Mateusz Chrobok

Mateusz Chrobok

Jak niebezpieczny jest Internet? Co można zrobić z danymi i dlaczego buzzwordy napędzają branżę IT? Jak przekuć pomysł w startup i spróbować zrobić coś dobrego? Mateusz Chrobok stara się dzielić swoim doświadczeniem w pracy w działach Research & Development na swoim kanale na youtube. Porusza w nim tematykę tworzenia startupów a także podejmowania kluczowych decyzji. Budowania produktów i weryfikacji ich zasadności. Opowiada także o bezpieczeństwie i o tym co robić i jak żyć by być maksymalizować swoje bezpieczeństwo. Oprócz tego jest ciekawy nowych technologii związanych z sztuczną inteligencją takich jak explainable AI, które mogą zmienić adopcję tych technologii w życiu codziennym.

  1. 1 day ago

    Nikt nie jest odporny na dezinformację — nawet Ty | Mateusz Cholewa (Demagog)

    📰 Newsy, clickbaity, dezinformacja — wszyscy mamy z nimi dziś do czynienia. Jak działa fałsz, dlaczego tak łatwo w niego wierzymy i czy w czasach generatywnego AI da się jeszcze odróżnić prawdę od fejka? Moim gościem jest Mateusz Cholewa z Demagoga — fact checker i zastępca redaktora naczelnego, autor książki „Fake Off". Rozmawiamy o tym, jak buduje się fałszywe autorytety, czemu fake newsy rozchodzą się szybciej niż fakty, jak AI zmieniło skalę dezinformacji i co każdy z nas może zrobić, żeby się nie dać. 📚 KONKURS Pod koniec odcinka rozdajemy 3 egzemplarze książki Mateusza, „Fake Off". Jak wziąć udział — napiszcie w komentarzu, jaka była ostatnia informacja, przy której się zatrzymaliście, zastanawiając się, czy jest prawdziwa, i co z nią zrobiliście. Najlepsze odpowiedzi nagrodzimy. Linki: 📕 Odcinek powstał we współpracy z Wydawnictwem Znak. Książka „Fake Off": https://rebrand.ly/bf2ad8_mc 🕵 Analizy Mateusza znajdziecie tutaj https://demagog.org.pl/autorzy/mateusz-cholewa/ © Wszystkie znaki handlowe należą do ich prawowitych właścicieli. ❤️ Dziękuję za Waszą uwagę. Znajdziecie mnie również na: Instagramie @mateuszemsi https://www.instagram.com/mateuszemsi/ Twixxerze @MateuszChrobok https://twitter.com/MateuszChrobok Mastodonie https://infosec.exchange/@mateuszchrobok LinkedInie @mateuszchrobok https://www.linkedin.com/in/mateuszchrobok/ Patronite https://patronite.pl/MateuszChrobok Rozdziały: 00:00:50 Jak działa dezinformacja i fałszywe autorytety 00:10:10 Praca fact checkera w czasach AI 00:23:50 Anatomia fake newsa: emocje, gniew i kryzysy 00:38:51 Kto kłamie i jak go zdemaskować: eksperci, szarlatani, oszustwa AI 00:54:08 Dywidenda kłamstwa 00:55:58 Jak się bronić i co daje nadzieję? #fakenews #deepfake #ai #fact-checking #dziennikarze

    1hr 3min
  2. Jesteś administratorem Fortigate? Współczuję. Szczerze.

    4 days ago

    Jesteś administratorem Fortigate? Współczuję. Szczerze.

