Tehisintellekti kaitsmine teatab olemasolevate AI- ja ML-süsteemide kriitilistest haavatavustest, kutsub üles kaitsma avatud lähtekoodiga projekte
Põgusalt
Protect AI aruanne tuvastab haavatavused tehisintellekti/ML-i tarneahelas, sageli avatud lähtekoodiga, kasutatavates tööriistades koos unikaalsete turvaohtudega.
AI/ML tarneahelas kasutatavates tööriistades (sageli avatud lähtekoodiga) on haavatavusi, mis kannavad unikaalseid turvaohte ning need haavatavused kujutavad endast autentimata koodi kaugkäitamise ja kohalike failide kaasamise ohtu, selgub Protect AI aruandest. küberturvalisus AI- ja ML-süsteemidele keskendunud ettevõte.
Aruandes lisati, et selle tagajärjed ulatuvad serverite ülevõtmisest tundliku teabe varguseni.
Aruandes rõhutatakse ka vajadust ennetava lähenemisviisi järele nende haavatavuste tuvastamisel ja nendega tegelemisel, et kaitsta andmeid, mudeleid ja mandaate.
Protect AI jõupingutuste esirinnas on huntr, maailma esimene tehisintellekti/ML-i vigade hüvitamise programm, mis kaasab enam kui 13,000 XNUMX liikmelist kogukonda, kes jahtib aktiivselt haavatavusi. Selle algatuse eesmärk on pakkuda olulist luureandmeid võimalike ohtude kohta ja hõlbustada kiiret reageerimist turvalistele tehisintellektisüsteemidele.
2023. aasta augustis teatas ettevõte huntr – AI/ML bug bounty platvormi turuletoomisest, mis keskendub ainult AI/ML avatud lähtekoodiga tarkvara (OSS) kaitsmisele. alusmudelidja ML Systems. Hunt AI/ML bug bounty platvormi käivitamine tuleneb sellest, et Protect AI ostis saidi huntr.dev.
"Praegu enam kui 15,000 XNUMX liikmega Protect AI huntr on suurim ja kontsentreerituim ohuuurijate ja häkkerite kogum, kes keskendub ainult AI/ML-turvalisusele," Daryan Dehghanpisheh, Protect AI president ja kaasasutaja.
„Huntri tegevusmudel on keskendunud lihtsusele, läbipaistvusele ja tasudele. Automatiseeritud funktsioonid ja Protect AI ekspertteadmised ohtude kontekstualiseerimisel hooldajate jaoks aitavad kõigil AI avatud lähtekoodiga tarkvara kaasajatel luua turvalisemaid tarkvarapakette. Sellest saavad lõpuks kasu kõik kasutajad, kuna tehisintellektisüsteemid muutuvad turvalisemaks ja vastupidavamaks,“ lisas Dehghanpisheh.
Aruanne tuvastab kriitilised haavatavused
Rõhutades jahimeeste kogukonna viimase kuu leide, tuvastab aruanne kolm kriitilist turvaauku, sealhulgas MLflow Remote Code Execution, MLflow suvaline faili ülekirjutamine ja MLflow kohaliku faili kaasamine.
- MLflow Remote Code Execution: vea tulemuseks on serveri ülevõtmine ja tundliku teabe kaotsiminek. Mudelite salvestamise ja jälgimise tööriistal MLflow oli koodi kaugkäitamise haavatavus, mida kasutati kaugandmete salvestamiseks. Kasutajaid võidakse petta kasutama pahatahtlikke kaugandmeallikaid, mis võivad kasutaja nimel käske täita.
- MLflow suvaline faili ülekirjutamine: viga võib süsteemi üle võtta, teenusest keelduda ja andmed hävitada. Leiti MLflow funktsiooni ümbersõit, mis kinnitab failitee turvalisust, võimaldades pahatahtlikul kasutajal MLflow serveris olevad failid kaugjuhtimisega üle kirjutada. See võib viia koodi kaugkäitamiseni koos lisatoimingutega, nagu süsteemi SSH-võtmete ülekirjutamine või .bashrc-faili redigeerimine, et käivitada suvalised käsud järgmisel kasutaja sisselogimisel
- MLflow kohalik fail sisaldab: viga põhjustab tundliku teabe kadumise ja süsteemi ülevõtmise võimaluse. Konkreetsetes operatsioonisüsteemides hostitud MLflow-ga saab manipuleerida tundlike failide sisu kuvamiseks, mis kujutab endast potentsiaalset võimalust süsteemi ülevõtmiseks, kui serverisse salvestatakse olulised mandaadid.
