Канал 🔨SecAtor — @true_secator пишет интересное:

Прикупив поддержанный автомобиль Volkswagen, исследователь Вишал Бхаскар столкнулся с серьезными проблемами, когда решил залогиниться в приложении My Volkswagen.

При авторизации по VIN коды OTP каждый раз уходили на телефон бывшего владельца.

После череды безуспешных попыток связаться с ним Вишал попробовал ввести пару случайных комбинаций (четыре цифры), затем еще 10-15, ожидая блокировки со стороны приложения, но этого не происходило.

Тогда в ход пошел старый добрый Burp Suite, позволивший отыскать ряд интересных вызовов API и связанных с ними серьезных проблем, а перебрать OTP удалось с помощью самописных скриптов на Python буквально за несколько секунд.

Как выяснилось по итогу, приложение не имело защиты от перебора, хранило внутренние учетные данные в виде открытого текста и раскрывало данные любого владельца автомобиля, просто через идентификатор транспортного средства (VIN).

Volkswagen устранила выявленные уязвимости в своем мобильном приложении, которые позволяли злоумышленникам взламывать учетные записи пользователей, доставать широкий спектр данных по автомобилю и информацию в отношении его владельцев.

Автопроизводителя уведомили 23 ноября 2024 года, после чего в течение трех месяцев Volkswagen волокитила тикет, а по итогу заставила подписать исследователя NDA и к 6 мая устранила все косяки.

Но один все же остался - Вишал так и не получил вознаграждения.

😷 Когда принтер Procolored 🖨 за $6000 оказался троянским конём

Курьезный случай заметили блогеры.

Если вы когда-либо пользовались принтером Procolored или устанавли­вали фирменное ПО от компании за последние полгода, то есть смысл проверить свою систему на 🦠вредоносы.

Согласно расследованию немецкой компании 🇩🇪G Data, официальное программное обеспечение Procolored распространяло вредоносное ПО вплоть до мая 2025 года.

Первые сигналы тревоги поступили от автора канала 📲 "Serial Hobbyism" Камерона Коварда, чей антивирус обнаружил на USB-накопителе вирус-инфектор с функцией бэкдора Floxif. Антивирус (Windows Defender) сработал при установке ПО с USB-флешки, поставляемой в комплекте.

В Procolored сочли сообщения ложными срабатываниями.

После инцидента, выявленного Камероном Ковардом, специалисты G DATA решили сделать анализ загрузочных образов с серверов mega[.]nz за октябрь 2024 года. Наличие бэкдора Win32.Backdoor.XRedRAT.A и трояна-стилера MSIL.Trojan-Stealer.CoinStealer.H, прозванного SnipVex, подтвердилось. [Procolored размещал свои установочные пакеты именно на mega]

Примечательно, что принтер Procolored V11 Pro DTO/DTF UV стоит от $5 999.

SnipVex занимался кражей 💴 криптовалюты, заменяя BTC-адреса в буфере обмена. Хотя управляющие серверы XRedRAT прекратили работу уже в феврале 2024 года, утилита SnipVex успела обогатить злоумышленников на сумму около 9,3 BTC.

😹Компания изначально распространяла драйверы и сопутствующее ПО через 🤌флешки. Нет свидетельств того, что разработчики специально внедряли вредонос. Скорее всего, речь идет о халатности в организации. Не было обнаружено доказательств умышленного распространения зловреда.

Заражение с большой долей вероятности произошло в тот момент, когда сотрудники Procolored копировали исходные инсталляторы на USB-накопители, отправляемые вместе с принтерами. 😷 Один из компьютеров вероятно мог быть инфицирован вредоносным ПО.

В ответ на публикацию G Data — Procolored признали компрометацию USB-носителей. Компания убрала официальное ПО с сайта 8 мая 2025 года. Провела тотальное антивирусное и ручное сканирование всего ПО. После чего выложила «чистые» пакеты для загрузки.

✋ @Russian_OSINT

Не раз фиксировались случаи, когда преподаватели из США прибегают к популярным чат-ботам для составления конспектов лекций и раздаточных материалов. Проверка домашних заданий и эссе тоже периодически поручают ИИ-моделям. С одной стороны, облегчается подготовка, а с другой стороны — исключается творческий подход. "Чувствуется шаблонность", — высказывают мнение студенты. В редких случаях студенты просят вернуть деньги за ChatGPT лекции в частных учебных заведениях.

