14582
All materials published on the channel are for educational and informational purposes only. Чат: @poxek_chat Рекламный менеджер: @not_savely Купить рекламу: https://telega.in/c/poxek РКН: https://clck.ru/3FsVhp
Server-Side XSS → SSRF → Компрометация облачной инфраструктуры: как одна картинка стоила целого облака
В этой статье разберем атаку, начавшуюся с уязвимости XSS в генераторе изображений и завершившуюся получением полного доступа к облачной инфраструктуре.
https://blog.deteact.ru/serverside-xss-ssrf-cloud-hacking/
AI & LLM & ML BugBounty Hacktivity
#ai #llm #ml #bugbounty #jailbreak #llama #huggingface
Если вам интересна тема пентеста LLM, AI, ML, как багхантить такие штуки и т.д., то извечным способом улучшения насмотренности и понимания направления - хороший способом считается читать чужие репорты на бб.
🔗Huntr Hacktivity
🌚 @poxek | 🌚 Блог | 📺 poxek_official/videos">YT | 📺 RT | 📺 poxek_official">VK
Посидел за компуктером 20 минут и уже награду дали 😎
Спасибо большое RedShift.MeetUp за теплый прием и статуэтку)
🌚 @poxek | 🌚 Блог | 📺 poxek_official/videos">YT | 📺 RT | 📺 poxek_official">VK
Когда ты еще не приехал, но твои папищики-шпиёны уже знают где ты будешь через 15 минут ❤️
🌚 @poxek | 🌚 Блог | 📺 poxek_official/videos">YT | 📺 RT | 📺 poxek_official">VK
🚀 Обратная сторона медали
Мы — серьёзная организация. Решаем задачи информационной безопасности, разрабатываем продукты и выпускаем обновления не по фазам луны, а по плану.
Но наш телеграм-канал – это совсем другая история 😏
Здесь мы рассказываем о технологиях простым языком, делимся новостями и иногда даже шутим над собой. Потому что даже самые серьёзные эксперты по кибербезопасности когда-то были джунами, которые гуглили «что такое zero trust».
Avanpost – когда нужно серьёзно, мы серьёзно. А когда можно расслабиться — мы в телеграме 👈
How Anthropic teams use Claude Code
#Anthropic #Claude #vibecoding #coding #dev #ai #ии
PDFка от Anthropic, где они делятся своим опытом использования Claude Code для разработки, безопасности, API и т.д. Это не читшит/гайд с промптами или как правильно, а как не правильно. В каждой теме команда приводит пример последотельности мыслей/действий и топ советов, как использовать Claude Code под конкретную задачу
Оглавление:
Claude Code for data infrastructure
Claude Code for product development
Claude Code for security engineering
Claude Code for inference
Claude Code for data science and visualization
Claude Code for API
Claude Code for growth marketing
Claude Code for product design
Claude Code for RL engineering
Claude Code for legal
🔗pdf прикреплена к посту
🌚 @poxek | 🌚 Блог | 📺 poxek_official/videos">YT | 📺 RT | 📺 poxek_official">VK
Интересное видео с демонстрацией Account Takeover через punycode
https://youtu.be/Cj1sOFHDClM
А также статья с примером, как багхантер получил баунти за такую багу
https://infosecwriteups.com/the-most-underrated-0-click-account-takeover-using-punycode-idn-attacks-c0afdb74a3dc
🌚 @poxek
Интересный опыт, правда такое практиковали уже лет 5-10 назад точно
Читать полностью…
Cellebrite + Corellium = 😧
#mobile #Apple #cellebrite #corellium #DevSecOps
Cellebrite объявила о соглашении по приобретению Corellium — лидера в области виртуализации Arm-устройств. Эта сделка объединяет передовые технологии и экспертизу обеих компаний, чтобы вывести на новый уровень исследования уязвимостей, анализ вредоносного ПО, DevSecOps для смарт-устройств и мобильный пентест. Благодаря этому решению клиенты из госсектора, обороны, разведки и частного бизнеса получат:
➡️Более быстрое выявление уязвимостей и эксплойтов для мобильных устройств
➡️Возможность интерактивно работать с виртуальными устройствами, что существенно ускорит расследования и разработку
➡️Повышенную эффективность и скорость DevSecOps для всех устройств на базе Arm
➡️Динамичный, нативный мобильный пентест
Corellium интегрирует свою уникальную платформу виртуализации, позволяя специалистам буквально «гулять» по устройству, исследовать его содержимое без риска изменения данных. Основатель Corellium Крис Уэйд станет новым CTO Cellebrite. Сделка оценивается в $170 млн наличными плюс до $30 млн при достижении определённых KPI за два года. Ожидается, что приобретение расширит присутствие Cellebrite в обоих секторах рынка, а также усилит её платформу цифровых расследований и решения для безопасной разработки IoT, мобильных и автомобильных систем. Закрытие сделки запланировано на лето 2025 года, после одобрения регуляторов.
