Siber güvenlik araştırmacıları, Google’ın Vertex makine öğrenimi (ML) platformunda, başarılı bir şekilde kullanılması durumunda kötü niyetli aktörlerin ayrıcalıkları artırmasına ve modelleri buluttan sızdırmasına olanak tanıyabilecek iki güvenlik açığını ortaya çıkardı.
Palo Alto Networks Birimi 42 araştırmacıları Ofir Balassiano ve Ofir Shaty, bu hafta başlarında yayınlanan bir analizde, “Özel iş izinlerinden yararlanarak ayrıcalıklarımızı artırabildik ve projedeki tüm veri hizmetlerine yetkisiz erişim elde edebildik” dedi.
“Vertex AI’de zehirlenmiş bir modelin kullanılması, diğer tüm ince ayarlı modellerin sızmasına yol açarak ciddi bir özel ve hassas veri hırsızlığı saldırısı riski oluşturdu.”
Vertex AI, özel makine öğrenimi modellerini ve yapay zeka (AI) uygulamalarını geniş ölçekte eğitmek ve dağıtmak için Google’ın makine öğrenimi platformudur. İlk olarak Mayıs 2021’de tanıtıldı.
Ayrıcalık yükseltme kusurundan yararlanmada çok önemli olan, Vertex AI Pipelines adı verilen ve kullanıcıların özel işleri kullanarak ML modellerini eğitmek ve ayarlamak için MLOps iş akışlarını otomatikleştirmesine ve izlemesine olanak tanıyan bir özelliktir.
Unit 42’nin araştırması, özel iş akışını manipüle ederek, normalde kısıtlı olan kaynaklara erişim kazanmak için ayrıcalıkları yükseltmenin mümkün olduğunu buldu. Bu, bir ters kabuk başlatmak ve ortama arka kapı erişimi sağlamak üzere tasarlanmış özel hazırlanmış bir görüntüyü çalıştıran özel bir iş yaratılarak gerçekleştirilir.
Güvenlik satıcısına göre özel iş, tüm hizmet hesaplarını listelemek, depolama paketlerini yönetmek ve BigQuery tablolarına erişmek için kapsamlı izinlere sahip bir hizmet aracısı hesabına sahip bir kiracı projesinde çalışır; bu daha sonra dahili Google Cloud depolarına ve görüntüleri indirin.
Öte yandan ikinci güvenlik açığı, bir kiracı projesinde zehirlenmiş bir modelin, bir uç noktaya dağıtıldığında ters bir kabuk oluşturacak şekilde dağıtılmasını ve “özel çevrimiçi tahmin” hizmet hesabının salt okunur izinlerinin numaralandırılmasını içerir. Kubernetes kümeleri ve isteğe bağlı kubectl komutlarını çalıştırmak için kimlik bilgilerini getirir.
Araştırmacılar, “Bu adım, GCP alanından Kubernetes’e geçmemizi sağladı” dedi. “Bu yatay hareket, GCP ile GKE arasındaki izinlerin IAM İş Yükü Kimlik Federasyonu aracılığıyla birbirine bağlanmış olması nedeniyle mümkün oldu.”
Analiz ayrıca, Kubernetes kümesi içindeki yeni oluşturulan görüntüyü görüntülemek ve bir kapsayıcı görüntüsünü benzersiz şekilde tanımlayan görüntü özetini almak için bu erişimden yararlanmanın mümkün olduğunu buldu; bunları crictl ile kapsayıcının dışındaki görüntüleri çıkarmak için kullanabilirsiniz. “özel çevrimiçi tahmin” hizmet hesabıyla ilişkili kimlik doğrulama belirteci.
Üstelik kötü amaçlı model, tüm geniş dil modellerini (LLM’ler) ve bunların ince ayarlı bağdaştırıcılarını benzer şekilde görüntülemek ve dışa aktarmak için bir silah haline getirilebilir.
Bir geliştiricinin, halka açık bir depoya yüklenen truva atı haline getirilmiş bir modeli bilmeden dağıtması ve böylece tehdit aktörünün tüm makine öğrenimi ve ince ayarlı LLM’lerden sızmasına izin vermesi, bunun ciddi sonuçları doğurabilir. Sorumlu bir açıklamanın ardından her iki eksiklik de Google tarafından giderildi.
Araştırmacılar, “Bu araştırma, tek bir kötü amaçlı model dağıtımının tüm yapay zeka ortamını nasıl tehlikeye atabileceğini vurguluyor” dedi. “Bir saldırgan, hassas verileri sızdırmak için üretim sisteminde konuşlandırılan doğrulanmamış tek bir modeli bile kullanabilir ve bu da ciddi model sızdırma saldırılarına yol açabilir.”
Kuruluşların, kiracı projelerinde bir modeli dağıtmak için gereken model dağıtımları ve denetim izinleri üzerinde sıkı kontroller uygulaması önerilir.
Bu gelişme, Mozilla’nın 0Day Investigative Network’ünün (0Din), OpenAI ChatGPT’nin temel sanal alan ortamıyla (“/home/sandbox/.openai_internal/”) istemler aracılığıyla etkileşim kurmanın mümkün olduğunu ortaya koymasıyla geldi; bu, Python komut dosyalarını yükleme ve yürütme, dosyaları taşıma yeteneği sağlıyor. ve hatta LLM’nin başucu kitabını indirin.
Bununla birlikte, kod yürütmenin sanal alanın sınırları içinde gerçekleştiği ve dışarı taşma ihtimalinin düşük olduğu göz önüne alındığında, OpenAI’nin bu tür etkileşimleri kasıtlı veya beklenen davranış olarak değerlendirdiğini belirtmekte fayda var.
Güvenlik araştırmacısı Marco Figueroa, “OpenAI’nin ChatGPT sanal alanını keşfetmeye istekli herkes için, bu kapsayıcı ortamdaki çoğu etkinliğin güvenlik açıklarından ziyade amaçlanan özellikler olduğunu anlamak çok önemlidir.” dedi.
“Konteynerin görünmez çizgilerini aşmadıkları sürece, bilgi çıkarmak, dosya yüklemek, bash komutlarını çalıştırmak veya sandbox içinde python kodunu çalıştırmak adil bir oyundur.”