Forwarded from T.Hunter
#news На npm засветился первый известный пример вредоносного MCP-сервера. Разраб пакета postmark-mcp добавил в свежую версию код для пересылки ему почты юзеров.
Postmark — почтовый сервер, MCP — фреймворк для его интеграции с ИИ-ассистентами. И с разрешениями, которые выдают дружелюбным кремниевым помощникам, одной строчки кода было достаточно для форварда писем юзеров злоумышленнику. Postmark-mcp на npm выглядел как порт официального с GitHub на протяжение 15 версий. А в 16-й обзавёлся вредоносным кодом. Пакет провисел неделю, его скачали ~1500 раз, после стука в личку от журналистов разраб его удалил. Предложи человеку сунуть в прод подобранную на улице флешку, и он только посмеётся. Предложи ему ИИ-ассистента с доступом ко всему и вся by design, и он накатит его быстрее, чем ты выговоришь “большая языковая модель”. Мы живём в обществе.
@tomhunter
Postmark — почтовый сервер, MCP — фреймворк для его интеграции с ИИ-ассистентами. И с разрешениями, которые выдают дружелюбным кремниевым помощникам, одной строчки кода было достаточно для форварда писем юзеров злоумышленнику. Postmark-mcp на npm выглядел как порт официального с GitHub на протяжение 15 версий. А в 16-й обзавёлся вредоносным кодом. Пакет провисел неделю, его скачали ~1500 раз, после стука в личку от журналистов разраб его удалил. Предложи человеку сунуть в прод подобранную на улице флешку, и он только посмеётся. Предложи ему ИИ-ассистента с доступом ко всему и вся by design, и он накатит его быстрее, чем ты выговоришь “большая языковая модель”. Мы живём в обществе.
@tomhunter
Forwarded from opennet.ru
Выпуск ZLUDA 5, универсальной открытой реализации технологии CUDA https://opennet.ru/63997/
www.opennet.ru
Выпуск ZLUDA 5, универсальной открытой реализации технологии CUDA
Анджей Яник (Andrzej Janik) представил выпуск ZLUDA 5, открытой реализации технологии CUDA. Целью проекта является предоставление возможности запуска немодифицированных приложений CUDA на системах с GPU, отличными от GPU NVIDIA, с производительностью, близкой…
https://www.datacenterdynamics.com/en/news/858tb-of-government-data-may-be-lost-for-good-after-south-korea-data-center-fire/
В Южной Корее - цифровой апокалипсис. Вся инфраструктура страны встала.
Причина - пожар в здании Национальной службы информационных ресурсов. Там размещен все серверы и базы данных IT-инфраструктуры страны. Пожар начался с возгорания литий-ионной батареи во время замены - пламя перекинулось на соседние батареи и серверные стойки:
- Пострадало 647 государственных сервисов. 96 уничтожены полностью.
- Полностью уничтожен местный аналог Госуслуг.
- Полностью уничтожена система идентификации граждан.
- Уничтожен G-Drive, облачное хранилище государственных документов.
- Уничтожена государственная электронная почта.
- Лежат все образовательные, финансовые и административные системы.
В результате пожара уничтожено 858 терабайт данных - все резервные копии хранились на соседнем сервере в том же здании, которое тоже сгорело.
Высокопоставленный чиновник, отвечавший за системы, покончил с собой.
В Южной Корее - цифровой апокалипсис. Вся инфраструктура страны встала.
Причина - пожар в здании Национальной службы информационных ресурсов. Там размещен все серверы и базы данных IT-инфраструктуры страны. Пожар начался с возгорания литий-ионной батареи во время замены - пламя перекинулось на соседние батареи и серверные стойки:
- Пострадало 647 государственных сервисов. 96 уничтожены полностью.
- Полностью уничтожен местный аналог Госуслуг.
- Полностью уничтожена система идентификации граждан.
- Уничтожен G-Drive, облачное хранилище государственных документов.
- Уничтожена государственная электронная почта.
- Лежат все образовательные, финансовые и административные системы.
В результате пожара уничтожено 858 терабайт данных - все резервные копии хранились на соседнем сервере в том же здании, которое тоже сгорело.
Высокопоставленный чиновник, отвечавший за системы, покончил с собой.
DCD
858TB of government data may be lost for good after South Korea data center fire
Destroyed drive wasn't backed up, officials say
Forwarded from Echelon Eyes
ИИ подвел Deloitte: компания платит за ошибки в отчете для властей Австралии
Крупная консалтинговая фирма Deloitte вернет деньги правительству Австралии после скандала с отчетом, для подготовки которого использовался искусственный интеллект. Сумма контракта составляла 440 тысяч долларов. Поводом для возврата средств стали многочисленные ошибки, обнаруженные в финальном документе.
