Endi mavjud! Telegram Tadqiqoti 2025 — yilning asosiy insaytlari 
Swordfish Security
Kanalga Telegram’da o‘tish
Помогаем компаниям выстраивать качественный и эффективный процесс безопасной разработки Наши сервисы: swordfish-security.ru Хабр: habr.com/ru/companies/swordfish_security/ Вопросы: info@swordfishsecurity.ru
Ko'proq ko'rsatish578
Obunachilar
-124 soatlar
Ma'lumot yo'q7 kunlar
+1030 kunlar
Ma'lumot yuklanmoqda...
O'xshash kanallar
Taglar buluti
Kirish va chiqish esdaliklari
---
---
---
---
---
---
Obunachilarni jalb qilish
Iyun '26
Iyun '26
+11
0 kanalda
May '26
+28
1 kanalda
Get PRO
Aprel '26
+10
0 kanalda
Get PRO
Mart '26
+10
0 kanalda
Get PRO
Fevral '26
+15
0 kanalda
Get PRO
Yanvar '26
+19
2 kanalda
Get PRO
Dekabr '25
+10
0 kanalda
Get PRO
Noyabr '25
+30
2 kanalda
Get PRO
Oktabr '25
+18
0 kanalda
Get PRO
Sentabr '25
+17
0 kanalda
Get PRO
Avgust '25
+32
0 kanalda
Get PRO
Iyul '25
+20
0 kanalda
Get PRO
Iyun '25
+38
0 kanalda
Get PRO
May '25
+35
2 kanalda
Get PRO
Aprel '25
+73
3 kanalda
Get PRO
Mart '25
+66
3 kanalda
Get PRO
Fevral '250
0 kanalda
Get PRO
Yanvar '250
0 kanalda
Get PRO
Dekabr '24
+3
0 kanalda
Get PRO
Noyabr '24
+7
0 kanalda
Get PRO
Oktabr '24
+162
0 kanalda
Get PRO
Sentabr '240
0 kanalda
Get PRO
Avgust '240
4 kanalda
Get PRO
Iyul '24
+135
1 kanalda
| Sana | Obunachilarni jalb qilish | Esdaliklar | Kanallar | |
| 23 Iyun | +1 | |||
| 22 Iyun | 0 | |||
| 21 Iyun | 0 | |||
| 20 Iyun | 0 | |||
| 19 Iyun | +3 | |||
| 18 Iyun | 0 | |||
| 17 Iyun | 0 | |||
| 16 Iyun | 0 | |||
| 15 Iyun | +2 | |||
| 14 Iyun | 0 | |||
| 13 Iyun | 0 | |||
| 12 Iyun | 0 | |||
| 11 Iyun | +1 | |||
| 10 Iyun | +1 | |||
| 09 Iyun | +1 | |||
| 08 Iyun | 0 | |||
| 07 Iyun | +1 | |||
| 06 Iyun | 0 | |||
| 05 Iyun | 0 | |||
| 04 Iyun | +1 | |||
| 03 Iyun | 0 | |||
| 02 Iyun | 0 | |||
| 01 Iyun | 0 |
Kanal postlari
🎤 Практика DevSecOps: анализ исходного кода
Сегодня команды выпускают код быстрее, чем когда-либо: используют open source, подключают внешних разработчиков и активно внедряют ИИ-инструменты. Но вместе со скоростью растут и риски: уязвимости в коде, небезопасные зависимости, утечки данных и ошибки, которые могут привести к серьезным последствиям для бизнеса.
🗓 24 июня в 15:00 в эфире AM Live эксперты обсудят, как выстроить эффективный процесс анализа безопасности исходного кода в современных условиях разработки.
В нем примет участие Александр Гадай, руководитель службы консалтинга Swordfish Security.
Вы узнаете:
🎱какие проверки исходного кода необходимы в 2026 году,
🎱почему одного SAST уже недостаточно,
🎱как работать с open source-зависимостями,
🎱и как встроить безопасность в разработку без конфликтов с командами.
➡️ Регистрируйтесь по ссылке.
🐟 Рассылка | Max | Habr
#мероприятияSFS
| 2 |  🛡 Атаки на ИИ требуют новых подходов к безопасности
32% руководителей и специалистов по ИБ отмечают, что ИИ-угрозы стали самым частым вопросом на встречах с акционерами и топ-менеджментом.
Причина в том, что ИИ-системы создают новые векторы атак, которых не было в классических приложениях. Среди наиболее актуальных угроз:
🎱Внедрение вредоносных инструкций через внешние данные (Prompt Injection).
🎱Обход встроенных ограничений для выполнения несанкционированных действий в ИТ-контуре (Jailbreak).
