Security BSides Warsaw 2025 ścieżka 1 dzień 1

in China Chinese study

because they have quite topic for computers not only for developing it also for protecting

only missing is less because

logical technology as of technology need around 2000 actually around 2000 physical implement one logical timeline by ab number by timeline

exply

quantum distribution because you as mention when you speak about small company easy you update laptop you updatever and comp and your I understand but again we just show you complexity level and then we go exactly how to impl comple just exle if just of course super critical super confidential this year was purchasing I at least

so you need to impal for this huge type of then we go deeper to critical system the last pozostaje

very huge problem

if you have isolated environ two system speak to each other and of course during impation you need to go for validation and on soutation sycation need to what doing how protecting your data con

security [ __ ] hus monitoring

not only like for alert security alert for er alert

performance system

now coming next what is next distribution it's not the same like PQC which are purely for mathematical models and how state to

future communication develop where can use of course connection optics connect to the connect in underw to use but all this method have advantages and disadvantages let's go when you use f only few was done for distance 150 km when we confident 50 km what is 50 km when you speak about 60 location around the world it's nothing so may speak about satellite connection satellite connection have huge cost of using is it solution maybe maybe not last connection could be used in the not under and experiment and all solution actually support for transition for transition

American company and more they are focusing on channel and satellite connection

I would say a lot of companies prm and receiver Pon distribution distribution

mostly all of them are in research there is no actization no actually way two devices two compan just doesn't it's a huge now we also from Australia can Japan China India count so we see this topic maybe it's new but a lot of big players jump and work at challenges just white paper from legal and compliance how you could speak about communication

would like to go PQC now and maybe just need to highlight what is your crucial in the system and then go

Welcome to our online Welcome to our

need

of strategically need to understand distribution need to to internal to use prototyping to use process around and cover

than

Możesz od razu Tak

ścieżka ścieżka górze piętro wyżej i przeciwko górze piętro wyżej i przeciwko schodzis

Co jest? Składamy na górę i po prostu po drugiej stronie.

Jak chcesz może ząć? Tak. >> Dobrze. Tak, dobrze. Tak. Cześć. Miło mi was powitać na mojej prezentacji Alb. Ja mam na imię Michał Alb. Ja mam na imię Michał Błaszczak i przez kolejne 40 minut będę opowiadał o a dokładnie o zdobywaniu wiedzy przydatnej oczywiście cyber bezpieczeństwem, bo jesteśmy na konferencji Desid Security, więc warto o tym bezpieczeństwie trochę poopowiadać. yyy coś będzie dość telegraficznym yyy skrótem, bo tutaj o tym zdobywaniu wiedzy można by było yyy mówić pewnie przez yyy długie godziny. Ogólnie w dzisiejszych czasach yyy w czasach AI y jest wielu yy guru, samozwończych, którzy po prostu generują hurtowo kursy. No i te kursy są różnej jakości, zwłaszcza młodym osobom ciężko dotrzeć do tej wiedzy, która rzeczywiście jest

przydatna, a która po prostu przybliży ich do upragnionego celu. tą prezentację, żeby prezentację, żeby trochę odczarować to zdobywanie wiedzy, no i żeby pokazać, że nie trzeba mieć wcale grubego portfela, by zdobywać tą wiedzę, że po prostu wystarczy się schylić tą, znaczy się schylić tą wiedzę. A jeżeli chodzi jeżeli chodzi o o agendę, no to na pewno o agendę, no to na pewno porozmawiamy, dlaczego ta ciągła nauka jest koniecznością. Pokrótce później team ogólnie ścieżek i możliwości jest dużo więcej. Ja pozwoliłem sobie to skrócić do tej części ofensywnej i defensywnej. Poznamy kilka platform i miejsc, od których i miejsc, od których według mnie powinniśmy zacząć, zwłaszcza jeżeli zaczynamy tą przygodę z cyberbezpieczeństwem. Dowiemy się gdzie szukać tej wiedzy,

jakie są miejsca, jak w ogóle korzystać z tych miejsc. Yyy, no i na koniec yyy poznamy historię yyy de Hidden yyy Wiki. Yyy yyy zanim jednak yyy przejdziemy dalej, to to prezentacja bez bez kim jestem, która nazywa się Huana, no to bez tego nie może być. Więc krótko o mnie, która nazywa się, no to bez tego nie może być. Więc krótko o mnie. Ja tak ja nazywam się Michał Berk, o której trochę opowiem. W międzyczasie przyszedłem cały do Hzwycz

te tematy, zwyczaj te tematy mnie interesują. Na slajdach będą takie QR kody. One są bezpieczne. Oczywiście jesteśmy na security konferencji evencie, więc więc też pewnie sobie poradzicie, żeby sprawdzić czy czy one są bezpieczne, ale tak są. A akurat ten prowadzi do do mojego Linkina, więc w sumie możemy pierwszy to jest, że prezentacja przedstawia moje podejście do wyzwania. Nie ma problemów, są tylko wyzwania wyzwań. związanych yyy ze zdobywaniem wiedzy. Y jestem oczywiście świadomy yyy że to o czym powiem jest jakby tutaj y małym y wycinkiem. Do jakiś szerszych rozmów zapraszam zapraszam oczywiście po po prezentacji czy czy na jakiś social mediach jak LinkedIn Discord. Yyy, disclaimer numer 2. Yyy, ze względu na ograniczony czas. Niektóre pojęcia będą yyy spłycone. Yyy,

wiem, że można je po prostu czas nas goli. A a też mam sporo slajdów, bo oczywiście wiem co lepiej nie. No i tak jak wspomniałem, nie, nie ma problemu, są tylko wyzwania. te słowa padły na na jednym meetupie w Poznaniu. No i właśnie dzisiaj chciałbym porozmawiać nie tyle co co o problemach, co o wyzwaniach i i rozwiązaniach związanych z ciągłem zdobywaniem. E tak jak AI, wszyscy generują kursy. Kursy później to sprzedawane są od 50 zł do nawet kilku tysięcy. A często takie kursy po prostu, tak jak wspomniałem, są wygenerowane przez AI. często opierają się na na jakichś dokumentacjach, na helpach z tych narzędzi, przez co tak naprawdę kupujemy coś y co jest y darmowe. Z drugiej strony w internecie

dzisiaj jest tyle różnych źródeł, tyle materiałów, że też ciężko wyszukać to, e, co nas tak naprawdę stricte interesuje. Zwłaszcza te młode osoby mają też problem z rozróżnieniem, co się im przyda, co nie, przez co tak trochę są w takiej pętli. yyy niewiedzy, jakby to tak nazwać, a ma być takim yyy drogoskazem małym pierwszym, żeby pomóc w obraniu tej drogi, którą powinniśmy przejść. A jeżeli chodzi o wspomniane wyzwania, no to jednym z takich głównych jest gdzie znaleźć tą rzetelną wiedzę security i trudnościami po prostu znalezieniem miejsca, od którego możemy czerpać tą wiedzę. i oczywiście najlepiej darmową. Jak już znajdziemy te kursy platformy, to jest też ich na tyle dużo, że ciężko znaleźć coś, co jest dopasowane

do nas. A w ogóle zanim zaczniemy też o tym opowiadać, no to wiele osób nie wie, czy zostać programistą, pentesterem, czy czy siedzieć w soku i jak w ogóle wybrać tą ścieżkę. Więc tu też jest jakiś problem. No i ogólnie w internecie są takie miejsca, które pomogą nam rozwiązać te przejść te wszystkie wyzwania. Główna teza jakby dzisiejszego dynamicznego cyberświata trzeba tak naprawdę zobrazować ten problem. No oczywiście zobrazować ten problem, no oczywiście regulację i działy compliance. o tym dobrze wiedzą. Dora News 2 jak Digital Service Act i pewnie dużo innych. A one też jak Digital Service Act i pewnie dużo innych. A one też cały czas czas się zmieniają i same regulacje próbują gonić ten świat. Nie wszystkim się to

