Yapay Zeka Platformlarındaki Çoklu Güvenlik Açıkları Hassas Verileri Herkese Açık Hale Getiriyor

   Ağustos 28, 2024  Posted in CyberSecurityNews


Yapay Zeka Platformlarındaki Çoklu Güvenlik Açıkları Hassas Verileri Herkese Açık Hale Getiriyor

Yapay zeka (YZ) platformları, dünya çapındaki işletmeler ve kuruluşlar için vazgeçilmez araçlar haline geldi.

Bu teknolojiler, büyük dil modelleri (LLM) tarafından desteklenen sohbet robotlarından karmaşık makine öğrenimi işlemlerine (MLOps) kadar verimlilik ve yenilik vaat ediyor.

DÖRT

Ancak son araştırmalar, bu sistemlerde hassas verilerin potansiyel istismara açık hale gelmesine yol açan endişe verici güvenlik açıklarını ortaya çıkardı.

Bu makale, vektör veri tabanları ve LLM araçlarına odaklanarak AI platformu güvenlik açıkları üzerine kapsamlı bir çalışmanın bulgularını inceliyor. AI platformları, operasyonları kolaylaştırması ve kullanıcı deneyimlerini geliştirmesiyle övülüyor.

İşletmeler bu araçları görevleri otomatikleştirmek, verileri yönetmek ve müşterilerle etkileşim kurmak için kullanır. Ancak, yapay zekanın rahatlığı, özellikle veri güvenliğiyle ilgili önemli risklerle birlikte gelir. Legit Security çalışması, endişe duyulan iki temel alanı vurgular: vektör veritabanları ve LLM araçları.

Are You From SOC/DFIR Teams? - Try Advanced Malware and Phishing Analysis With ANY.RUN -14-day free trial

Kamuya Açık Vektör Veritabanları

Vektör Veritabanlarını Anlamak

Vektör veritabanları, verileri çok boyutlu vektörler olarak depolayan ve yapay zeka mimarilerinde yaygın olarak kullanılan uzmanlaşmış sistemlerdir. Yapay zeka modellerinin yanıtlar üretmek için harici veri alımına güvendiği alım-artırılmış üretim (RAG) sistemlerinde önemli bir rol oynarlar. Popüler platformlar arasında Milvus, Qdrant, Chroma ve Weaviate bulunur.

Weaviate vektör veritabanı (Kaynak: Legit Security)
Weaviate vektör veritabanı (Kaynak: Legit Security)

Güvenlik Riskleri

Faydalı olmalarına rağmen vektör veritabanları ciddi güvenlik tehditleri oluşturur. Birçok örnek, uygun kimlik doğrulaması olmadan herkese açıktır ve yetkisiz kullanıcıların hassas bilgilere erişmesine olanak tanır.

Bunlara kişisel olarak tanımlanabilir bilgiler (PII), tıbbi kayıtlar ve özel iletişimler dahildir. Çalışma, veri sızıntısı ve veri zehirlenmesinin yaygın riskler olduğunu buldu.

Resim Konumu: Ortada, vurgulanan güvenlik açıklarına sahip bir vektör veritabanı mimarisini göstermektedir.

Gerçek Dünyadan Örnekler

Soruşturmada hassas kurumsal veya özel verilerin bulunduğu yaklaşık 30 sunucu ortaya çıkarıldı. Bunlar arasında şunlar yer alıyor:

  • Şirket e-posta görüşmeleri
  • Müşteri PII’leri ve ürün seri numaraları
  • Mali kayıtlar
  • Aday özgeçmişleri

Bir durumda, bir mühendislik hizmetleri şirketinden alınan bir Weaviate veritabanı özel e-postalar içeriyordu. Başka bir örnekte, bir endüstriyel ekipman firmasından alınan müşteri ayrıntılarının bulunduğu bir Qdrant veritabanı söz konusuydu.

Kodsuz LLM Otomasyon Araçları

Flowise gibi düşük kodlu platformlar, kullanıcıların veri yükleyicileri, önbellekleri ve veritabanlarını entegre ederek AI iş akışları oluşturmasını sağlar. Güçlü olsalar da, bu araçlar düzgün bir şekilde güvence altına alınmazlarsa veri ihlallerine karşı savunmasızdır.

Güvenlik Riskleri

LLM araçları, veri sızıntısı ve kimlik bilgisi ifşası gibi vektör veritabanlarına benzer tehditlerle karşı karşıyadır. Çalışma, basit URL manipülasyonu yoluyla kimlik doğrulama atlamasına izin veren Flowise’da kritik bir güvenlik açığı (CVE-2024-31621) tespit etti.

Herhangi bir API isteğinde HTTP 401 - Yetkisiz Hata döndüren açığa çıkan Flowise sunucusu (kaynak: Legit Security)
Herhangi bir API isteğinde HTTP 401 – Yetkisiz Hata döndüren ifşa edilmiş Flowise sunucusu (kaynak: Legit Security)

Temel Bulgular

Araştırma, çok sayıda ifşa edilmiş sırrı ortaya çıkardı, bunlardan bazıları:

  • OpenAI API anahtarları
  • Pinecone API anahtarları
Akış yapılandırmalarından birinde sabit kodlanmış olarak bulduğumuz Pinecone API anahtarı gösteriliyor (kaynak: Legit Security)
Akış yapılandırmalarından birinde sabit kodlanmış olarak bulduğumuz Pinecone API anahtarı gösteriliyor (kaynak: Legit Security)
Güvenlik açığı bulunan bir Flowise örneğinden GitHub Token'ları ve OpenAI API anahtarları (kaynak: Legit Security)
Güvenlik açığı bulunan bir Flowise örneğinden GitHub Token’ları ve OpenAI API anahtarları (kaynak: Legit Security)

Bu bulgular, güvenlik açıklarının giderilmemesi durumunda önemli veri ihlallerinin yaşanma potansiyelini vurguluyor.

Azaltma Stratejileri

Bu güvenlik açıklarıyla mücadele etmek için kuruluşların sağlam güvenlik önlemleri uygulaması gerekir. Önerilen eylemler şunları içerir:

  • Sıkı kimlik doğrulama ve yetkilendirme protokollerinin uygulanması
  • Bilinen güvenlik açıklarını kapatmak için yazılımı düzenli olarak güncelleyin
  • Kapsamlı güvenlik denetimleri ve penetrasyon testleri yürütmek
  • Personelin veri korumasına ilişkin en iyi uygulamalar konusunda eğitilmesi

Yapay zeka platformlarında ortaya çıkarılan güvenlik açıkları, artırılmış güvenlik önlemlerine acil ihtiyaç olduğunu vurgulamaktadır. Yapay zeka çeşitli sektörlere nüfuz ederken, hassas verileri korumak en önemli öncelik olmalıdır. Kuruluşların riskleri proaktif bir şekilde azaltmaları ve dijital varlıklarını korumaları teşvik edilmektedir.

Bu çalışmanın bulguları, yapay zeka çağında siber güvenliği ihmal etmenin olası sonuçlarına dair çarpıcı bir hatırlatma görevi görüyor. İşletmeler, bu güvenlik açıklarını ele alarak, verilerinin güvenliğini ve gizliliğini sağlarken yapay zeka teknolojilerinin tüm potansiyelinden yararlanabilirler.

Protect Your Business with Cynet Managed All-in-One Cybersecurity Platform – Try Free Trial



Source link