💡 Generative AI with JavaScript: обучающий курс от Microsoft💡
Generative AI with JavaScript — это бесплатный обучающий курс от Microsoft, который поможет вам освоить создание генеративных моделей ИИ с использованием JavaScript. Курс разработан для разработчиков, исследователей и специалистов по кибербезопасности, которые хотят понимать, как работает генеративный ИИ, его возможности, ограничения и риски.
Курс подойдёт, если вы:
✅ Хотите изучить применение генеративного ИИ в веб-приложениях.
✅ Разбираетесь в JavaScript и хотите углубиться в машинное обучение.
✅ Интересуетесь безопасностью ИИ и защитой моделей от атак.
📖 Что вас ждёт в курсе?
Курс состоит из 10 модулей, каждый из которых раскрывает ключевые аспекты генеративного ИИ.
🔹 Введение в генеративный ИИ
📌 Основные принципы работы генеративных моделей.
📌 Разница между нейросетями, LLM и классическим машинным обучением.
🔹 Работа с моделями OpenAI в JavaScript
📌 Использование API OpenAI для генерации текста.
📌 Взаимодействие с GPT-3.5/4 в веб-приложениях.
🔹 Обучение и дообучение моделей
📌 Как адаптировать генеративные модели под конкретные задачи.
📌 Работа с Fine-tuning для повышения точности ответов.
🔹 Риски и безопасность ИИ
📌 Атаки на модели: Prompt Injection, Data Poisoning, Model Stealing.
📌 Методы защиты и фильтрация входных данных.
🔹 Этичность и ответственность в ИИ
📌 Как избежать галлюцинаций моделей и некорректных ответов.
📌 Вопросы цензуры, регулирования и прозрачности ИИ.
⚡ Причём тут кибербезопасность?
🔍 LLM-модели уже используются в атаках
Генеративный ИИ всё чаще становится инструментом киберпреступников. Автоматизированные фишинговые письма, социальная инженерия и кодогенерация вредоносного ПО — всё это уже реальность.
🛡 Безопасность генеративных моделей
Курс учит определять уязвимости в LLM, защищать их от злонамеренных промтов и предотвращать неавторизованные запросы к API.
📥 Исходный код и материалы курса доступны на GitHub
💡 Вывод
Курс Generative AI with JavaScript – это отличная возможность освоить создание и защиту генеративных моделей, используя JavaScript. Если вы хотите быть в авангарде технологий, понимать, как злоумышленники используют ИИ, и научиться обеспечивать безопасность генеративных систем – обязательно пройдите курс!
Stay secure and read SecureTechTalks 📚
#GenerativeAI #JavaScript #CyberSecurity #AI #MachineLearning #LLM #Microsoft #PromptInjection #AIThreats #SecureTechTalks #InfoSec
Generative AI with JavaScript — это бесплатный обучающий курс от Microsoft, который поможет вам освоить создание генеративных моделей ИИ с использованием JavaScript. Курс разработан для разработчиков, исследователей и специалистов по кибербезопасности, которые хотят понимать, как работает генеративный ИИ, его возможности, ограничения и риски.
Курс подойдёт, если вы:
✅ Хотите изучить применение генеративного ИИ в веб-приложениях.
✅ Разбираетесь в JavaScript и хотите углубиться в машинное обучение.
✅ Интересуетесь безопасностью ИИ и защитой моделей от атак.
📖 Что вас ждёт в курсе?
Курс состоит из 10 модулей, каждый из которых раскрывает ключевые аспекты генеративного ИИ.
🔹 Введение в генеративный ИИ
📌 Основные принципы работы генеративных моделей.
📌 Разница между нейросетями, LLM и классическим машинным обучением.
🔹 Работа с моделями OpenAI в JavaScript
📌 Использование API OpenAI для генерации текста.
📌 Взаимодействие с GPT-3.5/4 в веб-приложениях.
🔹 Обучение и дообучение моделей
📌 Как адаптировать генеративные модели под конкретные задачи.
📌 Работа с Fine-tuning для повышения точности ответов.
🔹 Риски и безопасность ИИ
📌 Атаки на модели: Prompt Injection, Data Poisoning, Model Stealing.
📌 Методы защиты и фильтрация входных данных.
🔹 Этичность и ответственность в ИИ
📌 Как избежать галлюцинаций моделей и некорректных ответов.
📌 Вопросы цензуры, регулирования и прозрачности ИИ.
⚡ Причём тут кибербезопасность?
🔍 LLM-модели уже используются в атаках
Генеративный ИИ всё чаще становится инструментом киберпреступников. Автоматизированные фишинговые письма, социальная инженерия и кодогенерация вредоносного ПО — всё это уже реальность.
🛡 Безопасность генеративных моделей
Курс учит определять уязвимости в LLM, защищать их от злонамеренных промтов и предотвращать неавторизованные запросы к API.
📥 Исходный код и материалы курса доступны на GitHub
💡 Вывод
Курс Generative AI with JavaScript – это отличная возможность освоить создание и защиту генеративных моделей, используя JavaScript. Если вы хотите быть в авангарде технологий, понимать, как злоумышленники используют ИИ, и научиться обеспечивать безопасность генеративных систем – обязательно пройдите курс!
