ปกป้อง AI รายงานช่องโหว่ที่สำคัญในระบบ AI และ ML ที่มีอยู่ กระตุ้นให้มีการรักษาความปลอดภัยโครงการโอเพ่นซอร์ส
ในบทสรุป
รายงานปกป้อง AI ระบุช่องโหว่ในเครื่องมือที่ใช้ในห่วงโซ่อุปทาน AI/ML ซึ่งมักเป็นโอเพ่นซอร์ส พร้อมด้วยภัยคุกคามด้านความปลอดภัยที่เป็นเอกลักษณ์
มีช่องโหว่ในเครื่องมือที่ใช้ในห่วงโซ่อุปทาน AI/ML ซึ่งมักเป็นโอเพ่นซอร์ส ซึ่งมีภัยคุกคามด้านความปลอดภัยเฉพาะ และช่องโหว่เหล่านี้ก่อให้เกิดความเสี่ยงของการเรียกใช้โค้ดจากระยะไกลที่ไม่ได้รับการรับรองความถูกต้องและการรวมไฟล์ในเครื่อง ตามรายงานจาก Protect AI โลกไซเบอร์ บริษัทเน้นระบบ AI และ ML
รายงานดังกล่าวอาจส่งผลให้เกิดผลกระทบตั้งแต่การยึดเซิร์ฟเวอร์ไปจนถึงการขโมยข้อมูลที่ละเอียดอ่อน
รายงานยังเน้นย้ำถึงความจำเป็นสำหรับแนวทางเชิงรุกในการระบุและแก้ไขช่องโหว่เหล่านี้เพื่อปกป้องข้อมูล แบบจำลอง และข้อมูลประจำตัว
ความพยายามระดับแนวหน้าของ Protect AI คือนักล่า ซึ่งเป็นโปรแกรมรางวัลบั๊ก AI/ML โปรแกรมแรกของโลกที่มีส่วนร่วมกับชุมชนที่มีสมาชิกมากกว่า 13,000 รายที่กำลังค้นหาช่องโหว่อย่างแข็งขัน โครงการริเริ่มนี้มีจุดมุ่งหมายเพื่อให้ข้อมูลข่าวกรองที่สำคัญเกี่ยวกับภัยคุกคามที่อาจเกิดขึ้น และอำนวยความสะดวกในการตอบสนองอย่างรวดเร็วต่อระบบ AI ที่ปลอดภัย
ในเดือนสิงหาคม ปี 2023 บริษัทได้ประกาศเปิดตัว Huntr ซึ่งเป็นแพลตฟอร์มรางวัลข้อบกพร่องของ AI/ML ที่เน้นไปที่การปกป้องซอฟต์แวร์โอเพ่นซอร์ส (OSS) ของ AI/ML โดยเฉพาะ โมเดลพื้นฐานและระบบ ML การเปิดตัวแพลตฟอร์มล่าจุดบกพร่องของ huntr AI/ML เกิดขึ้นภายหลังจากการเข้าซื้อกิจการของ huntr.dev โดย Protect AI
“ด้วยสมาชิกมากกว่า 15,000 คนในขณะนี้ ผู้ล่าของ Protect AI คือกลุ่มนักวิจัยและแฮกเกอร์ภัยคุกคามที่ใหญ่ที่สุดและเข้มข้นที่สุดที่มุ่งเน้นด้านความปลอดภัยของ AI/ML โดยเฉพาะ” Daryan Dehghanpisheh ประธานและผู้ร่วมก่อตั้ง Protect AI
“รูปแบบการดำเนินงานของ Huntr มุ่งเน้นไปที่ความเรียบง่าย ความโปร่งใส และผลตอบแทน คุณสมบัติอัตโนมัติและความเชี่ยวชาญด้านการป้องกันของ AI ในการกำหนดบริบทภัยคุกคามสำหรับผู้ดูแล ช่วยให้ผู้มีส่วนร่วมในซอฟต์แวร์โอเพ่นซอร์สใน AI ทุกคนสามารถสร้างแพ็คเกจซอฟต์แวร์ที่ปลอดภัยยิ่งขึ้น สิ่งนี้จะเป็นประโยชน์ต่อผู้ใช้ทุกคนในท้ายที่สุด เนื่องจากระบบ AI มีความปลอดภัยและยืดหยุ่นมากขึ้น” Dehghanpisheh กล่าวเสริม
รายงานระบุช่องโหว่ที่สำคัญ
