"Schweren Sicherheitsanfälligkeiten in Open-Source-KI-Modellen entdeckt: Schutzmaßnahmen dringend erforderlich!"
Sicherheitsanfälligkeiten in Open-Source-AI- und ML-Modellen: Eine Alarmglocke für die Community
Veröffentlicht am: 29. Oktober 2024
Autor: Ravie Lakshmanan
Tags: AI-Sicherheit / Schwachstellen
In der dynamischen Welt der künstlichen Intelligenz (KI) und des maschinellen Lernens (ML) kann die Sicherheit von offenen Modellen über Erfolg oder Misserfolg entscheiden. Jüngste Berichte haben über mehr als drei Dutzend Sicherheitsanfälligkeiten in verschiedenen Open-Source-KI- und ML-Modellen hinweg aufgezeigt, die gravierende Risiken mit sich bringen, darunter entfernte Codeausführung und Datenverlust.
Die Bedrohungslage
Die Schwachstellen wurden in populären Werkzeugen wie ChuanhuChatGPT, Lunary und LocalAI entdeckt und sind Teil des Bug-Bounty-Programms von Protect AI, dem sogenannten Huntr-Plattform. Besonders alarmierend sind zwei schwerwiegende Schwächen in Lunary, einem Produktionswerkzeug für große Sprachmodelle (LLMs):
-
CVE-2024-7474 (CVSS Score: 9.1) – Eine Bedrohung durch unsichere direkte Objektverweise (IDOR), die es einem authentifizierten Nutzer ermöglicht, externe Benutzer zu sehen oder zu löschen, was zu unbefugtem Datenzugriff und möglichen Datenverlust führt.
- CVE-2024-7475 (CVSS Score: 9.1) – Eine Verletzung der Zugriffskontrolle, die es Angreifern erlaubt, die SAML-Konfiguration zu aktualisieren. Dadurch kann sich ein unbefugter Benutzer einloggen und auf sensible Informationen zugreifen.
Darüber hinaus wurde eine weitere IDOR-Schwachstelle in Lunary entdeckt (CVE-2024-7473, CVSS Score: 7.5), die es Angreifern ermöglicht, die Eingabeaufforderungen anderer Benutzer zu manipulieren.
Weitere kritische Schwachstellen
Eine weitere kritische Schwachstelle betrifft ein Pfadüberschreitungsproblem in ChinhuChatGPTs Upload-Funktion (CVE-2024-5982, CVSS Score: 9.1), das zu beliebiger Codeausführung führen könnte. Für LocalAI wurden zwei sicherheitsrelevante Mängel identifiziert:
- CVE-2024-6983 (CVSS Score: 8.8): Eine anfällige Konfigurationsdatei könnte von Angreifern hochgeladen werden, um beliebigen Code auszuführen.
- CVE-2024-7010 (CVSS Score: 7.5): Durch eine Timing-Attacke können Angreifer gültige API-Schlüssel erraten.
Reaktionen und Empfehlungen
Die Sicherheitsgemeinschaft ist alarmiert über diese neuen Entdeckungen. Gleich nach der Veröffentlichung der Schwachstellen riet Protect AI den Nutzern, ihre Installationen auf die neuesten Versionen zu aktualisieren, um ihre KI/ML-Lieferkette zu sichern und sich vor potenziellen Angriffen zu schützen.
Zusätzlich hat Protect AI eine Neuheit präsentiert: Vulnhuntr, ein Open-Source-Python-Analyzer, der große Sprachmodelle nutzt, um Null-Tag-Schwachstellen in Python-Codebasen zu finden. Es funktioniert, indem es den Code in kleinere Einheiten aufteilt, um mögliche Sicherheitsprobleme effizient zu identifizieren.
Fazit
Die Offenlegungen kommen zu einem kritischen Zeitpunkt, während sich Unternehmen immer stärker auf KI und ML verlassen. Da Sicherheitsanfälligkeiten in diesen Technologien zunehmen, ist es unerlässlich, dass Entwickler und Unternehmen die notwendigen Schritte unternehmen, um die Sicherheit ihrer Systeme zu gewährleisten. Die Implementierung von Schutzmaßnahmen, regelmäßigen Updates und der Einsatz neuer Analysewerkzeuge wie Vulnhuntr sind entscheidend, um die Herausforderung der Cybersicherheit in der KI-Welt zu meistern.
Wenn Ihnen dieser Artikel gefallen hat, folgen Sie uns auf Twitter und LinkedIn, um mehr exklusive Inhalte zu lesen, die wir veröffentlichen.