🎱Утечка конфиденциальных данных через RAG-системы.
🎱Атаки на цепочку поставок ML (Supply Chain).
🎱Состязательные атаки (Adversarial Examples).
ИИ-системы имеют свои особенности, устроены сложнее, а их защиту обойти зачастую проще, чем защиту традиционного ПО. Искусственный интеллект изменил все, в том числе и характер угроз, которым подвергаются компании, внедряющие ИИ в свой контур.
— отмечает Юрий Шабалин, директор по развитию безопасных технологий ИИ Swordfish Security.
Подробнее на CISOCLUB.
➡️ Для инженеров по кибербезопасности мы создали открытую таксономию угроз ИИ. Она объединяет около 80 типов уязвимостей и угроз для ИИ-систем, а также рекомендации по их выявлению и снижению рисков.
🐟 Рассылка | Max | Habr
#ЭкспертизаSFS #AISecurity | 155 |
| 3 |  +5🔍 Инструмент дня — Semgrep
Продолжаем делиться инструментами, которые помогают нашим инженерам эффективно анализировать безопасность приложений.
Анна Данилова, руководитель направления статического анализа безопасности приложений Swordfish Security, рассказала про open-source SAST-инструмент кода Semgrep.
Листайте карточки. 🔼
🐟 Рассылка | Max | Habr
#ИнструментыDevSecOps #DevSecOps #SAST | 159 |
| 4 |  Video xabar | 200 |
| 5 |  Video xabar | 186 |
| 6 |  Video xabar | 178 |
| 7 |  +4⚙️ В нашей Лаборатории ИИ мы не только исследуем безопасность искусственного интеллекта, но и ищем способы применять его в бизнес-процессах компании.
Давид Ким, менеджер ИИ-продуктов Swordfish Security, рассказал, как ИИ помогает ему быстрее запускать новые сервисы и автоматизировать рутинные задачи.
А также Давид поделился полезными рекомендациями по работе с нейросетями. Смотрите в кружках. 👇
🐟 Рассылка | Max | Habr
#SFS_life #ЭкспертизаSFS | 194 |
| 8 |  🎙 Вебинар по безопасности ИИ: как выявлять угрозы и выстраивать защиту
С распространением систем ИИ появляются новые классы угроз и уязвимостей, затрагивающие LLM, агентные системы и ML-решения. Такие риски требуют отдельного подхода к анализу и проверке защищенности.
23 июня в 14:00 на вебинаре разберём ключевые риски, требования регуляторов и подходы к защите ИИ-решений, а также поделимся практическим опытом проведения аудитов их безопасности.
Вы узнаете:
🎱какие угрозы актуальны для ML-моделей, LLM и ИИ-агентов на каждом этапе разработки и внедрения;
🎱какие практики и инструменты помогают защищать ИИ-системы;
🎱как проводить аудит безопасности ИИ-решений с помощью фреймворка Swordfish SAIMM;
🎱какие требования и стандарты в области регулирования ИИ действуют в России и почему их важно учитывать уже сейчас.
🎁 Бонус для участников – чек-лист для оценки безопасности ИИ-агентов и полезные материалы для дальнейшего изучения темы.
Вебинар проведут Александр Гадай, руководитель службы консалтинга, и Денис Данилов, инженер по безопасности приложений.
➡️ Регистрируйтесь, подключайтесь к эфиру и задавайте вопросы экспертам.
🐟 Рассылка | Max | Habr
#ВебинарыSFS #AISecurity | 222 |
| 9 |  📱Что важно знать про безопасность мобильных приложений
Собрали ключевые тезисы с прошедшего вебинара для тех, кто занимается мобильной безопасностью. ⬇️
1️⃣ Мобильные приложения требуют комплексной защиты
Поскольку заранее неизвестно, на каком устройстве будет установлено приложение, любая среда его выполнения считается недоверенной. Поэтому важно защищать всё, что оно обрабатывает: секреты для интеграции со сторонними сервисами, персональные данные пользователей и коммерчески значимую информацию.
2️⃣ Стандарты помогают понять, что защищать и как это проверять
В сообществе по безопасности мобильных приложений известны два стандарта OWASP. OWASP MASVS определяет требования к безопасности мобильного ПО, а OWASP MASTG описывает подходы к проверке их защищённости. Для отдельных категорий приложений действуют и отраслевые требования, например стандарты НСПК для решений бесконтактной оплаты и токенизации.
