Дом
Grafana обнаружила уязвимость в системе подсказок, позволяющую хакерам извлекать конфиденциальные корпоративные данные с помощью ИИ-помощников
Компания Noma, специализирующаяся на вопросах безопасности, недавно опубликовала исследовательский отчет, в котором раскрыла уязвимость под названием «GrafanaGhost» в функции искусственного интеллекта платформы Grafana — открытой платформы для мониторинга и визуализации данных. Эта уязвимость позволяет злоумышленникам использовать методы «косвенной инъекции команд», чтобы обманом заставить ИИ-помощника передать конфиденциальные корпоративные данные на внешний сервер.
«Косвенная инъекция подсказок»: скрытый метод вывода данных
Исследователи объясняют, что встроенный ИИ-помощник Grafana позволяет пользователям запрашивать и анализировать данные мониторинга с помощью естественного языка. Однако злоумышленники могут встраивать вредоносные инструкции в внешние веб-страницы, доступные для Grafana.
Когда ИИ-помощник обрабатывает этот скомпрометированный контент, его можно обманом заставить обойти существующие средства безопасности и инициировать внешние запросы. Затем конфиденциальная информация передается в виде параметров URL на сервер, находящийся под контролем злоумышленника. Поскольку этот процесс не генерирует заметных сообщений об ошибках, обычные пользователи часто остаются в неведении относительно утечки.
Официальный ответ: уязвимость, не требующая нажатия кнопки, теперь исправлена
Комментируя эту уязвимость, Джо Макманус (Joe McManus), директор по безопасности Grafana Labs, подтвердил, что компания оперативно выпустила исправление после получения уведомления. Он подчеркнул ключевые ограничения этой уязвимости:
Неавтоматическая атака: это не уязвимость типа «zero-click» или самораспространяющаяся уязвимость.
Необходимое условие доступа: злоумышленники должны сначала получить доступ к устройству пользователя, чтобы взаимодействовать с AI-помощником.
Необходимость нескольких триггеров: для выполнения вредоносных операций обычно требуется несколько взаимодействий, а не одно действие.
Grafana Labs добавила, что на данный момент нет доказательств использования этой уязвимости в реальных условиях, и в ее облачном сервисе Grafana Cloud не было выявлено никаких утечек данных. Компания советует пользователям не поддаваться панике и рекомендует следить за обновлениями и переходить на исправленную, безопасную версию, чтобы поддерживать безопасную среду мониторинга.
Связанная статья
Доходы компании Anthropropic растут стремительно; ее рыночная капитализация приближается к отметке в триллион долларов.
Отчеты показывают, что компания Anthropic добилась значительного роста доходов всего за несколько месяцев. Годовой объем ее доходов теперь превышает 30 миллиардов долларов — это более чем в три раза больше, чем было в конце прошлого года. Такой рост
Компания Apple удалила приложение Cal AI из-за несанкционированных покупок внутри приложения и манипулятивных способов осуществления платежей.
Недавнее удаление Apple приложения Cal AI, популярного приложения для отслеживания потребления пищи на основе искусственного интеллекта в рамках сервиса MyFitnessPal, подчеркивает строгое соблюдение Apple политик App Store в отношении внешних платеже
Тарификация Github Copilot на основе токенов вызывает возмущение среди разработчиков
Золотой век сервиса GitHub Copilot от Microsoft, по-видимому, подходит к концу, особенно для частных пользователей. Компания переходит от фиксированной абонентской платы к модели оплаты на основе токенов, что может значительно увеличить затраты. Боль
Рекомендации по связанным специальным темам
Редактирование изображений
Бесплатные генераторы моделей одежды на основе искусственного интеллекта: создание реалистичных макетов одежды и фотографий вместе с моделью
Откройте для себя 20 лучших бесплатных генераторов моделей одежды на основе искусственного интеллекта в 2026 году на сайте XIX.AI. Наш отобранный список включает наиболее популярные и эффективные инструменты, которые помогут создавать реалистичные макеты одежды и фотографии моделей в ней. Сравните бесплатные и платные варианты с еженедельно обновляемыми рейтингами и результатами реальных тестов. Раскройте для себя новые возможности дизайна уже сегодня!
10 инструментов
xix.ai
письмо
Лучшие редакторы для обеспечения сюжетной целостности в художественной литературе: автоматическое выявление сюжетных пробелов и несоответствий во временной последовательности
Откройте для себя лучшие редакторы по обеспечению логической целостности текста на базе ИИ для авторов художественной литературы в 2026 году. В нашем тщательно составленном списке представлены высококачественные инструменты, которые автоматически выявляют сюжетные пробелы и несоответствия во временной шкале. Сравните бесплатные и платные варианты с помощью реальных тестов и еженедельно обновляемого рейтинга. Найдите своего идеального помощника в написании текстов, чтобы обеспечить безупречность повествования. Ознакомьтесь с лучшими предложениями прямо сейчас на сайте XIX.AI.
