Про то, что в CISA KEV могут добавлять какую-то дичь. 🤷‍♂️

@avleonovlive

В данной статье автор описывает эксперимент по созданию системы автоматического поиска уязвимостей и подбора эксплоитов для них с помощью лёгкой LLM с всего лишь 1,7 млрд. параметрами. Такая может быть развёрнута дома на игровом ПК или ноутбуке. Для сканирования используется Nmap, результаты cканироавния подаются на вход LLM. Речь идёт не о простом ассистенте, а о практически полной автоматизации сканирования и эксплуатации. Это, по сути, эволюция подходов к созданию получающих всё более широкое распространение инструментов класса BAS (Breach and Attack Simulation). Яркий пример (и для многих - эталон) такого инструмента - это Pentera. Но там нет LLM. Вместо неё обширная, назовём её так, экспертная система - набор детерминированных алгоритмов. Делать такую долго и дорого. Далеко не каждой компании под силу, но с помощью LLM и бесплатных открытых инструментов можно существенно ускорить и удешевить. И, как следствие, понизить порог вхождения. Полагаем, что именно по такому принципу BAS, да и другие продукты в области ИБ, будут теперь строиться.

Результаты эксперимента, в целом, положительные, но есть нюансы, которые описаны в главе Challenges and Solutions. Проанализировав их, можно увидеть, что на самом деле модель пришлось конкретно "ужимать" промптами, максимально снизив поле для галлюцинаций творчества. Это одно из следствий того, что модель маленькая. По сути, автор описывает основные шаги промптами, что не так уж и отличается от "написать всю логику самому". Ошибки при этом всё равно бывают. В частности, автор предлагает вручную анализировать полученные эксплоиты, что сводит на нет всю автоматизацию. Автор смотрит в будущее с оптимизмом, однако, т.к. мы тоже регулярно проводим такого рода эксперименты, можем утверждать, что такой маленькой модели для достижения стабильного положительного результата недостаточно, хотя для PoC вполне сгодится.

Тем не менее, если взять модель посерьёзнее, грамотно её зафайнтюнить и подружить с инструментарием, то результат будет вполне приличным.

#ии #почитать #offensive

Умели же раньше сопроводительные письма при откликах на вакансии писать...

#HR

Чуток хендмейда и ностальгии. 😅

@avleonovlive

Тематические детские мероприятия - штука интересная и непростая. Даже когда эта тема не ИБ. 😉

@avleonovlive

Зарелизил новую версию карты отечественных VM-вендоров. 🙂 Ура-ура! 🎉 Большое событие для меня. Буду очень благодарен репостам. 🙏 Как и в прошлом году, получилось аккурат под ёлочку. В следующем году хотелось бы релизиться почаще, но зарекаться больше не буду. 😅 Может и норм, что она выходит под Новый год. Не скрою, что весьма доволен собой! Практически до всех вендоров, которых хотелось добавить, удалось достучаться и согласовать достаточно нейтральные комментарии. 😇 Теперь можно потихоньку переходить в предпраздничный режим. 😉

@avleonovlive

Аналог "HeartBleed" для "MongoDB" - MongoBleed (CVE-2025-14847). 🦇

@avleonovlive

Про упоминание в мейнстримном СМИ, сканирование Рунета и workaround-ы для MongoBleed (CVE-2025-14847). 🗞

@avleonovlive

Новогодний подарок от R-Vision. 🎄

@avleonovlive

Вот да, так-то постоянно везёт. Хвала Создателю за всё! 🙂

2025

Давайте не будем забывать о главном. Часто главное менее заметно и остается на втором плане ❤️

Пришло время подвести итоги. 🙂

@avleonovlive

Поглядел на статистику канала за год. 👀

@avleonovlive

Завершу видео-поздравлением. 📹🙂

@avleonovlive

Самый лучший день в году. 🙂

@avleonovlive

Перефразируя известную песню из "Москва слезам не верит":

- Вы полагаете, всё это будет безопаснее?
- Я полагаю, что на всё это стоит переходить.

@avleonovlive

Андреасяны научились делать качественные и кассовые семейные фильмы. Молодцы! 👍

@avleonovlive

Красивое... 🙂

@avleonovlive

"Если сказать это предельно ясно, причина того, что цена на оперативную память выросла в четыре раза, заключается в том, что огромное количество RAM, которое ещё даже не произведено, было «куплено» за деньги, которых не существует, чтобы укомплектовать GPU, которые тоже ещё не произведены, для дата-центров, которые ещё не построены, работающих от инфраструктуры, которая, возможно, никогда не появится, чтобы удовлетворить спрос, которого на самом деле не существует, и получить маржу прибыли, которая математически не может существовать, — и всё это в то время, как экономисты рассуждают о том, что они называют «гипотезой рациональных рынков*».

mhoye да, в целом всё именно так и произошло, за важным исключением того, что на самом деле ничего не было "продано". Были подписаны лишь письма о намерениях. Деньги не переходили из рук в руки, контракты не составлялись и не подписывались, но цены при этом определённо были манипулированы. Всё остальное — это привычный дым и зеркала, с которыми мы сталкиваемся, когда имеем дело с ИИ."

* Rational markets hypothesis — это неофициальный, ироничный термин, которым обычно саркастически называют гипотезу эффективного рынка (Efficient Market Hypothesis): идею о том, что финансовые рынки якобы рациональны и цены всегда отражают всю доступную информацию; в реальной речи его используют не как строгую теорию, а как насмешку над академической верой в «разумность» рынков на фоне пузырей, спекуляций и манипуляций, когда очевидно, что поведение рынка далеко от рационального.

@avleonovlive

Стоит начать новый год с рефлексии по поводу текущего состояния мировой инфраструктуры описания известных (CVE) уязвимостей. А оно такое себе...

@avleonovlive