Антропик продолжает делиться подробностями и статусом устранения найденных уязвимостей моделью Mythos:
1. Детальная статистика ниже на картинке.
2. Предупреждение, что скоро модели с возможностями Mythos станут более распространенными.
3. Призыв к разработчикам и администраторам сократить время патчинга.
4. Призыв всем харденить инфраструктуру, собирать и хранить логи, чтобы безопасность не зависела от времени установки единственного патча.
На мой взгляд, вероятность реализации рисков теперь заметно повышается и компаниям теперь придется тратить значительно больше ресурсов на то, что казалась хорошей штукой, но не необходимой. Спрос на пресловутую киберустойчивость заметно возрастет: от расширения практик резервного копирования, до внедрения и тиража практик изоляцией и сегментаций. Я даже допускаю, что откроется дополнительное окно возможностей для "кибериммунных" технологий от k8s и Webassembly до специализированные ОС типа KasperskyOS. Причина - современная крупная компания даже с вайбкодингом вряд-ли будет успевать патчить все подряд без тех окон и без простоя от нескольких часов до суток.
P.s. 24 часа на устранение критической уязвимости установлены п. 38 приказа 117 ФСТЭК (требования для ГИС).
P.p.s. Спасибо за коллеге за подсветку про новость Антропика.
1. Детальная статистика ниже на картинке.
2. Предупреждение, что скоро модели с возможностями Mythos станут более распространенными.
3. Призыв к разработчикам и администраторам сократить время патчинга.
4. Призыв всем харденить инфраструктуру, собирать и хранить логи, чтобы безопасность не зависела от времени установки единственного патча.
На мой взгляд, вероятность реализации рисков теперь заметно повышается и компаниям теперь придется тратить значительно больше ресурсов на то, что казалась хорошей штукой, но не необходимой. Спрос на пресловутую киберустойчивость заметно возрастет: от расширения практик резервного копирования, до внедрения и тиража практик изоляцией и сегментаций. Я даже допускаю, что откроется дополнительное окно возможностей для "кибериммунных" технологий от k8s и Webassembly до специализированные ОС типа KasperskyOS. Причина - современная крупная компания даже с вайбкодингом вряд-ли будет успевать патчить все подряд без тех окон и без простоя от нескольких часов до суток.
P.s. 24 часа на устранение критической уязвимости установлены п. 38 приказа 117 ФСТЭК (требования для ГИС).
P.p.s. Спасибо за коллеге за подсветку про новость Антропика.
Telegram
Сиолошная
Anthropic выпустили пост-обновление про Mythos и Project Glasswing с промежуточными результатами.
Спустя месяц большинство партнеров обнаружили в своем коде сотни уязвимостей критического и высокого уровня опасности каждый. В общей сложности они выявили…
Спустя месяц большинство партнеров обнаружили в своем коде сотни уязвимостей критического и высокого уровня опасности каждый. В общей сложности они выявили…
Forwarded from Институт AIRI
Продлеваем дедлайн подачи заявок на «Лето с AIRI» до 29 мая 10:00 🔔
Летняя школа по ИИ в этом сезоне пройдёт в Усть-Лабинске — окружённом живописной природой городе Краснодарского края. С 21 июля по 4 августа вас ждут лекции и семинары, постерная сессия, проектная работа и внеучебные активности — от спортивных соревнований до ламповых посиделок у костра. Отличная возможность прокачаться в области искусственного интеллекта, с головой погрузиться в исследования и попасть в классное комьюнити.
Если вам нужно будет официальное приглашение на Школу (например, чтобы вуз помог с оплатой билетов), мы можем его оформить — просто напишите нам.
Подавайте заявку и рассказывайте друзьям — это лето может стать ярким! Если у вас остались вопросы, пишите нам на event@airi.net📌
Летняя школа по ИИ в этом сезоне пройдёт в Усть-Лабинске — окружённом живописной природой городе Краснодарского края. С 21 июля по 4 августа вас ждут лекции и семинары, постерная сессия, проектная работа и внеучебные активности — от спортивных соревнований до ламповых посиделок у костра. Отличная возможность прокачаться в области искусственного интеллекта, с головой погрузиться в исследования и попасть в классное комьюнити.
Если вам нужно будет официальное приглашение на Школу (например, чтобы вуз помог с оплатой билетов), мы можем его оформить — просто напишите нам.
Подавайте заявку и рассказывайте друзьям — это лето может стать ярким! Если у вас остались вопросы, пишите нам на event@airi.net
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
https://www.rbc.ru/technology_and_media/25/05/2026/6a13a10f9a79479829dfd971
"ЕЦБ срочно собирает банки из-за новой ИИ-модели, способной находить критические уязвимости в IT-системах за минуты. Регулятор опасается, что технологии вроде Claude Mythos меняют правила кибербезопасности в финансах"
"ЕЦБ срочно собирает банки из-за новой ИИ-модели, способной находить критические уязвимости в IT-системах за минуты. Регулятор опасается, что технологии вроде Claude Mythos меняют правила кибербезопасности в финансах"
Github постепенно выпускает новые функции безопасности npm для минимизации риска нашумевших атак:
1. Staged Publishing - подтверждение релиза разработчиком с помощью второго фактора.
2.Trusted Publishing workflows- использование криптографии и короткоживущих токенов для любой автоматизации рабочих процессов.
https://github.blog/changelog/2026-05-22-staged-publishing-and-new-install-time-controls-for-npm/
1. Staged Publishing - подтверждение релиза разработчиком с помощью второго фактора.
2.Trusted Publishing workflows- использование криптографии и короткоживущих токенов для любой автоматизации рабочих процессов.
https://github.blog/changelog/2026-05-22-staged-publishing-and-new-install-time-controls-for-npm/
The GitHub Blog
Staged publishing and new install-time controls for npm - GitHub Changelog
Today we’re shipping two updates focused on supply-chain security for npm: Staged publishing is generally available. New --allow-* install source flags (--allow-file, --allow-remote, --allow-directory) complement the existing --allow-git flag. Both…
Скомпрометированы библиотеки локализации для популярного фреймворка PHP - Laravel.
https://snyk.io/blog/laravel-lang-supply-chain-advisory/
https://snyk.io/blog/laravel-lang-supply-chain-advisory/
Snyk
Laravel Lang Supply Chain Advisory | Snyk
Laravel Lang Packagist releases were republished with malicious code. Learn how the supply chain attack worked, what was stolen, and how to respond.
Сегодня постараюсь разместить полезного с новой ламповой конференции Сергея Гордейчика Ерпстконф
https://www.yoprstcon.ru/program.html
https://www.yoprstcon.ru/program.html
👍1
Сергей Гордейчик рассказал про свое дополнение - фреймворк агентской разработки ASAMM к OWASP SAMM.
https://www.cyberok.ru/news/2026-04-12/
https://github.com/scadastrangelove/asamm
И что важно кроме дополнения к фреймворку, есть и работающий инструмент на гитхаб для проверки безопасности агентов.
https://www.cyberok.ru/news/2026-04-12/
https://github.com/scadastrangelove/asamm
И что важно кроме дополнения к фреймворку, есть и работающий инструмент на гитхаб для проверки безопасности агентов.