Protejează AI raportează vulnerabilități critice în sistemele AI și ML existente, îndeamnă la securizarea proiectelor cu sursă deschisă
Pe scurt
Raportul Protect AI identifică vulnerabilități în instrumentele utilizate în lanțul de aprovizionare AI/ML, adesea Open Source, cu amenințări unice de securitate.
Există vulnerabilități în instrumentele utilizate în cadrul lanțului de aprovizionare AI/ML, adesea Open Source, care poartă amenințări unice de securitate și aceste vulnerabilități prezintă riscuri de execuție neautentificată a codului de la distanță și includere a fișierelor locale, potrivit raportului de la Protect AI - a securitate cibernetică companie axată pe sisteme AI și ML.
Poate duce la implicații, de la preluarea de servere până la furtul de informații sensibile, a adăugat raportul.
Raportul subliniază în continuare necesitatea unei abordări proactive în identificarea și abordarea acestor vulnerabilități pentru a proteja datele, modelele și acreditările.
În fruntea eforturilor Protect AI se află huntr, primul program de recompense pentru erori AI/ML din lume, care implică o comunitate de peste 13,000 de membri care vânează activ vulnerabilități. Această inițiativă își propune să ofere informații esențiale privind potențialele amenințări și să faciliteze un răspuns rapid la sistemele AI securizate.
În august 2023, compania a anunțat lansarea huntr – o platformă de recompense pentru erori AI/ML concentrată exclusiv pe protejarea software-ului open-source (OSS) AI/ML, modele de bază, și ML Systems. Lansarea platformei huntr AI/ML bug bounty vine ca urmare a achiziției huntr.dev de către Protect AI.
„Cu peste 15,000 de membri acum, vânătorul Protect AI este cel mai mare și mai concentrat set de cercetători ai amenințărilor și hackeri concentrați exclusiv pe securitatea AI/ML”, Daryan Dehghanpisheh, președinte și co-fondator al Protect AI.
„Modelul de operare Huntr este axat pe simplitate, transparență și recompense. Caracteristicile automate și experiența de triaj a Protect AI în contextul amenințărilor pentru întreținerii îi ajută pe toți contribuitorii de software open-source în AI să construiască pachete software mai sigure. Acest lucru îi aduce în cele din urmă beneficii tuturor utilizatorilor, deoarece sistemele AI devin mai sigure și mai rezistente”, a adăugat Dehghanpisheh.
Raportul identifică vulnerabilități critice
Evidențiind constatările comunității huntr din ultima lună, raportul identifică trei vulnerabilități critice care includ MLflow Remote Code Execution, MLflow Arbitrary File Overwrite și MLflow Local File Include.
- Execuția codului de la distanță MLflow: defectul are ca rezultat preluarea serverului și pierderea de informații sensibile. MLflow, un instrument pentru stocarea și urmărirea modelelor, avea o vulnerabilitate de execuție a codului de la distanță în codul folosit pentru a elimina stocarea de date la distanță. Utilizatorii ar putea fi păcăliți să folosească surse de date la distanță rău intenționate care ar putea executa comenzi în numele utilizatorului.
- Suprascrierea fișierului arbitrar MLflow: defecțiunea are potențialul de preluare a sistemului, refuzul serviciului și distrugerea datelor. A fost găsită o ocolire într-o funcție MLflow care validează că o cale de fișier este sigură, permițând unui utilizator rău intenționat să suprascrie de la distanță fișierele de pe serverul MLflow. Acest lucru poate duce la executarea codului de la distanță cu pași suplimentari, cum ar fi suprascrierea cheilor SSH pe sistem sau editarea fișierului .bashrc pentru a rula comenzi arbitrare la următoarea conectare a utilizatorului
- MLflow Local File Include: Defectul are ca rezultat pierderea de informații sensibile și potențialul de preluare a sistemului. MLflow, atunci când este găzduit pe anumite sisteme de operare, poate fi manipulat pentru a afișa conținutul fișierelor sensibile, prezentând o posibilă cale de preluare a sistemului dacă acreditările esențiale sunt stocate pe server.