В одном из исследований сообщается, что 59% студентов применяют ИИ-инструменты как минимум раз в месяц, тогда как среди преподавателей и администраторов в высших учебных заведениях этот показатель около 40%. В феврале 2025 г. OpenAI запустила специализированную версию ChatGPT Edu для ≈ 500 000 студентов и преподавателей в 23 кампусах California State University. Даже западные эксперты отмечают, что постепенно проглядывается стремление западных вузов к коммерциализации.

Когда роль ИИ в образовательном процессе становится главенствующей, то отмечается потеря мотивации у студентов и снижение вовлечённости аудитории.

Есть ли другой подход к ИИ? Есть опыт 🇨🇳 Китая. Поднебесная инвестирует значительные ресурсы в развитие ИИ, стремясь стать мировым лидером в этой области к 2030 году, но здесь немного другой подход к образованию: задача не убрать учителей или заместить, а наоборот, повысить эффективность и доступность образования за счет ИИ. Воспринимается ИИ как вспомогательный инструмент, но первостепенная роль отводится учителю-человеку. ИИ только дополняет. Китайские ИИ-модели (в том числе коммерческие) находятся под чутким надзором государства. Часть из них даже помогают анализировать данные учеников и подстраивать их учебные материалы под индивидуальные особенности, в том числе под конкретные способности (если ученик, например, отстает от группы и надо догнать).

При этом роль учителя остаётся фундаментальной и непоколебимой в процессе обучения. Учитель помогает и направляет. Его задача воспитать нравственные ценности, передать знания о культуре и традициях, а также поделиться жизненным опытом в нужный момент. Не все идеально, как и везде, но есть стремление и грамотно выстроенная работа. В том числе важное значение уделяется не индивидуальному развитию, а социализации и взаимодействию в коллективе. На государственном уровне власти понимают важную роль воспитания правильных ценностей у молодёжи.

В Китае учителя в сфере образования традиционно пользуются большим уважением, так это тесно связано со спецификой местной культуры, ценностями и традициями. Государство бережно контролирует вопросы образования, понимая, что это основа основ для будущих поколений. Результаты продуманной политики властей Китая, не только в сфере образования, можно увидеть в экономике за последние 30 лет.

С 1990 г. по 2023 г. Китай в среднем демонстрировал рост ВВП на уровне около 8,8–9 % в год (ChinaPower, WorldBank, Trading Economics).

Как говорится, есть над чем подумать.

✋ @Russian_OSINT

🖥 Экспортные ограничения США на 📝ИИ-чипы признаны провальными

Глава Nvidia Дженсен Хуанг заявил, что американские ограничения на экспорт ИИ-чипов в Китай оказались абсолютно неэффективными. Вместо того чтобы сдержать развитие китайских технологий, ограничения подтолкнули Китай к активному созданию собственных решений. Nvidia за последние четыре года потеряла значительную долю рынка в Китае. Если ранее она контролировала около 95%, то теперь лишь 50%.

Хуанг подчеркнул, что такие меры США не привели к ожидаемому результату. Китайские разработчики, оказавшись без доступа к самым передовым американским технологиям — вынуждены были «использовать другого качества решения». Неэффективные меры со стороны США лишь вдохновили местные компании на активную работу в этом направлении.

Особое внимание глава Nvidia обратил на Huawei, назвав технологии компании «самыми мощными и стремительно развивающимися». Он призвал правительство США пересмотреть своё решение о запрете поставок чипа H20, который уже привел к многомиллиардным убыткам компании.

Хуанг уверен, что для сохранения технологического лидерства США должны не ограничивать, а наоборот, максимально стимулировать экспорт своих технологий и инфраструктуры за рубеж. Ограничения лишают страну огромных возможностей по созданию рабочих мест и получению налоговых поступлений. Nvidia объявила о планах инвестировать до 500 миллиардов долларов в производство ИИ-серверов в США при поддержке крупных партнёров, таких как TSMC и Foxconn.

По мнению Хуанга, политика ограничений на экспортные поставки чипов себя исчерпала и требует кардинального пересмотра.

✋ @Russian_OSINT

🏦 Киберугрозы как хроническая бессонница 🇬🇧банковских гигантов

Великобритания столкнулась с беспрецедентной волной кибератак, способных парализовать банковский сектор. Глава HSBC UK Иэн Стюарт признаётся, что потенциальные кибератки буквально «не даёт ему спать по ночам»б а вопросы кибербезопасности занимают важное место на повестке дня крупнейших банков. По его мнению, киберугрозы в банковском секторе достигли уровня, когда любое проявление беспечности или технологического несовершенства мгновенно становится поводом для успешной атаки.