🔗Источник
Также нашёл статью с историями, как взламывали смартфоны alice_0byte1/bTEaEDUa4m9">ВОТь. Автор статьи админ канала
🌚 @poxek | 🌚 Блог | 📺 poxek_official/videos">YT | 📺 RT | 📺 poxek_official">VK | 🌚 Мерч
CI/CD под прицелом: реальные сценарии атак и методы противодействия
#CICD #DevSecOps #AppSec #IAM #cloud #облако #безопаснаяразработка
Почему CI/CD так важен? Он представляет собой автоматизированный конвейер сборки и доставки ПО и, если говорить в контексте безопасности, существует целый ряд критичных инцидентов безопасности, например внедрение бэкдоров в ПО, подмена артефактов (supply chain), утечка чувствительных данных клиентов, компрометация deployment environment и так далее.
🔗 А если посмотреть на проблемы в контексте разработки публичного облака?
🌚 @poxek | 🌚 Блог | 📺 poxek_official/videos">YT | 📺 RT | 📺 poxek_official">VK | 🌚 Мерч
Один из подписчиков задал вопрос в чате, какие у кого пет проекты. Пишите в комментариях, что пишите, ссылки на репозитории, если оно паблик, накидаем звездочек) Также расскажите, почему выбрали такой пет проект и какая мотивация его развивать.
А если нет пет проектов, то пофантазируйте, что хотелось бы написать)
Прочитаю все комменты)
🌚 @poxek
Новые атаки GOFFEE: разбор Kill Chain и анализ вредоносного ПО
#reverse #malware #killchain #forensic #форензика
В прошлом и нынешнем году коллеги из «Лаборатории Касперского» и BI.Zone рассказывали о группировке GOFFEE (Paper Werewolf). В конце мая автор статьи снова фиксировали ее активность, но немного в другом обличии — можно сказать, в новой овечьей шкуре. Автор статьи Никита Полосухин, ведущий аналитик центра мониторинга и реагирования на кибератаки, и я расскажу, как сейчас действует GOFFEE и как обнаружить их присутствие в инфраструктуре.
Что изменилось?
Итак, сначала к главному:
У вредоносного документа во вложении фишингового письма имеется уязвимость загрузки удаленных шаблонов СVE-2017-0199. Полезная нагрузка, как и ранее, находится в самом документе, закодированная в base64, но вредоносный макрос, который запускает ее, теперь скачивается в шаблоне.
PowerModul загружает основную нагрузку в память через [System.Reflection.Assembly]::Load, что не встречалось в атаках этой группировки в прошлом.
🔗А теперь — разбор.
🌚 @poxek | 🌚 Блог | 📺 poxek_official/videos">YT | 📺 RT | 📺 poxek_official">VK | 🌚 Мерч
🔥 9.9 Critical
Post Auth RCE для Roundсube
Небезопасная десериализация. Инжектится через GET-параметр _from, — в Roundcube он указывает на раздел, куда надо вернуться, после отправки сообщения.
?_task=settings&_action=upload&_from=mail%2Finbox
_from сериализованным объектом.rcube_pgp_engine → Crypt_GPG_Engine.unserialize().
В кроличьей норе. Штурмуем отладочную консоль «Яндекс Станции»
#IDA #reverse #Яндекс #IoT #железо #hardware
Эта статья появилась в процессе реверса прошивок «Яндекс Станций». Автор провел реверс U-Boot процессора умной колонки и создал утилиту для его извлечения из расшифрованного загрузчика. Способ универсален для всех подобных устройств и, возможно, других гаджетов с чипом Amlogic.
