Llama's Paradox - Delving deep into Llama.cpp and exploiting Llama.cpp's Heap Maze, from Heap-Overflow to Remote-Code Execution.
https://retr0.blog/blog/llama-rpc-rce
https://retr0.blog/blog/llama-rpc-rce
retr0.blog
Retr0's Register
Retr0's Threat Research
Vul-RAG: Enhancing LLM-based Vulnerability
Detection via Knowledge-level RAG
https://arxiv.org/pdf/2406.11147v3
Detection via Knowledge-level RAG
https://arxiv.org/pdf/2406.11147v3
👍5
CVE-2025-54136 – MCPOISON CURSOR IDE: PERSISTENT CODE EXECUTION VIA MCP TRUST BYPASS
https://research.checkpoint.com/2025/cursor-vulnerability-mcpoison/
https://research.checkpoint.com/2025/cursor-vulnerability-mcpoison/
Check Point Research
Cursor IDE's MCP Vulnerability - Check Point Research
Identified Cursor IDE's vulnerability allows attackers to modify MCP configuration files after its one-time approval system
https://arxiv.org/pdf/2508.03470
On the Evaluation of Large Language Models in Multilingual Vulnerability Repair
On the Evaluation of Large Language Models in Multilingual Vulnerability Repair
https://www.mbgsec.com/posts/2025-08-08-enterprise-ai-compromise-0click-exploit-methods-sneak-peek/
Pwn the Enterprise - thank you AI!
AI Enterprise Compromise - 0click Exploit Methods sneak peek
Pwn the Enterprise - thank you AI!
AI Enterprise Compromise - 0click Exploit Methods sneak peek
Michael Bargury
Pwn the Enterprise - thank you AI! Slides, Demos and Techniques
Bottom lines, demos, slides, and attacker capabilities from the BlackHat USA 2025 talk
Завершился финальный этап DARPA AIxCC
https://www.darpa.mil/news/2025/aixcc-results
Участники начали делиться наработками:
Первое место Team Atlanta
https://team-atlanta.github.io
Второе место Trail of Bits:
https://www.trailofbits.com/buttercup/
https://github.com/trailofbits/buttercup
Третье место Theori
https://theori-io.github.io/aixcc-public/index.html
Решения других команд также доступны или появятся в скором времени.
Ключевые моменты соревнования:
- В среднем команды отправляли исправления за 45 минут.
- Каждая команда выявила уязвимость из реального мира.
- Четыре команды создали исправления всего в одну строку.
- Три команды заработали очки, выполнив три разные задачи за одну минуту.
- CRS участников проанализировали более 45 миллионов строк кода.
- Команды тратили около 152 долларов на каждую задачу соревнования.
- Финалисты обнаружили 77 % внедрённых (synthetic) уязвимостей и успешно запатчили 61 % из них
- Также была выявлена 18 ранее неизвестных реальных уязвимостей
P.S. неделей ранее появилась ссылка на трекер Big Sleep с первыми находками совместного проекта Project Zero и DeepMind
https://www.darpa.mil/news/2025/aixcc-results
Участники начали делиться наработками:
Первое место Team Atlanta
https://team-atlanta.github.io
Второе место Trail of Bits:
https://www.trailofbits.com/buttercup/
https://github.com/trailofbits/buttercup
Третье место Theori
https://theori-io.github.io/aixcc-public/index.html
Решения других команд также доступны или появятся в скором времени.
Ключевые моменты соревнования:
- В среднем команды отправляли исправления за 45 минут.
- Каждая команда выявила уязвимость из реального мира.
- Четыре команды создали исправления всего в одну строку.
- Три команды заработали очки, выполнив три разные задачи за одну минуту.
- CRS участников проанализировали более 45 миллионов строк кода.
- Команды тратили около 152 долларов на каждую задачу соревнования.
- Финалисты обнаружили 77 % внедрённых (synthetic) уязвимостей и успешно запатчили 61 % из них
- Также была выявлена 18 ранее неизвестных реальных уязвимостей
P.S. неделей ранее появилась ссылка на трекер Big Sleep с первыми находками совместного проекта Project Zero и DeepMind
team-atlanta.github.io
Team Atlanta
We are Team Atlanta, finalists in DARPA AIxCC.
