چندین آسیبپذیری امنیتی در مدلهای مختلف هوش مصنوعی منبع باز (AI) و یادگیری ماشین (ML) فاش شدهاند که برخی از آنها میتوانند منجر به اجرای کد از راه دور و سرقت اطلاعات شوند. نقصهایی که در ابزارهایی مانند ChuanhuChatGPT, Lunary و LocalAI شناسایی شدهاند، به عنوان بخشی از پلتفرم پاداش باگ Huntr Protect AI گزارش شدهاند.
▪️شدیدترین نقصها شامل شناسههای CVE-2024-7474 (امتیاز CVSS: 9.1) و CVE-2024-7475 (امتیاز CVSS: 9.1) است که Lunary – تولکیت تولید مدلهای زبان بزرگ (LLM) را تحت تأثیر قرار میدهد.
▪️همچنین آسیبپذیری IDOR با شناسه CVE-2024-7473 و امتیاز CVSS: 7.5 که به نفوذگر اجازه میدهد با دستکاری پارامتر کنترل شده توسط کاربر، درخواستهای کاربران دیگر را بهروزرسانی کند.
آسیبپذیریهای مهم دیگر عبارتند از:
▫️نقص پیمایش مسیر در ویژگی آپلود کاربر ChuanhuChatGPT با شناسه CVE-2024-5982 و امتیاز CVSS: 9.1 که میتواند منجر به اجرای کد دلخواه، ایجاد دایرکتوری و قرار گرفتن در معرض دادههای حساس شود.
▫️دو نقص امنیتی با شناسههای CVE-2024-6983 و امتیاز CVSS: 8.8 و CVE-2024-7010 با امتیاز CVSS: 7.5 در پروژه منبع باز LocalAI شناسایی شده است که به کاربران امکان میدهد LLMهای خود میزبانی را اجرا کنند، به طور بالقوه به عوامل مخرب اجازه میدهد تا کد دلخواه را با آپلود فایل پیکربندی مخرب اجرا کنند و با تجزیه و تحلیل زمان پاسخ، کلیدهای API معتبر را حدس بزند.
▫️ نقص اجرای کد از راه دور با شناسه CVE-2024-8396 و امتیاز CVSS: 7.8 که بر روی Deep Java Library (DJL) تأثیر میگذارد و از باگ بازنویسی فایل دلخواه که ریشه در تابع پکیج untar دارد، ناشی میشود.
https://thehackernews.com/2024/10/researchers-uncover-vulnerabilities-in.html