Отличный актуальный пример уязвимости CVE-2026-27896 в MCP go SDK почему в крупной организации не обойтись без отдельного специалиста, практики (и) или агента ИИ по управлению уязвимостями.
На фоне проблем со скоростью обогащения базы уязвимостей NIST NVD теперь эталонная оценка критичности проводится с заметной задержкой. Указываются внешние источники типа гитхаба или национальной БДУ.
В национальной БДУ на одну уязвимость расчет сразу в 3 версиях CVSS с разными итоговыми уровнями (критичный или высокий).
Отдельной вишенкой ещё один свой расчет от CNA по части метрики CVSS 4 - Base (без environment и temporal частей). Т.е. в оценке CNA нет учёта наличия эксплойта, исправления и достоверности.
А ещё есть другие полезные шкалы для уязвимостей - несколько версий EPSS (Exploit Prediction Scoring System). Несколько списков трендовых уязвимостей типа CISA KEV и ряда национальных и вендорских списков.
Так эта уязвимость:
1. Githab и ФСТЭК имеет расчет 7.0 cvss 4
2. ФСТЭК версии cvss 3.1 - 10.
3. ФСТЭК в версии cvss 2.0 - 9.4.
На фоне проблем со скоростью обогащения базы уязвимостей NIST NVD теперь эталонная оценка критичности проводится с заметной задержкой. Указываются внешние источники типа гитхаба или национальной БДУ.
В национальной БДУ на одну уязвимость расчет сразу в 3 версиях CVSS с разными итоговыми уровнями (критичный или высокий).
Отдельной вишенкой ещё один свой расчет от CNA по части метрики CVSS 4 - Base (без environment и temporal частей). Т.е. в оценке CNA нет учёта наличия эксплойта, исправления и достоверности.
А ещё есть другие полезные шкалы для уязвимостей - несколько версий EPSS (Exploit Prediction Scoring System). Несколько списков трендовых уязвимостей типа CISA KEV и ряда национальных и вендорских списков.
Так эта уязвимость:
1. Githab и ФСТЭК имеет расчет 7.0 cvss 4
2. ФСТЭК версии cvss 3.1 - 10.
3. ФСТЭК в версии cvss 2.0 - 9.4.
Forwarded from AppSec Solutions
ФСТЭК предупредила о критической уязвимости BDU:2026-02402 в библиотеке MCP Go SDK, которая используется для интеграции LLM с внешними источниками данных. Она получила максимальную оценку 10.0 по CVSS.
На текущий момент нет публично подтверждённых фактов использования именно MCP Go SDK в конкретных отечественных продуктах. При этом Go активно применяется в банковском секторе, телеком-компаниях, e-commerce, а также в сервисах, связанных с обработкой данных. Организации, которые строят собственные ИИ-решения на базе больших языковых моделей и интегрируют их с корпоративной инфраструктурой через MCP, потенциально могут использовать эту библиотеку или её производные.
— прокомментировал Антон Башарин, старший управляющий директор AppSec Solutions.
Уязвимость может затронуть, например:
— корпоративные ИИ-ассистенты с доступом к внутренним базам данных и сервисам,
— платформы автоматизации бизнес-процессов с ИИ-компонентами,
— DevOps и DevSecOps-инструменты, использующие с ИИ-агентами.
Подробности и рекомендации экспертов на TAdviser.
#Экспертиза_AppSec #ИИ
Please open Telegram to view this post
VIEW IN TELEGRAM
Интересная презентация с мероприятия CNEWS про практики API т.ч. безопасности от Сбера.
Удивительно, что явно не упомянули про такую практику как лимиты\квоты.
Возможный массовый поддержка API шлюзов MCP протокола Агентов выглядит очередным вызовом для подразделений ИБ организаций.
Удивительно, что явно не упомянули про такую практику как лимиты\квоты.
