Почему ваша LLM-платформа — следующая цель: аудит безопасности AI-сервиса изнутри
Disclaimer: Всё описанное — результат санкционированного аудита безопасности по договору. Уязвимости ответственно раскрыты, ключи ротированы, домены и IP изменены. Статья — для понимания, не для воспроизведения.Мы искали уязвимости в RAG-платформе с десятками тысяч пользователей — а нашли доступ ко всей инфраструктуре и API-ключам с бюджетом в сотни тысяч долларов. Две недели мы строили сложные цепочки: SSRF через LangChain, инъекции в промпты, HTTP smuggling, CVE в десериализации. Ни одна не дала результата. А потом мы сделали один curl к открытому порту — и получили все ключи за 5 минут.
Уязвимость в Microsoft Copilot использует сбои в журналах аудита
Недавно обнаруженная уязвимость M365 Copilot позволяет пользователям получать доступ к информации о файлах без записи активности в журнал аудита. Эта проблема возникла случайно, а не является результатом сложной атаки.
Использование LLM в Access Management на примере OpenAM и Spring AI
ВведениеДанная статья является продолжением предыдущей статьи по применению LLM в системах управления доступом. В конце статьи мы пришли к выводу, что оптимальным использованием LLM будет проведение аудита конфигурации системы управления доступом.В статье мы развернем систему управления доступом, запросим у LLM проанализировать конфигурацию и вернуть рекомендации по ее улучшению.В качестве системы управления доступом мы будем использовать решение с открытым исходным кодом OpenAM
Использование больших языковых моделей (LLM) в Access Management
ВведениеХайп вокруг нейросетей, особенно больших языковых моделей (LLM), пока не утихает.Как в свое время было с хайпом на блокчейн многие техноэнтузиасты начинают применять подход “решение в поисках проблемы”. То есть, искать применение нейросетей ко всем задачам подряд.Это объясняется двумя причинами:Повысить шансы привлечение инвестиций, добавив суффикс AI к названию своего проекта.Экспериментировать с новыми технологиями всегда интересно.Access Management