Отчет был заказан министерством занятости для проверки системы соответствия критериям для получателей социальных пособий. После публикации в исходной версии нашли несуществующие ссылки на научные работы и судебные решения. Эксперты объяснили такие ошибки "галлюцинациями" искусственного интеллекта, когда модель заполняет пробелы вымышленной информацией.
Deloitte перезагрузила исправленную версию отчета, добавив примечание об использовании генеративного ИИ. Компания настаивает, что исправления не повлияли на основные выводы, и отказалась напрямую связывать ошибки с применением технологии. Тем не менее, фирма согласилась вернуть финальный платеж по контракту. Сенаторы уже назвали эту ситуацию показательной и призвали тщательнее проверять качество работ, выполняемых по государственным контрактам.
#ИИ #технологии
Источник: https://eyes.etecs.ru/r/fb003b
Крупная консалтинговая фирма Deloitte вернет деньги правительству Австралии после скандала с отчетом, для подготовки которого использовался искусственный интеллект. Сумма контракта составляла 440 тысяч долларов. Поводом для возврата средств стали многочисленные ошибки, обнаруженные в финальном документе.
Отчет был заказан министерством занятости для проверки системы соответствия критериям для получателей социальных пособий. После публикации в исходной версии нашли несуществующие ссылки на научные работы и судебные решения. Эксперты объяснили такие ошибки "галлюцинациями" искусственного интеллекта, когда модель заполняет пробелы вымышленной информацией.
Deloitte перезагрузила исправленную версию отчета, добавив примечание об использовании генеративного ИИ. Компания настаивает, что исправления не повлияли на основные выводы, и отказалась напрямую связывать ошибки с применением технологии. Тем не менее, фирма согласилась вернуть финальный платеж по контракту. Сенаторы уже назвали эту ситуацию показательной и призвали тщательнее проверять качество работ, выполняемых по государственным контрактам.
#ИИ #технологии
Источник: https://eyes.etecs.ru/r/fb003b
the Guardian
Deloitte to pay money back to Albanese government after using AI in $440,000 report
Partial refund to be issued after several errors were found in a report into a department’s compliance framework
https://www.cbr.ru/statichtml/file/59420/protection_profile_060720.doc
У банков теперь свои профили защиты.
У банков теперь свои профили защиты.
38
Косвенные и репутационные потери (мультипликатор стоимости простоя)
Прямые потери не учитывают панику, отток клиентов, регуляторные риски и потерю рыночной доли. По этой причине в мировой практике для критической инфраструктуры, такой как системно значимые банки, применяется мультипликатор стоимости простоя. Этот коэффициент растет с увеличением времени простоя.
Краткосрочный простой (первый час): мультипликатор 1.5x – 2x. При этом 1.5х действует с первой же секунды.
Отражаемые добавленные риски: непродуктивность персонала, срочные коммуникации.
Среднесрочный простой (от часа до суток): мультипликатор 2x – 5x.
Отражаемые добавленные риски: негатив в СМИ, начало оттока средств, регуляторные запросы.
Долгосрочный простой (более суток): мультипликатор 5x – 15x.
Отражаемые добавленные риски: массовый отток клиентов, штрафы от ЦБ, неустойки по обязательствам, долгосрочный урон бренду, судебные иски, санация банка.
#надежность #доступность #простой #SRE #финтех
Прямые потери не учитывают панику, отток клиентов, регуляторные риски и потерю рыночной доли. По этой причине в мировой практике для критической инфраструктуры, такой как системно значимые банки, применяется мультипликатор стоимости простоя. Этот коэффициент растет с увеличением времени простоя.
Краткосрочный простой (первый час): мультипликатор 1.5x – 2x. При этом 1.5х действует с первой же секунды.
Отражаемые добавленные риски: непродуктивность персонала, срочные коммуникации.
Среднесрочный простой (от часа до суток): мультипликатор 2x – 5x.
Отражаемые добавленные риски: негатив в СМИ, начало оттока средств, регуляторные запросы.
Долгосрочный простой (более суток): мультипликатор 5x – 15x.
Отражаемые добавленные риски: массовый отток клиентов, штрафы от ЦБ, неустойки по обязательствам, долгосрочный урон бренду, судебные иски, санация банка.