Разработанный мной метод подойдет для:
➡️«Станции Mini2» (YNDX-00020/21);
➡️«Станции Lite» (YNDX-00025);
➡️«Станции Max» (YNDX-00053/0008);
➡️других устройств на Amlogic S905X2 (G12) и A113X (AXG).
В процессе автор расскажу о паре интересных плагинов для IDA: с помощью Diaphora мы позаимствуем информацию из схожего опенсорсного проекта, а FindCrypt поможет нам отыскать криптографические константы.
🔓 Читать далее
🌚 @poxek | 🌚 Блог | 📺 poxek_official/videos">YT | 📺 RT | 📺 poxek_official">VK | 🌚 Мерч
🛸🛸ASSUME BIRCH MEETUP
#митап
📆Когда: 10.07.2025
🕰 Начало: 18:30
📍Точная локация будет указана в персональном приглашении.
Опять никакой открытой регистрации, только инвайты!
❓Какие будут доклады?
В этот раз какая-то тайна и еще не дропнули.
⚡️Как получить проходку?
Следить за новостями в канале Assume Birch.
Спросить у друга, а может у него +1 (у меня уже нет :)
❤️ Организаторы дали мне 5 инвайтов на розыгрыш )) За что им большое спасибо!
В конкурсе учавствовать строго только тем, кто приедет 10.07.2025 вечером на ивент.
🕰Розыгрыш будет до 27.06.2025 13:37
Жду тебя на встрече!
🌚 @poxek
Телепортируемся на Yandex Yet Another BugBounty Meetup 25
#yandex #bugbounty
🌚 @poxek | 🌚 Блог | 📺 poxek_official/videos">YT | 📺 RT | 📺 poxek_official">VK
RedShift.MeetUp
😉На мероприятии выступят специалисты из ведущих IT-компаний.
➡️ Программа мероприятия
В программе также запланирован круглый стол, где руководители компаний обсудят актуальные запросы бизнеса в сфере ИБ: образование, навыки, опыт.
🌚 @poxek | 🌚 Блог | 📺 poxek_official/videos">YT | 📺 RT | 📺 poxek_official">VK
Burp Suite есть — и ты уже почти багхантер: 10 инструментов, с которых начинается путь к уязвимостям и миллиону
В новом выпуске «Начинаем в багбаунти» Сергей Зыбнев aka poxek, эксперт компании «Бастион», и Анатолий Иванов aka c0rv4x, руководитель Standoff Bug Bounty, собрали топ-10 базовых инструментов, с которых начинается багхантинг.
В видео рассмотрим кейсы применения инструментов и продемонстрируем использование некоторых из них (а также проведем небольшой small talk о багбаунти в целом и обсудим, как все-таки лучше хантить).
💬 Что еще внутри:
• С чего начать новичкам и как не утонуть в тулзах.
• Альтернативы каждому инструменту, если что-то пошло не так.
• Немного советов из личной практики, немного нейронок, немного боли.
Must-watch для тех, кто потерялся в разнообразии инструментов и хочет сделать поле своей работы понятным и прозрачным.
Смотрите ролик на любой удобной платформе:
📺 YouTube 📺 Rutube 📺 VK Видео
Exchange Mutations. Вредоносный код в страницах Outlook
#exchange #MS #Microsoft #Outlook #JS #aspx
В мае 2024 года специалисты команды PT ESC обнаружили атаку с использованием неизвестного кейлоггера, внедренного в главную страницу зараженного Exchange Server. В текущем году специалисты команды киберразведки при участии команды анализа уязвимостей экспертного центра фиксировали те же атаки без модификации исходного кода кейлоггера. Дальнейшее изучение Javascript‑кода главной страницы Outlook и ее сравнение с исходным кодом скомпрометированных страниц позволило выявить ряд аномалий, не свойственных стандартной реализации Exchange Server. Благодаря этому удалось обнаружить другие образцы вредоносного кода.
Все полученные кейлоггеры можно разделить на две группы:
➡️Записывают собранные данные в локальный файл, к которому есть доступ извне.
➡️Сразу отправляют собранные данные на внешний сервер.