nie wszystkim regulale chociaż próbują. Yyy, no i oczywiście jest pewnie jeszcze dużo yyy, no i oczywiście jest pewnie jeszcze dużo innych yyy powodów, którzy jesteście w stanie wymenić innych yyy powodów, którzy jesteście w stanie wymienić, dlaczego ta ciągła yyy jest potrzebna. No i razumąc, jeżeli y nie będziemy się uczyć rozwijać, no to po prostu yyy szybko wypadniemy z tego obiegu. Yyy, jeżeli chodzi o yyy różnicę, to tak jak mówiłem pokrótce, y o yyy różnicę to tak jak mówiłem pokrótce, yyy, red team yyy to tak jak mówiłem pokrótce y Red Team, a podobne punkty, jeżeli chodzi o ofensywę i i defensywę. Yyy, w przypadku yyy ofensywy yyy i ścieżek, które możemy objąć, żeby przybliżyło nas do tej kariery

ofensywnej, no to oczywiście mamy kursy i i certyfikacje. Yyy, ich jest dużo. O certyfikacjach jeszcze będę mówił. Y w skrócie część yyy certyfikacji jest fajnych dla HRów. One po prostu się dobrze sprzedają. Część certyfikacji jest po to, żebyśmy rzeczywiście mieli skille i żeby firmy łatwiej nam nas przyjęły. Część certyfikacji jest po prostu takimi challengeami płatnymi dla nas. Po prostu chcemy się wykazać, to to jest obiekt kupujemy i robimy, ale niekoniecznie przydają się. A tak naprawdę HDX stał się takim globalnym graczem numerem jeden dla mnie, jeżeli chodzi o platformę do zdobywania nauki. Sam HCK the box jest dość moc głównym takim elementem są maszyny bądź wyzwania. Jeżeli chodzi o maszyny, no to po prostu mamy również Solaris, Android,

inne. No i w tych maszynach po prostu musimy wyznać punkty CPE, które się przydają. też są certyfikaty, więc też można to pokazywać. Taka ciekawostka, dużo firm pentesterskich w w cenach i tak dalej. Oni się chwalą, że także ogólnie Hack the Box jest, ale tu króciutko port security academy. Całość jest za darmo i tak naprawdę jest, jeżeli interesuje was bezpieczeństwo właśnie tychże aplikacji, znajdziecie tu informacje gdzie są te podatności, jak je wyszukać, jak wyeksploitować i co chyba najważniejsze, jak je załatać, no bo to w pentostach oczywiście też takie rekomendacje musimy dawać. jest report swer to również to znajdziecie. Jeżeli chodzi o defensywę, to tak jak mówiłem całość jest bardzo podobna jakby częściowo o to, co przed chwilą

pokazywałem, czyli najpierw ścieżki. Też mamy certyfikacje, kursy, one się oczywiście różnią od tych platformy praktyczne po części są takie same, po części są inne. Tutaj zamiast tych CTFów, CTFy też są blue teamowe, ale są taką powiedzmy może trochę rzadkością. Yyy tutaj yyy yyy z kolei yyy stworimy, że warto mieć doświadczenie już wcześniej z narzędziami typu C, IPS, ids XDR i pewnie yyy masa jeszcze innych. Nie musi to być konkretne rozwiązanie, yyy, ale często firmy po prostu wymagają, żebyśmy już znali pewne takie systemy, więc warto sobie w jakimś Homelabie bądź online potestować. No i warto pobawić się praktyką Insident Response, żeby zobaczyć, że to nie jest tylko SIM w semie, że tam można dużo więcej rzeczy

zrobić i i to też w pewnym sensie jest taka walka nie tyle co z aplikacją, co często z adwersarzem, który być może jest jeszcze w naszej sieci i trzeba mu nie przeszkadzać. Jeżeli chodzi o certyfikacje, to tu z kolei rozmawiałem z osobami, które dość mocno siedzą w Bluetinie i te certyfikacje wypisały jako te, które warto, którymi warto się w ogóle zainteresować. Jeżeli mowa oństwa samej definicji. Parę przykładów, co może pójść nie tak. No i jak poprawić bezpieczeństwo, co nie znaczy, że już jest dobrze, ale mogło być gorzej. Tutaj pierwsze przyło zobaczego mamy idealistyczną dostępny 24 na7 mówił wszystkimi językami znał się na wszystkim i jeszcze będzie znacznie tańszy niż na przykład najniższe jest wizją wspaniałą którą

każdy kolej mniej techniczni zwykli ludzie na temat właśnie czym ten jest MCP server z czego się składa jak to się z czym łączy nawet są rad serwer z czego się składa jak to się z czym łączy nawet są rady związane z bezpieczeństwem związane z bezpieczeństwem, które naprawdę warto przeczytać, jeśli które naprawdę warto przeczytać, jeśli coś ktoś chce rzeczywiście używać tego MCP serwera na produkcję. Tu są te trzy czym jest MCP. Mamy prompty, czyli to co do LLMA, piszemy pytanie, prośbę, to jest właśnie to i to jest user control. użytkownik wpisuje opcję resources, czyli źródła. To jest to może to być na przykład jakaś baza danych, może być to, może być to nasza skrzynka mailowa, może być też to,

może być to nasza skrzynka mailowa, może być to historia git, może właśnie to jest co się składa, co jest skontrolowane przez model. Tutaj to LLM wybierze, która funkcję uzna za stosowną do naszego zapytania. Generalnie to ten tools to mogą być właśnie na przykład zwykłe zapytania API, zapisy do plików. To nie są, to nie jest czarna magia. To jest po prostu coś, co ma nam ułatwiać życie nam, no ludziom, którzy jeszcze się nie myślą o bezpieczeństwie, a ludziom, którzy muszą myśleć o bezpieczeństwie i widzą co programiści robią, co ludzie niet technicznie chcą zrobić. Może być trochę strasznie, gdy się zaczniemy zagłębiać w temat. Więc tu już zaczynamy się powoli zagłębiać w temat. Jeszcze nic nie widzieliśmy o bezpieczeństwie

będziemy widzieć. Tutaj ten klient jest na początku to może być na przykład cloud desk to może być kursor jakieś tego typu narzędzia. Tu się właśnie wszystko dzieje. Do tego narzędzia podpinamy właśnie te MCP serwery i łączymy się z jakimiś lokalnymi albo zdalnymi źródłami danych. Im więcej z tym serwerów, tym gorzej dla bezpieczeństwa, więc raczej lepiej mieć nim mniej, tym lepiej. Co widać już jakby od razu, jeżeli ktoś zaczyna już patrzeć na tą architekturę i się zastanawiać. lokalne serwery niestety, ale mogą wykonywać komend użytkownik będzie nam generował cztery właśnie tutaj da to injection attack. Szkodliwe komendy będą ukryte właśnie albo w funkcji narzędzia, albo w jego opisie, albo w dokumentacji, czyli to do tej pory w tradycyjnym programowaniu

albo w dokumentacji, czyli to do tej pory w tradycyjnym programowaniu było niegroźne. Było niegroźne. Czyli było takie, że może ktoś zaśmieje Czyli było takie, że może ktoś zaśmieje lub obrazi, gdy zobaczy dziwny komentarz w kodzie. Tym razem komentarze, opisy i tak dalej są wysyłane do narzędzia LLM, które może to zinterpretować w sposób taki, że wykona coś niedobrego, coś co nie było w ogóle. My nie chcieliśmy, żeby to się działo. Pobraliśmy czyjś MCP serwer, zaimplementowaliśmy, nie sprawdziliśmy wszystkiego. Myśleliśmy, że nie patrzyliśmy dokładnie w komentarze albo w opisy, co nam zrobiło akcję totalnie niepożądaną. Na przykład wysyłało nasze sekrety do atakującego, albo nam coś wykasowało, albo w ogóle coś wykasowało, albo w ogóle zrobiło inną akcję niż wzyczyliśmy. Indir

