Бюджет: 1200 USD Срок: 8 дней
Для веб-приложения с интеграцией ИИ оценка требует двух параллельных направлений. Первое — стандартное тестирование веб/API, охватывающее обход аутентификации, IDOR, SSRF и цепочки инъекций. Второе — тестирование уровня ИИ в соответствии с OWASP Top 10 для приложений LLM 2025 года. С точки зрения ИИ наиболее важными векторами являются инъекция запросов (прямая и косвенная через сохраненный пользовательский контент), утечка системного запроса, чрезмерная автономия, если модель вызывает инструменты/API, и слабости вектора/встраивания, если вы используете RAG. Я тестирую с помощью Burp Suite Pro для веб-уровня, ручное противодействующее побуждение плюс пользовательские скрипты для уровня ИИ. Результат: отчет с оценкой серьезности, содержащий воспроизводимые PoC для каждой находки и шаги по устранению, приоритезированные по риску. Каков технологический стек? Особенно интересно, имеет ли компонент ИИ вызов инструментов или внешнее извлечение данных, так как это определяет, насколько широка поверхность атаки ИИ.