Budżet: 1200 USD Termin: 8 dni
Dla aplikacji internetowej zintegrowanej z AI, ocena wymaga dwóch równoległych ścieżek. Pierwsza to standardowe testowanie web/API obejmujące obejście autoryzacji, IDOR, SSRF i łańcuchy wstrzyknięć. Druga to testowanie warstwy AI zgodnie z OWASP Top 10 dla aplikacji LLM 2025. Po stronie AI najważniejsze wektory to wstrzyknięcie polecenia (bezpośrednie i pośrednie przez przechowywane treści użytkowników), wyciek systemowego polecenia, nadmierna autonomia, jeśli model wywołuje narzędzia/API, oraz słabości wektora/osadzenia, jeśli używasz RAG. Testuję za pomocą Burp Suite Pro dla warstwy web, ręczne prowokowanie adwersarialne oraz niestandardowe skrypty dla warstwy AI. Wynik: raport z oceną ciężkości z powtarzalnym PoC dla każdego odkrycia i krokami naprawczymi priorytetowymi według ryzyka. Jaki jest stos technologiczny? Szczególnie interesuje mnie, czy komponent AI ma wywołania narzędzi lub zewnętrzne pobieranie danych, ponieważ to określa, jak szeroka jest rzeczywista powierzchnia ataku AI.