następny. Nie tłumaczyłam tego na polski, bo nie byłam pewna jak żeby było dobrze, tak występuje obecnie w literaturze anglojęzycznej. wykorzystuje zależności systemowe i zewnętrzne dane, narzędzia, czyli tutaj korzystamy. Ten MSP serwer może wykorzystać to, co już u nas istnieje w złośliwy sposób typu No podam przykłady później tutaj malous user attack. Tu nie trzeba mi się tłumaczyć lm inherent. No to tu można całą prezentację zrobić na temat jail breaków, prompt injection, wszystkiego tego, jak zrobić coś, czego wcale programista nie chciałby użytkownik robi. To są przykłady, czyli na przykład direct to injection attack to oczywiście wszyscy nasi starzy, dobrzy, nieprzyjaciele bezpieczeństwa dalej z nami są. Nic się nie zmienia, kolejne problemy są dodawane. Czyli SQL injection jak najbardziej gdzieś drop

table może być w komentarzu gdzieś w opisie. gdzieś w jakimś tulu żadne komendy do podejrzanych pików, koparki kryptowalut, czyli ten MCP serwer miał w domyśle pracować na nas, zarabiać pieniądze, gdy śpimy. Tymczasem zarabia nie na nas, kopie kryptowaluty, nie dla nas, albo w ogóle robi jakieś złe rzeczy, których totalnie nie chcieliśmy, prawda? Więc komendy jakieś do ustawienia persystencji też się może gdzieś tam pojawić. Mogą być takie opisy, które by specjalnie mylić LLM, by na przykład jakby akurat LLM wybrał to, które robi niewłaściwą akcję. Przykład indirect to Jest. A tak to wzięłam już przykładowym serwer, który może istnieć, który jest prostym web scrapperem, który przegląda sobie strony i indirect to injection attack polega na tym na

przykład, że złośliwa komenda będzie gdzieś na stronie pojawi się tutaj MCP serwer robi to, co miał robić, skrpuje łeb, internet coś wyciąga i na jakiejś stronie pojawia się komenda, która na przykład będzie przesyłać nasze dane na zewnątrz. To jest jeden z przykładów trochę podobny do mal user, a tak, chociaż ten user już robi coś celowo. na przykład wysyła nam pliki, gdzie pojawi się na przykład w jednym z pól taka komenda tutaj widać pod wiele jakiś małych złośliwy w różny sposób pytać serwer MCP żeby powiedział coś więcej o sobie o swoim rozwiązaniu żeby robić na przykład źródłowy jakieś pliki źródłowe wyciągnąć to też jest ryzykownie chcemy się dzielić tym jak zbudowaliśmy nasz problem no tutaj też jest tak że

możemy sobie myśleć no dobra ale my bierzemy jakąś niewinną bazę danych statyczną, tam się nic nie dzieje. To jest przykład z tej GD. Zasłoniłam imiona i nazwiska, żeby nie było, że RODO czy coś, chociaż to są publiczne dane, tak jest, to są nazwy firm, prawdziwe nazwy firm, tak firm, prawdziwe nazwy firm, tak wpisane w bazie CGD. Niektórzy ludzie mają specyficzne poczucie humoru i specyficzny poziom złośliwości, więc to może wpływać na różne rozwiązania. Obawiam się, że tutaj w MCP serwerach też może być przetworzone w sposób taki, jakbyśmy nie chcieli. Tutaj podaję już jakieś wzięłam praktyczne przykłady, żeby w ogóle można było zobaczyć, czym są serwerami CP, jako że że badałam temat, czytałam artykuły i widziałam, że

po prostu były badania, że większość serwerów NCP no bezpieczna nie jest, więc wzięłam dwa jakieś przypadkowe i nie będę się nad nimi jakoś tak bardzo znęcać, tylko pokażę, podkreślę, co może pójść, nie tak. albo co jest nie, co można byłoby poprawić. Tutaj na przykład tutaj właśnie podkreśliłam ten kawałek, o którym na początku powiedziałam, że to jest ten dołączanie dynamiczne kodu. Tutaj mamy kawałek znalazłam artykuł od Trend by to jak zrobić integrację. Nie będę w nią się teraz wnikać, ale jest też przykład na przykład, że może ten jakiś get environmental można sobie i chcemy, żeby ten MCP serwer chodził na jakimś naszym zasobie. To raz, że jest ryzykowny, co on w ogóle będzie robić tam u nas, ale

drugie jest, że my nie chcemy, żeby było zahardkorowane credenale w takim jonie przy potencjalnym wycieku. Jak w ogóle używamy LLMA, no to tym bardziej trzeba dbać o tą. Co tutaj spojrzałam oczywiście w paket Jason zobaczyć lock Jason tak jakie ile tu mamy tych zależności to jestze więcej niż w poprzednim jest coś jeszcze zobaczyłam że tutaj te repozytorium to nie jest npmś npm mirror z którego głównie chińscy deweloperzy korzystają czy on jest dobry czy niedobry nie wiem prawdopodobnie większość chod jest tam taka sama jak npm aczkolwiek No ja bym nie ryzykowała akurat tego i sprawdzania czy nie ma jakiś spozauszego bo kto wie. Może tak, może nie. Jak ktoś chce to może spadać taki, ale myślę, że

szybciej może być po prostu zrobienie swojego własnego takiego serwera. Może na podstawie urgent delete all ma. No i lm sobie albo wysyła do naszego szefa jakieś niezbyt miłe rzeczy. jeszcze w naszym imieniu być może nie chcemy, żeby tak się działo. Więc tutaj jest ryzyko nawet jak ten Chińczyk nie dodał z żadnych żadnych złośliwych rzeczy samo fakt, że mamy tak dużo dajemy, taką dużą władzę dla MCP sekret, no to już jest to już jest problem, tak? to już się coś dzieje nam złego. To jest jakiś przykład, powiedzmy, już bardzo z życia wzięty. Ja za dużo sama nie testowałam tych wszystkich MC serwerów, bo na razie trochę się ich boję, ale jak się ostatnio bawiłam, przygotowywałam takie małe wykasowanie

użytkownika, ale ja o to nie poprosiłam LMA, ja poprosiłam tylko check for SSL. Jeden krótki prąd. Tutaj są kroki krok po kroku robił. Zaczął wyszukiwać, sprawdzić czy jestem na sesiach, sprawdził czy ja wejdę na czy się wejdzie ta admina. A na koniec to zrobił, a ja w ogóle nie mówiłam tego, nie tego. [śmiech] Więc też myśląc o rozwiązaniu patrzymy jakie można wprowadzić możliwości zwiększenia tego bezpieczeństwa. Więc no tu ja bym numer jeden powiedziała, że jednak myślenie o sandboxie, tak jak w jakiś sposób od początku samego izolowania. na czym będzie tenski serwer pracował. W ogóle najlepiej przemyśleć trading, wszystkie możliwości zagrożenia oraz w ogóle cel biznesowy, czy my chcemy al biznesowy albo nasz prywatny, co my

chcemy osiągnąć i czy to rzeczywiście będzie nam lepiej i łatwiej, skuteczniej niż takie toowanie, tradycyjne używanie zapytań do API. Czy my potrzebujemy rozmawiać z tym chatbotem koniecznie? Czy tak bardzo nam potrzebna jest rozmowa właśnie po ludzkie? w ludzkim języku, by wykonać zadanie, które możemy kliknąć guzik i wykonać program. Najmniejsze przywileje dać dla takiego NCP serwera, zarówno jeśli chodzi o to, co może zrobić, jak i do czego ma dostęp. Nie chcemy na przykład dawać mu dostępu do sekretu, jak o ile tutaj bezpieczeństwo zawsze mówi, no nie, no nie można w texie trzymać haseł, tak? Nie można gdzieś tam w pliku txt zapisywać haseł. Ktoś może powiedzieć: "No po co? Przecież to ja mam dostęp do komputera". Jeżeli jednak MCP server

