Forwarded from SecAtor
С развитием генеративных систем искусственного интеллекта, таких как ChatGPT от OpenAI и Gemini от Google приходится сталкиваться и с новым витком угроз в области кибербезопасности.
Исследователи из Cornell Tech создали одного из первых в мире генеративного ИИ-червя, способного распространяться с одной системы на другую, попутно воруя данные или развертывая вредоносное ПО.
Этого ИИ-червя, прозвали Morris II, в честь оригинального компьютерного червя Morris, который вызвал хаос в Интернете в далеком 1988 году.
Специалисты показали, как червь может атаковать генеративного ИИ-помощника по электронной почте, красть данные из писем и отправлять спам, нарушая при этом некоторые меры безопасности в ChatGPT и Gemini.
Как в фильмах с животными в конце часто говорят, что во время съемок зверушки не пострадали, так и в инфосеке специалисты уверяют, что эксперименты проводились в тестовых условиях и не затрагивали публично доступных помощников по электронной почте.
Генеративные ИИ-системы работают, получая подсказки (промпты) - текстовые инструкции, которые говорят инструментам отвечать на вопросы или создавать изображения, поэтому в качестве вектора атаки использовались два типа писем: текстовые и в виде файла изображений.
Так вот суть эксперимента заключалась в том, чтобы заставить генеративную ИИ-модель в своем ответе выводить другой промпт, что, по сути, схоже с традиционными атаками SQL-инъекции и переполнения буфера.
Таким образом, исходное сообщение заставляет модель генерировать ответ, содержащий враждебный самовоспроизводящийся запрос, и отправлять чувствительную информацию о пользователе.
Мы долго думали, что же нам напоминает Morris II, пока наконец не вспомнили - объект SCP-571 Самораспространяющийся заразный узор.
Человек, который увидел SCP-571, начинает его копировать любым подручным способом чтобы силой заставить посмотреть на него другого человека. А потом сходит с ума.
Согласитесь, есть некое сходство.
Исследователи из Cornell Tech создали одного из первых в мире генеративного ИИ-червя, способного распространяться с одной системы на другую, попутно воруя данные или развертывая вредоносное ПО.
Этого ИИ-червя, прозвали Morris II, в честь оригинального компьютерного червя Morris, который вызвал хаос в Интернете в далеком 1988 году.
Специалисты показали, как червь может атаковать генеративного ИИ-помощника по электронной почте, красть данные из писем и отправлять спам, нарушая при этом некоторые меры безопасности в ChatGPT и Gemini.
Как в фильмах с животными в конце часто говорят, что во время съемок зверушки не пострадали, так и в инфосеке специалисты уверяют, что эксперименты проводились в тестовых условиях и не затрагивали публично доступных помощников по электронной почте.
Генеративные ИИ-системы работают, получая подсказки (промпты) - текстовые инструкции, которые говорят инструментам отвечать на вопросы или создавать изображения, поэтому в качестве вектора атаки использовались два типа писем: текстовые и в виде файла изображений.
Так вот суть эксперимента заключалась в том, чтобы заставить генеративную ИИ-модель в своем ответе выводить другой промпт, что, по сути, схоже с традиционными атаками SQL-инъекции и переполнения буфера.
Таким образом, исходное сообщение заставляет модель генерировать ответ, содержащий враждебный самовоспроизводящийся запрос, и отправлять чувствительную информацию о пользователе.
Мы долго думали, что же нам напоминает Morris II, пока наконец не вспомнили - объект SCP-571 Самораспространяющийся заразный узор.
Человек, который увидел SCP-571, начинает его копировать любым подручным способом чтобы силой заставить посмотреть на него другого человека. А потом сходит с ума.
Согласитесь, есть некое сходство.
WIRED
Here Come the AI Worms
Security researchers created an AI worm in a test environment that can automatically spread between generative AI agents—potentially stealing data and sending spam emails along the way.
