Blog

Кремнієва долина закохалася в Clawdbot за одну ніч. Персональний AI-асистент, який керує електронною поштою, реєструє на рейси, контролює розумний будинок і виконує термінальні команди. Все через WhatsApp, Telegram чи iMessage. Цілодобовий Джарвіс із безмежною пам’яттю.

Дослідники безпеки побачили дещо інше: пастку для інфостілерів у вашій домашній директорії.

Clawdbot зберігає ваші API-токени, профілі автентифікації та спогади сесій у файлах відкритого тексту. Він працює з тими самими правами, що й ваш обліковий запис користувача. Він читає документи, листи та вебсторінки, щоб вам допомогти. Ті самі можливості роблять його ідеальним вектором атаки.

Творець Пітер Штайнбергер створив інструмент, який справді корисний. Офіційна документація прямо визнає ризики: “Запускати AI-агента з доступом до оболонки на вашій машині… гостренько. Не існує ‘ідеально безпечного’ налаштування.”

Ця стаття розглядає, як ці ризики виглядають на практиці.

Більшість програм обізнаності з безпеки провалюються з тієї самої нудної причини: вони нудні.

Співробітники сидять через 45-хвилинне відео про гігієну паролів, натискають “Далі” в тесті та забувають все до обіду. Ви це знаєте. Вони це знають. Показники натискань на фішинг це доводять.

Рішення не в кращих відео. Це в тому, щоб підняти людей з крісел і занурити в сценарії, що відчуваються реальними. 15 активностей нижче це ті, які ми бачили працюючими в реальних компаніях, з реальними скептичними співробітниками, що дають реальні вимірювані покращення.

Якщо ви хочете ширший погляд на вправи з кібербезпеки та як структурувати програму, ми це розглянули окремо. Цей пост це практичний посібник: конкретні активності, які ви можете провести цього тижня.

Відкритий код звучить привабливо. Без ліцензійних зборів. Повний контроль. Свобода кастомізації.

Але “безкоштовне” програмне забезпечення не є безкоштовним. Перш ніж довірити своє навчання кібербезпекової обізнаності LMS з відкритим кодом, потрібно зрозуміти, на що ви насправді підписуєтесь. Цей посібник охоплює реальні компроміси, порівняння платформ та математику, що визначає, чи має відкритий код сенс для вашої організації.

Перший день: лист від нового постачальника запитує, чи ви правильна людина для обговорення можливостей партнерства. Нічого підозрілого. Жодних посилань. Жодних вкладень. Ви відповідаєте, підтверджуючи свою роль.

Третій день: надходить продовження з “пропозицією” у вкладенні. Ви відкриваєте без вагань. Ви вже знаєте цього відправника.

Це бочковий фішинг. Перший лист мав одну мету: змусити вас довіряти другому.

“Чи це дійсно працює?”

Кожен CISO, який просить бюджет, кожен HR-лідер, який оцінює вендорів, кожен CFO, який підписує замовлення, приходить до того ж питання. Навчання з кібербезпеки з’їдає час, увагу та гроші. Що організація отримує назад?

Ми проаналізували дослідження. Відповідь складніша, ніж вендори хочуть, щоб ви вірили.