Lindungi AI Melaporkan Kerentanan Kritikal dalam Sistem AI dan ML Sedia Ada, Mendesak Menjaga Projek Sumber Terbuka
Secara ringkas
Laporan Lindungi AI mengenal pasti kelemahan dalam alatan yang digunakan dalam rantaian bekalan AI/ML, selalunya Sumber Terbuka, dengan ancaman keselamatan yang unik.
Terdapat kelemahan dalam alatan yang digunakan dalam rantaian bekalan AI/ML, selalunya Sumber Terbuka, membawa ancaman keselamatan yang unik dan kelemahan ini menimbulkan risiko pelaksanaan kod jauh yang tidak disahkan dan kemasukan fail tempatan, menurut laporan daripada Protect AI – a keselamatan siber syarikat memberi tumpuan kepada sistem AI dan ML.
Ia boleh mengakibatkan implikasi daripada pengambilalihan pelayan kepada pencurian maklumat sensitif, tambah laporan itu.
Laporan itu selanjutnya menekankan keperluan untuk pendekatan proaktif dalam mengenal pasti dan menangani kelemahan ini untuk melindungi data, model dan kelayakan.
Di barisan hadapan dalam usaha Protect AI ialah huntr, program hadiah pepijat AI/ML pertama di dunia, melibatkan komuniti lebih 13,000 ahli secara aktif memburu kelemahan. Inisiatif ini bertujuan untuk menyediakan perisikan penting mengenai potensi ancaman dan memudahkan tindak balas pantas untuk melindungi sistem AI.
Pada Ogos 2023, syarikat itu mengumumkan pelancaran huntr – platform hadiah pepijat AI/ML yang tertumpu secara eksklusif untuk melindungi perisian sumber terbuka (OSS) AI/ML. model asas, dan Sistem ML. Pelancaran platform bounty bug huntr AI/ML datang hasil daripada pemerolehan huntr.dev oleh Protect AI.
"Dengan lebih 15,000 ahli sekarang, Protect AI's huntr ialah set penyelidik dan penggodam ancaman terbesar dan paling tertumpu yang memberi tumpuan secara eksklusif pada keselamatan AI/ML," Daryan Dehghanpisheh, presiden dan pengasas bersama Protect AI.
"Model pengendalian Huntr tertumpu pada kesederhanaan, ketelusan dan ganjaran. Ciri automatik dan kepakaran triage Protect AI dalam mengkontekstualisasikan ancaman bagi penyelenggara membantu semua penyumbang perisian sumber terbuka dalam AI untuk membina pakej perisian yang lebih selamat. Ini akhirnya memberi manfaat kepada semua pengguna, kerana sistem AI menjadi lebih selamat dan berdaya tahan,” tambah Dehghanpisheh.
Laporan Mengenalpasti Kerentanan Kritikal
Menyerlahkan penemuan komuniti pemburu pada bulan lalu, laporan itu mengenal pasti tiga kelemahan kritikal yang termasuk Pelaksanaan Kod Jauh MLflow, Tulis Ganti Fail Arbitrari MLflow dan Sertakan Fail Tempatan MLflow.
- Pelaksanaan Kod Jauh MLflow: Kecacatan mengakibatkan pengambilalihan pelayan dan kehilangan maklumat sensitif. MLflow, alat untuk menyimpan dan menjejak model, mempunyai kelemahan pelaksanaan kod jauh dalam kod yang digunakan untuk menurunkan storan data jauh. Pengguna boleh tertipu menggunakan sumber data jauh berniat jahat yang boleh melaksanakan arahan bagi pihak pengguna.
- Penimpaan Fail Arbitrari MLflow: Kepincangan ini berpotensi untuk mengambil alih sistem, penafian perkhidmatan dan pemusnahan data. Pintasan dalam fungsi MLflow yang mengesahkan bahawa laluan fail selamat ditemui, membenarkan pengguna berniat jahat untuk menulis ganti fail dari jauh pada pelayan MLflow. Ini boleh membawa kepada pelaksanaan kod jauh dengan langkah tambahan seperti menimpa kekunci SSH pada sistem atau mengedit fail .bashrc untuk menjalankan arahan sewenang-wenangnya semasa log masuk pengguna seterusnya
- Fail Tempatan MLflow Termasuk: Kepincangan mengakibatkan kehilangan maklumat sensitif dan, potensi untuk mengambil alih sistem. MLflow, apabila dihoskan pada sistem pengendalian tertentu, boleh dimanipulasi untuk memaparkan kandungan fail sensitif, menimbulkan peluang untuk mengambil alih sistem jika bukti kelayakan penting disimpan pada pelayan.
