现已上线!2025 年 Telegram 研究 — 年度关键洞察 
VP Cybersecurity Brief
前往频道在 Telegram
Анализ лучших практик управления кибербезопасностью в России и в мире. Написать автору - @popepiusXIII. Реклама в канале не размещается. Возможно информационное размещение по мероприятиям в тематике канала. Посты пишутся без ИИ.
显示更多415
订阅者
+324 小时
+207 天
+6430 天
数据加载中...
吸引订阅者
六月 '26
六月 '26
+29
在5个频道中
五月 '26
+238
在5个频道中
Get PRO
四月 '260
在3个频道中
Get PRO
三月 '26
+115
在4个频道中
Get PRO
二月 '260
在3个频道中
Get PRO
一月 '26
+42
在1个频道中
| 日期 | 订阅者增长 | 提及 | 频道 | |
| 10 六月 | 0 | |||
| 09 六月 | +3 | |||
| 08 六月 | +2 | |||
| 07 六月 | +10 | |||
| 06 六月 | 0 | |||
| 05 六月 | +1 | |||
| 04 六月 | +4 | |||
| 03 六月 | +2 | |||
| 02 六月 | +3 | |||
| 01 六月 | +4 |
频道帖子
| 2 |  +2没有文字... | 76 |
| 3 | Вышел небольшой, но полезный гайд по компенсируюшим мерам и индивидуальному подходу при оценке соответствия PCI DSS 4. | 103 |
| 4 |  Apple выпускает новый функционал в iOS по смене паролей с помощью ИИ.
Интересно как быстро произойдет промт инъекция в пароле. | 122 |
| 5 | Если вы рассматриваете возможность перехода на квантовоустойчивые алгоритмы криптографми для своего сайта вам покажется любопытной статья от Let's encrypt.
Простое использование самого малого по размеру алгоритма подписи стандартизированного NIST ML-DSA-44 приведет к тому, что часть TLS подключений разорвутся, а остальные станут заметно медленне. Коллеги в итоге реализовали решение на базе дерева Меркла. На сколько такой подход снизил устойчивость - пока не понятно. | 96 |
| 6 |  Есть другой важный ньюанс для анализа рисков использования облачноц модели - возможность отказа от использования ваших данных для обучения. В Mythos 5/Fable 5. Такой возможности - нет. | 88 |
| 7 |  没有文字... | 73 |
| 8 | В январе писал про эту проблему вот тут.
https://t.me/IsacaRuSec/8186
Дублирую краткий обзор методов изоляции. | 88 |
| 9 |  Спор о том, действительно ли контейнеры обеспечивают изоляцию, идёт давно, и автор поста Rory McCune считает, что баланс сейчас смещается: изоляция Docker-контейнеров всегда была слабее, чем у виртуальных машин из-за большой поверхности атаки ядра Linux, но раньше создание эксплойтов для побега из контейнера требовало редких навыков и много времени. Теперь же LLM-инструменты резко упрощают эту задачу. В качестве примера McCune взял свежую уязвимость локального повышения привилегий CIFSwitch (CVE-2026-46243) и просто передал модели блог-пост и готовый PoC.
За два часа и 13 долларов Claude Code самостоятельно собрал рабочий эксплойт для побега из контейнера. Ключевых условия два: достаточно «сговорчивая» модель (автор хвалит Opus 4.6, отмечая, что более поздние версии строже в наступательной безопасности) и цикл валидации, где модель реально тестирует код в одноразовых VM, чтобы не выдавать галлюцинации.
По мнению автора, на фоне волны свежих LPE-уязвимостей и такой лёгкости создания эксплойтов стоит пересмотреть надёжность стандартной изоляции контейнеров. Если вы запускаете недоверенные образы или есть риск исполнения кода внутри контейнера, нужно исходить из того, что атакующий сможет вырваться на хост. Это не значит отказаться от контейнеров — лишь сверить их использование со своей моделью угроз. | 65 |
| 10 |  没有文字... | 95 |
| 11 |  没有文字... | 97 |
| 12 |  +9没有文字... | 96 |
| 13 | Вчера Anthropic выпустил 2 новых модели:
1. Mythos 5 - доработанная версия от превью. По-прежнему доступна только ограниченному количеству организаций в рамках проекта Glasswing.
2. Fable 5 - модель сравнимач с Mythos 5, но с большим количеством разных настроек безопасности, ведущих к до 5 процентов ложных срабатываний. Доступна широкому кругу пользователей. По своим возможностям резко отрывается от ближайшего конкурента GPT 5.5, даже по независимым бенчмаркам. Цена правда получается почти в 2 раза больше, чем у GPT 5.5.
Улучшена защита от дистиляций. Если модель посчитает ваш запрос вредоносным вам ответит opus 4.8.
Традиционно вот ссылка на системную карточку модели.
