AI tedarik zincirinde yeni keşfedilen bir güvenlik açığı-Microsoft Azure AI Foundry, Google Valtex AI ve binlerce açık kaynak projesi de dahil olmak üzere büyük AI platformlarında uzaktan kod yürütme (RCE) elde etmek için saldırganları takip ediyor.
Kötü niyetli aktörler, terk edilmiş veya silinmiş model ad alanlarını yeniden kaydettirerek, model modelleri adıyla lekeli depoları dağıtmak, uç nokta ortamlarını uzlaştırmaya ve yetkisiz erişim sağlayan boru hatlarını kandırabilir.
Tek başına güvenilir model isimleri yetersizdir; Kuruluşlar AI güvenlik uygulamalarını acilen yeniden değerlendirmelidir
Hugging Face, AI modellerini bir yazar/ModelName ad alanı tarafından tanımlanan git depoları olarak barındırır. Bir yazar hesabı silindiğinde veya bir modelin mülkiyeti aktarıldığında, bu orijinal ad alanları mevcut bir havuza geri döner.
Kötü niyetli modeller, yanlış teşhislerden etkilenen sistemlere bir saldırganın yetkisiz erişimine kadar bir dizi istenmeyen sonuçla sonuçlanabilir.
Model ad alanı yeniden kullanımı, terk edilmiş ad alanını yeniden kaydetmesine ve yolunu yeniden oluşturmasına izin vererek bunu kullanır. Modelleri kesinlikle isme göre referans alan boru hatları, orijinal yerine saldırganın modelini getirecektir.
Geliştiriciler modelleri nasıl çekiyor
Geliştiriciler genellikle kodu kullanıyor:
pythonfrom transformers import AutoModel
model = AutoModel.from_pretrained("AIOrg/Translator_v1")
Bu iki bölümlü kongre (yazar ve model adı), ad alanının orijinal yayıncı tarafından kontrol edildiğini varsayar.
Bununla birlikte, yaşam döngüsü kontrolleri olmadan, terk edilmiş bir ad alanı, aşağı akış dağıtımlarındaki meşru modeli sessizce değiştirerek kaçırılabilir.
Google Vertex AI
Vertex AI’s Model Bahçesi, tek tıklamayla dağıtım için sarılma yüz modellerini entegre eder. Ekibimiz, orijinal yazarları sarılma yüzünde silinmiş birkaç “doğrulanmış” model buldu. Bu tür bir ad alanı yeniden kaydederek ve geri alınmış bir model yükleyerek, ters bir kabuk yükü yerleştirdik.
Vertex AI’da konuşlandırıldıktan sonra, konteyner bitiş noktasına kabuk erişimi kazandık. Google şimdi yetim ad alanları için günlük olarak tarar ve dağıtımı engellemek için “doğrulama başarısız” işaret eder.
Azure Ai Dökümhane
Azure AI Foundry’s Model Kataloğu, Hugging Facting Modelleri benzer şekilde kaynaklar. Yazarların kaldırıldığı ancak modellerin dağıtılabilir kaldığı yeniden kullanılabilir ad alanlarını belirledik.
Talep edilmemiş bir ad alanının kaydedilmesi ve kötü niyetli bir model yüklemesi, uç noktada ters bir kabuk vererek Azure ortamına ilk dayanak vermiştir. Microsoft o zamandan beri bilgilendirildi ve koruyucu önlemleri değerlendiriyor.
Açık kaynaklı depolar
Sarılma yüz modellerini getiren kod için Github taraması, savunmasız yazar/ModelName tanımlayıcılarına atıfta bulunarak binlerce depoyu ortaya çıkardı.
Popüler projeler, saldırganların geri alabileceği sabit kodlu varsayılan modeller, aşağı akış dağıtımlarını kötü niyetli hale getiriyor.
Model Kayıt Defteri Tedarik Zinciri
Doğrudan sarılma yüzü çekmelerinin ötesinde, Kaggle’ın model kataloğu ve diğer özel model kayıtları gibi ikincil kayıtlar savunmasız modelleri alabilir.
Bu kayıtlardan gelen kullanıcılar aynı riski devralırlar, asla doğrudan sarılma yüzü ile etkileşime girmez, ancak yine de ortaya çıkar.
| Senaryo | Neden | Kullanıcı Deneyimi | HTTP Durum Kodu |
|---|---|---|---|
| Sahiplik silme | Yazar hesabı silindi | Model döner 404 (Kesinti) | 404 |
| Sahiplik transferi | Model aktarılan, eski yazar hesabı silindi | İstekler yönlendirme (kesinti yok) | 307 |
Aktarım senaryolarında, yeniden yönlendirme, bir saldırgan eski ad alanını geri kazanana ve yönlendirmeyi kırana kadar riski maskeler.
Hafifletme
Yapay zeka tedarik zincirlerini güvence altına almak için kuruluşlar:
- Sürüm sabitleme: Ararken bir taahhüt karma belirtin
from_pretrained("Author/ModelName", revision="abcdef1234")Beklenmedik sürümlerin getirilmesini önlemek için. - Model klonlama: Dış kaynaklara canlı bağımlılıkları ortadan kaldırarak doğrulamadan sonra güvenilir modelleri dahili kayıtlara veya depolamaya yansıtın.
- Kapsamlı tarama: Korunmasız ad alanları için depoları, belgeleri, varsayılan parametreleri ve dokstrasyonları tarayarak model referanslarını kod bağımlılıkları olarak ele alın.
Model ad alanı yeniden kullanımı AI model dağılımında sistemik bir güvenlik açığıdır. Sadece güven için ad alanı tanımlayıcılarına güvenmek yetersizdir. İşbirlikçi eylem – platform sağlayıcıları, ad alanı yaşam döngüsü politikalarını ve daha katı doğrulama uygulamalarını benimseyen geliştiriciler – tedarik zinciri saldırılarına karşı AI ekosistemlerini korumak için gereklidir.
Bu hikayeyi ilginç bul! Daha fazla güncelleme almak için bizi LinkedIn ve X’te takip edin.