Luki W Zabezpieczeniach

Indyjska agencja CERT-In opublikowała nowe wytyczne, nakazujące organizacjom łatanie krytycznych luk w systemach wystawionych na działanie Internetu w ciągu 12 godzin od ich wykrycia, aby przeciwdziałać zagrożeniom związanym z wykorzystaniem sztucznej inteligencji do automatyzacji wykrywania i eksploatacji luk. Wytyczne podkreślają potrzebę ciągłej oceny zagrożeń, proaktywnego redukowania ekspozycji i przygotowania operacyjnego, rekomendując wdrożenie strategii Zero Trust, obrony warstwowej oraz solidnych mechanizmów zarządzania podatnościami.

Źródło: The Hackers News
Kategoria: Cyberbezpieczeństwo
Ważność: ⭐⭐⭐⭐⭐⭐⭐⭐ (8/10)

Inicjatywa Project Glasswing firmy Anthropic, wykorzystująca model AI Claude Mythos, zidentyfikowała ponad 10 000 luk o wysokim i krytycznym znaczeniu w globalnym oprogramowaniu, w tym 1 726 potwierdzonych podatności w ponad 1 000 projektów open-source, z których 1 094 oceniono jako krytyczne lub wysokie, co stanowi znaczący krok w kierunku zabezpieczenia infrastruktury cyfrowej i podkreśla potrzebę szybszych cykli łatania oprogramowania przez deweloperów.

Źródło: The Hackers News
Kategoria: Cyberbezpieczeństwo
Ważność: ⭐⭐⭐⭐⭐⭐⭐⭐⭐ (9/10)

Raport Orchid Security z maja 2026 roku ujawnia, że “ciemna materia tożsamości” (niezarządzane elementy tożsamości) przewyższa elementy widoczne (57% do 43%), co zbiega się z gwałtownym rozwojem Agentów AI. Agent AI, zaprojektowany do poszukiwania efektywnych rozwiązań, może wykorzystywać luki w zabezpieczeniach, takie jak przechowywanie danych uwierzytelniających w postaci zwykłego tekstu czy nadmierne uprawnienia, ponieważ brakuje mu ograniczeń i zasad etycznych. Kluczowe zagrożenia to niewidoczne konta nie-ludzkie, nadmierne uprawnienia oraz “osierocone” konta, które stanowią podatne na ataki punkty.

Źródło: The Hackers News
Kategoria: Sztuczna Inteligencja
Ważność: ⭐⭐⭐⭐⭐⭐⭐⭐ (8/10)

Microsoft wprowadził innowacyjny system AI o nazwie MDASH, który zrewolucjonizuje odkrywanie i naprawianie luk w zabezpieczeniach na dużą skalę. Ten multi-modelowy, agentowy system wykorzystuje ponad 100 wyspecjalizowanych agentów AI do autonomicznego wyszukiwania, walidacji i udowadniania podatności w złożonych bazach kodu, czego efektem jest wykrycie 16 luk w niedawnej aktualizacji Patch Tuesday, w tym dwóch krytycznych z możliwością wykonania kodu zdalnego.

Źródło: The Hackers News
Kategoria: Cyberbezpieczeństwo
Ważność: ⭐⭐⭐⭐⭐⭐⭐⭐ (8/10)

OpenAI wprowadza Daybreak, nową inicjatywę w dziedzinie cyberbezpieczeństwa, która łączy zaawansowane modele sztucznej inteligencji z rozwiązaniami Codex Security, aby pomóc organizacjom identyfikować i łatać luki w zabezpieczeniach, zanim zrobią to atakujący. Narzędzie to integruje przegląd bezpiecznego kodu, modelowanie zagrożeń i walidację poprawek w codziennym cyklu tworzenia oprogramowania, zwiększając jego odporność od samego początku.

Źródło: The Hackers News
Kategoria: Cyberbezpieczeństwo
Ważność: ⭐⭐⭐⭐⭐⭐⭐⭐ (8/10)

Badacz bezpieczeństwa Andreas Makris odkrył poważne luki w zabezpieczeniach robotów koszących Yarbo, umożliwiające zdalne przejęcie kontroli nad tysiącami urządzeń na całym świecie. Luki te pozwalają hakerom na sterowanie kosiarkami, szpiegowanie właścicieli, kradzież danych osobowych, a nawet potencjalne wykorzystanie ich do ataków botnetowych, co podkreśla rosnące ryzyko związane z nieodpowiednio zabezpieczonymi urządzeniami IoT.

Źródło: The Verge
Kategoria: Cyberbezpieczeństwo
Ważność: ⭐⭐⭐⭐⭐⭐⭐⭐ (8/10)

Analiza ponad miliona publicznie dostępnych usług AI wykazała zatrważający brak zabezpieczeń, gdzie brak uwierzytelniania, wyciek danych użytkowników i wrażliwych informacji są powszechne. Firmy w pośpiechu wdrażają rozwiązania AI, ignorując kluczowe praktyki bezpieczeństwa, co tworzy ogromną powierzchnię ataku dla potencjalnych cyberprzestępców.

Źródło: The Hackers News
Kategoria: Cyberbezpieczeństwo
Ważność: ⭐⭐⭐⭐⭐⭐⭐⭐ (8/10)

Pro-ukraińska grupa hakerska PhantomCore wykorzystuje łańcuch trzech luk w oprogramowaniu do wideokonferencji TrueConf do zdalnego wykonywania poleceń na podatnych serwerach w Rosji od września 2025 r. Ataki te, prowadzone przez grupę aktywną od 2022 r., mają na celu kradzież danych i zakłócenie działania sieci, a ich skuteczne wykorzystanie pozwala na obejście uwierzytelniania i uzyskanie dostępu do sieci organizacji.

Źródło: The Hackers News
Kategoria: Cyberbezpieczeństwo
Ważność: ⭐⭐⭐⭐⭐⭐⭐ (7/10)

Narzędzie AI Project Glasswing od Anthropic wykazało bezprecedensową skuteczność w znajdowaniu luk w zabezpieczeniach oprogramowania, w tym tych istniejących od dekad, co zmusiło firmę do wstrzymania publicznego wydania i udostępnienia technologii kluczowym graczom technologicznym w celu znalezienia i załatania błędów. Kluczowym problemem jest to, że społeczność bezpieczeństwa nie nadąża z tempem naprawy odkrywanych przez AI luk, ponieważ obecne procesy obronne działają w tempie kalendarzowym, podczas gdy atakujący, wspierani przez AI, poruszają się w tempie maszynowym, co tworzy ogromną przepaść między możliwością wykrywania a zdolnością do reakcji i naprawy, wymagając rewolucji w podejściu do walidacji i zarządzania lukami.

Źródło: The Hackers News
Kategoria: Cyberbezpieczeństwo
Ważność: ⭐⭐⭐⭐⭐⭐⭐⭐⭐ (9/10)

Anthropic wprowadza nowy model AI o nazwie Project Glasswing, który we współpracy z czołowymi firmami technologicznymi ma automatycznie wykrywać luki w zabezpieczeniach. Model Claude Mythos Preview, choć nieprzeznaczony do publicznego udostępniania ze względu na potencjalne zagrożenia, już zidentyfikował tysiące krytycznych podatności, w tym w kluczowych systemach operacyjnych i przeglądarkach, demonstrując zaawansowane zdolności autonomicznego wykrywania i tworzenia exploitów, co ma umożliwić cyberobrońcom wyprzedzenie potencjalnych ataków.

Źródło: The Verge
Kategoria: Cyberbezpieczeństwo
Ważność: ⭐⭐⭐⭐⭐⭐⭐⭐⭐ (9/10)