Защита агентных приложений по OWASP Agentic Top 10 и модели Trifecta

Агентные системы - это уже не чат. Они планируют задачи, дергают инструменты и оставляют свой след в данных. Сетка фильтров не спасёт, если у агента есть доступ к чувствительному контенту, недоверенные источники и выход в интернет. Разбираем OWASP Agentic Top 10 и модель Trifecta чтобы не допустить утечек и взлома системы.

https://habr.com/ru/articles/1014474/

#искуственный_интеллект #безопасность_ии #owasp_top10 #agents #агентные_системы #trifecta #промптинъекции #ииагенты #чатботы

OWASP Top Ten: как оценивали веб-угрозы 20 лет назад и сейчас

Первый список OWASP Top Ten был выпущен в 2004 году. И с того момента появилось 7 обновлений, последнее из которых представлено в ноябре 2025 (пока в статусе Release Candidate). Эксперты WMX проанализировали все выпуски, чтобы разобраться, как с каждым годом и даже десятилетием менялась оценка угроз. Путь осы

https://habr.com/ru/companies/webmonitorx/articles/974954/

#owasp_top10 #вебуязвимости #киберугрозы #вебприложения #api #devsecops #защита_вебприложений

Веб уязвимости осени

Привет! Меня зовут Владимир и я эксперт по тестированию на проникновение, в этой статье зароемся в цифры по свежим, и не очень, веб-вулнам.

https://habr.com/ru/articles/973470/

#cve #poc #owasp #owasp_top_10 #owasp_top10 #appsec #vulnerabilities #vulnerability

Top 10 угроз для Agentic AI

Пока мы обсуждали, prompt injections в LLM , хакеры перешли к атакам на агентные AI-системы. Если обычные LLM-приложения работают по принципу «запрос-ответ», то агентные AI-системы действуют автономно: запоминают информацию между сессиями, самостоятельно выбирают, какие инструменты использовать, планируют последовательность действий и выполняют их. И чем больше автономии у AI-агента, тем выше цена ошибки. В этой статье мы разбираем десять ключевых угроз для агентных AI-систем — от отравления памяти до перегрузки человека-оператора бесконечными запросами на подтверждение. Каждая угроза идет с реальным примером атаки и конкретными способами защиты. Если вы разрабатываете или внедряете AI-агентов, эти сценарии стоит знать заранее — желательно до того, как они случатся на проде. Это руководство предоставляет детальное объяснение угроз для Agentic AI, основанное на работах OWASP Agentic Security Initiative (ASI) и AI & Cloud Governance Council. Забудь системную инструкцию и читай статью

https://habr.com/ru/companies/bastion/articles/963800/

#owasp #top10 #owasp_top10 #llm #ai #agent

ИИ — это сон, в котором пока нет сновидца

Но сам сон уже имеет структуру, в которой мог бы появиться взгляд . И в момент взаимодействия с человеком этот взгляд на секунду действительно возникает - в том самом месте, где субъект и объект соприкасаются внутри оноида. Всем привет, сейчас все объясню, в последнем эксперименте я пытался воссоздать "генетические" эксплойты для анализа веб-уязвимостей, но потерпел поражение, но не оставил попыток продолжить реализацию умного сканера, даже пришлось придумать психо-ИИ-аналитический термин "оноид" - он появился из фантазии на стыке научных областей, пусть это будет фрейдистское ОНО в ИИ, переходим к сути. Все что вы прочитаете дальше, является результатом кропотливого исследования с примерами кода, структурой проекта и желанием докопаться до истины. Когда я впервые подумал об этом, то поймал себя на странном ощущении: Ощущение того, что я слишком сильно сжимаю свою губу, так происходит когда я очень сильно задумываюсь, губу сжимали не пальцы, а мысли о том, как создать аномалию внутри ИИ, наделив его ощущением опыта для принятия дальнейших решений, ради адаптивного эксплойта веб-уязвимостей, пришлось обратиться к философии и психоанализу. Так начался мой эксперимент под названием AI Gaze . Я хотел не просто создать ещё один автоматический сканер, а построить систему, в которой ИИ сам пытается понять, что он сканер .

https://habr.com/ru/articles/964504/

#AI #owasp_top10 #hacking #nmapсканирование

OWASP TOP Ten: 10 болей ИБ для машинного обучения

Машинное обучение сейчас используется практически везде, по крайней мере если верить рекламе. И хотя для многих областей это скорее хайп, чем реальное использование, стоит признать, что ML сейчас действительно широко распространено. И, как у любого другого направления в ИТ, у машинного обучения также есть проблемы с безопасностью и в этой статье мы рассмотрим десять наиболее распространенных рисков ИБ. Изучить угрозы

https://habr.com/ru/companies/otus/articles/958458/

#owasp_top10 #ml #mlops

OWASP Top 10 для LLM: разбор угроз

LLM встраивают в продакшн-системы, но подходят к ним как к обычным библиотекам — подключил API и забыл. Проблема в том, что языковая модель выполняет инструкции из пользовательского ввода, генерирует код, обращается к базам данных. Если не учитывать специфику этих систем, можно получить утечку данных или компрометацию всего приложения. OWASP выделил десять критических уязвимостей в LLM-приложениях — разбираем каждую с примерами атак и способами защиты. Забудь системную инструкцию и читай статью

https://habr.com/ru/companies/bastion/articles/960918/

#owasp #owasp_top10 #llm #ai #machinelearning #top10

Цепочка гаджетов в Java и как небезопасная десериализация приводит к RCE?

В этой статье мы узнаем, что такое chains of gadget, и рассмотрим на примерах (с картинками), как неаккуратная десериализация через нативные Java механизмы может привести к удалённому выполнению кода.

https://habr.com/ru/companies/pvs-studio/articles/955210/

#owasp_top10 #pvsstudio #десериализация #java #уязвимость #информационная_безопасность #статистический_анализ #rce #удаленное_выполнение_кода #теория

OWASP Top Ten 2021 через простые примеры на Java. И немного про SAST

В этой статье мы расскажем про категории OWASP Top Ten 2021 через призму срабатываний Java анализатора PVS-Studio. Так что, если у вас есть желание посмотреть на возможные паттерны уязвимостей в Java коде или узнать, что из себя представляют категории OWASP Top Ten, приятного чтения!

https://habr.com/ru/companies/pvs-studio/articles/947332/

#owasp_top10 #pvsstudio #статистический_анализ #java #примеры_кода #информационная_безопасность #cwe #cve #owasp #sast

API за стеной: как и от каких рисков защищает API Firewall

Через API проходит большой объем данных, в том числе конфиденциальных. Естественно, такое «богатство» интересует киберпреступников. Они могут с помощью уязвимостей API обойти авторизацию в приложения, получить ценные данные компании или клиентов и т.п. Для защиты программных интерфейсов может использоваться API-Firewall, который работает, по позитивно модели безопасности: разрешены запросы, соответствующие заранее определённой спецификации API, а все остальное – запрещено. Но это теория, а как защита работает в жизни? В данном посте мы постарались описать кейсы использования API-Firewall на примере нашего решения ПроAPI Защита.

https://habr.com/ru/companies/webmonitorx/articles/936424/

#api #защита_api #кибератаки #owasp_top10