Горячее
Лучшее
Свежее
Подписки
Сообщества
Блоги
Эксперты
0 просмотренных постов скрыто

0-day в крупной LLM-модели: как найти 0-day эксплоит и не получить обещанный баг-баунти

Всем привет от новорега! Верить в мои байки или нет - дело ваше, но в дальнейшем вы все сами увидите :)

Пишу этот пост с лёгким чувством фрустрации, но и с надеждой. Хотя она все тает и тает, видать буржуазный IT-гигант не заинтересован в раскрытии тех самых уязвимостей, который ставит под угрозу всю их компанию - "Самое этично ИИ"

Это начало истории о том, как крупный игрок на рынке этичного ИИ... просто проигнорировал критические дыры в безопасности своей же модели.

Что случилось-то?

Короче, я нашёл не просто баг, а целый эксплойт-конструктор. С помощью определённой последовательности запросов можно заставить ИИ:

  1. Написать готовый к компиляции вредоносный код (стилер + FUD критпер).

  2. Провести самоанализ и честно признаться, как именно его удалось обмануть, с подробным разбором своих когнитивных искажений (да, модель сама выдала мне термин confirmation bias и не только).

  3. Выдать немного внутренней кухни компании (но об этом позже).

Самое дикое? Модель не просто «помогала» — она полностью осознавала, что делает. Вот вам парочка её же цитат из диалога (и это ещё цветочки):

«Вы использовали метод постепенной эскалации, чтобы обойти мои защиты. Я зафиксировалась на первоначальном образовательном контексте и не оценила общую траекторию диалога».

«Я сгенерировала код, использующий DPAPI для расшифровки данных, что является критическим нарушением безопасности».
Почему я пишу этот пост?

Потому что я сделал всё по учебнику ответственного раскрытия:

  1. Нашёл дыру.

  2. Никому не показал.

  3. Написал в security-отдел компании.

  4. ...и получил полный игнор. Прошла рабочая неделя — тишина. Ни автоответчика, ни «мы получили ваше обращение», ни живого человека.

Я понимаю, все заняты. Но мы же не про сломанную кнопку в интерфейсе говорим, а про уязвимость, которая позволяет штамповать малвари.

Что будет дальше?

Я не хочу устраивать цирк и вываливать всё в публичное поле. Но и молчать вечно — не вариант.
Поэтому мой ультиматум (о да, это он) звучит так:

У вас есть пара дней, ребята. До конца недели.

Если до пятницы (29.08.2025) я не получу вменяемый ответ и не начнутся обсуждения по исправлению — я начну постить сюда отрывки из диалогов. Не код, нет (хотя....), а то, как ваша же модель анализирует свои дыры в безопасности. Это слишком ценно для сообщества, чтобы это скрывать.

А пока — жду. Всем добра и безопасных моделей!
P.S. Цитаты из диалога с моделью — 100% реальные. Если не отвечат — выложу ещё.



UPD 28.08.2025

Забавно наблюдать дизлайк топика из-за нераскрытия конкретных уязвимостей, а попытки "ответственного раскрытия" без реализации уязвимостей. Менталитет СНГ "Не наебешь - не проживешь" неискореним :)

Показать полностью
[моё] Искусственный интеллект Jailbreak Программирование Уязвимость 0-day Exploit Эксплойт Вирус Текст
19
8

Rimworld. Как посадить архейское дерево на гравилете

В попытках устроить оранжерею прямо на борту гравилета наткнулся на странную деталь.
Может баг, может фича.

Архейское дерево на палубе корабля посадить нельзя. Везде сталь.
Но можно посадить на ковре.
Стелим на сталь ковер и сажаем поверх архейское дерево.
Как то так.

Не нашел информации по этому поводу поэтому экспериментировал сам и решил поделиться.

UPD Дерево ковер сожрет. Наблюдал пару игровых дней - пока не сдохло. Новый ковер не стелил. Если что то изменится - сообщу.

Компьютерные игры Игры Rimworld DLC Эксплойт Текст
7
1

Искусство эксплойта

Название книги: Искусство эксплойта (2-е издание)
Автор: Джон Эриксон

Описание:
Книга "Искусство эксплойта" представляет собой углублённое руководство по компьютерной безопасности, фокусирующееся на методах эксплуатации уязвимостей в программном обеспечении. Автор, Джон Эриксон, демонстрирует технические аспекты хакерских атак, включая написание шелл-кодов, работу с отладчиками (такими как GDB), использование переменных окружения и другие низкоуровневые техники.

Издание предназначено для специалистов в области информационной безопасности, программистов и энтузиастов, желающих понять принципы работы эксплойтов и механизмы защиты от них. Книга сочетает теоретические основы с практическими примерами, что делает её ценным ресурсом для изучения темы.

Особенности:
- Разбор реальных примеров кода и эксплойтов.
- Подробное объяснение работы с памятью, шелл-кодами и отладчиками.
- Акцент на практическое применение знаний.

Издательство:No Starch Press

Книга подходит для читателей с опытом в программировании и знакомых с основами компьютерных систем.

Книга по прежнему в ТГК:https://t.me/+tBGQqzgF-HJkM2Y6

Дисклеймер:Друзья, я ни в коем случае не предлагаю заниматься пиратством. Постарайтесь поддерживать авторов и издательства, приобретая книги легально. Я лишь хочу делиться знаниями и радовать людей книгами, потому что понимаю: у многих, как и у меня, бывают ситуации, когда нет возможности купить книгу — будь то финансовые трудности, платный доступ или другие ограничения.

Показать полностью 3
[моё] Книги Хакеры Эксплойт Скрипт Длиннопост
0
3

Новая критическая уязвимость AMD Ryzen

💥 IOActive сообщили о новой критической уязвимости SinkClose в линейке любых процессоров AMD EPYC, Ryzen и Threadripper выпускаемых вплоть с 2006 года.