    🩸 W życiu pewne są trzy rzeczy. Śmierć, podatki, i to, że posiadając w swojej infrastrukturze urządzenia Fortineta mamy zagwarantowane więcej emocji niż na mundialu. No i nie inaczej było tym razem, gdy gruchnęła wiadomość, że jest naprawdę grubo. Siedemset pięćdziesiąt tysięcy wykradzionych haseł, ponad czterysta tysięcy przejętych urządzeń, dziewięćdziesiąt tysięcy organizacji, baza danych na ponad sto milionów wpisów. Sęk w tym, że w sumie z Fortinetem jako firmą i jakimiś ewentualnymi błędami bezpieczeństwa w ich urządzeniach nie ma to zbyt wiele wspólnego. Co tak właściwie się stało i co już wiemy na ten temat? Linki: 👨 Volodymyr "Bob" Diachenko https://www.linkedin.com/in/vdyachenko/ https://x.com/MayhemDayOne 🩸 FortiBleed Check https://socradar.io/free-tools/fortibleed 🩸 FortiBleed: SOCRadar’s Investigation into 86,644 Compromised Fortinet Firewalls https://socradar.io/blog/fortibleed-fortinet-firewalls-compromised/ #️⃣ Hashtopolis https://docs.hashtopolis.org/ 🔫 CyberStrikeus / CyberStrike @ GitHub https://github.com/CyberStrikeus/CyberStrike 💦 More Than a Leak: What SpyCloud Found Inside the FortiBleed Threat Actor Infrastructure https://spycloud.com/blog/what-spycloud-found-inside-the-fortibleed-threat-actor-infrastructure/ 🌎 FortiBleed: How a Russian-Speaking Threat Group Quietly Compromised 75,000 Fortinet Firewalls Worldwide https://thecybersecguru.com/news/fortibleed-fortinet-firewall-credential-leak/ ☁️ Cybercrime: A Multifaceted National Security Threat https://cloud.google.com/blog/topics/threat-intelligence/cybercrime-multifaceted-national-security-threat 🔓 FortiBleed — 75k Fortinet firewalls have admin passwords cracked https://doublepulsar.com/fortibleed-75k-fortinet-firewalls-have-admin-passwords-cracked-60299faa65f8 📰 Analysis of Reported Credential Compromise of FortiGate Devices https://www.fortinet.com/blog/psirt-blogs/analysis-of-reported-credential-compromise-of-fortigate-devices 🏥 An update on FortiBleed — what’s happening with victim orgs https://doublepulsar.com/an-update-on-fortibleed-whats-happening-with-victim-orgs-c0671a50e7f4 💊 FortiBleed – kluczowe informacje w pigułce https://www.vida.pl/aktywna-kampania-fortibleed-uderza-w-urzadzenia-fortinet-w-194-krajach/ © Wszystkie znaki handlowe należą do ich prawowitych właścicieli. ❤️ Dziękuję za Waszą uwagę. Znajdziecie mnie również na: Instagramie @mateuszemsi https://www.instagram.com/mateuszemsi/ Twixxerze @MateuszChrobok https://twitter.com/MateuszChrobok Mastodonie https://infosec.exchange/@mateuszchrobok LinkedInie @mateuszchrobok https://www.linkedin.com/in/mateuszchrobok/ Patronite https://patronite.pl/MateuszChrobok Rozdziały: 00:00 Intro 00:56 Kontekst 01:21 FortiBleed 03:50 Atak 07:59 Szerzej 11:12 Kto? 14:25 Skala 16:20 Rady 17:46 Co Robić i Jak Żyć? #Fortinet #wyciek #bezpieczeństwo #logowanie #hasło

    21 min
  3. 21 Jun

    Jak naprawdę zarabiać na AI?

