Protect AI докладва за критични уязвимости в съществуващите AI и ML системи, настоява за осигуряване на проекти с отворен код
Накратко
Докладът Protect AI идентифицира уязвимостите в инструментите, използвани във веригата за доставки на AI/ML, често с отворен код, с уникални заплахи за сигурността.
Има уязвимости в инструментите, използвани в рамките на веригата за доставки на AI/ML, често с отворен код, носещи уникални заплахи за сигурността и тези уязвимости създават рискове от неудостоверено дистанционно изпълнение на код и включване на локални файлове, според доклада на Protect AI – a кибер защита компания, фокусирана върху AI и ML системи.
Това може да доведе до последствия, вариращи от превземане на сървъри до кражба на чувствителна информация, се добавя в доклада.
Докладът допълнително подчертава необходимостта от проактивен подход при идентифицирането и справянето с тези уязвимости за защита на данните, моделите и идентификационните данни.
В челните редици на усилията на Protect AI е huntr, първата в света програма за награди за грешки в AI/ML, която ангажира общност от над 13,000 XNUMX членове, активно търсещи уязвимости. Тази инициатива има за цел да предостави изключително важна разузнавателна информация за потенциални заплахи и да улесни бързата реакция за сигурни системи с изкуствен интелект.
През август 2023 г. компанията обяви пускането на huntr – AI/ML платформа за награди за грешки, фокусирана изключително върху защитата на AI/ML софтуер с отворен код (OSS), фундаментални моделии ML Systems. Стартирането на платформата huntr AI/ML за награди за грешки идва в резултат на придобиването на huntr.dev от Protect AI.
„С над 15,000 XNUMX членове сега, huntr на Protect AI е най-големият и най-концентриран набор от изследователи на заплахи и хакери, фокусирани изключително върху сигурността на AI/ML“, Дариан Деганпишех, президент и съосновател на Protect AI.
„Оперативният модел на Huntr е фокусиран върху простотата, прозрачността и наградите. Автоматизираните функции и експертизата на Protect AI за сортиране в контекстуализиране на заплахи за поддържащите помагат на всички сътрудници на софтуер с отворен код в AI да изградят по-сигурни софтуерни пакети. Това в крайна сметка е от полза за всички потребители, тъй като системите с изкуствен интелект стават по-сигурни и устойчиви“, добави Деганпишех.
Докладът идентифицира критични уязвимости
Подчертавайки констатациите на huntr общността през последния месец, докладът идентифицира три критични уязвимости, които включват MLflow Remote Code Execution, MLflow Arbitrary File Overwrite и MLflow Local File Include.
- MLflow Remote Code Execution: Пропускът води до превземане на сървъра и загуба на чувствителна информация. MLflow, инструмент за съхраняване и проследяване на модели, имаше уязвимост при отдалечено изпълнение на код в кода, използван за премахване на отдалечено съхранение на данни. Потребителите могат да бъдат подведени да използват злонамерени отдалечени източници на данни, които биха могли да изпълняват команди от името на потребителя.
- MLflow Arbitrary File Overwrite: Пропускът има потенциал за превземане на системата, отказ на услуга и унищожаване на данни. Намерен е байпас във функция MLflow, който потвърждава, че пътят на файла е безопасен, което позволява на злонамерен потребител да презапише дистанционно файлове на сървъра MLflow. Това може да доведе до дистанционно изпълнение на код с допълнителни стъпки като презаписване на SSH ключовете в системата или редактиране на .bashrc файла за изпълнение на произволни команди при следващото влизане на потребител
- MLflow Local File Include: Пропускът води до загуба на чувствителна информация и потенциал за превземане на системата. MLflow, когато се хоства на специфични операционни системи, може да бъде манипулиран, за да показва съдържанието на чувствителни файлове, представлявайки потенциална възможност за превземане на системата, ако основни идентификационни данни се съхраняват на сървъра.
Съоснователят на Protect AI Дариан Деганпишех каза Metaverse Post, „Неотложността при справяне с уязвимостите на AI/ML системата зависи от тяхното въздействие върху бизнеса. С критичната роля на AI/ML в съвременния бизнес и тежкия характер на потенциалните експлойти, повечето организации ще намерят тази неотложност за голяма. Основното предизвикателство при осигуряването на AI/ML системи се крие в разбирането на рисковете в целия жизнен цикъл на MLOps.“
„За да намалят тези рискове, компаниите трябва да извършат моделиране на заплахите за своите AI и ML системи, да идентифицират прозорците на експозиция и да приложат подходящи контроли в рамките на интегрирана и всеобхватна програма MLSecOps“, добави той.
В своя доклад Protect AI подчертава спешността на справянето с тях уязвимости незабавно и предоставя списък с препоръки за потребители със засегнати проекти в производство, като подчертава значението на проактивната позиция за смекчаване на потенциалните рискове. Потребителите, изправени пред предизвикателства при смекчаването на тези уязвимости, се насърчават да се свържат с общността на Protect AI.
С напредването на AI технологията Protect AI работи за осигуряване на сложната мрежа от AI/ML системи, за да осигури отговорно и сигурно използване на предимствата на изкуствения интелект.
Отказ от отговорност
В съответствие с Доверете се насоките на проекта, моля, имайте предвид, че предоставената на тази страница информация не е предназначена да бъде и не трябва да се тълкува като правен, данъчен, инвестиционен, финансов или каквато и да е друга форма на съвет. Важно е да инвестирате само това, което можете да си позволите да загубите, и да потърсите независим финансов съвет, ако имате някакви съмнения. За допълнителна информация предлагаме да се обърнете към правилата и условията, както и към страниците за помощ и поддръжка, предоставени от издателя или рекламодателя. MetaversePost се ангажира с точно, безпристрастно отчитане, но пазарните условия подлежат на промяна без предизвестие.
За автора
Кумар е опитен технически журналист със специализация в динамичните пресечни точки на AI/ML, маркетингови технологии и нововъзникващи области като крипто, блокчейн и NFTс. С над 3 години опит в индустрията, Kumar има доказан опит в изработването на завладяващи разкази, провеждането на проницателни интервюта и предоставянето на изчерпателни прозрения. Експертният опит на Kumar се състои в създаването на силно въздействащо съдържание, включително статии, доклади и изследователски публикации за известни индустриални платформи. С уникален набор от умения, който съчетава технически познания и разказване на истории, Кумар се справя отлично в предаването на сложни технологични концепции на различни аудитории по ясен и увлекателен начин.
Още статииКумар е опитен технически журналист със специализация в динамичните пресечни точки на AI/ML, маркетингови технологии и нововъзникващи области като крипто, блокчейн и NFTс. С над 3 години опит в индустрията, Kumar има доказан опит в изработването на завладяващи разкази, провеждането на проницателни интервюта и предоставянето на изчерпателни прозрения. Експертният опит на Kumar се състои в създаването на силно въздействащо съдържание, включително статии, доклади и изследователски публикации за известни индустриални платформи. С уникален набор от умения, който съчетава технически познания и разказване на истории, Кумар се справя отлично в предаването на сложни технологични концепции на различни аудитории по ясен и увлекателен начин.