Денис Макрушин на FrontendConf 2025

ML starts, front ends: как ИИ атакует и спасает разработку

Технологии

Атаки

Безопасность

Безопасность инфраструктуры

Доклад принят в программу конференции

Целевая аудитория

Разработчики, технические лидеры, appsec-инженеры

Тезисы

Атаки на цепочку поставок становятся причиной проникновения в компанию, которая занимается разработкой продукта. Манипулирование зависимостями в SDLC позволяет злоумышленникам массово получать доступ к рабочим станциям разработчиков, интеллектуальной собственности и дальше распространять вредоносный код. Использование LLM усиливает этот тренд и открывает новые возможности для атак.

Мы изучили нетривиальные векторы проникновения в разработку, которые открывают ML-модели. В докладе на примере реальных кейсов мы рассмотрим эффективные тактики и инструменты атакующих. В результате определим практические меры, позволяющие разработчику снизить риски для конвеера разработки. А также рассмотрим, как в этой задаче им помогает и мешает LLM.

Денис Макрушин

Яндекс

Денис Макрушин - директор по продуктам безопасной разработки в Яндекс. Ранее в роли технического директора в компании «МТС» отвечал за развитие продуктов и технологическую стратегию в направлении кибербезопасности. До этого на позиции директора технологического центра в Huawei реализовывал программы перспективных исследований и разработок для ключевых продуктов в сфере телекоммуникации, хранения данных и облачных вычислений.

Выпускник факультета информационной безопасности НИЯУ МИФИ. Регулярно делится исследованиями в авторском канале.

Видео

Мнение Программного комитета о докладе

Алексей Авдеев

Практический доклад о новом витке атак на supply chain с помощью LLM. На реальных кейсах разберем, как ИИ становится оружием и инструментом защиты. Будет полезно разработчикам, техлидам и appsec-инженерам, чтобы понимать современные угрозы и способы противодействия им.