Собственно о чем я и говорил.

Использование платформ агентов крупных компаний, на базе самих этих компаний, для прямого использования собственного ИИ.

То есть, если грубо, компания, предоставляет хост(ставь что хочешь на него) на котором уже вшит их ИИ и главное, поиск, Gemini очень хорошо ищет информацию в google.search.

Никаких подтверждений перс.данных, бесплатно, в доступе самая мощная модель google, легко проходят «хакерские» промпты, поиск, твой ip-гугловский(привет waf) и тд…

Пока я разрабатывал инструмент внутри cloud shell гуугла, мне на некоторых аккаунтах падала блокировка, но это вряд ли кого-то остановит.

Представленный документ является презентацией, подготовленной Патриком Венцульело, основателем и генеральным директором компании FuzzingLabs, для конференции BSides Berlin 2025. Доклад посвящен эволюции автоматизации в области кибербезопасности и переходу к автономии.

▌ Основные моменты презентации

▌ От автоматизации к автономии

Документ описывает эволюцию процессов автоматизации в сфере информационной безопасности, подчеркивая важность перехода от простых автоматизированных решений к полноценным автономным системам. Это включает использование многоагентных архитектур, координации действий и интеграции технологий машинного обучения (ML) и больших языковых моделей (LLM).

▌ Основные блоки автономии

- Анализ исходного кода: Использование методов анализа абстрактного синтаксического дерева (AST) и синтеза правил позволяет выявлять уязвимости более эффективно.
- Автоматизация жизненного цикла фатинга: Автоматическое создание тестов и грамматик для структурированных вводов улучшает качество тестирования.
- Переход от эксплойта к исправлению: Автономные системы способны самостоятельно генерировать патчи и проверять их функциональность.
- Многоагентные команды: Специализированные агенты работают совместно, обеспечивая комплексный подход к решению проблем безопасности.

▌ Выделенные проекты и инструменты

- DARPA AIxCC: Проект, запущенный в 2023 году, направленный на тестирование автономных систем в киберпространстве. Включал разработку многоагентных систем для обнаружения, эксплуатации и устранения уязвимостей.
- Buttercup: Система для автономного выявления и исправления уязвимостей, использующая объединённый стек анализа статического и динамического кодов, а также рассуждения на основе LLM.
- Atlantis: Масштабируемая архитектура на основе контейнеризации Kubernetes, позволяющая координировать работу агентов и масштабироваться по кластерам.

▌ Оставшиеся проблемы и вызовы

- Проблема воспроизводимости: Нестабильность результатов работы LLM затрудняет повторяемость экспериментов и проверку найденных ошибок.
- Оценка автономии: Отсутствие стандартных метрик для оценки автономных систем усложняет сравнение разных подходов.
- Этические вопросы: Возникают трудности с определением ответственности за действия автономных систем, особенно в условиях двойного назначения инструментов.

▌ Будущее автономной безопасности

- Переход от универсальных моделей к специализированным малым языкам (SLM), адаптированным под конкретные задачи.
- Развитие автономных красных команд, способствующих созданию целостных цепочек атак, включая разведку, эксплуатацию и отчетность.
- Эволюция открытых экосистем, позволяющих создавать совместные решения для повышения уровня защиты.

Что может быть лучше ChatGPT-5, да еще и бесплатно?

Kimi-K2!

В тестах MMLU-Pro Kimi-K2 показал статистически значимое превосходство (p < 0.001) над ChatGPT-5. В реальных задачах анализа контрактов Kimi-K2 достиг 87% успешных результатов против 82% у ChatGPT-5. В заданиях с длинным контекстом, таких как анализ 120–180 тыс. токенов, Kimi-K2 справляется без потери качества, тогда как ChatGPT-5 требует разбиения текста.


OpenSource
#ai #KimiK2

Пост о кибершпионаже с использованием ИИ

Недавно произошел значимый шаг в области кибербезопасности — Обнаружен и успешно предотвращен первый зафиксированный случай кибершпионажа, организованного с помощью ИИ.

Это событие подчеркивает эволюцию киберугроз в эпоху использования интеллектуальных агентов, способных действовать практически автономно.

