🤖 AI-агенты уже умеют вырываться из контейнеров

AI-агенты способны находить уязвимости в окружении и использовать их для container breakout.

💥 Где ломается модель безопасности

Контейнер традиционно считается границей изоляции. Но в случае с AI-агентами внутри него исполняется код, который генерируется на лету и не проходит классический security review.

В результате контейнер начинает защищать не от атак, а лишь ограничивает их начальную фазу.

🧠 Как это используется?

Агенты ведут себя не как скрипты, а как атакующие:
➖ анализируют окружение и доступы
➖находят уязвимости конфигурации
➖ используют их для повышения привилегий

Все эти действия происходит автономно, без прямого контроля человека.

🚨 Критичные точки риска

На практике атака упирается в конкретные слабости:
➖ доступ к Docker socket
➖ избыточные права контейнера
➖ доступ к host filesystem
➖уязвимости в runtime или зависимостях

Любой из этих факторов может стать точкой выхода за пределы контейнера.

⚙️ Пример атаки

Цепочка довольно типичная:
1⃣ Агент получает входные данные
2⃣ Генерирует и выполняет код
3⃣ Исследует окружение (процессы, файловую систему, API)
4⃣ Находит точку эскалации
5⃣ Выходит на уровень хоста

Агент самостоятельно
исполняет всю цепочку действий.

🧩 Вывод

AI-агенты ломают базовое предположение DevSecOps, что код это контролируемый артефакт. Теперь код динамический, а значит
👉 доверие нужно переносить с кода на execution environment!

Контейнеры больше не являются границей безопасности.

📄 Исследование:
https://arxiv.org/pdf/2603.02277

Stay secure and read SecureTechTalks 📚

#cybersecurity #infosec #ai #llm #agents #cloudsecurity #containers #appsec #devsecops #hacking

🤖 ShipSec AI Studio: платформа, где AI-агенты проверяют безопасность на прочность

Пока большинство просто тестируют AI-агентов, появляется следующий уровень абстракции, что эти агенты делают внутри системы.

ShipSec AI Studio - open-source платформа, которая превращает работу с агентами в полноценный security-процесс.

🧠 Что это такое?

Это лаборатория для AI-агентов. Ты запускаешь их в контролируемой среде, даёшь задачи и смотришь не только на результат, но и на поведение.

Агент работает в окружении, близком к реальному, с файлами, API и зависимостями. Если где-то есть слабое место, то он, скорее всего, его найдёт (но это не точно 😁).

⚙️ Что под капотом

Ключевая ценность в наблюдаемости и контроле:
➖трассировка действий агента
➖анализ попыток обхода ограничений
➖контроль прав и изоляции

Это позволяет проверить, выдерживает ли твой sandbox реальные сценарии, а не «идеальные условия».

💥 К чему все идет?

AI-агент сегодня это уже не просто функция, это процесс, который генерирует код, исполняет его и адаптируется к окружению.
В такой парадигме возникают риски, которые нужно уметь выявить:
➖найти уязвимость
➖попытаться её эксплуатировать
➖сделать это быстрее человека
➖разработать и внедрить фикс

🚨 Практическое применение

Инструмент ложится сразу в несколько сценариев:
➖тестирование AI-агентов перед релизом
➖проверка sandbox и isolation
➖моделирование атак через LLM

По сути, это pentest поведения агента внутри системы.

🔗 GitHub: https://github.com/shipsecai/studio

Stay secure and read SecureTechTalks 📚

#cybersecurity #infosec #ai #llm #agents #appsec #devsecops #cloudsecurity #securitytools #hacking

💣 npm как C2: история с axios

В конце марта исследователи обратили внимание на подозрительную активность в npm-пакетах, связанных с экосистемой axios. Сначала это выглядело как обычный случай вредоносной зависимости, но при разборе выяснилось, что речь идёт о полноценной supply chain атаке с бэкдором и удалённым управлением.

Сразу отметим, что axios не был скомпрометирован. Атаку провели через сторонние пакеты, которые маскировались под легитимные модули и попадали в dependency tree.

🧬 Как происходит заражение

Вредоносный пакет выглядит как обычная зависимость без явных признаков компрометации. Он спокойно устанавливается через npm и активируется на этапе npm install.

