Protect AI hlási kritické zraniteľnosti v existujúcich systémoch AI a ML, nalieha na zabezpečenie projektov s otvoreným zdrojom
Stručne
Správa Protect AI identifikuje zraniteľné miesta v nástrojoch používaných v rámci dodávateľského reťazca AI/ML, často Open Source, s jedinečnými bezpečnostnými hrozbami.
Existujú zraniteľné miesta v nástrojoch používaných v rámci dodávateľského reťazca AI/ML, často Open Source, ktoré nesú jedinečné bezpečnostné hrozby a tieto zraniteľnosti predstavujú riziko neovereného vzdialeného spustenia kódu a začlenenia lokálneho súboru, uvádza správa Protect AI – a. kyber ochrana spoločnosť zameraná na systémy AI a ML.
Môže to mať dôsledky od prevzatia servera až po krádež citlivých informácií, dodáva správa.
Správa ďalej zdôrazňuje potrebu proaktívneho prístupu pri identifikácii a riešení týchto slabých miest na ochranu údajov, modelov a poverení.
V popredí úsilia Protect AI je huntr, prvý program na odmeňovanie chýb AI/ML na svete, do ktorého sa zapája komunita viac ako 13,000 XNUMX členov, ktorí aktívne hľadajú zraniteľné miesta. Cieľom tejto iniciatívy je poskytnúť kľúčové informácie o potenciálnych hrozbách a uľahčiť rýchlu reakciu na zabezpečené systémy AI.
V auguste 2023 spoločnosť oznámila spustenie huntr – AI/ML bug bounty platformy zameranej výhradne na ochranu AI/ML open-source softvéru (OSS), základné modelya ML Systems. Spustenie platformy bug bounty huntr AI/ML prichádza ako výsledok akvizície huntr.dev spoločnosťou Protect AI.
„S viac ako 15,000 XNUMX členmi je Protect AI huntr najväčšou a najkoncentrovanejšou skupinou výskumníkov hrozieb a hackerov zameraných výlučne na bezpečnosť AI/ML,“ Daryan Dehghanpisheh, prezident a spoluzakladateľ Protect AI.
„Prevádzkový model spoločnosti Huntr je zameraný na jednoduchosť, transparentnosť a odmeny. Automatizované funkcie a odborné znalosti Protect AI v oblasti kontextualizácie hrozieb pre správcov pomáhajú všetkým prispievateľom open source softvéru v AI vytvárať bezpečnejšie softvérové balíky. To je v konečnom dôsledku prospešné pre všetkých používateľov, pretože systémy AI sa stávajú bezpečnejšími a odolnejšími,“ dodal Dehghanpisheh.
Správa identifikuje kritické zraniteľnosti
Správa poukazuje na zistenia komunity hunterov za posledný mesiac a identifikuje tri kritické zraniteľnosti, ktoré zahŕňajú vzdialené spustenie kódu MLflow, prepísanie ľubovoľného súboru MLflow a zahrnutie lokálneho súboru MLflow.
- Vzdialené spustenie kódu MLflow: Chyba má za následok prevzatie servera a stratu citlivých informácií. MLflow, nástroj na ukladanie a sledovanie modelov, mal v kóde, ktorý sa používa na stiahnutie vzdialeného úložiska údajov, chybu zabezpečenia na vzdialené spúšťanie kódu. Používatelia by mohli byť oklamaní používaním škodlivých vzdialených zdrojov údajov, ktoré by mohli vykonávať príkazy v mene používateľa.
- MLflow Arbitrary File Overwrite: Chyba má potenciál na prevzatie systému, odmietnutie služby a zničenie údajov. Našlo sa obídenie funkcie MLflow, ktorá overuje, že cesta k súboru je bezpečná, čo umožňuje používateľovi so zlými úmyslami vzdialene prepisovať súbory na serveri MLflow. To môže viesť k vzdialenému spusteniu kódu s ďalšími krokmi, ako je prepísanie kľúčov SSH v systéme alebo úprava súboru .bashrc na spustenie ľubovoľných príkazov pri ďalšom prihlásení používateľa
- MLflow Local File Include: Chyba má za následok stratu citlivých informácií a možnosť prevzatia systému. MLflow, keď je hosťovaný na špecifických operačných systémoch, je možné manipulovať tak, aby zobrazoval obsah citlivých súborov, čo predstavuje potenciálnu cestu na prevzatie systému, ak sú na serveri uložené základné poverenia.
