Следуйте инструкциям в видео ниже, чтобы узнать, как установить наш сайт как веб-приложение на главный экран вашего устройства.
Примечание: Эта функция может быть недоступна в некоторых браузерах.
Вы используете устаревший браузер. Этот и другие сайты могут отображаться в нём неправильно. Необходимо обновить браузер или попробовать использовать другой.
Сервисный аккаунт LLM-агента с правами s3:* и iamassRole — токен не ротировался 9 месяцев. Одна prompt injection в LangChain-память, и атакующий получает полный доступ к продовой инфраструктуре финтех-компании.
AI-агент держит credentials в Redis-бэкенде memory-модуля, вызывает IAM API в runtime, плодит суб-агенты через AutoGen/CrewAI — и каждый несёт собственный набор токенов. MITRE T1528 через shared memory, T1552.005 через IMDS без ограничений, T1098.003 если есть iam:AttachRolePolicy.
SOC видит валидный аккаунт из ожидаемой подсети — никакого impossible travel, никакого bruteforce. Только аномальный blast radius.
CVE-2026-8153 в Universal Robots PolyScope 5: CVSS 9.8, порт 29999, ноль учётных данных — одна строка в TCP-сокет даёт RCE на Linux-контроллере кобота без единого пароля.
Dashboard Server принимает текстовые команды по TCP и передаёт ввод в shell без фильтрации метасимволов — CWE-78 в чистом виде. Netcat, точка с запятой, произвольная команда. Затронуты все PolyScope 5 < 5.25.1; CISA классифицирует: Automatable yes, Technical Impact total.
Скомпрометированный контроллер — плацдарм в OT-сегменте: флот коботов, ПЛК, HMI на плоской заводской сети без сегментации. Патч — PolyScope 5.25.1; до обновления: файрвол на 29999, изоляция OT-VLAN, аудит VPN-доступа подрядчиков по MITRE ATT&CK ICS T0886.
EPSS всего 1.8% — но Automatable: yes и PR:N. Порог входа — Netcat.
Кампания Megalodon: ~5700 вредоносных коммитов в публичные GitHub-репозитории за несколько часов — без взлома учёток, через d-PPE и скомпрометированные PAT-токены, собранные инфостилером.
Атакующие пушили напрямую в default branch, маскируя коммиты под рутину CI: `ci: add build optimization step`, авторы — `build-bot@github-ci.com`. Один отравленный проект привёл к публикации заражённого npm-пакета — мейнтейнер сам выполнил `npm publish` из скомпрометированного source tree. Техника по MITRE: T1195.002 + T1078, по OWASP — A08.
CI-раннер хранит AWS keys, OIDC-токены и SSH-ключи одновременно — один вредоносный workflow ценнее месяца фишинга.
🚀 Первый раз на Codeby?
Гайд для новичков: что делать в первые 15 минут, ключевые разделы, правила
На данном сайте используются файлы cookie, чтобы персонализировать контент и сохранить Ваш вход в систему, если Вы зарегистрируетесь.
Продолжая использовать этот сайт, Вы соглашаетесь на использование наших файлов cookie.