Protect AI 报告现有 AI 和 ML 系统中的严重漏洞,敦促保护开源项目
简单来说
保护人工智能报告识别了人工智能/机器学习供应链中使用的工具中的漏洞,这些工具通常是开源的,具有独特的安全威胁。
根据 Protect AI 的报告,AI/ML 供应链中使用的工具(通常是开源工具)存在漏洞,带来独特的安全威胁,这些漏洞带来未经身份验证的远程代码执行和本地文件包含的风险。 网络安全 公司专注于人工智能和机器学习系统。
报告补充说,这可能会导致从服务器接管到敏感信息被盗等各种影响。
该报告进一步强调有必要采取积极主动的方法来识别和解决这些漏洞,以保护数据、模型和凭证。
Protect AI 工作的最前沿是 Huntr,这是世界上第一个 AI/ML 错误赏金计划,吸引了超过 13,000 名成员的社区积极寻找漏洞。该计划旨在提供有关潜在威胁的关键情报,并促进对安全人工智能系统的快速响应。
2023 年 XNUMX 月,该公司宣布推出 Huntr——一个专门致力于保护 AI/ML 开源软件 (OSS) 的 AI/ML 漏洞赏金平台, 基础模型和机器学习系统。 Huntr AI/ML 漏洞赏金平台的推出是 Protect AI 收购 Huntr.dev 的结果。
Protect AI 总裁兼联合创始人 Daryan Dehghanpisheh 表示:“Protect AI 的 Huntr 目前拥有超过 15,000 名成员,是规模最大、最集中的威胁研究人员和黑客群体,专门关注 AI/ML 安全。”
“Huntr 的运营模式注重简单性、透明度和奖励。自动化功能和 Protect AI 在为维护人员提供威胁情境方面的分类专业知识可帮助 AI 开源软件的所有贡献者构建更安全的软件包。随着人工智能系统变得更加安全和有弹性,这最终将使所有用户受益。”Dehghanpisheh 补充道。
报告指出了严重漏洞
该报告强调了 Huntr 社区在过去一个月的调查结果,确定了三个严重漏洞,包括 MLflow 远程代码执行、MLflow 任意文件覆盖和 MLflow 本地文件包含。
- MLflow 远程代码执行:该缺陷会导致服务器被接管和敏感信息丢失。 MLflow 是一种用于存储和跟踪模型的工具,用于拉取远程数据存储的代码中存在远程代码执行漏洞。用户可能会被欺骗而使用恶意远程数据源,这些数据源可以代表用户执行命令。
- MLflow 任意文件覆盖:该缺陷可能会导致系统接管、拒绝服务和数据破坏。在验证文件路径是否安全的 MLflow 函数中发现了绕过漏洞,允许恶意用户远程覆盖 MLflow 服务器上的文件。这可能会导致通过附加步骤执行远程代码,例如覆盖系统上的 SSH 密钥或编辑 .bashrc 文件以在下次用户登录时运行任意命令
- MLflow 本地文件包含:该缺陷会导致敏感信息丢失,并可能导致系统被接管。当托管在特定操作系统上时,MLflow 可以被操纵以显示敏感文件的内容,如果服务器上存储了重要凭据,则可能成为系统接管的潜在途径。
Protect AI 联合创始人 Daryan Dehghanpisheh 表示 Metaverse Post”,“解决 AI/ML 系统漏洞的紧迫性取决于其业务影响。鉴于人工智能/机器学习在当代商业中的关键作用以及潜在漏洞的严重性,大多数组织都会发现这种紧迫性。确保 AI/ML 系统安全的主要挑战在于理解 MLOps 生命周期中的风险。”
他补充道:“为了减轻这些风险,公司必须对其人工智能和机器学习系统进行威胁建模,识别暴露窗口,并在集成且全面的 MLSecOps 计划中实施适当的控制。”
Protect AI 在其报告中强调了解决这些问题的紧迫性 漏洞 及时向受影响的生产项目用户提供建议清单,强调采取积极主动的立场来减轻潜在风险的重要性。我们鼓励在缓解这些漏洞方面面临挑战的用户联系 Protect AI 社区。
随着人工智能技术的进步,Protect AI 致力于保护复杂的人工智能/机器学习系统网络,以确保负责任且安全地利用人工智能的优势。
免责声明
在与行 信托项目指南,请注意,本页提供的信息无意且不应被解释为法律、税务、投资、财务或任何其他形式的建议。 重要的是,仅投资您可以承受损失的金额,并在有任何疑问时寻求独立的财务建议。 如需了解更多信息,我们建议您参阅条款和条件以及发行人或广告商提供的帮助和支持页面。 MetaversePost 致力于提供准确、公正的报告,但市场状况如有变更,恕不另行通知。
关于作者
Kumar 是一位经验丰富的科技记者,专注于人工智能/机器学习、营销技术以及加密货币、区块链和人工智能等新兴领域的动态交叉领域。 NFTs。 Kumar 拥有超过 3 年的行业经验,在撰写引人入胜的叙述、进行富有洞察力的采访和提供全面的见解方面建立了良好的记录。 Kumar 的专长在于制作高影响力的内容,包括为著名行业平台制作文章、报告和研究出版物。 库马尔拥有结合技术知识和讲故事的独特技能,擅长以清晰且引人入胜的方式向不同的受众传达复杂的技术概念。
更多文章Kumar 是一位经验丰富的科技记者,专注于人工智能/机器学习、营销技术以及加密货币、区块链和人工智能等新兴领域的动态交叉领域。 NFTs。 Kumar 拥有超过 3 年的行业经验,在撰写引人入胜的叙述、进行富有洞察力的采访和提供全面的见解方面建立了良好的记录。 Kumar 的专长在于制作高影响力的内容,包括为著名行业平台制作文章、报告和研究出版物。 库马尔拥有结合技术知识和讲故事的独特技能,擅长以清晰且引人入胜的方式向不同的受众传达复杂的技术概念。