Codeby

AdaptixC2 Adaptix — это инструмент, который помогает специалистам по безопасности тестировать системы на уязвимости. Он позволяет им эмулировать действия злоумышленников после того, как они получили доступ к системе. 💡Характиристика: Гибкость - Утилита позволяет операторам настраивать профили в формате JSON для управления аутентификацией и конфигурацией серверных ответов. Архитектура сервер/клиент - Поддержка многопользовательского взаимодействия. Кроссплатформенный GUI - Клиентская часть написана на C++ с использованием QT (т.е он доступен для Linux,Windows,MacOS) Шифрование - Все коммуникации между сервером и клиентом полностью зашифрованы. Расширяемость клиента - Возможность добавления новых инструментов. Хранение задач и работ - Удобное управление задачами и работами. Поддержка прокси - Socks4, Socks5 и Socks5 Auth. Портовое переадресация - Локальная и обратная поддержка. Поддержка BOF - Возможность использования BOF (Binary Object Format). Мониторинг состояния агентов - Проверка состояния агентов и контроль времени работы. 📎Установка:

git clone https://github.com/Adaptix-Framework/AdaptixC2.git

cd AdaptixC2

sudo apt install mingw-w64 make

wget https://go.dev/dl/go1.24.4.linux-amd64.tar.gz -O /tmp/go1.24.4.linux-amd64.tar.gz 

sudo tar -C /usr/local -xzf /tmp/go1.24.4.linux-amd64.tar.gz

sudo ln -s /usr/local/go/bin/go /usr/local/bin/go

📌Использование: ⏺️Сборка серверной части:

make server

make extenders

⏺️Запуск:

cd dist

openssl req -x509 -nodes -newkey rsa:2048 -keyout server.rsa.key -out server.rsa.crt -days 3650

./adaptoxserver --profile profile.json

Сборка клиентской части:

make client

▶️ Друзья, уже через час стартует бесплатный вебинар «Как пройти собеседование на OSINT-специалиста: от резюме до реальных кейсов» с Катей Тьюринг! Вы еще успеваете присоединиться! 😎 🔴 Регистрируйтесь здесь и получите ссылку на эфир в ответном письме. 🚀 Трудности с регистрацией? Пишите @Codeby_Academy

Готовы пройти собеседование на OSINT-специалиста с Катей Тьюринг? 🟧 СЕГОДНЯ в 19:00 (мск) 🟧 Регистрация Что обсудим? 🟧Как читать OSINT-вакансии между строк и где их искать 🟧Типичные ошибки кандидатов на собесах — и как их избежать 🟧Что реально проверяют: от теории до практических кейсов Не пропустите! 😎 🟧 Регистрируйтесь здесь и получите ссылку на эфир в ответном письме. 🚀 Трудности с регистрацией? Пишите @Codeby_Academy

BCHackTool BCHackTool — это программа, в которой собрано большое количество популярных утилит. В эту подборку вошла уже известная нам утилита как Zphisher. Утилита также ориентирована для Termux. 💡Характиристика: ⏺️Компактность - Популярные утилиты в одном месте ⏺️Удобство - Утилита сама устанавливает утилиты ⏺️Простота - Утилита имеет некую удобную оболочку для взаимодейтсвия 📎Установка:

git clone https://github.com/ByCh4n/BCHackTool.git

cd BCHackTool/

chmod +x bchacktool.sh

Использование:

sudo bash ./bchacktool.sh

Выбираем нужную нам утилиту.

Без понимания аутентификации и авторизации нельзя защитить данные, выявить уязвимости и предотвратить взлом. Поэтому любому специалисту в области ИБ нужно знать основные механизмы данных технологий

Пассворк 7: новый взгляд на корпоративное управление паролями Российский разработчик решений в области информационной безопасности Пассворк представил масштабное обновление корпоративного менеджера паролей. В версии Пассворк 7 полностью переработаны интерфейс, архитектура и инструменты интеграции, чтобы сделать управление паролями более удобным и безопасным. 🔑Ключевые улучшения: ✔️Гибкий API – автоматизация управления паролями ✔️Подробное логирование – полный контроль действий в системе ✔️Обновлённый интерфейс – простая навигация и быстрый доступ к функциям ✔️Гранулярные права доступа – тонкая настройка ролей и групп пользователей ✔️Удобное хранение данных – улучшенная система сейфов с прозрачным управлением доступом ✔️Интеграционные решения – поддержка PostgreSQL и Pangolin, инструменты для DevOps Пассворк 7 помогает компаниям выстроить прозрачную и надёжную систему управления паролями. ⌨️Попробуйте бесплатно и оцените все возможности обновления!

