Կիբերանվտանգության գծով փորձագետները նախազգուշացնում են open-source artificial intelligence (AI)–ում առկա խոցելիությունների չարաշահման մասին։ Այն կոչվում է Anyscale Ray և ակտիվորեն կիրառվում է հաքերների կողմից կրիպտոարժույթների mining–ի նպատակով։
«Այս խոցելիությունը հաքերներին թույլ է տալիս տիրապետել ներքին համակարգերին և նպաստել տվյալների արտահոսքին», – երեքշաբթի օրը թողարկված զեկույցում առաջին անգամ սրա մասին խոսեցին Oligo Security-ի փորձագետներ՝ Ավի Լումելսկին, Գայ Կապլանը և Գալ Էլբազը:
Արշավը, որը շարունակվում է դեռևս 2023 թվականից, ստացել է «ShadowRay» ծածկանունը։ Սա նաև առաջին դեպքն է, երբ AI workload–ը թիրախավորվում է լայնամասշտաբ կտրվածքով։
Ray-ը open-source, fully-managed compute framework է, որը կազմակերպություններին թույլ է տալիս AI և Python workload-եր ստեղծել: Այն բաղկացած է մի շարք AI գրադարաններից։
Անվտանգության CVE-2023-48022 խոցելիությունը (CVSS կատալոգում միավորը՝ 9.8) authentication bug է և հաքերներին API-ի միջոցով թույլ է տալիս կամայական կոդ գործարկել։
Կիբերանվտանգության ոլորտի ընկերության փոխանցմամբ, նույնականացման վերահսկման բացակայությունը՝ Dashboard-ում և Client-ում, կարող է ակտիվորեն շահագործվել հաքերների կողմից։
Սա ներառում է տվյալների բազայի գաղտնաբառերը, մասնավորապես՝ SSH key–երը, OpenAI-ը, HuggingFace-ը, Slack-ը և Stripe-ի հետ կապված մուտքային նշանները, Amazon Web Services-ի, Google Cloud-ի և Microsoft Azure-ի Cloud միջավայրի հասանելիությունը:
ShadowRay-ի հետևում կանգնած անհայտ հաքերը օգտագործել է նաև Interactsh կոչվող open-source tool–ը։
Աղբյուրը՝ https://thehackernews.com/
