“owasp_juiceshop” — Fediverse search results on home.social

Norvik Tech @[email protected] · 2026-05-06 · 04:06 UTC

Vulnerabilidades en Servidores M…

El marco de seguridad MCP (Microcontroller Protection) de OWASP se centra en identificar y mitigar las vulnerabilidades críticas en servidores que ejecutan código de microcontroladores.

https://norvik.tech/news/analisis-owasp-mcp-top-10

#Technology #Mcp #Owasp #Vulnerabilidades #Seguridad #NorvikTech #DesarrolloSoftware #TechInnovation

#technology #mcp #owasp #vulnerabilidades #seguridad #norviktech

Norvik Tech @[email protected] · 2026-05-06 · 04:06 UTC

Vulnerabilidades en Servidores M…

El marco de seguridad MCP (Microcontroller Protection) de OWASP se centra en identificar y mitigar las vulnerabilidades críticas en servidores que ejecutan código de microcontroladores.

https://norvik.tech/news/analisis-owasp-mcp-top-10

#Technology #Mcp #Owasp #Vulnerabilidades #Seguridad #NorvikTech #DesarrolloSoftware #TechInnovation

#technology #mcp #owasp #vulnerabilidades #seguridad #norviktech

Norvik Tech @[email protected] · 2026-05-06 · 04:06 UTC

Vulnerabilidades en Servidores M…

El marco de seguridad MCP (Microcontroller Protection) de OWASP se centra en identificar y mitigar las vulnerabilidades críticas en servidores que ejecutan código de microcontroladores.

https://norvik.tech/news/analisis-owasp-mcp-top-10

#Technology #Mcp #Owasp #Vulnerabilidades #Seguridad #NorvikTech #DesarrolloSoftware #TechInnovation

#techinnovation #desarrollosoftware #norviktech #seguridad #vulnerabilidades #owasp

Habr @[email protected] · 2026-05-13 · 12:22 UTC

Вы пустили ИИ-агента в репозиторий, теперь разбираемся, что он может сломать

В феврале 2026 года Claude Cowork стирает 15 лет семейных фотографий одной командой. За полгода до этого, в августе 2025-го, случился кейс Nx supply chain: малварь впервые в истории использует локальные ИИ-CLI как инструмент разведки. В марте этого года Google Cloud Threat Horizons H1-2026 подтверждает: часть украденных в Nx токенов используется кампанией UNC6426 для перехода CI/CD → cloud admin через злоупотребление OIDC. 72 часа от первого коммита до админских прав в AWS. Всё это примеры того, что может происходить, когда у ИИ-агента есть руки и мы забываем, на чьей машине эти руки действуют. Данная статья предназначается для неравнодушных инженеров, AppSec, DevSecOps специалистов и всех тех, кто хоть раз запускал агента у себя на машине. Запрещать агентов в контуре бесполезно, отказываться от них самому глупо, но чем они так опасны? Сперва развеем туман неясности, построим модель угроз, собранную на реальных инцидентах и опубликованных CVE, а после будут конкретные рекомендации, как ограничить агента песочницей без ущерба для эффективности разработки. И как запускать --dangerously-skip-permissions без страха.

https://habr.com/ru/companies/pt/articles/1030532/

#ИИагенты #безопасность #OWASP #supply_chain #Claude_Code #prompt_injection #DevSecOps

