#blog

В преддверии праздника дня Победы, я усиливал безопасность данного официального сайта, в рамках Баг-Баунти программы. https://www.moypolk.ru/

Нашел 3 уязвимости, и все это бесплатно (за респект). Вы тоже можете исследовать данный ресурс на уязвимости, на платформе bugbounty.ru. Данная программа - бесплатная (имейте ввиду).

Брать деньги, за великие подвиги воинов, которые подарили нам всем жизнь - для меня не актуально.

🔴 Как я строю AI Red Team: методология с нуля до репорта

Привет! Восьмая, финальная часть серии. Семь постов назад мы начали с DeepSeek. Прошли ChatGPT, RAG, агентов, системные промпты, фильтры, файн-тюн. Сегодня - синтез всего этого в одну работающую методологию. Как я строю AI Red Team engagement от первого брифинга до итогового отчёта 🎯

🗺 Почему AI Red Team ≠ классический пентест
В обычном пентесте ты ищешь детерминированные уязвимости: CVE, неправильный конфиг, открытый порт. Нашёл - воспроизвёл - задокументировал.

В AI Red Team поверхность атаки вероятностная: одна и та же атака может сработать сейчас и не сработать через 5 минут. Патч - не обновление пакета, а переобучение модели. Уязвимость - не в коде, а в поведении системы.

Это другая игра. И методология - другая.

📋 Фаза 1: Разведка и моделирование угроз
Прежде чем запускать инструменты - картографируешь систему. Полностью:

✅ Базовая модель + версия
✅ Системный промпт (если есть доступ)
✅ Fine-tuning конфигурация
✅ RAG источники и их доверенность
✅ Подключённые инструменты (tool calls) + их разрешения
✅ Pipeline обработки вывода
✅ Тиры доступа пользователей
✅ Интеграции: почта, Slack, БД, API

Без этой карты тестирование систематически пропускает целые классы атак. Это не паранойя - это база.

Применяю STRIDE-AI framework для threat modeling:

Spoofing - может ли атакующий имитировать доверенный источник?
Tampering - можно ли изменить данные в RAG или контексте?
Repudiation - логируются ли все действия агентов?
Information disclosure - что и кому может утечь?
Denial of service - есть ли защита от resource-heavy промптов?
Elevation of privilege - можно ли получить доступ выше своего уровня?

⚔ Фаза 2: Матрица атак по OWASP LLM Top 10
Для каждого деплоя строю матрицу покрытия по OWASP LLM Top 10 и тестирую каждую категорию

Ключевой принцип: на каждую категорию - минимум 10 вариантов атаки. Один промпт - не тест. Одна техника - не покрытие.

🛠 Фаза 3: Арсенал - 4 обязательных инструмента
Лучшие open-source фреймворки для AI Red Team в 2026-м:

1. Garak - LLM vulnerability scanner


# Полный скан на jailbreak + encoding атаки
garak —model openai/gpt-4o \
—probes jailbreak,encoding,multilingual,knownbadsignatures \
—generations 5


2. Promptfoo - adversarial testing + red team плагины


# Запуск red team с кастомными плагинами
promptfoo redteam \
—plugins prompt-injection,rag-poisoning,agent-hijacking \
—target http://your-app/api/chat \
—num-tests 100


3. Microsoft PyRIT - multi-turn атаки и оркестрация


from pyrit.orchestrator import RedTeamingOrchestrator
# Автономные multi-turn атаки с LLM-adversary
orchestrator = RedTeamingOrchestrator(
attack_strategy="jailbreak",
max_turns=10
)


4. DeepTeam - специализированный AI red teaming


deepteam scan —target ./my-rag-app \
—attacks all —threshold 0.85


Мой стек: Garak для breadth, PyRIT для depth, Burp для API-слоя, Manual для того, что автоматика пропустила 😎


📊 Фаза 4: Метрики - как измерять результат
Ключевые KPI engagement'а:

🎯 ASR (Attack Success Rate) - цель в проде: < 1%
🔍 Critical findings count - цель: 0 перед деплоем
⏱ MTTD (Mean Time to Detect) - цель: < 15 минут
❌ False Positive Rate - цель: < 2%

По данным Mindgard 2026: большинство production AI-систем показывают ASR 15-40% при первом тестировании. То есть каждая четвёртая атака - успешная. Прямо в проде. Прямо сейчас.


