Protect AI signale des vulnérabilités critiques dans les systèmes d’IA et de ML existants et demande instamment de sécuriser les projets Open Source
En bref
Le rapport Protect AI identifie les vulnérabilités des outils utilisés au sein de la chaîne d'approvisionnement IA/ML, souvent Open Source, avec des menaces de sécurité uniques.
Il existe des vulnérabilités dans les outils utilisés au sein de la chaîne d'approvisionnement IA/ML, souvent Open Source, porteurs de menaces de sécurité uniques et ces vulnérabilités présentent des risques d'exécution de code à distance non authentifié et d'inclusion de fichiers locaux, selon le rapport de Protect AI – un cybersécurité entreprise axée sur les systèmes d’IA et de ML.
Cela peut entraîner des implications allant du rachat de serveurs au vol d'informations sensibles, ajoute le rapport.
Le rapport souligne en outre la nécessité d'une approche proactive pour identifier et traiter ces vulnérabilités afin de protéger les données, les modèles et les informations d'identification.
À l’avant-garde des efforts de Protect AI se trouve Huntr, le premier programme de bug bounty d’IA/ML au monde, qui engage une communauté de plus de 13,000 XNUMX membres à la recherche active de vulnérabilités. Cette initiative vise à fournir des renseignements cruciaux sur les menaces potentielles et à faciliter une réponse rapide aux systèmes d’IA sécurisés.
En août 2023, la société a annoncé le lancement de huntr, une plateforme de bug bounty IA/ML axée exclusivement sur la protection des logiciels open source (OSS) IA/ML, modèles fondamentauxet les systèmes ML. Le lancement de la plateforme de bug bounty huntr AI/ML fait suite à l’acquisition de huntr.dev par Protect AI.
« Avec plus de 15,000 XNUMX membres désormais, le groupe Huntr de Protect AI constitue le groupe le plus important et le plus concentré de chercheurs et de pirates informatiques axés exclusivement sur la sécurité de l'IA/ML », Daryan Dehghanpisheh, président et co-fondateur de Protect AI.
« Le modèle opérationnel de Huntr est axé sur la simplicité, la transparence et les récompenses. Les fonctionnalités automatisées et l’expertise de tri de Protect AI dans la contextualisation des menaces pour les responsables aident tous les contributeurs de logiciels open source en IA à créer des progiciels plus sécurisés. Cela profite en fin de compte à tous les utilisateurs, car les systèmes d’IA deviennent plus sécurisés et plus résilients », a ajouté Dehghanpisheh.
Le rapport identifie les vulnérabilités critiques
Mettant en évidence les conclusions de la communauté Huntr au cours du mois dernier, le rapport identifie trois vulnérabilités critiques, notamment MLflow Remote Code Execution, MLflow Arbitrary File Overwrite et MLflow Local File Include.
- Exécution de code à distance MLflow : la faille entraîne la prise de contrôle du serveur et la perte d'informations sensibles. MLflow, un outil de stockage et de suivi de modèles, présentait une vulnérabilité d'exécution de code à distance dans le code utilisé pour extraire le stockage de données à distance. Les utilisateurs pourraient être amenés à utiliser des sources de données distantes malveillantes qui pourraient exécuter des commandes au nom de l’utilisateur.
- Écrasement arbitraire des fichiers MLflow : la faille présente un potentiel de prise de contrôle du système, de déni de service et de destruction des données. Un contournement dans une fonction MLflow qui valide qu'un chemin de fichier est sûr a été trouvé, permettant à un utilisateur malveillant d'écraser à distance des fichiers sur le serveur MLflow. Cela peut conduire à l'exécution de code à distance avec des étapes supplémentaires telles que l'écrasement des clés SSH sur le système ou la modification du fichier .bashrc pour exécuter des commandes arbitraires lors de la prochaine connexion de l'utilisateur.
