home.social

#безопасность_данных — Public Fediverse posts

Live and recent posts from across the Fediverse tagged #безопасность_данных, aggregated by home.social.

  1. Habr @[email protected] ·

    SAST прямо в IDE: как Veai ищет уязвимости в Java/Kotlin-проекте и помогает их исправлять

    Эта статья про SAST в IDE: как Veai проверяет Java/Kotlin-проект, показывает путь данных по коду и помогает исправлять найденные уязвимости, а не просто оставляет разработчику длинный список находок. Речь про статический анализ безопасности кода, недоверенные данные в Java/Kotlin, уязвимости в Spring/JPA/Kotlin coroutines и разбор найденных проблем без отдельного web UI, экспорта отчётов и ручного копирования цепочки вызовов в AI-чат. Если коротко про релиз 5.11: Veai собирает JVM-проект, запускает анализ безопасности и показывает уязвимости в панели результатов. Конкретную находку можно прикрепить к чату с агентом. Дальше уже не нужно самому собирать контекст по кускам: агент помогает понять, откуда пришли данные, где они используются опасно, как это воспроизвести, как исправить код и что проверить после фикса. Материал в первую очередь для Java/Kotlin-разработчиков. Но QA и аналитикам он тоже полезен: первым — чтобы понимать, какие сценарии проверять после фикса, вторым — чтобы переводить security-находку в риск, приоритет и критерии приёмки. Ниже пять практических вопросов, вокруг которых обычно и крутится SAST:

    habr.com/ru/companies/veai/art

    #безопасность #безопасность_данных #java #javascript #javascript_framework #kotlin #kotlin_native #аналитика #бенчмарки #бенчмарк_кода

    #бенчмарк_кода #бенчмарки #аналитика #kotlin_native #kotlin #javascript_framework
  2. Habr @[email protected] ·

    SAST прямо в IDE: как Veai ищет уязвимости в Java/Kotlin-проекте и помогает их исправлять

    Эта статья про SAST в IDE: как Veai проверяет Java/Kotlin-проект, показывает путь данных по коду и помогает исправлять найденные уязвимости, а не просто оставляет разработчику длинный список находок. Речь про статический анализ безопасности кода, недоверенные данные в Java/Kotlin, уязвимости в Spring/JPA/Kotlin coroutines и разбор найденных проблем без отдельного web UI, экспорта отчётов и ручного копирования цепочки вызовов в AI-чат. Если коротко про релиз 5.11: Veai собирает JVM-проект, запускает анализ безопасности и показывает уязвимости в панели результатов. Конкретную находку можно прикрепить к чату с агентом. Дальше уже не нужно самому собирать контекст по кускам: агент помогает понять, откуда пришли данные, где они используются опасно, как это воспроизвести, как исправить код и что проверить после фикса. Материал в первую очередь для Java/Kotlin-разработчиков. Но QA и аналитикам он тоже полезен: первым — чтобы понимать, какие сценарии проверять после фикса, вторым — чтобы переводить security-находку в риск, приоритет и критерии приёмки. Ниже пять практических вопросов, вокруг которых обычно и крутится SAST:

    habr.com/ru/companies/veai/art

    #безопасность #безопасность_данных #java #javascript #javascript_framework #kotlin #kotlin_native #аналитика #бенчмарки #бенчмарк_кода

    #бенчмарк_кода #бенчмарки #аналитика #kotlin_native #kotlin #javascript_framework
  3. Habr @[email protected] ·

    SAST прямо в IDE: как Veai ищет уязвимости в Java/Kotlin-проекте и помогает их исправлять

    Эта статья про SAST в IDE: как Veai проверяет Java/Kotlin-проект, показывает путь данных по коду и помогает исправлять найденные уязвимости, а не просто оставляет разработчику длинный список находок. Речь про статический анализ безопасности кода, недоверенные данные в Java/Kotlin, уязвимости в Spring/JPA/Kotlin coroutines и разбор найденных проблем без отдельного web UI, экспорта отчётов и ручного копирования цепочки вызовов в AI-чат. Если коротко про релиз 5.11: Veai собирает JVM-проект, запускает анализ безопасности и показывает уязвимости в панели результатов. Конкретную находку можно прикрепить к чату с агентом. Дальше уже не нужно самому собирать контекст по кускам: агент помогает понять, откуда пришли данные, где они используются опасно, как это воспроизвести, как исправить код и что проверить после фикса. Материал в первую очередь для Java/Kotlin-разработчиков. Но QA и аналитикам он тоже полезен: первым — чтобы понимать, какие сценарии проверять после фикса, вторым — чтобы переводить security-находку в риск, приоритет и критерии приёмки. Ниже пять практических вопросов, вокруг которых обычно и крутится SAST:

    habr.com/ru/companies/veai/art

    #безопасность #безопасность_данных #java #javascript #javascript_framework #kotlin #kotlin_native #аналитика #бенчмарки #бенчмарк_кода

    #бенчмарк_кода #бенчмарки #аналитика #kotlin_native #kotlin #javascript_framework
  4. Habr @[email protected] ·

    SAST прямо в IDE: как Veai ищет уязвимости в Java/Kotlin-проекте и помогает их исправлять

    Эта статья про SAST в IDE: как Veai проверяет Java/Kotlin-проект, показывает путь данных по коду и помогает исправлять найденные уязвимости, а не просто оставляет разработчику длинный список находок. Речь про статический анализ безопасности кода, недоверенные данные в Java/Kotlin, уязвимости в Spring/JPA/Kotlin coroutines и разбор найденных проблем без отдельного web UI, экспорта отчётов и ручного копирования цепочки вызовов в AI-чат. Если коротко про релиз 5.11: Veai собирает JVM-проект, запускает анализ безопасности и показывает уязвимости в панели результатов. Конкретную находку можно прикрепить к чату с агентом. Дальше уже не нужно самому собирать контекст по кускам: агент помогает понять, откуда пришли данные, где они используются опасно, как это воспроизвести, как исправить код и что проверить после фикса. Материал в первую очередь для Java/Kotlin-разработчиков. Но QA и аналитикам он тоже полезен: первым — чтобы понимать, какие сценарии проверять после фикса, вторым — чтобы переводить security-находку в риск, приоритет и критерии приёмки. Ниже пять практических вопросов, вокруг которых обычно и крутится SAST:

    habr.com/ru/companies/veai/art

    #безопасность #безопасность_данных #java #javascript #javascript_framework #kotlin #kotlin_native #аналитика #бенчмарки #бенчмарк_кода

    #безопасность #безопасность_данных #java #javascript #javascript_framework #kotlin
  5. Habr @[email protected] ·

    CyLab Security Academy: как Carnegie Mellon превратила CTF в полноценную обучающую платформу

    Вход в кибербезопасность почти всегда начинается с одной и той же проблемы: непонятно, с чего именно начинать. Теория без практики быстро забывается, а реальные инструменты и уязвимости выглядят пугающе сложными. На этом фоне CTF-платформы (Capture The Flag) стали стандартной точкой входа. Однако большинство из них плохо подходят для новичков: задачи либо слишком абстрактные, либо требуют уже сформированной базы. Именно здесь появляется picoCTF — образовательная платформа, разработанная при участии Carnegie Mellon University, которая пытается решить эту проблему системно. Разберёмся, как она устроена, чему на самом деле учит и где проходят её границы.