Нам её придется внимательно изучать. Часть графиков из официального анонса и независимого сравнения с другими моделями - ниже. | 103 |
| 14 | Сегодня в Санкт Петербурге активно отмечается день рождения Петра I.
По ряду свидетельств при Петре I произошла институционализация шифрования в России. С 1700 года шифровальная деятельность стала функцией цифирного отделения Посольского приказа, а с 1709 года - Посольской канцелярии.
Петр I имел блокнот с 6 шифрами которыми он постоянно пользовался. | 128 |
| 15 | Итак, вчера мы остановились на том, что этот самый ИИ может стоить значительно дороже среднего программиста при, скажем так, не особо стабильных результатах. Не особо стабильных - не означает плохих, иногда бывают очень даже хорошие. Но означает непредсказуемых.
Как мерить затраты на ИИ в сравнении с дополнительной производительностью - никто толком не знает. Но есть мнение, что и так сомнительная история с резкой заменой людей на ИИ уткнулась в стоимость этого самого ИИ при текущем способе его использования.
Но при этом консультанты из Bain&Co уверенно выдают прогноз, что через три-четыре года средние затраты на ИИ-сотрудников в технологических компаниях будут равняться трети от ФОТ.
Что это значит для эйчаров? Много забавного.
Во-первых, насмотревшись на опыты с массовой заменой людей на LLMки и потом наймом их назад, многие компании притормозят планы по увольнению всех и вся. Хотя бы на время, пока не научатся гарантированно повышать эффективность с помощью агентов и понимать, какие затраты для этого нужны.
Во-вторых - и это самое веселое - HR и ИТ-департаменты теперь будут фактически иметь общий бюджет. Часть из этого бюджета будет уходить на людей, а часть на LLMки. Какая часть? Почему? И главное, кто будет принимать решения? Все это отличные вопросы, и если и когда этот зоопарк реализуется на практике, мы желаем всем участникам удачи.
В-третьих, товарищи рекрутеры и C&Bшники - возможно, вам пора готовиться к тому, что инженеры на собеседованиях начнут спрашивать “а какой на этой позиции бюджет на токены?”
Ходят слухи, что в некоторых компаниях уже планируют включить бюджет на токены в список плюшек, и начать переманивать разработчиков из компаний, где им его не дают или дают всем одинаково.
Ну и если это все недостаточно весело, то вот вам налоговый вопросик. В большинстве стран мира подоходный налог - один из самых важных источников поступления дохода в казну. Подоходный налог берут с зарплат, и если вместо зарплат компании начнут тратить деньги на токены, то рано или поздно правительства этот трюк заметят, и начнут пытаться облагать налогом траты на компьют. В силу разных там бухгалтерских трюков это будет очень веселое упражнение, так что мы ждем с нетерпением.
В общем, дивный новый мир будет и правда дивным для эйчаров, так что закупайтесь попкорном и пристегивайтесь. Завтра опять про AI-сотрудников, и опять не так, как в легендах и мифах. | 104 |
| 16 | Любопытный прогноз про количество доступных токенов в описании вакансии и объединения бюджетов HR и ИТ. | 125 |
| 17 |  没有文字... | 153 |
| 18 | Лет 5 назад интернет вещей был набирающим силу трендом. По данным Cloudflare сегодня больше половины трафика в сети Интернет теперь это боты. В термин боты Cloudflare включает скрипты, агенты и самих ботов.
В силу развития средств агентского ИИ можно будет ввести два новых термина и позиционировать все новые продукты и решения под эти два термина:
1. ИИ/Агентский интернет. ИИ не нужен веб интерфейс, более того он не оптимален с точки зрения оптимизации количества потребляемых токенов. Нас ждут новые протоколы и продукты использующие машиночитаемые форматы данных. Например прайс-листы в формате markdown вместо excel/docx. Toon вместо json. И это ещё форматы пока понятные человеку, нас ждут форматы понятные только ИИ. И это затронет не только веб но компоненты инфраструктуры и кибербезопасности.
2. Интернет Людей. Для тех кто не может себе позволить средства ИИ или там где в них нет экономического смысла. И наоборот старые добрые красивые интерфейсы для состоятельных потребителей которые привыкли выбирать глазами. | 143 |
| 19 | В силу серии атак на цепочку поставок начала активнее распространятся практика периода охлаждения вновь выпущенного релиза. Идея в том, чтобы дать от нескольких часов до недель время на проверки безопасности до момента автоматического обновления пакета.
В большинстве случаев данный функционал необходимо включать отдельно.
Вот ресурс с отслеживанием внедрения этой практики охлаждения.
Ruby
Npm
Pip | 147 |
| 20 | Похоже, что ландашфт угроз ИИ опять начнет заметно меняться.
Те кто раньше использовали ЧатЖПТ как чат постепенно начнут использовать вновь появляющиеся агентские функции.
https://www.rbc.ru/technology_and_media/07/06/2026/6a24f9709a79477ede1d7631 | 157 |
