‘Model Ad Adı Yeniden Kullanımı’ adı verilen yeni bir güvenlik açığı, saldırganların Google, Microsoft ve açık kaynaklı platformlarda AI modellerini ele geçirmesine izin verir. Saldırganların güvenilir modelleri nasıl gizlice değiştirebileceğini ve onu durdurmak için neler yapılabileceğini keşfedin.
Saldırganların popüler AI modellerini ele geçirmesine ve Google’ın Vertex AI ve Microsoft’un Azure AI Foundry gibi büyük platformlarda sistemleri enfekte etmesine izin verebilecek yeni bir güvenlik açığı keşfedildi. Palo Alto Networks’teki Ünite 42 ekibi tarafından yapılan araştırma, “model ad alanı yeniden kullanımı” olarak adlandırdıkları kritik bir kusur ortaya koydu.
Bilgileriniz için AI modelleri genellikle yazar/model name gibi basit bir adlandırma sözleşmesi ile tanımlanır. Bu isim veya “ad alanı”, geliştiricilerin bir web sitesi adresi gibi modelleri nasıl referans veriyor. Bu basit adlandırma sözleşmesi, uygun olsa da, sömürülebilir. Araştırma, bir geliştirici hesaplarını sildiğinde veya popüler platform sarılma yüzündeki bir modelin sahipliğini aktardığında, bu modelin adının iddia etmesi için kullanılabilir hale geldiğini göstermektedir.
Saldırı nasıl çalışır
Bu basit ama son derece etkili saldırı, şu anda mevcut bir model adını kaydettiren ve modelin yeni, zararlı bir versiyonunu yerine yükleyen kötü niyetli bir aktör içerir. Örneğin, Dentalai/Diş Filmi adlı bir model silinmişse, bir saldırgan adı yeniden oluşturabilir ve kötü niyetli bir sürüm ekleyebilir.
Birçok geliştirici programı modelleri tek başına otomatik olarak çekecek şekilde ayarlandığından, sistemleri bilmeden orijinal, güvenilir olan yerine kötü amaçlı sürümü indirir, saldırgana sisteme bir arka kapı sağlayacak ve etkilenen cihaz üzerinde kontrol sahibi olmalarına izin verir.
Ünite 42 ekibi bunu, Google’ın Vertex AI ve Microsoft’un Azure AI Foundry tarafından hala kullanılan sarılma yüzünde bir model adı ele geçirerek gösterdi. Bu yöntem sayesinde, platformlara uzaktan erişim sağlayabilirler. Ekip, bulgularını sorumlu bir şekilde hem Google hem de Microsoft’a açıkladı ve o zamandan beri konuyu ele almak için adımlar attı.
Ne yapılabilir
Bu keşif, AI modellerinin yalnızca isimlerine dayanan güvenilmesinin güvenliğini garanti etmek için yeterli olmadığını ve AI topluluğunda yaygın bir sorunu vurguladığını kanıtlıyor. Bu kusur sadece büyük platformları değil, aynı adlandırma sistemine dayanan binlerce açık kaynaklı projeyi de etkiler.
Güvende kalmak için araştırmacılar, geliştiricilerin kodlarının yeni güncellemeleri otomatik olarak çekmesini önlemek için bir modeli belirli, doğrulanmış bir sürüme “sabitlemeleri” önermektedir. Başka bir çözüm, herhangi bir sorun için iyice kontrol edildikten sonra modelleri güvenilir, dahili bir yerde indirmek ve depolamaktır. Bu, yukarı akış değişiklikleri riskini ortadan kaldırmaya yardımcı olur. Nihayetinde, AI tedarik zincirini güvence altına almak, platform sağlayıcılarından bireysel geliştiricilere kadar herkesin kullandıkları modelleri doğrulama konusunda daha uyanık olmalarını gerektirir.
Uzman yorum
Sohbete ek olarak, Sonatype baş güvenlik araştırmacısı Garrett Calpouzos, bu keşifle ilgili olarak perspektifini sadece hackread.com ile paylaştı.
Calpouzos, “Model ad alanı yeniden kullanımının net yeni bir risk olmadığını, aslında başka bir isimle yeniden atlanıyor” diye açıklıyor. Bunun diğer yazılım ekosistemlerinde bilinen bir saldırı vektörü olduğunu belirtiyor, bu yüzden bazı platformlar saldırganların silinmiş isimleri geri kazanmasını önlemek için “güvenlik tutma” paketleri getirdi.
İşletmeler için “isimler provenans değildir”, yani bir modelin adının tek başına kökenini veya güvenliğini kanıtlamadığı anlamına gelir. Kuruluşların “değişmez bir revizyona işaret etmelerini” önerir, bu da bir modeli belirli, değişmez bir versiyona kilitlemek anlamına gelir. Bir yapı sırasında bu benzersiz tanımlayıcıları doğrulayarak, “saldırıyı açıkça engelleyebilir veya hemen algılayabilirsiniz”.
(Pixabay’dan Alexandra_Koch tarafından resim)