🚩 Новые задания на платформе HackerLab! 🕵️ Категория Форензика — Блокнот 🌍 Категория Веб — HackerTube —————————————— 🗂 В архив добавлены задания с прошлых соревнований + райтапы: 🟠Веб - Примечание 🟠Криптография - Как нужно делать пароли Приятного хакинга!

💥 EntropyReducer Инструмент, позволяющий уменьшить энтропию полезной нагрузки и зашифровать ее с помощью сериализованных связанных списков. ✏️Принцип работы Алгоритм EntropyReducer определяется значениями BUFF_SIZE и NULL_BYTES 1️⃣Алгоритм обфускации Инструмент проверяет, имеет ли входная необработанная полезная нагрузка размер, кратный BUFF_SIZE, и, если нет, дополняет её до нужного размера. Затем он берёт каждый фрагмент BUFF_SIZE из полезной нагрузки и создаёт для него узел связанного списка, используя функцию InitializePayloadList, которая инициализирует полезную нагрузку как связанный список. Созданный узел будет иметь пустой буфер размером NULL_BYTES, который будет использоваться для снижения энтропии. Затем он продолжает рандомизировать порядок каждого узла в связанном списке, нарушая исходный порядок полезной нагрузки. Этот шаг выполняется с помощью алгоритма сортировки слиянием, реализованного в функции MergeSort. Сортированный связанный список находится в случайном порядке, потому что значение, в котором сортируется связанный список, представляет собой значение XOR первых трёх байтов необработанной полезной нагрузки. Это значение определяет его позицию в реорганизованном связанном списке. Поскольку сохранение связанного списка в файл невозможно из-за того, что он связан указателями, он проходит сериализацию с помощью Obfuscate. 2️⃣Алгоритм Деобфускации Поскольку последним шагом в Obfuscation Algorithm была сериализация связанного списка, первое, что нужно сделать теперь, это десериализовать зашифрованную полезную нагрузку, создав на её основе связанный список. Этот шаг выполняется в функции Deobfuscate. Следующий шаг — сортировка связанного списка по идентификатору узла, которая выполняется с помощью того же алгоритма сортировки слиянием. Теперь связанный список находится в правильном порядке, чтобы восстановить исходные байты полезной нагрузки. Далее из него удаляются исходные байты полезной нагрузки из каждого узла и освобождаются выделенные узлы. Использование EntropyReducer считывает исходный файл полезной нагрузки из командной строки и записывает зашифрованную версию в тот же файл с префиксом «.ER». Размер конечной зашифрованной полезной нагрузки варьируется в зависимости от значений BUFF_SIZE и NULL_BYTES. Инструмент можно включать в свои проекты, для этого необходимо добавить файлы EntropyReducer.c и EntropyReducer.h в проект и вызвать функцию Deobfuscate. 😱 Тесты ⏺️x64 calc shellcode сгенерированный в metasploit имеет энтропию 5.883; ⏺️Тот же файл, зашифрованный с помощью AES, имеет энтропию 7.110; ⏺️Тот же файл, зашифрованный с помощью RC4 - 7.210; ⏺️EntropyReducer - 4.093. ❗️Инструмент необходимо использовать исключительно в образовательных целях или в рамках проведения работ по анализу защищенности❗️

А вы знали что... 🔸85% мобильных приложений содержат критические уязвимости (отчет OWASP 2024) 🔸Каждое 3-е приложение в Google Play имеет уязвимости, связанные с хранением данных (исследование Positive Technologies). 🔸Хакерские атаки на Android выросли на 50% за последние 2 года (данные Kaspersky Lab). Знание этих рисков – первый шаг к безопасности. Второй – освоить инструменты, которые помогут их устранить. Стартуем 21 июля! 👩‍💻 🔴Записаться Рассмотрим устройство приложений под ОС Android, этапы создания мобильного приложения, приемы реверса и изменения кода. Подробно изучим поиск и эксплуатацию уязвимостей. Курс создан для: 🌟 Сотрудников подразделений ИБ для повышения квалификации, новичков в сфере анализа мобильных приложений, реверс-инженеров для повышения квалификации в области мобильных приложений 🚀 По всем вопросам пишите @Codeby_Academy

