Protect AI relata vulnerabilidades críticas em sistemas existentes de IA e ML e exige proteção de projetos de código aberto
Em Breve
O relatório Protect AI identifica vulnerabilidades em ferramentas usadas na cadeia de suprimentos de IA/ML, geralmente de código aberto, com ameaças de segurança exclusivas.
Existem vulnerabilidades em ferramentas usadas na cadeia de fornecimento de IA/ML, muitas vezes de código aberto, que carregam ameaças de segurança únicas e essas vulnerabilidades representam riscos de execução remota de código não autenticado e inclusão de arquivos locais, de acordo com o relatório da Protect AI – um cíber segurança empresa focada em sistemas de IA e ML.
Isso pode resultar em implicações que vão desde a tomada de controle de servidores até o roubo de informações confidenciais, acrescentou o relatório.
O relatório enfatiza ainda a necessidade de uma abordagem proactiva na identificação e abordagem destas vulnerabilidades para salvaguardar dados, modelos e credenciais.
Na vanguarda dos esforços da Protect AI está o hunter, o primeiro programa de recompensa de bugs de IA/ML do mundo, envolvendo uma comunidade de mais de 13,000 membros em busca ativa de vulnerabilidades. Esta iniciativa visa fornecer informações cruciais sobre potenciais ameaças e facilitar uma resposta rápida a sistemas de IA seguros.
Em agosto de 2023, a empresa anunciou o lançamento do hunter – uma plataforma de recompensa de bugs de IA/ML focada exclusivamente na proteção de software de código aberto (OSS) de IA/ML. modelos fundamentaise Sistemas de ML. O lançamento da plataforma de recompensas de bugs hunter AI/ML é resultado da aquisição do hunter.dev pela Protect AI.
“Com mais de 15,000 membros agora, o caçador da Protect AI é o maior e mais concentrado conjunto de pesquisadores de ameaças e hackers focados exclusivamente na segurança de IA/ML”, Daryan Dehghanpisheh, presidente e cofundador da Protect AI.
“O modelo operacional da Huntr é focado na simplicidade, transparência e recompensas. Os recursos automatizados e a experiência em triagem da Protect AI na contextualização de ameaças para os mantenedores ajudam todos os contribuidores de software de código aberto em IA a construir pacotes de software mais seguros. Em última análise, isto beneficia todos os utilizadores, à medida que os sistemas de IA se tornam mais seguros e resilientes”, acrescentou Dehghanpisheh.
Relatório identifica vulnerabilidades críticas
Destacando as descobertas da comunidade hunter no mês passado, o relatório identifica três vulnerabilidades críticas que incluem MLflow Remote Code Execution, MLflow Arbitrary File Overwrite e MLflow Local File Include.
- Execução remota de código MLflow: A falha resulta no controle do servidor e na perda de informações confidenciais. MLflow, uma ferramenta para armazenar e rastrear modelos, tinha uma vulnerabilidade de execução remota de código no código usado para reduzir o armazenamento remoto de dados. Os usuários podem ser enganados e usar fontes de dados remotas maliciosas que podem executar comandos em nome do usuário.
- Sobregravação arbitrária de arquivo MLflow: A falha tem potencial para controle do sistema, negação de serviço e destruição de dados. Foi encontrado um desvio em uma função MLflow que valida se um caminho de arquivo é seguro, permitindo que um usuário mal-intencionado sobrescreva remotamente arquivos no servidor MLflow. Isso pode levar à execução remota de código com etapas adicionais, como substituir as chaves SSH no sistema ou editar o arquivo .bashrc para executar comandos arbitrários no próximo login do usuário
- O arquivo local do MLflow inclui: A falha resulta na perda de informações confidenciais e no potencial de controle do sistema. O MLflow, quando hospedado em sistemas operacionais específicos, pode ser manipulado para exibir o conteúdo de arquivos confidenciais, representando um caminho potencial para o controle do sistema se credenciais essenciais forem armazenadas no servidor.
O cofundador da Protect AI, Daryan Dehghanpisheh, disse Metaverse Post, “A urgência em abordar as vulnerabilidades do sistema de IA/ML depende do seu impacto nos negócios. Com o papel crítico da IA/ML nos negócios contemporâneos e a natureza severa das explorações potenciais, a maioria das organizações considerará esta urgência elevada. O principal desafio na segurança dos sistemas de IA/ML reside na compreensão dos riscos em todo o ciclo de vida do MLOps.”
“Para mitigar estes riscos, as empresas devem realizar modelos de ameaças para os seus sistemas de IA e ML, identificar janelas de exposição e implementar controlos adequados dentro de um programa MLSecOps integrado e abrangente”, acrescentou.
No seu relatório, a Protect AI enfatiza a urgência de abordar estas vulnerabilidades prontamente e fornece uma lista de recomendações para usuários com projetos afetados em produção, sublinhando a importância de uma postura proativa na mitigação de riscos potenciais. Os usuários que enfrentam desafios para mitigar essas vulnerabilidades são incentivados a entrar em contato com a comunidade da Protect AI.
À medida que a tecnologia de IA avança, a Protect AI está trabalhando para proteger a intrincada rede de sistemas de IA/ML para garantir o aproveitamento responsável e seguro dos benefícios da inteligência artificial.
Aviso Legal
Em linha com a Diretrizes do Projeto Trust, observe que as informações fornecidas nesta página não se destinam e não devem ser interpretadas como aconselhamento jurídico, tributário, de investimento, financeiro ou qualquer outra forma. É importante investir apenas o que você pode perder e procurar aconselhamento financeiro independente se tiver alguma dúvida. Para mais informações, sugerimos consultar os termos e condições, bem como as páginas de ajuda e suporte fornecidas pelo emissor ou anunciante. MetaversePost está comprometida com relatórios precisos e imparciais, mas as condições de mercado estão sujeitas a alterações sem aviso prévio.
Sobre o autor
Kumar é um jornalista de tecnologia experiente com especialização nas interseções dinâmicas de IA/ML, tecnologia de marketing e campos emergentes como criptografia, blockchain e NFTS. Com mais de 3 anos de experiência no setor, Kumar estabeleceu um histórico comprovado na elaboração de narrativas convincentes, na condução de entrevistas perspicazes e no fornecimento de insights abrangentes. A experiência de Kumar reside na produção de conteúdo de alto impacto, incluindo artigos, relatórios e publicações de pesquisa para plataformas importantes do setor. Com um conjunto único de habilidades que combina conhecimento técnico e narrativa, Kumar se destaca na comunicação de conceitos tecnológicos complexos para diversos públicos de maneira clara e envolvente.
Mais artigosKumar é um jornalista de tecnologia experiente com especialização nas interseções dinâmicas de IA/ML, tecnologia de marketing e campos emergentes como criptografia, blockchain e NFTS. Com mais de 3 anos de experiência no setor, Kumar estabeleceu um histórico comprovado na elaboração de narrativas convincentes, na condução de entrevistas perspicazes e no fornecimento de insights abrangentes. A experiência de Kumar reside na produção de conteúdo de alto impacto, incluindo artigos, relatórios e publicações de pesquisa para plataformas importantes do setor. Com um conjunto único de habilidades que combina conhecimento técnico e narrativa, Kumar se destaca na comunicação de conceitos tecnológicos complexos para diversos públicos de maneira clara e envolvente.