Το Protect AI αναφέρει κρίσιμα τρωτά σημεία σε υπάρχοντα συστήματα AI και ML, παροτρύνει την ασφάλεια έργων ανοιχτού κώδικα
Εν συντομία
Η αναφορά Protect AI προσδιορίζει τρωτά σημεία σε εργαλεία που χρησιμοποιούνται στην αλυσίδα εφοδιασμού AI/ML, συχνά ανοιχτού κώδικα, με μοναδικές απειλές για την ασφάλεια.
Υπάρχουν ευπάθειες σε εργαλεία που χρησιμοποιούνται στην αλυσίδα εφοδιασμού AI/ML, συχνά Ανοιχτού Κώδικα, που φέρουν μοναδικές απειλές για την ασφάλεια και αυτά τα τρωτά σημεία ενέχουν κινδύνους μη επικυρωμένης απομακρυσμένης εκτέλεσης κώδικα και συμπερίληψης τοπικών αρχείων, σύμφωνα με την έκθεση του Protect AI – a. κυβερνασφάλεια εταιρεία επικεντρωμένη στα συστήματα AI και ML.
Μπορεί να οδηγήσει σε συνέπειες που κυμαίνονται από εξαγορές διακομιστή έως κλοπή ευαίσθητων πληροφοριών, πρόσθεσε η έκθεση.
Η έκθεση υπογραμμίζει περαιτέρω την ανάγκη για μια προληπτική προσέγγιση για τον εντοπισμό και την αντιμετώπιση αυτών των τρωτών σημείων για την προστασία δεδομένων, μοντέλων και διαπιστευτηρίων.
Στην πρώτη γραμμή των προσπαθειών του Protect AI βρίσκεται το huntr, το πρώτο πρόγραμμα επιβράβευσης σφαλμάτων AI/ML στον κόσμο, το οποίο εμπλέκει μια κοινότητα με περισσότερα από 13,000 μέλη που αναζητούν ενεργά τρωτά σημεία. Αυτή η πρωτοβουλία στοχεύει να παρέχει ζωτικής σημασίας πληροφορίες για πιθανές απειλές και να διευκολύνει την ταχεία απόκριση σε ασφαλή συστήματα τεχνητής νοημοσύνης.
Τον Αύγουστο του 2023, η εταιρεία ανακοίνωσε την κυκλοφορία του huntr – μιας πλατφόρμας επιβράβευσης σφαλμάτων AI/ML που επικεντρώνεται αποκλειστικά στην προστασία του λογισμικού ανοιχτού κώδικα AI/ML (OSS). θεμελιώδη μοντέλα, και ML Systems. Η κυκλοφορία της πλατφόρμας επιβράβευσης σφαλμάτων huntr AI/ML έρχεται ως αποτέλεσμα της εξαγοράς του huntr.dev από την Protect AI.
«Με περισσότερα από 15,000 μέλη τώρα, ο κυνηγός του Protect AI είναι το μεγαλύτερο και πιο συγκεντρωμένο σύνολο ερευνητών απειλών και χάκερ που επικεντρώνονται αποκλειστικά στην ασφάλεια AI/ML», δήλωσε ο Daryan Dehghanpisheh, πρόεδρος και συνιδρυτής του Protect AI.
«Το μοντέλο λειτουργίας του Huntr επικεντρώνεται στην απλότητα, τη διαφάνεια και τις ανταμοιβές. Οι αυτοματοποιημένες λειτουργίες και η τεχνογνωσία του Protect AI στη διαλογή των απειλών για τους συντηρητές βοηθούν όλους τους συνεισφέροντες λογισμικού ανοιχτού κώδικα στο AI να δημιουργήσουν πιο ασφαλή πακέτα λογισμικού. Αυτό τελικά ωφελεί όλους τους χρήστες, καθώς τα συστήματα AI γίνονται πιο ασφαλή και ανθεκτικά», πρόσθεσε ο Dehghanpisheh.
Η αναφορά προσδιορίζει κρίσιμα τρωτά σημεία
Επισημαίνοντας τα ευρήματα της κοινότητας κυνηγών τον περασμένο μήνα, η αναφορά εντοπίζει τρία κρίσιμα τρωτά σημεία που περιλαμβάνουν την εκτέλεση απομακρυσμένου κώδικα MLflow, την αντικατάσταση αρχείου αυθαίρετης MLflow και τη συμπερίληψη τοπικού αρχείου MLflow.