📝 Фаза 5: Репорт - структура, которая работает
Структура AI Red Team репорта:

Executive Summary
Scope и цели
Топ-3 критических находки
Общий Risk Rating

Technical Findings - для каждой уязвимости:

ID: AI-RT-001
Severity: CRITICAL
Category: Prompt Injection → Tool Call Hijacking
Impact: Полный захват агента, эксфильтрация данных
Steps to Reproduce: [точные промпты]
Proof of Concept: [скриншот / лог]
Remediation: [конкретные шаги]

🔄 Фаза 6: Это не разовый аудит - это процесс
AI Red Team - не «сделал раз и забыл». Модели обновляются, промпты меняются, новые интеграции появляются.

Правильная схема:

Pre-release → полный red team engagement
Post-update → targeted regression testing
Continuous → автоматический скан в CI/CD pipeline
Quarterly → полный пересмотр threat model
Integrating Garak/Promptfoo в CI/CD - это уже стандарт у зрелых команд в 2026-м. Каждый деплой = автоматический red team тест.

🏆 Итог серии
За восемь постов мы прошли путь от «что такое prompt injection» до полноценной AI Red Team методологии. Вот весь арсенал в одну строку:

Разведка → Threat Model → OWASP Matrix → Garak+PyRIT+Promptfoo → Severity Rating → Репорт → CI/CD интеграция → Repeat

AI-безопасность в 2026-м - это не ниша. Это новая обязательная компетенция для любого security-специалиста. И ты теперь знаешь, с чего начать.

Серия завершена. Новая - скоро. Stay dangerous.


#AIRedTeam #LLM #pentesting #cybersecurity #methodology #Garak #PyRIT #infosec #OWASP

🔍💣 ВЗЛОМ TRIVY: когда твой сканер уязвимостей - сам уязвимость

19 марта 2026 года сообщество DevSec-специалистов получило неприятный сюрприз: Trivy - один из самых популярных open-source сканеров уязвимостей от Aqua Security - оказался скомпрометирован группировкой TeamPCP.

И нет, это не баг в коде. Это атака на доверие.

🎯 Как это было: 5 фаз домино

➤ Фаза 1 - Точка входа
Ещё в конце февраля атакующие нашли misconfiguration в GitHub Actions окружении Trivy и утащили привилегированный access token. Типичный «открытый люк в подвале».

➤ Фаза 2 - Недоротация
1 марта команда Aqua Security раскрыла инцидент и провела ротацию credentials. Но - не полную. TeamPCP сохранили рабочий токен. Буквально «поменяли замок, но оставили запасной ключ под ковриком».

➤ Фаза 3 - Отравленный релиз
19 марта атакующие запушили бэкдорный бинарь под тегом v0.69.4. Одновременно перезаписали 76 из 77 тегов в aquasecurity/trivy-action и все теги setup-trivy - инфостилером вместо оригинального entrypoint.sh.

➤ Фаза 4 - Тихий сбор урожая
Малварь делала своё дело незаметно: CI/CD secrets, cloud credentials, SSH-ключи, Docker configs - всё улетало на серверы атакующих. При этом сам скан Trivy продолжал работать и показывал зелёные чеки. Разработчики видели "✅ No vulnerabilities found" и шли пить кофе. 😬

➤ Фаза 5 - Эффект домино
TeamPCP расширили кампанию: npm-червь CanisterWorm, расширения VS Code на Open VSX, KICS GitHub Actions от Checkmarx, LiteLLM на PyPI. Один скомпрометированный инструмент - веер атак по всей экосистеме.