    habr.com/ru/articles/1017168/

    #информационная_безопасность #кибербезопасность #обучение #навыки #навыки_и_умения #безопасность_данных #безопасность_сайтов #безопасность #безопасность_linux #безопасность_мобильных_приложений

    #безопасность_мобильных_приложений #безопасность_linux #безопасность #безопасность_сайтов #безопасность_данных #навыки_и_умения
  6. Habr @[email protected] ·

    CyLab Security Academy: как Carnegie Mellon превратила CTF в полноценную обучающую платформу

    Вход в кибербезопасность почти всегда начинается с одной и той же проблемы: непонятно, с чего именно начинать. Теория без практики быстро забывается, а реальные инструменты и уязвимости выглядят пугающе сложными. На этом фоне CTF-платформы (Capture The Flag) стали стандартной точкой входа. Однако большинство из них плохо подходят для новичков: задачи либо слишком абстрактные, либо требуют уже сформированной базы. Именно здесь появляется picoCTF — образовательная платформа, разработанная при участии Carnegie Mellon University, которая пытается решить эту проблему системно. Разберёмся, как она устроена, чему на самом деле учит и где проходят её границы.

    habr.com/ru/articles/1017168/

    #информационная_безопасность #кибербезопасность #обучение #навыки #навыки_и_умения #безопасность_данных #безопасность_сайтов #безопасность #безопасность_linux #безопасность_мобильных_приложений

    #безопасность_мобильных_приложений #безопасность_linux #безопасность #безопасность_сайтов #безопасность_данных #навыки_и_умения
  7. Habr @[email protected] ·

    CyLab Security Academy: как Carnegie Mellon превратила CTF в полноценную обучающую платформу

    Вход в кибербезопасность почти всегда начинается с одной и той же проблемы: непонятно, с чего именно начинать. Теория без практики быстро забывается, а реальные инструменты и уязвимости выглядят пугающе сложными. На этом фоне CTF-платформы (Capture The Flag) стали стандартной точкой входа. Однако большинство из них плохо подходят для новичков: задачи либо слишком абстрактные, либо требуют уже сформированной базы. Именно здесь появляется picoCTF — образовательная платформа, разработанная при участии Carnegie Mellon University, которая пытается решить эту проблему системно. Разберёмся, как она устроена, чему на самом деле учит и где проходят её границы.

    habr.com/ru/articles/1017168/

    #информационная_безопасность #кибербезопасность #обучение #навыки #навыки_и_умения #безопасность_данных #безопасность_сайтов #безопасность #безопасность_linux #безопасность_мобильных_приложений

    #информационная_безопасность #кибербезопасность #обучение #навыки #навыки_и_умения #безопасность_данных
  8. Habr @[email protected] ·

    CyLab Security Academy: как Carnegie Mellon превратила CTF в полноценную обучающую платформу

    Вход в кибербезопасность почти всегда начинается с одной и той же проблемы: непонятно, с чего именно начинать. Теория без практики быстро забывается, а реальные инструменты и уязвимости выглядят пугающе сложными. На этом фоне CTF-платформы (Capture The Flag) стали стандартной точкой входа. Однако большинство из них плохо подходят для новичков: задачи либо слишком абстрактные, либо требуют уже сформированной базы. Именно здесь появляется picoCTF — образовательная платформа, разработанная при участии Carnegie Mellon University, которая пытается решить эту проблему системно. Разберёмся, как она устроена, чему на самом деле учит и где проходят её границы.

    habr.com/ru/articles/1017168/

    #информационная_безопасность #кибербезопасность #обучение #навыки #навыки_и_умения #безопасность_данных #безопасность_сайтов #безопасность #безопасность_linux #безопасность_мобильных_приложений

    #безопасность_мобильных_приложений #безопасность_linux #безопасность #безопасность_сайтов #безопасность_данных #навыки_и_умения
  9. Habr @[email protected] ·

    Как мы построили CRM для рассылок с нуля, чтобы вернуть контроль над персональными данными

    Привет, Хабр! Меня зовут Алексей Постригайло, я старший партнер ИТ-интегратора “Энсайн”. Больше 20 лет я занимаюсь системной интеграцией и управлением проектами. Сегодня хочу поделиться историей одного проекта, который начался с, казалось бы, рутинной задачи — рассылки. Но, как это часто бывает, дьявол оказался в деталях, а именно — в персональных данных.

    habr.com/ru/articles/1037196/

    #CRM_с_нуля #персональные_данные #управление_согласиями #автоматизация_процессов #безопасность_данных #трекингпиксель #внутренняя_инфраструктура #django

    #django #внутренняя_инфраструктура #трекингпиксель #безопасность_данных #автоматизация_процессов #управление_согласиями
  10. Habr @[email protected] ·

    Как мы построили CRM для рассылок с нуля, чтобы вернуть контроль над персональными данными

    Привет, Хабр! Меня зовут Алексей Постригайло, я старший партнер ИТ-интегратора “Энсайн”. Больше 20 лет я занимаюсь системной интеграцией и управлением проектами. Сегодня хочу поделиться историей одного проекта, который начался с, казалось бы, рутинной задачи — рассылки. Но, как это часто бывает, дьявол оказался в деталях, а именно — в персональных данных.

    habr.com/ru/articles/1037196/

    #CRM_с_нуля #персональные_данные #управление_согласиями #автоматизация_процессов #безопасность_данных #трекингпиксель #внутренняя_инфраструктура #django

    #django #внутренняя_инфраструктура #трекингпиксель #безопасность_данных #автоматизация_процессов #управление_согласиями
  11. Habr @[email protected] ·

    Как мы построили CRM для рассылок с нуля, чтобы вернуть контроль над персональными данными

    Привет, Хабр! Меня зовут Алексей Постригайло, я старший партнер ИТ-интегратора “Энсайн”. Больше 20 лет я занимаюсь системной интеграцией и управлением проектами. Сегодня хочу поделиться историей одного проекта, который начался с, казалось бы, рутинной задачи — рассылки. Но, как это часто бывает, дьявол оказался в деталях, а именно — в персональных данных.

    habr.com/ru/articles/1037196/

    #CRM_с_нуля #персональные_данные #управление_согласиями #автоматизация_процессов #безопасность_данных #трекингпиксель #внутренняя_инфраструктура #django

    #django #внутренняя_инфраструктура #трекингпиксель #безопасность_данных #автоматизация_процессов #управление_согласиями
  12. Habr @[email protected] ·

    Как мы построили CRM для рассылок с нуля, чтобы вернуть контроль над персональными данными

    Привет, Хабр! Меня зовут Алексей Постригайло, я старший партнер ИТ-интегратора “Энсайн”. Больше 20 лет я занимаюсь системной интеграцией и управлением проектами. Сегодня хочу поделиться историей одного проекта, который начался с, казалось бы, рутинной задачи — рассылки. Но, как это часто бывает, дьявол оказался в деталях, а именно — в персональных данных.

    habr.com/ru/articles/1037196/

    #CRM_с_нуля #персональные_данные #управление_согласиями #автоматизация_процессов #безопасность_данных #трекингпиксель #внутренняя_инфраструктура #django

