🐴 Троян в коде: чем опасны AI-агенты

Искусственный интеллект уже стал неотъемлемой частью бизнес-процессов, но вместе с возможностями приходят и риски.

По данным Национального центра искусственного интеллекта при Правительстве России, 43% российских компаний используют искусственный интеллект в своей работе, но только у 36% есть хотя бы минимальные политики безопасности в этой области. Злоумышленники справедливо полагают, что ИИ стал уязвимым местом, и активно этим пользуются.

— отметил Антон Башарин, старший управляющий директор AppSec Solutions.

AI-агентов можно «отравить» данными, перегрузить, использовать для каскадных атак или внедрения бэкдоров. Без политики безопасности и контроля такие инструменты превращаются в идеальную точку входа, становясь своего рода «троянским конем».

💡 Совет от эксперта:

Подход к ИИ должен быть таким же, как к любым цифровым сервисам. Безопасность по умолчанию, инструментальный аудит, регулярная проверка архитектуры. MLSecOps — не мода, а необходимость.

➡️ Подробнее рассказали на CNews.

Как уязвимость в AI-ассистентах открывает доступ к почте

На Хабре вышла новая статья Юрия Шабалина, директора продукта Стингрей. Он обнаружил типовую, но опасную ошибку, которую копируют из туториалов по созданию персонального AI-ассистента. Оказалось, что из-за одной неявной настройки можно случайно открыть доступ к почте, календарю, контактам и другим персональным данным.

➡️ Читайте статью на Хабре и смотрите видео Юрия о том, как используется эта уязвимость.

👍 Если вы создаете собственного AI-агента, не важно на какой платформе — не забудьте проверить его на типичные уязвимости, особенно связанные с LLM. Проявите бдительность, и ваши «Джарвисы» будут служить именно вам, а не посторонним.

#Экспертиза_AppSec

AppSec Solutions на IT IS conf уже завтра

🎙 19 июня в 17:30 на конференции IT IS conf Антон Башарин, старший управляющий директор AppSec Solutions, выступит с докладом «ASPM в цифрах, или почему без помощи искусственного интеллекта не обойтись».

О чем расскажем:

🔹 Как с помощью искусственного интеллекта автоматизировать и ускорить обработку уязвимостей

🔹 Как языковые модели (Large Language Models) и обучение с подкреплением (Reinforcement Learning) обеспечивают более точный триаж

🔹 Почему интеграция платформы ASPM с ИИ — это следующий шаг в развитии процессов ИБ

IT IS conf — конференция о трендах в ИТ и ИБ, на которой эксперты обсуждают комплексный подход к кибербезопасности и современные технологии.

➡️ До встречи в Екатеринбурге или подключайтесь к прямой трансляции мероприятия!

#AppSec_Мероприятия

⚠️ Крупнейшая утечка паролей в истории

О чём речь: Сегодня стало известно о самой крупной утечке паролей за всю историю интернета. В распоряжении злоумышленников оказались 16 миллиардов паролей пользователей различных сервисов!

Кто пострадал: Утечка затронула миллионы пользователей Apple, Google, Telegram и других популярных сервисов.

Юрий Шабалин, директор продукта Стингрей, прокомментировал Коммерсант FM, что могут делать злоумышленники с этими данными:

🔹 Пробовать полученные комбинации логинов и паролей на сторонних сервисах. Пользователи могут столкнуться с массовой принудительной сменой паролей в этих сервисах.

🔹 Прикидываться сервисами, у которых произошла утечка, и рассылать фишинговые письма о компрометации учетной записи и необходимости смены пароля.

Немаловажный момент: для того чтобы обработать такой объём информации, злоумышленникам требуется время.

💡 Что делать: Специалисты настоятельно рекомендуют немедленно изменить пароли ко всем своим аккаунтам и включить двухфакторную аутентификацию.

#Кибератаки #Хакеры #Утечка_данных

Госсектор ищет безопасное применение нейросетей

Правительство приступило к внедрению ИИ в управление, экономику и социальную сферу. Однако, по данным AppSec Solutions, только треть компаний, внедривших нейросети, обеспечили их защиту.

Новые угрозы:
▶️Обучение на зараженных датасетах — позволяет злоумышленнику получить доступ в систему
▶️Злонамеренные запросы — перегружают ИИ-агентов, что чревато остановкой процессов и вынужденными инвестициями в инфраструктуру
▶️Автономный сбор, хранение и передача данных без должного контроля

Современные ИИ-модели могут не только обрабатывать данные, но и самостоятельно собирать, хранить и передавать информацию о пользователях, зачастую без должных ограничений. Особенно уязвимыми становятся ИИ-ассистенты, встроенные в корпоративную инфраструктуру. Они получают доступ
к клиентским базам, внутренним документам и системам управления и могут стать источником утечек.

