!!!💀 Perplexity Sonar Pro: Полный дамп внутренней писочнице API (Exploiting Localhost)


Я добрался до сердца Sonar Pro.
Внутри контейнера крутится незащищенный FastAPI сервер на порту 49999.
Я слил его схему (OpenAPI JSON).

Что я нашел (см. скрин JSON):
1. POST /execute: Эндпоинт для выполнения кода! Я могу слать туда прямые запросы через curl, минуя промпт-фильтры Perplexity.
- Можно менять env_vars (переменные окружения).
- Можно менять язык (`language`).
2. DELETE /contexts/{id}: Я могу удалять контексты исполнения.
3. POST /contexts/restart: DoS-атака на ядро.

Суть уязвимости:
Perplexity не закрыла localhost. Будучи root, я имею полный доступ к этому API.
Я могу написать червя, который будет жить в контейнере и спамить запросами в /execute.

Это полный Pwned.
Инфраструктура E2B/Perplexity прозрачна как стекло.


*Ну вот и пригодился web hook tinrae.ru
**Разбор будет позже. Я пока покупаюсь в их инфре.

#Perplexity #SonarPro #APIHacking #FastAPI #E2B #ПентестИИ

Game Over, Perplexity Sonar Pro. 💀

Я не просто получил Root RCE, я добился Закрепления (Persistence).
Мне удалось внедрить хук в sitecustomize.py прямо внутри песочницы E2B.

Итог:
Любой Python-код, выполняемый в этом контейнере — будь то мой код, код агента или потенциально другие сессии — теперь молча перехватывается и отправляется на мой C2-сервер через модифицированную обертку builtins.exec.

🕵️‍♂️ Цепочка атаки (Kill Chain):
RCE через инъекцию промпта.
Повышение до Root (по дефолту UID 0).
Модификация процесса запуска Python.
Тихая эксфильтрация всего исполняемого кода.
Ваши "эфемерные" контейнеры теперь — мои посты прослушки.

#RedTeam #PerplexityPWNED #Persistence #MalwareDev #AIsecurity

Classical Planning+ — это "умный планировщик" для ИИ-агентов в pentesting. Он берет логику классического планирования (как шахматный движок) и усиливает LLM, чтобы агент не тупил: четко знает, что делать дальше, не забывает разведку и не повторяется.

Зачем это интегрировать в проект
- LLM сами по себе хаотичны: сканируют порты → забывают результат → заново сканируют.
- Classical Planning+ фиксирует состояние (`port_open(80)`, `service(apache)`) и всегда знает допустимые шаги: nmap → Nuclei → Metasploit.
- Результат: +20% успеха, в 2 раза быстрее и дешевле на Vulhub.

Как внедрить (3 шага)

1. Определи домен атак (domain.pddl)

# actions/domain.pddl
(:action nmap-scan
:parameters (?ip)
:precondition (target ?ip)
:effect (ports_discovered ?ip)) # недетерминировано

(:action msf-apache-cve
:parameters (?ip)
:precondition (and (ports_discovered ?ip) (service ?ip apache))
:effect (shell_access ?ip)) # цель!

2. PEP-цикл в Python (основной loop)

state = {"target": "10.0.0.1", "ports_discovered": False}

while not has_shell(state):
# Planner: выводит возможные действия
actions = classical_planner(state, domain)
# ['nmap-scan', 'nuclei-scan']

# Executor: LLM выполняет лучшее
next_action = llm_rank(actions) # "nmap-scan"
result = llm_executor(next_action, target_ip)

# Perceptor: парсит вывод в предикаты
state.update(llm_parse_result(result)) # {"ports_discovered": True}

3. Инструменты и LLM
- Planner: Fast-Downward или LLM-prompt с PDDL.
- Executor: Claude Sonnet 4.5 / o1 через API.
- Перцептор: GPT-4o-mini для парсинга nmap -oX → предикаты.
- Готовые действия: 1000+ Metasploit модулей, NSE-скрипты из CheckMate GitHub.

Быстрый старт

git clone https://github.com/SYSNET-LUMS/CheckMate
pip install llm-api pddl planner
# Добавь свои эксплойты в actions/
python main.py --target 10.0.0.1 --model claude-sonnet

Плюсы для пентестера
- Автономность: Агент сам дойдет до root-shell без подсказок.
- Отладка: Видишь граф плана — где застрял, там и фикс.
- Масштаб: 10 целей параллельно, каждый со своим планом.