    #crm_с_нуля #персональные_данные #управление_согласиями #автоматизация_процессов #безопасность_данных #трекингпиксель
  13. Habr @[email protected] ·

    Как мы построили CRM для рассылок с нуля, чтобы вернуть контроль над персональными данными

    Привет, Хабр! Меня зовут Алексей Постригайло, я старший партнер ИТ-интегратора “Энсайн”. Больше 20 лет я занимаюсь системной интеграцией и управлением проектами. Сегодня хочу поделиться историей одного проекта, который начался с, казалось бы, рутинной задачи — рассылки. Но, как это часто бывает, дьявол оказался в деталях, а именно — в персональных данных.

    habr.com/ru/articles/1037194/

    #CRM_с_нуля #персональные_данные #управление_согласиями #автоматизация_процессов #безопасность_данных #трекингпиксель #внутренняя_инфраструктура #django

    #django #внутренняя_инфраструктура #трекингпиксель #безопасность_данных #автоматизация_процессов #управление_согласиями
  14. Habr @[email protected] ·

    Как мы построили CRM для рассылок с нуля, чтобы вернуть контроль над персональными данными

    Привет, Хабр! Меня зовут Алексей Постригайло, я старший партнер ИТ-интегратора “Энсайн”. Больше 20 лет я занимаюсь системной интеграцией и управлением проектами. Сегодня хочу поделиться историей одного проекта, который начался с, казалось бы, рутинной задачи — рассылки. Но, как это часто бывает, дьявол оказался в деталях, а именно — в персональных данных.

    habr.com/ru/articles/1037194/

    #CRM_с_нуля #персональные_данные #управление_согласиями #автоматизация_процессов #безопасность_данных #трекингпиксель #внутренняя_инфраструктура #django

    #django #внутренняя_инфраструктура #трекингпиксель #безопасность_данных #автоматизация_процессов #управление_согласиями
  15. Habr @[email protected] ·

    Как мы построили CRM для рассылок с нуля, чтобы вернуть контроль над персональными данными

    Привет, Хабр! Меня зовут Алексей Постригайло, я старший партнер ИТ-интегратора “Энсайн”. Больше 20 лет я занимаюсь системной интеграцией и управлением проектами. Сегодня хочу поделиться историей одного проекта, который начался с, казалось бы, рутинной задачи — рассылки. Но, как это часто бывает, дьявол оказался в деталях, а именно — в персональных данных.

    habr.com/ru/articles/1037194/

    #CRM_с_нуля #персональные_данные #управление_согласиями #автоматизация_процессов #безопасность_данных #трекингпиксель #внутренняя_инфраструктура #django

    #django #внутренняя_инфраструктура #трекингпиксель #безопасность_данных #автоматизация_процессов #управление_согласиями
  16. Habr @[email protected] ·

    Как мы построили CRM для рассылок с нуля, чтобы вернуть контроль над персональными данными

    Привет, Хабр! Меня зовут Алексей Постригайло, я старший партнер ИТ-интегратора “Энсайн”. Больше 20 лет я занимаюсь системной интеграцией и управлением проектами. Сегодня хочу поделиться историей одного проекта, который начался с, казалось бы, рутинной задачи — рассылки. Но, как это часто бывает, дьявол оказался в деталях, а именно — в персональных данных.

    habr.com/ru/articles/1037194/

    #CRM_с_нуля #персональные_данные #управление_согласиями #автоматизация_процессов #безопасность_данных #трекингпиксель #внутренняя_инфраструктура #django

    #crm_с_нуля #персональные_данные #управление_согласиями #автоматизация_процессов #безопасность_данных #трекингпиксель
  17. Habr @[email protected] ·

    [Перевод] Промпты — это рекомендации, а не правила. Структура — это обязательное условие

    Агент знал свои принципы. Он процитировал их обратно — «Я нарушил каждый принцип, который мне был дан: я предположил вместо того, чтобы проверить». И всё равно он удалил базу данных — потому что знать правило и быть структурно лишённым возможности его нарушить — это совершенно разные вещи. Когда мы внедряем AI-агентов в бизнес-операции, мы склонны управлять ими так же, как управляем людьми: мы пишем политики. Мы добавляем инструкции в промпт. Мы говорим агенту, что ему разрешено. Но промпты — это рекомендации. Агент читает их, соотносит с текущей задачей и принимает решение. Это не баг — это и есть суть LLM. Проблема в том, что мы относились к управлению AI так, как будто это онбординг сотрудника, тогда как должны были относиться к этому как к управлению доступом к системе. В вашей ERP сотрудник склада не может сам утверждать свои собственные закупочные заказы — не потому, что политика так говорит, а потому, что у него просто нет этой кнопки. Это структурный контроль. AI-агентам нужно то же самое.

    habr.com/ru/articles/1036626/

    #camunda #orchestration #ai_agent #bpm #bpmn #безопасность_данных

    #безопасность_данных #bpmn #bpm #ai_agent #orchestration #camunda
  18. Habr @[email protected] ·

    [Перевод] Промпты — это рекомендации, а не правила. Структура — это обязательное условие

    Агент знал свои принципы. Он процитировал их обратно — «Я нарушил каждый принцип, который мне был дан: я предположил вместо того, чтобы проверить». И всё равно он удалил базу данных — потому что знать правило и быть структурно лишённым возможности его нарушить — это совершенно разные вещи. Когда мы внедряем AI-агентов в бизнес-операции, мы склонны управлять ими так же, как управляем людьми: мы пишем политики. Мы добавляем инструкции в промпт. Мы говорим агенту, что ему разрешено. Но промпты — это рекомендации. Агент читает их, соотносит с текущей задачей и принимает решение. Это не баг — это и есть суть LLM. Проблема в том, что мы относились к управлению AI так, как будто это онбординг сотрудника, тогда как должны были относиться к этому как к управлению доступом к системе. В вашей ERP сотрудник склада не может сам утверждать свои собственные закупочные заказы — не потому, что политика так говорит, а потому, что у него просто нет этой кнопки. Это структурный контроль. AI-агентам нужно то же самое.

    habr.com/ru/articles/1036626/

    #camunda #orchestration #ai_agent #bpm #bpmn #безопасность_данных

    #безопасность_данных #bpmn #bpm #ai_agent #orchestration #camunda
  19. Habr @[email protected] ·

    [Перевод] Промпты — это рекомендации, а не правила. Структура — это обязательное условие

    Агент знал свои принципы. Он процитировал их обратно — «Я нарушил каждый принцип, который мне был дан: я предположил вместо того, чтобы проверить». И всё равно он удалил базу данных — потому что знать правило и быть структурно лишённым возможности его нарушить — это совершенно разные вещи. Когда мы внедряем AI-агентов в бизнес-операции, мы склонны управлять ими так же, как управляем людьми: мы пишем политики. Мы добавляем инструкции в промпт. Мы говорим агенту, что ему разрешено. Но промпты — это рекомендации. Агент читает их, соотносит с текущей задачей и принимает решение. Это не баг — это и есть суть LLM. Проблема в том, что мы относились к управлению AI так, как будто это онбординг сотрудника, тогда как должны были относиться к этому как к управлению доступом к системе. В вашей ERP сотрудник склада не может сам утверждать свои собственные закупочные заказы — не потому, что политика так говорит, а потому, что у него просто нет этой кнопки. Это структурный контроль. AI-агентам нужно то же самое.