#devsecops #prompt_injection #claude_code #supply_chain #owasp #безопасность

Habr @[email protected] · 2026-05-13 · 12:22 UTC

Вы пустили ИИ-агента в репозиторий, теперь разбираемся, что он может сломать

В феврале 2026 года Claude Cowork стирает 15 лет семейных фотографий одной командой. За полгода до этого, в августе 2025-го, случился кейс Nx supply chain: малварь впервые в истории использует локальные ИИ-CLI как инструмент разведки. В марте этого года Google Cloud Threat Horizons H1-2026 подтверждает: часть украденных в Nx токенов используется кампанией UNC6426 для перехода CI/CD → cloud admin через злоупотребление OIDC. 72 часа от первого коммита до админских прав в AWS. Всё это примеры того, что может происходить, когда у ИИ-агента есть руки и мы забываем, на чьей машине эти руки действуют. Данная статья предназначается для неравнодушных инженеров, AppSec, DevSecOps специалистов и всех тех, кто хоть раз запускал агента у себя на машине. Запрещать агентов в контуре бесполезно, отказываться от них самому глупо, но чем они так опасны? Сперва развеем туман неясности, построим модель угроз, собранную на реальных инцидентах и опубликованных CVE, а после будут конкретные рекомендации, как ограничить агента песочницей без ущерба для эффективности разработки. И как запускать --dangerously-skip-permissions без страха.

https://habr.com/ru/companies/pt/articles/1030532/

#ИИагенты #безопасность #OWASP #supply_chain #Claude_Code #prompt_injection #DevSecOps

#devsecops #prompt_injection #claude_code #supply_chain #owasp #безопасность

Habr @[email protected] · 2026-05-13 · 12:22 UTC

Вы пустили ИИ-агента в репозиторий, теперь разбираемся, что он может сломать

В феврале 2026 года Claude Cowork стирает 15 лет семейных фотографий одной командой. За полгода до этого, в августе 2025-го, случился кейс Nx supply chain: малварь впервые в истории использует локальные ИИ-CLI как инструмент разведки. В марте этого года Google Cloud Threat Horizons H1-2026 подтверждает: часть украденных в Nx токенов используется кампанией UNC6426 для перехода CI/CD → cloud admin через злоупотребление OIDC. 72 часа от первого коммита до админских прав в AWS. Всё это примеры того, что может происходить, когда у ИИ-агента есть руки и мы забываем, на чьей машине эти руки действуют. Данная статья предназначается для неравнодушных инженеров, AppSec, DevSecOps специалистов и всех тех, кто хоть раз запускал агента у себя на машине. Запрещать агентов в контуре бесполезно, отказываться от них самому глупо, но чем они так опасны? Сперва развеем туман неясности, построим модель угроз, собранную на реальных инцидентах и опубликованных CVE, а после будут конкретные рекомендации, как ограничить агента песочницей без ущерба для эффективности разработки. И как запускать --dangerously-skip-permissions без страха.

https://habr.com/ru/companies/pt/articles/1030532/

#ИИагенты #безопасность #OWASP #supply_chain #Claude_Code #prompt_injection #DevSecOps

#devsecops #prompt_injection #claude_code #supply_chain #owasp #безопасность

Habr @[email protected] · 2026-05-13 · 12:22 UTC

Вы пустили ИИ-агента в репозиторий, теперь разбираемся, что он может сломать

В феврале 2026 года Claude Cowork стирает 15 лет семейных фотографий одной командой. За полгода до этого, в августе 2025-го, случился кейс Nx supply chain: малварь впервые в истории использует локальные ИИ-CLI как инструмент разведки. В марте этого года Google Cloud Threat Horizons H1-2026 подтверждает: часть украденных в Nx токенов используется кампанией UNC6426 для перехода CI/CD → cloud admin через злоупотребление OIDC. 72 часа от первого коммита до админских прав в AWS. Всё это примеры того, что может происходить, когда у ИИ-агента есть руки и мы забываем, на чьей машине эти руки действуют. Данная статья предназначается для неравнодушных инженеров, AppSec, DevSecOps специалистов и всех тех, кто хоть раз запускал агента у себя на машине. Запрещать агентов в контуре бесполезно, отказываться от них самому глупо, но чем они так опасны? Сперва развеем туман неясности, построим модель угроз, собранную на реальных инцидентах и опубликованных CVE, а после будут конкретные рекомендации, как ограничить агента песочницей без ущерба для эффективности разработки. И как запускать --dangerously-skip-permissions без страха.

https://habr.com/ru/companies/pt/articles/1030532/

#ИИагенты #безопасность #OWASP #supply_chain #Claude_Code #prompt_injection #DevSecOps

#ииагенты #безопасность #owasp #supply_chain #claude_code #prompt_injection

sekurak News @[email protected] · 2025-11-07 · 20:36 UTC

Pojawiła się długo wyczekiwana aktualizacja listy OWASP Top Ten!