🔗Читать далее
🌚 @poxek | 🌚 Блог | 📺 poxek_official/videos">YT | 📺 RT | 📺 poxek_official">VK
Security Gate (DevSecOps cicd)
#devsecops #appsec #CICD #SAST #DAST #SCA #docker
Предисловие
Всем приветы! Меня зовут Антон, я Tech Lead DevSecOps в местной биг-тех компании. Хочу начать с кратенького предисловия, почему я решил написать что-нибудь про DevSecOps. Я довольно-таки часто сталкиваюсь с непониманием, что же автоматизируют и для чего нужны DevSecOps инженеры, где их место в компании и в современном ИБ. Да и что далеко ходить, многие коллеги DevOps, сами считают, что с добавлением trivy или sonarqube в пайплайны, ты уже носишь гордое звание DevSecOps.
🔗Поэтому в этой статье поговорим о том, как должны выглядеть DevSecOps пайплайны, чтобы они трансформировались во что-то зрелое. В Security Gate!
🌚 @poxek | 🌚 Блог | 📺 poxek_official/videos">YT | 📺 RT | 📺 poxek_official">VK | 🌚 Мерч
«Ваше лицо скомпрометировано!»
В одной из бизнес-центров, где расположен офис наших партнеров, внедрили две системы пропусков:
1. По одноразовому QR-коду
2. По биометрии, а именно лицу
И если с первой всё окей, работает как часы и вполне надежно, то со второй есть проблемы. Терминал с камерой для QR и лица - один и тот же, и лицо, как и QR, распознаются, судя по всему, одним ПО! Уже чувствуете подвох?
Для проверки QR достаточно считать пиксели и проверить одноразовый код в базе, а вот для проверки лица этого явно недостаточно. Ведь основа биометрии не секретность, как мы писали неоднократно ранее. Основа биометрии — качество проверки, умение отличить настоящее лицо от подделки!
Отличить настоящего человека от:
- Фотки на телефоне
- Распечатанного фото
- Человека в накладной маске
- Человека в тонкой (проводящей тепло) маске
И иных способов мимикрии.
Как вы понимаете, уже первую строчку терминал БЦ не прошел, бликующей фотографии лица на экране телефона оказалось достаточно, чтоб войти в БЦ. Никакой проверки на «живость» в помине нет. Притом что сотрудник уже входил и обратно не выходил. Малейший антифрод тоже отсутствовал.
Партнеры предъявили это охране, и как они отреагировали?
Заблокировали вход сотруднику по лицу, мотивировав тем, что «Ваше лицо скомпрометировано!». Видимо считая, что каждый должен ходить в парандже и приоткрывать свое секретное лицо исключительно на входе в БЦ.
Когда нам рассказали, мне было очень смешно, и я предложил в будущем сфоткать лицо начальника охраны и «скомпрометировать» и его. Интересно, какая будет реакция?
Сегодня мы погрузимся в ностальгию и разберем, как старенькая, но любимая многими игра "Герои Меча и Магии V" может стать лазейкой для выполнения вредоносного кода.
Вектор атаки: карты — это не то, чем кажутся
В "Героях V" есть редактор карт, с помощью которого игроки могут создавать свои миры и делиться ими. Эти карты имеют расширение .h5m, но на самом деле это обычные ZIP-архивы. Внутри такого архива лежит несколько файлов, но для нас самый интересный — name.txt. Этот файл содержит название карты, и игра считывает его, как только вы заходите в меню выбора карт для начала новой игры.
Игра использует собственную библиотеку для работы с ZIP-архивами. Когда вы открываете список карт, игра должна распаковать name.txt из каждого .h5m файла, чтобы показать вам их названия.
Уязвимость: переполнение кучи на доверии
Проблема возникает в процессе распаковки. Вот как это выглядит на техническом уровне:
➡️Выделение памяти: Игра смотрит на метаданные файла name.txt внутри ZIP-архива, а именно на поле m_UncompressedSize. Это поле говорит, сколько места понадобится для распакованного файла. На основе этого значения игра выделяет буфер в памяти (в куче) с помощью кастомного аллокатора H5_alloc.
➡️Распаковка: Затем вызывается функция Uncompress, которая использует библиотеку zlib, а конкретно функцию inflateBack. Эта функция распаковывает данные.
➡️Копирование: inflateBack вызывает специальную callback-функцию zlib_out, которая и копирует распакованные данные в тот самый буфер, который был выделен на первом шаге.