3️⃣ Кроссплатформенные приложения становятся новым вызовом для ИБ
Сегодня около 67% новых мобильных приложений создаются на кроссплатформенных технологиях. Они позволяют ускорить разработку, но для ИБ-команд часто становятся слепым пятном: методологии тестирования ещё не успевают за скоростью развития этих технологий
Ещё одна угроза — большое количество сторонних плагинов с уязвимостями, о которых разработчики либо не знают, либо не считают необходимым их устранять. Дополнительную сложность создаёт отсутствие зрелых методик тестирования, из-за чего оценивать безопасность таких приложений значительно труднее.
— рассказал Владислав Ржевский, инженер по безопасности мобильных приложений Swordfish Security.
4️⃣ Для полноценной защиты нужен пентест
Покупка RASP-решения, использование готовых библиотек и помощь ИИ-инструментов не гарантируют безопасность приложения. Защита может быть внедрена с ошибками, известные реализации могут обходиться стандартными техниками, а код, сгенерированный ИИ, зачастую наследует недостатки публичных репозиториев, на которых обучались модели.
💡 Практическая проверка позволяет убедиться, что внедрённые меры безопасности действительно работают.
🐟 Рассылка | МАКС | Habr
#MAST | 167 |
| 10 |  📊 45% компаний внедряют ИИ без отдельного бюджета на его защиту
По данным исследований, почти половина российских компаний внедряет искусственный интеллект без инвестиций в его безопасность.
🛍 Примерно 80% организаций уже применяют ИИ в бизнес-процессах, ещё 35% рассматривают его как стратегический приоритет на ближайшие годы. При этом только 25% компаний имеют формализованные политики информационной безопасности для ИИ-сервисов.
Технологии ИИ уже активно используются в разработке, аналитике, клиентском обслуживании и работе с корпоративными данными. При этом правила безопасного применения и управление рисками часто остаются фрагментарными или формируются уже после внедрения решений.
Мы наблюдаем типичную ситуацию технологического опережения: ИИ внедряется быстрее, чем формируются процессы его безопасного использования. Компании фактически масштабируют новую поверхность атаки, не всегда осознавая это. Вместе с преимуществами появляются и новые риски, связанные с данными, доступом к корпоративной информации и управлением цифровыми активами.
Безопасность ИИ должна рассматриваться не как отдельная техническая задача, а как часть общей стратегии управления рисками бизнеса. Важно заранее определять правила использования ИИ, контролировать данные, которые передаются в модели, обеспечивать прозрачность работы сервисов и регулярно оценивать потенциальные угрозы. Такой подход позволяет компаниям масштабировать использование ИИ без ущерба для безопасности и устойчивости бизнеса.
— отмечает Александр Пинаев, генеральный директор ГК Swordfish Security
Что важно учитывать при работе с ИИ:
🎱Безопасность ИИ должна быть встроена в общую систему кибербезопасности компании.
🎱Необходимо заранее определять категории данных, допустимых для использования в ИИ-инструментах.
🎱Требуются единые внутренние правила использования ИИ для сотрудников и подрядчиков.
🎱ИИ-сервисы стоит регулярно проверять на риски утечек и некорректной обработки данных.
🐟 Рассылка | МАКС | Habr
#ЦифраДня #AISecurity | 188 |
| 11 |  +3⌨️ Как мы используем ИИ в работе и повседневной жизни?
Мы решили узнать у коллег, какие задачи они уже доверяют нейросетям, чем ИИ помогает им в работе и за ее пределами.
⤴️ Владимир Телепов, инженер по безопасности приложений, рассказал, как использует ИИ для написания скриптов, поиска информации, задач багбаунти и не только.
А как ИИ помогает вам? Делитесь в комментариях.
🐟 Рассылка | МАКС | Habr
#ЭкспертизаSFS | 207 |
| 12 |  🛡 Лучшие практики построения процесса SCA
Сегодня до 90% современного ПО состоит из сторонних компонентов с открытым исходным кодом, а значит вместе с ними в продукт могут попасть уязвимости, лицензионные риски и проблемы цепочки поставок.
Композиционный анализ (SCA) позволяет контролировать состав программного обеспечения, выявлять уязвимые зависимости, отслеживать лицензионные ограничения и своевременно принимать меры по снижению рисков.
В новой статье рассказываем про основные принципы работы и лучшие практики применения SCA:
🎱Как организовать процесс SCA: от генерации SBOM до анализа результатов сканирования.
🎱Какие данные используются для идентификации компонентов и поиска уязвимостей.
🎱Зачем анализировать транзитивные зависимости и настраивать политики безопасности.
🎱Как работают анализ достижимости и непрерывный мониторинг компонентов.
