Yapay Zeka ve Makine Öğrenimi, Yeni Nesil Teknolojiler ve Güvenli Geliştirme
Bilgisayar Korsanları Yapay Zeka Modellerini ve Ana Bilgisayar Sistemlerini Ele Geçirmek İçin Savunmasız Altyapıyı Hedefleyebilir
Rashmi Ramesh (raşmiramesh_) •
20 Kasım 2023
Şirketlerin yapay zeka modelleri oluşturmak için kullandıkları teknik altyapıdaki neredeyse bir düzine kritik güvenlik açığı, bilgisayar korsanlarının araçlara erişmesine ve bunları, içinde bulundukları sistemlere geçiş kapısı olarak kullanmasına olanak tanıyabilir.
Ayrıca bakınız: BT ve Güvenlikte Yapay Zekanın Geleceği Nedir?
Açıklanan 15 güvenlik açığının birçoğuna yama uygulanmadı.
Koruma AI, bu güvenlik açıklarının ayda yüzbinlerce ila milyonlarca kez indirilen ve büyük dil modellerini ve makine öğrenimi platformlarını barındırmak, dağıtmak ve paylaşmak için kullanılan araçlarda olduğunu söyledi.
“Birçok OSS aracı, çerçevesi ve yapısı, kimlik doğrulamasız uzaktan kod yürütme veya yerel dosya ekleme güvenlik açıkları gibi doğrudan sistemin tamamen ele geçirilmesine yol açabilecek güvenlik açıklarıyla birlikte kutudan çıkar. Bu sizin için ne anlama geliyor? Şirket Perşembe günü yaptığı açıklamada, “modeller, veriler ve kimlik bilgileri” dedi.
Etkilenen platformlar arasında makine öğrenimi modellerini eğitmek için kullanılan Ray; Bir makine öğrenimi yaşam döngüsü platformu olan MLflow; Bir makine öğrenimi yönetim platformu olan ModelDB; ve H20 – sürüm 3, makine öğrenimi için açık kaynaklı bir platform. Bu platformlar açıklanan 15 hatanın 12’sini içeriyor.
Güvenlik açıkları, saldırganların yapay zeka modellerine yetkisiz erişim sağlamasına ve bunları kimlik bilgilerini ve verileri çalmak ve modelin barındırıldığı sistemin sunucularını ele geçirmek için kullanmasına olanak tanıyor.
Geçtiğimiz yıl, kuruluşlar ve onların rakipleri yapay zekayı, özellikle de üretken yapay zekayı operasyonlarına dahil etmek için çabaladılar.
Koruma AI araştırmacıları Dan McInerney ve Marcello Salvati, “Yapay zeka endüstrisinin bir güvenlik sorunu var ve bu, sohbet robotlarına yazdığınız istemlerde değil” dedi.
Makine öğrenimi güvenlik şirketi, perşembe günü tavsiyeyi yayınlamadan 45 gün önce güvenlik açıklarını satıcılara açıkladığını söyledi. Şirket, dördü kritik olan altı yama yapılmamış hata için geçici çözümler paylaştı.