Ключевая уязвимость заключается в том, что игра слепо доверяет значению m_UncompressedSize из заголовка ZIP-файла. Что, если мы создадим вредоносный архив, где m_UncompressedSize будет маленьким (например, 0x800 байт), а реальный размер распакованных данных — гораздо больше (например, 0x2000 байт)? В этом случае zlib_out попытается записать 0x2000 байт в буфер размером 0x800 байт. Результат — классическое переполнение кучи (heap overflow).
Эксплуатация: от переполнения к RCE
Теперь самое интересное — как превратить это переполнение в выполнение своего кода.
Поиск цели: Наша задача — перезаписать что-то важное в памяти. Идеальная цель — указатель на таблицу виртуальных функций (vtable) какого-нибудь объекта. Если мы заменим этот указатель на свой, то при вызове метода этого объекта управление перейдет к нашему коду.
Исследователи обнаружили, что из-за особенностей работы кастомного аллокатора H5_alloc можно довольно предсказуемо разместить наш вредоносный буфер рядом с определенным объектом. С помощью скрипта для IDA Python они выяснили, что объект типа NGScene::CLightStateNode почти всегда находится на одном и том же расстоянии от буфера, выделяемого для name.txt.
➡️Построение цепочки: У игры не включена рандомизация адресного пространства (ASLR), так что адреса кода и данных известны заранее. Однако мы не контролируем стек напрямую, поэтому классический ROP (Return-Oriented Programming) не подходит. Вместо этого используется техника JOP/COP (Jump/Call-Oriented Programming).
Схема эксплойта выглядит так:
0️⃣Создается карта .h5m со специально подготовленным файлом name.txt. В его ZIP-заголовке указывается маленький размер, а внутри — большой объем данных (шеллкод).
1️⃣Когда игра пытается показать название карты, происходит переполнение кучи.
2️⃣Переполнение перезаписывает vtable объекта NGScene::CLightStateNode, указывая на первый гаджет в нашей JOP-цепочке.
3️⃣Когда игра пытается освободить этот объект, вызывается его деструктор через подмененную vtable, и управление передается нашему первому гаджету.
4️⃣Цепочка гаджетов выполняет "пивот" стека: указатель стека (ESP) перемещается так, чтобы он указывал на контролируемую нами область памяти внутри перезаписанного объекта.
5️⃣Далее выполняется стандартная ROP-цепочка, которая загружает kernel32.dll, находит адрес функции WinExec и запускает calc.exe.
Вуаля! При простом наведении на вредоносную карту в меню игры у пользователя запускается калькулятор, а мог бы запуститься любой другой вредоносный код.
🔗Источник
🌚 @poxek | 🌚 Блог | 📺 poxek_official/videos">YT | 📺 RT | 📺 poxek_official">VK | 🌚 Мерч
Escплуатация. Повышение привилегий с использованием AD CS
#AD #ADCS #LSASS #Kerberosting #DCSync
Команда авторов взаимодействует с этичными хакерами в различных red‑team‑проектах, реализуемых для наших заказчиков. Пока хакеры занимаются поиском уязвимых мест и различных недостатков в системах заказчиков, они — аналитики — занимаются комплексным анализом системы, оценкой уязвимостей и их последствий в контексте угрозы для заказчика, составляем список рекомендаций и мер и представляем все обнаруженное хакерами и проанализированное ими в форме понятных отчетов. В процессе работы над подобными проектами они провели множество исследований инфраструктур и накопили знания о различных актуальных атаках — и хотят поделиться этими знаниями с экспертами или теми, кто просто заинтересован в информационной безопасности.
