🔜 Свежий релиз AppSec.Wave 26.1.2

Делимся важными обновлениями нашего SAST-сканера:

▶️ Новая функциональность
Добавили интеграционное API, которое позволяет подключать к системе внешние сервисы.

▶️ Улучшения
— оптимизировали производительность агентов сканирования,
— ускорили формирование отчетов,
— дополнили информацию о CWE в отчетах формата .sarif.

⚙️ Для работы с API необходимо обновить конфигурацию nginx:

1. Открыть файл nginx.conf

2. В секции location /swagger-ui/ заменить значение proxy_pass на proxy_pass https://backend:8095;

3. Если пункты 1 и 2 были сделаны после обновления сканера до версии 26.1.2, выполните команды из папки с docker-compose.yaml:

docker compose down frontend 
docker compose up -d

➡️ Обновляйтесь и пробуйте новые возможности.

#AppSecWave_релизы

📣 В MCP Go SDK нашли уязвимость, позволяющую атаковать ИИ-агентов

ФСТЭК предупредила о критической уязвимости BDU:2026-02402 в библиотеке MCP Go SDK, которая используется для интеграции LLM с внешними источниками данных. Она получила максимальную оценку 10.0 по CVSS.

ℹ️ Ошибка появилась в реализации протокола JSON-RPC, который обеспечивает передачу сообщений между элементами ИИ-системы. Дефект позволяет удаленному злоумышленнику обойти ограничения безопасности и выполнить манипулирование данными с помощью неправильной обработки регистра (CWE-178).

На текущий момент нет публично подтверждённых фактов использования именно MCP Go SDK в конкретных отечественных продуктах. При этом Go активно применяется в банковском секторе, телеком-компаниях, e-commerce, а также в сервисах, связанных с обработкой данных. Организации, которые строят собственные ИИ-решения на базе больших языковых моделей и интегрируют их с корпоративной инфраструктурой через MCP, потенциально могут использовать эту библиотеку или её производные.

— прокомментировал Антон Башарин, старший управляющий директор AppSec Solutions.

Уязвимость может затронуть, например:
— корпоративные ИИ-ассистенты с доступом к внутренним базам данных и сервисам,
— платформы автоматизации бизнес-процессов с ИИ-компонентами,
— DevOps и DevSecOps-инструменты, использующие с ИИ-агентами.

▶️ Исправление уже выпущено — разработчикам рекомендуется обновить MCP Go SDK до версии 1.3.1 или новее.

Подробности и рекомендации экспертов на TAdviser. 🖥

#Экспертиза_AppSec #ИИ

Послание для подписчиц 💐

С 8 Марта, милые дамы! Пусть ваша жизнь будет такой же гармоничной, как самая прозрачная IT-система — надежная и защищенная от любых сбоев.

Помните, что вам открыты любые двери — вы умные, талантливые, добрые, смелые и вдохновляющие! Спасибо, что делаете цифровой мир безопаснее и технологичнее. С праздником 💙

#AppSec_Life

😮 AppSec.Cryptex вошел в Репозиторий АФТ

Наше решение для шифрования и защиты мобильных приложений от запуска в небезопасной среде размещено в отраслевом Репозитории ИТ-решений для финансовой сферы Ассоциации ФинТех.

🛡 AppSec.Cryptex обеспечивает безопасность кода приложения от изменения злоумышленником и копирования, поэтому в его применении особенно заинтересованы владельцы банковских и ecom-приложений. Для российского финтех-рынка сегодня это отечественная альтернатива иностранному ПО, что актуально на фоне непредсказуемого поведения зарубежных вендоров.

Количество e-pay сервисов растет, российские платежные системы в целом уже сумели адаптироваться к ситуации с уходом зарубежных продуктов, однако, если говорить о сервисах шифрования, часто финансовый сектор использует своего рода «микс» из иностранного ПО, а это повышает риски для самого финтеха. Появление на рынке российских решений для шифрования позволяет банковскому сектору и ритейлу не зависеть от геополитики.

— отмечает Юрий Шабалин, руководитель продукта AppSec.Cryptex.

Подробнее на CNews 🖥

#AppSecCryptex

📄 Разработчики смогут использовать авторские материалы для обучения ИИ без согласия владельца

Правительство может разрешить компаниям использовать для обучения ИИ-моделей защищенные авторским правом материалы (в первую очередь, научные публикации, учебные пособия и архивные документы) без получения разрешения правообладателей. Это должно ускорить развитие технологий, поскольку доступ к таким данным часто ограничен.

Информацию, которая сегодня защищена законом, включая персональные данные, сведения о налогоплательщиках, частные переписки и прочие чувствительные данные, использовать для обучения ИИ будет нельзя.

❓ Право на результаты работы модели могут закрепить за пользователем, который вносит своей вклад через промпты.

Этот вопрос давно назрел: сегодня дизайнер или разработчик не понимает, кому принадлежит результат генерации — ему или владельцу модели. Можно ли использовать его в портфолио, коммерческих продуктах или нужно делиться правами? Инициатива как раз пытается дать на это ясный ответ.

— комментирует Антон Башарин, старший управляющий директор AppSec Solutions.

В индустрии считают, что необходим компромисс: узаконить реальную практику и снизить риски конфликтов вокруг авторских прав.

⬇️ Слушайте запись эфира на Радио РБК.

#Экспертиза_AppSec #ИИ

⭐️ Мы вступили в Ассоциацию «Отечественный софт»

AppSec Solutions присоединилась к Ассоциации разработчиков программных продуктов (АРПП) «Отечественный софт» — объединению ведущих российских производителей тиражируемого ПО. Сегодня в АРПП входит более 300 отечественных ИТ-компаний.

🔗 Мы активно развиваем направление безопасности ИИ и участвуем в профильных инициативах, включая сотрудничество с консорциумом по безопасности ИИ. Участие в ассоциации позволяет формировать будущее ИТ-отрасли в России вместе с коллегами по рынку — от обсуждения законодательных инициатив до выработки единых стандартов.

Сегодня интеллектуальная синергия – это необходимое условие для развития российской ИТ-отрасли, потому что она уже перешла в режим многократного ускорения. Продукты, которые раньше разрабатывались несколько лет, сегодня выходят за несколько месяцев благодаря применению ИИ-технологий, и на этом фоне особенно важно сообща вырабатывать общие критерии безопасности. Для нас сотрудничество с АРПП – вклад в развитие профессионального сообщества.

— отмечает Антон Башарин, старший управляющий директор AppSec Solutions.

Подробнее на CNews 🖥

#AISecurity