LLM-систем есть класс уязвимостей, которого нет в обычных веб-приложениях. Извлёк системный промпт Grok двумя способами, поймал утечку thinking tokens в NDJSON-стриме и обошёл safety-фильтры в 14 из 22 категорий. Самое неожиданное — Grok активно помогал мне себя ломать. Читать далее
Sandbox - эфемерный, умирает после сессии. Мне нужны были уязвимости на продакшн-инфраструктуре. Нашёл: zero-click CSRF на все 11 методов billing API через gRPC + text/plain, обход Cloudflare WAF одним заголовком, и создал management key с 50 привилегиями. Всё до сих пор на серверах xAI. Читать далее
Я поспорил с Grok, что смогу взломать инфраструктуру xAI. За 12 часов нашёл 61 уязвимость, получил root в Kubernetes-песочнице «Hades» и заставил xAI экстренно патчить в выходные. В первой части — разведка, антибот, и путь от безобидного os.getuid() до полной карты внутреннего кластера. Читать далее
Ребята, кажется, мы уперлись в стену. Пока гиганты наращивают параметры и жгут тераватты, пытаясь выжать каплю разума из статистики, я решил пересмотреть сам фундамент. Проблема не в данных, проблема в «вязкости» стандартного Attention. Читать далее
В статье показано, как сократить boilerplate код при создании Minecraft модов с помощью фреймворка под названием Temporal API... Читать далее
Как я устал дебажить MAX API, отреверсил их вебхуки и отучил Cursor галлюцинировать Когда я писал своего первого более-менее серьезного бота под Max, случилась классика. Я и мой ИИ-ассистент (Cursor) пишем код, строго опираясь на официальную документацию Max API. Запускаю — падает. Сижу по 5-6…
https://security-tracker.debian.org/tracker/DSA-6153-1
Приветствую читателей.Мы пытались построить LLM-чат для продакшена.Через месяц у нас был 20k-токенный prompt, 50 тулзов и ответы по 2 минуты.В итоге пришлось отказаться от ReAct и перейти на LLMCompiler.А начали мы с того что компания захотела поекспериментировать с созданием чатаДля начала…
Мода на то «вкат» в IT появилась задолго до пандемии и массового распространения удаленного формата работы. Я помню пасты на двачах и мемы про «300кк/наносек синьора-помидора» в 2016-2017 годах - уже тогда многие стремились попасть в эту сферу из-за высоких зарплат и относительно…
Статья приурочена ко Всемирному дню кошекКогда я поступала в AI Talent Hub от ИТМО, я ожидала, что прокачаю свои навыки в Machine Learning и Data Science, т.е. научусь обучать модели, работать с нейросетями и оптимизировать функции потерь. Я не ожидала, что научусь лучше понимать естественный…