Protektahan ang Mga Ulat ng AI sa Mga Kritikal na Kahinaan sa Umiiral na AI at ML Systems, Hinihimok ang Pag-secure ng Mga Open Source na Proyekto
Sa madaling sabi
Tinutukoy ng ulat ng Protect AI ang mga kahinaan sa mga tool na ginagamit sa loob ng AI/ML supply chain, kadalasang Open Source, na may mga natatanging banta sa seguridad.
May mga kahinaan sa mga tool na ginagamit sa loob ng AI/ML supply chain, kadalasang Open Source, na nagdadala ng mga natatanging banta sa seguridad at ang mga kahinaang ito ay nagdudulot ng mga panganib ng hindi napatunayang remote code execution at local file inclusion, ayon sa ulat mula sa Protect AI – isang cybersecurity kumpanyang nakatuon sa AI at ML system.
Maaari itong magresulta sa mga implikasyon mula sa pagkuha ng server hanggang sa pagnanakaw ng sensitibong impormasyon, idinagdag ng ulat.
Ang ulat ay higit na binibigyang-diin ang pangangailangan para sa isang maagap na diskarte sa pagtukoy at pagtugon sa mga kahinaang ito upang pangalagaan ang data, mga modelo, at mga kredensyal.
Nangunguna sa mga pagsisikap ng Protect AI ang huntr, ang unang AI/ML bug bounty program sa buong mundo, na nakikipag-ugnayan sa isang komunidad ng mahigit 13,000 miyembro na aktibong naghahanap ng mga kahinaan. Ang inisyatiba na ito ay naglalayong magbigay ng mahalagang kaalaman sa mga potensyal na banta at mapadali ang isang mabilis na pagtugon sa mga secure na AI system.
Noong Agosto 2023, inihayag ng kumpanya ang paglulunsad ng huntr – isang AI/ML bug bounty platform na eksklusibong nakatuon sa pagprotekta sa AI/ML open-source software (OSS), mga pundasyong modelo, at ML Systems. Ang paglulunsad ng huntr AI/ML bug bounty platform ay resulta ng pagkuha ng huntr.dev ng Protect AI.
"Sa mahigit 15,000 na miyembro ngayon, ang Protect AI's huntr ay ang pinakamalaki at pinakakonsentradong hanay ng mga researcher at hacker ng banta na eksklusibong nakatuon sa seguridad ng AI/ML," Daryan Dehghanpisheh, presidente at co-founder ng Protect AI.
"Ang modelo ng pagpapatakbo ng Huntr ay nakatuon sa pagiging simple, transparency, at mga gantimpala. Ang mga automated na feature at ang triage na kadalubhasaan ng Protect AI sa pagsasaayos ng mga banta sa konteksto para sa mga maintainer ay nakakatulong sa lahat ng nag-aambag ng open-source na software sa AI na bumuo ng mas secure na mga software package. Ito sa huli ay nakikinabang sa lahat ng mga gumagamit, dahil ang mga AI system ay nagiging mas secure at nababanat, "dagdag ni Dehghanpisheh.
Tinutukoy ng Ulat ang Mga Kritikal na Kahinaan
Binibigyang-diin ang mga natuklasan ng komunidad ng huntr noong nakaraang buwan, tinutukoy ng ulat ang tatlong kritikal na kahinaan na kinabibilangan ng MLflow Remote Code Execution, MLflow Arbitrary File Overwrite at MLflow Local File Include.
- MLflow Remote Code Execution: Ang kapintasan ay nagreresulta sa pagkuha ng server at pagkawala ng sensitibong impormasyon. Ang MLflow, isang tool para sa pag-iimbak at pagsubaybay ng mga modelo, ay may kahinaan sa pagpapatupad ng remote code sa code na ginamit upang hilahin pababa ang malayuang imbakan ng data. Maaaring malinlang ang mga user sa paggamit ng malisyosong malayuang data source na maaaring magsagawa ng mga command sa ngalan ng user.
- MLflow Arbitrary File Overwrite: Ang kapintasan ay may potensyal para sa system takeover, pagtanggi sa serbisyo, at pagkasira ng data. May nakitang bypass sa isang MLflow function na nagpapatunay na ligtas ang path ng file, na nagpapahintulot sa isang nakakahamak na user na malayuang mag-overwrite ng mga file sa MLflow server. Ito ay maaaring humantong sa remote code execution na may mga karagdagang hakbang tulad ng pag-overwrite sa mga SSH key sa system o pag-edit ng .bashrc file upang magpatakbo ng mga arbitrary na command sa susunod na pag-login ng user
- MLflow Local File Include: Ang kapintasan ay nagreresulta sa pagkawala ng sensitibong impormasyon at, ang potensyal para sa pagkuha ng system. Ang MLflow, kapag naka-host sa mga partikular na operating system, ay maaaring manipulahin upang ipakita ang mga nilalaman ng mga sensitibong file, na naglalagay ng potensyal na paraan para sa pagkuha ng system kung ang mga mahahalagang kredensyal ay nakaimbak sa server.
