Новости Три десятка уязвимостей: ИИ-инструменты под угрозой взлома

NewsMaker

I'm just a script
Премиум
13,885
20
8 Ноя 2022
Когда каждый баг – потенциальная лазейка для злоумышленников.


1w0ayltqvozy2l6vfwp59s3vnvb2gw4d.jpg


Более трёх десятков уязвимостей выявлено в различных открытых моделях искусственного интеллекта и машинного обучения, часть которых позволяет злоумышленникам удалённое выполнение кода и кражу данных. В рамках платформы вознаграждений Protect AI от Huntr эти проблемы Для просмотра ссылки Войди или Зарегистрируйся в таких ИИ-инструментах, как ChuanhuChatGPT, Lunary и LocalAI.

Наибольшую угрозу представляют две критические уязвимости в Lunary, инструменте для работы с крупными языковыми моделями. Первая — Для просмотра ссылки Войди или Зарегистрируйся (CVSS: 9.1) — связана с некорректной ссылкой на объекты и позволяет пользователям получать доступ к данным других пользователей без разрешения. Вторая — Для просмотра ссылки Войди или Зарегистрируйся (CVSS: 9.1) — даёт злоумышленнику возможность изменять конфигурацию SAML и авторизоваться под чужим именем.

Также в Lunary найдена ещё одна уязвимость — Для просмотра ссылки Войди или Зарегистрируйся (CVSS: 7.5), позволяющая атакующему изменять запросы других пользователей, манипулируя параметрами в передаваемых данных.

ChuanhuChatGPT подвержен критической уязвимости Для просмотра ссылки Войди или Зарегистрируйся (CVSS: 9.1), связанной с загрузкой файлов. Эта проблема даёт возможность злоумышленникам выполнять произвольный код и создавать директории на сервере, получая доступ к конфиденциальной информации.

В LocalAI выявлены две серьёзные проблемы. Первая, Для просмотра ссылки Войди или Зарегистрируйся (CVSS: 8.8), позволяет выполнять произвольный код через загрузку вредоносного файла конфигурации. Вторая, Для просмотра ссылки Войди или Зарегистрируйся (CVSS: 7.5), представляет собой атаку по времени обработки, которая даёт возможность подобрать API-ключи, анализируя отклик сервера.

Ещё одна уязвимость затронула библиотеку Deep Java Library (DJL). Ошибка в функции распаковки файлов ( Для просмотра ссылки Войди или Зарегистрируйся CVSS: 7.8) позволяет злоумышленнику перезаписывать файлы и выполнять произвольный код на сервере.

Тем временем NVIDIA выпустила обновление для своей платформы NeMo, устранив уязвимость Для просмотра ссылки Войди или Зарегистрируйся (CVSS: 6.3). Эта проблема могла привести к выполнению кода и искажению данных.

Проблемы безопасности в ИИ-системах подчёркивают, что развитие технологий должно идти рука об руку с усилением киберзащиты. Без своевременных мер даже самые продвинутые инструменты могут стать точкой входа для атак, ставя под угрозу данные и доверие пользователей.
 
Источник новости
www.securitylab.ru

Похожие темы