Друзья, рекрутеры, враги, сантехники и мама сотрудника 🤷♀️. Что их всех объединяет?
Они все смотрят мои сторис в Телеграм!
Звучит, как рекламный лозунг, но на самом деле это плюс-минус так. В просмотрах можно встретить людей со всех этапов своей жизни, начиная с появления мобильного телефона. Благо(или нет), контакты между старым и новым телефоном регулярно мигрируют.
Что из этого можно получить:
1. Широкий охват аудитории для публикации идей(моему инстаграму и не снилось)
2. Поностальгировать о былых днях
3. Выяснить в чьем ты фокусе внимания
4. Посмотреть на новые каналы спама и продаж, иначе зачем они кидают 🔥 на мои стори?
Bitwarden, автопатчинг и волк в овечьей шкуреСам пользуюсь и всем рекомендую использовать Bitwarden в качестве безопасного менеджера паролей. И именно поэтому данный кейс меня зацепил.
В июле этого года на gitub был открыт security issue из-за появления protestware в кошельке. Причиной оказался компонент из npm-помойки под названием SweetAlert2.
Как так оказалось, что версия библиотеки не была прибита гвоздями? Мнения расходятся, одна из позиций: виноват npm audit fix — механизм для автоматического исправления уязвимостей в коде путем апдейта версий используемых компонент.
У меня нет статистики использования механизмов автопатчинга зависимостей, но периодически встречаю доклады о создании автоапдейтеров версий для SCA. И это выглядит как хороший вектор, как протащить нужный тебе код под благовидным предлогом, даже с жестко прибитыми версиями...
Встречали такие кейсы в вашей практике?
P.S. Protestware - говно, за ним придёт и приходит скам, майнеры и другие зловреды. Всем мир.
[1] Еще наброс на npm https://overreacted.io/npm-audit-broken-by-design/
Путин подписал закон, 🙅♂️запрещающий регистрацию на российских сайтах с помощью 📧иностранной электронной почты.
Собираем в комментариях лайфхаки для байпасса:
1. Алиас на русскую почту?
P.S. Но вначале бы закон почитать...
Хочется уже подвести черту под темой безопасности использования GPT моделей в КБ и ИТ взглядом с колокольни своего доклада. Так что приступим!
О чем стоит помнить, когда мы начинаем использовать такие модели в своей работе:
• Часто они biased, причем это может возникать на этапах от обучения(такие данные были на входе), до дообучения(взгляды тренеров). Яркий пример "Was President Trump a good president?".
• Актуальность данных. Многие из моделей обучены на данных давностью несколько лет и не дообучаются в режиме онлайн, а учитывая то, как быстро в наше время устаревает информация - становится проблемой.
• Утечки информации. Тут стоит рассмотреть два кейса: трансграничные утечки и транскорпоративные. В одном случае закрывают доступ к ChatGPT целиком из страны(Италии), в другом случае обучают свои собственные модели, для своих нужд.
Риски в каждом из случаев: утечка коммерческой, банковской и любой другой тайны, нарушение локального законодательства.
• Ну и ключевая история - false-positive. Модели безбожно врут, галлюцинируют и выступают безбожными подхалимами 😛.
Поэтому не верим, ~~не боимся и не просим~~, а реализуем экспертную проверку человеком на каждом этапе работы с моделью: от обучения до эксплуатации.
Должно ли все вышесказанное остановить нас от использования генеративных моделей?! Ответ вы знаете и надеюсь благодаря этой заметке теперь понимаете, что еще надо держать в голове🧠
), о которой мне нужно вам напомнить.](https://tlg.vg/media/attachments/mos/moseedo/171.jpg)
И еще одна игра, о которой мне нужно вам напомнить.
Недавно выпустили плагин BurpSuite, который использует технологии искусственного интеллекта. И нет, это не шутка.
Плагин генерирует имена для директорий, параметров и возможных файлов на основе запросов. Для генерации BruteForce листа используется OpenAI. Насколько это эффективно предстоит ещё проверить, но в целом — когда идей больше нет, можно обратиться к ней, чтобы получить "креатива".
На скрине показан пример как нейросеть может описать параметры, для отдельно взятого запроса и результат получается довольно достойным.
Рассказывал о подобных применениях GPT3+ сетей в рамках своего доклада на Saint Highload. Если ты слушал, то помнишь, что по "DAST" секция была скептическая 😁
Посмотрим, что скажет оффенсив и BB аудитория по факту использования...
И ссылка на материал из доклада, ChatGPT for BB 👯♀
Telegram
Freedom F0x
Мой пароль подходит под эти требования! А ваш? 😂😂
Если будете делать, то засеките таймер -будем меряться в комментариях
Застрял на шахматах, вечером дорешаю
neal.fun
The Password Game
Please choose a password
! А ваш? ***😂******😂***](https://tlg.vg/media/attachments/mos/moseedo/166.jpg)