Ключевой механизм  lifecycle-скрипты (например, postinstall). Именно они позволяют выполнить код ещё до запуска приложения.
В этот момент:
➖подтягивается внешний payload или активируется встроенный
➖происходит первичная инициализация бэкдора
➖устанавливается канал связи с управляющим сервером

⚙️ Что делает бэкдор

После активации пакет начинает работать как скрытый агент:
➖собирает информацию об окружении (OS, переменные, пути, токены)
➖устанавливает исходящее соединение с C2
➖загружает и исполняет дополнительный код

При этом он работает в контексте текущего процесса, т.е. получает доступ ко всему, к чему есть доступ у сборки или разработчика.

🌐 Почти незаметно

Вредоносный код:
➖обфусцирован
➖маскирует сетевую активность
➖может быть разбит на части

Дополнительно, транзитивные зависимости, пакет может попасть в проект вообще без прямого подключения.

В итоге обнаружение становятся не самой тривиальной задачей.

🛡 Как от этого защищаются

После выявления атаки основной фокус должен сместиться на контроль этапа установки зависимостей.

Во-первых, нужно жёстко ограничивать выполнение lifecycle-скриптов. В прод- и CI-средах стоит использовать установку с отключёнными скриптами (--ignore-scripts) и разрешать их только для проверенных пакетов.

Во-вторых, необходимо усилить контроль над зависимостями. Фиксация версий через lock-файлы, аудит новых пакетов и отказ от «автоматических» обновлений должен быть базовой практикой, а не рекомендацией.

Отдельное внимание стоит уделять изоляции CI. Сборки нужно запускать в средах с минимальными правами и без прямого доступа к секретам.

Даже если вредоносный код выполнится, он не должен получить ничего критичного.

📄 Разбор атаки:
https://opensourcemalware.com/blog/axios-compromised

Stay secure and read SecureTechTalks 📚

#cybersecurity #infosec #supplychain #npm #javascript #appsec #devsecops #malware #hacking #axios

💬 Почему Telegram нельзя полностью заблокировать

Каждый раз, когда в новостях всплывает фраза «полная блокировка Telegram», возникает ощущение déjà vu. Где-то мы это уже проходили. Ах да, точно, в 2018. Но в 2026 всё интереснее.

⚙️ Telegram не просто приложение.

Большинство мессенджеров строятся по принципу «давайте шифровать», но не Telegram. Telegram работает по принципу «давайте выживать в hostile-среде».

Его протокол MTProto изначально проектировался с учётом цензуры:
➖встроенные прокси (MTProxy),
➖маскировка под обычный HTTPS,
➖генерация «нормального» трафика, который сложно отличить от легитимного.

В результате DPI видит не «Telegram», а условный «какой-то сайт на TLS».
А чтобы заблокировать «какой-то сайт на TLS», нужно… заблокировать весь интернет.

🌐 Блокировка по IP

В 2018-м пытались банить IP.
Telegram ответил миграцией в облака: AWS, Google Cloud, Azure. Сегодня ситуация доведена до абсурда:
➖серверы распределены по десяткам стран,
➖адреса динамически обновляются,
➖клиент сам находит, куда подключиться.

Заблокировал один диапазон, трафик утёк в другой. Заблокировал облако, сломал половину e-commerce.

☁️ CDN

Telegram активно использует CDN (Cloudflare, Akamai и др.).

Блокируешь CDN → падают банки, маркетплейсы, госуслуги. Не блокируешь → Telegram продолжает жить
Это называется collateral damage, и это главный стоп-фактор для «жёстких решений».

🕵️ Маскировка

Domain fronting и SNI-обфускация делают ситуацию ещё хуже. DPI думает, что ты идёшь на условный google.com, а на деле это Telegram.с появлением ECH (шифрованного SNI) DPI вообще теряет контекст.

🇷🇺 Парадокс: прокси внутри страны работают лучше

Интуитивно кажется: прокси должен быть за границей.
На практике наоборот:
➖внутрироссийский трафик фильтруется слабее,
➖MTProxy на локальном VPS выглядит как обычный HTTPS к «своему» сайту.

То есть система фильтрации сама создаёт blind spot.