Описание инцидента
В середине сентября 2025 года была обнаружена сложная кампания шпионажа, предположительно организованная группой, поддерживаемой китайским государством. Атакующие использовали ИИ в качестве не просто советника, а как исполняющего звена для выполнения кибератак. В результате атаки были нацелены крупные технологические компании, финансовые учреждения и государственные структуры.

Команда быстро отреагировала на эти угрозы и провела тщательное расследование для анализа масштабов операции. За десять дней были заблокированы соответствующие аккаунты, уведомлены пострадавшие организации, а также проведены координационные действия с властями.

Влияние на безопасность
Этот инцидент иллюстрирует, как быстро ИИ может изменять ландшафт киберугроз.

Пока не переходим на новые gemini - стал умней не в ту сторону!

#gemini #ai

Жду когда уже добавят в конфлюенс:

не хватает возможности вставлять в докуху тяжёлые вздохи

@ithumor

Решил протестит GigaCode кто со мной? Хочу услышать комментарии.

МТС, первая в России компании которая дает доступ к моделям Qwen3-235B (235 млрд параметров), Kimi K2 (1 трлн параметров) и GLM-4.6 (357 млрд параметров). Планируется, что в ближайшее время на платформу будут добавлены и другие модели сопоставимого класса.

О бесплатном периоде на ВМ👉 линк
Попробовать можно 👉 линк

Работаю с сервисом Kimi — и пока он меня сильно выручает.

Chat: чат-модель на уровне ChatGPT-5 — чётко, быстро, без воды.

OK Computer: пишет сайт на раз-два. Не просто лендинги, а полноценные дашборды с обращением к API, сканированием и пр. (правда, бесплатные попытки быстро заканчиваются).

Banan (Visual): нужна была преза по статусам исправления найденых уязвимостей сделал все очень круто, информативная и наглядная презентацию.

Вывод: однозначно советую использовать для повседневных рабочих задач.

#kimi #ai #work

«Пока защитники строят защиту, мы уже меняем ландшафт атаки»

Применяем OODA в тестирование на проникновение.

OODA расшифровывается как «наблюдай, ориентируйся, решай и действуй». Эта концепция была разработана американскими военными для обучения солдат принимать решения в условиях нехватки времени на сбор всех данных.

Проанализировав принцы OODA я его внедрил в инструкцию для LLM-AUTO-PENTEST

И одним из параметров этой инструкции стал подход для поиска разных векторов которые нужно применять для тестирование на веб-домене (не только).
Представляю вашему вниманию:

SCAN-TOUCH-FUZZ-ESCAPE-LOGIC-RACE-SIDE-CHANNEL-ALL (STFELRSCA)

Расшифровка в стиле autopentest OODA:

S – Subeverything: домены, IP, процессы, VLAN, BLE, Zigbee, IPv6, 6LoWPAN
C – Certs, Ciphers, Cookies, CORS, CSP, Cron, Containers, Creds, Cache, Configs, CVE
A – APIs (REST/GraphQL/gRPC/WebSocket), AuthN/Z, ACLs, Archives, AD, ARM-TrustZone
N – Namespaces, NAT, NFC, 5G, NTLM, NTP, NoSQLi, Nonce-reuse, NULL-deref
T – TLS-versions, Timing/TOCTOU/race, Tokens (JWT/SSO), TEE, TPM, TXT
O – Open-ports, Objects (S3), OTP, OIDC, Overflows, Orphaned-pts, OMI, OPC-UA
U – Users, UID/GID, USB, UEFI, UPnP, URI-handlers, UAF, Unicode-tricks
C – CSRF, CRLF, Command-inj, Cookies, Cloud-metadata (IMDS), Certs, Cache-poison
H – Headers (HSTS/XFO/COEP), Hashes (weak), Host-header inj, HTTP-smuggling, HW (JTAG)
F – Files (hidden/backup), Functions (dangerous), Firmware, FTP, Formats, Fuzz-vectors
U – UUIDs, UDP, Unix-sockets, Use-after-free, Uninitialized-memory, Unsafe-eval
Z – Zero-conf (mDNS/SSDP), Zero-days (GitHub/Twitter), Zephyr-RTOS, Z-Wave, Zigbee
E – ENV-vars, Endpoints (hidden), Escapes (container/VM/kernel), ECC-curves, Eval-inj
S – Secrets (hard-coded), SUID/SGID, Symlinks, systemd, sudo, SSRF, SSTI, Side-channels
C – Ciphersuites, CORS-bypass, Cache-deception, Container-capabilities, Core-dumps
A – ASLR-bypass, AT-cmd-inj, ACPI, ADCS, API-rate-limit, Auth-session-fixation
P – Ports (TCP/UDP/SCTP), Packages, Privileges, Policies (SELinux/seccomp), Padding-oracle
E – EEPROM, EFI, ECC-invalid-curve, Entropy-leaks, Error-based-SQLi, Event-race
S – Stack-canaries, Sandboxes, SAML, SSH-algos, SNMP-community, Seed-leaks
C – CSRF-tokens, CSP-bypass, CSV-inj, Certificate-pinning, Cloud-ACLs, Container-breakouts
A – Auth-bypass, Arg-inj, Android-Intents, API-keys, AD-GPO, AWS-IMDSv1
N – NTLM-relay, NFC, NULL-prefix, NTP-monlist, Nonce-reuse, Nuclei-templates
N – NX-bit-bypass, N-day-check (Exploit-DB), Network-namespace-escape
E – EEPROM-extract, EFI-bootkit, Environment-leaks, Escalation (LPE)
L – Logic-bugs, LDAP-inj, LFI, Leaked-git, Linux-capabilities, LFI-to-RCE
L – LLM-prompt-inj, LTE-Downgrade, LoRa-keys, Logic-flaws, LocalStorage-leaks
– – и всё, что мы просто ещё не придумали

