Protect AI rapporterar kritiska sårbarheter i befintliga AI- och ML-system, uppmanar till att säkra projekt med öppen källkod
I korthet
Rapporten Protect AI identifierar sårbarheter i verktyg som används inom AI/ML-försörjningskedjan, ofta öppen källkod, med unika säkerhetshot.
Det finns sårbarheter i verktyg som används inom AI/ML-försörjningskedjan, ofta öppen källkod, med unika säkerhetshot och dessa sårbarheter utgör risker för oautentiserad fjärrkörning av kod och lokal filinkludering, enligt rapporten från Protect AI – en Cybersäkerhet företag fokuserat på AI- och ML-system.
Det kan resultera i konsekvenser som sträcker sig från serverövertaganden till stöld av känslig information, tillade rapporten.
Rapporten betonar vidare nödvändigheten av ett proaktivt tillvägagångssätt för att identifiera och åtgärda dessa sårbarheter för att skydda data, modeller och referenser.
I spetsen för Protect AI:s ansträngningar är huntr, världens första AI/ML-bugbounty-program, som engagerar en community med över 13,000 XNUMX medlemmar som aktivt jagar efter sårbarheter. Detta initiativ syftar till att tillhandahålla avgörande underrättelser om potentiella hot och underlätta ett snabbt svar på säkra AI-system.
I augusti 2023 tillkännagav företaget lanseringen av huntr – en AI/ML bug bounty-plattform som uteslutande fokuserar på att skydda AI/ML open source-programvara (OSS), grundläggande modelleroch ML Systems. Lanseringen av huntr AI/ML bug bounty-plattformen kommer som ett resultat av förvärvet av huntr.dev av Protect AI.
"Med över 15,000 XNUMX medlemmar nu är Protect AIs huntr den största och mest koncentrerade uppsättningen hotforskare och hackare som uteslutande fokuserar på AI/ML-säkerhet," Daryan Dehghanpisheh, president och medgrundare av Protect AI.
"Huntrs verksamhetsmodell är fokuserad på enkelhet, transparens och belöningar. De automatiserade funktionerna och Protect AI:s triageexpertis i att kontextualisera hot för underhållare hjälper alla bidragsgivare till öppen källkod i AI att bygga säkrare programvarupaket. Detta gynnar i slutändan alla användare, eftersom AI-system blir säkrare och mer motståndskraftiga”, tillade Dehghanpisheh.
Rapporten identifierar kritiska sårbarheter
Rapporten lyfter fram resultaten av huntr-gemenskapen under den senaste månaden och identifierar tre kritiska sårbarheter som inkluderar MLflow Remote Code Execution, MLflow Arbitrary File Overwrite och MLflow Local File Include.
- MLflow Remote Code Execution: Felet resulterar i serverövertagande och förlust av känslig information. MLflow, ett verktyg för att lagra och spåra modeller, hade en sårbarhet för exekvering av fjärrkod i koden som användes för att dra ner fjärrdatalagring. Användare kan luras att använda skadliga fjärrdatakällor som kan utföra kommandon för användarens räkning.
- MLflow godtycklig filöverskrivning: Felet har potential för systemövertagande, denial of service och förstörelse av data. En förbikoppling i en MLflow-funktion som validerar att en filsökväg är säker hittades, vilket gör det möjligt för en illvillig användare att fjärrskriva över filer på MLflow-servern. Detta kan leda till fjärrkörning av kod med ytterligare steg som att skriva över SSH-nycklarna på systemet eller redigera .bashrc-filen för att köra godtyckliga kommandon vid nästa användarinloggning
- MLflow Local File Include: Felet resulterar i förlust av känslig information och risken för systemövertagande. MLflow, när det finns på specifika operativsystem, kan manipuleras för att visa innehållet i känsliga filer, vilket utgör en potentiell väg för systemövertagande om viktiga referenser lagras på servern.
Protect AI:s medgrundare Daryan Dehghanpisheh berättade Metaverse Post, "Att åtgärda sårbarheter i AI/ML-system beror på deras affärseffekt. Med AI/ML:s kritiska roll i modern verksamhet och den allvarliga karaktären hos potentiella utnyttjande, kommer de flesta organisationer att tycka att detta är mycket brådskande. Den primära utmaningen med att säkra AI/ML-system ligger i att förstå risker över MLO:s livscykel."
"För att mildra dessa risker måste företag genomföra hotmodeller för sina AI- och ML-system, identifiera exponeringsfönster och implementera lämpliga kontroller inom ett integrerat och omfattande MLSecOps-program", tillade han.
I sin rapport betonar Protect AI hur brådskande det är att ta itu med dessa sårbarheter snabbt och ger en lista med rekommendationer för användare med berörda projekt i produktionen, vilket understryker vikten av en proaktiv hållning för att mildra potentiella risker. Användare som står inför utmaningar för att mildra dessa sårbarheter uppmuntras att nå ut till Protect AI:s community.
I takt med att AI-tekniken går framåt arbetar Protect AI för att säkra det intrikata nätet av AI/ML-system för att säkerställa en ansvarsfull och säker utnyttjande av fördelarna med artificiell intelligens.
Villkor
I linje med den Riktlinjer för Trust Project, vänligen notera att informationen på den här sidan inte är avsedd att vara och inte ska tolkas som juridisk, skattemässig, investerings-, finansiell eller någon annan form av rådgivning. Det är viktigt att bara investera det du har råd att förlora och att söka oberoende finansiell rådgivning om du har några tvivel. För ytterligare information föreslår vi att du hänvisar till villkoren samt hjälp- och supportsidorna som tillhandahålls av utfärdaren eller annonsören. MetaversePost är engagerad i korrekt, opartisk rapportering, men marknadsförhållandena kan ändras utan föregående meddelande.
Om författaren
Kumar är en erfaren teknisk journalist med specialisering på de dynamiska skärningspunkterna mellan AI/ML, marknadsföringsteknologi och framväxande områden som krypto, blockchain och NFTs. Med över 3 års erfarenhet i branschen har Kumar etablerat en bevisad meritlista i att skapa övertygande berättelser, genomföra insiktsfulla intervjuer och leverera omfattande insikter. Kumars expertis ligger i att producera innehåll med hög effekt, inklusive artiklar, rapporter och forskningspublikationer för framstående industriplattformar. Med en unik kompetens som kombinerar teknisk kunskap och berättande, utmärker Kumar sig på att kommunicera komplexa tekniska koncept till olika publik på ett tydligt och engagerande sätt.
fler artiklarKumar är en erfaren teknisk journalist med specialisering på de dynamiska skärningspunkterna mellan AI/ML, marknadsföringsteknologi och framväxande områden som krypto, blockchain och NFTs. Med över 3 års erfarenhet i branschen har Kumar etablerat en bevisad meritlista i att skapa övertygande berättelser, genomföra insiktsfulla intervjuer och leverera omfattande insikter. Kumars expertis ligger i att producera innehåll med hög effekt, inklusive artiklar, rapporter och forskningspublikationer för framstående industriplattformar. Med en unik kompetens som kombinerar teknisk kunskap och berättande, utmärker Kumar sig på att kommunicera komplexa tekniska koncept till olika publik på ett tydligt och engagerande sätt.