Protect AI が既存の AI および ML システムの重大な脆弱性を報告し、オープンソース プロジェクトの保護を促す
簡単に言えば
Protect AI レポートは、AI/ML サプライ チェーン内で使用されるツール (多くの場合オープン ソース) の脆弱性を特定し、独自のセキュリティ上の脅威をもたらします。
Protect AI のレポートによると、AI/ML サプライ チェーン内で使用されるツール (多くの場合オープン ソース) には、特有のセキュリティ上の脅威をもたらす脆弱性があり、これらの脆弱性により、認証されていないリモート コードが実行されたり、ローカル ファイルが取り込まれたりするリスクが生じます。 サイバーセキュリティー AI と ML システムに重点を置いている会社です。
サーバーの乗っ取りから機密情報の盗難に至るまで、さまざまな影響が生じる可能性があると報告書は付け加えた。
レポートではさらに、データ、モデル、認証情報を保護するために、これらの脆弱性を特定して対処するための積極的なアプローチの必要性を強調しています。
Protect AI の取り組みの最前線にあるのは、世界初の AI/ML バグ報奨金プログラムである Hunter で、脆弱性を積極的に探している 13,000 人を超えるメンバーからなるコミュニティに参加しています。この取り組みは、潜在的な脅威に関する重要なインテリジェンスを提供し、安全な AI システムへの迅速な対応を促進することを目的としています。
2023 年 XNUMX 月、同社は、AI/ML オープンソース ソフトウェア (OSS) の保護に特化した AI/ML バグ報奨金プラットフォーム、huntr の立ち上げを発表しました。 基礎モデル、ML システムズ。 Huntr AI/ML バグ報奨金プラットフォームの開始は、Protect AI による Huntr.dev の買収の結果として行われます。
「現在 15,000 名を超えるメンバーを擁する Protect AI のハンターは、AI/ML セキュリティに特化した脅威研究者とハッカーの最大かつ最も集中した集団です。」と Protect AI の社長兼共同創設者であるダリアン デガンピシェ氏は述べています。
「Huntr の運用モデルは、シンプルさ、透明性、報酬に重点を置いています。自動化機能と、保守者向けに脅威の状況を把握するための Protect AI のトリアージ専門知識は、AI のオープンソース ソフトウェアのすべての貢献者がより安全なソフトウェア パッケージを構築するのに役立ちます。 AI システムの安全性と回復力が高まるため、これは最終的にすべてのユーザーに利益をもたらします」とデガンピシェ氏は付け加えました。
レポートで重大な脆弱性が特定される
このレポートでは、先月の Hunter コミュニティの調査結果に焦点を当て、MLflow リモート コード実行、MLflow 任意ファイル上書き、MLflow ローカル ファイル インクルードを含む 3 つの重大な脆弱性を特定しています。
- MLflow リモート コード実行: この欠陥により、サーバーが乗っ取られ、機密情報が失われます。モデルを保存および追跡するためのツールである MLflow には、リモート データ ストレージをプルダウンするために使用されるコードにリモート コード実行の脆弱性がありました。ユーザーはだまされて、ユーザーに代わってコマンドを実行できる悪意のあるリモート データ ソースを使用する可能性があります。
- MLflow の任意のファイルの上書き: この欠陥により、システムの乗っ取り、サービス妨害、データの破壊が発生する可能性があります。ファイル パスが安全であることを検証する MLflow 関数のバイパスが見つかり、悪意のあるユーザーが MLflow サーバー上のファイルをリモートから上書きできるようになりました。これにより、システム上の SSH キーを上書きしたり、次回のユーザー ログイン時に任意のコマンドを実行するように .bashrc ファイルを編集したりするなどの追加手順を伴うリモート コード実行が発生する可能性があります。
- MLflow ローカル ファイル インクルード: この欠陥により機密情報が失われ、システムが乗っ取られる可能性があります。 MLflow は、特定のオペレーティング システムでホストされている場合、機密ファイルの内容を表示するように操作される可能性があり、重要な認証情報がサーバーに保存されている場合、システム乗っ取りの可能性があります。
Protect AIの共同創設者ダリアン・デガンピシェ氏はこう語った。 Metaverse Post, 「AI/ML システムの脆弱性に対処する緊急性は、ビジネスへの影響にかかっています。現代のビジネスにおける AI/ML の重要な役割と潜在的なエクスプロイトの深刻な性質により、ほとんどの組織はこの緊急性が高いと感じるでしょう。 AI/ML システムを保護する際の主な課題は、MLOps ライフサイクル全体のリスクを理解することにあります。」
「これらのリスクを軽減するには、企業は自社の AI および ML システムの脅威モデリングを実施し、危険にさらされる時期を特定し、統合された包括的な MLSecOps プログラム内で適切な制御を実装する必要があります。」と同氏は付け加えました。
Protect AI はレポートの中で、これらの問題に対処することが緊急であることを強調しています。 脆弱性 影響を受ける実稼働プロジェクトを持つユーザーに推奨事項のリストを提供し、潜在的なリスクを軽減するための積極的な姿勢の重要性を強調します。これらの脆弱性を軽減する上で課題に直面しているユーザーは、Protect AI のコミュニティに連絡することをお勧めします。
AI テクノロジーの進歩に伴い、Protect AI は AI/ML システムの複雑なウェブを保護し、人工知能の利点を責任を持って安全に活用できるように取り組んでいます。
免責事項
に沿って トラストプロジェクトのガイドライン, このページで提供される情報は、法律、税金、投資、財務、またはその他の形式のアドバイスを目的としたものではなく、そのように解釈されるべきではないことに注意してください。 損失しても許容できる金額のみを投資し、疑問がある場合は独立した財務上のアドバイスを求めることが重要です。 詳細については、利用規約のほか、発行者または広告主が提供するヘルプおよびサポート ページを参照することをお勧めします。 MetaversePost は正確で公平なレポートに努めていますが、市場の状況は予告なく変更される場合があります。
著者について
Kumar は経験豊富なテクノロジー ジャーナリストであり、AI/ML、マーケティング テクノロジー、および暗号、ブロックチェーン、 NFTs. 業界で 3 年以上の経験を持つクマールは、説得力のある物語を作成し、洞察力に富んだインタビューを実施し、包括的な洞察を提供するという実績を確立してきました。 Kumar の専門知識は、著名な業界プラットフォーム向けの記事、レポート、研究出版物など、影響力の高いコンテンツの作成にあります。 技術的な知識とストーリーテリングを組み合わせた独自のスキルセットを備えたクマールは、複雑な技術概念を明確かつ魅力的な方法で多様な聴衆に伝えることに優れています。
より多くの記事
Kumar は経験豊富なテクノロジー ジャーナリストであり、AI/ML、マーケティング テクノロジー、および暗号、ブロックチェーン、 NFTs. 業界で 3 年以上の経験を持つクマールは、説得力のある物語を作成し、洞察力に富んだインタビューを実施し、包括的な洞察を提供するという実績を確立してきました。 Kumar の専門知識は、著名な業界プラットフォーム向けの記事、レポート、研究出版物など、影響力の高いコンテンツの作成にあります。 技術的な知識とストーリーテリングを組み合わせた独自のスキルセットを備えたクマールは、複雑な技術概念を明確かつ魅力的な方法で多様な聴衆に伝えることに優れています。
