Бюджет: 1200 USD Термін: 8 днів
Для веб-додатку з інтеграцією ШІ оцінка потребує двох паралельних напрямків. Перший - це стандартне тестування веб/API, яке охоплює обхід автентифікації, IDOR, SSRF та ланцюги ін'єкцій. Другий - тестування шару ШІ відповідно до OWASP Top 10 для LLM Applications 2025. З боку ШІ найбільш важливими векторами є ін'єкція запитів (пряма та непряма через збережений контент користувача), витік системного запиту, надмірна автономія, якщо модель викликає інструменти/API, та слабкості вектора/вбудовування, якщо ви використовуєте RAG. Я тестую з Burp Suite Pro для веб-шару, ручне суперечливе запитування плюс користувацькі скрипти для шару ШІ. Результат: звіт з оцінкою серйозності з відтворюваними PoC для кожної знахідки та кроками виправлення, пріоритизованими за ризиком. Яка технологічна стек? Особливо цікаво, чи має компонент ШІ виклик інструментів або зовнішнє отримання даних, оскільки це визначає, наскільки широкою насправді є поверхня атаки ШІ.