Cercetătorii de la Protect AI au descoperit peste 36 de vulnerabilități severe în mai multe modele open-source de inteligență artificială (AI) și machine learning (ML), printre care ChuanhuChatGPT, Lunary și LocalAI, care ar putea permite executarea de cod la distanță și furtul de date.
Cele mai grave afectează toolkit-ul Lunary, folosit pentru modele de limbaj mari, unde autentificarea insuficientă și controlul de acces permit acces neautorizat și pierderi de date.
Atacatorii pot exploata aceste vulnerabilități prin configurări SAML incorecte sau manipularea unor parametri de utilizator, obținând acces la date sensibile fără permisiune.
În ChuanhuChatGPT, o vulnerabilitate de tip „path traversal” permite execuția de cod arbitrar, accesul la date sensibile și crearea de directoare neautorizate.
Până la publicarea acestui articol, NVIDIA a lansat patch-uri pentru vulnerabilitățile de „path traversal” în cadrul AI generativ NeMo.
Utilizatorii sunt sfătuiți să își actualizeze versiunile pentru a securiza lanțul AI/ML și a se proteja de atacuri.
„Actualizarea constantă a programelor și vigilența sunt cei mai buni aliați împotriva vulnerabilităților,” a subliniat un specialist în securitate cibernetică.