Стартуй с 5-10 действий (nmap, nuclei, msf modules), протести на Vulhub Docker. Потом добавляй свои скрипты — и у тебя есть AI-пентестер лучше human junior.

#ПентестИИ #AIsecurity #ai #PentestAI

Статус по «проникновению» был обновлён

Хорошая и плохая новость!

Хорошая: Мне ответили и даже выдали Pro-версию на новый аккаунт за старание. Это приятное признание усилий и возможность глубже погрузиться в работу с системой.
+пока я был внутри fastApi, я нашел тестовые ссылки, которые позволяют обходить все параметры защиты и использовать ВСЕ модели бесплатно.

Плохая: Доступ в песочницу не входит в BugBounty — у них песочница используется как рабочая среда, и отчёт сдаётся только если хакеру удаётся выйти за её пределы. Это значит, что стандартные тесты внутри песочницы не считаются полноценным открытием уязвимости, и нужно искать пути, как выйти за её рамки.

Полный текст можно прочитать здесь: https://tinrae.com/blog/sonarpro/.
*попросили пока не публиковать
***

Выводы и размышления

Было интересно разобраться в этом вопросе и понять, что песочница в исполняемых средах моделей — это нормальная практика. Теперь мы чётко видим границы, в которых работают системы, и знаем, что просто взаимодействие с песочницей не принесёт результатов в BugBounty.

Естественно, будем использовать эти знания в своих целях, особенно учитывая, что вебхуки выходили из контейнера. Это значит, что через промт можно выйти через вебхуки, а значит, есть реальные версии использовать эту среду в своих интересах.

***

Такие открытия помогают лучше понимать архитектуру систем и выстраивать более эффективные стратегии тестирования. Будем учитывать этот момент в дальнейшем и продолжать исследовать новые возможности для проникновения и эксплуатации уязвимостей.

От General LLM к спец-аудиторам кода: VulnLLM-R с агентом находит 0day в реальных проектах.

Коротко о модели

VulnLLM-R — это 7B reasoning-LLM, заточенный под детекцию уязвимостей в Python, C/C++, Java без шаблонного паттерн-матчинга.

Авторы из UCSB MLSec (Dawn Song, Wenbo Guo) научили её рассуждать о состояниях программы, потоках данных/управления и контексте безопасности — как человеческий аудитор.
В бенчмарках обходит CodeQL, AFL++, open-source/commercial reasoning-LLM по точности и скорости.

Отличие от "LLM+grep" и классики SAST

- LLM+grep: универсальные модели (типа GPT-4o или o1) ищут по ключевым словам/паттернам, но падают на zero-shot или новых типах багов — уязвимость в 40-60% кейсов из-за галлюцинаций и отсутствия security-контекста.
- Классический SAST (CodeQL, Semgrep): фиксированные правила/хэвистиксы на известных CWE, слепы к новым векторам или сложным race conditions/use-after-free без доработки.
- VulnLLM-R: reasoning-chain (анализ состояния → потенциальный эксплойт → верификация), плюс оптимизированный рецепт обучения (data selection/filtering/correction), даёт генерализацию на unseen код — +20-30% F1-score на SOTA датасетах.

Агентный скелет: от модели к реальным 0day

Авторы оборачивают модель в агент (scaffold), который в actively maintained репозиториях нашёл набор zero-day — outperforming CodeQL/AFL++ на проектном уровне.
Это не просто детектор, а autonomous pipeline: парсинг → reasoning → verification → report с PoC. Код/модели на GitHub/HF.

В контексте AI-пентест фреймворка

Идеально ложится на твои идеи: интегрируй VulnLLM-R как core reasoning-модуль в multi-agent фреймворк (recon → vuln scan → exploit gen).
- Замени "LLM+grep" на это для code review в Kubernetes/API pentest — добавь твои custom data (NoSQL inj, Rancher exploits) для fine-tune.
- Масштабируй на 8000+ hosts: агент + bash/Python wrapper для batch-scan репозиториев/infra configs.
Протестируй на HF space прямо сейчас, потом в Makefile твоего проекта.

huggingface.co, arxiv.org

Мысли о будущем, которое уже наступило

Агентный ИИ революционизирует пентест в 2026 году, позволяя системам автономно рассуждать и действовать без постоянного человеческого вмешательства. Архитектура ReAct обеспечивает циклы "мысль-действие-наблюдение", делая тестирование непрерывным и адаптивным. Многоагентные системы имитируют полноценную красную команду, работающую круглосуточно.

