Recent, cercetătorii au descoperit vulnerabilități critice în diverse modele open-source de inteligență artificială (AI) și machine learning (ML), care ar putea permite executarea de cod la distanță și furtul de informații. Aceste descoperiri subliniază importanța actualizării și securizării lanțului de aprovizionare AI/ML pentru a preveni posibilele atacuri.
TL;DR
- Vulnerabilități critice în AI/ML open-source
- Executare de cod la distanță posibilă
- Amenințări de furt de informații
- Necesitatea patch-urilor de securitate
Descoperirea vulnerabilităților
Cercetătorii de la Protect AI au identificat peste 36 de vulnerabilități de securitate în diverse modele open-source de AI și ML. Printre ele se numără ChuanhuChatGPT, Lunary și LocalAI. Cele mai severe vulnerabilități afectează toolkit-ul Lunary folosit pentru modele de limbaj mari, unde autentificarea insuficientă și controlul de acces pot duce la acces neautorizat și pierderi de date.
Exploatarea vulnerabilităților
Vulnerabilitățile permit atacatorilor să exploateze configurările greșite ale SAML sau să manipuleze parametri de utilizator pentru a accesa sau modifica date sensibile fără autorizație. O vulnerabilitate de path traversal în ChuanhuChatGPT poate rezulta în execuția de cod arbitrar, expunerea de date sensibile și crearea de directoare neautorizate.
Impact
Până la publicarea articolului, NVIDIA a lansat patch-uri pentru a rezolva deficiențele de path traversal în cadrul AI generativ NeMo. Utilizatorii sunt sfătuiți să actualizeze versiunile instalate pentru a securiza lanțul de aprovizionare AI/ML și a se proteja de atacuri potențiale.
Cum să vă protejați
Pentru a minimiza riscurile, este esențial să se implementeze practicile de securitate recomandate de experți, să se aplice patch-uri de securitate la timp și să se utilizeze instrumente precum Vulnhuntr pentru analiza codului. ”Actualizarea constantă a programelor și vigilența sunt cei mai buni aliați împotriva vulnerabilităților,” a subliniat un specialist în securitate.
Sursa articolului:
https://thehackernews.com/2024/10/researchers-uncover-vulnerabilities-in.html
Pe Threat Spotting apar articole identificate de specialiști în securitate cibernetică și simplificate prin inteligență artificială (AI). De aceea, e bine să consultați sursele oficiale întrucât tehnologiile AI curente pot genera informații incomplete sau parțial adevărate. Citește mai multe despre proiect aici.
