Как уязвимость в AI-ассистентах открывает доступ к почте

На Хабре вышла новая статья Юрия Шабалина, директора продукта Стингрей. Он обнаружил типовую, но опасную ошибку, которую копируют из туториалов по созданию персонального AI-ассистента. Оказалось, что из-за одной неявной настройки можно случайно открыть доступ к почте, календарю, контактам и другим персональным данным.

➡️ Читайте статью на Хабре и смотрите видео Юрия о том, как используется эта уязвимость.

👍 Если вы создаете собственного AI-агента, не важно на какой платформе — не забудьте проверить его на типичные уязвимости, особенно связанные с LLM. Проявите бдительность, и ваши «Джарвисы» будут служить именно вам, а не посторонним.

#Экспертиза_AppSec

AppSec Solutions на IT IS conf уже завтра

🎙 19 июня в 17:30 на конференции IT IS conf Антон Башарин, старший управляющий директор AppSec Solutions, выступит с докладом «ASPM в цифрах, или почему без помощи искусственного интеллекта не обойтись».

О чем расскажем:

🔹 Как с помощью искусственного интеллекта автоматизировать и ускорить обработку уязвимостей

🔹 Как языковые модели (Large Language Models) и обучение с подкреплением (Reinforcement Learning) обеспечивают более точный триаж

🔹 Почему интеграция платформы ASPM с ИИ — это следующий шаг в развитии процессов ИБ

IT IS conf — конференция о трендах в ИТ и ИБ, на которой эксперты обсуждают комплексный подход к кибербезопасности и современные технологии.

➡️ До встречи в Екатеринбурге или подключайтесь к прямой трансляции мероприятия!

#AppSec_Мероприятия

⚠️ Крупнейшая утечка паролей в истории

О чём речь: Сегодня стало известно о самой крупной утечке паролей за всю историю интернета. В распоряжении злоумышленников оказались 16 миллиардов паролей пользователей различных сервисов!

Кто пострадал: Утечка затронула миллионы пользователей Apple, Google, Telegram и других популярных сервисов.

Юрий Шабалин, директор продукта Стингрей, прокомментировал Коммерсант FM, что могут делать злоумышленники с этими данными:

🔹 Пробовать полученные комбинации логинов и паролей на сторонних сервисах. Пользователи могут столкнуться с массовой принудительной сменой паролей в этих сервисах.

🔹 Прикидываться сервисами, у которых произошла утечка, и рассылать фишинговые письма о компрометации учетной записи и необходимости смены пароля.

Немаловажный момент: для того чтобы обработать такой объём информации, злоумышленникам требуется время.

💡 Что делать: Специалисты настоятельно рекомендуют немедленно изменить пароли ко всем своим аккаунтам и включить двухфакторную аутентификацию.

#Кибератаки #Хакеры #Утечка_данных

Госсектор ищет безопасное применение нейросетей

Правительство приступило к внедрению ИИ в управление, экономику и социальную сферу. Однако, по данным AppSec Solutions, только треть компаний, внедривших нейросети, обеспечили их защиту.

Новые угрозы:
▶️Обучение на зараженных датасетах — позволяет злоумышленнику получить доступ в систему
▶️Злонамеренные запросы — перегружают ИИ-агентов, что чревато остановкой процессов и вынужденными инвестициями в инфраструктуру
▶️Автономный сбор, хранение и передача данных без должного контроля

Современные ИИ-модели могут не только обрабатывать данные, но и самостоятельно собирать, хранить и передавать информацию о пользователях, зачастую без должных ограничений. Особенно уязвимыми становятся ИИ-ассистенты, встроенные в корпоративную инфраструктуру. Они получают доступ
к клиентским базам, внутренним документам и системам управления и могут стать источником утечек.

— рассказал Антон Башарин, старший управляющий директор AppSec Solutions.

Как обезопасить свой бизнес?
🔵Внедрить AI Security;
🔵Проводить аудит решений до выхода в продакшн.

Без киберзащиты даже самый умный ИИ может стать врагом внутри.

➡️Подробнее в «Коммерсанте»

#Экспертиза_AppSec

👹 Как мошенники наживаются на Лабубу

На фоне ажиотажа вокруг игрушек Лабубу активизировались кибермошенники. В сети появилось множество фейковых сайтов и Telegram-ботов, которые под предлогом продажи редких плюшевых фигурок пытаются завладеть данными и деньгами пользователей.

Какие схемы используют злоумышленники:
🔹 Создают сайты с якобы оригинальными игрушками, редкими коллекциями и “выгодными” скидками
🔹 Распространяют фальшивые Telegram-боты, обещающие розыгрыши и подарки;
🔹 Используют Лабубу как приманку для фишинга, подмены Telegram-кодов и угонов аккаунтов.

🎯 Цель одна — получить ваши данные: логины, пароли, реквизиты счета. Пострадавшие теряют не только деньги, но и контроль над своими аккаунтами.

Эксперты AppSec Solutions рекомендуют:

1️⃣ Не переходить по ссылкам из писем и сообщений, даже если они выглядят “персонально”

2️⃣ Проверять сайты вручную — смотрите, как давно зарегистрирован домен

3️⃣ Использовать двухфакторную аутентификацию — это надежный способ защитить аккаунт даже при утечке логина

4️⃣ Не доверять “горящим" предложениям и “подаркам за отзыв” — это любимые триггеры социальной инженерии

Подробнее — в материале «Известий».

#Экспертиза_AppSec

Сравнили топовые инструменты для генерации SBOM

Как не потеряться среди множества SBOM-генераторов и выбрать действительно рабочий инструмент?

Аналитик информационной безопасности Аркадий Комиссарчук из команды AppSec.Track протестировал топовые инструменты генерации SBOM в формате CycloneDX:

Cdxgen
Trivy
Syft
плагины CycloneDX

В статье — подробный разбор того, как каждый инструмент работает с исходниками и собранными артефактами.

➡️ Читайте обзор и выбирайте лучший SBOM-генератор для вашего проекта.

#Экспертиза_AppSec

Нам 7️⃣ лет!

Сегодня AppSec Solutions отмечает День Рождения! С 2018 года мы делаем безопасность естественной и незаменимой частью разработки, помогая выпускать надежные приложения.

Чем мы особенно гордимся:
▶️Выпустили 5 DevSecOps-решений, которые находят уязвимости и помогают их устранять быстрее. Дальше — больше!
▶️Наши продукты используют компании из 10+ отраслей — от банков до промышленных гигантов
▶️Сотрудничаем с лидерами рынка — 90% наших клиентов из рейтинга РБК-500
▶️Нашли надежных партнеров: 80+ интеграторов и дистрибьюторов — вместе несем DevSecOps в массы

🎂 И всё это — благодаря вам: нашим клиентам, партнёрам и команде. Вы — наша суперсила! 💙

Вперед — к новым масштабным проектам и командным победам!

#AppSecSolutions #СДнемРожденияНас

AppSec.CoPilot стал финалистом Generation AI Awards 2025

AI-инженер AppSec.CoPilot, которого мы запустили осенью прошлого года, увеличил скорость триажа в 28 раз — и стал финалистом премии Generation AI Awards 2025 в номинации «Лучшая инхаус-разработка». Это первая независимая награда, посвященная применению генеративного ИИ в бизнесе. В составе жюри — эксперты из крупнейших банков, промышленных холдингов и ИТ-компаний.

3 года обучения нейроинженера на реальных задачах — и теперь он помогает командам в самых разных отраслях: от ФинТеха до КИИ.

🔎Что уже умеет AppSec.CoPilot:

🔹анализирует 210+ млн строк кода ежедневно
🔹находит 800 000+ уязвимостей
🔹с точностью до 96% определяет ложные срабатывания
🔹экономит до 85% времени специалистов

Использование нейроинженера позволило увеличить в 28 раз скорость обработки результатов статических анализаторов, выявив больше половины ложных срабатываний без участия человека. Это позволило освободить время для работы с уязвимостями, которые действительно требуют внимания специалистов. Сейчас вызовы, которые стоят перед нейроинженером — автоматически разбирать более 5 млн. уникальных уязвимостей в коде и оперативно готовить рекомендации по их устранению

— рассказала Мария Усачёва, директор продукта AppSec.CoPilot.

Рады, что AI в информационной безопасности — это не будущее, а уже рабочий инструмент. И что рынок это подтверждает.

#AppSecCopilot

94% ecom-приложений уязвимы — тревожный сигнал для бизнеса

Согласно статистике, в 2024 более 70% покупок в ритейле совершались через смартфоны, а установка ecom-приложений выросла на 61%. Но что насчёт безопасности?

Эксперты команды Стингрей проверили 100+ популярных Android-приложений в сегментах e-commerce и e-grocery.

Результат пугает:
🔹1870 уязвимостей обнаружено, из них 33% категории High и/или Critical
🔹88% хранят sensitive-информацию в исходном коде
🔹71% хранят данные от сторонних сервисов в открытом виде

Типичные проблемы:
— небезопасное хранение данных
— утечки ключей
— уязвимая аутентификация
— чувствительная информация прямо в коде

Найденные уязвимости — не просто технический долг. Это риск финансовых потерь, штрафов и утраты доверия клиентов.

➡️ Закажите демо-отчет от Стингрей и узнайте, как обстоят дела с безопасностью вашего мобильного продукта.

#AppSec_исследование #AppSec_Sting

🛡Как построить безопасный MLOps-пайплайн?

Модели машинного обучения всё активнее используются в компаниях, но у многих команд еще нет четкого понимания, как защищать такие системы.

Александр Серов, ведущий специалист по безопасности LLM в AppSec Solutions, разобрал, как выстроить безопасность ML-процессов на практике.

В статье:
▶️ Tier-уровни зрелости безопасности
▶️ Где в ML-пайплайне прячутся уязвимости
▶️ Какие инструменты реально работают
▶️ Как понять, на каком уровне сейчас ваша команда

➡️ Читайте и стройте защищенный MLOps.

#Экспертиза_AppSec

🆓 Вышел релиз AppSec.Hub 2025.2.1

Расширили возможности интеграций и добавили полезные фичи в нашу ASPM-платформу. Смотрите, что обновилось 📥

🔗 Интеграции:

▶️ AppSec.Track: обновили механизм получения сработок из прокси-репозиториев
▶️ CodeScoring: добавили возможность сканирования артефактов всех типов и настройки локального/облачного резолва зависимостей

🔝 Ключевые улучшения:

▶️Расширенные возможности оркестрации с использованием Hub Engine
Сканируйте артефакты с новыми поддерживаемыми инструментами в Hub Engine

▶️ Отображение агентов и очередей задач в панели администратора
Отслеживайте загруженность, выявляйте узкие места и своевременно реагируйте на сбои.

▶️ Поддержка самоподписанных сертификатов в агентах
Обеспечьте возможность безопасной связи агентов с сервером с помощью самоподписанных сертификатов. Это упрощает развертывание в изолированных или внутренних сетях и повышает гибкость настройки безопасности.

▶️ Фильтрация уязвимостей по языкам программирования
Сосредоточьтесь на релевантных для вашего проекта уязвимостях. Это ускоряет анализ, помогает приоритизировать исправления и улучшает качество отчетов для команд разработчиков.

▶️ Управление весами для расчета WRI групп корреляции
Настраивайте важность различных факторов при вычислении индекса риска (WRI), чтобы точнее отражать приоритеты вашей организации. Это делает оценку уязвимостей более адаптированными к вашим процессам, что повышает точность реагирования на риски безопасности.

Ну и как всегда — полезные улучшения и исправления, чтобы работать с платформой было еще удобнее 💙

Все подробности на сайте 🖥

🆓 #AppSecHub_Релизы

Cтингрей теперь AppSec.Sting
Что изменилось? Только имя 🙂

Наша платформа автоматизированного анализа защищенности мобильных приложений теперь называется AppSec.Sting.

Это шаг к единому стилю нашей экосистемы AppSec Solutions и логичное продолжение развития продукта, который вы уже хорошо знаете.

В работе платформы всё без изменений: те же передовые технологии, та же команда и надежность.

В центре нашего подхода по-прежнему:

▶️ Глубокий анализ и приоритезация уязвимостей
▶️ Автоматизация ручного тестирования
▶️ Соответствие требованиям регуляторов и стандартам безопасности

Ребрендинг «Стингрей» в AppSec.Sting — это важный шаг для нашей команды. Мы стремимся к единству брендов внутри экосистемы AppSec Solutions. AppSec.Sting, сохранив передовые технологии анализа защищенности мобильных приложений, теперь еще теснее интегрирован с другими нашими решениями, что позволит клиентам получать максимально эффективную защиту и еще быстрее реагировать на новые угрозы.

— прокомментировал Юрий Шабалин, директор по продукту AppSec.Sting.

Все условия сотрудничества и поддержка остаются без изменений.

Спасибо, что выбираете нас. 💙

#AppSecSting

📞 Как вирус прячется в мобильном приложении?

Пока вы листаете ленту соцсетей, ваш смартфон может включать камеру, подслушивать, считывать СМС и пересылать пароли злоумышленникам.

☝️Как это возможно? Объясняет Юрий Шабалин, директор по продукту AppSec.Sting:

Вирус может маскироваться под обычное приложение. У злоумышленников есть сервер, который в нужный момент отдает команду "пора включать активность". Приложение подгружает код и начинает, например, читать ваши сообщения, выгружать контакты или фото. То есть с виду легитимное ПО внутри скрывает функционал, который позволяет загружать и выполнять чужой код. Такие вирусы называют "фишинговыми ловушками" или "спящими красавицами" — скрытыми загрузчиками, которые активируются по сигналу.

Наиболее популярный вид вредоносного ПО сегодня — Adware (рекламные коды). Он может показывать навязчивую рекламу, сильно нагревать устройство, быстро разряжать батарею и замедлять работу приложений. Телефон просматривает рекламу, и вы этого даже не замечаете.


⚠️ Как не пустить вирусных подселенцев в свое устройство?

🔹Не скачивайте приложения по ссылкам из СМС и пуш-уведомлений

🔹Внимательно проверяйте, какие разрешения запрашивают установленные приложения

➡️ Подробности в специальном репортаже телеканала «Москва 24».

#AppSecSting #Экспертиза_AppSec