Povedal to spoluzakladateľ spoločnosti Protect AI Daryan Dehghanpisheh Metaverse Post„Naliehavosť pri riešení systémových zraniteľností AI/ML závisí od ich obchodného dopadu. Vzhľadom na kritickú úlohu AI/ML v súčasnom podnikaní a závažnú povahu potenciálneho zneužitia bude väčšina organizácií považovať túto naliehavosť za vysokú. Primárna výzva pri zabezpečení systémov AI/ML spočíva v pochopení rizík počas životného cyklu MLOps.
„Na zmiernenie týchto rizík musia spoločnosti vykonávať modelovanie hrozieb pre svoje systémy AI a ML, identifikovať okná expozície a implementovať vhodné kontroly v rámci integrovaného a komplexného programu MLSecOps,“ dodal.
Protect AI vo svojej správe zdôrazňuje naliehavosť riešenia týchto problémov zraniteľnosti okamžite a poskytuje zoznam odporúčaní pre používateľov s dotknutými projektmi vo výrobe, pričom zdôrazňuje dôležitosť proaktívneho postoja pri zmierňovaní potenciálnych rizík. Používateľom, ktorí čelia problémom pri zmierňovaní týchto zraniteľností, odporúčame obrátiť sa na komunitu Protect AI.
Ako technológia AI napreduje, Protect AI pracuje na zabezpečení zložitej siete systémov AI/ML, aby sa zabezpečilo zodpovedné a bezpečné využívanie výhod umelej inteligencie.
Vylúčenie zodpovednosti
V súlade s Pokyny k projektu Trust, uvedomte si, že informácie uvedené na tejto stránke nie sú zamýšľané a nemali by byť interpretované ako právne, daňové, investičné, finančné alebo iné formy poradenstva. Je dôležité investovať len toľko, koľko si môžete dovoliť stratiť a v prípade akýchkoľvek pochybností vyhľadať nezávislé finančné poradenstvo. Ak chcete získať ďalšie informácie, odporúčame vám pozrieť si zmluvné podmienky, ako aj stránky pomoci a podpory poskytnuté vydavateľom alebo inzerentom. MetaversePost sa zaviazala poskytovať presné a nezaujaté správy, ale podmienky na trhu sa môžu zmeniť bez upozornenia.
O autorovi
Kumar je skúsený technický novinár so špecializáciou na dynamické prieniky AI/ML, marketingových technológií a nových oblastí, ako sú krypto, blockchain a NFTs. S viac ako 3-ročnými skúsenosťami v tomto odvetví má Kumar preukázané výsledky pri vytváraní pútavých príbehov, vedení dômyselných rozhovorov a poskytovaní komplexných poznatkov. Kumarova odbornosť spočíva vo vytváraní vysoko účinného obsahu vrátane článkov, správ a výskumných publikácií pre prominentné priemyselné platformy. Vďaka jedinečnému súboru zručností, ktorý kombinuje technické znalosti a rozprávanie príbehov, Kumar vyniká v komunikácii zložitých technologických konceptov pre rôzne publikum jasným a pútavým spôsobom.
Ďalšie články
Kumar je skúsený technický novinár so špecializáciou na dynamické prieniky AI/ML, marketingových technológií a nových oblastí, ako sú krypto, blockchain a NFTs. S viac ako 3-ročnými skúsenosťami v tomto odvetví má Kumar preukázané výsledky pri vytváraní pútavých príbehov, vedení dômyselných rozhovorov a poskytovaní komplexných poznatkov. Kumarova odbornosť spočíva vo vytváraní vysoko účinného obsahu vrátane článkov, správ a výskumných publikácií pre prominentné priemyselné platformy. Vďaka jedinečnému súboru zručností, ktorý kombinuje technické znalosti a rozprávanie príbehov, Kumar vyniká v komunikácii zložitých technologických konceptov pre rôzne publikum jasným a pútavým spôsobom.