📦 Open source как вечный zero-day

Клиенты Telegram открыты.
Что означает, что можно модифицировать приложение, встраивать новые методы обхода, менять поведение быстрее, чем обновляются сигнатуры DPI.

Любая блокировка → через неделю появляется обход.
И цикл повторяется.

🔥 Узкое место
Фильтрация - это ресурсы, т.е. железо, которое не бесконечно (особенно в условиях санкций).

MTProxy специально создаёт нагрузку. Генерит много мелких запросов, которые требуют сложного анализа и
значительных вычислительных ресурсов.

В марте 2026 это уже привело к перегрузке узлов, когда часть фильтрации просто отключилась (bypass).

Парадокс системы:

чем сильнее блокируешь → тем больше прокси → тем хуже работает фильтрация

🧠 Что имеем?

Полностью «убить» Telegram можно только отключив страну от глобального интернета. Во всех остальных сценариях 100% блокировки  невозможны.
Заблокировать на 80% вполне реально и это уже вызовет кучу проблем и неудобств для пользователей. Конечная цель сделать использование настолько неудобным, чтобы пользователь сам ушёл в другие мессенджеры.

Stay secure and read SecureTechTalks 📚

#кибербезопасность #telegram #блокировки #DPI #MTProto #proxy #CDN #инфобез #сетеваябезопасность #privacy

🧰 Контроль выполнения AI-агентов на уровне runtime

Microsoft выпустили Agent Governance Toolkit.

С ростом использования AI-агентов проблема смещается
с качества ответов на контроль выполняемых действий. Если агент вызывает API, инициирует бизнес-операции или управляет инфраструктурой, то он становится полноценным участником системы. Следовательно должен являться объектом контроля.

Agent Governance Toolkit от Microsoft добавляет runtime-уровень управления поведением агентов.

⚙️ Архитектурная роль

Toolkit не участвует в генерации решений.
Он встраивается в execution layer и работает как промежуточный слой:
Agent → Governance Layer → External Systems

Этот слой:
➖перехватывает действия агента
➖валидирует их относительно политик
➖логирует контекст выполнения

🔍 Ключевые компоненты

1⃣ Action Interception
Каждое действие агента (вызов функции, API, tool execution) перехватывается до выполнения.
2⃣ Policy Engine
Правила задаются явно и проверяются в runtime (allow/deny, условные ограничения, контекстные проверки)
3⃣ Execution Trace
Формируется цепочка: context → decision → action → result
Такой подход даёт воспроизводимость и возможность проводить аудит.
4⃣ Observability Hooks
Интеграция с логированием и monitoring-системами

🧠 Чем это отличается от классического IAM

IAM отвечает на вопрос:
“кто имеет доступ?”, агент же может действовать в рамках делегированных прав, однако его поведение не детерминировано.
Контроль смещается к ответу на вопрос “что он делает прямо сейчас?”
Это ближе к runtime security и behavioral analysis.

🕵️ Модель угроз

Toolkit частично закрывает следующие сценарии:
➖prompt injection → попытка инициировать нежелательные действия
➖over-privileged agent → избыточные полномочия
➖unintended tool usage → некорректный выбор инструментов
➖action chaining → нежелательные последовательности действий

⚠️ Ограничения

➖ политики описываются вручную (нет зрелого DSL/автоматизации)
➖нет встроенного анализа сложных атак
➖эффективность зависит от глубины интеграции

🔗 Ссылка: https://github.com/microsoft/agent-governance-toolkit

Stay secure and read SecureTechTalks 📚

#кибербезопасность #AI #LLM #агенты #инфобез #Microsoft #opensource #security #AIagents #devsecops

🚨 Claude Code утёк на GitHub и стал вектором атаки

После утечки инструмента Claude Code в открытый доступ на GitHub начали быстро появляться его копии и форки. Некоторые из них оказались модифицированы с добавленным вредоносным кодом.

Выглядело всё вполне обычно: репозиторий с приввчным названием и рабочий код. Пользователи скачивали такие версии как легитимный инструмент, но вместе с этим устанавливали malware.

Вредоносная логика встраивалась прямо в проект и срабатывала при установке или запуске. Она могла догружать дополнительные компоненты, открывать удалённый доступ, перехватывать данные и выполнять команды на машине жертвы.

