Случилась тут у меня весёлая история.
Делал я в 2023 году одно исследование. Знающие люди, скорее всего, даже поймут какое. Я его намеренно нигде не постил и не публиковал результаты. Если простым языком сказать, то это было бы слишком опасно, и мне не хотелось быть «инфлюенсером» весьма спорных bug bounty техник на то время. И создавать неудобства куче компаний тоже не хотелось.

И вот я пару недель назад получаю свой отчёт слово в слово в программе, которой я управляю от рандомного индийца из города Pune 🫠

Ну а как так вышло и чем все закончилось можно будет узнать из следующего подкаста <criticalthinking> 😉

Попытался сделать возвращение в подкастинг. Надеюсь вы оцените🫶

Попробуйте угадать гостя 😉
Один из лучших хакеров СНГ в направлении AI. Но при этом не забывал про веб, браузеры и macos рисёрчи. Мне до сих пор сложно поверить как можно совмещать в себе столько 🙈

3 года работы. Лаба с электромагнитным воздействием на чип от Trezor Walet. И множество восстановленных пинов и доступов к деньгам.
Тот момент когда смотреть про хардварный хакинг максимально интересно и не скучно 😇

Смахнув пыль с монитора и немного поковырявшись в параметрах и GET запросах, мы завершаем этот ночной багхантерский поход с одним критичным Idor-ом.

Ощущение что вернул себя в привычную результативную среду🦾😎

Читаем документации, господа 🙃

Тренды последних месяцев💁🏻‍♂️
Всё жду с интересом историю про подписки, на которых Anthropic теряет деньги, и то, как она может закончиться 🤔

Американский Джон Коннор начал противостояние против машин 🦾
Это будет долгая и сложная битва.

Сложно поверить что меня позвали на этот подкаст в качестве гостя. Приятного просмотра. Если возникли какие-то вопросы - welcome в комментарии 😉
https://youtu.be/ksZT8zFZ7Yo?si=BAEC4fHOGn4ovT21

Удивительное дело, как после выхода ролика приходит осознание, насколько много всего было сказано и как старательно я обходил углы, пытаясь объяснить логические связки. Но в мире, где AI может делать tldr, никто уже не смотрит и не слушает.

Как итог — редактор подкаста сложил офигенный вредный совет в твиттере в формате tldr-поста: «Pre-position on acquisition targets: find bugs before the deal closes, document everything with screenshots».🤦‍♂️

Пришёл даже Tommy Devoss и накинул за воротник о нелегальности подобных советов. Но, как сказал мой приятель: «Самые религиозные люди — это бывшие бандиты». А Томми как раз известен тем, что он former blackhat. Интересно, как они все живут, когда не складывают второй репорт сразу и ждут, когда исправят первый? 🤔
В любом случае вечерок был эмоционально непростым, и мы двигаемся дальше.
Everybody wants to know what I would do if I didn't win. I guess we'll never know.(c)

Одна моя хорошая знакомая делает крутой вклад в комьюнити. И шарит крутые штуки про JWT, о половине из которых я даже не знал. Считаю правильным поддержать такое дело🦾

https://xn--r1a.website/rmrf_0/23

Если у вас всё ещё Земля плоская, а LLM не умеет в разные специфичные языки программирования — то этот доклад специально для вас.
Nicholas Carlini - Black-hat LLMs.
Если регуляторы не начнут подключать "тормозящие правила и ограничения", то технологические возможности взломов будут опережать операционные и технологические способы защиты.

В Антропик решили пошутить на весь интернет на день раньше, и слились через source map в своём npm репозитории.
В исходничках можно даже найти весьма интересный режи Undercover mode. Не вижу причиные не приложить ссылку, т.к всё уже по интернету разлетелось.
PS: И нет, это не выглядит как первоапрельская шутка. Кажется вполне себе настоящие сорцы, которые совершенно точно будут использоваться исследователями.
https://github.com/instructkr/claude-code/blob/4b9d30f7953273e567a18eb819f4eddd45fcc877/src/utils/undercover.ts#L64

Reference: Оригинальный твит тут.

Из слитых исходников Claude Code исследователям уже удалось обнаружить фичи, которые еще не увидели свет релиза.

Кажется у ребят играющих на акциях есть уникальная возможность заглянуть в будущее и «заработать» на падениях некоторых компаний.

У меня случилась уникальная возможность поговорить с одним из крутейших исследователей. При этом его аналитический подход дал отличные результаты на последнем Salesforce Live Hacking Event, где основным скоупом тестирования были AI-системы и сервисы.

Мы поговорили о пути и мотивациях исследований сложных и комплексных систем. А также постарались заглянуть в будущее и понять, что нас всех ждёт. Приятного просмотра 😉
Надеюсь, вам понравится этот выпуск!

В Германии выходной день. Но выходной — он не для тех, кто должен дать полное пояснение по налоговой декларации за 2025 год. И вот так полдня вычеркнуто из жизни в процессе сбора всех документов и платёжек.

P.S.: Кажется, это скоро будет причиной написания поста «Как перестать багхантить и начать жить».
Дико бесит объяснять за «сверхусилия» по содержанию семьи на протяжении года 😬

В каждой шутке есть доля правды.
Моё ожидание будет таким. Компании, которые занимались безопасностью - будут иметь более интересные и результативные находки. Компании, которые триажили по месяцу и фиксили по пол года - ожидаемо утонут и начнут вставать на паузы.
Ну, а через какое-то время сложность находок окажется весьма высокой. И выживут только те кто адаптировался под новые AI реалии и методы хантинга.

Крутой доклад от деда Джейсона на тему Attacking AI.
Если вам надоела ai повесточка почти из каждого поста, то извиняться за это я не собираюсь 💁‍♂️