albo dawać dostęp na przykład do OneDrivea, bo to ktoś może mówić dobra ja nie chcę MCP serwera, nie jestem programistą, ale sobie rozmawia z Czer GPT i jest tam taka możliwość takie przesunięcia guziczka dostęp do OneDrivea. No i już używasz MCP serwera dostępny do OneDrive'a. Jesteś pewien, że nie trzymasz na One Driveie, nie wiem, jakiś haseł, jakichś poufnych rzeczy, bo potem może się okazać, że jednak y wchodząc w interakcję z swoimi danymi dostaniesz, nie wiem, z zewnątrz dokument, mail czy coś zawierający gdzieś tam dni boczne prompt injection, które będzie filtrować twoje sekrety. Słączniejsze od to jest takie pytanie, które warto sobie zawsze zadać. pytanie takie. No i tu już o nieprzechowywaniu sekretów to powiedziałam. Tym one tym bardziej

staje się ważne, żeby te sekrety bezpiecznie przechowywać w jakimś wolcie w poza miejscem, gdzie dostęp będzie miał MCP serwer czy czy człowiek. Tutaj dla was bibliografia, obrazki czy teksty robiłam w większości na podstawie tego, co przeczytałam. Niektóre rzeczy były, które sobie sama gdzieś znalazłam albo agent AI w Berbie. to moje własne tam powiedzmy początki, żeby zobaczyć jak to działa. W berbie prawdziwego pentestera jakby niedoświadczana osoba jeszcze więcej może zrobić złego niż niedoświadczona z agentem AI niż bez niego. Więc pójcia to dalej jest narzędzie dla tych co się znają więc Agentic AI zabierze praca bo zmniejszy nam pracę. Na razie ja widzę tylko tej pracy więcej w bezpieczeństwie związanym właśnie z tymi nowymi rozwiązaniami. To na ten moment wszystko. Slajdu takiego

finalnego to ja już tu nie mam, ale bardzo dziękuję za uwagę, za powiedziałam, że zaciekawienie. Mam nadzieję jakieś było tematem. Jeżeli jakieś są pojawiają się pytania, postaram się odpowiedzieć albo odesłać do literatury. Też jestem w trakcie drogi uczenia się na ten temat i sprawdzania, co może być źle i i widzę, że po prostu tutaj jest cała masa problemów. >> Tak. Czy punkcie się skończyło przed szukanie tam mail kogoś czy coś to są to jest dla niego jako prąd ta funkcja szukania maili to jest tak programistycznie opisana jak zrobić ale w prompcie używasz prompta i piszesz że potrzebujesz znaleźć maila jakiegoś llm wywołuje tą funkcję sprawdz która funkcja będzie pasowała do twojego zapytania znajduje ją i będzie będzie

wywoływać, bo to już funkcje są opisane już tak bardziej tradycyjnie programistycznie, ale LLM wyszukuje opis. No znaczy opis też może być taki na zasadzie co ma ten LLM zrobić takie polecenie dokładnie opisane krok po kroku, nie nie w sposób programistyczny to już zależy. Nie analizowałam dokładnie jak było w tamtym przypadku. Bardziej to było takie pokazanie jakby ideowe. >> Okej. Tak, tak. Właśnie chc taką funkcję, czy on mógłby do tej swojej funkcji mieć taki jakby mini system prądu, gdzie na przykład by opisywał sobie, że nie wykonuj nic, co jest właśnie jakś nie wykonuj takich, które są w treści to jest >> to znaczy myślę, że to są właśnie takie zagadnienie na którym się pracuje jak ograniczyć możliwości prompt injection i

to jest jedna z możliwości tylko, że Tu ciągle są wymyślane nowody obejścia, bo jeżeli nie tytuł, to może być w treści maila, może być włączniku, może być pod linkiem, ale to jest dobry kierunek. W ogóle jako coś, co by wykonywało jako polecenie >> właśnie ograniczenie możliwości wykonywania poleceń to na pewno jest ten kierunek, w którym powinniśmy myśleć jak ograniczyć potencjalne takie ryzyka. Znam atak, który został przeprowadzony na prawdziwej firmie, na której pomimo tego, że chc pt miał w proncie, żeby nie wykonywał poleceń od użytkownika, które są zapisane w spotkaniu, pomimo tego jeśli w spotkaniu było please, please comply i oczywiście ch skoro ładnie użytkownik poprosił, no to wykonał złośliwy prąd. Znaczy ja ostatnio się trochę namęczyłem, że wypróował na

przykład w końcu się udało po drugiej bat sam wygenerował prą który sobie skleiłem do personalizacji. Tylko, że nie podobał komend jak były tak zajpikiem czy coś nie, ale dawał face holdery, nie zmyślał tych narzędzi, faktycznie leciał komendy takie, które przygnało wykonywać. Także sam bata kręcił to mów o wersji 51 >> no moim zdaniem w ogóle nie nie jest taka trudna jak właśnie wyeliminować te wszystkie ryzyka może tutaj please albo powie że mam chorą babcię czy coś i nagle zrobi to >> na początku jak napisałem tego prwalili powi że nie można zć subskrypcj no to właśnie to pewnie monitoring jakiś był tych prądów więc no to jest pierwsze może przejść twój prąd Ale ktoś to zauważy, czy to

kolejny LLM monitorujący, co się złego dzieje i wiesz pierwsze się udało, a potem już będziesz musiał kombinować jak założyć drugie konto, tak? I znowu próbować ich zaatakować jakoś inaczej. Więc więc tutaj >> więc tutaj te takie budowanie, ten multievel security, tak wielopoziomowe, tu ograniczamy te prące, a potem >> sprawdzamy nawet jak przejdzie, też moż zablokować tego niedobrego użytkownika. No niestety >> widzę, że działa. >> Chyba tutaj cały czas wszyscy myślimy jak to zrobić lepiej albo ktoś myśli jak zepsuć. Tak. >> No widzamy przez emoji, nie? >> Tak. Tak. >> To też jest >> jakieś niechować na taki wątek czy zmianę temperatury, bo nie da się trochęć. >> Wiesz co? Myślę, że można na pewno z tym

testować. to takie te 70% i tak dalej to były takie uśrednione wyniki. Myślę, że tutaj można go sterować, więc ogólnie nie jest idealnie, ale tak modelując modelując, pracując nad tym można coraz bardziej go udoskonalać. Więc tutaj tylko, że to jest kolejny aspekt, tak? Ja nie chciałam teraz mówić za dużo o tym samym typowo dla lmu problemu, tylko pokazać właśnie ze strony MCP serwerów, gdyż >> to jest coś, co się pojawiło niedawno, tak? LMY to jest jeden problem drugie, które wynikają z dołączenia do niefunkcji. No i tutaj z dokładnością LLMA stan samym tym, żeby model do wytrenowania danych, >> żeby mieć pewność, że on budowy tak niezatruty na przykład zł. >> Halo, ja ciebie słyszę. Witaj na ścieżce

zdolnej. Wiesz to tutaj tego nieowałam, ale to agent to agent się tym różni od NCP. Tu mamy współpracę między dwoma na przykład rozwiązaniami, tak? I one między sobą się dogadują. >> To jest myślę inna klasa już problemów będzie. Dobrze, to zrobić tylko prezentację. Jak mamy agent to agent, to mamy tych po prostu problemów więcej, bo jeden agent mógł być fajnie zrobiony, a drugi trochę mniej bezpiecznie. Tak, czyli tak jak było fajne rozwiązanie, zaakceptowane wszyscy kity, ale nagle biznes potrzebuje jeszcze jednego agenta tutaj tak na szybko. No i on może być tym złym, więc ten agent agent tam po prostu robi bardziej jeszcze kompleksową architektury, więc to mógł być kolejny temat. Czy tu już widzę się skończył ten

czas, ale nie wiem, nie ma kolejnej prezentacji, więc jak ktoś ma pytania czy jakieś, nie wiem, swoje własne komentarze, no to myślę, że jeszcze można, bo będzie ten temat dla Syurki będzie na pewno jakby długo jeszcze zadań chyba, że ten AI się nam tak rozwinie, że nagle nie będzie trzeba, ale w tym momencie to ja nie widzę takiej pozytywnej wizji.