    🤖 Mniej o demach i proof conceptach, więcej o tym, jak AI realnie przekłada się na pieniądze. Rozmawiamy o GTM Engineeringu, budowaniu „queryable company", mentalności polskich founderów i o tym, dlaczego „jak boli, to rośnie". Moim gościem jest Artur Wala — związany z AI Tinkerers, działający na styku AI, enterprise'u i go-to-market, współtwórca GTM Tech Week. W tym odcinku m.in. o tym czym jest GTM Engineering i czym różni się od marketing automation; jak Anthropic poukładał sprzedaż na istniejącym stacku zamiast budować wszystko od zera; co znaczy „queryable company" i dlaczego kontekst jest ważniejszy niż narzędzia; gdzie AI realnie robi pieniądze (a gdzie tylko spala tokeny); build vs buy: co kupić, a co zbudować samemu; trzy rzeczy, które founder i enterprise powinni zrobić, zanim kupią kolejne narzędzie. Daj znać w komentarzu, co najbardziej blokuje wzrost Twojej firmy: brak sprzedaży, brak procesu, brak wiedzy o tym, jak firma działa — czy może brak odwagi? Jeśli odcinek Ci się przyda — zostaw suba i łapkę w górę. 🙌 Kod rabatowy: UCZMNIE-50 Linki: 👨‍💼LinkedIn: https://www.linkedin.com/in/artur-wala/ 🖥️ GTM Week Warsaw — 23-26 czerwca 2026 Cały tydzień warsztatów, wystąpień i roundtables o sprzedaży, revenue ops i Go-To-Market. Dla founderów, sales leaderów i każdego kto chce ogarnąć jak sprzedawać w tech. gtm-week.com 🤖 AI Tinkerers https://poland.aitinkerers.org/organizers Słowniczek pojęć, bo dzisiejszy odcinek jest mocno techniczny: Słowniczek pojęć AI i narzędzia • LLM – duży model językowy, czyli „silnik" stojący za AI typu ChatGPT czy Claude. • Agent – AI, który nie tylko odpowiada, ale samodzielnie wykonuje zadania (np. szuka danych, wysyła maila). • Skill – pojedyncza, gotowa „umiejętność" AI do konkretnego zadania (np. „przygotuj mnie do spotkania"). Mniejszy i prostszy niż agent. • Cowork / Claude / Codex – aplikacje firmy Anthropic i OpenAI, w których pracuje się z AI. • Token – jednostka rozliczeniowa AI; im więcej tekstu przetwarzasz, tym więcej tokenów „spalasz". • API – sposób, w jaki programy łączą się ze sobą automatycznie, bez udziału człowieka. • Vibe coding – tworzenie oprogramowania przez opisywanie AI, co ma zrobić, zamiast pisania kodu ręcznie. • Pętla (agentowa) – AI rozwiązuje problem krok po kroku, sprawdzając efekty po drodze, zamiast jednym strzałem. • Human in the loop (HITL) – mechanizm, w którym AI musi poprosić człowieka o zgodę, zanim wykona ważną akcję. • Evals (ewaluacje) – testy sprawdzające, czy AI działa tak, jak powinno. Sprzedaż i marketing (GTM) • GTM / go-to-market – wszystko, co dzieje się między produktem a klientem: sprzedaż, marketing, wzrost. • GTM Engineering – łączenie narzędzi i AI tak, by procesy sprzedaży i marketingu działały automatycznie i skalowalnie. • SDR – osoba zajmująca się pierwszym kontaktem z potencjalnym klientem. • Inbound / outbound – klienci, którzy sami się zgłaszają (inbound) vs. ci, do których aktywnie wychodzisz (outbound). • CRM – system do zarządzania kontaktami i historią relacji z klientami (np. HubSpot, Salesforce). • Tone of voice – charakterystyczny, spójny sposób komunikacji firmy. • UGC – treści wyglądające jak tworzone przez zwykłych użytkowników, a nie przez markę. • SEO / GEO – optymalizacja, by firmę było widać w wyszukiwarkach (SEO) i w odpowiedziach AI (GEO). • POC / demo – wczesna, próbna wersja rozwiązania pokazująca, że „da się to zrobić". • Champion / bloker – w firmie klienta: osoba, która wspiera twój projekt (champion) lub go hamuje (bloker). Biznes i finanse • P&L (PNL) – rachunek zysków i strat: gdzie firma zarabia, a gdzie traci. • ROI – zwrot z inwestycji; czy wydane pieniądze się opłaciły. • ARR – powtarzalny roczny przychód (typowy dla firm abonamentowych). • EBITDA – uproszczony miernik zysku operacyjnego firmy. • Pivot (piwot) – zmiana kierunku firmy/projektu, gdy dotychczasowy pomysł nie działa. • Moat (fosa) – przewaga, której konkurencji trudno skopiować. • Komodytyzacja – sytuacja, gdy technologia staje się powszechna i tania, więc przestaje być przewagą. • Build vs buy – decyzja: zbudować coś samemu czy kupić gotowe. • Vendor lock-in – uzależnienie od jednego dostawcy, od którego trudno potem odejść. • SaaS – oprogramowanie w abonamencie, dostępne przez internet. • Forward Deployment (FDE) – model, w którym specjalista wchodzi do firmy klienta i wdraża rozwiązanie na miejscu, krok po kroku. Dane i systemy • Queryable company – firma, którą można „odpytać" jak bazę danych: cała jej wiedza jest dostępna dla AI. • Data enrichment – wzbogacanie danych o klientach o dodatkowe informacje (narzędzie: Clay). • ERP / WMS – systemy do zarządzania firmą (ERP) i magazynem (WMS). • Data Lake / data governance – miejsce gromadzenia wszystkich danych firmy (np. Snowflake) wraz z zasadami ich bezpieczeństwa. © Wszystkie znaki handlowe należą do ich prawowitych właścicieli. ❤️ Dziękuję za Waszą uwagę. Znajdziecie mnie również na: Instagramie @mateuszemsi https://www.instagram.com/mateuszemsi/ Twixxerze @MateuszChrobok https://twitter.com/MateuszChrobok Mastodonie https://infosec.exchange/@mateuszchrobok LinkedInie @mateuszchrobok https://www.linkedin.com/in/mateuszchrobok/ Patronite https://patronite.pl/MateuszChrobok Rozdziały: 00:01:05 — Intro i czym jest GTM Engineering 00:07:14 — Anthropic, „queryable company" i jak AI realnie robi pieniądze 00:21:21 — Jak się poznaliśmy i droga Artura: piwoty, voice, fosa 00:35:45 — AI Tinkerers i kultura porażki 00:41:26 — Filary GTM, błędy firm i dobry playbook 1:00:58 — Mental founderów: dlaczego brakuje nam luzu 1:21:38 — Jak testować nowe AI bez tonięcia w hype 1:33:04 — Praktyczne rady i podsumowanie #ai #GTM #startup #sprzedaz #founder