SocialFish SocialFish — это инструмент для фишинга, который использует социальные сети для сбора личной информации пользователей. Он позволяет злоумышленникам создавать поддельные страницы, имитирующие популярные сервисы, чтобы обманом заставить людей вводить свои учетные данные. 💡Характиристика: ⏺️Безграничный выбор - Утилита позволяет клонировать любой сайт авторизации. ⏺️Удобство - Утилита имеет webUI для упрощённого взаимодействия. 📎Установка:

git clone https://github.com/UndeadSec/SocialFish.git

cd SocialFish

pip install -r requirements.txt --break-system-packages

📌Использование: Запускаем утилиту и указываем логин и пароль для авторизации в WebUI.

python3 SocialFish.py <user> <pass>

Переходим по адресу, и попадаем в GUI, где отображается вся необходимая информация

http://0.0.0.0:5000/neptune

В поле Clone вставляем ссылку на сайт который хотим склонировать, а затем в поле Redirection вставляем сайт куда будет перенаправлять после ввода данных и нажимаем на молнию. Далее с помощью ngrok открываем порт 5000 и отправляем ссылку жертве.

./ngrok http 5000

Пароль и логин сохранятся в разделе Successful attacks, в POST LOG. Утилита не всегда хорошо копирует страницу, поэтому это подходит не всегда

SprayingToolkit: мощный инструмент для атак методом спрея паролей ❓ Что такое SprayingToolkit?

Password spraying — это метод атаки, при котором злоумышленник использует один пароль для проверки множества учётных записей, чтобы избежать блокировки из-за превышения лимита попыток авторизации.

SprayingToolkit автоматизирует этот процесс, предоставляя функционал для масштабных атак на различные сервисы аутентификации. 🖥 Основные возможности SprayingToolkit 1️⃣ Поддержка множества протоколов: • Microsoft Active Directory (LDAP, RPC). • Outlook Web Access (OWA). • Microsoft 365 (Office365/Azure AD). • Other protocols (SMTP, IMAP, etc.). 2️⃣ Массовая проверка учетных записей: • Тестирование большого количества пользователей с использованием заданного списка паролей. • Настройка задержек между попытками для обхода механизмов защиты от брутфорса. 3️⃣ Гибкость настройки: • Поддержка кастомных конфигураций для различных сервисов. • Возможность адаптации под специфические инфраструктуры. 4️⃣ Интеграция с существующими утилитами: • Лёгкое объединение с другими инструментами, такими как CrackMapExec. 5️⃣ Логирование: • Генерация подробных отчётов о результатах атак, включая успешные попытки. ⬇️ Установка и использование 1️⃣ Установка SprayingToolkit: Убедитесь, что у вас установлен Python 3.x. Затем клонируйте репозиторий:

git clone https://github.com/byt3bl33d3r/SprayingToolkit.git
cd SprayingToolkit
pip install -r requirements.txt

2️⃣ Запуск атаки: Пример тестирования учетных записей в Microsoft 365:

spraying-toolkit o365 --userlist users.txt --passwordlist passwords.txt --delay 1

Для LDAP:

spraying-toolkit ldap --server ldap.example.com --userlist users.txt --passwordlist passwords.txt

Российский баскетболист задержан в Париже по подозрению в участии компьютерных атак 🏀 По данным агентства AFP, баскетболист Даниил Касаткин подозревается в участии хакерской группировки. 23 июня был задержан в аэропорту по просьбе США. 🏢 Группировка атаковала около 900 организации в период 2020-2022 годах, в том числе федеральные учреждения. США считает, что Даниил вел переговоры о выкупах со взломанными организациями. Баскетболист отвергает свою причастность к компьютерным атакам, ссылаясь на приобретение поддержанного компьютера, который, возможно, ранее использовали для нелегитимных целей. ↔️ На данный момент суд во Франции постановил Даниила заключить под стражу до решения вопроса об экстрадиции в США. В случае подтверждения участия в атаках на инфраструктуру США, ему может грозить срок до 30 лет лишения свободы 📝 Будьте внимательны и аккуратны, соблюдая законодательства и общепринятые меры безопасности в Интернете