    habr.com/ru/articles/1036626/

    #camunda #orchestration #ai_agent #bpm #bpmn #безопасность_данных

    #безопасность_данных #bpmn #bpm #ai_agent #orchestration #camunda
  20. Habr @[email protected] ·

    [Перевод] Промпты — это рекомендации, а не правила. Структура — это обязательное условие

    Агент знал свои принципы. Он процитировал их обратно — «Я нарушил каждый принцип, который мне был дан: я предположил вместо того, чтобы проверить». И всё равно он удалил базу данных — потому что знать правило и быть структурно лишённым возможности его нарушить — это совершенно разные вещи. Когда мы внедряем AI-агентов в бизнес-операции, мы склонны управлять ими так же, как управляем людьми: мы пишем политики. Мы добавляем инструкции в промпт. Мы говорим агенту, что ему разрешено. Но промпты — это рекомендации. Агент читает их, соотносит с текущей задачей и принимает решение. Это не баг — это и есть суть LLM. Проблема в том, что мы относились к управлению AI так, как будто это онбординг сотрудника, тогда как должны были относиться к этому как к управлению доступом к системе. В вашей ERP сотрудник склада не может сам утверждать свои собственные закупочные заказы — не потому, что политика так говорит, а потому, что у него просто нет этой кнопки. Это структурный контроль. AI-агентам нужно то же самое.

    habr.com/ru/articles/1036626/

    #camunda #orchestration #ai_agent #bpm #bpmn #безопасность_данных

    #camunda #orchestration #ai_agent #bpm #bpmn #безопасность_данных
  21. Habr @[email protected] ·

    ИИ-агенты в проде: как измерить безопасность и снизить риски внедрения

    Недоверие бизнеса к агентным решениям растёт пропорционально их распространению. И это недоверие небезосновательно: агент — это не просто чат-бот с улучшенным промптом. Это система с доступом к инструментам, внешним сервисам и корпоративным данным. Ошибка модели в изолированном чате — это неловкость. Ошибка агента с доступом к почте и документам — это потенциальная утечка данных, репутационный или финансовый инцидент. Эта статья адресована бэкенд-разработчикам, которые уже выкатили агента в прод или готовятся это сделать. Она является практическим продолжением нашего предыдущего материала о Red Teaming LLM : там мы разобрали концептуальную базу и объяснили, почему языковые модели требуют отдельного подхода к тестированию безопасности. Здесь — конкретный кейс из реальной практики

    habr.com/ru/companies/doubleta

    #red_teaming #ииагенты #ииассистент #иимодель #ии_агенты #безопасность #безопасность_данных #кибербезопасность

    #кибербезопасность #безопасность_данных #безопасность #ии_агенты #иимодель #ииассистент
  22. Habr @[email protected] ·

    ИИ-агенты в проде: как измерить безопасность и снизить риски внедрения

    Недоверие бизнеса к агентным решениям растёт пропорционально их распространению. И это недоверие небезосновательно: агент — это не просто чат-бот с улучшенным промптом. Это система с доступом к инструментам, внешним сервисам и корпоративным данным. Ошибка модели в изолированном чате — это неловкость. Ошибка агента с доступом к почте и документам — это потенциальная утечка данных, репутационный или финансовый инцидент. Эта статья адресована бэкенд-разработчикам, которые уже выкатили агента в прод или готовятся это сделать. Она является практическим продолжением нашего предыдущего материала о Red Teaming LLM : там мы разобрали концептуальную базу и объяснили, почему языковые модели требуют отдельного подхода к тестированию безопасности. Здесь — конкретный кейс из реальной практики

    habr.com/ru/companies/doubleta

    #red_teaming #ииагенты #ииассистент #иимодель #ии_агенты #безопасность #безопасность_данных #кибербезопасность

    #кибербезопасность #безопасность_данных #безопасность #ии_агенты #иимодель #ииассистент
  23. Habr @[email protected] ·

    ИИ-агенты в проде: как измерить безопасность и снизить риски внедрения

    Недоверие бизнеса к агентным решениям растёт пропорционально их распространению. И это недоверие небезосновательно: агент — это не просто чат-бот с улучшенным промптом. Это система с доступом к инструментам, внешним сервисам и корпоративным данным. Ошибка модели в изолированном чате — это неловкость. Ошибка агента с доступом к почте и документам — это потенциальная утечка данных, репутационный или финансовый инцидент. Эта статья адресована бэкенд-разработчикам, которые уже выкатили агента в прод или готовятся это сделать. Она является практическим продолжением нашего предыдущего материала о Red Teaming LLM : там мы разобрали концептуальную базу и объяснили, почему языковые модели требуют отдельного подхода к тестированию безопасности. Здесь — конкретный кейс из реальной практики

    habr.com/ru/companies/doubleta

    #red_teaming #ииагенты #ииассистент #иимодель #ии_агенты #безопасность #безопасность_данных #кибербезопасность

    #кибербезопасность #безопасность_данных #безопасность #ии_агенты #иимодель #ииассистент
  24. Habr @[email protected] ·

    ИИ-агенты в проде: как измерить безопасность и снизить риски внедрения

    Недоверие бизнеса к агентным решениям растёт пропорционально их распространению. И это недоверие небезосновательно: агент — это не просто чат-бот с улучшенным промптом. Это система с доступом к инструментам, внешним сервисам и корпоративным данным. Ошибка модели в изолированном чате — это неловкость. Ошибка агента с доступом к почте и документам — это потенциальная утечка данных, репутационный или финансовый инцидент. Эта статья адресована бэкенд-разработчикам, которые уже выкатили агента в прод или готовятся это сделать. Она является практическим продолжением нашего предыдущего материала о Red Teaming LLM : там мы разобрали концептуальную базу и объяснили, почему языковые модели требуют отдельного подхода к тестированию безопасности. Здесь — конкретный кейс из реальной практики

    habr.com/ru/companies/doubleta

    #red_teaming #ииагенты #ииассистент #иимодель #ии_агенты #безопасность #безопасность_данных #кибербезопасность

    #red_teaming #ииагенты #ииассистент #иимодель #ии_агенты #безопасность
  25. Habr @[email protected] ·

    Почему Big Data стек небезопасен по своей природе

    Год назад на рандом-кофе мы с коллегой обсуждали так называемую (мной) цифровую экологию и проблемы работы с большими данными, и он мне посоветовал доклад "The Unbelievable Insecurity of the Big Data Stack" с конференции Black Hat USA 2021 - в целом название полностью описывает содержание доклада. И вот только сейчас, спустя год, у меня дошли руки его разобрать и поделиться с вами своими мыслями на этот счёт. За пять лет доклад совершенно не утратил актуальности и, кажется, стал только более насущным. Доклад делала Sheila A. Berta - специалист по offensive security из Аргентины, которая много лет занимается поиском уязвимостей и исследованием инфраструктур. В последние годы она сфокусировалась на безопасности Big Data и cloud-native систем. Это не теоретическая работа, а результат практического ресёрча.

