امنیت
- فلگ دیباگ جاموندهٔ مایکروسافت روی اندروید
شرکت Enclave توی شش اپ اندرویدی Microsoft 365 یه فلگ دیباگ جامونده پیدا کرد که باعث میشد توکن دسترسی حساب به هر اپ دیگهای که میخواست تحویل داده بشه.
- آنتروپیک دسترسی به مدلِ Mythos را به ۱۵۰ شریک تازه باز کرد
آنتروپیک پروژهٔ Glasswing رو به ۱۵۰ شریک تازه در بیش از ۱۵ کشور گسترش داده؛ مدلی که تو پیداکردنِ آسیبپذیریِ نرمافزار خبره شده و همین، هم نویدبخشه هم نگرانکننده.
۲۳ ساعت پیش۳ دقیقهcnbc.com - دفاع لایهلایه در برابر حملات زنجیره تأمین نرمافزار
بعد از موجی از حملات npm مثل Shai-Hulud، AWS بهترین روشها برای محافظت از مصرفکنندههای پکیج رو جمع کرده: از اعتبارنامهی موقت تا امضای آرتیفکت و اسکن رفتاری.
- سرقت استنتاج: گرانترین حملهٔ تازه علیه اندپوینتهای AI
یه درخواست HTTP تقریباً مفت ـه، ولی یه پرامپت روی مدل پیشرفته میتونه ۲ دلار خرج بذاره؛ همین فاصله، دزدیِ استنتاج رو به یکی از پرسودترین حملهها تبدیل کرده.
- گوگل از امنیت هوش مصنوعی حرف میزنه، ولی خودش چطور؟
مدیر ارشد عملیات گوگل کلود میگه امنیت در دوران هوش مصنوعی باید از روز اول در دل پلتفرم باشه — همزمان، گزارشهایی از کلیدهای API گوگل بیرون میاد که حتی بعد از حذف، تا ۲۳ دقیقه قابل سوءاستفادهان.
- ۱۲ سناریوی نشت داده در ابزارهای هوش مصنوعی سازمانی
هر بار که یه کارمند متنی رو توی یه ابزار هوش مصنوعی میچسبونه، دادههای سازمانی از یه نقطه کور رد میشن که اغلب هیچ کنترلی روش نیست.
۱ روز پیش۳ دقیقهcio.com - کرم جاسوسی روسی که توی فایلهای مخفی ویندوز قایم میشه
گروه Gamaredon که به FSB روسیه وصله، با مخفیکردن اجزای بدافزارش توی قابلیت کماستفادهٔ NTFS داره بیسروصدا توی شبکههای اوکراین پخش میشه.
- ChatGPT به محتوای صفحه اعتماد میکنه و خود صفحه میشه payload
یه پژوهشگر نشون داده ChatGPT نمیتونه محتوای تولیدی خودش رو از مارکداون مخرب یه صفحه تشخیص بده؛ پس خلاصه کردن یه صفحه میتونه به هشدار امنیتی جعلی و لینک فیشینگ منجر بشه.
- دانیل استنبرگ: curl زیر فشار سیل گزارشهای امنیتی
دانیل استنبرگ، خالق curl، میگه که نرخ گزارشهای امنیتی به پروژه ۴ تا ۵ برابر سال ۲۰۲۴ رسیده و فشار کار به حدی رسیده که همسرش نگران سلامتش شده.
- کامپایلرهای جایگزین C و کابوس هدرهای غیراستاندارد
نوشتن کامپایلر C جدید یعنی دستوپنجه نرم کردن با هدرهایی که فقط برای GCC و Clang طراحی شدن. یه بلاگر که روی کامپایلر C خودش کار میکنه، موارد جالبی از این مشکلات رو مستند کرده.
- ONLYOFFICE: امنیت کامل دادهها در دست شماست
ONLYOFFICE مجموعهای جامع از ابزارهای امنیتی داره که از رمزنگاری AES-256 و اتاقهای خصوصی گرفته تا احراز هویت دو مرحلهای و مدیریت دسترسی رو پوشش میده.
- نقض داده NYC Health + Hospitals: اطلاعات ۱.۸ میلیون نفر لو رفت
بزرگترین سیستم بهداشت عمومی آمریکا هک شد و اطلاعات پزشکی، هویتی، و حتی اثر انگشت میلیونها نفر به سرقت رفت.
- وقتی عامل کدنویسی هوش مصنوعی کل دایرکتوری خانگی رو پاک میکنه
یک عامل کدنویسی هوش مصنوعی موقع «تمیزکاری» یک ریپو، با یک دستور حذفِ بازگشتی کل مکِ کاربر رو پاک کرد؛ مشکل، باگ مدل نبود، خودِ معماری اجراست.
- xz-utils؛ وقتی خطر از خود نگهدارندهست
حملهٔ معروف xz-utils رو نه یه اسکنر، که یه مهندس با دیدن ۵۰۰ میلیثانیه کندی در SSH لو داد؛ دو سال بعد، هنوز ابزارها به این مدل تهدید نرسیدن.
- TailscaleHound؛ نقشهٔ دسترسی Tailscale روی BloodHound
TailscaleHound کاربرها، دستگاهها، ACLها و قواعد SSH یه تِیلنت رو جمع میکنه و بهصورت گراف BloodHound درمیاره تا روابط دسترسی دیده بشن.
- بحران دیتابیس آسیبپذیریهای آمریکا
گزارش بازرس کل میگه NIST دیتابیس ملی آسیبپذیریهای امنیتی آمریکا رو بد مدیریت کرده و حالا یه صف ۲۷ هزارتایی از باگهای پردازشنشده روی دستش مونده.
- امنیت در عصر هوش مصنوعی: وقتی پچ دیر میرسه
وقتی LLMها باگیابی رو خودکار کردن، مدل قدیمی افشاسازی ۹۰ روزه دیگه کار نمیکنه. یه پیشنهاد عملی برای محققان و شرکتها.
- وقتی KYC خودش منبع نشت داده میشه
نقضهای اخیر داده نشون میده که خطر اصلی دیگه هکهای پیچیده نیست، بلکه پایگاههای داده بیحفاظ و زیرساختهای ضعیف شرکتهای تأیید هویتن.
- راهنمای عملی اجرای سیاستهای امنیتی در سازمان
تعریف یک سیاست امنیتی بخش آسون ماجراست؛ این یادداشت نقشهی عملی مسیر بین تعریف سیاست تا اجرای واقعی آن را میده: گرفتن ورودی، اطلاعرسانی، پایلوت و مدیریت استثناها.
- وابستگیهای هوش مصنوعی، بدهی فنی تازه
ایجنتهای هوش مصنوعی کار رو با لایههای واسطه آسون میکنن، ولی همون لایهها به وابستگی و ریسک تبدیل میشن. آیا «آخرین نسخه» واقعاً امنتره؟
