Yapay Zeka ve Makine Öğrenimi, Yönetişim ve Risk Yönetimi, Yeni Nesil Teknolojiler ve Güvenli Geliştirme
Yapay Zeka ile Çalışan Küresel İşletmelerin Kullandığı Açık Kaynak Aracı
Sayın Mihir (MihirBagwe) •
4 Ekim 2023
Açık kaynak projesini birlikte yöneten Meta tarafından küçümsenen bir uyarıda bir siber güvenlik firması, büyük şirketlerin makine öğrenimi modellerini büyütmek için kullandığı açık kaynaklı bir araçtaki bir dizi güvenlik açığının uzaktan devralınmaya yol açabileceğini söylüyor.
Ayrıca bakınız: Canlı Web Semineri Yarın | Kafanızı Buluta Taşıyın: Modern Güvenlik Sorunları ve Çözümleri
İsrailli güvenlik firması Oligo, Salı günkü bir blog yazısında, keşfettiği “ShellTorch” da dahil olmak üzere TorchServe’deki üç güvenlik açığından söz ediyor.
TorchServe, Oligo’nun tanımladığı gibi “dünyanın en çok kullanılan makine öğrenimi çerçevelerinden biri” olan PyTorch kütüphanesindeki isteğe bağlı bir araçtır. Blog yazısında “PyTorch, yapay zeka tabanlı sistemleri ihlal etmek isteyen saldırganlar için cazip bir hedef sunuyor” diye ekliyor.
Şirket, keşfettiği ve CVE-2023-43654 olarak takip edilen güvenlik açığının, bir saldırganın sunucuya kötü amaçlı bir model yüklemesine izin verdiğini söylüyor. TorchServe sunucularını internete açık bırakan yaygın bir yanlış yapılandırma ve bir Java mesajını seri durumdan çıkarma olarak bilinen bir teknik olan rastgele kod çalıştırabilen kötü amaçlı bir nesneye dönüştüren 2022’den kalma bir önceki kusurla birleştiğinde, bilgisayar korsanları “kodları yüksek ayrıcalıklarla uzaktan çalıştırabilir. herhangi bir kimlik doğrulaması,” diyor Oligo.
Sosyal medya devi Meta ile birlikte TorchServe projesini yürüten Amazon Web Services, Pazartesi günü bir tavsiye yayınladı. Google ayrıca Salı günü bir tavsiye yayınladı.
Bir Meta sözcüsü, Information Security Media Group’a yeni güvenlik açığının TorchServe’i hafta önce güncelleyen kullanıcılar için sorun olmadığını söyledi. Sözcü, “PyTorch için isteğe bağlı bir araç olan TorchServe’deki sorunlar Ağustos ayında düzeltilerek bu blog yazısında açıklanan istismar zincirini tartışmalı hale getirdi” dedi.
Ne AWS ne de Oligo “ShellTorch”un aktif olarak kullanıldığını bildirmedi