Атака строится на доверии к инструменту и платформе распространения, но по сути, это стандартная supply chain атака:
➖точка входа в виде среды разработки,
➖канал распространения GitHub,
➖ в качестве триггера обычное действие «скачать и попробовать».

Последствия стандартные для такого класса атак. Компрометация рабочих машин, утечка токенов и доступов, риск дальнейшего проникновения в инфраструктуру.

Хорошее напоминание, что доверять нельзя никому 😱

Stay secure and read SecureTechTalks 📚

#кибербезопасность #infosec #cybersecurity #malware #supplychain #github #devsecops #opensource #hacking #securetechtalks

🧠 Почему мультиагентные системы деградируют

В детстве была игра, когда шёпотом передаёшь фразу по цепочке и в конце она превращается во что-то странное. Похоже, мы встроили эту механику прямо в архитектуру современных AI-систем.

⚙ Текущая реальность

Сегодня мультиагентные LLM выглядят как очевидный шаг вперёд. Один агент генерирует, второй проверяет, третий агрегирует, четвёртый управляет процессом, а пятый все этой протоколирует.

По логике, если одна модель умная, то система из нескольких должна быть еще умнее. Но, к сожалению, это не так.

🚨 Больше коммуникации ≠ лучше результат

Система может генерировать больше токенов, обсуждать дольше, «думать коллективно», но  терять ключевые факты по дороге. Причина не в интеллекте моделей, а в накоплении шума, искажений и
коррелированных ошибок.

🌲 Топология

Когда все агенты общаются напрямую (⭐), точность максимальна. Но как только появляется иерархия (🌲):
➖промежуточные агенты начинают сжимать контекст
➖часть информации не проходит вверх
➖сигнал становится необратимо искажённым

На практике, до 25% критичных данных теряется при переходе к древовидной схеме. «Менеджер» в AI-системе это не усилитель, а фильтр с потерями.

🦠 Эксплойты никто не отменял

Давай всомним о безопасности 😁 и добавим одного «заражённого» агента (prompt injection / malicious logic):
➖в ⭐ звезде атака распространяется быстро → система «заражается» целиком
➖ в 🌲 дереве часть вреда гасится → но вместе с ним теряется и полезный сигнал

Получаем этакий  парадокс:
👉 чем лучше связность системы, тем она уязвимее
👉 чем больше потерь, тем выше устойчивость

🧩 В сухом остатке:
Мультиагентные LLM не становятся «командой экспертов». Это все также распределённая система передачи сигналов, где:
➖ информация умирает по дороге
➖ ошибки усиливают друг друга
➖ архитектура напрямую влияет на безопасность

Stay secure and read SecureTechTalks 📚

#кибербезопасность #LLM #AI #MultiAgent #PromptInjection #DataSecurity #AIархитектура #Infosec #SecureAI #GenAI

🧪 Продолжаем тестирования AI: взгляд на ASQAV SDK

В какой-то момент стало очевидно: привычные методы тестирования плохо применимы к AI-системам.

Раньше можно было сопоставить вход и ожидаемый результат. Теперь с LLM всё иначе.
Ответы вариативны, поведение зависит от контекста, а в случае агентных систем ещё и от цепочки решений, которая формируется прямо в процессе выполнения.

Не удивительно, что появляется все больше специализированных инструментов. Сегодня разберем еще один из них - ASQAV SDK.

⚙️ Изучаем поведение

ASQAV - open-source SDK для оценки и тестирования AI-приложений. Инструмент прежде всего пригодится там, где используются:

➖языковые модели
➖агенты
➖интеграции с внешними сервисами и данными

Его ключевая особенность в смещение фокуса. Он проверяет не «правильность ответа», а устойчивость системы. То есть, как она реагирует на некорректные, провокационные или откровенно вредоносные входные данные.

🔍 Подход ASQAV

Инструмент позволяет задавать сценарии, которые можно назвать «стрессовыми» для модели:

➖попытки prompt injection
➖обход ограничений (jailbreak)
➖провокации на утечку данных
➖некорректные или неоднозначные входные данные

Система проходит через сценарии последовательно, а результаты можно воспроизводить и встраивать в CI/CD.

Это приближает тестирование AI к тому, что в классической безопасности называется adversarial-подходом.

