ML-дайджест: автономные агенты, новый стандарт безопасности и инференс-гонка
Пока индустрия спорит о «пузыре», обсуждая, почему оценка очередного стартапа с одной оберткой над GPT-5 на высоте, реальный сектор строит
Prompt injection для смелых духом: от zero-click атаки на 1.4B устройств до философского джейлбрейка
SQL-инъекцию мы лечили 20 лет и вылечили. Prompt injection — фундаментально нерешаема. Это не я придумал. OWASP ставит её на первое место второй год подряд. Найдена в 73% продакшн AI-систем при аудитах.Вы не за статистикой сюда пришли. Вы пришли за мясом. Ниже — 10 кейсов, которые не попали в типичный пересказ про Chevrolet за доллар. Тут пострашнее.
Почему промпт-инъекции — это симптом, а не болезнь безопасности ИИ
Что вы представляете, когда кто-то говорит об AI-driven компании? Может быть, как чат-боты улучшают опыт клиентов? Или как сотрудники разворачивают любые модели для своих нужд? А может, как ИИ-агенты разбирают кучу электронных писем и назначают встречи в календаре, копилоты пишут код за разработчиков и исправляют баги? Что в этой красивой истории может пойти не так и почему безопасность систем искусственного интеллекта не ограничивается защитой от джейлбрейков и промпт-инъекций – разберёмся в этой статье.
На волне хайпа: Security-аудит AI-агента Clawdbot
TL;DR: Провёл глубокий аудит безопасности популярного open-source AI-агента. Нашёл eval(), отсутствие rate limiting, и составил каталог из 50 реальных сценариев атак. Под катом — как защититься, если вы уже дали ИИ доступ к своей системе.Введение: AI-агенты захватывают мир разработки2026 год. AI-агенты перестали быть экзотикой. Теперь каждый второй разработчик использует какого-нибудь «умного помощника» с доступом к терминалу, браузеру и файловой системе.Звучит удобно. Но возникает вопрос: насколько это безопасно?Я решил это выяснить. Взял популярный open-source проект — Clawdbot
OWASP Top 10 for Agentic Applications for 2026: Разбор главных угроз завтрашнего дня
Привет, Хабр! С вами снова Сергей Зыбнев, автор теле... а об этом позже. После нашего глубокого погружения в OWASP AI Testing Guide, пришло время заглянуть в будущее, которое наступит менее чем через месяц. Сегодня мы разберем еще один важнейший документ от OWASP, который смотрит на шаг вперед — OWASP Top 10 for Agentic Applications for 2026.
«2 минуты на пентест вместо часа»: копнул, что за зверь этот HackGPT и где подвох
Привет, Хабр! Alsok на связи.Все, кто хоть раз сталкивался с инфобезом, знают эту боль: ручные пентесты. Это долго, дорого, и пока эксперт ковыряет одно, в другом месте уже три новых дыры. Рутина съедает уйму времени.И вот, на днях я натыкаюсь в своей ленте на классический «вау»-заголовок: «HackGPT провел тест на проникновение за 2 минуты, где экспертам требуется час».Конечно, мой внутренний скептик сразу включился, и я пошел «тыкать палочкой», что это за чудо-инструмент нам выкатили. Делюсь тем, что нарыл.Что это за зверь?Оказалось, речь идет о HackGPT Enterprise
Как разрабатывать AI-агенты безопасными — свежие рекомендации OWASP
28 июля фонд OWASP выпустил руководство по защите агентных приложений. Работа над ним шла несколько месяцев, большую часть времени заняло рецензирование от специалистов из ведущих организаций: Microsoft, Oracle, NIST, Еврокомиссия, Robust Intelligence, Protect AI и других.В документе рассматриваются архитектурные шаблоны: от RAG до агентов различной степени автономности. Под агентами подразумеваются приложения, в которых модели искусственного интеллекта играют не только утилитарную, но и управляющую роль, взаимодействуя с некоторой средой.
