Protect AI 報告現有 AI 和 ML 系統中的嚴重漏洞,敦促保護開源項目
簡單來說
保護人工智慧報告識別了人工智慧/機器學習供應鏈中使用的工具中的漏洞,這些工具通常是開源的,具有獨特的安全威脅。
根據 Protect AI 的報告,AI/ML 供應鏈中使用的工具(通常是開源工具)存在漏洞,帶來獨特的安全威脅,這些漏洞帶來未經身份驗證的遠端程式碼執行和本機檔案包含的風險。 網絡安全 公司專注於人工智慧和機器學習系統。
報告補充說,這可能會導致從伺服器接管到敏感資訊被盜等各種影響。
該報告進一步強調有必要採取積極主動的方法來識別和解決這些漏洞,以保護資料、模型和憑證。
Protect AI 工作的最前線是 Huntr,這是世界上第一個 AI/ML 漏洞賞金計劃,吸引了超過 13,000 名成員的社群積極尋找漏洞。該計劃旨在提供有關潛在威脅的關鍵情報,並促進對安全人工智慧系統的快速回應。
2023 年 XNUMX 月,該公司宣布推出 Huntr——一個專門致力於保護 AI/ML 開源軟體 (OSS) 的 AI/ML 漏洞賞金平台, 基礎模型和機器學習系統。 Huntr AI/ML 漏洞賞金平台的推出是 Protect AI 收購 Huntr.dev 的結果。
Protect AI 總裁兼聯合創始人 Daryan Dehghanpisheh 表示:“Protect AI 的 Huntr 目前擁有超過 15,000 名成員,是規模最大、最集中的威脅研究人員和黑客群體,專門關注 AI/ML 安全。”
「Huntr 的營運模式著重於簡單性、透明度和獎勵。自動化功能和 Protect AI 在為維護人員提供威脅情境方面的分類專業知識可協助 AI 開源軟體的所有貢獻者建立更安全的軟體包。隨著人工智慧系統變得更加安全和有彈性,這最終將使所有用戶受益。」Dehghanpisheh 補充道。
報告指出了嚴重漏洞
該報告強調了 Huntr 社群在過去一個月的調查結果,確定了三個嚴重漏洞,包括 MLflow 遠端程式碼執行、MLflow 任意檔案覆蓋和 MLflow 本地檔案包含。
- MLflow 遠端程式碼執行:此缺陷會導致伺服器被接管和敏感資訊遺失。 MLflow 是一種用於儲存和追蹤模型的工具,用於拉取遠端資料儲存的程式碼中存在遠端程式碼執行漏洞。使用者可能會被欺騙而使用惡意遠端資料來源,這些資料來源可以代表使用者執行命令。
- MLflow 任意檔案覆蓋:此缺陷可能會導致系統接管、拒絕服務和資料破壞。在驗證檔案路徑是否安全的 MLflow 函數中發現了繞過漏洞,允許惡意使用者遠端覆蓋 MLflow 伺服器上的檔案。這可能會導致透過附加步驟執行遠端程式碼,例如覆蓋系統上的 SSH 金鑰或編輯 .bashrc 檔案以在下次使用者登入時執行任意命令
- MLflow 本機檔案包含:此缺陷會導致敏感資訊遺失,並可能導致系統被接管。當託管在特定作業系統上時,MLflow 可以被操縱以顯示敏感檔案的內容,如果伺服器上儲存了重要憑證,則可能成為系統接管的潛在途徑。
Protect AI 共同創辦人 Daryan Dehghanpisheh 表示 Metaverse Post”,“解決 AI/ML 系統漏洞的緊迫性取決於其業務影響。鑑於人工智慧/機器學習在當代商業中的關鍵作用以及潛在漏洞的嚴重性,大多數組織都會發現這種緊迫性。確保 AI/ML 系統安全的主要挑戰在於理解 MLOps 生命週期中的風險。”
他補充說:“為了減輕這些風險,公司必須對其人工智慧和機器學習系統進行威脅建模,識別暴露窗口,並在整合且全面的 MLSecOps 計劃中實施適當的控制。”
Protect AI 在其報告中強調了解決這些問題的緊迫性 漏洞 及時向受影響的生產項目使用者提供建議清單,強調採取積極主動的立場來減輕潛在風險的重要性。我們鼓勵在緩解這些漏洞方面面臨挑戰的用戶聯繫 Protect AI 社群。
隨著人工智慧技術的進步,Protect AI 致力於保護複雜的人工智慧/機器學習系統網絡,以確保負責任且安全地利用人工智慧的優勢。
免責聲明
在與線 信託專案指南,請注意,本頁提供的資訊無意且不應被解釋為法律、稅務、投資、財務或任何其他形式的建議。 重要的是,僅投資您可以承受損失的金額,並在有任何疑問時尋求獨立的財務建議。 如需了解更多信息,我們建議您參閱條款和條件以及發行人或廣告商提供的幫助和支援頁面。 MetaversePost 致力於提供準確、公正的報告,但市場狀況如有變更,恕不另行通知。
關於作者
Kumar 是一位經驗豐富的科技記者,專門研究人工智慧/機器學習、行銷技術以及加密貨幣、區塊鏈和人工智慧等新興領域的動態交叉領域。 NFTs。 Kumar 擁有超過 3 年的行業經驗,在撰寫引人入勝的敘述、進行富有洞察力的採訪和提供全面的見解方面建立了良好的記錄。 Kumar 的專長在於製作高影響力的內容,包括為著名產業平台製作文章、報告和研究出版物。 庫馬爾擁有結合技術知識和講故事的獨特技能,擅長以清晰且引人入勝的方式向不同的受眾傳達複雜的技術概念。
更多文章
Kumar 是一位經驗豐富的科技記者,專門研究人工智慧/機器學習、行銷技術以及加密貨幣、區塊鏈和人工智慧等新興領域的動態交叉領域。 NFTs。 Kumar 擁有超過 3 年的行業經驗,在撰寫引人入勝的敘述、進行富有洞察力的採訪和提供全面的見解方面建立了良好的記錄。 Kumar 的專長在於製作高影響力的內容,包括為著名產業平台製作文章、報告和研究出版物。 庫馬爾擁有結合技術知識和講故事的獨特技能,擅長以清晰且引人入勝的方式向不同的受眾傳達複雜的技術概念。