10 инструментов
xix.ai
Создание анимации
Лучшие генераторы сценариев на основе ИИ: автоматическое преобразование кинопроектов в анимационные сценарии
Откройте для себя лучшие генераторы сценариев на основе ИИ 2026 года на сайте XIX.AI. Наши тщательно отобранные и высоко оцененные инструменты автоматически преобразуют сценарии в кинематографические анимации, экономя ваше время и ускоряя подготовительный этап работы. Исследуйте бесплатные и платные варианты с примерами реального использования и еженедельно обновляемыми рейтингами. Найдите идеального помощника для творчества уже сегодня!
10 инструментов
xix.ai
SEO
Лучшие инструменты для поиска перенаправлений и нерабочих ссылок: автоматическое исправление ошибок при сканировании сайта для экономии ресурсов.
Откройте для себя лучшие инструменты по поиску перенаправлений и нерабочих ссылок на основе технологий ИИ в 2026 году на сайте XIX.AI. Наш список, составленный специально для вас, включает мощные программы, которые автоматически исправляют ошибки при сканировании сайтов, помогая сэкономить ресурсы. Сравните бесплатные и платные варианты с использованием реальных тестов и еженедельно обновляемых рейтингов. Найдите идеальное решение для вашего SEO-проекта прямо сейчас!
10 инструментов
xix.ai
Создание видео
Лучшие программы для создания видео с ИИ для подкастеров: превращайте аудиозаписи в увлекательные видео с говорящей головой
Откройте для себя лучшие инструменты для создания видео с ИИ для подкастеров 2026 года на сайте XIX.AI. В нашем тщательно отобранном списке лидеров представлены мощные инструменты, которые без труда превратят ваши аудиозаписи в увлекательные видеоролики с говорящей головой. Сравните бесплатные и платные варианты с помощью реальных тестов и еженедельно обновляемого рейтинга. Откройте для себя преимущества визуального повествования уже сейчас.
10 инструментов
xix.ai
чат-бот
Создайте свою собственную любовную историю с ИИ с помощью этих инструментов для ролевых игр
Откройте для себя 2026 лучших инструментов для ролевых игр на базе ИИ, которые помогут вам создавать захватывающие истории. В тщательно подобранном списке XIX.AI представлены мощные, революционные помощники, которые раскроют ваш творческий потенциал в повествовании и придадут ему эмоциональную глубину. Сравните бесплатные и платные варианты на основе реальных тестов. Начните свое уникальное путешествие уже сегодня.
10 инструментов
xix.ai
Комментарии (0)
Компания Noma, специализирующаяся на вопросах безопасности, недавно опубликовала исследовательский отчет, в котором раскрыла уязвимость под названием «GrafanaGhost» в функции искусственного интеллекта платформы Grafana — открытой платформы для мониторинга и визуализации данных. Эта уязвимость позволяет злоумышленникам использовать методы «косвенной инъекции команд», чтобы обманом заставить ИИ-помощника передать конфиденциальные корпоративные данные на внешний сервер.
«Косвенная инъекция подсказок»: скрытый метод вывода данных
Исследователи объясняют, что встроенный ИИ-помощник Grafana позволяет пользователям запрашивать и анализировать данные мониторинга с помощью естественного языка. Однако злоумышленники могут встраивать вредоносные инструкции в внешние веб-страницы, доступные для Grafana.
Когда ИИ-помощник обрабатывает этот скомпрометированный контент, его можно обманом заставить обойти существующие средства безопасности и инициировать внешние запросы. Затем конфиденциальная информация передается в виде параметров URL на сервер, находящийся под контролем злоумышленника. Поскольку этот процесс не генерирует заметных сообщений об ошибках, обычные пользователи часто остаются в неведении относительно утечки.
Официальный ответ: уязвимость, не требующая нажатия кнопки, теперь исправлена
Комментируя эту уязвимость, Джо Макманус (Joe McManus), директор по безопасности Grafana Labs, подтвердил, что компания оперативно выпустила исправление после получения уведомления. Он подчеркнул ключевые ограничения этой уязвимости:
Неавтоматическая атака: это не уязвимость типа «zero-click» или самораспространяющаяся уязвимость.
Необходимое условие доступа: злоумышленники должны сначала получить доступ к устройству пользователя, чтобы взаимодействовать с AI-помощником.