⚰️ PDFRip Многопоточный инструмент для подбора паролей в PDF-файлах, написанный на Rust. 💱Особенности ⏺️Генерирует около 50-100 тысяч паролей в секунду, используя все ядра процессора; ⏺️Имеет функционал пользовательского конструктора запросов, который позволяет создавать собственные запросы, такие как STRING{69-420}, которые будут генерировать и использовать список слов с полным диапазоном чисел. ⏺️Возможность перебора дат. Можно указать год, в котором будет выполняться перебор всех 365 дней в формате DDMMYYYY. Данные комбинации довольно часто используется для паролей в PDF-файлах. ⏺️Возможность перебора чисел. Для этого необходимо указать диапазон чисел и программа выполнит перебор по всему диапазону. ⏺️По умолчанию используется метод перебора. Для этого требуется указать максимальную и, при необходимости, минимальную длину для поиска пароля, и в результате будут проверены все пароли длиной от 4 символов до указанного максимума, состоящие из букв и цифр (a-zA-Z0-9). Установка возможна двумя способами: 1️⃣С помощью менеджера пакетов cargo

cargo install --git https://github.com/mufeedvh/pdfrip.git

2️⃣Сборка из исходного кода

git clone https://github.com/mufeedvh/pdfrip.git
cd pdfrip/
cargo build --release

💡Примеры использования Простая атака методом перебора по словарю rockyou.txt

pdfrip -f encrypted.pdf wordlist rockyou.txt

Перебор чисел, дат в заданном диапазоне

pdfrip -f encrypted.pdf range 1000 9999
pdfrip -f encrypted.pdf date 1900 2000

Перебор произвольных строк длиной 3-8 символов

pdfrip -f encrypted.pdf default-query --max-length 8 --min-length 3

В случае если известен формат пароля, можно создать собственный список

pdfrip -f encrypted.pdf custom-query ALICE{1000-9999}
pdfrip -f encrypted.pdf custom-query DOC-ID{0-99}-FILE

Включение предшествующих нулей для пользовательских запросов (позволяет сопоставить, например 10 с 0010)

pdfrip -f encrypted.pdf custom-query ALICE{10-9999} --add-preceding-zeros

Ваша сеть под угрозой? Хакеры Lapdogs используют SOHO-устройства для атак

Новая хакерская группа под названием Lapdogs активно использует устройства для малого офиса и дома (SOHO), такие как: маршрутизаторы и сетевые хранилища (NAS), для проведения кибератак. По данным исследователей, злоумышленники уже скомпрометировали более 1000 устройств, чтобы скрытно совершать атаки на подбор учетных данных, кражу информации и перемещение внутри корпоративных сетей.

🟧 Этапы атаки Lapdogs используют уязвимости в прошивках SOHO-устройств или применяют атаки типа «угадывание пароля» (brute-force) для получения контроля. 🟧Использование уязвимостей и brute-force-атак - злоумышленники взламывают устройства, эксплуатируя известные уязвимости или подбирая пароли автоматизированными методами. 🟧 Перенастройка DNS-серверов - после взлома хакеры изменяют DNS-настройки, перенаправляя пользователей на подконтрольные серверы. 🟧 Установка прокси-серверов - на скомпрометированных устройствах развертываются скрытые прокси-сервисы для анонимизации вредоносного трафика. 🟧 Кража учетных данных - атакующие перехватывают логины и пароли пользователей, анализируя незащищенный сетевой трафик через взломанные устройства. 🟧Мишень атакующих Основной мишенью злоумышленников становятся бюджетные маршрутизаторы и сетевые хранилища (NAS) популярных производителей, включая: - TP-Link (особенно модели Archer серии C50/C20 и аналоги) - D-Link (DIR-615, DIR-825 и другие устаревшие модели) - Zyxel (многофункциональные шлюзы серий NBG и VMG) - QNAP (в основном бюджетные NAS серий TS-230 и TS-431) - Synology (устройства серии DS218 и DS120j)

Наибольшему риску подвержены устройства с неактуальными версиями прошивки (выпущенные более 2-3 лет назад без обновлений), а также те, где владельцы не изменили стандартные учетные данные (типовые комбинации вроде admin/admin, root/12345 или пустые пароли). Особую опасность представляют модели с открытым доступом к веб-интерфейсу управления из внешней сети.