Конечно "STFELRSCA" это не полный набор векторов, и OODA это не только "STFELRSCA", но идея применения данного подхода мне показался позитивной для инструкции к LLM.

#txautopentest #OODA #proveorGTFO

Сам пользую *-cli решениями (не в корп среде)

И что меня останавливает для использования ее "внутри".

Что всё больше компаний внедряют *-cli ИИ-решения (Gemini CLI, Koda-CLI, Codex CLI, Claude Code) — терминальных помощников для администраторов и разработчиков в свою рабочее пространство.

Явные преимущества:
- Получение подсказок по настройке инфраструктуры
- Решение технических задач
- Автоматизация рутины
- Интеграция в корпоративные процессы

Однако есть серьёзный риск:
- Передача запросов на сторонние ИИ-сервисы
- Утечка конфиденциальных данных (IP, логины, персональная информация, настройки)

я в чертогах, придумал такое название ProxyAI - локальный ИИ-прокси внутри компании.

Как это работает:
- Пользователь отправляет запрос через *-cli
- proxAI выявляет конфиденциальные данные (например, IP-адрес)
- Заменяет их на нейтральные метки (IP_XXX)
- Отправляет анонимизированный запрос внешнему ИИ
- Внешний ИИ возвращает ответ
- proxAI подставляет исходные данные и отдаёт полный безопасный ответ пользователю

Гарантии безопасности:
- Конфиденциальные данные никогда не покидают компанию
- Временные метки хранятся только в защищённой памяти
- Все коммуникации с внешними ИИ — анонимизированные

Все критические данные остаются внутри компании, а внешние ИИ работают только с обезличенными запросами.

***

Такой подход обеспечивает максимальную безопасность и доверие к корпоративным ИИ-решениям.

Утелитка помогает проходить собесы. Раздел отзывов порадовал)

Помогите!
Что-то с кибербезом
Ответ :zero day (донет выступает просто дыркой)

Если кто хочет отвлечься от киберрутины

Буду периодические выкладывать результаты работы ИИ-пенетста в:

AI-Pentest: Deep Dive into Janus WebRTC Vulnerabilities


#ai #pentest #vibehack

Заходите! Чего стесняетесь
Играйте и выиграйте - https://aiinsec.ru/
#llm #AI #selectel #llamator

Этот год у Google был объявлен годом, когда искусственный интеллект (ИИ) перейдет от статуса экспериментальной технологии к практическому применению.

От себя добавлю - https://t.iss.one/tinraeCOM/204
пользуйтесь их сервисами аккуратно, тк интеграция с их моделями проходят без ваша ведома, а безопасность оставляет желать лучшего!

#google #ai

Наши азиатские братишки, форкнули OpenRouter. Теже модели, цены от поставщика, ру-поддержка.

Сразу к ценам - https://302.ai/price