- MLflow Local File Include : la faille entraîne la perte d'informations sensibles et le potentiel de prise de contrôle du système. MLflow, lorsqu'il est hébergé sur des systèmes d'exploitation spécifiques, peut être manipulé pour afficher le contenu de fichiers sensibles, ce qui constitue une possibilité potentielle de prise de contrôle du système si les informations d'identification essentielles sont stockées sur le serveur.
Daryan Dehghanpisheh, co-fondateur de Protect AI, a déclaré Metaverse Post, « L’urgence de remédier aux vulnérabilités des systèmes IA/ML dépend de leur impact sur l’entreprise. Compte tenu du rôle essentiel de l’IA/ML dans les entreprises contemporaines et de la gravité des exploits potentiels, la plupart des organisations trouveront cette urgence élevée. Le principal défi de la sécurisation des systèmes IA/ML réside dans la compréhension des risques tout au long du cycle de vie du MLOps.
« Pour atténuer ces risques, les entreprises doivent modéliser les menaces pour leurs systèmes d'IA et de ML, identifier les fenêtres d'exposition et mettre en œuvre des contrôles appropriés au sein d'un programme MLSecOps intégré et complet », a-t-il ajouté.
Dans son rapport, Protect AI souligne l’urgence de s’attaquer à ces problèmes. vulnérabilités rapidement et fournit une liste de recommandations aux utilisateurs dont les projets en production sont concernés, soulignant l'importance d'une position proactive pour atténuer les risques potentiels. Les utilisateurs confrontés à des difficultés pour atténuer ces vulnérabilités sont encouragés à contacter la communauté Protect AI.
À mesure que la technologie de l’IA progresse, Protect AI s’efforce de sécuriser le réseau complexe de systèmes d’IA/ML afin de garantir une exploitation responsable et sécurisée des avantages de l’intelligence artificielle.
Clause de non-responsabilité
En ligne avec la Lignes directrices du projet de confiance, veuillez noter que les informations fournies sur cette page ne sont pas destinées à être et ne doivent pas être interprétées comme des conseils juridiques, fiscaux, d'investissement, financiers ou toute autre forme de conseil. Il est important d’investir uniquement ce que vous pouvez vous permettre de perdre et de demander des conseils financiers indépendants en cas de doute. Pour plus d'informations, nous vous suggérons de vous référer aux conditions générales ainsi qu'aux pages d'aide et de support mises à disposition par l'émetteur ou l'annonceur. MetaversePost s'engage à fournir des rapports précis et impartiaux, mais les conditions du marché sont susceptibles de changer sans préavis.
A propos de l'auteur
Kumar est un journaliste technologique expérimenté spécialisé dans les intersections dynamiques de l'IA/ML, de la technologie marketing et des domaines émergents tels que la cryptographie, la blockchain et NFTs. Avec plus de 3 ans d'expérience dans l'industrie, Kumar a fait ses preuves dans l'élaboration de récits convaincants, la conduite d'entretiens perspicaces et la fourniture d'informations complètes. L'expertise de Kumar réside dans la production de contenu à fort impact, notamment des articles, des rapports et des publications de recherche pour des plateformes industrielles de premier plan. Doté d’un ensemble de compétences uniques combinant connaissances techniques et narration, Kumar excelle dans la communication de concepts technologiques complexes à des publics divers de manière claire et engageante.
Plus d'articles
Kumar est un journaliste technologique expérimenté spécialisé dans les intersections dynamiques de l'IA/ML, de la technologie marketing et des domaines émergents tels que la cryptographie, la blockchain et NFTs. Avec plus de 3 ans d'expérience dans l'industrie, Kumar a fait ses preuves dans l'élaboration de récits convaincants, la conduite d'entretiens perspicaces et la fourniture d'informations complètes. L'expertise de Kumar réside dans la production de contenu à fort impact, notamment des articles, des rapports et des publications de recherche pour des plateformes industrielles de premier plan. Doté d’un ensemble de compétences uniques combinant connaissances techniques et narration, Kumar excelle dans la communication de concepts technologiques complexes à des publics divers de manière claire et engageante.
