当前位置:首页 >文章发布 > 正文
AI 平台 Replicate 曝“跨租户攻击”安全隔离漏洞
来源:IT之家 作者:
佚名
2024-05-29 09:05:09
5月28日消息,安全公司Wiz近日发布报告,宣称开源AI模型共享平台Replicate存在重大漏洞,黑客可通过恶意模型进行“跨租户攻击”,从而导致平台用户训练的AI模型内部机密数据泄露。
5月28日消息,安全公司Wiz近日发布报告,宣称开源AI模型共享平台Replicate存在重大漏洞,黑客可通过恶意模型进行“跨租户攻击”,从而导致平台用户训练的AI模型内部机密数据泄露。
安全公司声称,Replicate平台出现“跨租户攻击”漏洞的主要原因是该平台为提升AI模型推论(inference)效率推出的模型容器化格式Cog,虽然相关格式能够显著改善模型与效率,不过Replicate平台忽略了Cog格式中的安全隔离机制。
黑客可以将经过训练后的恶意模型打包成Cog容器,并通过Replicate的用户操作界面与容器互动,最终成功进行了一系列远程执行代码(RCE)攻击测试,获得了容器的root权限。
AI平台Replicate曝“跨租户攻击”安全隔离漏洞,用户自训练人工智能模型可被黑客入侵
此后,研究人员还对Replicate平台的基础设施进一步调查,利用当前容器的TCP连接成功访问到另一台容器,并通过名为rshijack的工具将特定数据成功注入至TCP连接中,从而绕过了平台的身份验证步骤,成功访问到其他用户的AI模型。
AI平台Replicate曝“跨租户攻击”安全隔离漏洞,用户自训练人工智能模型可被黑客入侵
研究人员指出,黑客可以利用相关漏洞轻松获取其他用户自用的AI模型,能够自由从相关模型问答记录中提取用户隐私数据,还能够自由下载/修改用户模型内容,对平台存在严重危害。
免责声明:本文系网络转载,版权归原作者所有。本文所用图片、文字如涉及作品版权问题,请联系删除!本文内容为原作者观点,并不代表本网站观点。
编辑:乔帅臣
数据分类分级方法、标准及应用实践