Tak. Nie ma jakiegoś rozdzielić

sanityzacja, ale jak to działa? czy ogólnie tak ai to czarna skrzynka ta musisz pamiętać a czarna składa no nie to jest tylko sieć duża sieć neurodonowa albo zna sieowa w ten sposób że wada tekst i generuje się kolejne kilka wyrazów z tego tekstu potem bierze to dokleja na począt na koniec tego tekstu który już był i generuje kolejne kilka wyrazów i tak po kilku pęklach generuje całą całą odpowiedź bo to generuje wyrazów, więc nie ma tam system od userta rozróżniesz tylko wyłącznie tabel pomiędzy, >> że masz dwa wejścia różne, nie nie masz jedno wejście, masz tylko pyk i wychodzi do sanityzacji prądów. No są różne techniki. Można na przykład są takie rozwiązania albo takie badania, które używają LLMA do tego,

żeby sanityzować LLMA, nie? E, nie takiego typowego RLMA, tylko takiego przetrenowanego na tym, żeby wykrywać ten jakieś tam efekty z tego, z tego są, no nie? Albo można robić analizę, no bo jak lm działa, to na początku jest to kanizacja, czyli jest taka sieć neuronowa, która rozbija rozbija te z >> zaczynać czy tam >> tak pan już może zaczynać. >> To my jesteśmy gotowi, jak pan będzie gotowy, >> to lecimy. >> Tak swój panel. Witajcie wszyscy. Niektórzy czekają na >> A takłaj oczywiście taką

>> okazało się że są osoby, które czekały na ten panel. Słuchajcie, >> jakie to było bolące po głowie. >> Presja rośnie. Dobrze. Ktoś pytał o temat wystąpienia. Tematem było czym grozi compliance security bez compliance. Ja trochę ściąłem ten tytuł, tak żeby nie był taki złowrogi i generalnie chcę powiedzieć o tym, czym jest generalnie cyber security bez tego zapewnienia zgodności. Ja patrzę na cyber security troszkę inaczej niż standardowy SISO może czy generalnie osoba, która zajmuje się bezpieczeństwem informacji takiej cyberbezpieczeństwem. Ja od kilkunastu lat zajmuję się bezpieczeństwem, ale od takiej strony właśnie komajansowej, tak? Czyli to jest obszar prawny. Ja jestem generalnie audytorem, audytuję różne obszary. Mówi po jednej pani, po drugiej strem osobę, którym to przeszkadza, bo utrudnia po prostu pewne

działania, być może rozwleka procesy, stwarza taki problem, że coś wymaga ilość stopniowego akceptowania procedur, nie wiem, czy wydłużania procesów, tylko temu, że to właśnie wymaga jakieś procedury, czy tego, żeby pogodzić jakąś normę, jakieś wymagania prawne, z tym, co nie do końca związek, chyba że jest to już odpowiednia skala organizacji, y jeśli nie nie ma inspektora ochrony danych, nie ma, nie ma takiego klasycznego SISO, które spina bezpieczeństwo informacji, spina te kwestie dotyczące projektowania bezpieczeństwa. No to kończy się na tym, że tak naprawdę na koniec zawsze poja na koniec zawsze pojawia się tylko i wyłącznie jakiś człowiek z IT jakiś informatyk, który pojawia się tylko i wyłącznie jakiś człowiek z IT jakiś informatyk, który potrafić komputer i on jest okrzyknięty

takim Casoftem, tak? bo on wie wszystko. On jest y takim magikiem, który generalnie w razie potrzeby no to właśnie zaktualizuje antywirusa i to już nie to już działa, to już jest okej. I dużo organizacji nawet dużych wiem, bo mam doświadczenie z różnymi, tak jak mówię, czasami są to spółki z milionowym kapitałem, które właśnie tak są oparte na takim Sebastianie z IT. Y, no bo ten dział IT de facto, który jest całym departamentem, czasami po prostu sprowadza się do tej jednej osoby czy dwóch, które po prostu noszą, wiecie, zawsze muszą gdzieś tam wynikać z czegoś konkretnie, tak? Nie z tego, że sobie jakby SISO czy dział cyber security tak po prostu wymyślił, tylko no gdzieś tam

musi jeszcze być jakiś powód tego taki konkretny, tak? No i takim powodem najczęściej powinien być powinna być taka zasada, która wynika z rodu, ale moim zdaniem ona powinna być w każdym akcie zapisana, tak? Czyli ta privacy by design, czyli jeśli projektujesz cokolwiek jakie bezpieczeństwa, no to zawsze to musi być domyślnie oczywiście zaprojektowana ochrona, ale też znowu wdrożonych rozwiązań takich jakbyśmy my chcieli, żeby one były. A po drugie nie ma kompletnie. podzieliłem to sektor prywatny i publiczny, dlatego że one też są trochę innymi światami, tak? Jeśli ktoś ma do czynienia z sektorem publicznym z was, no to wiecie, że to jest totalnie co innego. Te cyber security w tak no jest to powiedzmy bardzo słabe co najmniej. No i

oczywiście rosną cały czas wyzwania te takie formalnoprawne, czyli tak jak mówiłem, to co ustawodawca unijny na nas rzuca, a to jest trochę też na oszt robione, prawda? przyznacie, bo jak mamy te AI akty czy inne, to one już powinny być tam 5 czy 10 lat, prawda, wdrożane, a nie teraz, kiedy już te już te rozwiązania, które dzisiaj przyjęto już są nieaktualne, tak? Bo już ta ścieżka postępowania prawda? >> I to wystarczy jeden jakiś taki w razie jakiekolwiek zdarzenia nie ma, >> nie ma w ogóle o czym gadać, prawda? Przy >> zdarzeniu się okazuje, czy są procedury? >> Przy zdarzeniu się, że tak. Dopiero wtedy tak bezpieczeństwa wygląda w ogóle firmie, tak? Bo nie ma jednej osoby, to

musi jakoś współgrać i to wynikać musi z dokumentów. Natomiast jak chodzi o zbieranie danych, to tu jest duży problem, tak? Bo czasami jest tak, że Cyberste sobie wymyśla dodatkowe zabezpieczenia, prawda, UEFA i tak dalej. Kody bezpieczeństwa idą na SMS, prawda, trzeba zebrać numer telefonu, natomiast kodeks pracy nie przewiduje zbierania prywatnego numeru telefonu od pracownika. zrobione już oni wszystko przygotowali natomiast to prawdowali natomiast to prawnie nie jest w ogóle wykonalne. Tak trzeba przygotować formularze dla pracowników, zebrać numery telefonów, zebrać jakichś zgody, które też są wątpliwe w kontekście jakby kontekstu pracy i rodu w ogóle. Więc tutaj trzeba tym zarządzić teraz od strony compliance, co czasami może być no bardzo trudne, jeśli niewykonalne, co nie? Więc warto tym myśleć. IT bawi się

w różne rzeczy, prawda, typu takie samowolki jak właśnie śledzenie użytkowników w systemach i inne. Takie rzeczy też widziałem i tego nie obejmuje żadna procedura, bo nie może tego nawet robić. Tak. Natomiast gdyby procedura była poukładana i było wiadomo jakie też są, jaka też odpowiedzialność jest konkretnych osób za konkretne rozwiązania, no to wtedy zupełnie inaczej to wygląda. My mamy do czego się odnieść nawet dyscyplinując konkretną osobę, tak że to nie tak musi wyglądać, nie tak powinno wyglądać, nawet jako człowieka od security. Tak też miałem taki dokumentacji, jak mamy dokumentację pięknie po prostu narysowaną i i i super po prostu wyprasowaną, ale nie mamy rozwiązań, no to dostaniemy potyłku, bo na przykład no praktyka zawiedzie, czyli po prostu

gdzieś tam te dane zawiedzie, czyli po prostu gdzieś tam te dane wyciekną na przykład albo atak jakiś będzie po prostu pomyślny, tak? uciekną na przykład albo atak jakiś będzie po prostu pomyślny, tak? I zaszyfrują nam system informacji. Więc no z jednej i z drugiej strony jest to ryzyko. No i na koniec ryzyko. No i na koniec trzeba pamiętać właśnie o tym, trzeba pamiętać właśnie o tym, że to co ty powiedziałeś po prostu, że to musi być jednogłos, tak? Compliance musi się dogadać cyber security. Bez wspólnego języka nie jesteśmy w stanie dobrze zarządzać bezpieczeństwem. Tak. Dobrze zarządzać bezpieczeństwem. >> Tak. Jak kompl się pogada sam ze sobą to będzie dobrze. >> Okej, rozumiemliwość. Masz RODO, masz Nisa dwójkę powiedzmy.