    1hr 47min
  4. macOS Cię okłamuje

    21 Jun

    macOS Cię okłamuje

    🗯️ Co i rusz słyszymy, że zhakowano Signala. Ale za każdym razem, jak się w to nieco zagłębić, okazuje się, że z samym Signalem nie ma to niczego wspólnego. O co więc chodzi TYM RAZEM? Czy skala CVSS zawsze mówi pełnię prawdy? Dlaczego macOS kłamie, że Cię chroni? I dlaczego to ostatnia podatność, którą odkrywcy zgłosili do Apple? Sprawdź 2FAS Pass https://2fas.com/pass/ Linki: 📦 CVE-2026-28910: Breaking macOS App Sandbox Data Containers, TCC, and Hijacking Apps Using Archive Utility https://mysk.blog/2026/05/19/cve-2026-28910/ 🇩🇪 Konta niemieckich polityków na komunikatorze Signal miały zostać zhakowane https://www.onet.pl/informacje/deutsche-welle/konta-niemieckich-politykow-na-komunikatorze-signal-mialy-zostac-zhakowane/s8c6d6n,0666d3f1 👁️‍🗨️ Signal zhakowany w Niemczech. Rosyjscy hakerzy czytają prywatne wiadomości niemieckich elit https://www.bankier.pl/wiadomosc/Signal-zhakowany-w-Niemczech-Rosyjscy-hakerzy-czytaja-prywatne-wiadomosci-niemieckich-elit-9123019.html 👀 Hackers are trying to steal Signal users’ backups in new wave of widespread attacks https://techcrunch.com/2026/05/28/hackers-are-trying-to-steal-signal-users-backups-in-new-wave-of-phishing-attacks/ 🗽 Powrót Signalgate! Komunikator i linia deportacyjna Trumpa zhakowane https://geekweek.interia.pl/bezpieczenstwo/news-powrot-signalgate-komunikator-i-linia-deportacyjna-trumpa-zh,nId,21399360 🔗 Prevent account takeovers with Device Bound Session Credentials (DBSC), now generally available in the Chrome browser for Windows https://workspaceupdates.googleblog.com/2026/05/prevent-account-takeovers-with-DBSC-now-generally-available-in-the-Chrome-browser-for-Windows.html ⌨️ ClickFix w akcji: jak fake captcha może zaszyfrować całą firmę https://cert.pl/posts/2026/02/fake-captcha-in-action/ 🔐 About the security content of macOS Tahoe 26.4 https://support.apple.com/en-us/126794 🐦 Ferdous Saljooki @ Twitter https://x.com/malwarezoo/status/2037305551911014760 🐦 Mysk @ Twitter https://x.com/mysk_co/status/2059998046679875866 © Wszystkie znaki handlowe należą do ich prawowitych właścicieli. ❤️ Dziękuję za Waszą uwagę. Znajdziecie mnie również na: Instagramie @mateuszemsi https://www.instagram.com/mateuszemsi/ Twixxerze @MateuszChrobok https://twitter.com/MateuszChrobok Mastodonie https://infosec.exchange/@mateuszchrobok LinkedInie @mateuszchrobok https://www.linkedin.com/in/mateuszchrobok/ Patronite https://patronite.pl/MateuszChrobok Rozdziały: 00:00 Intro 01:06 Mysk 02:05 Skutki 03:58 Jak? 04:58 Luka 12:17 Dowód 16:26 2FAS Pass 19:05 Nagroda? 21:52 Co Robić i Jak Żyć? #Signal #macos #Apple #bezpieczeństwo #atak

    24 min
  5. 21 Jun

    Czy Mythos już na zawsze zmieni świat?

    🐝 Mythos, rewolucyjna sztuczna inteligencja skupiona na wyszukiwaniu luk w oprogramowaniu od Anthropika miał zmienić wszystko. Tak potężny - rzekomo - że musi być trzymany za kratami. Inaczej przecież świat mógłby z dnia na dzień lec w gruzach. Czy rzeczywiście Mythos jest taką rewolucją, jak nas straszono, przepraszam - obiecywano? Przekonajmy się, bo opublikowano już pierwsze raporty z jego działania. Linki: 💡 Project Glasswing: An initial update https://www.anthropic.com/research/glasswing-initial-update 📐 Measuring LLMs’ ability to develop exploits https://red.anthropic.com/2026/exploit-evals/ 🌤️ Project Glasswing: what Mythos showed us https://blog.cloudflare.com/cyber-frontier-models/ 👀 Behind the Scenes Hardening Firefox with Claude Mythos Preview https://hacks.mozilla.org/2026/05/behind-the-scenes-hardening-firefox/ 🍹 Browser fuzzing at Mozilla https://hacks.mozilla.org/2021/02/browser-fuzzing-at-mozilla/ 🔒 Hardening Firefox with Anthropic’s Red Team https://blog.mozilla.org/en/firefox/hardening-firefox-anthropic-red-team/ 🤔 Mythos for Offensive Security: XBOW's Evaluation https://xbow.com/blog/mythos-offensive-security-xbow-evaluation 🏎️ How fast is autonomous AI cyber capability advancing? https://www.aisi.gov.uk/blog/how-fast-is-autonomous-ai-cyber-capability-advancing © Wszystkie znaki handlowe należą do ich prawowitych właścicieli. ❤️ Dziękuję za Waszą uwagę. Znajdziecie mnie również na: Instagramie @mateuszemsi https://www.instagram.com/mateuszemsi/ Twixxerze @MateuszChrobok https://twitter.com/MateuszChrobok Mastodonie https://infosec.exchange/@mateuszchrobok LinkedInie @mateuszchrobok https://www.linkedin.com/in/mateuszchrobok/ Patronite https://patronite.pl/MateuszChrobok Rozdziały: 00:00 Intro 00:57 Mythos 14:55 Mozilla 19:53 XBOW 21:30 Przyszłość 25:01 Co Robić i Jak Żyć? #Mythos #Anthropic #ai #LLM #bezpieczeństwo

    27 min
  6. 21 Jun

    To już nie są halucynacje. Dlaczego AI tak naprawdę KONFABULUJE i jak to wyłączyć? | Piotr Brzyski Jak zmusić AI, żeby przestała zmyślać? Neurosymbolika, dowody logiczne i koniec halucynacji | Piot...