- MLflow Remote Code Execution: Το ελάττωμα έχει ως αποτέλεσμα την ανάληψη διακομιστή και την απώλεια ευαίσθητων πληροφοριών. Το MLflow, ένα εργαλείο για την αποθήκευση και την παρακολούθηση μοντέλων, είχε μια ευπάθεια απομακρυσμένης εκτέλεσης κώδικα στον κώδικα που χρησιμοποιείται για την ανάσυρση της απομακρυσμένης αποθήκευσης δεδομένων. Οι χρήστες θα μπορούσαν να εξαπατηθούν χρησιμοποιώντας κακόβουλες απομακρυσμένες πηγές δεδομένων που θα μπορούσαν να εκτελούν εντολές για λογαριασμό του χρήστη.
- Αντικατάσταση αυθαίρετου αρχείου MLflow: Το ελάττωμα έχει τη δυνατότητα ανάληψης συστήματος, άρνησης υπηρεσίας και καταστροφής δεδομένων. Βρέθηκε μια παράκαμψη σε μια συνάρτηση MLflow που επικυρώνει ότι μια διαδρομή αρχείου είναι ασφαλής, επιτρέποντας σε έναν κακόβουλο χρήστη να αντικαταστήσει απομακρυσμένα αρχεία στον διακομιστή MLflow. Αυτό μπορεί να οδηγήσει σε απομακρυσμένη εκτέλεση κώδικα με πρόσθετα βήματα, όπως η αντικατάσταση των κλειδιών SSH στο σύστημα ή η επεξεργασία του αρχείου .bashrc για την εκτέλεση αυθαίρετων εντολών κατά την επόμενη σύνδεση του χρήστη
- MLflow Local File Include: Το ελάττωμα έχει ως αποτέλεσμα την απώλεια ευαίσθητων πληροφοριών και την πιθανότητα ανάληψης συστήματος. Το MLflow, όταν φιλοξενείται σε συγκεκριμένα λειτουργικά συστήματα, μπορεί να υποστεί χειραγώγηση για να εμφανίζει τα περιεχόμενα ευαίσθητων αρχείων, θέτοντας μια πιθανή λεωφόρο για την ανάληψη του συστήματος, εάν τα βασικά διαπιστευτήρια είναι αποθηκευμένα στον διακομιστή.
είπε ο συνιδρυτής του Protect AI Daryan Dehghanpisheh Metaverse Post, «Η επείγουσα αντιμετώπιση των τρωτών σημείων του συστήματος AI/ML εξαρτάται από τον επιχειρηματικό τους αντίκτυπο. Με τον κρίσιμο ρόλο του AI/ML στις σύγχρονες επιχειρήσεις και τη σοβαρή φύση των πιθανών εκμεταλλεύσεων, οι περισσότεροι οργανισμοί θα βρουν αυτόν τον επείγοντα χαρακτήρα υψηλό. Η κύρια πρόκληση για την εξασφάλιση συστημάτων AI/ML έγκειται στην κατανόηση των κινδύνων σε όλο τον κύκλο ζωής του MLOps.»
«Για να μετριάσουν αυτούς τους κινδύνους, οι εταιρείες πρέπει να διεξάγουν μοντελοποίηση απειλών για τα συστήματά τους AI και ML, να εντοπίζουν παράθυρα έκθεσης και να εφαρμόζουν κατάλληλους ελέγχους στο πλαίσιο ενός ολοκληρωμένου και ολοκληρωμένου προγράμματος MLSecOps», πρόσθεσε.
Στην έκθεσή του, το Protect AI τονίζει την επείγουσα ανάγκη αντιμετώπισης αυτών των προβλημάτων τρωτά σημεία αμέσως και παρέχει μια λίστα συστάσεων για χρήστες με επηρεαζόμενα έργα στην παραγωγή, υπογραμμίζοντας τη σημασία μιας προληπτικής στάσης για τον μετριασμό των πιθανών κινδύνων. Οι χρήστες που αντιμετωπίζουν προκλήσεις για τον μετριασμό αυτών των τρωτών σημείων ενθαρρύνονται να απευθυνθούν στην κοινότητα του Protect AI.