🟧 Если ваше SOHO-устройство уже могло быть скомпрометировано, обратите внимание: - Устройство передает или получает большой объем данных без видимой причины - Проверьте, не были ли подменены DNS-серверы в настройках маршрутизатора или NAS - На некоторых устройствах можно проверить список запущенных служб (например, через SSH или веб-интерфейс) - Если сайты загружаются медленно или вас перекидывает на подозрительные страницы, возможно, трафик перехватывается - Злоумышленники иногда меняют прошивку или конфигурацию, что может вызывать нестабильную работу 🟧Если вы обнаружили хотя бы один из этих симптомов, рекомендуется: 🟧Выполнить сброс устройства до заводских настроек 🟧Установить последнюю версию прошивки с официального сайта производителя 🟧Проверить другие устройства в сети на предмет заражения (например, с помощью антивирусных сканеров) 🟧Сменить все пароли (включая Wi-Fi и учетные записи администратора)

▶️ БЕСПЛАТНЫЙ вебинар "Как пройти собеседование на OSINT-специалиста" с Катей Тьюринг! OSINT-специалистов ищут в самых разных сферах — от антифрода до журналистики. Но как понять, чего хотят работодатели? Где искать вакансии, какие навыки реально востребованы, и что вас ждёт на собеседовании? На вебинаре вы узнаете, как подготовиться к интервью, избежать типичных ошибок и уверенно зайти в профессию. 🟧 14 июля в 19:00 (мск) БЕСПЛАТНО 🟧 Регистрация Что обсудим на вебинаре? 🟧Как читать OSINT-вакансии между строк и где их искать 🟧Типичные ошибки кандидатов на собесах — и как их избежать 🟧Что реально проверяют: от теории до практических кейсов Для кого? 🟧Начинающие OSINT-специалисты и аналитики 🟧Антифрод, взыскание, журналисты, HR и все, кому важна разведка в открытых источниках Спикер: Катя Тьюринг — специалист по кибермошенничеству, автор курса “Разведка для отделов взыскания”, выступала на Offzone, PHDays, Kazhackstan и Безопасность360. Не пропустите! 😎 🟧 Регистрируйтесь здесь и получите ссылку на эфир в ответном письме. 🚀 Трудности с регистрацией? Пишите @Codeby_Academ

Zenmap Zenmap — это графический интерфейс для утилиты Nmap, предназначенный для сканирования сетей и анализа безопасности. Он упрощает использование Nmap, позволяя пользователям выполнять различные типы анализа и просматривать результаты в удобном формате. 💡Характиристика: ⏺️Удобный интерфейс - Графический интерфейс делает работу с Nmap более доступной. ⏺️Кросплатформенность - Утилита доступена для различных операционных систем. 📎Установка: Утилита уже предустановлена в Kali Linux, но вы можете установить из репозитория

git clone https://gitlab.com/kalilinux/packages/nmap.git

cd nmap

📌Использование: Для запуска GUI интерфейса используем следующую команду:

zenmap

В поле Command можно скопировать команду для nmap. Во вкладке Profile выбираем тип сканирования, который необходим В поле Target вставляем IP нашей цели и нажимаем кнопку Scan.

Информация выведется в контектсном окне.

▶️ Друзья, уже через час стартует практический вебинар по пентесту и поиску уязвимостей с Александром Медведевым! Ведущий: Александр Медведев – эксперт с 10+ годами опыта в ИБ, OSWE, OSCP, PNPT, CEH, CWAPT, 5-кратный победитель Standoff Вы еще успеваете присоединиться! 😎 🔴 Регистрируйтесь здесь и получите ссылку на эфир в ответном письме. 🚀 Трудности с регистрацией? Пишите @Codeby_Academy

▶️ Друзья, уже сегодня в 19:00 МСК пройдет практический вебинар по пентесту и поиску уязвимостей с Александром Медведевым! 🟧 8 июля в 19:00 (мск) БЕСПЛАТНО 🟧 Регистрация Что разберём сегодня? 🟧 Структура и особенности наших курсов по пентесту и информационной безопасности 🟧 Практические задания из лабораторий WAPT — как в реальных пентестах 🟧 Поиск уязвимостей в веб-приложениях и применение эксплойтов 🟧 Ошибки конфигурации, которые приводят к взлому 🟧 Техники повышения привилегий – как закрепиться в системе Для кого? 🟧 Начинающие пентестеры и специалисты по кибербезопасности 🟧 Разработчики, которые хотят понимать уязвимости, и не допускать их в своих продуктах 🟧 Все, кто интересуется взломом и защитой веб-приложений Спикер: Александр Медведев – эксперт с 10+ годами опыта в ИБ, OSWE, OSCP, PNPT, CEH, CWAPT, 5-кратный победитель Standoff (Codeby) Не пропустите! Вы еще успеваете получить эксклюзивные материалы! 😎 Регистрация здесь. 🚀 Трудности с регистрацией? Пишите @Codeby_Academy

