Hirdetés

A gépi tanulási keretrendszerek biztonsági sebezhetőségei egyre növekvő kockázatot jelentenek



|

A gépi tanulási szoftverek több biztonsági sebezhetőséggel küzdenek, mint például a DevOps vagy a webkiszolgálók, derül ki egy friss elemzésből.

Hirdetés

A gépi tanulás (ML) rendszerek széleskörű iparági elterjedése sürgetővé teszi azok biztonságának garantálását, mivel a sebezhetőségek jogosulatlan hozzáféréshez, adatlopáshoz és működésbeli zavarokhoz vezethetnek.

A JFrog jelentése szerint az elmúlt hónapokban 22 sebezhetőséget azonosítottak 15 nyílt forráskódú ML projektben. Kiemelten érintettek a szerveroldali komponensek, valamint az ML keretrendszereken belüli jogosultsági szint emelés kockázatai. Az MLflow és más kulcsfontosságú eszközök sebezhetősége lehetővé teszi a támadók számára, hogy érzékeny fájlokhoz férjenek hozzá vagy emeljék a jogosultsági szintjüket.

Egyik súlyos hiba a Weights & Biases által fejlesztett Weave eszközt érinti, amely a modellek metrikáinak nyomon követésére szolgál. A CVE-2024-7340 azonosítójú "WANDB Weave Directory Traversal" sebezhetőség lehetővé teszi, hogy alacsony jogosultságú felhasználók hozzáférjenek az egész fájlrendszer bizonyos fájljaihoz, beleértve az admin API-kulcsokat is.

Hasonló problémák jelentkeznek a ZenML eszköznél, amely egy MLOps pipeline-kezelő rendszer. Egy kritikus sebezhetőség a ZenML Cloud hozzáférés-vezérlési rendszerét teszi ki támadásoknak, lehetővé téve, hogy a támadók minimális jogosultsággal is bizalmas információkhoz, például modellfájlokhoz férjenek hozzá.

Hirdetés

Egy másik komoly hiba, a CVE-2024-6507 azonosítójú "Deep Lake Command Injection" a Deep Lake adatbázist érinti. Ez lehetővé teszi, hogy támadók önkényes parancsokat hajtsanak végre, veszélyeztetve az adatbázis biztonságát és a hozzá csatlakozó alkalmazásokat.

A Vanna AI eszközben, amely természetes nyelvű SQL-lekérdezésekhez és vizualizációhoz használatos, prompt injekciós támadásra alkalmas sebezhetőséget (CVE-2024-5565) azonosítottak. Ez a hiba távoli kódfuttatást tehet lehetővé, ami adatszivárgáshoz vagy SQL-injekciókhoz vezethet.

További sebezhetőségeket találtak a Mage.AI eszközben, amelyek közé tartozik a jogosulatlan shell-hozzáférés, az önkényes fájlleképezés és a gyenge útvonal-ellenőrzés.

A JFrog szerint az MLOps biztonságában komoly hiányosságok tapasztalhatók, mivel számos szervezet nem integrálja megfelelően az AI/ML biztonsági gyakorlatokat a kiberbiztonsági stratégiáikba. Az iparági előrelépések fenntartásához elengedhetetlen az ML keretrendszerek és modellek biztonságának szavatolása.

Hirdetés

Úgy tűnik, AdBlockert használsz, amivel megakadályozod a reklámok megjelenítését. Amennyiben szeretnéd támogatni a munkánkat, kérjük add hozzá az oldalt a kivételek listájához, vagy támogass minket közvetlenül! További információért kattints!

Engedélyezi, hogy a https://www.pcwplus.hu értesítéseket küldjön Önnek a kiemelt hírekről? Az értesítések bármikor kikapcsolhatók a böngésző beállításaiban.