รายงานดังกล่าวเน้นย้ำถึงการค้นพบของชุมชนนักล่าในเดือนที่ผ่านมา โดยระบุช่องโหว่ที่สำคัญ 3 รายการซึ่งรวมถึงการเรียกใช้โค้ดระยะไกลของ MLflow, การเขียนทับไฟล์โดยอำเภอใจของ MLflow และการรวมไฟล์ในเครื่องของ MLflow
- การดำเนินการโค้ดระยะไกลของ MLflow: ข้อบกพร่องส่งผลให้เกิดการครอบครองเซิร์ฟเวอร์และการสูญเสียข้อมูลที่ละเอียดอ่อน MLflow ซึ่งเป็นเครื่องมือสำหรับจัดเก็บและติดตามโมเดล มีช่องโหว่ในการเรียกใช้โค้ดจากระยะไกลในโค้ดที่ใช้ในการดึงพื้นที่จัดเก็บข้อมูลระยะไกล ผู้ใช้อาจถูกหลอกให้ใช้แหล่งข้อมูลระยะไกลที่เป็นอันตรายซึ่งสามารถรันคำสั่งในนามของผู้ใช้ได้
- การเขียนทับไฟล์โดยพลการของ MLflow: ข้อบกพร่องดังกล่าวมีโอกาสที่จะเข้าครอบครองระบบ การปฏิเสธการให้บริการ และการทำลายข้อมูล การเลี่ยงผ่านในฟังก์ชัน MLflow ซึ่งตรวจสอบว่าพบเส้นทางของไฟล์ที่ปลอดภัย ทำให้ผู้ใช้ที่เป็นอันตรายสามารถเขียนทับไฟล์จากระยะไกลบนเซิร์ฟเวอร์ MLflow ได้ ซึ่งอาจนำไปสู่การเรียกใช้โค้ดจากระยะไกลด้วยขั้นตอนเพิ่มเติม เช่น การเขียนทับคีย์ SSH บนระบบ หรือการแก้ไขไฟล์ .bashrc เพื่อรันคำสั่งที่กำหนดเองเมื่อผู้ใช้เข้าสู่ระบบครั้งถัดไป
- รวมไฟล์ในเครื่อง MLflow: ข้อบกพร่องส่งผลให้สูญเสียข้อมูลที่ละเอียดอ่อน และอาจนำไปสู่การครอบครองระบบ เมื่อโฮสต์บนระบบปฏิบัติการเฉพาะ MLflow สามารถจัดการเพื่อแสดงเนื้อหาของไฟล์ที่ละเอียดอ่อนได้ ทำให้เกิดช่องทางที่เป็นไปได้ในการเข้าครอบครองระบบ หากมีการจัดเก็บข้อมูลประจำตัวที่จำเป็นไว้บนเซิร์ฟเวอร์
Daryan Dehghanpisheh ผู้ร่วมก่อตั้งของ Protect AI กล่าว Metaverse Post“ความเร่งด่วนในการจัดการกับช่องโหว่ของระบบ AI/ML ขึ้นอยู่กับผลกระทบทางธุรกิจ ด้วยบทบาทที่สำคัญของ AI/ML ในธุรกิจร่วมสมัยและลักษณะที่รุนแรงของการหาประโยชน์ที่อาจเกิดขึ้น องค์กรส่วนใหญ่จะพบว่ามีความเร่งด่วนนี้อยู่ในระดับสูง ความท้าทายหลักในการรักษาความปลอดภัยระบบ AI/ML อยู่ที่การเข้าใจความเสี่ยงตลอดวงจรชีวิตของ MLOps”
“เพื่อลดความเสี่ยงเหล่านี้ บริษัทต่างๆ จะต้องดำเนินการสร้างแบบจำลองภัยคุกคามสำหรับระบบ AI และ ML ระบุกรอบเวลาความเสี่ยง และใช้การควบคุมที่เหมาะสมภายในโปรแกรม MLSecOps ที่บูรณาการและครอบคลุม” เขากล่าวเสริม
ในรายงาน Protect AI เน้นย้ำถึงความเร่งด่วนในการแก้ไขปัญหาเหล่านี้ ช่องโหว่ ทันทีและจัดทำรายการคำแนะนำสำหรับผู้ใช้ที่มีโครงการที่ได้รับผลกระทบในการผลิต โดยเน้นย้ำถึงความสำคัญของจุดยืนเชิงรุกในการลดความเสี่ยงที่อาจเกิดขึ้น ผู้ใช้ที่เผชิญกับความท้าทายในการบรรเทาช่องโหว่เหล่านี้ได้รับการสนับสนุนให้ติดต่อเพื่อปกป้องชุมชนของ AI
