Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book

Tag: llm

Prompt injection wykradający poufne dane w kilku krokach w Microsoft 365 Copilot

02 września 2024, 02:04 | Aktualności | komentarze 2
Prompt injection wykradający poufne dane w kilku krokach w Microsoft 365 Copilot

Seria podatności związanych z Microsoft 365 Copilot pozwala na: Kilka dni temu wygasło embargo na dzielenie się informacją o łańcuchu exploitów związanych z asystentem opartym o LLM od Microsoftu. Mowa oczywiście o produkcie Microsoft 365 Copilot, czyli rozwiązaniu dla firm. Johann Rehberger opublikował writeup opisujący dokładne szczegóły podatności, pozwalającej na…

Czytaj dalej »

Możliwość wstrzyknięcia złośliwego promptu w Slack AI

23 sierpnia 2024, 15:03 | W biegu | 0 komentarzy
Możliwość wstrzyknięcia złośliwego promptu w Slack AI

Na łamach sekuraka nieraz opisywaliśmy wpadki związane z szeroko pojętym AI, które szturmem zdobywa kolejne rynki. Zachwyt technologią oraz jej powszechne wdrażanie, sprowadza na użytkowników końcowych produktów nowe zagrożenia. Tak też stało się tym razem – badacze odkryli sposób na doprowadzenie do wycieku informacji z prywatnych kanałów popularnego rozwiązania do…

Czytaj dalej »

Ciekawe potknięcia bezpieczeństwa przy popularnym startupie Rabbit R1

31 lipca 2024, 03:25 | W biegu | komentarze 3
Ciekawe potknięcia bezpieczeństwa przy popularnym startupie Rabbit R1

Firmy technologiczne nie przestają przedstawiać AI jako rozwiązania większości problemów ludzkości. Do czatów bazujących na dużych modelach językowych (LLM), użytkownicy Internetu zdążyli już przywyknąć. Asystenci głosowi stali się kolejną funkcją smartfona. Nic więc dziwnego, że aby jeszcze bardziej ułatwić codzienne życie, powstały startupy rozwijające projekty takie jak Rabbit R1. Czym…

Czytaj dalej »

Deserializacja atakuje modele ML po raz kolejny, tym razem jeszcze skuteczniej

20 czerwca 2024, 23:37 | Aktualności | 1 komentarz
Deserializacja atakuje modele ML po raz kolejny, tym razem jeszcze skuteczniej

Zachłyśnięcie się rozwojem technologii powszechnie określanej jako AI (sztuczna inteligencja), powoduje lawinowy wzrost projektów, również tych otwartych. Ponieważ procesy uczenia, nakładania ograniczeń na model oraz fine-tuningu (dostrajania) są raczej kosztowne, to możliwe jest zapisanie stanu poprzez wyeksportowanie zserializowanych modeli w celu ich późniejszego załadowania i użycia lub udostępniania w sieci….

Czytaj dalej »

Wykradanie medycznych danych przy pomocy Azure Health Bot

12 maja 2024, 11:53 | W biegu | 0 komentarzy
Wykradanie medycznych danych przy pomocy Azure Health Bot

Piątkowy wieczór to ulubiony czas administratorów oraz badaczy bezpieczeństwa. Zgłoszenia w tym czasie są chyba najbardziej frustrujące a z drugiej strony, początek weekendu to ulubiony czas hackerów na zabawę w bug bounty. Tym razem użytkownik portalu Twitter/X @Yanir_, opublikował krótki wpis oraz post na blogu w którym opisuje jak był…

Czytaj dalej »

Halucynacje AI jako dobra inspiracja do ataku na łańcuch dostaw

21 kwietnia 2024, 22:26 | W biegu | 1 komentarz
Halucynacje AI jako dobra inspiracja do ataku na łańcuch dostaw

AI na dobre zagościło w zestawie narzędzi wspierających współczesnych pracowników. Boom na tę technologię nie ominął też samego IT, gdzie co rusz słychać głosy i reklamy nowych produktów opartych o duże modele językowe (ang. LLM). Są takie, które pozwalają pisać kod na podstawie opisu funkcjonalności, dokonywać transkrypcji tekstu mówionego czy…

Czytaj dalej »

Wykradanie fragmentów modeli LLM – Google wydało publikację z nowym atakiem

26 marca 2024, 13:33 | W biegu | komentarze 3
Wykradanie fragmentów modeli LLM – Google wydało publikację z nowym atakiem

W świecie dużych modeli językowych (LLM) dynamika zmian jest całkiem spora. Boom na rozwój AI nakręca też wyścig w kierunku coraz ciekawszych ataków skierowanych w akurat tę gałąź technologii. Ostatnio pisaliśmy o tym, jak popularny portal może być wykorzystany do ataków na developerów AI. Jednak infrastruktura oraz same modele mogą…

Czytaj dalej »

Modele językowe LLM podpowiadają, jak zbudować bombę – atak typu ArtPrompt

21 marca 2024, 09:50 | W biegu | komentarze 2
Modele językowe LLM podpowiadają, jak zbudować bombę – atak typu ArtPrompt

Niektórzy nie mogą już sobie wyobrazić życia bez “inteligentnych” pomocników. Duże modele językowe (LLM – Large Language Models) zyskały bardzo dużo zastosowań w ostatnich latach. Wykorzystywane są do obsługi klientów, generowania niewielkich snippetów kodu, w charakterze osobistych asystentów i nie tylko. Wciąż poprawiane, uczone na coraz większej ilości danych, modele…

Czytaj dalej »

NextChat – popularny czatbot AI z niezałatanymi podatnościami

13 marca 2024, 21:42 | W biegu | 1 komentarz
NextChat – popularny czatbot AI z niezałatanymi podatnościami

Przeglądając Internet w poszukiwaniu ciekawych podatności, można się natknąć na niezałatane błędy, które stanowią idealny przykład dydaktyczny. Takie przykłady mało skomplikowane, a do tego podkreślają istotę problemu. CVE-2023-49785 może stać się jednym z lepszych przykładów do demonstracji wpływu SSRF (Server Side Request Forgery) na aplikację. O SSRF pisaliśmy już nie…

Czytaj dalej »

LeftoverLocals – ciekawy wyciek danych w kartach graficznych Apple, AMD i Qualcomma (CVE-2023-4969). W pewnych warunkach można odczytać co LLM (Large Language Model) odpowiada innemu użytkownikowi…

19 stycznia 2024, 10:55 | W biegu | 0 komentarzy
LeftoverLocals – ciekawy wyciek danych w kartach graficznych Apple, AMD i Qualcomma (CVE-2023-4969). W pewnych warunkach można odczytać co LLM (Large Language Model) odpowiada innemu użytkownikowi…

Czytanie w myślach to ciekawy koncept, na razie trudny do zrealizowania w przypadku ludzi, ale już teraz można przeczytać co LLM (Large Language Model) odpowiada innemu użytkownikowi. Za wszystko odpowiedzialna jest pamięć GPU.  Trail Of Bits opublikowało na swoim blogu obszerne wyjaśnienie dla odkrytej podatności identyfikowanej jako CVE-2023-4969. Pozwala ona…

Czytaj dalej »