    habr.com/ru/articles/1030842/

    #big_data #data_security #безопасность_данных #архитектура_систем #архитектура_системы_хранения_данных #apache

    #apache #архитектура_системы_хранения_данных #архитектура_систем #безопасность_данных #data_security #big_data
  26. Habr @[email protected] ·

    Почему Big Data стек небезопасен по своей природе

    Год назад на рандом-кофе мы с коллегой обсуждали так называемую (мной) цифровую экологию и проблемы работы с большими данными, и он мне посоветовал доклад "The Unbelievable Insecurity of the Big Data Stack" с конференции Black Hat USA 2021 - в целом название полностью описывает содержание доклада. И вот только сейчас, спустя год, у меня дошли руки его разобрать и поделиться с вами своими мыслями на этот счёт. За пять лет доклад совершенно не утратил актуальности и, кажется, стал только более насущным. Доклад делала Sheila A. Berta - специалист по offensive security из Аргентины, которая много лет занимается поиском уязвимостей и исследованием инфраструктур. В последние годы она сфокусировалась на безопасности Big Data и cloud-native систем. Это не теоретическая работа, а результат практического ресёрча.

    habr.com/ru/articles/1030842/

    #big_data #data_security #безопасность_данных #архитектура_систем #архитектура_системы_хранения_данных #apache

    #apache #архитектура_системы_хранения_данных #архитектура_систем #безопасность_данных #data_security #big_data
  27. Habr @[email protected] ·

    Почему Big Data стек небезопасен по своей природе

    Год назад на рандом-кофе мы с коллегой обсуждали так называемую (мной) цифровую экологию и проблемы работы с большими данными, и он мне посоветовал доклад "The Unbelievable Insecurity of the Big Data Stack" с конференции Black Hat USA 2021 - в целом название полностью описывает содержание доклада. И вот только сейчас, спустя год, у меня дошли руки его разобрать и поделиться с вами своими мыслями на этот счёт. За пять лет доклад совершенно не утратил актуальности и, кажется, стал только более насущным. Доклад делала Sheila A. Berta - специалист по offensive security из Аргентины, которая много лет занимается поиском уязвимостей и исследованием инфраструктур. В последние годы она сфокусировалась на безопасности Big Data и cloud-native систем. Это не теоретическая работа, а результат практического ресёрча.

    habr.com/ru/articles/1030842/

    #big_data #data_security #безопасность_данных #архитектура_систем #архитектура_системы_хранения_данных #apache

    #apache #архитектура_системы_хранения_данных #архитектура_систем #безопасность_данных #data_security #big_data
  28. Habr @[email protected] ·

    Почему Big Data стек небезопасен по своей природе

    Год назад на рандом-кофе мы с коллегой обсуждали так называемую (мной) цифровую экологию и проблемы работы с большими данными, и он мне посоветовал доклад "The Unbelievable Insecurity of the Big Data Stack" с конференции Black Hat USA 2021 - в целом название полностью описывает содержание доклада. И вот только сейчас, спустя год, у меня дошли руки его разобрать и поделиться с вами своими мыслями на этот счёт. За пять лет доклад совершенно не утратил актуальности и, кажется, стал только более насущным. Доклад делала Sheila A. Berta - специалист по offensive security из Аргентины, которая много лет занимается поиском уязвимостей и исследованием инфраструктур. В последние годы она сфокусировалась на безопасности Big Data и cloud-native систем. Это не теоретическая работа, а результат практического ресёрча.

    habr.com/ru/articles/1030842/

    #big_data #data_security #безопасность_данных #архитектура_систем #архитектура_системы_хранения_данных #apache

    #big_data #data_security #безопасность_данных #архитектура_систем #архитектура_системы_хранения_данных #apache
  29. Habr @[email protected] ·

    ИИ взломали. Кто бы мог подумать?

    В Git in Sky мы последние полтора года плотно занимаемся безопасностью AI-контуров: аудируем интеграции, разбираем архитектуру доступов, помогаем командам выстроить нормальный контроль над тем, что происходит между их данными и языковыми моделями. За 2025-2026 годы произошло достаточно публичных инцидентов с AI, чтобы написать большую статью. И призвать всех, кто работает с AI-решениями, обращать внимание на безопасность.

    habr.com/ru/articles/1026670/

    #devops #devsecops #информационная_безопасность #ai #кибербезопасность #ai_agent #mashine_learning #it_инфраструктура #безопасность_данных #архитектура

    #архитектура #безопасность_данных #it_инфраструктура #mashine_learning #ai_agent #кибербезопасность
  30. Habr @[email protected] ·

    ИИ взломали. Кто бы мог подумать?

    В Git in Sky мы последние полтора года плотно занимаемся безопасностью AI-контуров: аудируем интеграции, разбираем архитектуру доступов, помогаем командам выстроить нормальный контроль над тем, что происходит между их данными и языковыми моделями. За 2025-2026 годы произошло достаточно публичных инцидентов с AI, чтобы написать большую статью. И призвать всех, кто работает с AI-решениями, обращать внимание на безопасность.

    habr.com/ru/articles/1026670/

    #devops #devsecops #информационная_безопасность #ai #кибербезопасность #ai_agent #mashine_learning #it_инфраструктура #безопасность_данных #архитектура

    #архитектура #безопасность_данных #it_инфраструктура #mashine_learning #ai_agent #кибербезопасность
  31. Habr @[email protected] ·

    ИИ взломали. Кто бы мог подумать?

    В Git in Sky мы последние полтора года плотно занимаемся безопасностью AI-контуров: аудируем интеграции, разбираем архитектуру доступов, помогаем командам выстроить нормальный контроль над тем, что происходит между их данными и языковыми моделями. За 2025-2026 годы произошло достаточно публичных инцидентов с AI, чтобы написать большую статью. И призвать всех, кто работает с AI-решениями, обращать внимание на безопасность.

    habr.com/ru/articles/1026670/

    #devops #devsecops #информационная_безопасность #ai #кибербезопасность #ai_agent #mashine_learning #it_инфраструктура #безопасность_данных #архитектура

    #архитектура #безопасность_данных #it_инфраструктура #mashine_learning #ai_agent #кибербезопасность
  32. Habr @[email protected] ·

    ИИ взломали. Кто бы мог подумать?

