Protect AI hlásí kritická zranitelnost ve stávajících systémech AI a ML, naléhavě žádá zabezpečení projektů s otevřeným zdrojovým kódem
Stručně
Zpráva Protect AI identifikuje zranitelná místa v nástrojích používaných v rámci dodavatelského řetězce AI/ML, často Open Source, s jedinečnými bezpečnostními hrozbami.
Existují zranitelnosti nástrojů používaných v rámci dodavatelského řetězce AI/ML, často Open Source, nesoucích jedinečné bezpečnostní hrozby a tyto zranitelnosti představují riziko neověřeného vzdáleného spuštění kódu a začlenění místních souborů, uvádí zpráva společnosti Protect AI – a. kybernetická bezpečnost společnost zaměřená na systémy AI a ML.
To může mít důsledky od převzetí serveru až po krádež citlivých informací, dodala zpráva.
Zpráva dále zdůrazňuje nutnost proaktivního přístupu při identifikaci a řešení těchto zranitelností, aby bylo možné chránit data, modely a pověření.
V popředí snah Protect AI je huntr, první na světě AI/ML bug bounty program, do kterého se zapojuje komunita více než 13,000 XNUMX členů, kteří aktivně hledají zranitelnosti. Cílem této iniciativy je poskytnout zásadní informace o potenciálních hrozbách a usnadnit rychlou reakci na zabezpečené systémy umělé inteligence.
V srpnu 2023 společnost oznámila spuštění huntr – AI/ML bug bounty platformy zaměřené výhradně na ochranu AI/ML open-source softwaru (OSS), základní modelya ML Systems. Spuštění platformy huntr AI/ML bug bounty je výsledkem akvizice huntr.dev společností Protect AI.
„S více než 15,000 XNUMX členy je Protect AI huntr největší a nejkoncentrovanější skupinou výzkumníků hrozeb a hackerů zaměřených výhradně na zabezpečení AI/ML,“ Daryan Dehghanpisheh, prezident a spoluzakladatel Protect AI.
„Provozní model společnosti Huntr je zaměřen na jednoduchost, transparentnost a odměny. Automatizované funkce a odborné znalosti Protect AI v kontextualizaci hrozeb pro správce pomáhají všem přispěvatelům open source softwaru v AI vytvářet bezpečnější softwarové balíčky. To je v konečném důsledku přínosem pro všechny uživatele, protože systémy AI se stávají bezpečnějšími a odolnějšími,“ dodal Dehghanpisheh.
Zpráva identifikuje kritická zranitelnosti
Zpráva zdůrazňuje zjištění komunity lovců za poslední měsíc a identifikuje tři kritické zranitelnosti, mezi něž patří vzdálené spouštění kódu MLflow, přepisování libovolného souboru MLflow a vkládání místních souborů MLflow.
- Vzdálené spouštění kódu MLflow: Chyba má za následek převzetí serveru a ztrátu citlivých informací. MLflow, nástroj pro ukládání a sledování modelů, měl v kódu používaném ke stažení vzdáleného úložiště dat chybu zabezpečení pro vzdálené spuštění kódu. Uživatelé by mohli být oklamáni používáním škodlivých vzdálených zdrojů dat, které by mohly provádět příkazy jménem uživatele.
- MLflow Arbitrary File Overwrite: Chyba má potenciál k převzetí systému, odmítnutí služby a zničení dat. Bylo nalezeno vynechání funkce MLflow, která ověřuje, že cesta k souboru je bezpečná, což umožňuje uživateli se zlými úmysly vzdáleně přepisovat soubory na serveru MLflow. To může vést ke vzdálenému spuštění kódu pomocí dalších kroků, jako je přepsání klíčů SSH v systému nebo úprava souboru .bashrc pro spouštění libovolných příkazů při příštím přihlášení uživatele.
