世界各地數以百萬計的組織使用基於開放原始碼為基礎的方式,以加快軟體開發速度,尤其是面對龐大的AI系統開發,軟體團隊承受著盡快交付全新或更新的程式,使得人工智慧/機器學習供應鏈中使用開源程式成為必然趨勢。根據Protect AI 最新報告顯示,在各種開源AI/ML工具中已發現了十幾個嚴重漏洞。這些漏洞中最嚴重的是CVE-2024-22476(CVSS 評分為10),這是Intel神經網路壓縮框架(NNCF)軟體中存在不正確的輸入驗證,可能造成遠端攻擊者提升其權限。所幸該漏洞已於5 月中旬解決。
此外,LoLLMs是一個基於大型語言模型的文件產生伺服器。目前發現LoLLMs 存在路徑遍歷漏洞 (CVE-2024-3429),從而導致任意檔案讀取風險,可能被利用來存取敏感資料或導致阻斷服務(DoS) 情況。還有知識庫打造工具ChuanhuChatGPT 中也存在另一個路徑遍歷漏洞 (CVE-2024-3234)。攻擊者可以利用該問題竊取敏感檔。
參考來源:https://www.anquanke.com/
風險影響分析:
圖檔來源: https://feedly.com, https://nvd.nist.gov
建議措施:
開發人員需要分別檢查每個軟體元件,並且為其驗證為確認沒有錯誤,至少應包括三個過程:定期審查和測試、追蹤漏洞並在內部報告、即時修復漏洞。
歡迎推薦訂閱,訂閱網址:https://www.surveycake.com/s/AwNMO