Protect AI Melaporkan Kerentanan Kritis dalam Sistem AI dan ML yang Ada, Mendesak Mengamankan Proyek Sumber Terbuka
Singkatnya
Laporan Protect AI mengidentifikasi kerentanan pada alat yang digunakan dalam rantai pasokan AI/ML, seringkali Open Source, dengan ancaman keamanan yang unik.
Terdapat kerentanan pada alat yang digunakan dalam rantai pasokan AI/ML, seringkali Open Source, membawa ancaman keamanan yang unik dan kerentanan ini menimbulkan risiko eksekusi kode jarak jauh yang tidak diautentikasi dan penyertaan file lokal, menurut laporan dari Protect AI – a keamanan cyber perusahaan yang berfokus pada sistem AI dan ML.
Hal ini dapat menimbulkan implikasi mulai dari pengambilalihan server hingga pencurian informasi sensitif, tambah laporan itu.
Laporan ini lebih lanjut menekankan perlunya pendekatan proaktif dalam mengidentifikasi dan mengatasi kerentanan ini untuk melindungi data, model, dan kredensial.
Yang terdepan dalam upaya Protect AI adalah hunter, program bug bounty AI/ML pertama di dunia, yang melibatkan komunitas dengan lebih dari 13,000 anggota yang secara aktif mencari kerentanan. Inisiatif ini bertujuan untuk memberikan informasi intelijen penting mengenai potensi ancaman dan memfasilitasi respons cepat untuk mengamankan sistem AI.
Pada bulan Agustus 2023, perusahaan mengumumkan peluncuran hunter – platform bug bounty AI/ML yang berfokus secara eksklusif pada perlindungan perangkat lunak sumber terbuka (OSS) AI/ML, model dasar, dan Sistem ML. Peluncuran platform bug bounty hunter AI/ML terjadi sebagai hasil akuisisi hunter.dev oleh Protect AI.
“Dengan lebih dari 15,000 anggota saat ini, pemburu Protect AI adalah kumpulan peneliti ancaman dan peretas terbesar dan paling terkonsentrasi yang berfokus secara eksklusif pada keamanan AI/ML,” Daryan Dehghanpisheh, presiden dan salah satu pendiri Protect AI.
“Model operasi Huntr berfokus pada kesederhanaan, transparansi, dan penghargaan. Fitur otomatis dan keahlian triase Protect AI dalam mengontekstualisasikan ancaman bagi pengelola membantu semua kontributor perangkat lunak sumber terbuka di AI untuk membangun paket perangkat lunak yang lebih aman. Hal ini pada akhirnya menguntungkan semua pengguna, karena sistem AI menjadi lebih aman dan tangguh,” tambah Dehghanpisheh.
Laporan Mengidentifikasi Kerentanan Kritis
Menyoroti temuan komunitas hunter dalam sebulan terakhir, laporan tersebut mengidentifikasi tiga kerentanan kritis yang mencakup Eksekusi Kode Jarak Jauh MLflow, Penimpaan File Sewenang-wenang MLflow, dan Penyertaan File Lokal MLflow.
- Eksekusi Kode Jarak Jauh MLflow: Cacat ini mengakibatkan pengambilalihan server dan hilangnya informasi sensitif. MLflow, alat untuk menyimpan dan melacak model, memiliki kerentanan eksekusi kode jarak jauh dalam kode yang digunakan untuk menghentikan penyimpanan data jarak jauh. Pengguna dapat tertipu dengan menggunakan sumber data jarak jauh berbahaya yang dapat menjalankan perintah atas nama pengguna.
- Penimpaan File Sewenang-wenang MLflow: Cacat ini berpotensi menyebabkan pengambilalihan sistem, penolakan layanan, dan penghancuran data. Ditemukan jalan pintas dalam fungsi MLflow yang memvalidasi bahwa jalur file aman, memungkinkan pengguna jahat untuk menimpa file di server MLflow dari jarak jauh. Hal ini dapat menyebabkan eksekusi kode jarak jauh dengan langkah-langkah tambahan seperti menimpa kunci SSH pada sistem atau mengedit file .bashrc untuk menjalankan perintah arbitrer pada login pengguna berikutnya
- File Lokal MLflow Termasuk: Cacat ini mengakibatkan hilangnya informasi sensitif dan potensi pengambilalihan sistem. MLflow, ketika dihosting pada sistem operasi tertentu, dapat dimanipulasi untuk menampilkan konten file sensitif, sehingga berpotensi menimbulkan pengambilalihan sistem jika kredensial penting disimpan di server.