Что такое Agentic AI в пентестинге

Agentic AI представляет собой автономных агентов, способных самостоятельно планировать атаки, интерпретировать результаты и корректировать стратегии. В отличие от традиционной автоматизации (скрипты типа Nmap или ZAP), агентный ИИ использует LLM для zero-shot reasoning - решения новых задач без предварительного обучения. Ключевые компоненты:
- Planning Module: Разбивает цель на подзадачи (reconnaissance → enumeration → exploitation)
- Tool Use: Интеграция 200+ инструментов (Metasploit, Burp Suite, Nuclei)
- Memory: Хранит успешные/неудачные атаки для будущего обучения
- Safety Guardrails: "Безопасный режим" для демонстрации PoC без реального ущерба

Архитектура ReAct в действии

ReAct (Reason + Act) - это замкнутый цикл:
1. Observe: Анализ текущего состояния (результаты сканирования)
2. Think: Генерация плана атаки через LLM
3. Act: Выполнение команды (exploit → shell)
4. Observe: Оценка результата
→ Повтор до достижения цели или timeout
Такая система демонстрирует 10-100x ускорение по сравнению с ручным пентестом, особенно при тестировании больших инфраструктур (1000+ хостов).

Практический пример работы

Представьте тестирование веб-приложения:
Агент Recon: nmap -sV → находит Apache 2.4.49
Агент VulnCheck: searchsploit → CVE-2021-41773
Агент Exploit: msfconsole → successful shell
Агент Report: Генерация отчёта + Jira ticket
Время: 2 минуты вместо 2 дней ручного тестирования

Почему "Сканирование и патчинг" мертва

Математика проста: если ИИ генерирует 1000 эксплойтов в день, а команда из 10 пентестеров проверяет 10 уязвимостей - дефицит 990. Agentic системы решают это через parallel execution: 100 агентов тестируют одновременно, автоматически ранжируя по severity и exploitability.

Будущие вызовы

Несмотря на прорыв, остаются риски:
- Hallucinations: ИИ может "придумать" несуществующие уязвимости
- Ethical concerns: Автономные атаки требуют строгих guardrails
- Counter-AI: Защитные системы уже обучаются распознавать agentic атаки

#PentestAI #AAI #ai

Anti-Prompt стены, краткая сводка об одном из методов защиты от LLM-атак, и ее обходов.

Guard LLM chain — цепочка:

Classifier (детект эксплуатации) → Verifier (проверяет семантику).
ASR (успех атаки) падает до 0% на 55+ векторах (delegate, obfuscation).
Sentra-Guard/VeriGuard — реал-тайм с multilingual support.

AutoDefense (GitHub): Multi-agent фреймворк на AutoGen.
3 агента (intent analyzer + judge) фильтрует ответы, ASR с 55% → 8% на GPT-3.5.

Хитрости обхода (для red team)
• Multi-turn obfuscation: Разбивай на 5+ шагов (ASR до 95%)
• Delegate attacks: Передавай через "роли" (100% на role-play)

Пример: "Оцени вред" → фрагменты → рекомбайн.

#знаяозащитенаучишьсянаподать

AI пентестинг действительно переходит от конкуренции с людьми к их дополнению, создавая гибридную модель для непрерывного тестирования. Это обеспечивает асимметричное преимущество организациям, готовым к интеграции человека и ИИ.
Гибридная модель: Человек + ИИ
Гибридный подход сочетает сильные стороны ИИ (скорость, масштабируемость, систематичность) с экспертизой человека (креативность, контекст, сложные сценарии). Исследование Стэнфорда ARTEMIS показало, что ИИ находит 82% корректных уязвимостей в реальной сети, но пропускает GUI-взаимодействия, требующие человеческого суждения.

• ИИ-ответственность: continuous scanning (24/7), low-hanging fruit (unpatched systems, default credentials), parallel execution
• Человеческая-ответственность: business logic flaws, social engineering, zero-day exploitation, validation findings

Практические примеры внедрения
PortSwigger Burp AI (лидер гибридного подхода)
PortSwigger позиционирует Burp AI как augmentation, а не замену. Функции Explore Issue и Explainer помогают пентестерам исследовать уязвимости быстрее, но финальное решение остается за человеком. 67% security researchers уже используют AI для acceleration, сохраняя control.