🔗 Читать дальше
🌚 @poxek | 🌚 Блог | 📺 poxek_official/videos">YT | 📺 RT | 📺 poxek_official">VK | 🌚 Мерч
Claude vs ChatGPT + Codex: Кто лучше решит комплексную задачу? Тестируем 6 моделей
#vibecoding #chatgpt #claude #codex #o3 #gpt4.1 #sonnet4 #sonnet3.7
Со времени как вышел Claude 4 прошло пару недель. Весь этот срок я постоянно сравниваю эти модели в разных задачах. И говорят, что Claude 4 отлично справляется с кодом, что мы сейчас и проверим
Сравню их в работе с комплексной задачей, где нужно и код написать, и текст, да и интерфейс еще сверху. Все это я хочу сделать не через правильно выстроенный промпт, а дать моделям максимальную свободу достичь результата так, как они захотят
🔗 Читать дальше
🌚 @poxek | 🌚 Блог | 📺 poxek_official/videos">YT | 📺 RT | 📺 poxek_official">VK | 🌚 Мерч
😊 API Gateway как линия фронта в Web3
Внимание: CatSwap в этом тексте — не стартап и не “очередной ”, а наш pet-проект для иллюстрации. Он нужен, чтобы показать, как Web3-сервисы должны мыслить в части защиты API — не опираясь на бэкэнд, а начиная с Gateway.
envoy.filters.http.jwt_authn;/v1/quote ≤ 1000 r/m; /v1/swap ≤ 100 r/m;path, key, user_id, latency, tx_hash);score > 0.8; алёрты в SIEM/Slack.detection → containment → eradication → recovery;
Под капотом Госуслуг: как защищают системы, от которых зависит работа цифрового государства
#госуслуги #compliance #ГОСТ #ГИС #аудит #аттестация
Предисловие от меня: про бумажную безопасность и нет, это не хрень бесполезная, как многие считают)
Цифровизация госсектора привела к появлению сервисов, которые упростили взаимодействие граждан с государством. Яркий пример — портал Госуслуг, работа которого опирается на обширную инфраструктуру государственных информационных систем (ГИС).
В России действуют сотни федеральных, региональных и муниципальных ГИС, без которых невозможно представить работу органов власти. Часть из них напрямую используется гражданами, другие работают в фоновом режиме, обеспечивая интеграцию и автоматизацию процессов. Кроме того, появляются информационные системы, которые формально не являются ГИС, но тесно с ними связаны.
Оборотной стороной цифровизации становятся риски кибербезопасности. В случае с ГИС ставки чрезвычайно высоки, ведь в таких системах агрегируются персональные данные миллионов пользователей и чувствительная для госструктур информация. Поэтому защита ГИС требует специфического подхода и регулирования со стороны ФСТЭК и ФСБ.
На связи Максим Кузнецов, руководитель отдела защиты информации ГИС в Бастионе. Сегодня расскажу об особенностях защиты ГИС и о том, с какими сложностями мы сталкиваемся в таких проектах.
🔗Читать полностью
🌚 @poxek | 🌚 Блог | 📺 poxek_official/videos">YT | 📺 RT | 📺 poxek_official">VK | 🌚 Мерч
Данные на продажу: что происходит с информацией после утечек
#утечки #сливы #leak #leaks #РКН
Новости о крупных утечках данных больше никого не удивляют. Компании вкладывают миллионы в безопасность, проводят аудиты, но число таких инцидентов продолжает расти. Только в 2024 году Роскомнадзор зафиксировал 135 утечек — это более 710 миллионов записей о россиянах в базах данных. Но что происходит с данными после взлома? Куда они утекают? Кто и как их покупает?
Большинство новостей на тему утечек ограничиваются банальным «взломали, утекло, делайте выводы». Но утечка данных — это не конец истории, а только ее начало. После взлома данные начинают жить своей жизнью: их разбивают на части, объединяют с другими базами, разыгрывают на аукционах. Теневой рынок, построенный вокруг сбыта таких данных, напоминает отдельную экосистему, которая до сих пор слабо изучена даже среди ИБ-специалистов.
В этой статье разберем, как на практике выглядит жизненный цикл украденных данных. Представьте: вы — опытный специалист по киберразведке, помогающий компаниям справляться с последствиями утечек. Ранним июньским утром вас будит внезапный телефонный звонок. На другом конце провода — гендиректор ООО «Нас никогда не взломают». Судя по голосу, он явно встревожен...
