Suojaa tekoäly raportoi kriittisistä haavoittuvuuksista olemassa olevissa tekoäly- ja ML-järjestelmissä, kehottaa turvaamaan avoimen lähdekoodin projekteja
Lyhyesti
Protect AI -raportti tunnistaa haavoittuvuuksia AI/ML-toimitusketjussa, usein avoimessa lähdekoodissa, käytettävissä työkaluissa, joissa on ainutlaatuisia tietoturvauhkia.
Tekoälyn/ML-toimitusketjun, usein avoimen lähdekoodin, työkaluissa on haavoittuvuuksia, jotka sisältävät ainutlaatuisia tietoturvauhkia, ja nämä haavoittuvuudet aiheuttavat riskin todentamattomasta etäkoodin suorittamisesta ja paikallisten tiedostojen sisällyttämisestä Protect AI:n raportin mukaan. tietoverkkojen yritys keskittyi tekoäly- ja ML-järjestelmiin.
Raportti lisäsi, että sillä voi olla seurauksia palvelinten haltuunotosta arkaluonteisten tietojen varkauksiin.
Raportissa korostetaan lisäksi ennakoivan lähestymistavan tarvetta näiden haavoittuvuuksien tunnistamisessa ja korjaamisessa tietojen, mallien ja tunnistetietojen turvaamiseksi.
Protect AI:n toiminnan eturintamassa on huntr, maailman ensimmäinen AI/ML-virhepalkkioohjelma, joka houkuttelee yli 13,000 XNUMX jäsenen yhteisön aktiivisesti etsimään haavoittuvuuksia. Tämän aloitteen tavoitteena on tarjota ratkaisevaa tietoa mahdollisista uhista ja helpottaa nopeaa reagointia turvallisiin tekoälyjärjestelmiin.
Elokuussa 2023 yhtiö julkisti huntrin – AI/ML-bug-palkkioalustan, joka keskittyy yksinomaan AI/ML avoimen lähdekoodin ohjelmistojen (OSS) suojaamiseen. perusmallitja ML Systems. Huntr AI/ML -bug-palkkio-alusta lanseerattiin, kun Protect AI osti huntr.devin.
"Yli 15,000 XNUMX jäsenellä Protect AI:n metsästäjä on suurin ja keskittynein joukko uhkien tutkijoita ja hakkereita, jotka keskittyvät yksinomaan AI/ML-turvallisuuteen", Daryan Dehghanpisheh, Protect AI:n puheenjohtaja ja toinen perustaja.
"Huntrin toimintamalli keskittyy yksinkertaisuuteen, läpinäkyvyyteen ja palkitsemiseen. Automatisoidut ominaisuudet ja Protect AI:n triage-asiantuntemus uhkien kontekstualisoinnissa ylläpitäjille auttavat kaikkia avoimen lähdekoodin ohjelmistojen tekijöitä tekoälyssä rakentamaan turvallisempia ohjelmistopaketteja. Tämä hyödyttää viime kädessä kaikkia käyttäjiä, kun tekoälyjärjestelmistä tulee turvallisempia ja kestävämpiä", Dehghanpisheh lisäsi.
Raportti tunnistaa kriittiset haavoittuvuudet
Raportissa korostetaan metsästäjäyhteisön viimeisen kuukauden havaintoja ja tunnistetaan kolme kriittistä haavoittuvuutta, joihin kuuluvat MLflow Remote Code Execution, MLflow Arbitrary File Overwrite ja MLflow Local File Include.
- MLflow Remote Code Execution: Virhe johtaa palvelimen kaappaamiseen ja arkaluonteisten tietojen menetykseen. MLflow, työkalu mallien tallentamiseen ja seurantaan, sisälsi koodin etäsuorittamisen haavoittuvuuden koodissa, jota käytettiin tietojen etätallennustilan purkamiseen. Käyttäjiä voidaan huijata käyttämään haitallisia etätietolähteitä, jotka voivat suorittaa komentoja käyttäjän puolesta.
- MLflow Arbitrary File Overwrite: Virhe voi johtaa järjestelmän haltuunottoon, palvelunestoon ja tietojen tuhoutumiseen. MLflow-toiminnon ohitus, joka vahvistaa, että tiedostopolku on turvallinen, löydettiin, jolloin pahantahtoinen käyttäjä voi korvata tiedostoja MLflow-palvelimella etänä. Tämä voi johtaa koodin etäsuorittamiseen lisävaiheilla, kuten järjestelmän SSH-avainten korvaaminen tai .bashrc-tiedoston muokkaaminen suorittamaan mielivaltaisia komentoja seuraavan käyttäjän kirjautumisen yhteydessä.