Daryan Dehghanpisheh, cofondatorul lui Protect AI, a spus Metaverse Post, „Urgența în abordarea vulnerabilităților sistemului AI/ML depinde de impactul lor asupra afacerii. Având în vedere rolul critic al AI/ML în afacerile contemporane și natura severă a potențialelor exploatări, majoritatea organizațiilor vor găsi această urgență ridicată. Principala provocare în securizarea sistemelor AI/ML constă în înțelegerea riscurilor pe parcursul ciclului de viață MLOps.”
„Pentru a atenua aceste riscuri, companiile trebuie să modeleze amenințările pentru sistemele lor AI și ML, să identifice ferestrele de expunere și să implementeze controale adecvate în cadrul unui program MLSecOps integrat și cuprinzător”, a adăugat el.
În raportul său, Protect AI subliniază urgența abordării acestora vulnerabilități prompt și oferă o listă de recomandări pentru utilizatorii cu proiecte afectate în producție, subliniind importanța unei poziții proactive în atenuarea riscurilor potențiale. Utilizatorii care se confruntă cu provocări în atenuarea acestor vulnerabilități sunt încurajați să contacteze comunitatea Protect AI.
Pe măsură ce tehnologia AI avansează, Protect AI lucrează la securizarea rețelei complexe de sisteme AI/ML pentru a asigura valorificarea responsabilă și sigură a beneficiilor inteligenței artificiale.
Declinare a responsabilităţii
În conformitate cu Ghidurile proiectului Trust, vă rugăm să rețineți că informațiile furnizate pe această pagină nu sunt destinate și nu trebuie interpretate ca fiind consiliere juridică, fiscală, investițională, financiară sau orice altă formă de consiliere. Este important să investești doar ceea ce îți poți permite să pierzi și să cauți sfaturi financiare independente dacă ai îndoieli. Pentru informații suplimentare, vă sugerăm să consultați termenii și condițiile, precum și paginile de ajutor și asistență furnizate de emitent sau agent de publicitate. MetaversePost se angajează să raporteze corecte, imparțial, dar condițiile de piață pot fi modificate fără notificare.
Despre autor
Kumar este un jurnalist tehnic cu experiență, cu o specializare în intersecțiile dinamice ale AI/ML, tehnologie de marketing și domenii emergente, cum ar fi cripto, blockchain și NFTs. Cu peste 3 ani de experiență în industrie, Kumar și-a stabilit o experiență dovedită în elaborarea de narațiuni convingătoare, realizarea de interviuri perspicace și furnizarea de informații cuprinzătoare. Expertiza lui Kumar constă în producerea de conținut de mare impact, inclusiv articole, rapoarte și publicații de cercetare pentru platforme proeminente din industrie. Cu un set unic de abilități care combină cunoștințele tehnice și povestirea, Kumar excelează în comunicarea conceptelor tehnologice complexe către diverse audiențe într-o manieră clară și captivantă.
Mai multe articole
Kumar este un jurnalist tehnic cu experiență, cu o specializare în intersecțiile dinamice ale AI/ML, tehnologie de marketing și domenii emergente, cum ar fi cripto, blockchain și NFTs. Cu peste 3 ani de experiență în industrie, Kumar și-a stabilit o experiență dovedită în elaborarea de narațiuni convingătoare, realizarea de interviuri perspicace și furnizarea de informații cuprinzătoare. Expertiza lui Kumar constă în producerea de conținut de mare impact, inclusiv articole, rapoarte și publicații de cercetare pentru platforme proeminente din industrie. Cu un set unic de abilități care combină cunoștințele tehnice și povestirea, Kumar excelează în comunicarea conceptelor tehnologice complexe către diverse audiențe într-o manieră clară și captivantă.
