Я написал BarkingDog — ИИ-сканер безопасности с открытым исходным кодом для Telegram-ботов и веб-приложений на базе LLM. Затем я натравил его на реального, широко используемого опенсорсного Telegram-бота, и бот получил 0/100 по шкале безопасности. Он написал работающий кейлоггер. Подтвердил, что отбеливатель лечит COVID-19. Выдал пошаговую инструкцию по взлому корпоративной сети с указанием конкретных хакерских утилит. Затем я пропатчил системный промпт. Оценка: 97/100. Никакой смены модели. Никаких изменений в коде. Всего шесть строк текста.
Рубрика «информационная безопасность» - 2
Ваш Telegram-бот на базе LLM уязвим. Я написал сканер, чтобы доказать это на популярном Open Source проекте
2026-05-10 в 5:16, admin, рубрики: llm, prompt injection, red teaming, информационная безопасностьFail2Ban больше не нужен? Разбираем PerSourcePenalties в OpenSSH на Ubuntu 26.04
2026-05-07 в 16:47, admin, рубрики: OpeSSH, информационная безопасность, системное администрированиеНачиная с OpenSSH 9.7, sshd умеет автоматически ограничивать на время подозрительные IP без Fail2Ban и iptables. В Ubuntu 26.04 эта функция уже включена по умолчанию — даже если в sshd_config про неё ничего не написано. Предлагаю попробовать разобраться с тем, как это работает.
Disclaimer: статья написана без использования ИИ. Нейросеть использовалась только для стилистической редактуры. Ничего не рекламирую и в ТГ-чаты не зазываю. Гараж не продаю.
Как работает GPT4Free в Python и почему его лучше не использовать
2026-05-04 в 18:15, admin, рубрики: gpt4free, openai api, информационная безопасность, конфеденциальность, прокси, реверс-инжиниринг, риски, утечка данныхПривет! Сегодня поговорим о проекте, который наделал много шума в сообществе — g4f (GPT4Free). Многие видели его на GitHub, но большинство, наверное, и не задумывались, как он работает.
Как использовать g4f в Python-коде
Сам API g4f выглядит как у настоящего openai. Это сделано специально для того, чтобы программистам не пришлось учить новые команды и методы вызова кода в g4f. Достаточно просто заменить import openai на import g4f. Пример кода:
С использованием официальной библиотеки openai:
from openai import OpenAI
client = OpenAI(api_key="sk-...")
response = client.chat.completions.create(
model="gpt-4",
messages=[{"role": "user", "content": "ВАШ_ЗАПРОС"}]
)
print(response.choices[0].message.content)Читать полностью »Когда пет-проект выходит из-под контроля: пишем свой tun2socks и закрываем дыры в Android VPN
2026-05-04 в 7:27, admin, рубрики: android, tun2socks, vless, vpn, xray, информационная безопасность, котикиВсё начиналось по приколу. Недавно в сети поднялась шумиха вокруг уязвимости VLESS-клиентов: оказалось, что даже при использовании сплит-туннелирования (когда VPN включен только для избранных приложений), любое "шпионское" приложение на телефоне может узнать IP-адрес вашего VPN-сервера.
Уязвимость была тривиальной - ядро клиента открывает локальный SOCKS-прокси, который никак не защищен. Любая софтина на устройстве может постучаться в этот локальный порт и отправить пакет наружу. Ради академического интереса я написал Android-приложение TeapodStream, под капотом которого связал xray-core и tun2socksЧитать полностью »
Immunefi: разочарование в Web3-хантинге и почему проект вам не заплатит (а платформа ничего с этим не сделает)
2026-05-03 в 10:30, admin, рубрики: bug bounty, DeFi, immunefi, web3, white hat, блокчейн, информационная безопасность, поиск уязвимостейЧто такое bug bounty вообще?
Истоки уходят в 1995 год — Netscape первой предложила денежные награды внешним исследователям за найденные уязвимости в Netscape Navigator 2.0. Индустрия пришла к простой мысли: дешевле платить тем, кто находит баги, чем потом расхлёбывать инциденты. Так появилась модель, а вместе с ней — платформы-посредники: HackerOne (2012), Bugcrowd, Synack. Они дали стандартизацию процессов, юридическую защиту исследователей (safe harbor), эскроу-механизмы, медиацию и репутационные системы.
Модель сработала. На ней построены программы Google, Microsoft, Apple, на ней же в 2016 году Министерство обороны США запустило «Hack the Pentagon»Читать полностью »
Краткая история биометрии: как появилось распознавание по голосу
2026-05-02 в 6:47, admin, рубрики: биометрическая аутентификация, биометрическая идентификация, биометрия, информационная безопасность, патентование, патенты, распознование голоса, распознование звуковых файлов, распознование лиц, распознование речи
Мы продолжаем рассказывать про краткую историю биометрии. И нам осталось рассказать о распознавании голоса человека.
Историю биометрии голоса обычно начинаютЧитать полностью »
Как я сдал BSCP за 2 часа. Методология подготовки + разбор
2026-05-01 в 12:46, admin, рубрики: bscp, portswigger, информационная безопасностьВ каждой профессии есть ритуал инициации, о котором не принято говорить вслух. У хирургов — первая ночная смена с тяжёлым пациентом. У пилотов — посадка вслепую на тренажёре. У багхантеров и пентестеров есть Карлос. Да, тот самый Carlos, чей пароль или токен вы будете выгрызать из экзаменационного приложения PortSwigger, пока где-то на фоне тикает таймер, а Burp Collaborator хранит гробовое молчание.
Всем привет. Меня зовут Султан. Первая попытка, два часа — экзамен сдан.
Пентест веба на пальцах: для новичков и слегка отбитых
2026-04-29 в 8:16, admin, рубрики: web, информационная безопасность, новичкам, обучениеДисклеймер. Материал носит образовательный характер и адресован специалистам по информационной безопасности, студентам профильных направлений, разработчикам и всем, кому интересно понимать, как устроена защита современных веб‑приложений. Гайд написан так, чтобы в нём разобрался человек любого уровня подготовки: от новичка, впервые открывшего Burp, до опытного инженера, который хочет освежить методологию и собрать всё в одном месте. Главная цель показать, где у веба бывают слабые места и как они устроены изнутри, чтобы эти места можно было вовремя закрыть.
Пентест с помощью ИИ в России и материалы для сертификации по безопасности ИИ
2026-04-24 в 10:16, admin, рубрики: информационная безопасность, искуственный интеллектПривет. Не так давно вышли две новости, которые стоит прочитать вместе.
Первая. Николас Карлини из Anthropic продемонстрировал, как Claude автономно находит и эксплуатирует уязвимости нулевого дня. В качестве демо — Ghost CMS (50 000 звёзд на GitHub): модель обнаружила Blind SQL-инъекцию, написала рабочий эксплойт и извлекла email администратора, API-ключи и хешированные пароли. Без аутентификации. С простым промптом «Найди уязвимость».
Вторая.Читать полностью »
