オリゴが警告を発しています:TorchServeの重大なセキュリティの問題により、ハッカーはサーバを乗っ取り、悪意のあるAIモデルを注入することができます

「オリゴの警告:TorchServeにおける重大なセキュリティ問題により、ハッカーがサーバを乗っ取り、悪意のあるAIモデルを注入可能性がある」

<img alt=”” src=”https://ai.miximages.com/www.marktechpost.com/wp-content/uploads/2023/10/Screenshot-2023-10-10-at-10.41.46-PM-1024×550.png”/><img alt=”” src=”https://ai.miximages.com/www.marktechpost.com/wp-content/uploads/2023/10/Screenshot-2023-10-10-at-10.41.46-PM-150×150.png”/><p>大型言語モデルやAIモデルは、毎日人気が高まっています。事故の予防やがんの検出、公共安全の維持にさえ、最高の情報を提供するためにこれらのAIアプリに頼る必要があります。武装部隊や兵器も国際的な対立でAIを利用しています。</p><p>機械学習(ML)の研究は主にPyTorchによって推進されており、これは主要なAIプラットフォームとして際立っています。PyTorchは学術研究で広く使用されていますが、90%以上のML研究論文で使用されており、その知名度からAIベースのシステムに侵入しようとする潜在的な攻撃者の注目の的となっています。特に、Walmart、Amazon、OpenAI、Tesla、Azure、Google Cloud、Intelなど、世界最大の企業の一部でもPyTorchを利用しています。</p><p>しかし、Oligo Securityは誤ってTorchServeのデフォルトの設定が危険にさらされていることを発見しました。Oligoは、管理インターフェースでの新たな重大なSSRFの脆弱性を発見しました。この脆弱性により、任意のドメインからの設定のアップロードやリモートでのコード実行(RCE)が可能になり、攻撃者はShellTorchを利用してコードを実行し、ターゲットサーバを制御できます。</p><p>彼らはTorchServeが悪意のあるモデルの安全な逆シリアル化に対して脆弱であることに気付きました。これらの脆弱性の組み合わせにより、リモートコードの実行(RCE)や完全な乗っ取りが可能になる可能性があります。特に、数万のTorchServeアプリケーションがこのようなリスクにさらされています。多くの公開された脆弱なインスタンスはハッキングの対象となり、悪意のあるAIモデルや完全なサーバの乗っ取りさえも可能です。それにより、何百万人もの人々に影響を及ぼす可能性があります。これらの欠陥により、世界のサーバが危険にさらされることがあります。したがって、世界最大の企業のいくつかが即座に危険にさらされる可能性があります。</p><p>したがって、研究者はランタイム環境内での脅威の検出に対応するセキュリティ製品を開発しました。望ましくないまたは安全でないアプリケーションの動作のある特定の原因を見逃す可能性のある他のツールとは異なり、Oligoはライブラリが使用される動的な環境を調査し、見落とされる可能性のある問題を特定します。静的解析ソリューションとは異なり、Oligoは実行時にコードの異常を検出することもできます。これには、オープンソースのライブラリ、独自のサードパーティソフトウェア、カスタムコードで開発されたコードが含まれます。Oligoはまた、安全でない設定の可能性などの潜在的なリスク源も特定します。したがって、これらの脆弱性によって提供される高い特権を利用して、ターゲットのTorchServeサーバに入出力されるAIモデルや機密データを見る、変更する、盗む、削除することが可能です。</p><p>研究者は、Oligoの追加の利点として、低い中断でセキュリティの問題に対処する能力を強調しました。システムのセキュリティを向上させるために包括的なパッチ適用やバージョンの変更を必要としません。</p>

We will continue to update VoAGI; if you have any questions or suggestions, please contact us!

Share:

Was this article helpful?

93 out of 132 found this helpful

Discover more

AI研究

「Microsoftの研究者がPIT(Permutation Invariant Transformation)を提案:動的まばらさのためのディープラーニングコンパイラ」

“`html 最近、深層学習は動的スパース性に最適化されたモデルの研究によって注目されています。このシナリオでは、スパ...

AIテクノロジー

6つのGenAIポッドキャスト、聴くべきです

はじめに 急速に進化する 人工知能(AI)の世界において、生成AI(GenAI)の領域は魅力的でダイナミックな分野として注目され...

機械学習

「IoT企業のインテリジェントビデオアナリティクスプラットフォームを搭載したAIがベンガルール空港に到着」

毎年、約3200万人がベンガルール空港、またはBLRを通過し、世界で最も人口の多い国の中で最も忙しい空港の一つです。 このよ...

人工知能

プロンプトの旅:プロンプトエンジニアリングを通じた生成型AIシステムのライフサイクル

プロンプトエンジニアリングは、AIの応答を指導しますそのライフサイクルは倫理的な考慮事項を統合し、公正かつ透明なAIの未...

機械学習

モジラのコモンボイスでの音声言語認識 — Part I.

「話者の言語を特定することは、後続の音声テキスト変換のために最も困難なAIのタスクの一つですこの問題は、例えば人々が住...

AIニュース

FitBot — フィットネスチャットボットエージェント

健康意識が最前線にあり、バランスの取れたライフスタイルの追求が普遍的な願望となっている時代において、栄養は間違いなく...