Новости: csoonline.com

Единственный некорректно сформированный символ в веб-запросе может позволить неаутентифицированному злоумышленнику обойти контроль доступа в приложениях на базе Starlette, фреймворка для FastAPI. Уязвимость CVE-2026-48710 позволяет обходить защиту через заголовки Host. — csoonline.com

На протяжении карьеры в сфере кибербезопасности скорость была ключевой. Однако последние события, связанные с передовым ИИ, показывают, что масштаб и автономность выходят на первый план. Формируется новая доктрина киберконфликтов. — csoonline.com

Microsoft анонсировала новую функцию автоматической изоляции устройств в Defender for Endpoint для сдерживания кибератак в ИТ-сетях. Однако исследование SANS предупреждает о рисках, связанных с автономными действиями ИИ, вплоть до отключения всех учетных записей. — csoonline.com

Обнаружена масштабная кампания Megalodon по автоматическому внедрению бэкдоров в репозитории GitHub, которая за шесть часов внесла тысячи вредоносных коммитов под видом обслуживания CI/CD. Атака использовала скомпрометированные учетные данные для модификации GitHub Actions. — csoonline.com

Кампания вредоносных пакетов в npm, PyPI и Crates.io вновь привлекла внимание к рабочим станциям разработчиков. Исследователи Socket обнаружили, что кампания TrapDoor нацелена на рабочие процессы и файлы ИИ-помощников, охватывая более 34 пакетов. — csoonline.com

Я потратил годы на внедрение комплаенса в продукты безопасности. Модель «комплаенс как проверка» работала для статичного ПО, но не для ИИ. Китайские компании встраивают управление в конвейер развертывания. — csoonline.com

Практики патчинга испытывают давление из-за ускорения эксплуатации уязвимостей, чему способствует ИИ. Эксплуатация уязвимостей обогнала кражу учетных данных как основную точку входа в нарушениях безопасности, согласно отчету Verizon DBIR. — csoonline.com

Эксперты по кибербезопасности предупреждают администраторов о росте фишинговых кампаний, нацеленных на кражу токенов доступа Microsoft 365 (M365) для обхода многофакторной аутентификации. Наборы для фишинга токенов M365, такие как EvilTokens и Kali365, становятся все более изощренными. — csoonline.com

Anthropic и партнеры в рамках Project Glasswing обнаружили около 10 000 критических уязвимостей с помощью Claude Mythos Preview. Инициатива выявила 6 202 уязвимости в open-source проектах, что смещает фокус кибербезопасности с поиска на устранение проблем. — csoonline.com

По мере ускорения разработки ПО с помощью ИИ-помощников, проект CVE Lite CLI от OWASP утверждает, что инструменты безопасности зависимостей срабатывают слишком поздно. Этот сканер уязвимостей JavaScript/TypeScript анализирует lock-файлы локально, чтобы разработчики видели риски сразу при написании кода. — csoonline.com