Возможный массовый поддержка API шлюзов MCP протокола Агентов выглядит очередным вызовом для подразделений ИБ организаций.
Кирилл Кибалко на мероприятии CNEWS проанализировал ещё раз публичные аналитические материалы и выделил, что кибербезопасность является одним из главных приоритетов в финсекторе.
p.s. презентация похоже сгенерена ИИ, не забудьте проверить данные перед переи
p.s. презентация похоже сгенерена ИИ, не забудьте проверить данные перед переи
Забавная новость. Американскую счётная палату попросили проверить на сколько до сих пор сети уязвимы для атак по ПЭМИН (побочное электромагнитное излучение и наводки).
https://www.wired.com/story/how-vulnerable-are-computers-to-an-80-year-old-spy-technique-congress-wants-answers/
Будет интересно узнать даже краткие выводы.
https://www.wired.com/story/how-vulnerable-are-computers-to-an-80-year-old-spy-technique-congress-wants-answers/
Будет интересно узнать даже краткие выводы.
WIRED
How Vulnerable Are Computers to an 80-Year-Old Spy Technique? Congress Wants Answers
A pair of US lawmakers are calling for an investigation into how easily spies can steal information based on devices’ electromagnetic and acoustic leaks—a spying trick the NSA once codenamed TEMPEST.
https://github.com/n8n-io/n8n/security/advisories/GHSA-jjpj-p2wh-qf23
относительно свежая критическая уязвимость CVE-2026-27495 в рабочей лошади ИИ агентов в корп среде - n8n.
относительно свежая критическая уязвимость CVE-2026-27495 в рабочей лошади ИИ агентов в корп среде - n8n.
GitHub
Sandbox Escape in JavaScript Task Runner
## Impact
An authenticated user with permission to create or modify workflows could exploit a vulnerability in the JavaScript Task Runner sandbox to execute arbitrary code outside the sandbox boun...
An authenticated user with permission to create or modify workflows could exploit a vulnerability in the JavaScript Task Runner sandbox to execute arbitrary code outside the sandbox boun...
Вышло ежегодное исследование Mandiant Google по проблеме zeroday.
Есть интересная статистика.
Например у Иванти зиродеев было меньше чем у Фортинета, но Иванти не выходил из мемов в прошлом году, но все все все равно сохраняют веру в Форти 🙂.
Из неочевидного - чаще чем хакеры и АПТ зиродеи использовали вендоры с услугами слежки (Commercial Surveillance Vendors). Типа Pegasus.
В конце рисеча приводится набор мер для компании и личной безопасности: от сегментации до EDR.
Примеры следует применять взвешенно, например понимать, что любой блокировщик рекламы анализирует ваш трафик.
https://cloud.google.com/blog/topics/threat-intelligence/2025-zero-day-review
Есть интересная статистика.
Например у Иванти зиродеев было меньше чем у Фортинета, но Иванти не выходил из мемов в прошлом году, но все все все равно сохраняют веру в Форти 🙂.
Из неочевидного - чаще чем хакеры и АПТ зиродеи использовали вендоры с услугами слежки (Commercial Surveillance Vendors). Типа Pegasus.
В конце рисеча приводится набор мер для компании и личной безопасности: от сегментации до EDR.
Примеры следует применять взвешенно, например понимать, что любой блокировщик рекламы анализирует ваш трафик.
https://cloud.google.com/blog/topics/threat-intelligence/2025-zero-day-review
Google Cloud Blog
Look What You Made Us Patch: 2025 Zero-Days in Review | Google Cloud Blog
Our analysis of 90 zero-day vulnerabilities tracked in 2025, focusing on techniques and how AI will accelerate the vulnerability landscape.