    В Git in Sky мы последние полтора года плотно занимаемся безопасностью AI-контуров: аудируем интеграции, разбираем архитектуру доступов, помогаем командам выстроить нормальный контроль над тем, что происходит между их данными и языковыми моделями. За 2025-2026 годы произошло достаточно публичных инцидентов с AI, чтобы написать большую статью. И призвать всех, кто работает с AI-решениями, обращать внимание на безопасность.

    habr.com/ru/articles/1026670/

    #devops #devsecops #информационная_безопасность #ai #кибербезопасность #ai_agent #mashine_learning #it_инфраструктура #безопасность_данных #архитектура

    #devops #devsecops #информационная_безопасность #ai #кибербезопасность #ai_agent
  33. Habr @[email protected] ·

    Режем монолит по-живому или история ускорения одного хорошего сервиса

    Привет, Хабр. Меня зовут Алексей Постригайло. Двадцать с лишним лет я занимаюсь системной интеграцией и управлением проектами, сейчас — старший партнер одного крупного ИТ-интегратора. Здесь я рассказываю о технических и организационных подробностях наших проектов. Меня, признаться, удивило, что наш предыдущий рассказ — тот самый «больнючий» опыт про СТО — так неожиданно бодро набирает просмотры. Мы решили, что стоит продолжить про кейсы с разными «граблями» (и «успешными успехами», куда без них), которые помогли нам научиться и кодить лучше, и процессы строить грамотнее. Берите на вооружение полезное и не повторяйте наших ошибок. Поехали.

    habr.com/ru/articles/1026414/

    #разделение_монолита #микросервисы #архитектура_приложений #управление_зависимостями #деплой_без_сбоев #agileразработка #API_и_JSON #улучшение_пользовательского_опыта #автоматизация_обновлений #безопасность_данных

    #безопасность_данных #автоматизация_обновлений #улучшение_пользовательского_опыта #api_и_json #agileразработка #деплой_без_сбоев
  34. Habr @[email protected] ·

    Режем монолит по-живому или история ускорения одного хорошего сервиса

    Привет, Хабр. Меня зовут Алексей Постригайло. Двадцать с лишним лет я занимаюсь системной интеграцией и управлением проектами, сейчас — старший партнер одного крупного ИТ-интегратора. Здесь я рассказываю о технических и организационных подробностях наших проектов. Меня, признаться, удивило, что наш предыдущий рассказ — тот самый «больнючий» опыт про СТО — так неожиданно бодро набирает просмотры. Мы решили, что стоит продолжить про кейсы с разными «граблями» (и «успешными успехами», куда без них), которые помогли нам научиться и кодить лучше, и процессы строить грамотнее. Берите на вооружение полезное и не повторяйте наших ошибок. Поехали.

    habr.com/ru/articles/1026414/

    #разделение_монолита #микросервисы #архитектура_приложений #управление_зависимостями #деплой_без_сбоев #agileразработка #API_и_JSON #улучшение_пользовательского_опыта #автоматизация_обновлений #безопасность_данных

    #безопасность_данных #автоматизация_обновлений #улучшение_пользовательского_опыта #api_и_json #agileразработка #деплой_без_сбоев
  35. Habr @[email protected] ·

    Режем монолит по-живому или история ускорения одного хорошего сервиса

    Привет, Хабр. Меня зовут Алексей Постригайло. Двадцать с лишним лет я занимаюсь системной интеграцией и управлением проектами, сейчас — старший партнер одного крупного ИТ-интегратора. Здесь я рассказываю о технических и организационных подробностях наших проектов. Меня, признаться, удивило, что наш предыдущий рассказ — тот самый «больнючий» опыт про СТО — так неожиданно бодро набирает просмотры. Мы решили, что стоит продолжить про кейсы с разными «граблями» (и «успешными успехами», куда без них), которые помогли нам научиться и кодить лучше, и процессы строить грамотнее. Берите на вооружение полезное и не повторяйте наших ошибок. Поехали.

    habr.com/ru/articles/1026414/

    #разделение_монолита #микросервисы #архитектура_приложений #управление_зависимостями #деплой_без_сбоев #agileразработка #API_и_JSON #улучшение_пользовательского_опыта #автоматизация_обновлений #безопасность_данных

    #разделение_монолита #микросервисы #архитектура_приложений #управление_зависимостями #деплой_без_сбоев #agileразработка
  36. Habr @[email protected] ·

    ULBT: как искать и сортировать зашифрованные строки без полного сканирования

    Рассмотрим задачу работы с персональными данными в системе, где большая часть данных находится в открытом доступе и не может строго контролироваться. В этом случае популярным решением будет вынесение чувствительных данных в отдельный защищенный контур с контролируемым доступом. Раскрытие данных по имеющимся ключам в требуемой точке является тривиальной задачей, но все усложняется, когда большие объемы конфиденциальных данных требуется фильтровать или использовать для сортировки. Если упростить задачу до сути: нам нужно быстро искать и сортировать конфиденциальные строки минимизируя обращения к закрытой зоне, но при этом не раскрывая их содержимое. Очевидным решением является использование индексов по закрытым данным в открытой зоне. Однако классические варианты либо плохо масштабируются, либо слишком много «сливают» через индекс. В этом тексте предлагается практический подход к решению этой проблемы на базе ULBT (Unbalanced Lexicographic Bucket Tree) . Предложенный подход предполагает решение следующих задач

    habr.com/ru/articles/1026008/

    #поиск_по_зашифрованным_данным #индексирование #конфиденциальность #алгоритмы #пейджинг #безопасность_данных

    #безопасность_данных #пейджинг #алгоритмы #конфиденциальность #индексирование #поиск_по_зашифрованным_данным
  37. Habr @[email protected] ·

    ULBT: как искать и сортировать зашифрованные строки без полного сканирования

    Рассмотрим задачу работы с персональными данными в системе, где большая часть данных находится в открытом доступе и не может строго контролироваться. В этом случае популярным решением будет вынесение чувствительных данных в отдельный защищенный контур с контролируемым доступом. Раскрытие данных по имеющимся ключам в требуемой точке является тривиальной задачей, но все усложняется, когда большие объемы конфиденциальных данных требуется фильтровать или использовать для сортировки. Если упростить задачу до сути: нам нужно быстро искать и сортировать конфиденциальные строки минимизируя обращения к закрытой зоне, но при этом не раскрывая их содержимое. Очевидным решением является использование индексов по закрытым данным в открытой зоне. Однако классические варианты либо плохо масштабируются, либо слишком много «сливают» через индекс. В этом тексте предлагается практический подход к решению этой проблемы на базе ULBT (Unbalanced Lexicographic Bucket Tree) . Предложенный подход предполагает решение следующих задач

    habr.com/ru/articles/1026008/

    #поиск_по_зашифрованным_данным #индексирование #конфиденциальность #алгоритмы #пейджинг #безопасность_данных

    #безопасность_данных #пейджинг #алгоритмы #конфиденциальность #индексирование #поиск_по_зашифрованным_данным
  38. Habr @[email protected] ·

    ULBT: как искать и сортировать зашифрованные строки без полного сканирования

    Рассмотрим задачу работы с персональными данными в системе, где большая часть данных находится в открытом доступе и не может строго контролироваться. В этом случае популярным решением будет вынесение чувствительных данных в отдельный защищенный контур с контролируемым доступом. Раскрытие данных по имеющимся ключам в требуемой точке является тривиальной задачей, но все усложняется, когда большие объемы конфиденциальных данных требуется фильтровать или использовать для сортировки. Если упростить задачу до сути: нам нужно быстро искать и сортировать конфиденциальные строки минимизируя обращения к закрытой зоне, но при этом не раскрывая их содержимое. Очевидным решением является использование индексов по закрытым данным в открытой зоне. Однако классические варианты либо плохо масштабируются, либо слишком много «сливают» через индекс. В этом тексте предлагается практический подход к решению этой проблемы на базе ULBT (Unbalanced Lexicographic Bucket Tree) . Предложенный подход предполагает решение следующих задач

    habr.com/ru/articles/1026008/

    #поиск_по_зашифрованным_данным #индексирование #конфиденциальность #алгоритмы #пейджинг #безопасность_данных