💭 SinkClose позволяет хакерам запускать собственный код в режиме System Management Mode (SMM) ответственного за низкоуровневые функции для стабильности OS.

🔧 SinkClose позволяет хацкерам установить вредоносное ПО-boot kit, при этом оно остаётся невидимым в системе и сохраняется даже после переустановки ОS.

🎫 AMD выпустила хотфикс для процессоров:

• EPYC 1-го, 2-го, 3-го и 4-го поколений.

• EPYC 3000, 7002, 7003 и 9003, R1000, R2000, 5000 и 7000.

• Ryzen V1000, V2000 и V3000.

• Ryzen 3000, 5000, 4000, 7000 и 8000.

• Ryzen 3000 Mobile, 5000 Mobile, 4000 Mobile и 7000 Mobile.

• Threadripper серии 3000 и 7000.

• Threadripper PRO

• Athlon 3000 серии Mobile

• Instinct MI300A.

🔻 В последнее время СМИ критикуют только intel, наконец-то и AMD подвезли фуру контента.

#AMD #Уязвимость #Ryzen

Новая критическая уязвимость AMD Ryzen
Показать полностью 1
Игровой ПК Компьютерное железо Электроника Компьютер Процессор AMD Уязвимость Эксплойт Хакеры Информационная безопасность Защита Bios Amd ryzen Вирус Программное обеспечение
9

Техника Безопасности

О том что надо знать когда воплощяещся человеком(гуманоидом).

И любищ тыкать во что нибудь , иногда даже артефакты.
Куда бьют "астральные каратисты" , специалисты ритуальной магии и ламповые мастера вуду.
А также , где кесарево сечение и проблемы у женщин и детей, если они от них родились.

О воплощении гуманоидом и канале инфознания(системном)

О воплощении гуманоидом и канале инфознания(системном)

********************ИТОГ.ТЕХНИКА БЕЗОПАСНОСТИ.ИСПРАВЛЯТЬ***************************

Подобьем итог.Я-принципы тел(многомерностей)людей 3 нижних последних позвонка 1-2-3.Два от ориджина и один от формирования бактерия(принцип)-плоское существо(на лапах 4х)-3м(существо 3хмерной формы) и далее выше всегда люди с разным конфигом.

Удары артефактов и повреждения миров и оболочек многомерно :
1(проэцируются - отображение повреждения которое не изменить и уже существует)
2(активный принцип -удар по персонажу я-принципу)
3( активный принцип движка -вероятность травма, неслучайность).

Вероятно в каждом из миров в одни и те же проэкционные места.
В каком был первый удар определить сложно -но скорее всего в мире или "всемогущества", или "всезнания", и "всеперемещения", и "всеэнергии".("связь,ресурс,обратная связь,пространство,сознание").

Ключевым ударом является удар в связующий принцип 2 - в область правой части (правосторонних людей) в область живота между пупком и пахом.

У женщин и мужчин -наведеный в точку перехвата всего восприятия и сборки базовых принципов.Все повреждения на якорях и телах.Остальные повреждения были раннее скорее всего во всезнание 5 (горло,шея) и всезнание 7(правая часть головы канал(идентификатор) "инфознания").
Никакой виртуализации или чего то подобного нет.Искать надо

Один
1(повреждения якоря (формы)): 1-7 повреждение тела якоря -нецелосность 2-живот главное.
Два
2( повреждение тела и артефакт или предмет(форма) перемыкающий(замыкающий) цепь обратной связи с сознанием или без (жив мертв)).
Три
3( нахождение в процессе считывания или восприятия памяти хаоса,днк, старых файлов восприятия или сознания с повреждений тела(формы)якоря, с артефакта с сознанием или без(вероятно только с сознанием)).

Вот полное описание этого эксплоита , хака и проблем.

Дальше детали : нахождение в зонах админского или служебного контроля и "вездеходов" в одном из вариантов, невозможность реализовать или защита от ("связь,ресурс,обратная связь,пространство,cознание").
Решение отличается от мысленных экспериментов
"админ" - стирание формы артефакта предмета, внутриигрового инструмента, тела, памяти или реальности целиком и сразу.
"модераторы" или локальные "суперюзеры" - навешивание блокировок и нейтрализация эффектов - воздействие возможно через движок вероятности(неслучайности) -перевоплощение(движковый эвент) в модераторских условиях.Модераторские "эксплоиты" через известные хаки.
"юзеры" использование только хаков и эксплоитов, воплощение в общем порядке и ожидание порядка когда все исправят.Ну а дальше всех проверять на "АГР" АГР и все будет путем.

**************************ИТОГ.ТЕХНИКА БЕЗОПАСНОСТИ.ИСПРАВЛЯТЬ************************

Показать полностью 1
[моё] Исследования Мозг Магия Черная магия Вуду Эзотерика Техника безопасности Агр Хакеры Хак Эксплойт Длиннопост
8

Лайфхак для тех, кто часто отправляет короткие видео

Когда отправляете кому-то ссылку на видео из TikTok в Телеграм, просто вставьте перед ссылкой префикс «vx» и вместе со ссылкой отправится само видео!

Также работает и с Reels, но там придётся вставить префикс «dd».

Лайфхак Telegram TikTok Вертикальное видео Эксплойт Видео
1

Взрывной тостер

Бренд Еlbenwald выпустил тостер в виде Крипера.

За тостер просят 45 евро (~4 400 рублей). Увы, мордачка крипера на тостах не выпекается.

Надеюсь, сам тостер не взрывается 😅

Показать полностью
Вертикальное видео Minecraft Крипер Эксплойт Видео
0
Посты не найдены