    🧠 Usiedliśmy z Piotrem Brzyskim (współzałożycielem Generatywnych) na ponad 1,5 godziny szczerej i bardzo technicznej rozmowy o tym, jak naprawdę wygląda wdrażanie AI w polskich firmach. Rozmawiamy o neurosymbolice i o tym, czy da się raz na zawsze zabić halucynacje (a właściwie konfabulacje) modeli. O tym, jak ekipa Generatywnych postawiła statusksef.pl szybciej, niż urzędnicy zdążyli odświeżyć repo. O zespołach 3-osobowych, które dowożą robotę dawnych działów na 50 ludzi i o brudnych danych w „trójwymiarowym Excelu" — bo, jak się okazuje, najtrudniejszy przeciwnik modelu to nie matematyka, tylko ekipa z administracji kolorująca komórki na pomarańczowo. To odcinek dla wszystkich, którzy nie chcą tylko słuchać o AI, ale faktycznie ją budować. 💬 TWOJA KOLEJ Co najbardziej blokuje wdrożenie AI w Waszej firmie? Compliance? Bezpiecznicy? Brak właściciela tematu, czy zwykły chaos? Napiszcie w komentarzu — Piotr nakreślił sporo z tych pułapek, a my chcemy sprawdzić, jak to wygląda u Was. Linki: 👤 GOŚĆ Piotr Brzyski — współzałożyciel Generatywnych. Znajdziecie go tu https://www.linkedin.com/in/pbrzyski/ https://generatywni.com/pl/team © Wszystkie znaki handlowe należą do ich prawowitych właścicieli. ❤️ Dziękuję za Waszą uwagę. Znajdziecie mnie również na: Instagramie @mateuszemsi https://www.instagram.com/mateuszemsi/ Twixxerze @MateuszChrobok https://twitter.com/MateuszChrobok Mastodonie https://infosec.exchange/@mateuszchrobok LinkedInie @mateuszchrobok https://www.linkedin.com/in/mateuszchrobok/ Patronite https://patronite.pl/MateuszChrobok Rozdziały: 00:00 — Witajcie 02:33 — Neurosymbolika: czy to koniec halucynacji? 11:27 — KSeF i statusksef.pl zbudowany w mgnieniu oka 27:24 — AI to zmiana reguł gry 36:03 — Pociąg AI już odjechał 42:51 — Polskie firmy chcą ejaja! 58:42 — TCO, czyli ile NAPRAWDĘ kosztuje wdrożenie 01:27:00 — AI w Europie kontra startupy w Dubaju #ai #SztucznaInteligencja #MachineLearning #LLM #podcast

    1hr 31min
  7. Kolejna wpadka VPNów? Nie do końca.

    24 May

    Kolejna wpadka VPNów? Nie do końca.

