Protect AI informa vulnerabilidades críticas en los sistemas de IA y ML existentes e insta a proteger proyectos de código abierto
En Resumen
El informe Protect AI identifica vulnerabilidades en las herramientas utilizadas dentro de la cadena de suministro de AI/ML, a menudo de código abierto, con amenazas de seguridad únicas.
Según el informe de Protect AI, existen vulnerabilidades en las herramientas utilizadas dentro de la cadena de suministro de IA/ML, a menudo de código abierto, que conllevan amenazas de seguridad únicas y estas vulnerabilidades plantean riesgos de ejecución remota de código no autenticado e inclusión de archivos locales. la seguridad cibernética Empresa enfocada en sistemas de IA y ML.
Puede tener implicaciones que van desde la adquisición de servidores hasta el robo de información confidencial, agrega el informe.
El informe enfatiza además la necesidad de un enfoque proactivo para identificar y abordar estas vulnerabilidades para salvaguardar datos, modelos y credenciales.
A la vanguardia de los esfuerzos de Protect AI se encuentra hunter, el primer programa de recompensas por errores de AI/ML del mundo, que involucra a una comunidad de más de 13,000 miembros que buscan activamente vulnerabilidades. Esta iniciativa tiene como objetivo proporcionar inteligencia crucial sobre amenazas potenciales y facilitar una respuesta rápida a los sistemas de IA seguros.
En agosto de 2023, la compañía anunció el lanzamiento dehuntr, una plataforma de recompensas por errores de AI/ML centrada exclusivamente en proteger el software de código abierto (OSS) de AI/ML. modelos fundacionalesy sistemas de aprendizaje automático. El lanzamiento de la plataforma de recompensas por errores de AI/ML de Huntr se produce como resultado de la adquisición de Huntr.dev por parte de Protect AI.
"Con más de 15,000 miembros ahora, el cazador de Protect AI es el conjunto más grande y concentrado de investigadores de amenazas y piratas informáticos centrados exclusivamente en la seguridad de AI/ML", Daryan Dehghanpisheh, presidente y cofundador de Protect AI.
“El modelo operativo de Huntr se centra en la simplicidad, la transparencia y las recompensas. Las funciones automatizadas y la experiencia en clasificación de Protect AI para contextualizar las amenazas para los mantenedores ayudan a todos los contribuyentes de software de código abierto en IA a crear paquetes de software más seguros. En última instancia, esto beneficia a todos los usuarios, ya que los sistemas de IA se vuelven más seguros y resistentes”, añadió Dehghanpisheh.
Informe identifica vulnerabilidades críticas
Destacando los hallazgos de la comunidad hunter en el último mes, el informe identifica tres vulnerabilidades críticas que incluyen la ejecución remota de código de MLflow, la sobrescritura arbitraria de archivos de MLflow y la inclusión de archivos locales de MLflow.
- Ejecución remota de código de MLflow: la falla provoca la toma de control del servidor y la pérdida de información confidencial. MLflow, una herramienta para almacenar y rastrear modelos, tenía una vulnerabilidad de ejecución remota de código en el código utilizado para extraer el almacenamiento de datos remoto. Se podría engañar a los usuarios para que utilicen fuentes de datos remotas maliciosas que podrían ejecutar comandos en nombre del usuario.
- Sobrescritura arbitraria de archivos de MLflow: la falla tiene el potencial de apoderarse del sistema, denegar el servicio y destruir datos. Se encontró una omisión en una función de MLflow que valida que una ruta de archivo es segura, lo que permite a un usuario malintencionado sobrescribir archivos de forma remota en el servidor de MLflow. Esto puede llevar a la ejecución remota de código con pasos adicionales, como sobrescribir las claves SSH en el sistema o editar el archivo .bashrc para ejecutar comandos arbitrarios en el siguiente inicio de sesión del usuario.
- El archivo local de MLflow incluye: la falla resulta en la pérdida de información confidencial y la posibilidad de que se apodere del sistema. MLflow, cuando se aloja en sistemas operativos específicos, se puede manipular para mostrar el contenido de archivos confidenciales, lo que plantea una vía potencial para la toma de control del sistema si se almacenan credenciales esenciales en el servidor.
Dijo el cofundador de Protect AI, Daryan Dehghanpisheh Metaverse Post, “La urgencia de abordar las vulnerabilidades de los sistemas de IA/ML depende de su impacto comercial. Dado el papel fundamental de la IA/ML en los negocios contemporáneos y la gravedad de los posibles exploits, la mayoría de las organizaciones considerarán que esta urgencia es alta. El principal desafío a la hora de proteger los sistemas de IA/ML radica en comprender los riesgos en todo el ciclo de vida de MLOps”.
"Para mitigar estos riesgos, las empresas deben realizar modelos de amenazas para sus sistemas de IA y ML, identificar ventanas de exposición e implementar controles adecuados dentro de un programa MLSecOps integrado y completo", añadió.
En su informe, Protect AI enfatiza la urgencia de abordar estos vulnerabilidades con prontitud y proporciona una lista de recomendaciones para los usuarios con proyectos afectados en producción, subrayando la importancia de una postura proactiva para mitigar los riesgos potenciales. Se anima a los usuarios que enfrentan desafíos para mitigar estas vulnerabilidades a comunicarse con la comunidad de Protect AI.
A medida que avanza la tecnología de IA, Protect AI está trabajando para proteger la intrincada red de sistemas de IA/ML para garantizar el aprovechamiento responsable y seguro de los beneficios de la inteligencia artificial.
Observación
En línea con la Directrices del Proyecto Confianza, tenga en cuenta que la información proporcionada en esta página no pretende ser ni debe interpretarse como asesoramiento legal, fiscal, de inversión, financiero o de cualquier otro tipo. Es importante invertir sólo lo que pueda permitirse perder y buscar asesoramiento financiero independiente si tiene alguna duda. Para mayor información sugerimos consultar los términos y condiciones así como las páginas de ayuda y soporte proporcionadas por el emisor o anunciante. MetaversePost se compromete a brindar informes precisos e imparciales, pero las condiciones del mercado están sujetas a cambios sin previo aviso.
Sobre el Autor
Kumar es un periodista tecnológico experimentado con especialización en las intersecciones dinámicas de AI/ML, tecnología de marketing y campos emergentes como cripto, blockchain y NFTs. Con más de 3 años de experiencia en la industria, Kumar ha establecido una trayectoria comprobada en la elaboración de narrativas convincentes, la realización de entrevistas interesantes y la entrega de conocimientos integrales. La experiencia de Kumar radica en la producción de contenido de alto impacto, incluidos artículos, informes y publicaciones de investigación para plataformas industriales destacadas. Con un conjunto de habilidades único que combina conocimiento técnico y narración, Kumar se destaca en comunicar conceptos tecnológicos complejos a audiencias diversas de una manera clara y atractiva.
Más artículosKumar es un periodista tecnológico experimentado con especialización en las intersecciones dinámicas de AI/ML, tecnología de marketing y campos emergentes como cripto, blockchain y NFTs. Con más de 3 años de experiencia en la industria, Kumar ha establecido una trayectoria comprobada en la elaboración de narrativas convincentes, la realización de entrevistas interesantes y la entrega de conocimientos integrales. La experiencia de Kumar radica en la producción de contenido de alto impacto, incluidos artículos, informes y publicaciones de investigación para plataformas industriales destacadas. Con un conjunto de habilidades único que combina conocimiento técnico y narración, Kumar se destaca en comunicar conceptos tecnológicos complejos a audiencias diversas de una manera clara y atractiva.