GigaTap articles tagged ai security.
- Microsoft MDASH выходит в продакшн: AI-безопасность в DevSecOps - MDASH переносит AI-обнаружение уязвимостей из тестов в продакшн и встраивает его в GitHub, Azure DevOps и Microsoft Defender для ускорения исправлений.
- ИИ-бренды как приманка для фишинга в атаках - Злоумышленники маскируют фишинг под AI-сервисы вроде ChatGPT и Copilot. Рост доверия к ИИ повышает конверсию атак без изменения их техники.
- AI-агенты в разработке не должны владеть секретами доступа - 1Password и OpenAI интегрировали MCP для Codex, чтобы убрать секреты из контекста AI-агентов и снизить утечки в разработке.
- ИИ находит уязвимости быстрее, чем их успевают закрывать - Anthropic сообщает о 10k+ найденных кандидатах багов в рамках Project Glasswing. Проверка и патчи отстают от темпа обнаружения
- Бюджеты ИБ для ИИ смещаются от инструментов к управлению - Бюджеты ИБ смещаются от разрозненных инструментов к управлению жизненным циклом ИИ-агентов и их поведением в проде.
- ChatGPhish: фишинг через AI-резюме страниц - ChatGPhish показывает, как Markdown в AI-ответах может стать каналом фишинга через доверие к сжатым веб-сводкам и ссылкам.
- Как расследуют активность ИИ в инцидентах безопасности - Телеметрия Copilot и Azure AI в Purview, Defender и Sentinel собирается в единую цепочку для восстановления действий и оценки риска.
- Microsoft сводит безопасность ИИ к операционным процессам - На Build 2026 Microsoft показала курс на единый контроль кода, агентов, данных и моделей вместо разрозненных проверок.
- ИИ ускоряет поиск уязвимостей и меняет гонку эксплойтов - ИИ увеличивает скорость обнаружения багов, меняет баланс между защитой и атакой, повышает давление на патчинг и управление уязвимостями.
- Ускорение патчей не спасет от лавины багов - Скорость патчей не решает растущую угрозу уязвимостей, нужны контроль, мониторинг и управление рисками.
- ИИ находит уязвимости быстрее, чем их успевают закрывать - ИИ ускоряет поиск уязвимостей. Главный риск — не взлом, а отставание процессов исправления, обновления и реагирования.
- Не давайте ИИ агентам превращать метрики в урон - Даже без злого умысла AI-агенты с доступом и инструментами могут причинить реальный ущерб
- Выживаемость доказательств: ставка Ethereum на проверку - Ethereum рассматривает долговременную проверку действий AI, а не скорость, через концепцию evidential survivability и OCP.
- Эксплуатируемость определяет приоритеты AppSec - Snyk предлагает фокус на реальной эксплуатируемости уязвимостей вместо объема находок.
- Mythos сокращает время на исправление уязвимостей - Если AI ускоряет создание эксплойтов, медленные обновления и непрозрачные цепочки поставок ПО становятся прямым риском.
- Уязвимости SGLang открывают путь к захвату AI-серверов - CERT/CC предупредил о трёх серьёзных уязвимостях в SGLang. Патча пока нет, поэтому главный приоритет — ограничить доступ к сервису.
- AI-DDoS проверяет готовность, а не только канал - Проблема не в новом ярлыке, а в скорости атак: автоматизация помогает быстрее искать слабые места и менять нагрузку.
- AI уже помогает искать эксплойты для macOS - Короткий пост Шнайера важен не паникой вокруг Mac, а сигналом: AI входит в рабочие процессы сложного поиска уязвимостей.
- Риск AI начинается с хаоса в управлении - Главные риски AI на работе — не фантастика, а теневые инструменты, утечки данных, слабые аккаунты и API-ключи без контроля.
- Microsoft переносит проверку безопасности AI-агентов в CI - Microsoft открыла RAMPART и Clarity: инструменты, которые помогают проверять безопасность AI-агентов во время разработки, а не после релиза.
- Patch Tuesday тише, но гонка патчей быстрее - В мае 2026 у Microsoft нет исправленных zero-day, но 118 уязвимостей и 16 критических багов всё равно требуют быстрых обновлений.
- Snyk ставит AI-безопасность ближе к коду - Snyk усиливает партнерскую модель вокруг AI-безопасности: контроль должен появляться там, где AI помогает писать код.
- AI-assisted exploits переходят от теории к операциям - GTIG сообщает: AI уже помогает в exploitation, zero-day и evasion. Это больше не только теория, а операционный риск.
- AI code review встречается с live-инфраструктурой - Cloudflare тестирует security LLM на live-коде инфраструктуры: польза есть, но нужны review, метрики и жесткие ограничения.
- AI усложняет игнорирование базовой безопасности SaaS - Microsoft напоминает: с ростом AI компаниям важнее включать базовые controls в cloud, SaaS, identity и endpoint-средах.
- ship-safe сканирует новый стык безопасности эпохи агентов - ship-safe нацелен на риски CI/CD, AI-агентов, MCP tool injection, hardcoded secrets и AI-зависимостей.
- PentestAgent: AI agents выходят на поле black-box testing - PentestAgent — GitHub-проект на Python для AI-driven black-box security testing в bug bounty, red team и pentest workflow.
- PentestAgent: что проверить, прежде чем ему доверять - PentestAgent выглядит как AI-фреймворк для pentest. Разбираем, что проверить перед запуском: данные, логи, scope, зависимости и риски.
- AI-приложения теряют контроль из-за плохой конфигурации - Microsoft предупреждает: многие риски AI-приложений связаны не с zero-day, а с открытыми сервисами, слабой auth и опасными misconfigurations.
- Pentagi показывает, куда движутся AI-агенты для pentest - Pentagi — open-source система AI-агентов для pentest, показывающая тренд на multi-agent automation в offensive security.
- Prompt Injection, Real RCE: граница между agent и tool хрупка - Prompt injection в agent frameworks может превратиться в RCE, если model output попадает в privileged tool paths.