OWASP właśnie ogłosił wydanie Release Candidate (RC1 z dnia 6 listopada 2025) nowej wersji znanej na całym świecie listy najbardziej istotnych klas problemów bezpieczeństwa aplikacji webowych – OWASP Top 10:2025. To już ósma edycja (poprzednia pochodziła z 2021 roku), która stanowi punkt odniesienia dla programistów, testerów bezpieczeństwa i całej branży...

#Aktualności #OWASP #Programowanie #Szkolenie #Topten #Websec

https://sekurak.pl/pojawila-sie-dlugo-wyczekiwana-aktualizacja-listy-owasp-top-ten/

#aktualnosci #owasp #programowanie #szkolenie #topten #websec

James Moceri 🔐 @[email protected] · 2025-10-25 · 01:12 UTC

Hello #InfoSec community!

I'm James (JMo), a Institute of Data x Michigan Tech Cybersecurity Bootcamp grad who built an open-source security scanner as part of my capstone project.

**JMo Security** orchestrates 11 tools (Trivy, Semgrep, TruffleHog, ZAP, Falco) with:
✅ Multi-target scanning (repos, containers, IaC, web apps, GitLab, K8s)
✅ Auto-compliance mapping (OWASP, CWE, NIST, PCI DSS, CIS, ATT&CK)
✅ Unified reporting (dashboard, SARIF, JSON)

**Quick start:**
pip install jmo-security jmotools wizard

📖 Docs: https://docs.jmotools.com
🐙 GitHub: https://github.com/jimmy058910/jmo-security-repo

**Actively seeking #DevSecOps / #AppSec roles!** DMs open for opportunities or technical feedback.

What security tools are you using in your workflows?

#CyberSecurity #OpenSource #Python #SecurityEngineering #JobSearch

#infosec #devsecops #appsec #cybersecurity #opensource #python

OWASP Foundation @[email protected] · 2026-03-26 · 17:32 UTC

Join Fabio Cerullo’s 3-Day Web App Security Essentials training ⚔️
Exploit real vulnerabilities, understand OWASP Top 10 (2025), and tackle modern risks like AI-generated code, all in hands-on labs.
https://owaspglobalappseceuvienna20.sched.com/event/2EBUO

#AppSec #CyberSecurity #OWASP #EthicalHacking #SecureCoding #Infosec

#appsec #cybersecurity #owasp #ethicalhacking #securecoding #infosec

Bryan King @[email protected] · 2025-05-20 · 11:30 UTC

The AI Security Storm is Brewing: Are You Ready for the Downpour?

1,360 words, 7 minutes read time.

We live in an age where artificial intelligence is no longer a futuristic fantasy; it’s the invisible hand guiding everything from our morning commute to the recommendations on our favorite streaming services. Businesses are harnessing its power to boost efficiency, governments are exploring its potential for public services, and our personal lives are increasingly intertwined with AI-driven conveniences. But as this powerful technology becomes more deeply embedded in our world, a darker side is emerging – a growing storm of security risks that businesses and governments can no longer afford to ignore.

Think about this: the global engineering giant Arup was recently hit by a sophisticated scam where cybercriminals used artificial intelligence to create incredibly realistic “deepfake” videos and audio of their Chief Financial Officer and other executives. This elaborate deception tricked an employee into transferring a staggering $25 million to fraudulent accounts . This isn’t a scene from a spy movie; it’s a chilling reality of the threats we face today. And experts are sounding the alarm, with a recent prediction stating that a massive 93% of security leaders anticipate grappling with daily AI-driven attacks by the year 2025. This isn’t just a forecast; it’s a clear warning that the landscape of cybercrime is being fundamentally reshaped by the rise of AI.