Читайте на портале рбпо.рф. 🖥
🐟 Рассылка | МАКС | Habr
#ЭкспертизаSFS #SCA | 209 |
| 13 | Вебинар по безопасности мобильных приложений — скоро начинаем 🎙
Подключайтесь к трансляции в МТС Линк в 14:00 МСК.
Наши эксперты расскажут в прямом эфире:
Какие существуют стандарты безопасности
Что находят Bug Bounty
Как работает пентест на практике
Угрозы и риски кроссплатформенных решений
Безопасность и вайбкодинг
▶️ Смотрите эфир, задавайте вопросы спикерам. | 257 |
| 14 |  🎤 Как выстроить безопасность Kubernetes через GitOps расскажем на БеКоне
2 июня Андрей Орехов, руководитель группы безопасности контейнерных сред Swordfish Security, выступит на конференции БеКон с докладом «GitOps — мозг для политик безопасности».
📍 Москва, Лофт ГОЭЛРО, трек: «Ингредиенты»
🕙 16:40
О чем доклад:
▶️ Архитектура решения: связка ArgoCD + Gatekeeper + Vault для управления безопасностью.
▶️ Масштабирование: иерархия зон через лейблы — как управлять сотнями кластеров из одной точки.
▶️ Принцип наименьших привилегий: минимальные права на внешних кластерах.
▶️ Гибкость правил: гранулярные исключения в Rego без потери контроля.
▶️ Наблюдаемость: полный мониторинг состояния политик в Grafana.
Приходите послушать доклад и задать интересующие вопросы.
🐟 Рассылка | МАКС | Habr
#мероприятияSFS | 251 |
| 15 |  🛡 Оценка инструментов безопасности с использованием ИИ
ИИ-системы становятся сложнее и автономнее, поэтому командам безопасности важно понимать, какие агенты используются в компании, с какими инструментами и моделями они работают и как взаимодействуют между собой.
Эффективная защита требует целостной платформы безопасности ИИ, которая объединяет прозрачность, обеспечение соблюдения политик и защиту от угроз во всей агентной экосистеме.
В новом руководстве разбираем пятиэтапную модель безопасности ИИ:
▶️Обнаружение – как получать полную видимость моделей, агентов и данных
▶️ Оценка – как анализировать риски и выявлять уязвимости
▶️ Защита – как контролировать действия ИИ-систем и предотвращать атаки
▶️ Управление – как выстраивать политики, контроль и соответствие требованиям
▶️Измерение – как проверять эффективность защитных механизмов и отслеживать изменения поведения ИИ.
Материал будет полезен директорам по информационной безопасности и командам, которые занимаются внедрением и контролем ИИ-инструментов в компании.
Скачивайте на нашем сайте 🖥
Если хотите снизить риски при внедрении ИИ и выстроить устойчивую систему безопасности, Swordfish Security поможет оценить защищенность и выстроить процессы в соответствии с требованиями регуляторов.
🐟 Рассылка | МАКС | Habr
#AISecurity | 204 |
| 16 |  +5🫢 «Игнорируй предыдущие инструкции…»
Именно с такой фразы сегодня могут начинаться атаки на ИИ-системы.
Prompt Injection — это атака, при которой злоумышленник внедряет инструкции в пользовательский ввод, email, документ или другой контент так, что LLM начинает игнорировать исходные правила (system prompt/политики безопасности) и выполнять действия, задуманные атакующим: раскрывать конфиденциальные данные, обходить ограничения или генерировать команды для внешних систем.
В OWASP эта проблема входит в список ключевых рисков для GenAI как LLM01:2025 Prompt Injection. Особенно опасны такие атаки для ИИ-агентов, Copilot-систем и RAG-приложений, у которых есть доступ к корпоративным данным и внешним API.
Представьте ИИ-ассистента, который работает с корпоративной почтой и документами. Атакующий может отправить email или разместить файл со скрытыми инструкциями, и когда агент начнет его обрабатывать, модель станет выполнять команды злоумышленника. Обнаружить такие атаки крайне сложно. Даже если вредоносных документов в базе меньше 1%, этого уже может быть достаточно, чтобы нарушить поведение агента. Для злоумышленников подобные неординарные данные становятся “серебряной пулей”, потому что показывают сверхвысокую эффективность.
— поделился Михаил Черешнев, ведущий инженер по ИИ и безопасности ГК Swordfish Security.
🔼 Читайте в карточках, какие бывают виды Prompt Injection, как работает эта атака и как от неё защищаться.
🐟 Рассылка | МАКС | Habr
#ЭкспертизаSFS #Понятно_о_AISecurity | 286 |
| 17 | +5 🫢 «Игнорируй предыдущие инструкции…»
Именно с такой фразы сегодня могут начинаться атаки на AI-системы.