    🔓 Dbanie o swoją prywatność to ciężka praca. I to na pełny etat! Czasami okazuje się jednak, że nie ze swojej winy stajemy się nadzy w internecie. To nie przez nasz błąd, a przez zaniedbanie wielomiliardowej korporacji okazało się się, że VPNy w najnowszej wersji Androida niby działają, ale tak nie do końca. Jakie to może mieć konsekwencje? Na czym ten błąd polega? Dlaczego czasami szybciej nie oznacza wcale bezpieczniej? I w końcu - czemu Google jeszcze nie załatało tej luki? Linki: 🤖 Any app on recent Android versions can leak certain traffic https://mullvad.net/en/blog/any-app-on-recent-android-versions-can-leak-certain-traffic 🔒 The Tiny UDP Cannon: An Android VPN Bypass https://lowlevel.fun/posts/tiny-udp-cannon-android-vpn-bypass/ 👨‍💼 The IETF QUIC Working Group https://quicwg.org 📃 The QUIC Transport Protocol: Design and Internet-Scale Deployment https://research.google/pubs/the-quic-transport-protocol-design-and-internet-scale-deployment/ 🏃 QUIC https://en.wikipedia.org/wiki/QUIC 🐦 @cybaqkebm https://x.com/cybaqkebm 🚨 Google Issue Tracker https://issuetracker.google.com/issues/510393733?pli=1 📑 GrapheneOS https://github.com/GrapheneOS/platform_packages_modules_Connectivity/commit/7930a86931d9b7a02aa9c90401e8ddfc351c0932 © Wszystkie znaki handlowe należą do ich prawowitych właścicieli. ❤️ Dziękuję za Waszą uwagę. Znajdziecie mnie również na: Instagramie @mateuszemsi https://www.instagram.com/mateuszemsi/ Twixxerze @MateuszChrobok https://twitter.com/MateuszChrobok Mastodonie https://infosec.exchange/@mateuszchrobok LinkedInie @mateuszchrobok https://www.linkedin.com/in/mateuszchrobok/ Patronite https://patronite.pl/MateuszChrobok Rozdziały: 00:00 Intro 00:39 Setting 02:09 Quic 04:55 Technikalia 06:37 Łatka 08:25 Rozwiązanie 09:30 Co Robić i Jak Żyć? #Mullvad #VPN #wyciek #wpadka #Google

    11 min
  8. Zrobiłem wszystko dobrze. I tak mnie okradli.

    3 May

    Zrobiłem wszystko dobrze. I tak mnie okradli.

