AI／ML 工具10大漏洞　數百萬用戶面臨資安威脅

編譯／Cynthia

最近有消息指出，Huntr漏洞獎金平台發現了一個令人震驚的現象，「用於建立聊天機器人和其他人工智慧與機器學習（AI／ML）模型的工具中，竟然發現了超過十個存在安全漏洞的問題。」這不僅僅是單一工具的問題，還牽涉到每個月下載量驚人的知名工具，包括 H2O-3、MLflow 和 Ray 等。

低代碼風暴

在這些漏洞當中，引起廣泛關注的是低代碼（Low-Code）機器學習平台 H2O-3 的遠端程式碼執行漏洞。這意味著攻擊者可以無需身份驗證，就能接管伺服器，進而竊取模型和敏感資訊。這不僅僅是技術上的挑戰，更是對安全性的重大考驗。

更多新聞：預測未來趨勢　BCW推出全新AI平台

開源平台的漏網之魚

另一方面，廣泛使用的開源平台 MLflow 也未能倖免。由於缺乏默認身份驗證，研究人員發現其中存在任意文件寫入和系統命令注入的漏洞，使得未經授權的攻擊者能夠輕鬆覆寫操作系統上的檔案，可能導致嚴重後果。

分散式模型培訓的挑戰

同樣地，分散式機器學習模型培訓框架 Ray 也被揭露致命的程式碼注入漏洞。這表示該平台存在風險，攻擊者有可能完全掌控整個系統。雖然這些漏洞都已經向供應商報告，但問題的核心在於使用者未即時更新版本，仍在使用容易受攻擊的系統。

資安挑戰的關鍵教訓

所有漏洞報告給供應商後，至少需要45天才進行公開披露。這提醒我們資安的脆弱性，也顯示了保護AI／ML供應鏈的迫切性。即便供應商提供了修補措施，但這仍需要用戶的積極參與，儘快升級至最新的非易受攻擊版本。

共同保護AI/ML的未來

這次事件再次顯示出資安風險的不可忽視性。我們應該共同努力，確保AI／ML技術的發展在安全的環境中實現。資安風險是一個共同的敵人，需要全球合作來共同應對。讓我們一同守護AI／ML的未來，建立更加安全可靠的數位環境。

漏洞的教訓

總而言之，這次曝露的超過十個漏洞數量和其影響範圍顯示AI／ML領域資安的複雜性。供應商的補救措施只是開始，用戶應該持續保持警覺，及時更新系統，以確保數位環境的安全。這次事件提供了一個明確的教訓，「保護AI／ML的未來需要我們共同努力，建立更加安全可靠的數位環境。」

資料來源：SecurityWeek

瀏覽 594 次