Desde agosto de 2023, membros da plataforma de recompensas de bugs Huntr para inteligência artificial (IA) e aprendizado de máquina (ML) descobriram mais de uma dúzia de vulnerabilidades que expõem modelos de IA/ML ao controle de sistemas e roubo de informações confidenciais.
Identificados em ferramentas com centenas de milhares ou milhões de downloads por mês, como H2O-3, MLflow e Ray, esses problemas impactam potencialmente toda a cadeia de fornecimento de IA/ML, diz Proteger IAque gerencia Caçador.
Uma plataforma de aprendizado de máquina de baixo código, o H2O-3 oferece suporte à criação e implantação de modelos de ML por meio de uma interface web, apenas importando dados. Ele permite que os usuários carreguem objetos Java remotamente por meio de chamadas de API.
Por padrão, a instalação é exposta à rede e não requer autenticação, permitindo assim que invasores forneçam objetos Java maliciosos que o H2O-3 executaria, permitindo-lhes acessar o sistema operacional.
Rastreada como CVE-2023-6016 (pontuação CVSS de 10), a vulnerabilidade de execução remota de código (RCE) pode permitir que invasores assumam completamente o controle do servidor e roubem modelos, credenciais e outros dados.
Os caçadores de bugs descobriram dois outros problemas críticos no serviço de baixo código, ou seja, uma falha de inclusão de arquivo local (CVE-2023-6038) e um bug de script entre sites (XSS) (CVE-2023-6013), junto com um alto -vulnerabilidade de controle de bucket S3 de gravidade (CVE-2023-6017).
O MLflow, uma plataforma de código aberto para o gerenciamento do ciclo de vida de ML ponta a ponta, também carece de autenticação por padrão, e os pesquisadores identificaram quatro vulnerabilidades críticas nele.
Os mais graves deles são erros de gravação arbitrária de arquivos e de passagem de patches (CVE-2023-6018 e CVE-2023-6015, pontuação CVSS de 10) que podem permitir que um invasor não autenticado sobrescreva arquivos arbitrários no sistema operacional e obtenha RCE.
A ferramenta também foi considerada vulnerável a vulnerabilidades de inclusão arbitrária de arquivos de gravidade crítica (CVE-2023-1177) e desvio de autenticação (CVE-2023-6014).
O projeto Ray, uma estrutura de código aberto para treinamento distribuído de modelos de ML, também carece de autenticação padrão.
Uma falha crítica de injeção de código no parâmetro de formato cpu_profile de Ray (CVE-2023-6019, pontuação CVSS de 10) pode levar ao comprometimento total do sistema. O parâmetro não foi validado antes de ser inserido em um comando do sistema executado em um shell.
Os caçadores de bugs também identificaram dois problemas críticos de arquivos locais que podem permitir que invasores remotos leiam qualquer arquivo no sistema Ray. Os defeitos de segurança são rastreados como CVE-2023-6020 e CVE-2023-6021.
Todas as vulnerabilidades foram relatadas aos fornecedores pelo menos 45 dias antes da divulgação pública. Os usuários são aconselhados a atualizar suas instalações para as versões não vulneráveis mais recentes e restringir o acesso aos aplicativos onde os patches não estão disponíveis.
