Bảo vệ các báo cáo AI về các lỗ hổng nghiêm trọng trong các hệ thống AI và ML hiện có, kêu gọi bảo mật các dự án nguồn mở
Tóm lại
Báo cáo Protect AI xác định các lỗ hổng trong các công cụ được sử dụng trong chuỗi cung ứng AI/ML, thường là Nguồn mở, với các mối đe dọa bảo mật riêng.
Theo báo cáo của Protect AI – a an ninh mạng công ty tập trung vào hệ thống AI và ML.
Báo cáo cho biết thêm, nó có thể dẫn đến những hệ lụy từ việc tiếp quản máy chủ đến đánh cắp thông tin nhạy cảm.
Báo cáo nhấn mạnh thêm sự cần thiết của cách tiếp cận chủ động trong việc xác định và giải quyết các lỗ hổng này để bảo vệ dữ liệu, mô hình và thông tin xác thực.
Đi đầu trong các nỗ lực của Protect AI là Hunter, chương trình thưởng lỗi AI/ML đầu tiên trên thế giới, thu hút cộng đồng hơn 13,000 thành viên tích cực tìm kiếm các lỗ hổng. Sáng kiến này nhằm mục đích cung cấp thông tin quan trọng về các mối đe dọa tiềm ẩn và tạo điều kiện phản ứng nhanh chóng cho các hệ thống AI an toàn.
Vào tháng 2023 năm XNUMX, công ty đã công bố ra mắt Huntr – một nền tảng tiền thưởng lỗi AI/ML tập trung hoàn toàn vào việc bảo vệ phần mềm nguồn mở AI/ML (OSS), mô hình nền tảngvà Hệ thống ML. Sự ra mắt của nền tảng tiền thưởng lỗi Hunter AI/ML là kết quả của việc Protect AI mua lại Huntr.dev.
Daryan Dehghanpisheh, chủ tịch và đồng sáng lập của Protect AI: “Với hơn 15,000 thành viên hiện nay, thợ săn của Protect AI là nhóm các nhà nghiên cứu mối đe dọa và tin tặc lớn nhất và tập trung nhất, tập trung hoàn toàn vào bảo mật AI/ML”.
“Mô hình hoạt động của Huntr tập trung vào sự đơn giản, minh bạch và phần thưởng. Các tính năng tự động và kiến thức chuyên môn về phân loại của Protect AI trong việc bối cảnh hóa các mối đe dọa dành cho người bảo trì giúp tất cả những người đóng góp phần mềm nguồn mở trong AI xây dựng các gói phần mềm an toàn hơn. Điều này cuối cùng mang lại lợi ích cho tất cả người dùng vì hệ thống AI trở nên an toàn và linh hoạt hơn”, Dehghanpisheh nói thêm.
Báo cáo xác định các lỗ hổng nghiêm trọng
Nêu bật những phát hiện của cộng đồng thợ săn trong tháng qua, báo cáo xác định ba lỗ hổng nghiêm trọng bao gồm Thực thi mã từ xa MLflow, Ghi đè tệp tùy ý MLflow và Bao gồm tệp cục bộ MLflow.
- Thực thi mã từ xa MLflow: Lỗ hổng dẫn đến việc tiếp quản máy chủ và mất thông tin nhạy cảm. MLflow, một công cụ lưu trữ và theo dõi các mô hình, có lỗ hổng thực thi mã từ xa trong mã được sử dụng để kéo bộ lưu trữ dữ liệu từ xa xuống. Người dùng có thể bị lừa sử dụng các nguồn dữ liệu từ xa độc hại có thể thực thi các lệnh thay mặt người dùng.
- Ghi đè tệp tùy ý MLflow: Lỗ hổng có khả năng chiếm đoạt hệ thống, từ chối dịch vụ và phá hủy dữ liệu. Đã tìm thấy một đường dẫn bỏ qua trong chức năng MLflow xác thực rằng đường dẫn tệp là an toàn, cho phép người dùng độc hại ghi đè từ xa các tệp trên máy chủ MLflow. Điều này có thể dẫn đến việc thực thi mã từ xa bằng các bước bổ sung như ghi đè khóa SSH trên hệ thống hoặc chỉnh sửa tệp .bashrc để chạy các lệnh tùy ý trong lần đăng nhập tiếp theo của người dùng
- Tệp cục bộ MLflow bao gồm: Lỗ hổng dẫn đến mất thông tin nhạy cảm và có khả năng tiếp quản hệ thống. MLflow, khi được lưu trữ trên các hệ điều hành cụ thể, có thể bị thao túng để hiển thị nội dung của các tệp nhạy cảm, tạo ra nguy cơ tiềm ẩn cho việc chiếm đoạt hệ thống nếu thông tin xác thực thiết yếu được lưu trữ trên máy chủ.