ในขณะที่เทคโนโลยี AI ก้าวหน้า Protect AI กำลังทำงานเพื่อรักษาความปลอดภัยของเว็บที่ซับซ้อนของระบบ AI/ML เพื่อให้มั่นใจว่าสามารถควบคุมประโยชน์ของปัญญาประดิษฐ์ได้อย่างมีความรับผิดชอบและปลอดภัย
ข้อจำกัดความรับผิดชอบ
สอดคล้องกับ แนวทางโครงการที่เชื่อถือได้โปรดทราบว่าข้อมูลที่ให้ไว้ในหน้านี้ไม่ได้มีจุดมุ่งหมายและไม่ควรตีความว่าเป็นคำแนะนำทางกฎหมาย ภาษี การลงทุน การเงิน หรือรูปแบบอื่นใด สิ่งสำคัญคือต้องลงทุนเฉพาะในสิ่งที่คุณสามารถที่จะสูญเสียได้ และขอคำแนะนำทางการเงินที่เป็นอิสระหากคุณมีข้อสงสัยใดๆ สำหรับข้อมูลเพิ่มเติม เราขอแนะนำให้อ้างอิงข้อกำหนดและเงื่อนไขตลอดจนหน้าช่วยเหลือและสนับสนุนที่ผู้ออกหรือผู้ลงโฆษณาให้ไว้ MetaversePost มุ่งมั่นที่จะรายงานที่ถูกต้องและเป็นกลาง แต่สภาวะตลาดอาจมีการเปลี่ยนแปลงได้โดยไม่ต้องแจ้งให้ทราบล่วงหน้า
เกี่ยวกับผู้เขียน
Kumar เป็นนักข่าวเทคโนโลยีที่มีประสบการณ์ โดยมีความเชี่ยวชาญเฉพาะด้านในการผสมผสานแบบไดนามิกของ AI/ML เทคโนโลยีการตลาด และสาขาเกิดใหม่ เช่น คริปโต บล็อกเชน และ NFTส. ด้วยประสบการณ์กว่า 3 ปีในอุตสาหกรรมนี้ Kumar ได้สร้างผลงานที่ได้รับการพิสูจน์แล้วในด้านการสร้างสรรค์เรื่องราวที่น่าสนใจ การสัมภาษณ์เชิงลึก และการนำเสนอข้อมูลเชิงลึกที่ครอบคลุม ความเชี่ยวชาญของ Kumar อยู่ที่การผลิตเนื้อหาที่มีผลกระทบสูง รวมถึงบทความ รายงาน และสิ่งพิมพ์วิจัยสำหรับแพลตฟอร์มอุตสาหกรรมที่โดดเด่น ด้วยชุดทักษะเฉพาะตัวที่ผสมผสานความรู้ทางเทคนิคและการเล่าเรื่อง Kumar มีความเป็นเลิศในการสื่อสารแนวคิดทางเทคโนโลยีที่ซับซ้อนไปยังผู้ชมที่หลากหลายในลักษณะที่ชัดเจนและมีส่วนร่วม
บทความอื่น ๆKumar เป็นนักข่าวเทคโนโลยีที่มีประสบการณ์ โดยมีความเชี่ยวชาญเฉพาะด้านในการผสมผสานแบบไดนามิกของ AI/ML เทคโนโลยีการตลาด และสาขาเกิดใหม่ เช่น คริปโต บล็อกเชน และ NFTส. ด้วยประสบการณ์กว่า 3 ปีในอุตสาหกรรมนี้ Kumar ได้สร้างผลงานที่ได้รับการพิสูจน์แล้วในด้านการสร้างสรรค์เรื่องราวที่น่าสนใจ การสัมภาษณ์เชิงลึก และการนำเสนอข้อมูลเชิงลึกที่ครอบคลุม ความเชี่ยวชาญของ Kumar อยู่ที่การผลิตเนื้อหาที่มีผลกระทบสูง รวมถึงบทความ รายงาน และสิ่งพิมพ์วิจัยสำหรับแพลตฟอร์มอุตสาหกรรมที่โดดเด่น ด้วยชุดทักษะเฉพาะตัวที่ผสมผสานความรู้ทางเทคนิคและการเล่าเรื่อง Kumar มีความเป็นเลิศในการสื่อสารแนวคิดทางเทคโนโลยีที่ซับซ้อนไปยังผู้ชมที่หลากหลายในลักษณะที่ชัดเจนและมีส่วนร่วม