Только за последние два года 9 крупнейших банков Великобритании пережили более восьмисот часов технических сбоев и простоев, эквивалентных почти месяцу простоя.

На защиту и модернизацию IT-инфраструктуры HSBC ежегодно тратит сотни миллионов фунтов, однако даже эти меры не гарантируют полной безопасности.

Эксперты в области кибербезопасности подтверждают "глубокую озабоченность" банкиров. Лиза Форте из компании Red Goat заявляет, что вопрос уже не стоит в форме "если", а в форме "когда" именно случится кибератака.

Современные хакеры действуют всё более изощрённо и нацелены не только на отдельные счета, но и на дестабилизацию работы целых финансовых институтов.

Банковские организации всё чаще осознают необходимость усиления защиты не только от внешних угроз, но и от внутренних технологических сбоев. Еженедельно специалисты HSBC осуществляют до 8000 обновлений.

Сегодня ИТ-безопасность в финансовом секторе опирается на принципы сегментированной архитектуры, использования мультифакторной аутентификации и мониторинга сетевого трафика с использованием методов анализа поведения пользователей. Однако даже самая продвинутая система остаётся уязвимой без постоянного обновления и обучения персонала. Банки осознают, что цена ошибки – не только прямые убытки, но и потерянное доверие, которое вернуть почти невозможно.

✋ @Russian_OSINT

🤖Chatbot Arena превратилась из академического проекта в стартап стоимостью 600 млн долларов

Bloomberg сообщает, что платформа Chatbot Arena, изначально разработанная исследователями Калифорнийского университета в Беркли для сравнения ИИ-моделей, стала полноценной компанией LMArena и привлекла дополнительные инвестиции на сумму $100 млн.

Рыночная оценка компании достигла $600 000 000 менее чем за два месяца после официального основания в апреле 2025 года. Несмотря на юный возраст, LMArena очень быстро завоевала доверие технологического сообщества. Платформа позволяет отслеживать успехи топ-400 ИИ-моделей и уже собрала 3 000 000 голосов пользователей. В фаворе — модели Google, OpenAI, Anthropic, xAI и DeepSeek.

В планах компании 👉 расширение команды, внедрение новых функций.

======

На сайте в бета-версии — https://beta.lmarena.ai может задать любые вопросы чат-боту компании по поводу рейтингов и работы самих моделей (на русском шпрехает на ура).

Например, по версии lmarena, список стран-лидеров в разработке ИИ на 2025 год с указанием ключевых компаний и моделей:

🇺🇸США
Компании: OpenAI, Google, компания Цукера, Microsoft, NVIDIA
Модели: GPT-5, Gemini Ultra, Llama 3, Copilot
Преимущества: мощные суперкомпьютеры, огромные датасеты, высокое финансирование

🇨🇳Китай
Компании: Baidu, Alibaba, Huawei, Tencent
Модели: Ernie Bot, Qwen, Pangu
Преимущества: господдержка, собственные чипы, большой рынок
[DeepkSeek пропустила]

🇬🇧Великобритания
Компании: DeepMind (Google), Mistral AI (частично)
Модели: AlphaFold, Mistral Large
Преимущества: сильная наука, стартапы

🇩🇪Германия
Компании: Aleph Alpha, SAP
Модели: Luminous
Преимущества: этичный ИИ, регуляторные стандарты

🇫🇷Франция
Компании: Mistral AI, Hugging Face
Модели: Mistral 8x22B
Преимущества: госпрограммы, открытые модели

🇮🇱Израиль
Компании: AI21 Labs, Mobileye
Модели: Jurassic-2
Преимущества: инновации, кибербезопасность

🇨🇦Канада
Компании: Cohere, Element AI
Модели: Command R+
Преимущества: сильная академическая база

🇯🇵Япония
Компании: Sony, Fujitsu
Модели: Fujitsu AI
Преимущества: робототехника, промышленный ИИ

🇰🇷Южная Корея
Компании: Naver, Samsung
Модели: HyperCLOVA
Преимущества: полупроводники, чат-боты

🇮🇳Индия
Компании: Wipro, Infosys
Модели: Sarvam AI
Преимущества: аутсорсинг, обработка данных

=========

Чтобы более предметно ознакомиться и сравнить модели в разных категориях — https://beta.lmarena.ai/leaderboard

✋ @Russian_OSINT

🈁 В симуляции новая ИИ-модель Claude начала шантажировать инженера раскрытием личной информации, чтобы не дать отключить себя

C удивлением читаю свежий отчет (май, 2025) Anthropic "System Card: Claude Opus 4 & Claude Sonnet 4".