- MLflow Local File sisältää: Virhe johtaa arkaluonteisten tietojen menetykseen ja järjestelmän haltuunoton mahdollisuuteen. Kun MLflow:ta isännöidään tietyissä käyttöjärjestelmissä, sitä voidaan manipuloida näyttämään arkaluonteisten tiedostojen sisältö, mikä mahdollistaa järjestelmän haltuunoton, jos olennaiset tunnistetiedot on tallennettu palvelimelle.
Protect AI:n perustaja Daryan Dehghanpisheh kertoi Metaverse Post, "AI/ML-järjestelmän haavoittuvuuksien korjaamisen kiireellisyys riippuu niiden vaikutuksesta liiketoimintaan. Tekoälyn/ML:n kriittinen rooli nykyaikaisessa liiketoiminnassa ja mahdollisten hyväksikäyttöjen ankara luonne ovat useimmat organisaatiot pitävät tätä kiireellisenä. Ensisijainen haaste AI/ML-järjestelmien turvaamisessa on riskien ymmärtäminen MLOpsin elinkaaren aikana.
"Näiden riskien pienentämiseksi yritysten on suoritettava uhkamallinnus tekoäly- ja ML-järjestelmilleen, tunnistettava altistumisikkunat ja otettava käyttöön sopivat kontrollit integroidussa ja kattavassa MLSecOps-ohjelmassa", hän lisäsi.
Protect AI korostaa raportissaan, että näihin on puututtava kiireellisesti haavoittuvuuksia nopeasti ja tarjoaa luettelon suosituksista käyttäjille, joiden tuotannossa olevat projektit ovat vaikuttaneet, korostaen ennakoivan asenteen merkitystä mahdollisten riskien vähentämisessä. Käyttäjiä, joilla on haasteita näiden haavoittuvuuksien lieventämisessä, rohkaistaan ottamaan yhteyttä Protect AI -yhteisöön.
Tekoälytekniikan kehittyessä Protect AI pyrkii turvaamaan AI/ML-järjestelmien monimutkaisen verkon varmistaakseen tekoälyn etujen vastuullisen ja turvallisen hyödyntämisen.
Vastuun kieltäminen
Mukaisesti Luottamusprojektin ohjeetHuomaa, että tällä sivulla annettuja tietoja ei ole tarkoitettu eikä niitä tule tulkita oikeudellisiksi, verotukselliseksi, sijoitus-, rahoitus- tai minkään muun muodon neuvoiksi. On tärkeää sijoittaa vain sen verran, mitä sinulla on varaa menettää, ja pyytää riippumatonta talousneuvontaa, jos sinulla on epäilyksiä. Lisätietoja saat käyttöehdoista sekä myöntäjän tai mainostajan tarjoamista ohje- ja tukisivuista. MetaversePost on sitoutunut tarkkaan, puolueettomaan raportointiin, mutta markkinaolosuhteet voivat muuttua ilman erillistä ilmoitusta.
Author
Kumar on kokenut teknologiatoimittaja, joka on erikoistunut AI/ML:n dynaamisiin risteyksiin, markkinointiteknologiaan ja nouseviin aloihin, kuten krypto-, lohkoketju- ja NFTs. Yli 3 vuoden kokemuksella alalta Kumar on saavuttanut todistetun ennätyksen vakuuttavien tarinoiden laatimisessa, oivaltavien haastattelujen tekemisessä ja kattavien näkemysten toimittamisessa. Kumarin asiantuntemus perustuu vaikuttavan sisällön tuottamiseen, mukaan lukien artikkeleita, raportteja ja tutkimusjulkaisuja merkittäville alan alustoille. Ainutlaatuisella taitosarjalla, jossa yhdistyvät tekninen tietämys ja tarinankerronta, Kumar on erinomainen kommunikoimaan monimutkaisia teknologisia käsitteitä eri yleisöille selkeällä ja mukaansatempaavalla tavalla.
lisää artikkeleita
Kumar on kokenut teknologiatoimittaja, joka on erikoistunut AI/ML:n dynaamisiin risteyksiin, markkinointiteknologiaan ja nouseviin aloihin, kuten krypto-, lohkoketju- ja NFTs. Yli 3 vuoden kokemuksella alalta Kumar on saavuttanut todistetun ennätyksen vakuuttavien tarinoiden laatimisessa, oivaltavien haastattelujen tekemisessä ja kattavien näkemysten toimittamisessa. Kumarin asiantuntemus perustuu vaikuttavan sisällön tuottamiseen, mukaan lukien artikkeleita, raportteja ja tutkimusjulkaisuja merkittäville alan alustoille. Ainutlaatuisella taitosarjalla, jossa yhdistyvät tekninen tietämys ja tarinankerronta, Kumar on erinomainen kommunikoimaan monimutkaisia teknologisia käsitteitä eri yleisöille selkeällä ja mukaansatempaavalla tavalla.