1👍4
US_25_Dolan_Gavitt_AI_Agents_for_Offsec_with_Zero_False_Positives.pdf
14.8 MB
Интересный доклад с Black Hat USA 2025 от XBOW на тему валидации результатов работы атакующих LLM-агентов
Аудио подкаст в комментариях
1🔥6
Alaid TechThread
Завершился финальный этап DARPA AIxCC https://www.darpa.mil/news/2025/aixcc-results Участники начали делиться наработками: Первое место Team Atlanta https://team-atlanta.github.io Второе место Trail of Bits: https://www.trailofbits.com/buttercup/ https…
AIxCC_Main_Stage_Presentation.pdf
13 MB
1
Audio
Towards Effective Offensive Security LLM Agents: Hyperparameter Tuning, LLM as a Judge, and a Lightweight CTF Benchmark
https://arxiv.org/pdf/2508.05674
https://arxiv.org/pdf/2508.05674
👍1
Enhancing Security in Third-Party Library Reuse -
Comprehensive Detection of 1-day Vulnerability
through Code Patch Analysis
https://www.ndss-symposium.org/wp-content/uploads/2025-576-paper.pdf
Comprehensive Detection of 1-day Vulnerability
through Code Patch Analysis
https://www.ndss-symposium.org/wp-content/uploads/2025-576-paper.pdf
All You Need Is MCP - LLMs Solving a DEF CON CTF Finals Challenge
https://wilgibbs.com/blog/defcon-finals-mcp/
https://wilgibbs.com/blog/defcon-finals-mcp/
Wil Gibbs
All You Need Is MCP - LLMs Solving a DEF CON CTF Finals Challenge
DEF CON CTF Every year world-class teams play difficult CTFs such as Plaid CTF and HITCON CTF in an attempt to qualify for DEF CON CTF by getting first place. There are usually only 3-4 CTFs a year designated as pre-qualifying events. DEF CON CTF also has…
👍2
Alaid TechThread
US_25_Dolan_Gavitt_AI_Agents_for_Offsec_with_Zero_False_Positives.pdf
Про наработки нашей команды (Professional Security Agents) в области автономных атакующих систем расскажем в конце первого дня конференции OFFZONE.
- Посмотрим на эволюционный путь сканеров безопасности за последние 30 лет до наших дней. Проведем краткий разбор ключевых исследований 2025 года.
- Поделимся нашим видением, стратегией развития и подходами к разработке мультиагентных систем.
- Обязательно принесем и продемонстрируем кейсы реальных уязвимостей, найденных нашим решением.
- Расскажем о том, как подходим к тестированию и оценке качества работы агентов. Поделимся используемыми бенчмарками и текущими результатами на них.
Также мы ищем желающих принять участие в состязании полностью автономных систем в формате CTF. Пишите в ЛС или ищите на конференции, если готовы принять вызов.
#ProSecA@offensive_thread
- Посмотрим на эволюционный путь сканеров безопасности за последние 30 лет до наших дней. Проведем краткий разбор ключевых исследований 2025 года.
- Поделимся нашим видением, стратегией развития и подходами к разработке мультиагентных систем.
- Обязательно принесем и продемонстрируем кейсы реальных уязвимостей, найденных нашим решением.
- Расскажем о том, как подходим к тестированию и оценке качества работы агентов. Поделимся используемыми бенчмарками и текущими результатами на них.
Также мы ищем желающих принять участие в состязании полностью автономных систем в формате CTF. Пишите в ЛС или ищите на конференции, если готовы принять вызов.
#ProSecA@offensive_thread
👍6
US-25-ZyuzinPeng-ThinkingOutsideOfSink-6August.pdf
48.1 MB
Применение LLM в статическом анализе на Black Hat 2025
Также еще один интересный по описанию доклад пока без слайдов: Let LLM Learn: When Your Static Analyzer Actually 'Gets It'
Также еще один интересный по описанию доклад пока без слайдов: Let LLM Learn: When Your Static Analyzer Actually 'Gets It'
11🔥1