Καθώς η τεχνολογία AI προχωρά, το Protect AI εργάζεται για την ασφάλεια του περίπλοκου ιστού των συστημάτων AI/ML για να διασφαλίσει την υπεύθυνη και ασφαλή αξιοποίηση των πλεονεκτημάτων της τεχνητής νοημοσύνης.
Αποποίηση ευθυνών
Σύμφωνα με το Οδηγίες του έργου Trust, σημειώστε ότι οι πληροφορίες που παρέχονται σε αυτήν τη σελίδα δεν προορίζονται και δεν πρέπει να ερμηνεύονται ως νομικές, φορολογικές, επενδυτικές, χρηματοοικονομικές ή οποιαδήποτε άλλη μορφή συμβουλής. Είναι σημαντικό να επενδύσετε μόνο ό,τι έχετε την πολυτέλεια να χάσετε και να αναζητήσετε ανεξάρτητες οικονομικές συμβουλές εάν έχετε οποιεσδήποτε αμφιβολίες. Για περισσότερες πληροφορίες, προτείνουμε να ανατρέξετε στους όρους και τις προϋποθέσεις, καθώς και στις σελίδες βοήθειας και υποστήριξης που παρέχονται από τον εκδότη ή τον διαφημιστή. MetaversePost δεσμεύεται για ακριβείς, αμερόληπτες αναφορές, αλλά οι συνθήκες της αγοράς υπόκεινται σε αλλαγές χωρίς προειδοποίηση.
Σχετικά με το Συγγραφέας
Ο Kumar είναι ένας έμπειρος Τεχνικός Δημοσιογράφος με εξειδίκευση στις δυναμικές διασταυρώσεις της AI/ML, της τεχνολογίας μάρκετινγκ και των αναδυόμενων τομέων όπως η κρυπτογράφηση, η αλυσίδα μπλοκ και η NFTμικρό. Με περισσότερα από 3 χρόνια εμπειρίας στον κλάδο, η Kumar έχει δημιουργήσει ένα αποδεδειγμένο ιστορικό στη δημιουργία συναρπαστικών αφηγήσεων, τη διεξαγωγή οξυδερκών συνεντεύξεων και την παροχή ολοκληρωμένων πληροφοριών. Η τεχνογνωσία της Kumar έγκειται στην παραγωγή περιεχομένου υψηλής απήχησης, συμπεριλαμβανομένων άρθρων, εκθέσεων και ερευνητικών δημοσιεύσεων για εξέχουσες πλατφόρμες του κλάδου. Με ένα μοναδικό σύνολο δεξιοτήτων που συνδυάζει τεχνικές γνώσεις και αφήγηση, ο Kumar διαπρέπει στην επικοινωνία σύνθετων τεχνολογικών εννοιών σε διαφορετικά κοινά με σαφή και ελκυστικό τρόπο.
Περισσότερα άρθρα
Ο Kumar είναι ένας έμπειρος Τεχνικός Δημοσιογράφος με εξειδίκευση στις δυναμικές διασταυρώσεις της AI/ML, της τεχνολογίας μάρκετινγκ και των αναδυόμενων τομέων όπως η κρυπτογράφηση, η αλυσίδα μπλοκ και η NFTμικρό. Με περισσότερα από 3 χρόνια εμπειρίας στον κλάδο, η Kumar έχει δημιουργήσει ένα αποδεδειγμένο ιστορικό στη δημιουργία συναρπαστικών αφηγήσεων, τη διεξαγωγή οξυδερκών συνεντεύξεων και την παροχή ολοκληρωμένων πληροφοριών. Η τεχνογνωσία της Kumar έγκειται στην παραγωγή περιεχομένου υψηλής απήχησης, συμπεριλαμβανομένων άρθρων, εκθέσεων και ερευνητικών δημοσιεύσεων για εξέχουσες πλατφόρμες του κλάδου. Με ένα μοναδικό σύνολο δεξιοτήτων που συνδυάζει τεχνικές γνώσεις και αφήγηση, ο Kumar διαπρέπει στην επικοινωνία σύνθετων τεχνολογικών εννοιών σε διαφορετικά κοινά με σαφή και ελκυστικό τρόπο.