— рассказал Антон Башарин, старший управляющий директор AppSec Solutions.

Как обезопасить свой бизнес?
🔵Внедрить AI Security;
🔵Проводить аудит решений до выхода в продакшн.

Без киберзащиты даже самый умный ИИ может стать врагом внутри.

➡️Подробнее в «Коммерсанте»

#Экспертиза_AppSec

👹 Как мошенники наживаются на Лабубу

На фоне ажиотажа вокруг игрушек Лабубу активизировались кибермошенники. В сети появилось множество фейковых сайтов и Telegram-ботов, которые под предлогом продажи редких плюшевых фигурок пытаются завладеть данными и деньгами пользователей.

Какие схемы используют злоумышленники:
🔹 Создают сайты с якобы оригинальными игрушками, редкими коллекциями и “выгодными” скидками
🔹 Распространяют фальшивые Telegram-боты, обещающие розыгрыши и подарки;
🔹 Используют Лабубу как приманку для фишинга, подмены Telegram-кодов и угонов аккаунтов.

🎯 Цель одна — получить ваши данные: логины, пароли, реквизиты счета. Пострадавшие теряют не только деньги, но и контроль над своими аккаунтами.

Эксперты AppSec Solutions рекомендуют:

1️⃣ Не переходить по ссылкам из писем и сообщений, даже если они выглядят “персонально”

2️⃣ Проверять сайты вручную — смотрите, как давно зарегистрирован домен

3️⃣ Использовать двухфакторную аутентификацию — это надежный способ защитить аккаунт даже при утечке логина

4️⃣ Не доверять “горящим" предложениям и “подаркам за отзыв” — это любимые триггеры социальной инженерии

Подробнее — в материале «Известий».

#Экспертиза_AppSec

Сравнили топовые инструменты для генерации SBOM

Как не потеряться среди множества SBOM-генераторов и выбрать действительно рабочий инструмент?

Аналитик информационной безопасности Аркадий Комиссарчук из команды AppSec.Track протестировал топовые инструменты генерации SBOM в формате CycloneDX:

Cdxgen
Trivy
Syft
плагины CycloneDX

В статье — подробный разбор того, как каждый инструмент работает с исходниками и собранными артефактами.

➡️ Читайте обзор и выбирайте лучший SBOM-генератор для вашего проекта.

#Экспертиза_AppSec

Нам 7️⃣ лет!

Сегодня AppSec Solutions отмечает День Рождения! С 2018 года мы делаем безопасность естественной и незаменимой частью разработки, помогая выпускать надежные приложения.

Чем мы особенно гордимся:
▶️Выпустили 5 DevSecOps-решений, которые находят уязвимости и помогают их устранять быстрее. Дальше — больше!
▶️Наши продукты используют компании из 10+ отраслей — от банков до промышленных гигантов
▶️Сотрудничаем с лидерами рынка — 90% наших клиентов из рейтинга РБК-500
▶️Нашли надежных партнеров: 80+ интеграторов и дистрибьюторов — вместе несем DevSecOps в массы

🎂 И всё это — благодаря вам: нашим клиентам, партнёрам и команде. Вы — наша суперсила! 💙

Вперед — к новым масштабным проектам и командным победам!

#AppSecSolutions #СДнемРожденияНас

AppSec.CoPilot стал финалистом Generation AI Awards 2025

AI-инженер AppSec.CoPilot, которого мы запустили осенью прошлого года, увеличил скорость триажа в 28 раз — и стал финалистом премии Generation AI Awards 2025 в номинации «Лучшая инхаус-разработка». Это первая независимая награда, посвященная применению генеративного ИИ в бизнесе. В составе жюри — эксперты из крупнейших банков, промышленных холдингов и ИТ-компаний.

3 года обучения нейроинженера на реальных задачах — и теперь он помогает командам в самых разных отраслях: от ФинТеха до КИИ.

🔎Что уже умеет AppSec.CoPilot:

🔹анализирует 210+ млн строк кода ежедневно
🔹находит 800 000+ уязвимостей
🔹с точностью до 96% определяет ложные срабатывания
🔹экономит до 85% времени специалистов

Использование нейроинженера позволило увеличить в 28 раз скорость обработки результатов статических анализаторов, выявив больше половины ложных срабатываний без участия человека. Это позволило освободить время для работы с уязвимостями, которые действительно требуют внимания специалистов. Сейчас вызовы, которые стоят перед нейроинженером — автоматически разбирать более 5 млн. уникальных уязвимостей в коде и оперативно готовить рекомендации по их устранению

— рассказала Мария Усачёва, директор продукта AppSec.CoPilot.

Рады, что AI в информационной безопасности — это не будущее, а уже рабочий инструмент. И что рынок это подтверждает.

#AppSecCopilot