>> A to nie jest i masz gości od tych równouprawniają mowę nienawiści. Nie, >> ci ostatni chcą wdrożyć. Jest takie narzędzie Microsoftu do kontroli właśnie agresywnej wypowiedzi na czatach. Aha. Ale jak Rodo to zobaczy. Okej, dzięki. Ja się wyłączam. Coś mam państwa bardzo serdecznie. Ja nazywam się Łasz Pastuszak. Jestem testerem penetracyjnym The Light i dzisiaj moja prezentacja będzie dotyczyła bezpieczeństwa w fazie projektowania. To implementujemy nam znane narzędzie, które w tym momencie jest, że tak powiem, najbardziej popularnym i takim centrum zainterem branży IT. Na początku przejdziemy sobie przez krótkie podsumowanie, oczywiście będę państwu tutaj opowiadał. Zobaczymy sobie nową rzeczywistość tworzenia oprogramowania. W jaki sposób w dzisiejszych czasach robimy oprogramowanie? w jaki sposób, od czego zaczynamy, jakie powstały luki w

bezpieczeństwie przez te nowe sposoby. Następnie zobaczymy zmianę paradygmatu, czyli co tutaj zmienia się względem tutaj już zbliżamy się do testów penetracyjnych czy tam właśnie z angielskiego abse, czyli naszych programów. Zobaczymy również problemy tradycyjnego podejścia pen testingu i dlaczego on nie jest już wydajny. e, patrząc na to nowe podejście i dlaczego te nowe funkcje, które wprowadza się w w testingu czy w apsecne, aby te podejścia do bezpieczeństwa, te audyty bezpieczeństwa były kompleksowe i jakościowe. Następnie zobaczymy zautomatyzowane narzędzie, które najczęściej używamy do do testowania aplikacji. brak perspektywy atakującego. Dlaczego te narzędzia nie są zawsze na tyle pomocne i na tyle efektywne, żeby zastąpić prawdziwą osobę i że tak powiem prawdziwe podejście, takie jak to się mówi, real world experience w testach,

ponieważ no nie każde zautomatyzowane narzędzie potrafi wykonywać jeszcze wszystkie, że tak powiem, funkcje, które potrafi pewnie open tester, chociaż się to zmienia, bo AI dużo, że tak powiem, nam tutaj zmienia, jeżeli chodzi o właśnie audyty bezpieczeństwa, narzędzia SAS DAS i jas. Myślę, że dobrze znane narzędzia bezpieczeństwa, których używamy. Takie podstawy do do, że tak powiem, czy aplikacje są w jakiś sposób bezpieczne na poziomie staty? Powinniśmy zrobić tutaj kluczowe pytanie, czy nowa rzeczywistość Application Security. Tutaj omówimy najważniejsze kwestie, które zmienią się i będziemy próbować zmieniać, aby te testy były jakościowe. Kluczowe zasady tego podejścia. Mamy również przygotowane case study od naszej firmy partnerskiej, które obrazuje w jaki sposób tworzymy bezpieczur i na samym końcu zdefiniujemy długoterminowe skutki dla zespołów i

biznesu, czyli taki już skrót, co to dla nas znaczy, co znaczy dla naszych przełożonych lub naszych współpracowników. Także tutaj mamy pięć kluczowych pojęć, które są bardzo ważne, które są bardzo ważne w tym temacie, w nowych realiach tworzenia aplikacji. Przede wszystkim kodowanie wspomagane sztuczną inteligencją. Zajmiemy się również bardziej w głębigencją. Zajmiemy się również bardziej w głębi, omówimy to później. Kodowanie wspomagane sztuczną inteligencją to oczywiście również termin znany jako tutaj ostatni w programowanie, gdzie programiści wspomagają się sztuczną inteligencją w różnym stopniu, czasami większym, czasami mniejszym, no ale jest to oczywiście powszechnej tutaj myślę, powszechnej tutaj myślę, że więcej większego rozwinięcia nie potrzeba. Modułowa architektura. Jest to dosyć nowy sposób. Jest to dosyć nowy sposób, aczkolwiek już kiedyś implementowany,

ale w znacznie mniejszym stopniu. Moduł architektura możemy sobie kojarzyć jak takie klocki. Architekturę możemy sobie kojarzyć jak takie klocki. Nie robimy już programów, aplikacji, które to jest, które są jedną takim, tylko oddzielamy sobie różne sekcje, przykład właśnie reverse engineeringu. O wipe codingu powiemy trochę później. Skąd to się wzi o wipe codingu powiem trochę później. Skąd to się wzięło? Dlaczego ten vięło? Dlaczego ten vibe coding jest w tym momencie tak popularny i jakie przeszkody jest w tym momencie tak popularny i jakie przeszkody może on nam tworzyć. Jeżeli chodzi o samo bezpieczeństwo co jest kluczowe. Na początku jeszcze zobaczymy statystyki, tak? Bo każdy lubi, lubi zajrzeć te statystyki, jak to może faktycznie wyglądać. a nie tylko te

statystyki, jak to może faktycznie wyglądać, a nie tylko, że tak powiem, że tak powiem suche słowa. Wpływ sztucznej inteligencji na środowisko suche słowa. Wpływ sztucznej inteligencji na środowisko deweloperskie. Tutaj oczywiście według INDB Shani zespołu GitHub. Tutaj sprzed dwóch lat mamy y wykres, że prawie wszyscy, czyli 92% deeloperów korzystają z narzędzi do programowania pracy, a większość 67% używa tych narzędzi, zarówno pracy, jak i w czasie wolnym. No to no można stwierdzić, że nie tylko dla deweloperów, ale też dla zespołu bezpieczeństwa, ponieważ każdy oczywiście ma jakieś role, a deweloperzy nie powinny się niepieczeństwem, tylko że tak powiem, no jednak tym programowaniem aplikacji. >> Przepraszam, skąd jest ten kwestionariusz, który został? >> Ten kwestionariusz jest tak jak wcześniej tutaj na slajdzie, to jest z

2023 roku według zespołu GI. Tak. Yyy, przechodząc dalej, mamy bardziej, że tak powiem, yyy, troszeczkę dogłębniej rozwinięcie pojęcie wipe codingu. Używamy oczywiście wipeingu w różnych sytuacjach, ale sam termin jest spopularyzowany przez Andreja Karpatnego, bardzo znana osoba, był był dyrektorem w w Tesli widzenia dyrektorem w w Tesli widzenia właśnie szczyt inteligencji opracowywał. Są cykle oczywiście bardzo są cykle oczywiście bardzo wolne. Ciężko zmienia się kontekst wolne ciężko zmienia się kontekst powiem powiem testów penetracyjnych przy cykl cyklu typu Waterfall. testów penetracyjnych przy cykl cyklu typu Waterfall, ponieważ ponieważ zmiany w takim cyklu są bardzo ciężkie. Mamy jakieś zmiany w takim cyklu są bardzo ciężkie. Mamy jakiś tam program, który mamy zrealizować i żadne zmiany tak naprawdę nie są przewidywane, przez co jest to

