Yapay Zeka ve Makine Öğrenimi, Yeni Nesil Teknolojiler ve Güvenli Geliştirme
Araştırmacılar, Özel Yapay Zeka Modellerine Yasa Dışı Erişimin Kiracılar Arası Saldırıları Etkinleştirebileceğini Söyledi
Sayın Mihir (MihirBagwe) •
8 Nisan 2024
Güvenlik araştırmacıları, Hugging Face AI platformunda, müşteri verilerine ve modellerine yetkisiz erişim ve manipülasyon yapmak isteyen saldırganlar için potansiyel açıkları açığa çıkaran iki kritik güvenlik açığı keşfetti.
Ayrıca bakınız: Üretken Yapay Zeka Anketi Sonuç Analizi: Google Cloud
Google ve Amazon tarafından finanse edilen Hugging Face platformu, geliştiricilerin yapay zeka modellerine sorunsuz bir şekilde erişmesine ve dağıtmasına yardımcı olmak için tasarlandı. Wiz’deki araştırmacılar, AIaaS platformunun altyapısındaki iki önemli riski bulup düzeltmek için Hugging Face ile birlikte çalıştı.
Wiz, geçen hafta yayınlanan bir raporda, “Kötü niyetli bir aktör Hugging Face’in platformunu tehlikeye atarsa, potansiyel olarak özel AI modellerine, veri kümelerine ve kritik uygulamalara erişim kazanabilir, bu da geniş çaplı hasara ve potansiyel tedarik zinciri riskine yol açabilir” dedi.
İki farklı risk, paylaşılan çıkarım altyapısının ve paylaşılan CI/CD sistemlerinin tehlikeye atılmasından kaynaklanmaktadır. Böyle bir ihlal, hizmete “turşu” biçiminde yüklenen güvenilmeyen modellerin yürütülmesini kolaylaştırabilir ve bir tedarik zinciri saldırısı düzenlemek için CI/CD hattının manipülasyonuna olanak sağlayabilir.
Pickle, Python nesnelerinin serileştirilmesine ve seri durumdan çıkarılmasına olanak tanıyan bir Python modülüdür. Bir Python nesnesinin bir bayt akışına dönüştürülmesine ve bir diskte saklanmasına, bir ağ üzerinden gönderilmesine veya bir veritabanında saklanmasına yardımcı olur. Nesne tekrar gerekli olduğunda bayt akışı seri durumdan çıkarılarak bir Python nesnesine dönüştürülür. Python yazılım vakfının Pickle’ın güvensizliğini kabul etmesine rağmen basitliği ve yaygın kullanımı nedeniyle popülerliğini koruyor.
Wiz araştırmacıları, kötü niyetli aktörlerin, uzaktan kod yürütme yükleri içeren serileştirilmiş modeller oluşturabileceğini ve bu modellerin onlara yükseltilmiş ayrıcalıklar ve diğer müşterilerin modellerine kiracılar arası erişim sağlama potansiyeline sahip olabileceğini açıkladı.
CI/CD hattındaki güvenlik açıklarından yararlanan saldırganlar, derleme sürecine kötü amaçlı kod ekleyebilir. Saldırganlar, CI/CD kümesini tehlikeye atarak tedarik zinciri saldırıları düzenleyebilir ve potansiyel olarak platformda konuşlandırılan yapay zeka uygulamalarının bütünlüğünü tehlikeye atabilir.
Wiz araştırmacıları, Hugging Face’in platformuna özel hazırlanmış turşu tabanlı bir model yüklerken görüldükleri bir YouTube videosunda bu güvenlik açıklarından yararlanıldığını gösterdi. Pickle’ın güvenli olmayan seri durumdan çıkarma davranışını kullanarak uzaktan kod çalıştırdılar ve Hugging Face’in altyapısı içindeki çıkarım ortamına erişim sağladılar. Wiz, “Yükleme sırasında isteğe bağlı kod çalıştıracak bir PyTorch (Pickle) modeli oluşturmak nispeten basittir” dedi. Hugging Face bile bunun farkında ancak “topluluk hala PyTorch turşusu kullandığından Hugging Face’in bunu desteklemesi gerekiyor” diye ekledi Wiz.
Wiz’in araştırması, modellerinin Amazon Elastic Kubernetes Service’teki (EKS olarak da bilinen) bir kümedeki bir bölme içinde çalıştığını gözlemledi. Araştırmacılar yaygın yanlış yapılandırmaları kullandılar ve yanal hareket için paylaşılan altyapıdaki diğer kiracıların ihlal edilmesi için gereken sırlara erişim için onlara gerekli ayrıcalıkları veren bilgileri çıkardılar.
Wiz araştırmacıları ayrıca AI/ML uygulamalarını veya işbirliğine dayalı model geliştirmeyi sergilemeye yönelik bir barındırma hizmeti olan Hugging Face Spaces’taki zayıflığı da tespit etti. Wiz, bir saldırganın uygulama oluşturma süresi boyunca rastgele kod yürütebileceğini ve bu sayede makinelerindeki ağ bağlantılarını inceleyebileceğini buldu. İncelemeleri, diğer müşterilere ait görüntülerin yer aldığı ve manipüle edebilecekleri paylaşılan bir konteyner kayıt defteriyle bağlantı olduğunu ortaya çıkardı.
Hugging Face, Wiz tarafından bulunan riskleri etkili bir şekilde azalttığını ve platforma yönelik gelecekteki riskleri belirlemek ve azaltmak için bir bulut güvenliği duruş yönetimi teklifi, güvenlik açığı taraması ve yıllık sızma testi faaliyeti uyguladığını söyledi.
Hugging Face ayrıca kullanıcılara, doğası gereği güvenlik sorunları içeren turşu dosyalarını, şirket tarafından tensörleri depolamak için tasarlanan bir format olan Safetensors ile değiştirmelerini tavsiye etti.
Hugging Face’te açıklanan güvenlik açıkları, son dört ayda AIaaS platformunda bulunan ikinci kurulum kusurunu oluşturdu. Şirket Aralık ayında başka bir siber güvenlik şirketi olan Lasso Security tarafından bildirilen kritik API kusurlarını düzelttiğini doğruladı (bkz.: API Kusurları Yapay Zeka Modellerini Veri Zehirlenmesi Riskiyle Karşı Karşıya Bırakıyor).