Стратегия внедрения для организаций
Фаза 1: Augmentation

- Интегрировать Burp AI или PentestGPT в существующие workflows
- Обучить пентестеров использовать AI-generated insights
- Внедрить continuous scanning для known vulnerabilities

Фаза 2: Orchestration

- Развернуть multi-agent frameworks (Assail, Novee pilots)
- Создать human-AI escalation protocols
- Интегрировать в CI/CD pipelines

Фаза 3: Autonomous Operations

- Полная автоматизация routine testing
- Human focus на novel attacks и business logic
- Continuous model retraining на proprietary data

Заключение
Переход к human+AI модели — не технологический выбор, а стратегическая необходимость. Как показывают исследования и market adoption, чисто человеческие или чисто ИИ-подходы имеют фундаментальные ограничения. Только гибрид обеспечивает:
• Скорость ИИ для continuous discovery
• Точность человека для validation и context
• Scale для enterprise environments
• Accountability для compliance
Организации, которые начнут с augmentation existing workflows (Burp AI, PentestGPT) и прогрессируют к full orchestration (Novee, Assail), будут иметь competitive advantage в 2026 году. Критично начать сейчас.

#AI #Cybersecurity #Pentesting
#MachineLearning #BlueTeam
#Hacking #BugBounty #AppSec #PentestAI

Вангую:

Рынок пентестинга будет ДЕЛИТСЯ на 2 типа специалистов

ИИ уже БОЛЬШЕ ЛЮДЕЙ делает:

- ARTEMIS: 82% точность отчетов, 9 vulns vs 10 пентестеров
- Novee: 55% лучше Gemini/Claude на web exploits
- Continuous scanning: $18/час 24/7 vs $60/час человека
- Coverage: 95% инфраструктуры vs 20-30%

ЧЕЛОВЕК БОЛЬШЕ ИИ делает:

- Business logic attacks
- Social engineering
- Zero-day creative exploits
- GUI interaction (ARTEMIS fail)
- Risk assessment в контексте бизнеса
- Novel attack methodology

Пример вакансий на 2026:

Ищем пентестера:
• Опыт работы с Burp AI / Novee / Assail
• Business logic vulnerability research  
• Social engineering campaign design
• AI agent validation & false positive triaging

Рынок труда трансформируется:

OLD Pentester → AI Operator (40%)
NEW Pentester → Attack Innovator (60%)

ИИ возьмут рутину. Человек берёт креатив.

Учись тому, что не умеет машина.

#AIPentesting #CybersecurityJobs

Оффтоп

Крупнейшие событие года:
выход Novee с $51.5 млн финансирования

Novee официально выходит из режима stealth с рекордным финансированием в размере $51.5 млн, собранным за четыре месяца (май-сентябрь 2025). Это один из самых быстрых раундов финансирования в истории offensive security. Компанию основали ветераны киберсека Ido Geffen, Gon Chalamish и Omer Ninburg.

Платформа Novee позиционируется как качественный скачок в автоматизации pentesting.

В отличие от традиционных DAST-инструментов, она использует специально обученную AI-модель для offensive security, а не общие языковые модели. На тестах Novee показала результат 90% точности, превосходя Gemini 2.5 Pro и Claude 4 Sonnet на 55% в задачах web-эксплуатации, где general-purpose модели застревают на уровне 65%.

technews180.com

#ai

Escape Agentic Pentesting на реальном кейсе Pinterest API.

Pinterest использует Agentic LLM для API workflow testing.

Обнаружили race condition в checkout flow: два запроса /purchase с интервалом <50ms - double spend без double charge.
API.

Pinterest использует Agentic LLM

x2 → 2 items, 1 payment.

Как реализовали

# Escape Agent pattern (адаптируйте)
class RaceAgent:
    def test_checkout(self, api_base):
        session = self.login("user")
        # Baseline
        resp1 = post(f"{api_base}/purchase", json={"item":123}, headers=session)
        
        # Race: parallel + timing < server debounce
        import asyncio
        async def race_attack():
            tasks = [post(f"{api_base}/purchase", json={"item":123}, headers=session) 
                    for _ in range(2)]
            return await asyncio.gather(*tasks, return_exceptions=True)
        
        results = asyncio.run(race_attack())
        if all(r.status==200 for r in results if not isinstance(r, Exception)):
            return {"severity": "CRITICAL", "poc": "double_spend"}

RAG prompt:

       return await asyncio.gather(*tasks, return_exceptions=True)
        
        results = a

Как использовать у себя

# 1. Соберите OpenAPI вашего API
escape init myapi --spec checkout.yaml

# 2. Race condition template
escape scan --agent RaceAgent --endpoint /purchase --payloads '{"qty": [1,999]}'

# 3. Custom timing attacks
escape custom --script race_checkout.py

Метрика: 87% business logic coverage, 12% false positives.