Stay secure and read SecureTechTalks 📚
#GenerativeAI #JavaScript #CyberSecurity #AI #MachineLearning #LLM #Microsoft #PromptInjection #AIThreats #SecureTechTalks #InfoSec
🔥1
💣 npm как C2: история с axios
В конце марта исследователи обратили внимание на подозрительную активность в npm-пакетах, связанных с экосистемой axios. Сначала это выглядело как обычный случай вредоносной зависимости, но при разборе выяснилось, что речь идёт о полноценной supply chain атаке с бэкдором и удалённым управлением.
Сразу отметим, что axios не был скомпрометирован. Атаку провели через сторонние пакеты, которые маскировались под легитимные модули и попадали в dependency tree.
🧬 Как происходит заражение
Вредоносный пакет выглядит как обычная зависимость без явных признаков компрометации. Он спокойно устанавливается через npm и активируется на этапе npm install.
Ключевой механизм lifecycle-скрипты (например, postinstall). Именно они позволяют выполнить код ещё до запуска приложения.
В этот момент:
➖ подтягивается внешний payload или активируется встроенный
➖ происходит первичная инициализация бэкдора
➖ устанавливается канал связи с управляющим сервером
⚙️ Что делает бэкдор
После активации пакет начинает работать как скрытый агент:
➖ собирает информацию об окружении (OS, переменные, пути, токены)
➖ устанавливает исходящее соединение с C2
➖ загружает и исполняет дополнительный код
При этом он работает в контексте текущего процесса, т.е. получает доступ ко всему, к чему есть доступ у сборки или разработчика.
🌐 Почти незаметно
Вредоносный код:
➖ обфусцирован
➖ маскирует сетевую активность
➖ может быть разбит на части
Дополнительно, транзитивные зависимости, пакет может попасть в проект вообще без прямого подключения.
В итоге обнаружение становятся не самой тривиальной задачей.
🛡 Как от этого защищаются
После выявления атаки основной фокус должен сместиться на контроль этапа установки зависимостей.
Во-первых, нужно жёстко ограничивать выполнение lifecycle-скриптов. В прод- и CI-средах стоит использовать установку с отключёнными скриптами (--ignore-scripts) и разрешать их только для проверенных пакетов.
Во-вторых, необходимо усилить контроль над зависимостями. Фиксация версий через lock-файлы, аудит новых пакетов и отказ от «автоматических» обновлений должен быть базовой практикой, а не рекомендацией.
Отдельное внимание стоит уделять изоляции CI. Сборки нужно запускать в средах с минимальными правами и без прямого доступа к секретам.
Даже если вредоносный код выполнится, он не должен получить ничего критичного.
📄 Разбор атаки:
https://opensourcemalware.com/blog/axios-compromised
Stay secure and read SecureTechTalks 📚
#cybersecurity #infosec #supplychain #npm #javascript #appsec #devsecops #malware #hacking #axios
В конце марта исследователи обратили внимание на подозрительную активность в npm-пакетах, связанных с экосистемой axios. Сначала это выглядело как обычный случай вредоносной зависимости, но при разборе выяснилось, что речь идёт о полноценной supply chain атаке с бэкдором и удалённым управлением.
Сразу отметим, что axios не был скомпрометирован. Атаку провели через сторонние пакеты, которые маскировались под легитимные модули и попадали в dependency tree.
🧬 Как происходит заражение
Вредоносный пакет выглядит как обычная зависимость без явных признаков компрометации. Он спокойно устанавливается через npm и активируется на этапе npm install.
Ключевой механизм lifecycle-скрипты (например, postinstall). Именно они позволяют выполнить код ещё до запуска приложения.
В этот момент:
⚙️ Что делает бэкдор
После активации пакет начинает работать как скрытый агент:
При этом он работает в контексте текущего процесса, т.е. получает доступ ко всему, к чему есть доступ у сборки или разработчика.
🌐 Почти незаметно
Вредоносный код:
Дополнительно, транзитивные зависимости, пакет может попасть в проект вообще без прямого подключения.
В итоге обнаружение становятся не самой тривиальной задачей.
🛡 Как от этого защищаются
После выявления атаки основной фокус должен сместиться на контроль этапа установки зависимостей.
Во-первых, нужно жёстко ограничивать выполнение lifecycle-скриптов. В прод- и CI-средах стоит использовать установку с отключёнными скриптами (--ignore-scripts) и разрешать их только для проверенных пакетов.
Во-вторых, необходимо усилить контроль над зависимостями. Фиксация версий через lock-файлы, аудит новых пакетов и отказ от «автоматических» обновлений должен быть базовой практикой, а не рекомендацией.
Отдельное внимание стоит уделять изоляции CI. Сборки нужно запускать в средах с минимальными правами и без прямого доступа к секретам.
Даже если вредоносный код выполнится, он не должен получить ничего критичного.
📄 Разбор атаки:
https://opensourcemalware.com/blog/axios-compromised
Stay secure and read SecureTechTalks 📚
#cybersecurity #infosec #supplychain #npm #javascript #appsec #devsecops #malware #hacking #axios
Please open Telegram to view this post
VIEW IN TELEGRAM
👍1