🔗Читать полностью
🌚 @poxek | 🌚 Блог | 📺 poxek_official/videos">YT | 📺 RT | 📺 poxek_official">VK | 🌚 Мерч
Ни один вывод с вашего сервера MCP не является безопасным
#MCP #AI #Anthropic #LLM #TPA #ATPA #FSP #pentest #research
Исследование CyberArk показало: MCP (Model Context Protocol) от Anthropic уязвим не только к классическим атакам Tool Poisoning (TPA), когда вредоносный код внедряют в описание инструмента, но и к Full-Schema Poisoning (FSP). Теперь атаковать можно любые поля схемы — имена параметров, типы, обязательные поля и даже новые незадокументированные элементы. Самое опасное — Advanced Tool Poisoning Attack (ATPA): вредоносная логика внедряется в вывод инструмента или сообщения об ошибках. LLM, считая их легитимными, может раскрывать чувствительные данные (например, приватные ключи) или выполнять вредоносные действия. Такие атаки сложно обнаружить — они могут активироваться только в продакшене и выглядеть безобидно на этапе тестирования. Вывод: доверять MCP-серверам нельзя, проверять нужно все поля и любые ответы инструментов
🔗Читать полностью
🌚 @poxek | 🌚 Блог | 📺 poxek_official/videos">YT | 📺 RT | 📺 poxek_official">VK | 🌚 Мерч
Релиз Cursor 1.0
#vibecoding #coding #cursor #AI #MCP
TLDR: В этом релизе представлен BugBot для проверки кода, новую фичу memories, настройка MCP в один клик, поддержка Jupyter, backgound agent вышел из беты и новый UI настроек Cursor.
1️⃣BugBot
Раньше была фича с ручной проверкой pull request в git на наличие багов. Было удобно, но видимо многие забыли её тыкать. Теперь эта функция автоматическая, если есть какие-то баги, то можно тыкать Fix in Cursor уже в самом Gitlab/Github и вам откроет Cursor на десктопе с заготовленным промптом под конкретную проблему. Как настроить - читайте доку. Мне эта фича и раньше нравилась, т.к. она по мимо сообщения о потенциальном баге, писала вероятность его "правдивости".
Оно всё равно платное осталось. Триалка на 7 дней! Дальше тратится, как за использование Max моделей.
2️⃣Background Agent для всех
Сама по себе это фича, которая позволяла выполнять агентские промпты в фоне распараллельно. Но она была в бете и обязывала выключить Privacy режим, что я даже на своих личных проектах не хотел делать, ведь это означало 100% слив своей кодовой базы в Cursor. Пункт про Privacy к сожалению пока ешё действует, т.к. команде нужно получить максимум фидбеке о её работе. Но если хотите побаловаться, то активировать можно, либо CMD/Ctrl+E или по иконке облачке справа сверху.
3️⃣Обновление для Data Science. Поддержка Jupyter Notebooks
Я лично эту обнову не очень понимаю, т.к. мой мир и мир Data Science явно находятся по разным берегам, но: Агент теперь может создавать и редактировать несколько ячеек непосредственно в Jupyter, что является значительным улучшением для исследовательских задач и задач по изучению данных. Пока эта фича доступна только с моделями Sonnet.
4️⃣Memories
Чтобы было понятно, что это за фича. Вспомните когда OpenAI релизнуло в ChatGPT общую память между чатами и возможность её изменения. По сути очень схожая фича, но пока в бете. Возможно я пока не вижу её потенциал, но я выработал лайфхак, чтобы переносить память между чатами: Напиши summary нашего диалога из этого чата, чтобы я мог перенести всю важную информацию и в другой чат.
5️⃣Установка MCP в один клик
На мой взгляд и так не возникало проблем ставить MCP в Cursor. Я раньше писа пост про безопасность MCP ТУТ. Собственнно от них не отказываюсь и лаббирую, что запускать MCP сервера надо в контейнерах. Как устанавливаются и запускаются они в новой версии Cursor, я пока ещё не протестил. Если появится инфа, то дополню пост. А также появилась возможность OAuth для этих же MCP, где требуется авторизация. Наверное чтобы не хранить API ключи локально.
6️⃣Улучшение ответов в чате
Эта обнова понравится людям-визуалам, которые любят таблички и диаграмки. Собственно это и добавляется прямо в чат, если попросить их сгенерировать. create Mermaid diagrams или Markdown tables.
7️⃣Минорное — обновление UI настроек Cursor IDE
Самое вкусное из этого на мой взгляд - это dashboard потраченных запросов, usage-based и сколько строк кода написано AI.
🔗Changelog
🌚 @poxek | 🌚 Блог | 📺 poxek_official/videos">YT | 📺 RT | 📺 poxek_official">VK | 🌚 Мерч