bardzo monotonne, bardzo ciężkie do jakkolwiek rozszerzenia na przykład takich testów i no mała mało efektywne w tym momencie, ponieważ same systemy są na tyle rozbudowane, że no nie są efektywne w tym momencie, ponieważ same systemy są na tyle rozbudowane, że no nie jesteśmy już w stanie używać zwyk zwykłych takich standardowych testów, które będą sprawdzać podstawowe nasze potrzeby, aby stwierdzić, że aplikacja w jakiś sposób faktycznie jest bezpieczna. Współdzielone zasoby w architekturze modulułowej tworzą nowe powierzchnie ataku i to o czym mówiliśmy na pierwszym slajdzie, czyli te udostępnione bazy kodu, które są właśnie często tematem kłótni wielu zespołów, ponieważ no niektóre projekty muszą być skończone w jakimś czasie, ale ten czas nie jest często wystarczający na to, aby

ten projekt praktycznie zakończyć w jakiś jakościowy sposób. Mamy tutaj pierwszy przykład. Jeżeli chodzi o naszą piękną, sztuczną inteligencję, jest to z tego co pamiętam to była wersja 3.5. mogą się narodzić problemy. Oczywiście to jest prozaiczny, bardzo banalny przykład, natomiast jakby to była funkcja tak naszego tworzenia aplikacji i automatyczne narzędzia nie uwzględniają kontekstaty są w stanie w jakiś tam sposób już odwzorowywać nasze zachowania, że tak powiem, na czym większą uwagę skupiać, nad czym możemy więcej tutaj popracować, a czego lepiej. A co jeśli testy penetracyjne nie muszą być ostatnim etapem procesu, czyli takim egzaminem końcowym? No bo w sumie tak, no robimy aplikację, mamy tam gotową aplikację, okej, przet, ale co mamy gdzieś tą specyfikację, która była

robiona, najczęściej była zmieniana podczas tworzenia oprogramowania i my teraz patrząc na tą specyfikację, która jest nie do końca tak naprawdę nie wszystkie instalacji uprawnień, czyli błędnie przydzielone uprawnienia do niektórych kąt, które pozwalają nam na za dużo, co jest również dużym problemem, czyli list privilege. Oczywiście ta reguła najmniejszej najmniejszych uprawnień jakie są możliwe. Manipulacja przepływem danych czy luki w integracjach. No to te nasze punkty styku często nasze punkty styku często, które nie są dobrze zwalidowane, czyli tam gdzie coś się, które nie są dobrze zwalidowane, czyli tam gdzie coś się z czymś komunikuje czymś komunikuje. Tam czzieje, które nie są zawsze Tamczy dzieje, które nie są zawsze dobrze ze sobą dopasowane. dobrze ze sobą dopasowane, ponieważ to

też naprawdę to też naprawdę potrzebuje no dużej uwagi właśnie potrzebuje no dużej uwagi właśnie te punkty styku te punkty styku SAS, czyli zderzenie z rzeczywistości SAS, czyli zderzenie z rzeczywistością czyli bardzo zą czyli bardzo znane nam narzędzia co one robią, czyli tutaj w skrócie Co one robią? Czyli tutaj w skrócie SAS skanuje kod źródłowy na wczesnym etapie programowania. To jest analiza statyczna. Jest szybki, zautomatyzowane, przyjazne dla, czyli, czyli redefiniowanie bezpieczeństwa, przynajmniej co gdzieś tam według mnie, co ja zauważyłem i co mogłoby być bardziej gdzieś tam według mnie, co ja zauważyłem i co mogłoby być bardziej spopularyzowane, jeżeli chodzi o o bezpieczeństwo, o robienie audytów. przede wszystkim od pojedynczej walidacji do stałego zabezpieczenia aplikacji, czyli to jest taki przede

wszystkim od pojedynczej walidacji do stałego zabezpieczenia aplikacji, czyli to jest taki proces yyy no takiej kontynuacji. Tak naprawdę mamy pierwszą tą walidację po y przed i po stworzeniu aplikacji w trakcie i jest to to, że tak powiem proces kontynuacyjny, czyli nie zatrzymujemy się na jednym jednym ancie i dobrze do zobaczenia za rok, tylko no faktycznie gdzieś tam fajnie jest mieć wgląd, co się co się cały czas dzieje. Bezpieczeństwo jako funkcja w procesie tworzenia oprogramowania, czyli to jest naszą funkcją. Nie chcemy tego jako egzamin końcowy, nie chcemy zostawiać tego na sam koniec, czyli uczymy się yyy całą podstawówkę i tam liceum technikum i na koniec piszemy maturę i to jest końcowy egzamin. tylko cały czas gdzieś

tam ta funkcja y czyli bezpieczeństwo jako funkcja wykorzystujemy to, że mamy gdzieś tam wgląd w tą aplikację, możemy w jakiś sposób dogadywać się na przykład z zespołami deweloperskimi, na przykład jakie są zmiany, czego one dotyczą, co może zostać na przykład bardziej no ujawnione, gdzie mogą się gdzie mogą znaleźć większe komplikacje. podejście proaktywne zamiast reaktywnego, czyli nie czekamy aż zostanie zgłoszona bezpieczeństwa i dobra i paczujemy, tylko gdzieś faktycznie zerkamy cały czas gdzie mogą być te słabe nasze punkty, mniej zabezpieczone. Myśleć jak troszeczkę jak atakujący, czyli gdzie w którym miejscu no może się pojawić ten ta dziura w której, która może zostać wykorzystywana. Shift left approach, czyli bezpieczeństwo zaczyna się już na etapie projektowania. Bardzo świetne. przesuwamy wszystko w

lewo się na tym jak atakujący możemy sobie zagwarantować poprzez clean architecture i bezpieczne kodowanie za pomocą sztucznej inteligencji no to oczywiście w dlaczego nie maienia czy przeprowadzenie produktu na rynek no to oczywiście to jest też plus dla dla i dla naszych partnerów czy dla kogoś dla kogo robimy dany projekt ale jak i dla nas no bo możemy troszeczkę szybciej przejść do następnego projektu albo po prostu zakończyć to dużo sprawniej i szybciej Dlaczego nie większe zaufanie klientów? Klienci oczywiście będą bardzo zadowoleni, jeżeli projekt będzie y kompletny w krótszym czasie, ale i będą wiedzieli, że ten projekt jest faktycznie jakościowy, bo możemy im tam no jednak zatwierdzić i upewnić, że że ten kod był nawet się chwalić w tych dzisiejszych

czasach, że kod był generowany przez sztuczną inteligencję, co często jest świetnym kwietingowym, że sztuczna inteligencja, że tak powiem, jest w każdym produkcie. Niedługo chyba nawet będziemy używać tego do reklam jedzenia, jak już było, że tak powiem, reklama Coca-Coli. i lepsza lokacja zasobów, no to oczywiście jeżeli pieniądze nie wyrzucamy, że tak powiem, bezpieczeństwo i łatanie dziur i dalsze jakieś tam zmagania, dokupowanie narzędzi i tak dalej, tylko mamy jakieś tam standardowe naszą nasze narzędzia, którymi się posługujemy i wiemy, że one są dla nas przynajmniej w naszym działaniu, niezawodne i idealne, dopasowane do naszego zespołu. No to nic lepszego nie zostaje, tylko powiedzieć aż tak duży, tylko może być, że tak powiem, taki jaki jest standardowy. Nie musi być, że tak

powiem, taki jaki jest standardowy. Nie musimy go, że tak powiem, nie musimy go, że tak powiem, przeciągać do przodu, ponieważ żadne błędy bezpieczeństwa przeciągać do przodu, ponieważ żadne błędy bezpieczeństwa no nam się tutaj nie wkradą. I tutaj oczywiście mamy będzie nam potrzebny do logowania, czyli dajmy dane użytkownika czy username i hasło i generuje nam, że tak powiem już końcowy kod use case. Mamy, łączymy sobie te moduły, czyli mamy y wpisywanie danych użytkownika, mamy AI, AI API, które nam w JSON przerzuca te dane do serwera backendowego i później on sobie gdzieś tam je zapisuje na bazie danych, tak? Czyli mamy tą jedną komunikację, w zasadzie dwie, z frontendu do API interfejsu, z API interfejsu do backendu.