kata salah satu pendiri Protect AI, Daryan Dehghanpisheh Metaverse Post, “Urgensi dalam mengatasi kerentanan sistem AI/ML bergantung pada dampak bisnisnya. Mengingat peran penting AI/ML dalam bisnis kontemporer dan potensi eksploitasi yang parah, sebagian besar organisasi akan menganggap hal ini sangat mendesak. Tantangan utama dalam mengamankan sistem AI/ML terletak pada pemahaman risiko di seluruh siklus hidup MLOps.”
“Untuk memitigasi risiko ini, perusahaan harus melakukan pemodelan ancaman untuk sistem AI dan ML mereka, mengidentifikasi jendela paparan, dan menerapkan kontrol yang sesuai dalam program MLSecOps yang terintegrasi dan komprehensif,” tambahnya.
Dalam laporannya, Protect AI menekankan pentingnya mengatasi permasalahan ini Kerentanan segera dan memberikan daftar rekomendasi bagi pengguna dengan proyek yang terkena dampak dalam produksi, menggarisbawahi pentingnya sikap proaktif dalam memitigasi potensi risiko. Pengguna yang menghadapi tantangan dalam memitigasi kerentanan ini didorong untuk menghubungi komunitas Protect AI.
Seiring kemajuan teknologi AI, Protect AI berupaya mengamankan jaringan rumit sistem AI/ML untuk memastikan pemanfaatan manfaat kecerdasan buatan secara bertanggung jawab dan aman.
Penolakan tanggung jawab
Sejalan dengan Percayai pedoman Proyek, harap dicatat bahwa informasi yang diberikan pada halaman ini tidak dimaksudkan untuk dan tidak boleh ditafsirkan sebagai nasihat hukum, pajak, investasi, keuangan, atau bentuk nasihat lainnya. Penting untuk hanya menginvestasikan jumlah yang mampu Anda tanggung kerugiannya dan mencari nasihat keuangan independen jika Anda ragu. Untuk informasi lebih lanjut, kami menyarankan untuk merujuk pada syarat dan ketentuan serta halaman bantuan dan dukungan yang disediakan oleh penerbit atau pengiklan. MetaversePost berkomitmen terhadap pelaporan yang akurat dan tidak memihak, namun kondisi pasar dapat berubah tanpa pemberitahuan.
Tentang Penulis
Kumar adalah Jurnalis Teknologi berpengalaman dengan spesialisasi dalam persimpangan dinamis AI/ML, teknologi pemasaran, dan bidang baru seperti kripto, blockchain, dan NFTS. Dengan pengalaman lebih dari 3 tahun di industri ini, Kumar telah memiliki rekam jejak yang terbukti dalam menyusun narasi yang menarik, melakukan wawancara yang mendalam, dan memberikan wawasan yang komprehensif. Keahlian Kumar terletak pada produksi konten berdampak tinggi, termasuk artikel, laporan, dan publikasi penelitian untuk platform industri terkemuka. Dengan keahlian unik yang menggabungkan pengetahuan teknis dan penyampaian cerita, Kumar unggul dalam mengkomunikasikan konsep teknologi yang kompleks kepada beragam audiens dengan cara yang jelas dan menarik.
lebih artikel
Kumar adalah Jurnalis Teknologi berpengalaman dengan spesialisasi dalam persimpangan dinamis AI/ML, teknologi pemasaran, dan bidang baru seperti kripto, blockchain, dan NFTS. Dengan pengalaman lebih dari 3 tahun di industri ini, Kumar telah memiliki rekam jejak yang terbukti dalam menyusun narasi yang menarik, melakukan wawancara yang mendalam, dan memberikan wawasan yang komprehensif. Keahlian Kumar terletak pada produksi konten berdampak tinggi, termasuk artikel, laporan, dan publikasi penelitian untuk platform industri terkemuka. Dengan keahlian unik yang menggabungkan pengetahuan teknis dan penyampaian cerita, Kumar unggul dalam mengkomunikasikan konsep teknologi yang kompleks kepada beragam audiens dengan cara yang jelas dan menarik.