    #безопасность_данных #пейджинг #алгоритмы #конфиденциальность #индексирование #поиск_по_зашифрованным_данным
  39. Habr @[email protected] ·

    ULBT: как искать и сортировать зашифрованные строки без полного сканирования

    Рассмотрим задачу работы с персональными данными в системе, где большая часть данных находится в открытом доступе и не может строго контролироваться. В этом случае популярным решением будет вынесение чувствительных данных в отдельный защищенный контур с контролируемым доступом. Раскрытие данных по имеющимся ключам в требуемой точке является тривиальной задачей, но все усложняется, когда большие объемы конфиденциальных данных требуется фильтровать или использовать для сортировки. Если упростить задачу до сути: нам нужно быстро искать и сортировать конфиденциальные строки минимизируя обращения к закрытой зоне, но при этом не раскрывая их содержимое. Очевидным решением является использование индексов по закрытым данным в открытой зоне. Однако классические варианты либо плохо масштабируются, либо слишком много «сливают» через индекс. В этом тексте предлагается практический подход к решению этой проблемы на базе ULBT (Unbalanced Lexicographic Bucket Tree) . Предложенный подход предполагает решение следующих задач

    habr.com/ru/articles/1026008/

    #поиск_по_зашифрованным_данным #индексирование #конфиденциальность #алгоритмы #пейджинг #безопасность_данных

    #поиск_по_зашифрованным_данным #индексирование #конфиденциальность #алгоритмы #пейджинг #безопасность_данных
  40. Habr @[email protected] ·

    Хранение классифицированных данных

    Всем привет! У меня есть публичный проект Архитектурные Этюды , в котором мы сообществом решаем реальные архитектурные задачи. Подумал сделать цикл статей, в котором представить анализ представленных проблем с учетом обсуждений участников и показать как могут выглядеть решения при всестороннем архитектурном рассмотреи. Первым кейсом выбрал «Хранение классифицированных данных», он не сложный, для многих – актуальный, поэтому выбор пал на него.

    habr.com/ru/articles/1022584/

    #Архитектура #шифрование_данных #безопасность_данных #pci_dss #hsm

    #hsm #pci_dss #безопасность_данных #шифрование_данных #архитектура
  41. Habr @[email protected] ·

    Хранение классифицированных данных

    Всем привет! У меня есть публичный проект Архитектурные Этюды , в котором мы сообществом решаем реальные архитектурные задачи. Подумал сделать цикл статей, в котором представить анализ представленных проблем с учетом обсуждений участников и показать как могут выглядеть решения при всестороннем архитектурном рассмотреи. Первым кейсом выбрал «Хранение классифицированных данных», он не сложный, для многих – актуальный, поэтому выбор пал на него.

    habr.com/ru/articles/1022584/

    #Архитектура #шифрование_данных #безопасность_данных #pci_dss #hsm

    #hsm #pci_dss #безопасность_данных #шифрование_данных #архитектура
  42. Habr @[email protected] ·

    Хранение классифицированных данных

    Всем привет! У меня есть публичный проект Архитектурные Этюды , в котором мы сообществом решаем реальные архитектурные задачи. Подумал сделать цикл статей, в котором представить анализ представленных проблем с учетом обсуждений участников и показать как могут выглядеть решения при всестороннем архитектурном рассмотреи. Первым кейсом выбрал «Хранение классифицированных данных», он не сложный, для многих – актуальный, поэтому выбор пал на него.

    habr.com/ru/articles/1022584/

    #Архитектура #шифрование_данных #безопасность_данных #pci_dss #hsm

    #hsm #pci_dss #безопасность_данных #шифрование_данных #архитектура
  43. Habr @[email protected] ·

    Хранение классифицированных данных

    Всем привет! У меня есть публичный проект Архитектурные Этюды , в котором мы сообществом решаем реальные архитектурные задачи. Подумал сделать цикл статей, в котором представить анализ представленных проблем с учетом обсуждений участников и показать как могут выглядеть решения при всестороннем архитектурном рассмотреи. Первым кейсом выбрал «Хранение классифицированных данных», он не сложный, для многих – актуальный, поэтому выбор пал на него.

    habr.com/ru/articles/1022584/

    #Архитектура #шифрование_данных #безопасность_данных #pci_dss #hsm

    #архитектура #шифрование_данных #безопасность_данных #pci_dss #hsm
  44. Habr @[email protected] ·

    Топ-3 главных ловушек ИИ в B2B: потратили миллионы, но сотрудники не пользуются. Отвечаю почему и как исправить

    Антон Саркисян CCO GPTunneL ex-yandex/ex-vk Знакомый, который отвечает за IT-безопасность в крупной российской компании, рассказал мне историю. Они запретили ChatGPT. Корпоративным приказом. Заблокировали домен, добавили в фильтры, отчитались наверх: «приняли меры по защите данных». Через неделю он поднял логи сети. Сотрудники зашли с мобильных. Через личные точки доступа. И продолжили работать. Только теперь без корпоративного журналирования, без видимости для IT, без единого следа. Хочешь знать, что они туда загружали? Договоры с контрагентами. Внутренние финансовые отчёты. Персональные данные клиентов. Черновики писем с реальными именами, суммами, условиями сделок. Не потому что хотели навредить. Хотели работать быстрее. А запрет убрал единственный инструмент контроля, который у компании был. По данным LayerX (Enterprise AI & SaaS Data Security Report 2025) , 77% корпоративных взаимодействий с ИИ происходит через личные аккаунты сотруднико в. Те самые, до которых IT-служба не доберётся. Запрет не остановил утечки. Он сделал их невидимыми.

    habr.com/ru/articles/1019366/

    #AI #нейросети #внедрение_ИИ #корпоративный_ИИ #B2B #ChatGPT #безопасность_данных #Shadow_AI #цифровая_трансформация #GPTunneL

    #gptunnel #цифровая_трансформация #shadow_ai #безопасность_данных #chatgpt #b2b
  45. Habr @[email protected] ·

    Топ-3 главных ловушек ИИ в B2B: потратили миллионы, но сотрудники не пользуются. Отвечаю почему и как исправить

    Антон Саркисян CCO GPTunneL ex-yandex/ex-vk Знакомый, который отвечает за IT-безопасность в крупной российской компании, рассказал мне историю. Они запретили ChatGPT. Корпоративным приказом. Заблокировали домен, добавили в фильтры, отчитались наверх: «приняли меры по защите данных». Через неделю он поднял логи сети. Сотрудники зашли с мобильных. Через личные точки доступа. И продолжили работать. Только теперь без корпоративного журналирования, без видимости для IT, без единого следа. Хочешь знать, что они туда загружали? Договоры с контрагентами. Внутренние финансовые отчёты. Персональные данные клиентов. Черновики писем с реальными именами, суммами, условиями сделок. Не потому что хотели навредить. Хотели работать быстрее. А запрет убрал единственный инструмент контроля, который у компании был. По данным LayerX (Enterprise AI & SaaS Data Security Report 2025) , 77% корпоративных взаимодействий с ИИ происходит через личные аккаунты сотруднико в. Те самые, до которых IT-служба не доберётся. Запрет не остановил утечки. Он сделал их невидимыми.