- MLflow Local File Include: Chyba má za následek ztrátu citlivých informací a možnost převzetí systému. MLflow, pokud je hostován na konkrétních operačních systémech, lze manipulovat tak, aby zobrazoval obsah citlivých souborů, což představuje potenciální cestu k převzetí systému, pokud jsou na serveru uložena nezbytná pověření.
Řekl to spoluzakladatel společnosti Protect AI Daryan Dehghanpisheh Metaverse Post„Naléhavost při řešení zranitelností systému AI/ML závisí na jejich obchodním dopadu. Vzhledem k kritické roli AI/ML v současném podnikání a vážné povaze potenciálních zneužití bude většina organizací považovat tuto naléhavost za vysokou. Primární výzva při zabezpečení systémů AI/ML spočívá v pochopení rizik v průběhu životního cyklu MLOps.“
„Pro zmírnění těchto rizik musí společnosti provádět modelování hrozeb pro své systémy AI a ML, identifikovat okna expozice a implementovat vhodné kontroly v rámci integrovaného a komplexního programu MLSecOps,“ dodal.
Protect AI ve své zprávě zdůrazňuje naléhavost řešení těchto problémů zranitelností rychle a poskytuje seznam doporučení pro uživatele s dotčenými projekty ve výrobě, přičemž zdůrazňuje význam proaktivního postoje při zmírňování potenciálních rizik. Uživatelům, kteří čelí problémům při zmírňování těchto zranitelností, se doporučuje obrátit se na komunitu Protect AI.
Jak technologie AI postupuje, společnost Protect AI pracuje na zabezpečení složité sítě systémů AI/ML, aby zajistila odpovědné a bezpečné využívání výhod umělé inteligence.
Odmítnutí odpovědnosti
V souladu s Pokyny k projektu Trust, prosím vezměte na vědomí, že informace uvedené na této stránce nejsou určeny a neměly by být vykládány jako právní, daňové, investiční, finanční nebo jakékoli jiné formy poradenství. Je důležité investovat jen to, co si můžete dovolit ztratit, a v případě pochybností vyhledat nezávislé finanční poradenství. Pro další informace doporučujeme nahlédnout do smluvních podmínek a také na stránky nápovědy a podpory poskytnuté vydavatelem nebo inzerentem. MetaversePost se zavázala poskytovat přesné a nezaujaté zprávy, ale podmínky na trhu se mohou bez upozornění změnit.
O autorovi
Kumar je zkušený technický novinář se specializací na dynamické průniky AI/ML, marketingové technologie a nově vznikající obory, jako jsou kryptoměny, blockchain a NFTs. S více než 3 lety zkušeností v oboru si Kumar vytvořil prokazatelné výsledky ve vytváření působivých příběhů, vedení zasvěcených rozhovorů a poskytování komplexních poznatků. Kumarova odbornost spočívá ve vytváření vysoce působivého obsahu, včetně článků, zpráv a výzkumných publikací pro prominentní průmyslové platformy. Díky jedinečné sadě dovedností, které kombinují technické znalosti a vyprávění příběhů, Kumar vyniká v komunikaci složitých technologických konceptů pro různé publikum jasným a poutavým způsobem.
Další články
Kumar je zkušený technický novinář se specializací na dynamické průniky AI/ML, marketingové technologie a nově vznikající obory, jako jsou kryptoměny, blockchain a NFTs. S více než 3 lety zkušeností v oboru si Kumar vytvořil prokazatelné výsledky ve vytváření působivých příběhů, vedení zasvěcených rozhovorů a poskytování komplexních poznatků. Kumarova odbornost spočívá ve vytváření vysoce působivého obsahu, včetně článků, zpráv a výzkumných publikací pro prominentní průmyslové platformy. Díky jedinečné sadě dovedností, které kombinují technické znalosti a vyprávění příběhů, Kumar vyniká v komunikaci složitých technologických konceptů pro různé publikum jasným a poutavým způsobem.