Kata pengasas bersama Protect AI Daryan Dehghanpisheh Metaverse Post, “Kedekatan dalam menangani kelemahan sistem AI/ML bergantung pada kesan perniagaan mereka. Dengan peranan penting AI/ML dalam perniagaan kontemporari dan sifat potensi eksploitasi yang teruk, kebanyakan organisasi akan mendapati keperluan mendesak ini tinggi. Cabaran utama dalam mendapatkan sistem AI/ML terletak pada memahami risiko merentasi kitaran hayat MLOps."
“Untuk mengurangkan risiko ini, syarikat mesti menjalankan pemodelan ancaman untuk sistem AI dan ML mereka, mengenal pasti tingkap pendedahan, dan melaksanakan kawalan yang sesuai dalam program MLSecOps bersepadu dan komprehensif,” tambahnya.
Dalam laporannya, Protect AI menekankan keperluan mendesak untuk menangani perkara ini kelemahan segera dan menyediakan senarai cadangan untuk pengguna dengan projek yang terjejas dalam pengeluaran, menggariskan kepentingan pendirian proaktif dalam mengurangkan potensi risiko. Pengguna yang menghadapi cabaran dalam mengurangkan kelemahan ini digalakkan untuk mendekati komuniti Protect AI.
Seiring dengan kemajuan teknologi AI, Protect AI sedang berusaha untuk melindungi web sistem AI/ML yang rumit untuk memastikan penggunaan yang bertanggungjawab dan selamat bagi faedah kecerdasan buatan.
Penafian
Selaras dengan Garis panduan Projek Amanah, sila ambil perhatian bahawa maklumat yang diberikan pada halaman ini tidak bertujuan untuk menjadi dan tidak seharusnya ditafsirkan sebagai nasihat undang-undang, cukai, pelaburan, kewangan atau sebarang bentuk nasihat lain. Adalah penting untuk hanya melabur apa yang anda mampu kehilangan dan mendapatkan nasihat kewangan bebas jika anda mempunyai sebarang keraguan. Untuk maklumat lanjut, kami mencadangkan merujuk kepada terma dan syarat serta halaman bantuan dan sokongan yang disediakan oleh pengeluar atau pengiklan. MetaversePost komited kepada laporan yang tepat dan tidak berat sebelah, tetapi keadaan pasaran tertakluk kepada perubahan tanpa notis.
Tentang Pengarang
Kumar ialah seorang Wartawan Teknologi berpengalaman dengan pengkhususan dalam persimpangan dinamik AI/ML, teknologi pemasaran dan bidang baru muncul seperti crypto, blockchain dan NFTs. Dengan lebih 3 tahun pengalaman dalam industri, Kumar telah mencipta rekod prestasi yang terbukti dalam mencipta naratif yang menarik, menjalankan temu bual yang berwawasan dan menyampaikan pandangan yang komprehensif. Kepakaran Kumar terletak dalam menghasilkan kandungan berimpak tinggi, termasuk artikel, laporan dan penerbitan penyelidikan untuk platform industri terkemuka. Dengan set kemahiran unik yang menggabungkan pengetahuan teknikal dan penceritaan, Kumar cemerlang dalam menyampaikan konsep teknologi yang kompleks kepada khalayak yang pelbagai dengan cara yang jelas dan menarik.
lebih banyak artikel
Kumar ialah seorang Wartawan Teknologi berpengalaman dengan pengkhususan dalam persimpangan dinamik AI/ML, teknologi pemasaran dan bidang baru muncul seperti crypto, blockchain dan NFTs. Dengan lebih 3 tahun pengalaman dalam industri, Kumar telah mencipta rekod prestasi yang terbukti dalam mencipta naratif yang menarik, menjalankan temu bual yang berwawasan dan menyampaikan pandangan yang komprehensif. Kepakaran Kumar terletak dalam menghasilkan kandungan berimpak tinggi, termasuk artikel, laporan dan penerbitan penyelidikan untuk platform industri terkemuka. Dengan set kemahiran unik yang menggabungkan pengetahuan teknikal dan penceritaan, Kumar cemerlang dalam menyampaikan konsep teknologi yang kompleks kepada khalayak yang pelbagai dengan cara yang jelas dan menarik.