While AI offers incredible opportunities, it’s crucial to understand that it’s a double-edged sword. The very capabilities that make AI so beneficial are also being weaponized by malicious actors to create new and more potent threats. From automating sophisticated cyberattacks to crafting incredibly convincing social engineering schemes, AI is lowering the barrier to entry for cybercriminals and amplifying the potential for widespread damage. So, let’s pull back the curtain and explore the growing shadow of AI, delving into the specific security risks that businesses and governments need to be acutely aware of.

One of the most significant ways AI is changing the threat landscape is by supercharging traditional cyberattacks. Remember those generic phishing emails riddled with typos? Those are becoming relics of the past. AI allows cybercriminals to automate and personalize social engineering schemes at an unprecedented scale. Imagine receiving an email that looks and sounds exactly like it came from your CEO, complete with their unique communication style and referencing specific projects you’re working on. AI can analyze vast amounts of data to craft these hyper-targeted messages, making them incredibly convincing and significantly increasing the chances of unsuspecting employees falling victim. This includes not just emails, but also more sophisticated attacks like “vishing” (voice phishing) where AI can mimic voices with alarming accuracy.

Beyond enhancing existing attacks, AI is also enabling entirely new forms of malicious activity. Deepfakes, like the ones used in the Arup scam, are a prime example. These AI-generated videos and audio recordings can convincingly impersonate individuals, making it nearly impossible to distinguish between what’s real and what’s fabricated. This technology can be used for everything from financial fraud and corporate espionage to spreading misinformation and manipulating public opinion. As Theresa Payton, CEO of Fortalice Solutions and former White House Chief Information Officer, noted, these deepfake scams are becoming increasingly sophisticated, making it critical for both individuals and companies to be vigilant .

But the threats aren’t just about AI being used to attack us; our AI systems themselves are becoming targets. Adversarial attacks involve subtly manipulating the input data fed into an AI model to trick it into making incorrect predictions or decisions. Think about researchers who were able to fool a Tesla’s autopilot system into driving into oncoming traffic by simply placing stickers on the road. These kinds of attacks can have serious consequences in critical applications like autonomous vehicles, healthcare diagnostics, and security systems .

Another significant risk is data poisoning, where attackers inject malicious or misleading data into the training datasets used to build AI models. This can corrupt the model’s learning process, leading to biased or incorrect outputs that can have far-reaching and damaging consequences. Imagine a malware detection system trained on poisoned data that starts classifying actual threats as safe – the implications for cybersecurity are terrifying.

Furthermore, the valuable intellectual property embedded within AI models makes them attractive targets for theft. Model theft, also known as model inversion or extraction, allows attackers to replicate a proprietary AI model by querying it extensively. This can lead to significant financial losses and a loss of competitive advantage for the organizations that invested heavily in developing these models.

The rise of generative AI, while offering incredible creative potential, also introduces its own unique set of security challenges. Direct prompt injection attacks exploit the way large language models (LLMs) work by feeding them carefully crafted malicious inputs designed to manipulate their behavior or output . This can lead to the generation of harmful, biased, or misleading information, or even the execution of unintended commands . Additionally, LLMs have the potential to inadvertently leak sensitive information that was present in their training data or provided in user prompts, raising serious privacy concerns. As one Reddit user pointed out, there are theoretical chances that your data can come out as answers to other users’ prompts when using these models.

Beyond these direct threats, businesses also need to be aware of the risks lurking in the shadows. “Shadow AI” refers to the unauthorized or ungoverned use of AI tools and services by employees within an organization. This can lead to the unintentional exposure of sensitive company data to external and potentially untrusted AI services, creating compliance nightmares and introducing security vulnerabilities that IT departments are unaware of.

