Когда каждый баг – потенциальная лазейка для злоумышленников.
Более трёх десятков уязвимостей выявлено в различных открытых моделях искусственного интеллекта и машинного обучения, часть которых позволяет злоумышленникам удалённое выполнение кода и кражу данных. В рамках платформы вознаграждений Protect AI от Huntr эти проблемы Для просмотра ссылки Войдиили Зарегистрируйся в таких ИИ-инструментах, как ChuanhuChatGPT, Lunary и LocalAI.
Наибольшую угрозу представляют две критические уязвимости в Lunary, инструменте для работы с крупными языковыми моделями. Первая — Для просмотра ссылки Войдиили Зарегистрируйся (CVSS: 9.1) — связана с некорректной ссылкой на объекты и позволяет пользователям получать доступ к данным других пользователей без разрешения. Вторая — Для просмотра ссылки Войди или Зарегистрируйся (CVSS: 9.1) — даёт злоумышленнику возможность изменять конфигурацию SAML и авторизоваться под чужим именем.
Также в Lunary найдена ещё одна уязвимость — Для просмотра ссылки Войдиили Зарегистрируйся (CVSS: 7.5), позволяющая атакующему изменять запросы других пользователей, манипулируя параметрами в передаваемых данных.
ChuanhuChatGPT подвержен критической уязвимости Для просмотра ссылки Войдиили Зарегистрируйся (CVSS: 9.1), связанной с загрузкой файлов. Эта проблема даёт возможность злоумышленникам выполнять произвольный код и создавать директории на сервере, получая доступ к конфиденциальной информации.
В LocalAI выявлены две серьёзные проблемы. Первая, Для просмотра ссылки Войдиили Зарегистрируйся (CVSS: 8.8), позволяет выполнять произвольный код через загрузку вредоносного файла конфигурации. Вторая, Для просмотра ссылки Войди или Зарегистрируйся (CVSS: 7.5), представляет собой атаку по времени обработки, которая даёт возможность подобрать API-ключи, анализируя отклик сервера.
Ещё одна уязвимость затронула библиотеку Deep Java Library (DJL). Ошибка в функции распаковки файлов ( Для просмотра ссылки Войдиили Зарегистрируйся CVSS: 7.8) позволяет злоумышленнику перезаписывать файлы и выполнять произвольный код на сервере.
Тем временем NVIDIA выпустила обновление для своей платформы NeMo, устранив уязвимость Для просмотра ссылки Войдиили Зарегистрируйся (CVSS: 6.3). Эта проблема могла привести к выполнению кода и искажению данных.
Проблемы безопасности в ИИ-системах подчёркивают, что развитие технологий должно идти рука об руку с усилением киберзащиты. Без своевременных мер даже самые продвинутые инструменты могут стать точкой входа для атак, ставя под угрозу данные и доверие пользователей.
Более трёх десятков уязвимостей выявлено в различных открытых моделях искусственного интеллекта и машинного обучения, часть которых позволяет злоумышленникам удалённое выполнение кода и кражу данных. В рамках платформы вознаграждений Protect AI от Huntr эти проблемы Для просмотра ссылки Войди
Наибольшую угрозу представляют две критические уязвимости в Lunary, инструменте для работы с крупными языковыми моделями. Первая — Для просмотра ссылки Войди
Также в Lunary найдена ещё одна уязвимость — Для просмотра ссылки Войди
ChuanhuChatGPT подвержен критической уязвимости Для просмотра ссылки Войди
В LocalAI выявлены две серьёзные проблемы. Первая, Для просмотра ссылки Войди
Ещё одна уязвимость затронула библиотеку Deep Java Library (DJL). Ошибка в функции распаковки файлов ( Для просмотра ссылки Войди
Тем временем NVIDIA выпустила обновление для своей платформы NeMo, устранив уязвимость Для просмотра ссылки Войди
Проблемы безопасности в ИИ-системах подчёркивают, что развитие технологий должно идти рука об руку с усилением киберзащиты. Без своевременных мер даже самые продвинутые инструменты могут стать точкой входа для атак, ставя под угрозу данные и доверие пользователей.
- Источник новости
- www.securitylab.ru