции Windows Recall путём работы с уже дешифрованными данными в процессе AIXHost.exe.
После критики Recall первой версии — Microsoft провела работу над ошибками, сосредоточившись на создании защищенного хранилища с использованием VBS-анклавов (Virtualization-based Security), механизма защиты процессов PPL (Protected Process Light) и обязательной биометрической аутентификации через Windows Hello.
Утилита TotalRecall Reloaded обходит защиту этапа рендеринга путём классической DLL-инъекции в незащищённый процесс
AIXHost.exe (без прав администратора). Эксперт описал эту архитектурную уязвимость точной метафорой: «Дверь хранилища — титановая. Стена рядом с ней — гипсокартонная». Именно через эту уязвимую «стену» и проникает эксплойт, внедряя свою DLL-библиотеку прямо в процесс отрисовки интерфейса без какого-либо повышения привилегий. Утилите не нужно взламывать шифрование, так как она незаметно блокирует механизм отзыва прав и просто ждет, пока пользователь сам легитимно пройдет авторизацию. После этого программа в фоновом режиме извлекает скриншоты, OCR-текст и метаданные всей захваченной активности пользователя.
Более того, выяснилось, что некоторые критические действия, включая скрытое создание снимков экрана или полное уничтожение всей собранной базы Recall, вообще не требуют прохождения биометрической проверки.
Хагена акцентирует внимание на следующих архитектурных моментах:
1️⃣ Таймауты обходятся прямым патчингом памяти процесса (функция DiscardDataAccess).
2️⃣ Данные выходят из защищенного анклава и попадают в AIXHost.exe — процесс, который никак не защищен механизмами вроде PPL (Protected Process Light).
Примечательно, что Microsoft отказалась признавать проблемы с безопасностью, заявив, что подобное взаимодействие процессов является «штатным поведением Windows». Александр Хагенах выразил категоричное несогласие с позицией вендора.
По мнению исследователя Александра Хагены, функция Windows Recall всё ещё недостаточно безопасна для защиты массива конфиденциальных данных, которые ей доверяет пользователь. Резюмируя, функция Windows Recall остается критически уязвимой. Операционная система передает расшифрованные данные в абсолютно незащищенный процесс рендеринга, позволяя любому фоновому вредоносному ПО скрыто перехватывать всю историю активности. Поскольку устранить эту брешь обычными настройками пользователя невозможно, единственный надежный способ защиты на данный момент —
Please open Telegram to view this post
VIEW IN TELEGRAM
Cтало известно, что Агентство национальной безопасности США получило в свой арсенал самую мощную и передовую ИИ-модель Mythos Preview, которая уже используется ведомством для решения своих задач. Как отмечает Axios, потребности правительства в обеспечении кибербезопасности стоят выше ситуации с конфликтом Пентагона с Anthropic.
Пока неясно, как именно АНБ в настоящее время использует Mythos, но другие организации, имеющие доступ к модели, используют ее преимущественно для сканирования собственных систем на наличие уязвимостей (защита), которые могут быть использованы злоумышленниками.
Не исключено, что Mythos в пилотных целях может использоваться АНБ для усиления своего наступательного потенциала при проведении киберопераций.
Представители Anthropic и Пентагона от комментариев отказались. АНБ и Аппарат директора Национальной разведки на запросы о комментариях не ответили.
Please open Telegram to view this post
VIEW IN TELEGRAM
Исследовательская группа Nous Research выпустила самообучающегося ИИ-агента под названием Hermes Agent, который пытается повторить успех проекта OpenClaw.
Данный проект с открытым исходным кодом набирает популярность среди IT-специалистов cо всего мира и уже собрал более 104 тысяч звезд и 14 900 форков. Развитие кодовой базы активно поддерживают 530 независимых разработчиков со всего мира.
В отличие от стандартных ИИ-ассистентов, привязанных к конкретной среде разработки или веб-браузеру, Hermes спроектирован как фоновый процесс. Он разворачивается на вашем собственном оборудовании (проект стабильно работает даже на базовом виртуальном сервере стоимостью от $5 в месяц) и сохраняет полный контекст взаимодействия между сессиями. Существует возможность интеграции более чем с 200 ИИ-моделями через OpenRouter, кроме того, Hermes напрямую работает с продуктами OpenAI, Anthropic и NVIDIA. Управлять инфраструктурой можно прямо из Telegram.
Важно отметить, что ИИ-агент для полноценного внедрения в 🙅♂️
Please open Telegram to view this post
VIEW IN TELEGRAM
Тим Кук уходит с поста CEO компании Apple и станет исполнительным председателем совета директоров.
Вместо Тима Кука пост генерального директора с 1 сентября 2026 займет Джон Тернус. Сейчас он занимает пост старшего вице-президента по аппаратной инженерии. Он отвечает за проектирование и выпуск почти всех физических продуктов Apple: iPhone, Mac, iPad. Как отмечают СМИ, Тернус — инженер-продуктовик.
Please open Telegram to view this post
VIEW IN TELEGRAM
Популярная платформа для создания веб-приложений Lovable с помощью
Исследователь обнаружил критическую уязвимость (BOLA — Broken Object Level Authorization) и забил
Как утверждает ресёрчер, любой пользователь с бесплатным аккаунтом мог через простые API-запросы получить доступ к чужим проектам. Виден был исходный код, ключи от баз данных (credentials), личные данные реальных людей (имена, ссылки на LinkedIn) и, что самое страшное,
Что это значит? Пользователи использовали нейросеть как помощника при разработке и без задней мысли скидывали ей логи с ошибками, обсуждали схемы баз данных и делились учетными данными, включая пароли. В логах фигурировала чувствительная информация, вплоть до идентификаторов клиентов платежной системы (Stripe Customer ID).
Исследователь заявил, что первый отчет об уязвимости был отправлен через платформу HackerOne еще 48 дней назад, но ему присвоили статус «triaged» (взят в работу) и по факту проигнорировали. Более того, Lovable закрыли эту уязвимость только для новых проектов, оставив старые полностью открытыми для несанкционированного доступа.
Как такое могло произойти? Изначально Lovable работали по принципу GitHub. Если проект имел статус «Публичный» (а на бесплатном тарифе все проекты были именно такими), то публичным было всё: и код, и история чата с ИИ. Компания считала это нормальным образовательным процессом. Зачем? 🤔Чтобы люди смотрели, как другие создают приложения, и учились.
Разработчики Lovable не учли, что пользователи трактовали слово «Публичный» иначе. Люди думали, что открытым будет только готовый опубликованный сайт, а их рабочая переписка с ИИ (где они «светили» секреты) остается приватной. Осознав ошибку, Lovable разрешили всем делать проекты закрытыми и программно заблокировали доступ к чатам публичных проектов. Но во время обновления серверов в феврале они случайно откатили этот патч и снова выставили чаты на всеобщее обозрение.
Когда багхантеры начали массово репортить об этом на HackerOne, триажеры (модераторы) платформы ошибочно закрывали тикеты без передачи их команде разработчиков. Они сверялись с неясной документацией Lovable и думали: "Ну, это же публичный проект, значит, чаты должны быть видны всем. Это задумка авторов, а не уязвимость".
Всё, что вы когда-либо писали в чат с ИИ (логи ошибок, схемы БД, пароли, Stripe Customer ID, ключи, личные данные и т.д.), уже могло быть прочитано посторонними — особенно если проект был создан до декабря 2025 года и стоял на «публичном» статусе.— комментируют в X.
Please open Telegram to view this post
VIEW IN TELEGRAM