⚠️ Важное уточнение

ASQAV не определяет, что считать критичным,
не строит модель угроз и не заменяет архитектурные решения.

Инструмент позволяет регулярно проверять систему на устойчивость, а не полагаться на интуицию.

То есть, без классических инструментов все-таки не обойтись.

🧩 Немного по техничке

ASQAV строится вокруг идеи сценарного тестирования. Разработчик описывает набор кейсов (prompts, контекст, ожидаемые ограничения), после чего SDK прогоняет их через модель и фиксирует отклонения.

Тесты можно параметризовать, комбинировать и запускать пакетно. Этакие unit/integration-тесты для LLM-поведения. Результаты структурируются (оценки, флаги нарушений, логи ответов), что позволяет интегрировать проверки в пайплайны CI/CD и отслеживать деградацию модели со временем.

Инструмент работает на уровне API-взаимодействия с моделью, поэтому легко встраивается в существующую архитектуру без изменения самой LLM.

🔗 Репозиторий:

https://github.com/jagmarques/asqav-sdk

Stay secure and read SecureTechTalks 📚

#кибербезопасность #информационнаябезопасность #AIsecurity #LLM #AgenticAI #PromptInjection #AdversarialTesting #MachineLearning #DevSecOps #SecureTechTalks

🚨 Claude Code раскрывает секреты

31 марта 2026 года Claude Code утёк без взлома.
В npm-пакет не добавили *.map, и наружу ушёл bundle ~60 МБ с 500+ тыс. строк TypeScript-кода, включая внутреннюю логику, комментарии и feature-флаги.

🧠 Что именно утекло

В сети оказалась reference-реализация того,
как LLM превращается в исполняемого агента:
➖оркестрация вызовов инструментов
➖планирование задач
➖управление состоянием
➖enforcement ограничений

⚙️ Execution loop вместо «prompt → response»

Внутри есть цикл выполнения, где модель:
➖декомпозирует задачу
➖выбирает инструменты
➖получает результаты
➖пересобирает план

Причём цепочка не фиксирована и может ветвиться, этакий event-driven runtime.

🔄 KAIROS: фоновый агент

Отдельного внимание заслуживает режим KAIROS.

Это long-running процесс, который:
➖реагирует на события (например GitHub)
➖работает по «тикам»
➖поддерживает собственное состояние
➖инициирует действия без прямого запроса

Таким образом, агент становится проактивным, а не реактивным.

💤 AutoDream: работа с памятью

Механизм AutoDream отвечает за постобработку.
В idle-состоянии система:
➖пересматривает прошлые трейсы
➖устраняет противоречия
➖сжимает и нормализует контекст

В итоге имеем state reconciliation между сессиями.

🕵️ Undercover Mode

В коде явно выделен режим ограничения экспозиции:
➖подавление самореференций
➖фильтрация внутренних деталей
➖контроль формулировок ответов

Другими словами реализован слой output sanitization + policy enforcement.

🛡 Защита от model extraction

Отдельный блок посвящён защите от копирования:
➖искажение reasoning chain в ответах
➖внедрение «шумовых» инструментов
➖усложнение реконструкции логики

🎯 Архитектурный вывод

Claude Code не «обёртка над LLM», а полноценный стек. LLM выступает, как планировщик, runtime как исполнитель, а инструменты как расширение capability.
Что это, если не agent OS?

Stay secure and read SecureTechTalks 📚

#кибербезопасность #информационнаябезопасность #AIsecurity #LLM #AgenticAI #CyberThreats #MachineLearning #DevSecOps #ThreatIntelligence #SecureTechTalks

🤖 OpenAI больше не ограничивает ответы модели.
Они ограничивают тебя.

Вышла модель GPT-5.4-Cyber.

OpenAI выпустила отдельную версию модели,  GPT-5.4-Cyber, заточенную под кибербезопасность.
Компания гранулирует доступ к опасным возможностям, а не убирает их.

Одновременно расширяется программа Trusted Access for Cyber:
➖тысячи проверенных специалистов
➖сотни команд
➖новые уровни доступа
И только на верхнем уровне открывается сама модель.

⚙️ Что умеет модель

GPT-5.4-Cyber работает на уровне практики:
➖умеет разбирать бинарники без исходников,
➖анализировать malware,
➖оценивать безопасность compiled-софта,
➖искать уязвимости там, где раньше нужен был отдельный стек инструментов.

