2024-10-29T20:55:00+03:00
יותר משלושה תריסר נקודות תורפה זוהו במודלים שונים של בינה מלאכותית פתוחה ולמידת מכונה, שחלקן מאפשרות לתוקפים לבצע מרחוק קוד ולגנוב נתונים. כחלק מפלטפורמת התגמולים של Protect AI של Huntr, הבעיות הללו התגלו בכלי AI כגון ChuanhuChatGPT, Lunary ו-LocalAI.
האיום הגדול ביותר מגיע משתי נקודות תורפה קריטיות ב-Lunary, כלי לעבודה עם מודלים של שפות גדולות. ראשית – CVE-2024-7474
(CVSS: 9.1) – זה קשור להפניה לא נכונה של אובייקטים ומאפשר למשתמשים לגשת לנתונים של משתמשים אחרים ללא רשות. שנית – CVE-2024-7475
(CVSS: 9.1) – נותן לתוקף את היכולת לשנות את תצורת SAML ולהיכנס תחת שם של מישהו אחר.
פגיעות נוספת נמצאה גם בלונארי – CVE-2024-7473
(CVSS: 7.5), מאפשר לתוקף לשנות בקשות של משתמשים אחרים על ידי מניפולציה של פרמטרים בנתונים המועברים.
ChuanhuChatGPT מושפע מפגיעות קריטית CVE-2024-5982
(CVSS: 9.1) הקשורים להעלאות קבצים. בעיה זו מאפשרת לתוקפים להפעיל קוד שרירותי וליצור ספריות בשרת, ולקבל גישה למידע רגיש.
LocalAI זיהתה שתי בעיות חמורות. רֵאשִׁית, CVE-2024-6983
(CVSS: 8.8), מאפשר ביצוע קוד שרירותי על ידי העלאת קובץ תצורה זדוני. שְׁנִיָה, CVE-2024-7010
(CVSS: 7.5), היא מתקפת זמן עיבוד המאפשרת לנחש מפתחות API על ידי ניתוח תגובת השרת.
פגיעות נוספת השפיעה על ספריית ג'אווה עמוקה (DJL). שגיאה בפונקציית פירוק הקבצים ( CVE-2024-8396
CVSS: 7.8) מאפשר לתוקף להחליף קבצים ולהפעיל קוד שרירותי בשרת.
בינתיים, NVIDIA פרסמה עדכון עבור פלטפורמת ה-NeMo שלה, המבטל את הפגיעות CVE-2024-0129 (CVSS: 6.3). בעיה זו עלולה להוביל לביצוע קוד ולהשחתת נתונים.
דאגות אבטחה במערכות AI מדגישות שקידום הטכנולוגיה חייבת ללכת יד ביד עם חיזוק הגנת הסייבר. ללא אמצעים בזמן, אפילו הכלים המתקדמים ביותר יכולים להפוך לנקודת כניסה להתקפות, פגיעה בנתונים ואמון המשתמש.
המדענים הוכיחו שקריאת הערוץ שלנו מאריכה חיים!
בסדר, הם לא הוכיחו עדיין אבל אנחנו עובדים על זה, קחו חלק בניסוי – הירשמו ,והישארו תמיד מעודכנים!
[mc4wp_form id=1302]
1 תגובה
Thanks for sharing. I read many of your blog posts, cool, your blog is very good.