کشف آسیب‌پذیری‌های موجود در مدل‌های AI و ML منبع‌باز

security news

چندین آسیب‌پذیری امنیتی در مدل‌های مختلف هوش مصنوعی منبع باز (AI) و یادگیری ماشین (ML) فاش شده‌اند که برخی از آنها می‌توانند منجر به اجرای کد از راه دور و سرقت اطلاعات شوند. نقص‌هایی که در ابزارهایی مانند ChuanhuChatGPT, Lunary و LocalAI شناسایی شده‌اند، به‌ عنوان بخشی از پلتفرم پاداش باگ Huntr Protect AI گزارش شده‌اند.

▪️شدیدترین نقص‌ها شامل شناسه‌های CVE-2024-7474 (امتیاز CVSS: 9.1) و CVE-2024-7475 (امتیاز CVSS: 9.1) است که Lunary – تولکیت تولید مدل‌های زبان بزرگ (LLM) را تحت تأثیر قرار می‌دهد.

▪️همچنین آسیب‌پذیری IDOR با شناسه CVE-2024-7473 و امتیاز CVSS: 7.5 که به نفوذگر اجازه می‌دهد با دستکاری پارامتر کنترل‌ شده توسط کاربر، درخواست‌های کاربران دیگر را به‌روزرسانی کند.

آسیب‌پذیری‌های مهم دیگر عبارتند از:

▫️نقص پیمایش مسیر در ویژگی آپلود کاربر ChuanhuChatGPT با شناسه CVE-2024-5982 و امتیاز CVSS: 9.1 که می‌تواند منجر به اجرای کد دلخواه، ایجاد دایرکتوری و قرار گرفتن در معرض داده‌های حساس شود.

▫️دو نقص امنیتی با شناسه‌های CVE-2024-6983 و امتیاز CVSS: 8.8 و CVE-2024-7010 با امتیاز CVSS: 7.5 در پروژه منبع باز LocalAI شناسایی شده است که به کاربران امکان می‌دهد LLMهای خود میزبانی را اجرا کنند، به طور بالقوه به عوامل مخرب اجازه می‌دهد تا کد دلخواه را با آپلود فایل پیکربندی مخرب اجرا کنند و با تجزیه و تحلیل زمان پاسخ، کلیدهای API معتبر را حدس بزند.

▫️ نقص اجرای کد از راه دور با شناسه CVE-2024-8396 و امتیاز CVSS: 7.8 که بر روی Deep Java Library (DJL) تأثیر می‌گذارد و از باگ بازنویسی فایل دلخواه که ریشه در تابع پکیج untar دارد، ناشی می‌شود.

https://thehackernews.com/2024/10/researchers-uncover-vulnerabilities-in.html