Niedawno pisaliśmy o tym, jak wykorzystanie niebezpiecznych mechanizmów serializacji może być metodą ataku na developerów. Tym razem przedstawiamy research przeprowadzony przez WIZ, który korzystając z podobnych mechanizmów umożliwia atak na infrastrukturę usługi AI-as-a-Service. AaaS jest kuszącym rozwiązaniem w dobie AI ze względu na spore wymagania sprzętowe. Skorzystanie z rozwiązań chmurowych…
Czytaj dalej »
W świecie dużych modeli językowych (LLM) dynamika zmian jest całkiem spora. Boom na rozwój AI nakręca też wyścig w kierunku coraz ciekawszych ataków skierowanych w akurat tę gałąź technologii. Ostatnio pisaliśmy o tym, jak popularny portal może być wykorzystany do ataków na developerów AI. Jednak infrastruktura oraz same modele mogą…
Czytaj dalej »
Niektórzy nie mogą już sobie wyobrazić życia bez “inteligentnych” pomocników. Duże modele językowe (LLM – Large Language Models) zyskały bardzo dużo zastosowań w ostatnich latach. Wykorzystywane są do obsługi klientów, generowania niewielkich snippetów kodu, w charakterze osobistych asystentów i nie tylko. Wciąż poprawiane, uczone na coraz większej ilości danych, modele…
Czytaj dalej »
Przeglądając Internet w poszukiwaniu ciekawych podatności, można się natknąć na niezałatane błędy, które stanowią idealny przykład dydaktyczny. Takie przykłady mało skomplikowane, a do tego podkreślają istotę problemu. CVE-2023-49785 może stać się jednym z lepszych przykładów do demonstracji wpływu SSRF (Server Side Request Forgery) na aplikację. O SSRF pisaliśmy już nie…
Czytaj dalej »
Nie wygląda na to, aby popularność na to, co powszechnie określane jest skrótem AI, w nadchodzących miesiącach miały ulec zmianie. Od początku przyglądamy się oraz prowadzimy własne badania w zakresie modeli i ich wpływu na bezpieczeństwo użytkowników końcowych, systemów, na których są uruchamiane oraz środowisk deweloperskich. Możliwości i zagrożenia, wynikające…
Czytaj dalej »
W środę 28 lutego odbyła się pierwsza część naszego nowego szkolenia Narzędziownik AI, która przed ekrany przyciągnęła na żywo ponad 1300 osób na żywo przy łącznej liczbie zapisanych 2700 (tak, nagranie jest dostępne przez 90 dni). Nasz trener Tomek rozpoczął o czasie, jednak sesja Q&A była tak rozbudowana, że szkolenie…
Czytaj dalej »
Witaj w nowym świecie, gdzie narzędzia sztucznej inteligencji (AI) stają się nieodłącznymi elementami Twojej codzienności. Aby pomóc Ci zrozumieć tę niezwykłą dynamikę i wykorzystać jej potencjał, zapraszamy na nasze najnowsze, wnikliwe i ultra praktyczne szkolenie prowadzone przez Tomka Turbę. Wprowadzimy Cię w świat AI, opowiemy czym w ogóle jest sztuczna…
Czytaj dalej »
Przykłady wykorzystania narzędzia oraz udane próby ominięcia systemu weryfikacji tożsamości możecie prześledzić w tym wątku-śledztwie na Twitterze. Od strony użytkownika całość jest (*) bajecznie prosta – podajemy konkretne dane, które mają znaleźć się na dokumencie (np. Imię/Nazwisko/zdjęcie/nr dokumentu) – i ognia – wygenerowanie zdjęć stosownych fejków zajmuje dosłownie moment. Można…
Czytaj dalej »
Ataki socjotechniczne wykorzystujące ludzkie odruchy jak chęć niesienia pomocy, to niestety w naszej branży smutna codzienność. Niedawno informowaliśmy o ataku na Framework Inc, w którym przestępcy podszyli się pod CEO aby wymóc pewne działanie. Jednak przekręty wykorzystujące autorytet to nie jedyne zagrożenie, z którym spotkać się może właściwie każdy. Cyberprzestępcy…
Czytaj dalej »
Czytanie w myślach to ciekawy koncept, na razie trudny do zrealizowania w przypadku ludzi, ale już teraz można przeczytać co LLM (Large Language Model) odpowiada innemu użytkownikowi. Za wszystko odpowiedzialna jest pamięć GPU. Trail Of Bits opublikowało na swoim blogu obszerne wyjaśnienie dla odkrytej podatności identyfikowanej jako CVE-2023-4969. Pozwala ona…
Czytaj dalej »
Od razu możecie przejść do swoich testów: https://geospy.ai/ pamiętając żeby nie uploadować niczego poufnego… Testy na czterech niepublikowanych wcześniej zdjęciach wypadły w zasadzie w 100% pozytywnie: Zaciekawił Cię temat? Spojrzyj na coś bardziej złożonego – czyli case wyszukiwania zdjęcia poniżej (Warszawa), gdzie GeoSpy nie był taki pewny… Tzn. źle wskazał…
Czytaj dalej »
Daniel Stenberg, twórca narzędzia curl właśnie pochwalił się swoimi „przygodami” z AI. Jaki tu mamy problem, ano taki, że w międzynarodowym środowisku często zgłoszenia błędów bezpieczeństwa są niejasne, skrótowe, często niestety mają też postać tzw. beg bounty („zgłoszę coś, co nie jest podatnością, a nuż wypłacą mi parę dolarów”). Wszystko…
Czytaj dalej »
Samo nagranie dostępne jest tutaj: Głos momentami się tnie, jest do bólu uszu monotonny, a także niezsynchronizowany z obrazem. Niemniej jednak taki dość toporny przekaz dla wielu osób będzie zapewne wystarczający. Wystarczający aby kliknąć, podać swoje podstawowe dane, a później odebrać telefon od rzekomych konsultantów inwestycyjnych. Ci ostatni skłonią ofiarę…
Czytaj dalej »
W kolejnym odcinku MSHP Express poznacie Macieja Szymczaka, który opowie Wam o swojej prezentacji. W wyjątkowo ciekawej scenerii 😄 Kolejny odcinek w przyszłym tygodniu. Pamiętajcie, że bilety można zamówić tutaj: https://sklep.securitum.pl/mshp-krakow-onsite
Czytaj dalej »
Witaj w nowym świecie, gdzie sztuczna inteligencja (AI) i cyberbezpieczeństwo stają się nieodłącznymi elementami Twojej codzienności. Aby pomóc Ci zrozumieć tę niezwykłą dynamikę i wykorzystać jej potencjał, zapraszamy na nasze najnowsze, wnikliwe i ultra praktyczne szkolenie prowadzone przez Tomka Turbę. Wprowadzimy Cię w świat AI, jego zagrożeń i możliwości. Jest…
Czytaj dalej »