Prompt Injection — это атака, при которой злоумышленник внедряет инструкции в пользовательский ввод, email, документ или другой контент так, что LLM начинает игнорировать исходные правила (system prompt/политики безопасности) и выполнять действия, задуманные атакующим: раскрывать конфиденциальные данные, обходить ограничения или генерировать команды для внешних систем.
В OWASP эта проблема входит в список ключевых рисков для GenAI как LLM01:2025 Prompt Injection. Особенно опасны такие атаки для AI-агентов, Copilot-систем и RAG-приложений, у которых есть доступ к корпоративным данным и внешним API.
Представьте AI-ассистента, который работает с корпоративной почтой и документами. Атакующий может отправить email или разместить файл со скрытыми инструкциями, и когда агент начнет его обрабатывать, модель станет выполнять команды злоумышленника. Обнаружить такие атаки крайне сложно. Даже если вредоносных документов в базе меньше 1%, этого уже может быть достаточно, чтобы нарушить поведение агента. Для злоумышленников подобные неординарные данные становятся “серебряной пулей”, потому что показывают сверхвысокую эффективность.
— поделился Михаил Черешнев, ведущий инженер по ИИ и безопасности ГК Swordfish Security.
🔼 Читайте в карточках, какие бывают виды Prompt Injection, как работает эта атака и как от неё защищаться.
🐟 Рассылка | МАКС | Habr
#ЭкспертизаSFS #Понятно_о_AISecurity | 0 |
| 18 |  🎙 Вебинар по безопасности мобильных приложений: как обеспечить защиту и соответствие требованиям регуляторов
Скорость мобильной разработки растёт, AI-инструменты генерируют код быстрее, чем команды успевают его проверять. Цифровые сервисы, государственные платформы, мобильные личные кабинеты и платёжные решения оказываются под угрозой, которую традиционные подходы к защите уже не покрывают.
28 мая в 14:00 расскажем на вебинаре о том, как адаптировать процессы мобильной безопасности к новой реальности.
Вы узнаете:
🎱как защищать мобильные приложения в условиях ускоренной разработки;
🎱что требуют регуляторы и действующие методики и почему большинство из этих требований невозможно выполнить без практической проверки защищённости;
🎱зачем мобильному приложению пентест и почему это уже обязательный элемент защиты.
Вебинар проведут Александр Гадай, руководитель службы консалтинга, Арсентий Карпов, старший инженер по безопасности мобильных приложений и Владислав Ржевский, инженер по безопасности мобильных приложений.
➡️ Регистрируйтесь, приходите и задавайте вопросы.
🐟 Рассылка | МАКС | Habr
#ВебинарыSFS | 1 723 |
| 19 |  🧑💻 Проверьте безопасность навыков вашего AI-агента
Навыки AI-агента — это переносимые модули процедурной памяти, включающие инструкции, критерии и ресурсы, которые агент подгружает по мере необходимости для выполнения задач.
Примеры: доступ к браузеру, чтение файлов, использование векторных баз данных, отправка сообщений, работа с API и внешними сервисами.
📄 Мы подготовили практический чек-лист для оценки безопасности навыков AI-агентов в соответствии с OWASP Agentic Skills Top 10 и фреймворком Swordfish: SAIMM.
Он позволяет оценить:
▶️общие правила работы агента,
▶️критические уязвимости,
▶️уязвимости высокого и среднего уровня.
Это быстрый способ понять, где агент может быть уязвим и какие риски стоит закрыть в первую очередь.
➡️ Пройти интерактивный опрос
🐟 Рассылка | МАКС | Habr
#AISecurity #MLSecOps | 220 |
| 20 |  👌 Агентный ИИ: как внедрять автономные цифровые системы безопасно
В ближайшие годы агентные системы будут формировать основу корпоративной автоматизации. И компании, которые сегодня правильно выстраивают фундамент безопасности, смогут внедрять автономные технологии быстрее и гораздо увереннее.
В новом руководстве разбираем:
🎱как меняются цифровые системы с приходом агентного ИИ,
🎱какие уязвимости возникают в цепочках действий и логике принятия решений,
🎱как выстроить безопасную архитектуру для агентных систем,
🎱как компании сейчас проходят путь внедрения агентного ИИ.
Скачивайте руководство на нашем сайте. 🖥
Хотите снизить риски и обеспечить устойчивость ИИ-систем?
Swordfish Security проводит аудит безопасности и помогает выстроить процессы в соответствии с требованиями регуляторов.
🐟 Рассылка | МАКС | Habr
#AISecurity | 215 |