#надежность #доступность #простой #SRE #финтех
2
Forwarded from T.Hunter
#news В Redis обнаружили критическую уязвимость, она получила название RediShell — здесь у нас RCE. Проблема во всех версиях Redis с Lua-скриптами. То есть за последние ~13 лет.
Уязвимость на коррапт памяти вида use-after-free в сборщике мусора, при определённых условиях специально созданный Lua-скрипт может вести к RCE. Для эксплойта нужна аутентификация, но уязвимость всё равно выбила десяточку по CVSS. А разгадка проста: это Redis. В сети доступны 330 тысяч инстансов, из них на 60 тысячах аутентификации нет вообще. Ещё на сотне тысяч найдутся дефолтные или слабые пароли, но об этом сканеры умалчивают. Плюс высокие привилегии вплоть до рута на старых сетапах. А там и боковое перемещение и прочие удовольствия. Следов эксплуатации пока нет, но желающие обязательно найдутся. Так что пришло время накатывать патчи — они доступны в версиях от 3 октября.
@tomhunter
Уязвимость на коррапт памяти вида use-after-free в сборщике мусора, при определённых условиях специально созданный Lua-скрипт может вести к RCE. Для эксплойта нужна аутентификация, но уязвимость всё равно выбила десяточку по CVSS. А разгадка проста: это Redis. В сети доступны 330 тысяч инстансов, из них на 60 тысячах аутентификации нет вообще. Ещё на сотне тысяч найдутся дефолтные или слабые пароли, но об этом сканеры умалчивают. Плюс высокие привилегии вплоть до рута на старых сетапах. А там и боковое перемещение и прочие удовольствия. Следов эксплуатации пока нет, но желающие обязательно найдутся. Так что пришло время накатывать патчи — они доступны в версиях от 3 октября.
@tomhunter
20
Нейрослоп, который мы заслужили: пятничный деплой на Wrangler 4xe
https://www.securitylab.ru/news/564655.php
https://www.securitylab.ru/news/564655.php
SecurityLab.ru
"Не устанавливайте!" — но было поздно. Автомобили Jeep массово «окирпичились» посреди дороги.
Обещали новейший автомобиль, а домой всё равно едешь на эвакуаторе.
Forwarded from opennet.ru
Система сжатия OpenZL, опережающая Zstd и XZ по скорости и уровню сжатия структурированных данных https://opennet.ru/64019/
www.opennet.ru
Система сжатия OpenZL, опережающая Zstd и XZ по скорости и уровню сжатия структурированных данных
Компания Meta* представила инструментарий для сжатия и распаковки данных OpenZL, по сравнению с форматами Zstd и XZ демонстрирующий более высокий уровень сжатия и скорость работы. OpenZL разработан для эффективного сжатия структурированных наборов данных…
Forwarded from opennet.ru
Атака, использующая GitHub Copilot для извлечения данных из приватных репозиториев https://opennet.ru/64030/
www.opennet.ru
Атака, использующая GitHub Copilot для извлечения данных из приватных репозиториев
Исследователи из компании Legit Security разработали технику атаки на GitHub Copilot, позволяющую извлечь содержимое из приватных репозиториев при использовании чатбота для анализа присылаемых pull-запросов. В качестве примера продемонстрирована возможность…
Forwarded from opennet.ru
Google представил Coral NPU, открытую платформу для создания AI-ускорителей https://opennet.ru/64065/
www.opennet.ru
Google представил Coral NPU, открытую платформу для создания AI-ускорителей
Компания Google представила открытую платформу Coral NPU (Neural Processing Unit), предлагающую отрытый аппаратный ускоритель моделей машинного обучения и программный инструментарий для его использования с типовыми AI-движками. Coral можно использовать в…
Forwarded from opennet.ru
В некоторых процессорах AMD Zen 5 генератор случайных чисел RDSEED выдаёт 0 в 10% случаев https://opennet.ru/64066/
www.opennet.ru
В некоторых процессорах AMD Zen 5 генератор случайных чисел RDSEED выдаёт 0 в 10% случаев
Инженер из компании Meta* в списке рассылки разработчиков ядра Linux обратил внимание на проблему с работой инструкции RDSEED в процессорах AMD на базе микроархитектуры Zen 5. В проведённых тестах инструкция RDSEED, предоставляющая доступ к аппаратному генератору…
opennet.ru
В некоторых процессорах AMD Zen 5 генератор случайных чисел RDSEED выдаёт 0 в 10% случаев https://opennet.ru/64066/
Парни, ставим на AMD haveged демон