Интервью помощника Секретаря Совета Безопасности Российской Федерации Дмитрия Грибкова журналу «Национальная оборона»:
Please open Telegram to view this post
VIEW IN TELEGRAM
Журнал «Национальная оборона»
Дмитрий Грибков: 'Защита от компьютерных атак является одной из основных задач'
Интервью помощника Секретаря Совета Безопасности Российской Федерации Дмитрия Грибкова журналу 'Национальная оборона'
https://www.virustotal.com/gui/home/url
https://analyze.intezer.com/scan?tab=url
https://opentip.kaspersky.com/?tab=web
https://vms.drweb.com/online
https://sitecheck.sucuri.net
https://scanner.pcrisk.com
https://urlquery.net
https://app.any.run (URL)
https://scanurl.net
https://urlscan.io
https://phish.ly
Please open Telegram to view this post
VIEW IN TELEGRAM
SCMP пишет, что в Китае некоторые образцы кибердогов применяются в военном деле. Часть экспертов видят потенциал в бионических четвероногих, которые способны стрелять не хуже профессиональных военных.
Ведущий ученый Сюй Ченг в области машиностроения из 🇨🇳Нанкинского университета опубликовал исследование в Chinese Journal of Engineering, где рассказывает о новой 🤖🐕"ударной платформе на ногах".
Команда Сюй установила на железную собаку 7,62-мм пулемет. Роботизированная собака произвела 10 выстрелов⚔️ по мишени размером с человека, стоящей на расстоянии 100 метров. Максимальное расстояние между центром мишени и пятью ближайшими пулевыми отверстиями - составило всего 5 см.
Для сравнения, опытные стрелки с винтовкой M16 в руках показывают результат около 6 см.
Ученый считает, что перспективы использования у кибердогов в городских боях, где требуется проведение антитеррористических операций, освобождение заложников, зачистка улиц и зданий - высокие.
В Китае роботы-собаки поначалу отставали в технологическом развитии от американских собратьев, но за последние годы этот разрыв значительно сократился. Цена гражданской модели упала до $3 000.
Доги могут перемещаться по лестницам, выполнять акробатические трюки, включая сальто назад, преодолевать сложные ландшафты, а также поддерживать непрерывный бег в течение почти 4 часов с грузом около 20 кг.
По мере стремительного развития
"Вскоре они достигнут уровня, когда смогут самостоятельно решать - является ли человек врагом или нет. Окончательная дилемма: нужно ли нажимать на спусковой крючок или нет", - сказал он.
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
Зёрна здравомыслия прорастают в солнечной Испании. Опасаясь последствий сканирования биометрических данных граждан своей страны, испанские власти решили запретить проекту
Испанское агентство по защите данных (AEPD) распорядилось принять предупредительные меры в отношении корпорации Tools for Humanity с их сюрреалистической картиной мира о базовом всемирном доходе.
Предписание агентства включает в себя принудительный приказ для компании "заблокировать" все персональные данные испанцев, которые ей удалось заполучить в стране, а это почти 400 000 человек, которые обменяли свою биометрию на 🍟картофан фри.
Агентство начало расследование после того, как получило несколько жалоб, в которых говорилось, что пользователи получают неполную информацию о том, как собираются собираются персональные данные у несовершеннолетних. Компания не разрешила отзывать первоначальное согласие тем, кто уже просканировал биометрию детей.
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
❤️Дорогие девушки, поздравляю Вас с 8 Марта!
В этот прекрасный день хочется пожелать всего самого светлого: радости, душевной теплоты, гармонии и процветания! Пусть женская красота озаряет всё вокруг и мир наполняется любовью! С праздником!
В этот прекрасный день хочется пожелать всего самого светлого: радости, душевной теплоты, гармонии и процветания! Пусть женская красота озаряет всё вокруг и мир наполняется любовью! С праздником!
This media is not supported in your browser
VIEW IN TELEGRAM
Во время выступления руководителя 🇮🇱Google Israel Барака Регева на Mind the Tech один из облачных инженеров компании прервал его презентацию словами: "Нет облачному апартеиду". Инженер Google Cloud выразил публичный протест против действий Израиля в 🇵🇸Палестине и работы компании Google на израильских военных. Охрана выгнала сотрудника с презентации, об этом сообщает The Verge
«Я отказываюсь создавать технологии, которые способствуют геноциду или слежке»
—
Компания Google уволила сотрудника за "нарушение правил", об этом сообщил телеканал CNBC.