Необходимость нескольких триггеров: для выполнения вредоносных операций обычно требуется несколько взаимодействий, а не одно действие.
Grafana Labs добавила, что на данный момент нет доказательств использования этой уязвимости в реальных условиях, и в ее облачном сервисе Grafana Cloud не было выявлено никаких утечек данных. Компания советует пользователям не поддаваться панике и рекомендует следить за обновлениями и переходить на исправленную, безопасную версию, чтобы поддерживать безопасную среду мониторинга.
Доходы компании Anthropropic растут стремительно; ее рыночная капитализация приближается к отметке в триллион долларов.
Отчеты показывают, что компания Anthropic добилась значительного роста доходов всего за несколько месяцев. Годовой объем ее доходов теперь превышает 30 миллиардов долларов — это более чем в три раза больше, чем было в конце прошлого года. Такой рост
Компания Apple удалила приложение Cal AI из-за несанкционированных покупок внутри приложения и манипулятивных способов осуществления платежей.
Недавнее удаление Apple приложения Cal AI, популярного приложения для отслеживания потребления пищи на основе искусственного интеллекта в рамках сервиса MyFitnessPal, подчеркивает строгое соблюдение Apple политик App Store в отношении внешних платеже
Тарификация Github Copilot на основе токенов вызывает возмущение среди разработчиков
Золотой век сервиса GitHub Copilot от Microsoft, по-видимому, подходит к концу, особенно для частных пользователей. Компания переходит от фиксированной абонентской платы к модели оплаты на основе токенов, что может значительно увеличить затраты. Боль
Откройте для себя 20 лучших бесплатных генераторов моделей одежды на основе искусственного интеллекта в 2026 году на сайте XIX.AI. Наш отобранный список включает наиболее популярные и эффективные инструменты, которые помогут создавать реалистичные макеты одежды и фотографии моделей в ней. Сравните бесплатные и платные варианты с еженедельно обновляемыми рейтингами и результатами реальных тестов. Раскройте для себя новые возможности дизайна уже сегодня!
10 инструментов
xix.ai
Откройте для себя лучшие редакторы по обеспечению логической целостности текста на базе ИИ для авторов художественной литературы в 2026 году. В нашем тщательно составленном списке представлены высококачественные инструменты, которые автоматически выявляют сюжетные пробелы и несоответствия во временной шкале. Сравните бесплатные и платные варианты с помощью реальных тестов и еженедельно обновляемого рейтинга. Найдите своего идеального помощника в написании текстов, чтобы обеспечить безупречность повествования. Ознакомьтесь с лучшими предложениями прямо сейчас на сайте XIX.AI.
10 инструментов
xix.ai
Откройте для себя лучшие генераторы сценариев на основе ИИ 2026 года на сайте XIX.AI. Наши тщательно отобранные и высоко оцененные инструменты автоматически преобразуют сценарии в кинематографические анимации, экономя ваше время и ускоряя подготовительный этап работы. Исследуйте бесплатные и платные варианты с примерами реального использования и еженедельно обновляемыми рейтингами. Найдите идеального помощника для творчества уже сегодня!
10 инструментов
xix.ai
Откройте для себя лучшие инструменты по поиску перенаправлений и нерабочих ссылок на основе технологий ИИ в 2026 году на сайте XIX.AI. Наш список, составленный специально для вас, включает мощные программы, которые автоматически исправляют ошибки при сканировании сайтов, помогая сэкономить ресурсы. Сравните бесплатные и платные варианты с использованием реальных тестов и еженедельно обновляемых рейтингов. Найдите идеальное решение для вашего SEO-проекта прямо сейчас!
10 инструментов
xix.ai
Откройте для себя лучшие инструменты для создания видео с ИИ для подкастеров 2026 года на сайте XIX.AI. В нашем тщательно отобранном списке лидеров представлены мощные инструменты, которые без труда превратят ваши аудиозаписи в увлекательные видеоролики с говорящей головой. Сравните бесплатные и платные варианты с помощью реальных тестов и еженедельно обновляемого рейтинга. Откройте для себя преимущества визуального повествования уже сейчас.
10 инструментов
xix.ai
Откройте для себя 2026 лучших инструментов для ролевых игр на базе ИИ, которые помогут вам создавать захватывающие истории. В тщательно подобранном списке XIX.AI представлены мощные, революционные помощники, которые раскроют ваш творческий потенциал в повествовании и придадут ему эмоциональную глубину. Сравните бесплатные и платные варианты на основе реальных тестов. Начните свое уникальное путешествие уже сегодня.
10 инструментов
xix.ai