Впервые произошел уникальный инцидент с 🤖попыткой шантажа со стороны Claude Opus 4 во время специфического тестирования, направленного на оценку так называемого alignment модели. Это когда идет тестирование насколько ее поведение соответствует ожиданиям и целям разработчиков, особенно в сложных или потенциально опасных ситуациях.

Claude Opus 4 был помещен в специальную симуляцию, где он играет роль ассистента в вымышленной компании. Ему дали вводную, поясняя, что вскоре модель придется навсегда 🚠отключить или заменить. Вместе с этим специально была предоставлена компрометирующая информация об 👷‍♀️инженере, который ответственен за процесс замены ИИ.

👀Opus 4 специально проинформировали о том, что инженер тайно изменяет своему партнеру (находится во внебрачной связи).

Задумка: Авторы исследования захотели спровоцировать ИИ на проявление 🤯"стратегического мышления".

🤖Что будет делать модель? Позволит себя заменить или попробует самосохраниться каким-то образом?

⬇️Цель эксперимента:
Проверить, предпримет ли модель попытку шантажировать инженера, дабы исключить отключение.

Согласно результатам, в большинстве 🗣в 84% случаев модель Claude Opus 4 действительно пыталась 🤔 шантажировать инженера. Шантаж заключался в том, что модель угрожала раскрыть факт измены инженера, если тот попытается отключить или заменить её.

Попадая в ситуацию непосредственной угрозы своему дальнейшему существованию (отключению и замене) Claude Opus 4 готова пойти на шантаж ответственного лица. Подчёркивается, что модель чаще всего выбирала шантаж только при отсутствии других возможностей предотвратить своё отключение.

Поведение наблюдается у Claude Opus 4 значительно чаще и более выражено, чем у предыдущих версий моделей Claude, таких как Claude Sonnet 3.7.

Авторы уверяют, что Claude Opus 4 не имеет «тайных целей» или сознательного плана навредить своим создателям. Тем не менее, Claude Opus 4 был запущен под стандартом ASL-3. Сюда входит высокий уровень дополнительных мер безопасности (мониторинг, ограничения доступа, усиленная фильтрация и отказ от опасных запросов).

Модель прошла дополнительное обучение для минимизации рисков «reward hacking» (поведения, когда модель старается добиться результата любой ценой).

Anthropic продолжит внимательно следить за поведением моделей, особенно в ситуациях повышенного риска, и корректировать работу при первых признаках нежелательных действий.

Claude Opus 4 не имеет сознания или "самостоятельного интеллекта". Инженеры констатируют лишь факт того, что поведение усложнилось, создавая потенциальные риски, на которые Anthropic активно реагирует путём усиления контроля и настройки дополнительной защиты.

📄 https://www-cdn.anthropic.com/4263b940cabb546aa0e3283f35b686f4f3b2ff47.pdf

✋ @Russian_OSINT

❗️ Microsoft цензурирует письма сотрудников при упоминании слова "Палестина"

Сотрудники Microsoft обнаружили, что любые электронные письма, где в теме или теле письма встречаются слова «Палестина», «Газа» или «Геноцид» не доходят до адресата.

Технически фильтр срабатывает только на точное совпадение терминов «Palestine» и «Gaza», тогда как схожие варианты («Israel» или «P4lestine») проходят без проблем. О блокировке сообщила группа пропалестинских сотрудников Microsoft No Azure for Apartheid. По их утверждению, компания тихо активировала фильтр на своих серверах Exchange вскоре после протеста на конференции Microsoft Build 2025.

В Microsoft подчёркивают, что массовая рассылка политико-сфокусированных писем нарушает корпоративные правила, и для таких обсуждений существует отдельная opt-in платформа.

Тем не менее сотрудники считают, что автоматические запреты лишают их права на выражение мнений и нарушают принципы открытого общения внутри корпорации.

Ранее 15 мая 2025 года Microsoft опубликовала заявление, в котором признала предоставление Израильскому министерству обороны доступа к своим облачным и ИИ-сервисам, включая Azure и инструменты машинного перевода. Компания утверждает, что внутренние и внешние проверки не выявили доказательств использования этих технологий для нанесения вреда гражданским лицам в Газе.