    🚨 Nie klikasz żadnych dziwnych linków, nie uruchamiasz żadnych załączników ani w sumie żadnego badziewia, nie odwiedzasz podejrzanych serwisów? Świetnie. Robisz dokładnie to, co wszyscy - w tym ja - mówią Ci, że trzeba robić, aby być bezpiecznym. I co? No i nic, nadal padasz ofiarą ataku. Co dzieje się kiedy wektorami ataku stają się ci, którzy mieli nas przed nimi bronić? Linki: 1️⃣ trivy - The All-in-One Security Scanner https://trivy.dev/ ❗️ Trivy Security incident 2026-03-19 conclusion https://github.com/aquasecurity/trivy/discussions/10462 2️⃣ Trivy Compromised a Second Time - Malicious v0.69.4 Release, aquasecurity/setup-trivy, aquasecurity/trivy-action GitHub Actions Compromised https://www.stepsecurity.io/blog/trivy-compromised-a-second-time---malicious-v0-69-4-release 🐦 Ahmad Nassri @ Twitter https://x.com/AhmadNassri/status/2035854809845436500 ⛓️‍💥 Trivy Supply Chain Attack Expands to Compromised Docker Images https://socket.dev/blog/trivy-docker-images-compromised 🔓 TeamPCP Is Systematically Targeting Security Tools Across the OSS Ecosystem https://socket.dev/blog/teampcp-targeting-security-tools-across-oss-ecosystem 🚨 Checkmarx Security Update https://checkmarx.com/blog/checkmarx-security-update/ 🔫 Weaponizing the Protectors: TeamPCP’s Multi-Stage Supply Chain Attack on Security Infrastructure https://unit42.paloaltonetworks.com/teampcp-supply-chain-attacks/ ⚙️ GitHub Actions. Automate your workflow from idea to production https://github.com/features/actions 💻 How LiteLLM Turned Developer Machines Into Credential Vaults for Attackers https://thehackernews.com/2026/04/how-litellm-turned-developer-machines.html ⛓️ Security Update: Suspected Supply Chain Incident https://docs.litellm.ai/blog/security-update-march-2026 🪱 TeamPCP deploys CanisterWorm on NPM following Trivy compromise https://www.aikido.dev/blog/teampcp-deploys-worm-npm-trivy-compromise ⛄️ The Team PCP Snowball Effect: A Quantitative Analysis https://blog.gitguardian.com/team-pcp-snowball-analysis/ 🐦 @vxunderground @ Twitter https://x.com/vxunderground/status/2036532168084672816 🐦 @ishaan_jaff @ Twitter https://x.com/ishaan_jaff/status/2038728575386521723 🚪 Popular AI gateway startup LiteLLM ditches controversial startup Delve https://techcrunch.com/2026/03/30/popular-ai-gateway-startup-litellm-ditches-controversial-startup-delve/ 🚦 Silicon Valley’s two biggest dramas have intersected: LiteLLM and Delve https://techcrunch.com/2026/03/26/delve-did-the-security-compliance-on-litellm-an-ai-project-hit-by-malware/ 😭 Cisco source code stolen in Trivy-linked dev environment breach https://www.bleepingcomputer.com/news/security/cisco-source-code-stolen-in-trivy-linked-dev-environment-breach/ 🔑 TeamPCP Campaign Spreads to npm via a Hijacked Bitwarden CLI https://research.jfrog.com/post/bitwarden-cli-hijack/ 📃 Bitwarden Statement on Checkmarx Supply Chain Incident https://community.bitwarden.com/t/bitwarden-statement-on-checkmarx-supply-chain-incident/96127 📊 A running tracker for the coordinated supply chain attack campaign attributed to TeamPCP https://teampcp.cyberdigest.international/ 🇪🇺 European Commission cloud breach: a supply-chain compromise https://cert.europa.eu/blog/european-commission-cloud-breach-trivy-supply-chain 🌩️ Security Notice: Impact of CVE-2026-33634 on ownCloud Build Infrastructure https://owncloud.com/security-advisories/security-notice-impact-of-cve-2026-33634-on-owncloud-build-infrastructure/ 🇮🇷 ‘CanisterWorm’ Springs Wiper Attack Targeting Iran https://krebsonsecurity.com/2026/03/canisterworm-springs-wiper-attack-targeting-iran/ 🦷 CanisterWorm Gets Teeth: TeamPCP's Kubernetes Wiper Targets Iran https://www.aikido.dev/blog/teampcp-stage-payload-canisterworm-iran 🐦 Itay Shakury (@itaysk) is leaving https://github.com/aquasecurity/trivy/discussions/10563 © Wszystkie znaki handlowe należą do ich prawowitych właścicieli. ❤️ Dziękuję za Waszą uwagę. Znajdziecie mnie również na: Instagramie @mateuszemsi https://www.instagram.com/mateuszemsi/ Twixxerze @MateuszChrobok https://twitter.com/MateuszChrobok Mastodonie https://infosec.exchange/@mateuszchrobok LinkedInie @mateuszchrobok https://www.linkedin.com/in/mateuszchrobok/ Patronite https://patronite.pl/MateuszChrobok Rozdziały: 00:00 Intro 01:13 Wpadka 07:08 Cel 09:01 Post Mortem 11:22 LiteLLM 16:31 Inni 18:35 Okup 22:37 Co Robić i Jak Żyć? #Trivy #LiteLLM #npm #programowanie #wyciek

    25 min

About

Jak niebezpieczny jest Internet? Co można zrobić z danymi i dlaczego buzzwordy napędzają branżę IT? Jak przekuć pomysł w startup i spróbować zrobić coś dobrego? Mateusz Chrobok stara się dzielić swoim doświadczeniem w pracy w działach Research & Development na swoim kanale na youtube. Porusza w nim tematykę tworzenia startupów a także podejmowania kluczowych decyzji. Budowania produktów i weryfikacji ich zasadności. Opowiada także o bezpieczeństwie i o tym co robić i jak żyć by być maksymalizować swoje bezpieczeństwo. Oprócz tego jest ciekawy nowych technologii związanych z sztuczną inteligencją takich jak explainable AI, które mogą zmienić adopcję tych technologii w życiu codziennym.

You Might Also Like