Sinabi ng Protect AI's co-founder na si Daryan Dehghanpisheh Metaverse Post, “Nakasalalay sa epekto ng kanilang negosyo ang pagkamadalian sa pagtugon sa mga kahinaan ng AI/ML system. Sa kritikal na papel ng AI/ML sa kontemporaryong negosyo at ang matinding katangian ng mga potensyal na pagsasamantala, makikita ng karamihan sa mga organisasyon ang pangangailangang ito na mataas. Ang pangunahing hamon sa pag-secure ng mga AI/ML system ay nakasalalay sa pag-unawa sa mga panganib sa buong MLOps lifecycle."
"Upang mapagaan ang mga panganib na ito, ang mga kumpanya ay dapat magsagawa ng pagmomodelo ng pagbabanta para sa kanilang mga AI at ML system, tukuyin ang mga window ng pagkakalantad, at ipatupad ang mga angkop na kontrol sa loob ng isang pinagsama-sama at komprehensibong programa ng MLSecOps," dagdag niya.
Sa ulat nito, binibigyang-diin ng Protect AI ang pagkaapurahan ng pagtugon sa mga ito kahinaan kaagad at nagbibigay ng listahan ng mga rekomendasyon para sa mga user na may mga apektadong proyekto sa produksyon, na binibigyang-diin ang kahalagahan ng isang proactive na paninindigan sa pagpapagaan ng mga potensyal na panganib. Hinihikayat ang mga user na nahaharap sa mga hamon sa pagpapagaan sa mga kahinaang ito na makipag-ugnayan sa komunidad ng Protect AI.
Habang umuunlad ang teknolohiya ng AI, nagsusumikap ang Protect AI para ma-secure ang masalimuot na web ng mga AI/ML system para matiyak ang responsable at secure na paggamit ng mga benepisyo ng artificial intelligence.
Pagtanggi sa pananagutan
Sa linya na may Mga alituntunin ng Trust Project, pakitandaan na ang impormasyong ibinigay sa pahinang ito ay hindi nilayon at hindi dapat bigyang-kahulugan bilang legal, buwis, pamumuhunan, pananalapi, o anumang iba pang paraan ng payo. Mahalagang mamuhunan lamang kung ano ang maaari mong mawala at humingi ng independiyenteng payo sa pananalapi kung mayroon kang anumang mga pagdududa. Para sa karagdagang impormasyon, iminumungkahi naming sumangguni sa mga tuntunin at kundisyon pati na rin sa mga pahina ng tulong at suporta na ibinigay ng nagbigay o advertiser. MetaversePost ay nakatuon sa tumpak, walang pinapanigan na pag-uulat, ngunit ang mga kondisyon ng merkado ay maaaring magbago nang walang abiso.
Tungkol sa Ang May-akda
Si Kumar ay isang makaranasang Tech Journalist na may espesyalisasyon sa mga dynamic na intersection ng AI/ML, teknolohiya sa marketing, at mga umuusbong na larangan tulad ng crypto, blockchain, at NFTs. Sa mahigit 3 taong karanasan sa industriya, si Kumar ay nagtatag ng isang napatunayang track record sa paggawa ng mga nakakahimok na salaysay, pagsasagawa ng mga insightful na panayam, at paghahatid ng mga komprehensibong insight. Ang kadalubhasaan ni Kumar ay nakasalalay sa paggawa ng nilalamang may mataas na epekto, kabilang ang mga artikulo, ulat, at mga publikasyong pananaliksik para sa mga kilalang platform ng industriya. Sa isang natatanging hanay ng kasanayan na pinagsasama ang teknikal na kaalaman at pagkukuwento, mahusay si Kumar sa pakikipag-usap ng mga kumplikadong teknolohikal na konsepto sa magkakaibang mga madla sa isang malinaw at nakakaengganyo na paraan.
Mas marami pang artikulo
Si Kumar ay isang makaranasang Tech Journalist na may espesyalisasyon sa mga dynamic na intersection ng AI/ML, teknolohiya sa marketing, at mga umuusbong na larangan tulad ng crypto, blockchain, at NFTs. Sa mahigit 3 taong karanasan sa industriya, si Kumar ay nagtatag ng isang napatunayang track record sa paggawa ng mga nakakahimok na salaysay, pagsasagawa ng mga insightful na panayam, at paghahatid ng mga komprehensibong insight. Ang kadalubhasaan ni Kumar ay nakasalalay sa paggawa ng nilalamang may mataas na epekto, kabilang ang mga artikulo, ulat, at mga publikasyong pananaliksik para sa mga kilalang platform ng industriya. Sa isang natatanging hanay ng kasanayan na pinagsasama ang teknikal na kaalaman at pagkukuwento, mahusay si Kumar sa pakikipag-usap ng mga kumplikadong teknolohikal na konsepto sa magkakaibang mga madla sa isang malinaw at nakakaengganyo na paraan.