Forwarded from k8s (in)security (Дмитрий Евдокимов)
С каждым днем все острее встает вопрос запуска не доверенного кода в виде
Среди окружений запуска отдельно автор выделил
Среди механизмов безопасности естественно встречаются:
P.S. Скоро и мы поделимся нашим опытом защиты
AI Agents и то что они создают. И сегодняшний проект "The Agent Sandbox Taxonomy (AST)" как раз призван помочь понять и разобраться на что стоит обращать внимание и какие вообще есть варианты реализации. Также автор приводит результаты сравнения для 23-х проектов: от Docker Sandbox до Claude code, Cursor и replit.Среди окружений запуска отдельно автор выделил
Kubernetes (без него сегодня уже никуда).Среди механизмов безопасности естественно встречаются:
MicroVM, Policy engine.P.S. Скоро и мы поделимся нашим опытом защиты
AI кластеров Kubernetes ;)🔥1
Forwarded from CISOCLUB - кибербезопасность и ИТ
Российские банковские приложения готовят к работе без мобильного интернета
📤 Подписывайтесь на CISOCLUB в MAX
Российские банки начали активно закупать специальное оборудование, чтобы их мобильные приложения продолжали работать даже при ограничении доступа к сети. Несколько крупных банков уже включены в специальные перечни Минцифры, и спрос на решения для защищённой передачи данных заметно вырос в 2025 году и продолжает расти в 2026-м.
По данным Минцифры, в специальные списки уже внесены приложения Альфа-Банка, ВТБ и ПСБ. Это значит, что при временных ограничениях мобильного интернета их сервисы должны оставаться доступными для клиентов. Об этом сообщило издание «Известия» со ссылкой на министерство.
Такие перечни формируются государством и содержат сайты и сервисы, к которым сохраняется доступ даже в условиях ограничений связи. На сайте Минцифры опубликованы несколько отдельных списков, которые выходили поэтапно.
Чтобы попасть в эти перечни, банки обязаны выполнить требования ФСБ. Среди них — подключение к системе оперативно-разыскных мероприятий, известной как СОРМ. Эта система позволяет уполномоченным органам получать доступ к данным о передаче информации, прежде всего к переписке. «Известия» направили запрос в ФСБ для уточнения деталей.
В Минцифры пояснили, что включение в перечни согласуется с ведомствами, отвечающими за безопасность. Также обязательным условием остаётся размещение серверов и вычислительных мощностей внутри страны.
На фоне этих требований банки начали активно обновлять свои технические решения. В компании «Кросс технолоджис» сообщили, что в течение 2025 года интерес банков к оборудованию для защищённой передачи данных рос примерно на 15% каждый квартал. В январе 2026 года спрос оказался на 35–40% выше, чем годом ранее. Представители компаний «Информзащита» и «РуБэкап» подтвердили наличие устойчивого роста.
В «Кросс технолоджис» также отметили, что доля банков среди клиентов, закупающих такое оборудование, увеличилась с 5% в 2024 году до 20% в 2025-м. Это говорит о том, что финансовые организации серьёзно занялись подготовкой к новым требованиям.
Директор по противодействию мошенничеству компании «Информзащита» Павел Коваленко сообщил изданию, что банки закупают не только сами комплексы СОРМ. Им требуется дополнительная инфраструктура — системы хранения данных, средства защиты каналов связи, а также настройка взаимодействия с уже работающими внутренними программами.
Генеральный директор «РуБэкап» Андрей Кузнецов рассказал журналистам, что интерес к таким решениям действительно заметен, но внедрение остаётся сложным и затратным процессом. При этом к 2027 году подключение банков к СОРМ станет обязательным.
🔗 Другие новости про хакеров, мошенников, утечки, ИБ, ИИ и ИТ можно прочитать здесь.
📤 Подписывайтесь на CISOCLUB в MAX
Российские банки начали активно закупать специальное оборудование, чтобы их мобильные приложения продолжали работать даже при ограничении доступа к сети. Несколько крупных банков уже включены в специальные перечни Минцифры, и спрос на решения для защищённой передачи данных заметно вырос в 2025 году и продолжает расти в 2026-м.
