Американский регулятор оштрафовал робота-юриста

Яков Шпунт 27 Сентября 2024 - 11:36

...

Американский регулятор оштрафовал робота-юриста

Федеральная торговая комиссия США (FTC) оштрафовала на 193 тыс. долларов стартап DoNotPay, который оказывал платные юридические услуги с помощью чат-бота.

Поводом для взыскания стали отсутствие в штате компании юристов-людей и то, что она не проводила тесты на соответствие чат-бота необходимым навыкам.

DoNotPay была лишь одной из пяти компаний, которые попали в поле зрения FTC за оказание различных услуг с помощью чат-ботов и генеративного ИИ («Operation AI Comply»).

Однако в отношении четырех других компаний, действия которых в том числе чреваты более серьезными наказаниями, поскольку касались финансового мошенничества, расследования продолжаются.

Согласно официальному сообщению FTC, претензии к DoNotPay связаны с низким качеством услуг, а не только с формальным несоответствием требованиям регулятора.

Особенно серьезные ошибки допускали юридические боты в ходе проверки сайтов малого бизнеса на предмет соответствия требованиям законодательства. При этом цена такой ошибки, как предупредила глава комиссии ведомства Лина Хан, чревата издержками в 125 тыс. долларов.

DoNotPay пошел на досудебное урегулирование. Помимо штрафа в 193 тыс. долларов, оно включает также уведомление клиентов об ограничениях предложений компании и возможных рисках.

«Правоприменительные действия FTC ясно дают понять, что использование искусственного интеллекта не является индульгенцией для соблюдения законов. Пресекая несправедливую или откровенно мошенническую практику на этих рынках, FTC гарантирует, что честные предприятия и новаторы могут получить справедливый шанс, а потребители защищены», — прокомментировала результаты расследований в рамках Operation AI Comply Лина Хан.

Следующая главная новость »

Подписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Татьяна Никитина 01 Июля 2025 - 16:12

Linux Уязвимости программ Общее

Критическая уязвимость в sudo позволяет запустить любую команду как root

Опубликован PoC-код для уязвимости в sudo, позволяющей с помощью опции -R (--chroot) обойти системные ограничения и выполнить вредоносный код с правами суперпользователя. Патч включен в состав обновления 1.9.17p1.

Появившаяся с выходом сборки sudo 1.9.14 функция chroot() создает изолированную среду, в которой текущий и дочерние процессы могут работать, не имея доступа к объектам и ресурсам за пределами указанного корневого каталога.

Соответствующая команда выполняется на уровне root. Ее использование определяется правилами, прописанными в файле /etc/sudoers.

Уязвимость повышения привилегий CVE-2025-32463 (9,3 балла по CVSS) возникла из-за того, что при изменении корневого каталога sudo начинает резолвить пути к файлам, не завершив проверку параметров настройки в sudoers.

В результате у злоумышленников появилась возможность с помощью этой утилиты протащить в систему стороннюю библиотеку общего пользования, создав фейковый /etc/nsswitch.conf.

Уязвимости подвержены sudo версий с 1.9.14 по 1.9.17 включительно. Патч вышел в прошлом месяце в составе сборки 1.9.17p1; он откатывает изменения, привнесенные в 1.9.14, с пометкой, что использовать chroot не рекомендуется.

По словам разработчиков, со следующим выпуском sudo от неудачно реализованной и редко используемой опции не останется и следа.