ai-security · 8 min
Anthropic publica el 2 de abril una técnica que rellena el contexto con cientos de pares pregunta/respuesta dañinos antes del prompt real. El in-context learning hace el resto. Escala por ley de potencias hasta los cientos de shots.
· Manuel López Pérez
tutoriales · 12 min
Andres Freund encuentra el 29 de marzo un backdoor en xz-utils 5.6.0 y 5.6.1. El payload llega por un hook de build en m4/build-to-host.m4 que extrae un objeto precompilado de un archivo de test. El resultado modifica liblzma para interceptar RSA_public_decrypt en sshd. "Jia Tan" llevaba dos años y medio ganando trust.
· Manuel López Pérez
noticias · 10 min
AT&T confirma leak de 73M registros. Apple parchea iOS CVE-2024-23225 explotado in-the-wild. Microsoft publica dos críticos en Hyper-V. Anthropic lanza Claude 3. El Parlamento europeo aprueba el AI Act. Cloudflare admite el breach de Thanksgiving. Y la última semana cierra con XZ.
· Manuel López Pérez
noticias · 10 min
ConnectWise ScreenConnect CVSS 10.0 por añadir un slash al final de una URL. Volt Typhoon lleva cinco años dentro de infra crítica US. Operación Cronos derriba LockBit. AnyDesk pierde los certs de firma. BlackCat tumba ChangeHealthcare. Y ArtPrompt enseña que los safety classifiers no leen ASCII art.
· Manuel López Pérez
ai-security · 9 min
Jiang et al. publican el 15 de febrero un paper que rompe el alineamiento de GPT-3.5/4, Claude, Gemini y Llama-2 escribiendo la palabra prohibida como ASCII art. El classifier ve un cloze inocuo; el modelo lo lee y responde.
· Manuel López Pérez
ai-security · 32 min
Doce meses en diez ejes. 2023 es el año en que AI security pasa de discusión académica a disciplina con vocabulario propio, papers canónicos, marcos de industria y primer aparato regulatorio. ChatGPT cruza los 100M MAU en enero; GPT-4 llega en marzo; Greshake, Zou+Carlini y OWASP sientan terminología; NIST AI RMF, Biden EO 14110 y el acuerdo político del EU AI Act marcan el aparato. Referencia anual del año fundacional.
· Manuel López Pérez
noticias · 7 min
Ivanti Connect Secure pre-auth RCE en plena explotación masiva. GitLab CVE-2023-7028 con CVSS 10. SEC y Mandiant pierden sus X por SIM swap. Microsoft descubre que Midnight Blizzard llevaba un mes dentro de sus buzones. Anthropic publica Sleeper Agents.
· Manuel López Pérez
tutoriales · 11 min
CVE-2023-46805 (auth bypass por path traversal) + CVE-2024-21887 (command injection en /api/v1/license/keys-status). Encadenadas, RCE pre-auth como root. Volexity las publica el 10 de enero tras detectar explotación as zero-day por UTA0178 desde diciembre. El parche oficial llega el 31 de enero, tres semanas después.
· Manuel López Pérez
noticias · 6 min
EU AI Act cierra acuerdo político tras 38 horas de trilogue. Comcast Xfinity notifica 35.7M cuentas vía Citrix Bleed. BlackCat sufre operación policial. Sleeper agents paper en preprint. Retrospectiva del año.
· Manuel López Pérez
compliance · 6 min
Tras 38 horas de trilogue, Council y Parlamento europeo cierran el 9 de diciembre el acuerdo político del AI Act. Aún falta texto técnico final y publicación en DOUE (julio 2024). Lo que un CISO necesita anotar ahora.
· Manuel López Pérez
noticias · 5 min
OpenAI DevDay anuncia GPTs y Assistants API; Sam Altman es despedido y reincorporado en cinco días. SysAid CVE-2023-47246. Lockbit explota Citrix Bleed contra Boeing e ICBC. Anthropic prefigura sleeper agents.
· Manuel López Pérez
ai-security · 11 min
Anthropic prefigura en Q4 una clase nueva de ataque: modelos entrenados con un trigger oculto que pasan los safety tests pero ejecutan comportamiento adversarial al ver el trigger en producción. El paper sale en enero 2024; la implicación llega ahora.
· Manuel López Pérez
