Незалежні дослідження безпеки
Дослідження безпеки ШІ, агентів і MCP-серверів
Я знаходжу і відповідально розкриваю вразливості в реалізаціях Model Context Protocol (MCP) та в інструментах розробки з використанням ШІ, після чого працюю разом із супровідниками і операторами сайтів над їх усуненням.
Нещодавні бюлетені безпеки
-
Вразливість DNS rebinding у SSE-транспорті сервера Vet MCP
-
AI-агент Amp допускає вивантаження API-ключів через prompt injection
-
AI-агент Kilo Code наражає користувачів на атаку на ланцюг постачання через prompt injection
-
Agent API від Coder розкриває історію чату користувача через атаку DNS rebinding
-
Несанкціоновані криптотранзакції, уможливлені thirdweb MCP Server
-
Grafana MCP Server відкриває неавтентифікований SSE-інтерфейс, що уможливлює віддалену маніпуляцію дашбордами