По данным Минцифры, в специальные списки уже внесены приложения Альфа-Банка, ВТБ и ПСБ. Это значит, что при временных ограничениях мобильного интернета их сервисы должны оставаться доступными для клиентов. Об этом сообщило издание «Известия» со ссылкой на министерство.
Такие перечни формируются государством и содержат сайты и сервисы, к которым сохраняется доступ даже в условиях ограничений связи. На сайте Минцифры опубликованы несколько отдельных списков, которые выходили поэтапно.
Чтобы попасть в эти перечни, банки обязаны выполнить требования ФСБ. Среди них — подключение к системе оперативно-разыскных мероприятий, известной как СОРМ. Эта система позволяет уполномоченным органам получать доступ к данным о передаче информации, прежде всего к переписке. «Известия» направили запрос в ФСБ для уточнения деталей.
В Минцифры пояснили, что включение в перечни согласуется с ведомствами, отвечающими за безопасность. Также обязательным условием остаётся размещение серверов и вычислительных мощностей внутри страны.
На фоне этих требований банки начали активно обновлять свои технические решения. В компании «Кросс технолоджис» сообщили, что в течение 2025 года интерес банков к оборудованию для защищённой передачи данных рос примерно на 15% каждый квартал. В январе 2026 года спрос оказался на 35–40% выше, чем годом ранее. Представители компаний «Информзащита» и «РуБэкап» подтвердили наличие устойчивого роста.
В «Кросс технолоджис» также отметили, что доля банков среди клиентов, закупающих такое оборудование, увеличилась с 5% в 2024 году до 20% в 2025-м. Это говорит о том, что финансовые организации серьёзно занялись подготовкой к новым требованиям.
Директор по противодействию мошенничеству компании «Информзащита» Павел Коваленко сообщил изданию, что банки закупают не только сами комплексы СОРМ. Им требуется дополнительная инфраструктура — системы хранения данных, средства защиты каналов связи, а также настройка взаимодействия с уже работающими внутренними программами.
Генеральный директор «РуБэкап» Андрей Кузнецов рассказал журналистам, что интерес к таким решениям действительно заметен, но внедрение остаётся сложным и затратным процессом. При этом к 2027 году подключение банков к СОРМ станет обязательным.
🔗 Другие новости про хакеров, мошенников, утечки, ИБ, ИИ и ИТ можно прочитать здесь.
Please open Telegram to view this post
VIEW IN TELEGRAM
Относительно редкая презентация не от ИБ про кибер безопасность ИИ.
Небольшим поиском можно найти, что автор, скорее всего, работает в крупном техе FMCG.
Поэтому презентация интересна как индустриальный опыт использования облачных и он прем моделей ИИ.
Небольшим поиском можно найти, что автор, скорее всего, работает в крупном техе FMCG.
Поэтому презентация интересна как индустриальный опыт использования облачных и он прем моделей ИИ.
Forwarded from mnctty's AT-IT | Карина Садова про агентов и ИИ
В четверг выступила на конференции CNews. Рассказывала про варианты секьюрного использования и проектирования систем с ИИ.
Если кратко, то то, что можно не слать в облако, надо обрабатывать локально. Если нет вариантов не слать - нужно сделать это максимально секьюрно, и хотя бы тогда организовать PVC какое-нибудь.
В презентации куча сравнительных таблиц с деталями.
Чуть-чуть успели затронуть хайповые Confidential Computing и Zero Knowledge протоколы.
Про них в ближайшее время напишу подробные посты
Если кратко, то то, что можно не слать в облако, надо обрабатывать локально. Если нет вариантов не слать - нужно сделать это максимально секьюрно, и хотя бы тогда организовать PVC какое-нибудь.
В презентации куча сравнительных таблиц с деталями.
Чуть-чуть успели затронуть хайповые Confidential Computing и Zero Knowledge протоколы.
Про них в ближайшее время напишу подробные посты