Người đồng sáng lập Protect AI Daryan Dehghanpisheh nói Metaverse Post“Sự khẩn cấp trong việc giải quyết các lỗ hổng hệ thống AI/ML phụ thuộc vào tác động kinh doanh của chúng. Với vai trò quan trọng của AI/ML trong hoạt động kinh doanh hiện đại và tính chất nghiêm trọng của các hoạt động khai thác tiềm năng, hầu hết các tổ chức sẽ nhận thấy mức độ cấp bách này rất cao. Thách thức chính trong việc bảo mật hệ thống AI/ML nằm ở việc hiểu rõ các rủi ro trong vòng đời MLOps.”
Ông nói thêm: “Để giảm thiểu những rủi ro này, các công ty phải tiến hành lập mô hình mối đe dọa cho hệ thống AI và ML của họ, xác định các khoảng thời gian tiếp xúc và triển khai các biện pháp kiểm soát phù hợp trong chương trình MLSecOps tích hợp và toàn diện”.
Trong báo cáo của mình, Protect AI nhấn mạnh tính cấp thiết của việc giải quyết những vấn đề này Lỗ hổng kịp thời và cung cấp danh sách khuyến nghị cho người dùng có dự án bị ảnh hưởng trong quá trình sản xuất, nhấn mạnh tầm quan trọng của lập trường chủ động trong việc giảm thiểu rủi ro tiềm ẩn. Người dùng đang gặp phải thách thức trong việc giảm thiểu các lỗ hổng này được khuyến khích liên hệ với cộng đồng của Protect AI.
Khi công nghệ AI tiến bộ, Protect AI đang nỗ lực bảo mật mạng lưới phức tạp của các hệ thống AI/ML để đảm bảo khai thác một cách có trách nhiệm và an toàn các lợi ích của trí tuệ nhân tạo.
Từ chối trách nhiệm
Phù hợp với Hướng dẫn của Dự án Tin cậy, xin lưu ý rằng thông tin được cung cấp trên trang này không nhằm mục đích và không được hiểu là tư vấn pháp lý, thuế, đầu tư, tài chính hoặc bất kỳ hình thức tư vấn nào khác. Điều quan trọng là chỉ đầu tư những gì bạn có thể đủ khả năng để mất và tìm kiếm lời khuyên tài chính độc lập nếu bạn có bất kỳ nghi ngờ nào. Để biết thêm thông tin, chúng tôi khuyên bạn nên tham khảo các điều khoản và điều kiện cũng như các trang trợ giúp và hỗ trợ do nhà phát hành hoặc nhà quảng cáo cung cấp. MetaversePost cam kết báo cáo chính xác, không thiên vị nhưng điều kiện thị trường có thể thay đổi mà không cần thông báo trước.
Giới thiệu về Tác giả
Kumar là một Nhà báo Công nghệ giàu kinh nghiệm với chuyên môn về các lĩnh vực giao thoa năng động giữa AI/ML, công nghệ tiếp thị và các lĩnh vực mới nổi như tiền điện tử, chuỗi khối và NFTS. Với hơn 3 năm kinh nghiệm trong ngành, Kumar đã lập được thành tích đã được chứng minh trong việc tạo ra những câu chuyện hấp dẫn, thực hiện các cuộc phỏng vấn sâu sắc và đưa ra những hiểu biết toàn diện. Chuyên môn của Kumar nằm ở việc sản xuất nội dung có tác động cao, bao gồm các bài báo, báo cáo và ấn phẩm nghiên cứu cho các nền tảng công nghiệp nổi bật. Với bộ kỹ năng độc đáo kết hợp giữa kiến thức kỹ thuật và cách kể chuyện, Kumar vượt trội trong việc truyền đạt các khái niệm công nghệ phức tạp tới nhiều đối tượng khác nhau một cách rõ ràng và hấp dẫn.
Xem thêm bài viết
Kumar là một Nhà báo Công nghệ giàu kinh nghiệm với chuyên môn về các lĩnh vực giao thoa năng động giữa AI/ML, công nghệ tiếp thị và các lĩnh vực mới nổi như tiền điện tử, chuỗi khối và NFTS. Với hơn 3 năm kinh nghiệm trong ngành, Kumar đã lập được thành tích đã được chứng minh trong việc tạo ra những câu chuyện hấp dẫn, thực hiện các cuộc phỏng vấn sâu sắc và đưa ra những hiểu biết toàn diện. Chuyên môn của Kumar nằm ở việc sản xuất nội dung có tác động cao, bao gồm các bài báo, báo cáo và ấn phẩm nghiên cứu cho các nền tảng công nghiệp nổi bật. Với bộ kỹ năng độc đáo kết hợp giữa kiến thức kỹ thuật và cách kể chuyện, Kumar vượt trội trong việc truyền đạt các khái niệm công nghệ phức tạp tới nhiều đối tượng khác nhau một cách rõ ràng và hấp dẫn.
