Protegir la IA informa de les vulnerabilitats crítiques en els sistemes d'IA i ML existents, insta a garantir projectes de codi obert
En breu
L'informe Protect AI identifica vulnerabilitats a les eines utilitzades dins de la cadena de subministrament d'IA/ML, sovint de codi obert, amb amenaces de seguretat úniques.
Hi ha vulnerabilitats a les eines utilitzades dins de la cadena de subministrament d'AI/ML, sovint de codi obert, que comporten amenaces de seguretat úniques i aquestes vulnerabilitats comporten riscos d'execució de codi remot no autenticat i inclusió de fitxers locals, segons l'informe de Protect AI - a seguretat cibernètica empresa centrada en sistemes d'IA i ML.
Pot tenir implicacions que van des de l'adquisició de servidors fins al robatori d'informació sensible, afegeix l'informe.
L'informe fa més èmfasi en la necessitat d'un enfocament proactiu per identificar i abordar aquestes vulnerabilitats per salvaguardar dades, models i credencials.
A l'avantguarda dels esforços de Protect AI hi ha huntr, el primer programa de recompenses d'errors d'AI/ML del món, que implica una comunitat de més de 13,000 membres a la recerca activa de vulnerabilitats. Aquesta iniciativa pretén proporcionar intel·ligència crucial sobre amenaces potencials i facilitar una resposta ràpida als sistemes d'IA segurs.
L'agost de 2023, la companyia va anunciar el llançament de huntr, una plataforma de recompenses d'errors AI/ML centrada exclusivament a protegir el programari de codi obert (OSS) AI/ML. models fonamentals, i ML Systems. El llançament de la plataforma de recompenses d'errors huntr AI/ML es produeix com a resultat de l'adquisició de huntr.dev per part de Protect AI.
"Amb més de 15,000 membres ara, el caçador de Protect AI és el conjunt més gran i concentrat d'investigadors d'amenaces i pirates informàtics centrats exclusivament en la seguretat AI/ML", va dir Daryan Dehghanpisheh, president i cofundador de Protect AI.
"El model operatiu de Huntr se centra en la simplicitat, la transparència i les recompenses. Les funcions automatitzades i l'experiència de triatge de Protect AI a l'hora de contextualitzar les amenaces per als mantenedors ajuden a tots els col·laboradors de programari de codi obert en IA a crear paquets de programari més segurs. En última instància, això beneficia tots els usuaris, ja que els sistemes d'IA es tornen més segurs i resistents", va afegir Dehghanpisheh.
L'informe identifica vulnerabilitats crítiques
Destacant les troballes de la comunitat huntr durant el mes passat, l'informe identifica tres vulnerabilitats crítiques que inclouen MLflow Remote Code Execution, MLflow Arbitrary File Overwrite i MLflow Local File Include.
- Execució de codi remot de MLflow: la fallada provoca la presa de possessió del servidor i la pèrdua d'informació sensible. MLflow, una eina per emmagatzemar i fer el seguiment de models, tenia una vulnerabilitat d'execució de codi remota en el codi utilitzat per eliminar l'emmagatzematge de dades remots. Els usuaris es poden enganyar perquè utilitzin fonts de dades remotes malicioses que podrien executar ordres en nom de l'usuari.
- Sobreescritura arbitrària de fitxers MLflow: la fallada té el potencial d'adquisició del sistema, denegació de servei i destrucció de dades. S'ha trobat un bypass en una funció MLflow que valida que una ruta de fitxer és segura, permetent a un usuari maliciós sobreescriure de forma remota els fitxers al servidor MLflow. Això pot conduir a l'execució remota de codi amb passos addicionals, com ara sobreescriure les claus SSH al sistema o editar el fitxer .bashrc per executar ordres arbitràries en el proper inici de sessió de l'usuari.
- Inclou fitxers locals de MLflow: la fallada provoca la pèrdua d'informació sensible i el potencial d'adquisició del sistema. MLflow, quan està allotjat en sistemes operatius específics, es pot manipular per mostrar el contingut dels fitxers sensibles, cosa que suposa una via potencial per a la presa de control del sistema si les credencials essencials s'emmagatzemen al servidor.
Va dir Daryan Dehghanpisheh, cofundador de Protect AI Metaverse Post, "La urgència per abordar les vulnerabilitats del sistema AI/ML depèn del seu impacte empresarial. Amb el paper crític de l'AI/ML en els negocis contemporanis i la naturalesa severa dels possibles exploits, la majoria de les organitzacions trobaran aquesta urgència alta. El repte principal per assegurar els sistemes d'IA/ML rau en la comprensió dels riscos al llarg del cicle de vida de MLOps".
"Per mitigar aquests riscos, les empreses han de realitzar models d'amenaces per als seus sistemes d'IA i ML, identificar finestres d'exposició i implementar controls adequats dins d'un programa MLSecOps integrat i complet", va afegir.
En el seu informe, Protect AI posa l'accent en la urgència d'abordar-los Vulnerabilitats prompte i ofereix una llista de recomanacions per als usuaris amb projectes afectats en producció, subratllant la importància d'una postura proactiva per mitigar els riscos potencials. Es recomana als usuaris que s'enfronten a reptes per mitigar aquestes vulnerabilitats a contactar amb la comunitat de Protect AI.
A mesura que la tecnologia d'IA avança, Protect AI treballa per assegurar la complexa xarxa de sistemes d'IA/ML per garantir l'aprofitament responsable i segur dels beneficis de la intel·ligència artificial.
renúncia
En línia amb la Directrius del projecte Trust, si us plau, tingueu en compte que la informació proporcionada en aquesta pàgina no pretén ni s'ha d'interpretar com a assessorament legal, fiscal, d'inversió, financer o de cap altra forma. És important invertir només el que et pots permetre perdre i buscar assessorament financer independent si tens dubtes. Per obtenir més informació, us suggerim que feu referència als termes i condicions, així com a les pàgines d'ajuda i assistència proporcionades per l'emissor o l'anunciant. MetaversePost es compromet a fer informes precisos i imparcials, però les condicions del mercat estan subjectes a canvis sense previ avís.
About The Autor
Kumar és un periodista tecnològic experimentat amb una especialització en les interseccions dinàmiques d'IA/ML, tecnologia de màrqueting i camps emergents com ara cripto, blockchain i NFTs. Amb més de 3 anys d'experiència en el sector, Kumar ha establert una trajectòria demostrada en l'elaboració de narracions convincents, la realització d'entrevistes minucioses i l'oferiment d'informació exhaustiva. L'experiència de Kumar rau en la producció de contingut d'alt impacte, inclosos articles, informes i publicacions de recerca per a plataformes de la indústria destacades. Amb un conjunt d'habilitats únics que combina coneixements tècnics i narració, Kumar destaca per comunicar conceptes tecnològics complexos a diversos públics d'una manera clara i atractiva.
més articles
Kumar és un periodista tecnològic experimentat amb una especialització en les interseccions dinàmiques d'IA/ML, tecnologia de màrqueting i camps emergents com ara cripto, blockchain i NFTs. Amb més de 3 anys d'experiència en el sector, Kumar ha establert una trajectòria demostrada en l'elaboració de narracions convincents, la realització d'entrevistes minucioses i l'oferiment d'informació exhaustiva. L'experiència de Kumar rau en la producció de contingut d'alt impacte, inclosos articles, informes i publicacions de recerca per a plataformes de la indústria destacades. Amb un conjunt d'habilitats únics que combina coneixements tècnics i narració, Kumar destaca per comunicar conceptes tecnològics complexos a diversos públics d'una manera clara i atractiva.