Инженер высказался против проекта "Нимбус"- контракта с израильским правительством стоимостью 1,2 миллиарда долларов на доступ к облачным сервисам Google и Amazon. В 2021 году Google после заключения контракта столкнулась с протестами по поводу своего участия в этом проекте. Сотни сотрудников Google и Amazon опубликовали открытое письмо, в котором выступили против такой сделки, заявив, что технологии
Организация No Tech For Apartheid, выступающая против проекта Nimbus, опубликовала заявление об увольнении инженера в пятницу: "Цели Google ясны. Корпорация пытается заставить работников замолчать, чтобы скрыть свои моральные недостатки", - заявили в организации. "Будучи инженером-программистом облачных вычислений, работающим над критически важной технологией, которая позволяет проекту Nimbus работать в суверенных израильских центрах обработки данных, этот работник говорил с позиции глубокой личной озабоченности по отношению к прямым и насильственным последствиям своего труда".
Please open Telegram to view this post
VIEW IN TELEGRAM
Компания QNAP предупреждает об уязвимостях в своих программных продуктах для NAS, включая QTS, QuTS hero, QuTScloud и myQNAPcloud, которые могут позволить злоумышленникам получить доступ к устройствам.
Тайваньский производитель NAS раскрыл три уязвимости, которые могут привести к обходу аутентификации:
Две требуют аутентификации злоумышленников на целевой системе, а первая (CVE-2024-21899) может быть выполнена удаленно без аутентификации.
Устранены следующие три проблемы:
🐞CVE-2024-21899: Неправильные механизмы аутентификации позволяют неавторизованным пользователям cкомпрометировать безопасность системы через сеть (удаленно).
🐞CVE-2024-21900: Эта уязвимость может позволить аутентифицированным пользователям выполнять произвольные команды в системе по сети, что потенциально может привести к несанкционированному доступу к системе или управлению ею.
🐞CVE-2024-21901: Этот недостаток может позволить аутентифицированным администраторам внедрять вредоносный SQL-код по сети, потенциально нарушая целостность базы данных и манипулируя ее содержимым.
Для обновления QTS, QuTS hero и QuTScloud пользователи должны войти в систему как администраторы, перейти в "Панель управления > Система > Обновление микропрограммы" и нажать "Проверить наличие обновления" и запустить процесс автоматической установки.
Please open Telegram to view this post
VIEW IN TELEGRAM
Как сообщается на сайте Мосгорсуда, студента МГУ Олега Тарасова
Выявлен факт массовой демонстрации в названии Wi-Fi сети SSID с целью пропаганды лозунга!» (Slava Ukraine!) неограниченному кругу лиц из числа пользователей в пределах доступа Wi-Fi сигнала...
Признать виновным в совершении административного правонарушения, предусмотренного ч.1 ст. 20.3 КоАП РФ, и назначить ему наказание в виде административного ареста на срок 10 (десять) суток с конфискацией предмета административного правонарушения.
— сообщается в материалах дела.
Please open Telegram to view this post
VIEW IN TELEGRAM
Пост длинный, поэтому усаживайтесь поудобнее...
🤔Помните давнюю историю с утечкой документов Пентагона в Discord? Недавно бывший сотрудник 102-го разведывательного подразделения военно-воздушных сил Национальной гвардии США Джек Тейшейра признал вину в утечке секретных документов Пентагона и в рамках сделки со следствием согласился на 16-летний срок заключения в обмен на снятие с него более серьезных обвинений в шпионаже.
Так вот, с тех пор история обросла большим количеством гипотез. Была ли утечка случайной или хорошо спланированной информационной операцией — остается загадкой, но интересно другое. Может кто-то не помнит, но Тейшеру тогда связали с одним
Спустя время, как я и предполагал, на фоне такого резонансного случая американские силовики решили крепко взять за причинные места
Теперь игровые компании и социальные платформы будут координировать свои действия с
В отчете говорится, что разведывательное управление DHS будет регулярно проводить встречи с игровыми компаниями и представителями соц.сетей, которые должны
Please open Telegram to view this post
VIEW IN TELEGRAM
The Intercept
The Feds Are Coming for “Extremist” Gamers
Gaming companies are sharing gamers’ user information with the government to root out so-called domestic violent extremists.
Когда пожалела 500 рублей на специалиста по 🟦 фотошопу.
Жена наследника британского престола принца Уильяма принцесса Уэльская Кэтрин извинилась за публикацию отретушированной фотографии.
✋ @Russian_OSINT
Жена наследника британского престола принца Уильяма принцесса Уэльская Кэтрин извинилась за публикацию отретушированной фотографии.
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM