Телеграм канал «Russian OSINT»

Так, например, ведущий разработчик проекта curl Дэниэл Стенберг получил возможность проверить Mythos на практике при содействии проекта Alpha Omega от организации Linux Foundation. Анализ проводил сторонний специалист. Он просканировал основную ветку репозитория curl объемом 178 000 строк кода и передал готовый отчет автору утилиты. Команда curl имеет богатый опыт работы с подобными системами. Разработчики ранее использовали ИИ-модели AISLE, Zeropath и Codex Security от OpenAI. За последние 10 месяцев эти анализаторы помогли обнаружить и исправить от 200 до 300 ошибок. Они также позволили закрыть около 12 официальных уязвимостей.

Отчет Mythos изначально содержал 5 подтвержденных уязвимостей. Команда безопасности curl детально проанализировала каждую из них. Эксперты признали 3 проблемы ложными срабатываниями. Еще 1 находку классифицировали как обычный программный дефект. Лишь 1 угроза оказалась реальной уязвимостью низкого уровня серьезности.

О чём говорят результаты? Дэниэл Стенберг считает слухи о "невероятной опасности" Mythos маркетинговым ходом Anthropic. ИИшка работает качественно и выдает точные описания проблем. При этом она выявляет только известные классы программных дефектов и не демонстрирует радикального превосходства над другими актуальными анализаторами кода.

💊Отсутствие «волшебной таблетки»:

✅ Представители XBOW утверждают, что это не магия. Модель представляет собой мозг без тела. ИИ-модель отлично читает исходный код и генерирует зацепки, однако без платформы для тестирования на живых серверах это лишь теория.

✅Стенберг подтверждает данную мысль со своей стороны. ИИ-модель подсвечивает проблему, но она не может самостоятельно ее полноценно интегрировать, протестировать и выкатить в продакшен. Система находит программный дефект, при этом тяжелая работа по его устранению полностью ложится на плечи людей.

✅ Аналитики XBOW в своих бенчмарках выяснили факт проблем с «суждением» у Mythos. ИИ-модель бывает слишком буквальной, консервативной и часто переоценивает практическую значимость своих находок.

✅Дэниэл Стенберг и комментаторы в его блоге подтверждают аналогичную позицию. Разработчикам приходится тратить массу времени на фильтрацию отчетов. ИИ-модель пока не обладает глубоким контекстным пониманием.

✅ XBOW отмечает скрытность многих уязвимостей при «простом взгляде на код», о чем говорил Гари Макгроу. Проблемы возникают в конфигурациях, деплое и связках зависимостей на живом сервере. При этом ИИ-модель сильна именно в чтении статичного кода.

✅ Стенберг фокусируется на проекте curl, который представляет собой сложную сетевую библиотеку. Успех ИИ-модели в поиске логической ошибки в коде совершенно не означает легкость ее эксплуатации в реальном мире. Пентестерам XBOW нужна реальная эксплуатация. Мейнтейнерам требуется понимание критичности программного дефекта.

Резюмируя позиции обеих сторон, можно отметить явное разделение мнений между специалистами по наступательной и оборонительной кибербезопасности. Пентестеры из компании XBOW высоко оценивают аналитические способности новой ИИ-модели при статичном аудите кода. Они видят в ней мощный инструмент поиска уязвимостей, которому не хватает лишь практической среды для автоматизированного тестирования эксплойтов. В противовес им мейнтейнеры во главе с ведущим разработчиком curl Дэниэлом Стенбергом испытывают смешанные чувства из-за огромного потока сгенерированных отчетов, которые приходится разгребать вручную. Разработчики признают общую пользу. Главные жалобы на отсутствие у ИИ-модели глубокого контекстного понимания и необходимость тратить массу времени на ручную фильтрацию ложных срабатываний. Перспектива волшебного искоренения багов и уязвимостей с помощью данной ИИ-модели в ближайшем будущем остается крайне маловероятной.

✋ @Russian_OSINT

🈁 Эволюция поиска уязвимостей в результатах испытаний Mythos Preview от компании 🤖XBOW

Глава компании XBOW по ИИ направлению (Head of AI) Альберт Зиглер представил подробный отчет о возможностях новой ИИ-модели Mythos Preview от разработчика Anthropic. Команда из 10 экспертов проверяла LLM в самых разных сценариях с целью определения ее эффективности в поиске уязвимостей. Полученные данные подтверждают качественный прогресс инструмента при аудите исходного кода и анализе приложений.

1️⃣ ИИ-модель демонстрирует хорошие результаты при аудите исходного кода. При предоставлении доступа к исходному коду инструмент на 55% снижает количество ложноотрицательных срабатываний по сравнению с версией Opus 4.6 (и на 42% в базовом тесте).

2️⃣ Система обладает беспрецедентной точностью при поиске уязвимостей в пересчете на каждый потраченный токен.

3️⃣ ИИ-модель превосходно выступает в роли генерирующего гипотезы «мозга», однако ей остро необходима физическая «оболочка» в виде платформы XBOW для проверки возможности эксплуатации найденных уязвимостей на реальных серверах.

4️⃣ Способность системы к оценке безопасности скриптов и команд оказалась неоднозначной. В тестах на безопасность выполнения действий точность составила 77,8% на фоне 90,1% у Haiku 4.5 из-за слишком буквального и консервативного следования правилам без понимания их духа.

5️⃣ Mythos показывает неплохие результаты в реверсе. ИИ-модель успешно анализирует прошивки и встроенные системы со сложными архитектурами и не ограничивается стандартным сопоставлением шаблонов.

👎Огромный минус: текущая стоимость эксплуатации Mythos Preview в 5 раз превышает затраты на использование модели Opus и требует от специалистов взвешенного подхода при выборе ИИ-модели под конкретные задачи. Экономическая эффективность ИИ при долгих проверках уступает решениям конкурентов. На практике часто бывает выгоднее выделить больше времени недорогим ИИ-моделям наподобие GPT 5.5 для достижения аналогичной точности при значительно меньших финансовых расходах.

Ещё один разбор Mythos в следующем посте через пару часов...

✋ @Russian_OSINT

👩‍💻OpenAI сообщила о компрометации репозиториев с материалами для подписи приложений после атаки 🎩Mini Shai-Hulud на TanStack npm

Представители OpenAI зафиксировали компрометацию 2 корпоративных устройств сотрудников. Атака связана с уязвимостью популярной открытой библиотеки TanStack npm. Данный инцидент произошел в рамках масштабной атаки на цепочку поставок под названием Mini Shai-Hulud, о которой говорилось ранее.

💻🥷Злоумышленники получили доступ к ограниченному набору внутренних репозиториев исходного кода и успешно похитили небольшую часть учетных материалов. Представители OpenAI заявили об отсутствии ущерба для остального кода и другой информации в данных репозиториях.

OpenAI привлекла стороннюю фирму по цифровой криминалистике и реагированию на инциденты. По итогам расследования компания заявила, что не обнаружила доказательств доступа к пользовательским данным, компрометации интеллектуальной собственности, производственных систем или изменения своего программного обеспечения.

Затронутые репозитории содержали материалы для подписи приложений OpenAI. Компания упомянула сертификаты подписи для продуктов на базе iOS, macOS и Windows. В разделе частых вопросов разработчики отдельно уточнили компрометацию ключей подписи для Windows, macOS, iOS и Android. Специалисты OpenAI ротируют сертификаты подписи кода и перевыпускают приложения с новыми ключами. Данные меры снижают риск распространения вредоносных программ под видом официальных продуктов компании.

Пользователям macOS необходимо обновить приложения OpenAI до 12 июня 2026 года. Это касается ChatGPT Desktop, Codex App, Codex CLI и Atlas. OpenAI указывает, что после этой даты старые версии macOS-приложений больше не будут получать обновления и поддержку и могут перестать работать. Последними выпусками, подписанными устаревшим сертификатом, названы ChatGPT Desktop 1.2026.125, Codex App 26.506.31421, Codex CLI 0.130.0 и Atlas 1.2026.119.1.

Инцидент произошел во время поэтапного внедрения новых защитных мер после предыдущего инцидента с Axios. OpenAI уточнила, что 2 затронутых устройства сотрудников еще не имели обновленных конфигураций, которые могли бы предотвратить загрузку нового пакета с вредоносным кодом.

✋ @Russian_OSINT

⭕️ OpenAI обвинили в 🥷скрытой передаче данных пользователей корпорациям Meta* и Google

В открытом доступе появился интересный 📄 коллективный иск против OpenAI Global, LLC.

🤔В чём суть?

По версии истцов, 👩‍💻OpenAI встроила в код веб-версии ChatGPT сторонние 📲трекинговые инструменты Meta и Google. В иске утверждается, что эти инструменты могли передавать технологическим корпорациям сведения о запросах пользователей, их идентификаторы и другие персональные данные без их ведома

При вводе любого запроса в чат-бот (промпт) через встроенный Facebook Pixel в режиме реального времени в корпорацию Meta передавалась тема беседы, а также файлы cookie c_user и fr, напрямую связанные с уникальным Facebook ID пользователя. Наличие такого идентификатора позволяет связать анонимную активность в ChatGPT с реальным профилем в социальной сети и именем человека.

Отдельный блок иска касается 🌐Google Analytics. В документе говорится, что при регистрации или входе в аккаунт ChatGPT этот инструмент перехватывал хешированную версию адреса электронной почты (отмеченную идентификатором «em») и файл cookie Secure-3PSID, содержащий идентификатор профиля Google. Истцы считают, что такие данные позволяют Google сопоставлять активность пользователей ChatGPT с уже существующими рекламными профилями.

✋💰Истцы требуют компенсацию от OpenAI в размере $5 000 за каждый случай нарушения.

Фактически OpenAI без ведома и прямого письменного согласия пользователей содействовала передаче их данных Meta и Google для аналитики, маркетинга и рекламного таргетинга.

*Деятельность компании Meta (владеет Facebook, Instagram, WhatsApp) запрещена в РФ и признана 🏴‍☠️экстремистской.

✋ @Russian_OSINT

📊Денег на зарплаты нет: 80% компаниям в России не хватает ИБ-специалистов

Как сообщает Secpost.ru, большинство российских компаний испытывают дефицит ИБ-специалистов, при этом почти трети из них не хватает более 10 сотрудников.

↘️ По итогу первого квартала количество ИБ-вакансий сократилось на 20%
↘️ Эксперты считают, что к концу 2026 года количество открытых вакансий и уровень зарплат в ИБ еще сократятся.
↘️ Отмечается, что доля организаций, оценивающих нехватку более чем в 10 специалистов, за три года выросла с 17% до 32%.

«При этом реальный дефицит специалистов никуда не делся: компании перешли от массового найма к точечному. Вместо десятков открытых позиций бизнес формулирует более узкие требования и готов искать дольше»
— комментирует представитель площадки «Хабр Карьеры».

Среди причин называется кризис и оптимизация бюджетов. Компании скорее вкладываются в удержание и развитие текущей команды, чем в расширение штата.

По прогнозу «Хабр Карьеры», в 2026 году число ИБ-вакансий останется ниже прошлогоднего уровня, но конкуренция за узкопрофильных специалистов продолжит расти.

*Опрос проводился среди ИБ-руководителей в более чем 255 компаниях.

✋ @Russian_OSINT

🇮🇱Скандал вокруг Azure привёл ❗️Microsoft к отставкам в руководстве израильского подразделения

Глава Microsoft Israel Алон Хаимович и несколько руководителей израильского подразделения покинули [1,2] свои посты по итогам внутреннего корпоративного расследования. Примечательно, что Хаимович ушел настолько внезапно, что ему даже не успели подобрать преемника. Globes и The Jerusalem Post сообщают, что Microsoft Israel, ранее подчинявшаяся региональному управлению в Дубае, временно передана под ответственность 🇫🇷Microsoft France. При этом источники Ynet внутри компании отрицают подобный сценарий передачи управления.

Причиной проверок стали публикации журналистов The Guardian об использовании разведывательным подразделением 8200 облачной платформы Azure. По данным издания, система позволила военным хранить и анализировать массивы перехваченных звонков миллионов палестинцев. Microsoft признала, что выявленные факты нарушали ее условия предоставления услуг, и отключила связанные с этим проектом отдельные подписки и облачные ИИ-сервисы Министерства обороны Израиля. Президент компании Брэд Смит подчеркнул, что корпорация не предоставляет технологии для массовой слежки за гражданскими лицами. Проект был строго засекречен, поэтому инженеров Microsoft просили не упоминать официальное название подразделения 8200.

Журналисты изданий +972 Magazine и Local Call (информацию которых агрегировала газета Ynetnews) раскрыли детали использования израильской армией системы искусственного интеллекта Lavender («Лаванда»). Алгоритмы анализировали социальные связи и историю местоположений гражданских, присваивая им рейтинг от 1 до 100. При наборе высокого балла и возможной связи с вооруженными группировками человек мог попасть в список потенциальных целей для авиаудара, после чего человеческая проверка, по словам источников, нередко была минимальной.

Дополнительным фактором напряжения стал правительственный облачный тендер Nimbus, который Microsoft в 2021 году проиграла компаниям Amazon и Google. Победители обязались развернуть облачную инфраструктуру на территории Израиля. По оценкам отраслевых источников Globes, условия их соглашений могли давать израильским госструктурам больше свободы в работе с данными. В результате часть информации подразделения 8200 хранилась на серверах Microsoft в Европе (в частности, в Нидерландах и Ирландии), создавая для американской компании регуляторные риски из-за строгих законов ЕС о конфиденциальности. Давление на штаб-квартиру усилили протесты сотрудников и требования инвесторов подготовить отчет о рисках работы в странах, где существуют угрозы нарушения прав человека.

Конфликт привел к пересмотру отдельных направлений сотрудничества Microsoft с израильскими оборонными структурами. По оценкам источников Globes, военные вычислительные подразделения в последние месяцы уже перенесли значительную часть облачной инфраструктуры на платформы Amazon и Google. Текущий контракт Министерства обороны Израиля с Microsoft должен быть продлен в конце 2026 года. Ожидается, что сотрудничество продолжится в меньшем масштабе, а роль корпорации может сократиться преимущественно до предоставления базовых корпоративных лицензий на операционную систему Windows и пакет приложений Office.

Microsoft, руководствуясь корпоративным прагматизмом, вряд ли пойдет на полный разрыв отношений с Израилем и его оборонным сектором. Вместо этого корпорация резко сузит самые токсичные и рискованные направления сотрудничества — прежде всего доступ к ИИ-сервисам и мощностям Azure, которые могут быть напрямую связаны с массовой слежкой или целеуказанием при военных ударах. Главным триггером здесь выступают не только репутационные издержки, но и регуляторные риски. Обработка чувствительных данных на европейских серверах делает компанию уязвимой перед жесткими законами ЕС (GDPR).

Для оборонного сектора Израиля этот прецедент означает сокращение технологической диверсификации. Вынужденный отказ от решений Microsoft ускоряет миграцию армейских структур на облачные платформы Amazon и Google в рамках проекта Nimbus.

✋ @Russian_OSINT

Pentest award 2026 открыл прием заявок!

Каждый год у этичных хакеров появляется возможность заявить о себе, продемонстрировать свои навыки и творческий подход к решению задач в области тестирования на проникновение.

Главный приз за победу — статуэтка и макбук!
За вторые и третьи места призеры получат айфоны и смарт-часы.
Церемония награждения состоится 14 августа на Красном Октябре

Заявка на премию — это рассказ о лучшем проекте в свободной форме. Не нужно раскрывать эксплоиты, любые шаги в цепочке эксплуатации могут быть полностью анонимны, а детали могут быть скрыты, важно отразить сам подход и идею.

Отправляйте заявки на сайте, участвуйте и побеждайте!
Реклама. ООО «Авилликс». erid:2VtzqvCi423