So, what can businesses and governments do to weather this AI security storm? The good news is that proactive measures can significantly mitigate these risks. For businesses, establishing clear AI security policies and governance frameworks is paramount. This includes outlining approved AI tools, data handling procedures, and protocols for vetting third-party AI vendors. Implementing robust data security and privacy measures, such as encryption and strict access controls, is also crucial. Adopting a Zero-Trust security architecture for AI systems, where no user or system is automatically trusted, can add another layer of defense. Regular AI risk assessments and security audits, including penetration testing by third-party experts, are essential for identifying and addressing vulnerabilities. Furthermore, ensuring transparency and explainability in AI deployments, whenever possible, can help build trust and facilitate the identification of potential issues. Perhaps most importantly, investing in comprehensive employee training on AI security awareness, including recognizing sophisticated phishing and deepfake techniques, is a critical first line of defense.

Governments, facing even higher stakes, need to develop national AI security strategies and guidelines that address the unique risks to critical infrastructure and national security. Implementing established risk management frameworks like the NIST AI Risk Management Framework (RMF) and the ENISA Framework for AI Cybersecurity Practices (FAICP) can provide a structured approach to managing these complex risks. Establishing clear legal and regulatory frameworks for AI use is also essential to ensure responsible and secure deployment. Given the global nature of AI threats, promoting international collaboration on AI security standards is crucial. Finally, focusing on “security by design” principles in AI development, integrating security considerations from the outset, is the most effective way to build resilient and trustworthy AI systems.

The AI security landscape is complex and constantly evolving. Staying ahead of the curve requires a proactive, multi-faceted approach that combines technical expertise, robust policies, ethical considerations, and ongoing vigilance. The storm of AI security risks is indeed brewing, but by understanding the threats and implementing effective mitigation strategies, businesses and governments can prepare for the downpour and navigate this challenging new terrain.

Want to stay informed about the latest developments in AI security and cybercrime? Subscribe to our newsletter for in-depth analysis, expert insights, and practical tips to protect yourself and your organization. Or, join the conversation by leaving a comment below – we’d love to hear your thoughts and experiences!

D. Bryan King

Sources

Disclaimer:

The views and opinions expressed in this post are solely those of the author. The information provided is based on personal research, experience, and understanding of the subject matter at the time of writing. Readers should consult relevant experts or authorities for specific guidance related to their unique situations.

Related Posts

Rate this:

#adversarialAttacks #AIAudit #AIBestPractices #AICompliance #AICybercrime #AIDataSecurity #AIForNationalSecurity #AIGovernance #AIInBusiness #AIInCriticalInfrastructure #AIInGovernment #AIIncidentResponse #AIMisuse #AIModelSecurity #AIMonitoring #AIRegulations #AIRiskAssessment #AIRiskManagement #AISafety #AISecurity #AISecurityAwareness #AISecurityFramework #AISecurityPolicies #AISecuritySolutions #AISecurityTrends2025 #AIStandards #AISupplyChainRisks #AIThreatIntelligence #AIThreatLandscape #AIThreats #AITraining #AIVulnerabilities #AIAssistedSocialEngineering #AIDrivenAttacks #AIEnabledMalware #AIGeneratedContent #AIPoweredCyberattacks #AIPoweredPhishing #artificialIntelligenceSecurity #cyberSecurity #cybersecurityRisks #dataBreaches #dataPoisoning #deepfakeDetection #deepfakeScams #ENISAFAICP #ethicalAI #generativeAISecurity #governmentAISecurity #largeLanguageModelSecurity #LLMSecurity #modelTheft #nationalSecurityAIRisks #NISTAIRMF #privacyLeaks #promptInjection #shadowAI #zeroTrustAI

#adversarialattacks #aiaudit #aibestpractices #aicompliance #aicybercrime #aidatasecurity