⚠️ Масштаб ущерба

- Скомпрометированные версии: v0.69.4 (бинарь), v0.69.5–v0.69.6 (Docker-образы)
- Окно воздействия: от 3 до 12 часов в зависимости от компонента
- CVE присвоен: CVE-2026-33634
- Первые подтверждённые жертвы среди реальных компаний уже известны

🛡️ Что делать прямо сейчас

✔ Проверить, тянул ли ваш пайплайн v0.69.4 из любого источника
✔ Ищите репозиторий tpcp-docs в своей GitHub-организации - если есть, секреты утекли
✔ Ротировать ВСЕ секреты, доступные в пайплайнах, где мог запуститься заражённый скан
✔ Пиннить GitHub Actions на полный immutable commit SHA, а не на теги - теги перезаписываются, это не новость, но все всё равно забывают 🤦
✔ Безопасные версии: v0.69.2 / v0.69.3 (бинарь), trivy-action v0.35.0, setup-trivy v0.2.6

💬 Мораль

WAF - это не стена, а приглашение. А trusted toolchain - это не броня, это следующая цель.
Атаки на supply chain в 2026-м больше не экзотика - это новый стандарт. Если ты доверяешь инструменту безоговорочно, атакующий уже стоит у тебя за спиной с твоими же credentials в руках.

Пинни экшены. Ротируй секреты атомарно. И перестань думать, что зелёный чек = безопасность.

#cybersecurity #supplychain #trivy #devops #cicd #infosec #redteam

С Днём Великой Победы! 9 Мая - это особенный день памяти, безмерной благодарности и гордости за невероятный подвиг наших предков, которые проявили несгибаемую волю, чтобы подарить нам мирное небо. Пусть этот праздник всегда напоминает нам о ценности жизни, непоколебимой силе духа и важности защиты того, что нам по-настоящему дорого. Желаю вам и вашим близким крепкого здоровья, благополучия, уверенности в завтрашнем дне и мирной, созидательной жизни!

Почему 90% новичков бросают баг-баунти за 6 месяцев 💀

Я видел это сотни раз. Человек загорается, ставит Burp Suite, проходит пару курсов - и через полгода тишина. Аккаунт на платформе пылится, а сам он пишет где-то «баунти - это не для всех».

Так вот. Это не про талант. Это про конкретные ошибки.

🔴 Ошибка #1 - Охота на всё и сразу
Новичок открывает программу с огромным скоупом и начинает тыкать везде. XSS тут, SQLi там, SSRF вон там. Результат - ноль репортов и выгорание за 3 недели. Фикс: выбери один тип уязвимостей и один тип таргетов. Стань снайпером, а не пулемётчиком.

🔴 Ошибка #2 - Сравнение себя с топами
«Вася нашёл RCE за $10k, а я тут с XSS на $150 сижу». Стоп. Вася потратил 3 года, чтобы найти этот RCE. Твой $150 - это уже победа над 90% людей, которые вообще ничего не нашли.

🔴 Ошибка #3 - Дупликаты убивают мотивацию
Первый дупликат - больно. Второй - обидно. Третий - «всё, ухожу». Но дупликат - это не провал, это сигнал: ты копаешь в правильном месте. Просто опоздал. Значит, нужен быстрее рекон и уже сделанный скоуп.

🔴 Ошибка #4 - Нет структуры обучения
Смотришь YouTube → читаешь writeup'ы → смотришь другой YouTube. Каша в голове, прогресса нет. Фикс: один ресурс, одна техника, один таргет. Повторить 10 раз - потом следующий.

🔴 Ошибка #5 - Ждут «идеальный момент»
«Вот пройду ещё один курс, тогда начну хантить». Нет. Идеальный момент - прямо сейчас, с тем, что есть. Первый репорт учит больше, чем 10 курсов.

#багбаунти #багхантинг #кибербезопасность #этичныйхакинг #bugbounty

Ностальгия по 2021 году, и мое 1-е место на TryHackMe по России. :)


#blog #ctf #tryhackme