Protect AI kaasasutaja Daryan Dehghanpisheh ütles Metaverse Post, „AI/ML-süsteemi haavatavustega tegelemise kiireloomulisus sõltub nende mõjust äritegevusele. Arvestades AI/ML-i kriitilist rolli tänapäeva äris ja potentsiaalsete ärakasutamiste tõsidust, peab enamik organisatsioone seda kiireloomulisust kõrgeks. Peamine väljakutse AI/ML-süsteemide turvamisel seisneb riskide mõistmises kogu MLOps-i elutsükli jooksul.
"Nende riskide maandamiseks peavad ettevõtted oma AI- ja ML-süsteemide jaoks läbi viima ohtude modelleerimise, tuvastama kokkupuuteaknad ja rakendama integreeritud ja kõikehõlmava MLSecOpsi programmi raames sobivaid kontrolle," lisas ta.
Protect AI rõhutab oma aruandes nende lahendamise kiireloomulisust turvaaukude kiiresti ja annab soovituste loendi kasutajatele, kelle tootmisel on mõjutatud projekte, rõhutades ennetava hoiaku olulisust võimalike riskide maandamisel. Kasutajaid, kes seisavad silmitsi väljakutsetega nende haavatavuste leevendamisel, julgustatakse võtma ühendust Protect AI kogukonnaga.
AI tehnoloogia arenedes töötab Protect AI selle nimel, et kindlustada AI/ML süsteemide keerukat võrku, et tagada tehisintellekti eeliste vastutustundlik ja turvaline kasutamine.
Kaebused
Vastavalt Usaldusprojekti juhised, pange tähele, et sellel lehel esitatud teave ei ole mõeldud ega tohiks tõlgendada kui juriidilist, maksu-, investeerimis-, finants- või muud nõuannet. Oluline on investeerida ainult seda, mida saate endale lubada kaotada, ja kahtluste korral küsida sõltumatut finantsnõu. Lisateabe saamiseks soovitame vaadata nõudeid ja tingimusi ning väljaandja või reklaamija pakutavaid abi- ja tugilehti. MetaversePost on pühendunud täpsele ja erapooletule aruandlusele, kuid turutingimusi võidakse ette teatamata muuta.
Umbes Autor
Kumar on kogenud tehnikaajakirjanik, kes on spetsialiseerunud AI/ML dünaamilistele ristumiskohtadele, turundustehnoloogiale ja sellistele arenevatele valdkondadele nagu krüpto, plokiahel ja NFTs. Üle 3-aastase tööstusharu kogemusega Kumar on loonud tõestatud kogemusi mõjuvate narratiivide koostamisel, läbinägelike intervjuude läbiviimisel ja põhjaliku ülevaate andmisel. Kumari teadmised seisnevad silmapaistvatele tööstusplatvormidele suure mõjuga sisu, sealhulgas artiklite, aruannete ja teaduspublikatsioonide loomisel. Unikaalse oskuste kogumiga, mis ühendab tehnilised teadmised ja jutuvestmise, suudab Kumar suurepäraselt edastada keerulisi tehnoloogilisi kontseptsioone erinevatele sihtrühmadele selgel ja kaasahaaraval viisil.
Veel artikleid
Kumar on kogenud tehnikaajakirjanik, kes on spetsialiseerunud AI/ML dünaamilistele ristumiskohtadele, turundustehnoloogiale ja sellistele arenevatele valdkondadele nagu krüpto, plokiahel ja NFTs. Üle 3-aastase tööstusharu kogemusega Kumar on loonud tõestatud kogemusi mõjuvate narratiivide koostamisel, läbinägelike intervjuude läbiviimisel ja põhjaliku ülevaate andmisel. Kumari teadmised seisnevad silmapaistvatele tööstusplatvormidele suure mõjuga sisu, sealhulgas artiklite, aruannete ja teaduspublikatsioonide loomisel. Unikaalse oskuste kogumiga, mis ühendab tehnilised teadmised ja jutuvestmise, suudab Kumar suurepäraselt edastada keerulisi tehnoloogilisi kontseptsioone erinevatele sihtrühmadele selgel ja kaasahaaraval viisil.