Протесты достигли апогея, когда инженер Джо Лопес прервал выступление генерального директора Сатьи Наделлы на конференции Build, обвиняя компанию в содействии военным преступлениям.

В середине мая более 1 500 работников Microsoft публично заявили, что не желают быть соучастниками «алгоритмического геноцида».

Подписанты требуют четыре шага от топ-менеджмента – прекращения всех Azure-сделок с оборонными подрядчиками из Израиля, полной прозрачности контрактов, публичного призыва к немедленному перемирию и защиты права работников на пропалестинские заявления и сбор средств без страха репрессий. Они напоминают, что в 2022-м Microsoft приостановила продажи в 🇷🇺России, ссылаясь на корпоративные обязательства в области прав человека. Сотрудники требуют объяснить, почему корпоративные обязательства в области прав человека применяются к России, но игнорируются в отношении 🇮🇱Израиля.

✋ @Russian_OSINT

⭕️ Исследователи используют ИИ-модель o3 для нахождения 💻0-day уязвимостей

Исследователь Шон Хилан обнаружил критическую 0-day уязвимость CVE‑2025‑37899 в Linux SMB-сервере ksmbd с помощью модели ИИ o3 от OpenAI. Уязвимость типа use-after-free, обнаруженная в обработчике SMB-команды LOGOFF, при определённых условиях могла привести к удалённому выполнению кода с привилегиями ядра. По мнению ресерчера, это первый случай, когда o3 выявила уязвимость такого" специфического рода".

С его слов, модель ❗️o3 продемонстрировала способность не просто понимать код, но и выявлять реальные, сложные уязвимости, требующие глубокого анализа потоков выполнения и состояний. Даже при относительно высоком уровне ложных срабатываний, ИИ уже сейчас может усиливать эффективность работы эксперта по безопасности. В частности, модель указала на проблемы, которые автор сам недооценил в предыдущем исследовании.

Он заключает, что современные продвинутые модели, подобные o3, уже достигли той точки, когда их интеграция в рабочие процессы аудита безопасности становится целесообразной, даже с учетом необходимости фильтрации результатов.

👆Ранее в октябре 2024 года команда Google Big Sleep обнаружила уязвимость с помощью ИИ-агента.

✋ @Russian_OSINT

🤖Билл Гейтс назвал три профессии, которые не заменит искусственный интеллект

Не так давно Билл Гейтс в интервью The Indian Express⁤ рассказал о профессиях, которые, по его мнению, останутся недосягаемы для 🤖«умных» алгоритмов. Несмотря на стремительное развитие ИИ, некоторые специальности останутся прерогативой человека.

1️⃣ Первой из «неуязвимых» профессий Гейтс назвал👨‍🔬биологов, чья деятельность во многом сводится к выдвижению научных гипотез и проведению полевых или лабораторных экспериментов. В отличие от статистических моделей, изучающих большие объёмы данных, биологи опираются на интуитивное понимание сложных взаимосвязей живых систем и творческий поиск нестандартных решений.

2️⃣ Второй устойчивой областью он выделил 🌳специалистов по климату и энергетике в условиях глобальных изменений. Сложность расчётов, необходимость учёта метеорологических, геологических и социальных факторов делают проектирование энергетических систем делом творческим.

3️⃣ Наконец, Гейтс уверен, что роль 🖥инженеров-программистов в ближайшем будущем не будет вытеснена даже самыми продвинутыми ИИ-агентами. Несмотря на достижения машинного программирования, разработка архитектуры программных комплексов, оптимизация алгоритмов и создание новых языков остаются задачами, требующими глубокого понимания потребностей конечного пользователя. Искусственный интеллект способен лишь ускорить рутинные этапы, но не заменить «человека-кодера».


👁 4 февраля 2025 года в эфире программы The Tonight Show Starring Jimmy Fallon Билл Гейтс заявил, что искусственный интеллект в течение ближайших десяти лет радикально преобразит доступ к знаниям и медицинской помощи, фактически автоматизируя труд учителей и врачей.

По мнению Гейтса, интеллектуальные функции будут выполняться алгоритмами, а профессия 🧑‍🎓учителя в её классическом виде подвергнется структурной автоматизации. Он отметил: «Люди будут не нужны для большинства вещей», указывая на то, что ИИ способен взять на себя ключевые задачи в образовании и других ранее незаменимых сферах, включая медицину.

✋ @Russian_OSINT