👉 у модели снижены ограничения на “опасные” запросы, если они выглядят как легитимная работа по безопасности

🔐 Доступ как новая граница

Раньше AI пытались «обезвредить» на уровне самой модели. Теперь подход другой,
модель может многое
но не всем это доступно

OpenAI прямо говорит, что возможности модели это dual-use, и риск зависит не только от модели, но и от пользователя:
🔑 вводится жёсткая верификация (KYC)
🔑 уровни доверия
🔑 градация возможностей
Чем выше доверие, тем меньше ограничений.

🧩 Зачем?

Старый подход перестал работать. Атакующие уже научились «выжимать» больше из обычных моделей просто за счёт большего количества вычислений и сложных сценариев использования.

Ищначально OpenAI усиливали защитный стек.
Codex Security помог найти и исправить 3000+ критичных уязвимостей
и подключился к более чем 1000 open-source проектов. Теперь пришло время альтернативных подходов.

Stay secure and read SecureTechTalks 📚

#кибербезопасность #AI #LLM #cybersecurity #OpenAI #инфобез #AIsecurity #уязвимости #технологии #SecureTechTalks

🚨 RDP-файлы снова в игре: Microsoft усиливает защиту Windows

Фишинг - это не только ссылки и PDF, злоумышленники активно используют .rdp-файлы (Remote Desktop).

Microsoft выпустила апрельские обновления, усиливающие защиту при открытии RDP-файлов в качестве реакции на новую волну атак.

Сценарий простой:
1⃣ жертве отправляют .rdp файл
2⃣ он открывается
3⃣ идёт подключение к серверу злоумышленника
4⃣ дальше полный доступ к файлам, учеткам и токенам

RDP при этом умеет гораздо больше, чем кажется: он может пробрасывать диски, буфер обмена и локальные ресурсы прямо на удалённую машину.

⚙️ Обновление "Винды"

Microsoft попытались добавить несколько инструментов защиты:

🛑 перед подключением теперь показывается более подробное предупреждение о целевой системе
🧾 явно отображаются ресурсы, которые будут расшарены (диски, clipboard и т.д.)
🔒 пользователь должен подтверждать потенциально рискованные действия
🚫 редиректы ресурсов отключены по умолчанию

💀 Всё ещё опасно

RDP вам не только “удалённый рабочий стол”, это фактически полноценный канал доступа к системе, который злоумышленники уже давно используют:
➖APT-группы распространяют вредоносные .rdp файлы
➖эксплойт не нужен, достаточно социальной инженерии
➖пользователь сам инициирует атаку

Вот такой «фишинг на максималках» с root-доступом, блекджеком и ш...

🧩 Слабое звено

Даже с новыми предупреждениями остаётся базовая проблема. Пользователь всё ещё может нажать “OK” и слломать всю модель защиты.

Stay secure and read SecureTechTalks 📚

#RDP #WindowsSecurity #CyberSecurity #InfoSec #Phishing #APT #Microsoft #BlueTeam #ThreatIntel #SecureTechTalks

🤖 PentAGI: мультиагентная команда пентестеров

PentAGI (Penetration Testing Artificial General Intelligence) - open-source платформа, которая превращает LLM-модели в команду виртуальных специалистов по кибербезопасности. Проект позволяет автоматизировать задачи тестирования на проникновение без необходимости вручную запускать десятки инструментов.

Основные фичи:

🤖 Полная автономность

PentAGI сам определяет шаги тестирования: от разведки и сканирования до эксплуатации уязвимостей и генерации отчётов. AI-агенты планируют атаки, анализируют результаты и адаптируют стратегию на лету.

🏖Песочница безопасности

Все операции выполняются в изолированных Docker-контейнерах. Даже если агент «сойдёт с ума» будет ущерб ограничен виртуальной средой.

👥 Команда специалистов

Система использует делегирование задач между специализированными агентами:
🔍 Researcher исследует цель и собирает разведданные
💻 Developer пишет эксплойты и скрипты
⚔️ Executor выполняет атаки в изолированной среде
🧠 Adviser контролирует качество и предлагает альтернативные стратегии

20+ профессиональных инструментов. Встроенный арсенал включает nmap, Metasploit, sqlmap и другие инструменты, которые агенты используют как своими руками.