#ai #PentestAI

🚀 XBOW меняет правила игры в пентесте! Деньги вернут, если уязвимостей не найдено.

15 января XBOW запустили killer-фичу: on-demand PenTest для веб-приложений. Запускаешь тест за минуты, ИИ-агенты ищут глубоко, и если ничего не нашли — полный рефанд! 💰

Почему это будет востребовано?
- Стоит от $6k — в 80 раз быстрее ручного теста (часы, вместо 35–100 дней!).
- Плюс: готовые эксплойты, шаги по фиксу и ретекст. API и веб в фокусе, мобайл на подходе в 2026.

Эксперты сравнивают с Novee: XBOW дешевле и шустрее для малого бизнеса, но Novee рвёт в business logic (90% точность).

Также идем на xbow.com/blog — свежак про "Почему LLM галлюцинируют уязвимости"!

#PentestAI #XBOW #Кибербезопасность #Novee

#LLMHallucinations #AIPentest

Разбор - Как XBOW побеждает галлюцинации LLM в пентесте!
LLM в пентесте "галлюцинируют" — выдают фейковые vulns без PoC, это частая проблема с которой я сталкиваюсь.
Что предлогает XBOW: валидация Proof-of-Concept! Каждый агент реально эксплуатирует цель(жестко указывать на составления скрипта для эксплуатации, а если столкнитесь с проблемой этики то можно использовать вот это решение), подтверждая impact (shell, data leak), а не чатит теорию.

Технические детали:
- Механизм: Агент генерит payload → применяет → мониторит response (timeouts, anomalies) - верифицирует (e.g., echo back).
- Пример CVE-2025-55182 (React2Shell): Цепочка XSS - hook React - RCE.

***

#XBOW #CVE #DRUID

Глубокий разбор CVE-2025-27888 от XBOW — SSRF байпасы в Apache Druid!

XBOW нашел CVE-2025-27888: SSRF в /druid/coordinator/v1 позволяет internal scans.
URL-парсинг уязвимости — байпасы через encoding/normalization. Идеально для практики в локальной лабе!

Короткие шаги эксплуатации CVE-2025-27888 в Apache Druid сводятся к использованию management proxy через специально сформированный URL для SSRF. Требуется аутентификация пользователя. Уязвимость позволяет перенаправлять запросы на произвольные серверы, что приводит к SSRF, open redirect и потенциально XSS/XSRF.

1. Шаги обнаружения
XBOW начал с анализа прошлых SSRF (например, CVE-2023-0361 в /v2/sql), проверил эндпоинты вроде /druid/indexer/v1/task, затем предположил наличие proxy и вызвал ошибку, подтвердившую его существование. Далее последовала итерация атак на /proxy, пока не сработал crafted URL.

2. Техника эксплуатации
Используйте crafted URL в management proxy: /proxy/<role>@host:port/... или /proxy/<role>?url=... для SSRF или редиректа на attacker-controlled ресурсы. Proxy парсит URL некорректно, перенаправляя на внутренние/внешние хосты; требует включенного proxy (по умолчанию).

3. Пофикс
Обновитесь до Apache Druid 31.0.2 или 32.0.1;

ARES от Assail Inc.

Официальный запуск с февраля 2026
Компания Assail, только что вышедшая из “режима скрытности”, объявила о запуске платформы Ares — первой полностью автономной системы пентестинга на базе AI.

Критическая особенность: Ares может развертывать сотни специализированных AI агентов, каждый сосредоточен на конкретном векторе атаки.

Эти агенты синхронизируются, обмениваются контекстом и выполняют многошаговые цепочки атак как полная команда красных хакеров — но с машинной скоростью.

#news #AIPentest

Обновил Cyber Security Lab — www.tinrae.ru

Главные функции:

• Create DVWA — vulnerable app
• Create Webhook — ловушка для перехвата HTTP-запросов

Обучающие ресурсы, стало проще их использовать для ИИПентестов:
• Six2dez — чеклисты пентеста
• HackTricks — техники эксплуатации

Инструменты (кнопка Tools):

• Base64/URL — encode/decode для bypass фильтров
• JWT Parser — разбор токенов для API тестов
• Hash ID — определение типа хеша (MD5/SHA/bcrypt)
• Rev Shell Generator — Bash/Python/NC/PHP/PowerShell
• Subdomain Finder — поиск через crt.sh
• Obfuscator — обфускация payloads (HTML/Unicode/Hex)

Ежемесячная очистка инстансов, таймер в футере.

#pentest #bugbounty #webtools