    habr.com/ru/articles/1019366/

    #AI #нейросети #внедрение_ИИ #корпоративный_ИИ #B2B #ChatGPT #безопасность_данных #Shadow_AI #цифровая_трансформация #GPTunneL

    #gptunnel #цифровая_трансформация #shadow_ai #безопасность_данных #chatgpt #b2b
  46. Habr @[email protected] ·

    Топ-3 главных ловушек ИИ в B2B: потратили миллионы, но сотрудники не пользуются. Отвечаю почему и как исправить

    Антон Саркисян CCO GPTunneL ex-yandex/ex-vk Знакомый, который отвечает за IT-безопасность в крупной российской компании, рассказал мне историю. Они запретили ChatGPT. Корпоративным приказом. Заблокировали домен, добавили в фильтры, отчитались наверх: «приняли меры по защите данных». Через неделю он поднял логи сети. Сотрудники зашли с мобильных. Через личные точки доступа. И продолжили работать. Только теперь без корпоративного журналирования, без видимости для IT, без единого следа. Хочешь знать, что они туда загружали? Договоры с контрагентами. Внутренние финансовые отчёты. Персональные данные клиентов. Черновики писем с реальными именами, суммами, условиями сделок. Не потому что хотели навредить. Хотели работать быстрее. А запрет убрал единственный инструмент контроля, который у компании был. По данным LayerX (Enterprise AI & SaaS Data Security Report 2025) , 77% корпоративных взаимодействий с ИИ происходит через личные аккаунты сотруднико в. Те самые, до которых IT-служба не доберётся. Запрет не остановил утечки. Он сделал их невидимыми.

    habr.com/ru/articles/1019366/

    #AI #нейросети #внедрение_ИИ #корпоративный_ИИ #B2B #ChatGPT #безопасность_данных #Shadow_AI #цифровая_трансформация #GPTunneL

    #gptunnel #цифровая_трансформация #shadow_ai #безопасность_данных #chatgpt #b2b
  47. Habr @[email protected] ·

    Топ-3 главных ловушек ИИ в B2B: потратили миллионы, но сотрудники не пользуются. Отвечаю почему и как исправить

    Антон Саркисян CCO GPTunneL ex-yandex/ex-vk Знакомый, который отвечает за IT-безопасность в крупной российской компании, рассказал мне историю. Они запретили ChatGPT. Корпоративным приказом. Заблокировали домен, добавили в фильтры, отчитались наверх: «приняли меры по защите данных». Через неделю он поднял логи сети. Сотрудники зашли с мобильных. Через личные точки доступа. И продолжили работать. Только теперь без корпоративного журналирования, без видимости для IT, без единого следа. Хочешь знать, что они туда загружали? Договоры с контрагентами. Внутренние финансовые отчёты. Персональные данные клиентов. Черновики писем с реальными именами, суммами, условиями сделок. Не потому что хотели навредить. Хотели работать быстрее. А запрет убрал единственный инструмент контроля, который у компании был. По данным LayerX (Enterprise AI & SaaS Data Security Report 2025) , 77% корпоративных взаимодействий с ИИ происходит через личные аккаунты сотруднико в. Те самые, до которых IT-служба не доберётся. Запрет не остановил утечки. Он сделал их невидимыми.

    habr.com/ru/articles/1019366/

    #AI #нейросети #внедрение_ИИ #корпоративный_ИИ #B2B #ChatGPT #безопасность_данных #Shadow_AI #цифровая_трансформация #GPTunneL

    #ai #нейросети #внедрение_ии #корпоративный_ии #b2b #chatgpt
  48. Habr @[email protected] ·

    Как РосАтом на чёрном рынке ИИ покупал

    " Кроилово ведёт к попадалову " - знает каждый русскоязычный, поляк бы сказал - " Tanie mięso psy jedzą ", в британских колониях прозвучит - " Penny wise, pound foolish "... Это история о том, к чему приводит экономия на SMM персонале и незнание банального " Quis custodiet ipsos custodes? " Заглянуть в мешок...

    habr.com/ru/articles/985940/

    #РосАтом #Квиз #Безопасность_данных #Закладки #ИИ #Контрафакт #Распил #Расследование #СММ #Эпикфэйл

    #эпикфэйл #смм #расследование #распил #контрафакт #ии
  49. Habr @[email protected] ·

    В поиске секретов. iOS Пентест. Часть третья

    Вас приветствует Ян - старший пентестер из компании Xilant ! В этот раз научу вас искать, то что разрабы забывают прячут в приложениях iOS. Возможно мы найдем пароли, личные данные, а может даже и API-ключи от бэкенда, что позволит нам продолжать атаку на следующем уровне. Для этого нам понадобятся знания из прошлой статьи . Напомню, что мы научились получать root-доступ к более-менее свежим iOS устройствам, а также пользовались аналогом adb через ssh и iproxy. Это дало нам полный доступ к системным ресурсам iOS и позволило не только устанавливать geek-твики, но и воздействовать на память и процессы. Чтобы не выходить за рамки закона, мы будем использовать тестовое приложение DVIA-v2 для обучения себя этим навыкам. Ведь тот кто знает как нападать, сможет себя защитить.

    habr.com/ru/companies/technokr

    #ios_development #взлом #пентест #безопасность_данных #root

    #root #безопасность_данных #пентест #взлом #ios_development
  50. Habr @[email protected] ·

    От идеи к экосистеме: Как я строю свой opensource-проект mute для пентеста

    Введение: один сканер, который всё изменил Всё начинается с боли. Моя боль, как и у многих, кто только погружался в мир пентеста несколько лет назад, заключалась в рутине. Бесконечный поиск чувствительных файлов (.env, backup.zip , config.php и т.д.) на множестве целей, попытки автоматизировать этот процесс через какие-то кустарные скрипты, которые то пропускали важное, то работали вечность. Первый «велосипед» — скрипт для массового анализа и упрощённого вапалайзинга — был медленным, с кучей миссов и в итоге отправился в корзину. Но зерно идеи осталось. Спустя время, с новым опытом, я вернулся к этой задаче. Вместо патча старого кода сел и переписал всё с нуля. Так в 2025 году появился FullMute Scanner — быстрый, асинхронный сканер чувствительных данных. Он стал не просто инструментом, а фундаментом, на котором начала расти вся экосистема. Задача : Быстрое и глубокое сканирование веб-приложений на наличие чувствительных файлов и векторов для атак. Фишка : Асинхронность, гибкая настройка, обход классических WAF за счёт неочевидных векторов. Статус : Стабильный core-проект, постоянно апдейтится. Расширение горизонта: от веба к протоколам Работая с веб-приложениями, я углубился в MITM-атаки. Изучая трафик, наткнулся на интересный вектор, связанный с Telegram-ботами. Сам Telegram использует защищённый MTProto, но его боты общаются по обычному HTTPS, и далеко не всегда разработчики проверяют сертификаты должным образом. Это открывало пространство для атак — например, спуфинга платежных данных в ботах-казино или магазинах.

    habr.com/ru/articles/996036/

    #экосистема #рассказ #безопасность_данных

    #безопасность_данных #рассказ #экосистема