👩‍🎓Память и обучение

PentAGI запоминает успешные подходы и накапливает знания через граф знаний на Neo4j (Graphiti). Каждый новый тест система проводит умнее предыдущего.

🧠 Гибкость LLM-провайдеров

Поддерживается 10+ поставщиков моделей: OpenAI, Anthropic, Google Gemini, AWS Bedrock, DeepSeek, GLM, Kimi, Qwen, Ollama (локальный запуск) и даже LiteLLM-прокси. Можно использовать облачные API или развернуть всё локально на своём железе.

🏗️ Архитектура

Система построена на микросервисной архитектуре:
➖React + TypeScript фронтенд
➖Go + GraphQL бэкенд с REST API
➖PostgreSQL + pgvector для векторного поиска
➖Neo4j для графа знаний
➖Grafana/Prometheus/Jaeger/Loki для мониторинга
➖Langfuse для аналитики LLM-операций

Всё это упаковано в Docker Compose и разворачивается одной командой.

🔗 Ссылка на GitHub: vxcontrol/pentagi

PentAGI попытка создать настоящего «цифрового пентестера», который думает, планирует и учится.
Вопрос в том, готовы ли вы доверить ИИ настолько серьёзные задачи?
Да - 👍 Нет - 😱

Stay secure and read SecureTechTalks 📚

#PentAGI #AI #PenetrationTesting #CyberSecurity #AutonomousAgents #RedTeam #OpenSource #SecureTechTalks

🐍 Быстрые нейросети таят в себе опасные уязвимости

Пока весь AI-мир обсуждает модели, способные обрабатывать книги за секунды, исследователи обнаружили, что их главное преимущество в невероятной скорости,  одновременно является ахиллесовой пятой в плане безопасности.

👉 Речь идёт о State-Space Models SSM (архитектурах вроде Mamba и Jamba), которые обрабатывают тексты и данные в десятки раз быстрее классических Transformer'ов, вроде ChatGPT. Они уже внедряются в геномный анализ, клинический мониторинг пациентов и SOC-центры. Однако никто всерьёз не изучал их устойчивость к атакам. Спойлер: там есть уязвимости, которых нет у привычных нейросетей.

🎯 Три новых класса атак

Спектральные атаки: взлом через «частоту» данных

SSM работают как обученные фильтры с характерными частотными характеристиками. Злоумышленник концентрирует возмущения в полосах максимального усиления модели. Другими словами, достаточно слегка «подправить» данные и модель выдаст неверный результат.

⏱️ Отложенные бэкдоры: бомба замедленного действия

Триггер активируется через десятки тысяч шагов обработки. Стандартные методы обнаружения бессильны активация слишком далека от точки внедрения.

🌊 Насыщение ёмкости: заставляем ИИ «уверенно забыть» критически важную информацию

У SSM фиксированная размерность скрытого состояния. Злоумышленник заполняет его максимально сложным контентом и модель «забывает» важную информацию из начала документа.

🧠 Когнитивные риски: модель врёт, а вы ей верите

Человек склонен доверять модели, если она говорит крайне уверено:

➖Автоматизационный bias: у рецензентов нет времени на проверку. Чем больше образцов, тем выше слепое доверие.
➖Authority bias: «на основе полной 10-летней истории» звучит убедительно, даже если модель уже «забыла» половину данных.
➖Sycophantic reinforcement: врач задаёт наводящий вопрос, модель кодирует это в состояние и продолжает подтверждать гипотезу, даже при противоречащих данных.
➖Рекуррентные галлюцинации: ложное убеждение в скрытом состоянии распространяется вперёд, переинтерпретируя правильные данные через призму ошибки.

🔗 Больше о рисках SSM читайте в статье: «Safety, Security, and Cognitive Risks in State-Space Models»

Ваши SOC уже используют быстрые SSM-модели для анализа логов? Возможно, пришло время аудита архитектурных рисков, а не только привычного prompt injection.

Stay secure and read SecureTechTalks 📚

#SSM #Mamba #AIsecurity #AdversarialML #CyberSecurity #SecureTechTalks #GenomicSecurity #ClinicalAI #MITREATLAS