Swaks: Универсальный инструмент для тестирования SMTP

Swaks (SMTP Swiss Army Knife) — это мощный и универсальный инструмент для тестирования SMTP-серверов. Он позволяет отправлять электронные письма с использованием различных протоколов и методов аутентификации, предоставляя гибкость и удобство в проверке настроек серверов электронной почты.

🖥 Основные возможности Swaks 1️⃣ Поддержка различных протоколов: • SMTP, ESMTP, LMTP. • Поддержка TLS (STARTTLS) и SSL для безопасного соединения. 2️⃣ Аутентификация: • Поддержка методов PLAIN, LOGIN, CRAM-MD5, DIGEST-MD5 и NTLM. • Проверка работы сервера с определёнными методами авторизации. 3️⃣ Настройка отправки сообщений: • Изменение заголовков, таких как From, To, Subject. • Добавление произвольного текста в тело письма. 4️⃣ Диагностика: • Подробный вывод всех этапов SMTP-транзакции. • Лёгкое обнаружение проблем, связанных с аутентификацией или доставкой. 5️⃣ Гибкость: • Интеграция с другими инструментами через команды оболочки. • Возможность использования в скриптах для автоматизации задач. ⬇️ Установка и использование ➡️ Установка: Swaks написан на языке Perl и не требует сложной установки. Вы можете загрузить его с GitHub или установить через пакетный менеджер:

sudo apt install swaks    # Для Debian/Ubuntu
sudo dnf install swaks    # Для Fedora

➡️ Пример базового использования: Отправка простого тестового письма:

swaks --to test@example.com --server smtp.example.com

➡️ Пример использования с аутентификацией: Тестирование SMTP с использованием аутентификации:

swaks --to user@example.com --server smtp.example.com --auth LOGIN --auth-user username --auth-password password

➡️ Пример с использованием TLS: Проверка STARTTLS:

swaks --to admin@example.com --server smtp.example.com --tls

OWASP Top 10 for LLM 📋 OWASP Top 10 for LLM – это систематизация наиболее критичных уязвимостей и угроз, связанные с разработкой, развертыванием и эксплуатацией LLM-приложений. Данный список впервые был опубликован в 2023 году и регулярно обновляется, показывая актуальные угрозы информационной безопасности в области ИИ. На данный момент в топ-10 входят следующие угрозы: 1️⃣ Инъекция промптов (Prompt Injection) Злоумышленники могут манипулировать входными данными для изменения поведения модели, получив несанкционированный доступ или вызвать утечку данных 2️⃣ Раскрытие конфиденциальной информации (Sensitive Information Disclosure) Недостаточная защита вывода модели может привести к раскрытию конфиденциальных данных 3️⃣ Уязвимости цепочки поставок (Supply Chain) Использование скомпрометированных компонентов, сервисов или наборов данных может вызвать нарушение целостности системы 4️⃣ Отравление данных и модели (Data and Model Poisoning) Подмена обучающихся данных ухудшает безопасность модели, что может привести к неприятным последствиям 5️⃣ Неправильная обработка вывода (Improper Output Handling) Отсутствие валидации и фильтрации результатов модели может приводить к выполнению вредоносного кода 6️⃣ Чрезмерная автономия (Excessive Agency) Предоставление модели слишком большой свободы действий без контроля может вызывать непредсказуемые последствия 7️⃣ Утечка системных промптов (System Prompt Leakage) Раскрытие системных инструкций модели может позволить атакующим обходить ограничения и взять под контроль поведение модели 8️⃣ Уязвимости в векторах и эмбеддингах (Vector and Embedding Weaknesses) Уязвимости в методах работы с эмбеддингами могут привести к манипуляциям с контекстом и результатов 9️⃣ Дезинформация (Misinformation) Модель может непреднамеренно распространять ложную или вводящую в заблуждение информацию, что в свою очередь несет большие риски 1️⃣0️⃣ Неограниченное потребление ресурсов (Unbounded Consumption) Перегрузка модели ресурсоемкими запросами может привести к отказу в обслуживании и финансовыми потерями