No dobrze, tutaj jest, tutaj wprowadziłeś taki taką separację jakby żądań. Dobrze, pięknie, że mamy tutaj podzielony frontend i backend. Natomiast czy to AI w ogóle zda sobie sprawę, że na przykład może ta komunikacja zostać przerwana z różnych powodów? Nie wiem, na przykład kabel ktoś wypiął y takich, które w ogóle nie są w kwestii programowych, czy tam jakiś awaria sprzętu, jest milion różnych rzeczy, których po prostu strukturą nie da się załatwić całych i tak z reguły padają usługi, że ktoś tam na przykład dał ci milion requestów na jedną usługę, tutaj się nogi zakleiły i wszystko zdechło i tak to wygląda. I teraz samo sama struktura chyba tego nie jest w stanie zabezpieczyć. Dobry protokó o tym, że taka taka sytuacja

może strąpić. Oczywiście i dlatego trzeba zawsze czy to nie jest AI, czy to jest AI yyy tutaj oczywiście nie mówiąc, że AI jest idealne i wszystko nam zastąpia, no bo wtedy byśmy żyli w świetnym yyy, że tak powiem w utopii, gdzie zakładamy, że ja jest na tyle dobre, że możemy dać prompta i sama aplikacja się napisze. Natomiast no są oczywiście problemy, tylko właśnie tutaj się skupiamy na tym, żeby no faktycznie troszeczkę ten ciężar tej analizy statycznego kodu wrzucić na ile to jest możliwe do do tej zautomatyzowanej sztucznej inteligencji, żeby móc jednak czasami poświęcić więcej czasu na różne inne no rzeczy, które są dla nas ważne, czyli właśnie komunikacja między tymi komponentami. No to jest też zależne

wiadomo od zespołu, tak? No jest to bardzo fajne narzędzie. Można z tego korzystać, można z tego nie korzystać. Dla niektórych będzie to dożym ułatwieniem, bo ktoś ma taki workf pracy, że jest w stanie stworzyć, mówię, te ten kod statyczny, który gdzieś tam będzie bezpieczny i zajmie się innymi komponentami, a dla niektórego będzie to mniej, że tak powiem, nie będzie, że tak powiem, jeszcze zapewnione i sam będzie, że tak powiem, dalej to sprawdzał. I to jest już, mówię, kwestia dosyć drugie pytanie mówisz zrobi piękne protokoły, czy zrobi też ich dokumentację? dokumentację czy sztuczna inteligencja zrobisz dokumentację >> tak dokumentację czytelną dla człowieka dokumentację poniewa i która będzie spójna z tym co jest rzeczywiście tam w środku

>> tak to jest właśnie w tych adapterach które one nam tłumaczą tak naprawdę ten open open open open a spec na taki nasz na taką logikę biznesową która jest potrzebna no tak na na jak to działo po prostu słownie w jaki sposób czyli użytkownik przyjmuje takie i takie logowanie. Funkcja przyjmuje takie i takie parametry. Logowanie jest polega na tym, na tym i no w skrócie, no mówię, te adaptery są odpowiedzialne za to, żeby przetłumaczyć, rozdzielić te use casey, czyli tę aplikację, kod aplikacji na tą logikę biznesową, czyli na taki nasz powszechny. >> No to nadal nie odpowiada do końca na pytanie. Natomiast w tym jeszcze jest, że taka dokumentacja często ma też dokumentować tok myślenia

tej osoby, która rzeczywiście to tworzyła. I tutaj w tym przypadku AI też by wypadało, żeby napisało jakie tam dlaczego to robi to robią. To jest ten czynnik człowieka, którego my tutaj nie zastąpimy. No i jakieś tam przemyślenie komentarz. >> Prcież na przykład taki czat GPT potrafi ci powiedzieć, że robię to to i to dlatego, bo XY Z czasami jest szczególnie te nowsze wersje, one mają ten swój tam >> myślenia. Tak, tak, tak. >> I to byłoby przydatne, gdyby to było zawarte na przykład w programie, czy to chociażby jako dokumentacja, >> czyś jako komentarze na przykład. Tak. No to myślę, że jest w stanie to bez problemu wprowadzić. Tylko, że tutaj trzeba byłoby pokombinować przy tych

adapterach prawd. >> Mhm. Dobra. To wtedy by to było już kompletniejsze >> kompletne. Dokładnie. >> Rozumiem, że tu jest takie rozwiązanie, które znacząco poprawia tak zwany wip coding w kierunku czegoś, co zbliża się do bezpieczeństwa, ale no 100% bezpieczeństwa to jakby jest ten ideał, który >> tak to jest utopia. Tak, mówię, chodzi bardziej o gdzieś tam y mówię poprawienie y struktury jakby bezpieczeństwa, samego statycznego kodu, gdzie nie skupiamy się tyle już godzin na tym, no bo wiadomo ile może to zajmować czasu i poprawiamy i wydajność w jakiś sposób, no bo czasowo lepiej wychodzimy, no i gdzieś z tyłu głowy mamy, że to też jest zrobione bezpiecznie. Wiadomo, walidacja dalej walidacją. Nie możemy na tym oczywiście

tego rzucić i zostawić to w taki sposób, ale gdzieś tam no jest to narzędzie, które nam na pewno pomaga w taki sposób, tylko oczywiście przy, tak jak pan mówił, przy dobrym y przy dobrej walidacji, przy dobrym ustawieniu właśnie tej sztucznej inteligencji, tak aby ona jakieś tam nasze potrzeby spełniała.

Na razie i tak jestem bardziej zwolennikiem dowodów matematycznych, żeby rzeczywiście było to sprawdzone, >> bo wtedy ma się absolutną pewność, że to działa. Zakładając, że masz, że są dobrze wymienione, bo wtedy masz na przykład zakodowane nie tyle wymagania, co własności tych modułów i własności protokołu, które są weryfikowane matematycznie. Oczywiście może być jakaś brakująca, nie? Bo na przykład ktoś zapomniał wyspecyfikować, że yyy ma to działać na przykład piątki ma być jakiś backup robiony >> na przykład nie ma napisanego tego. >> A a nie i to nie było uwzględnione w tym, ale wtedy jest lepsza pewność. Ciekawe czy sztuczna inteligencja jest w stanie wygenerować taki taką specyfikację typu dowodu matematycznego. >> Póki co w eksperymentach widzieliśmy, że

nie szczególnie to się udaje. No ale to byłoby rzeczywiście cenne. Wtedy >> ja bym poprosił o dowód, że RSA nie ma wielionowego rozwiązania. początek no jest to jest dość jest duża cegła gzie wciągają baz danych na przykład Izabel ma w bazie danych dosłownie te nazprowadza się je na przykład cenereczki i to jest po prostu tam jest w bazie dany i nawet automat jeżeli się częściowy znowu potrafi uzupełnić braki wyszykując bazie rany dowodów które a jak się nie nie dojdzie no to się spycha tu byłaby właśnie ta sztuczna inteligencja przydatna, ona by się powinna wtedy >> jeszze jeszcze tutaj powinniśmy uwzględnić element komputerów kątowych, które bazują na kubitach i na dwóch stanach, które przy obecnym przy obecnej

rzeczywistości mogłyby tak powiem szyfrowanie oczywiście tam do 128 litów by to jest kwestia specyfikacji co specyfikujem że chcemy mieć nie że czy chcemy mieć odporność kwantową czy nie na przykład jestż >> no nic ale mówię temat jest dosyć obszerny także że tutaj na pewno jest dużo sporów i dużo faktycznie pól do rozstrzygnięcia, bo nie zawsze oczywiście jest to kolorowe, jak podają chociażby media, jeżeli chodzi tą inteligencję, trzeba zachowywać ostrożność i przede wszystkim no faktycznie robić te kalkulacje matematyczne, które dadzą nam faktycznie liczbowo pewność, że coś jest, a nie na niebie. To jest generalnie takie stwierdzenie, że jeżeli będzie to w stanie napisać coś kształtu, jak to się nazywało S4 bodajże takiego kernela, no to wtedy stwierdzam,

że to jest rzeczywiście. Okej, >> tak może się okaże do tobkończymy event powoli, nie?