訂閱電子報∣ 友善列印字體大小 文章分享-Facebook 文章分享-Plurk 文章分享-Twitter
供應鏈資安快訊:Protect AI 報告發現 AI 和 ML 系統中的嚴重漏洞
獲取產業訊息零時差!立即訂閱電電公會電子報。

世界各地數以百萬計的組織使用基於開放原始碼為基礎的方式,以加快軟體開發速度,尤其是面對龐大的AI系統開發,軟體團隊承受著盡快交付全新或更新的程式,使得人工智慧/機器學習供應鏈中使用開源程式成為必然趨勢。根據Protect AI 最新報告顯示,在各種開源AI/ML工具中已發現了十幾個嚴重漏洞。這些漏洞中最嚴重的是CVE-2024-22476CVSS 評分為10),這是Intel神經網路壓縮框架(NNCF)軟體中存在不正確的輸入驗證,可能造成遠端攻擊者提升其權限。所幸該漏洞已於5 月中旬解決。

 

此外,LoLLMs是一個基於大型語言模型的文件產生伺服器。目前發現LoLLMs 存在路徑遍歷漏洞 (CVE-2024-3429),從而導致任意檔案讀取風險,可能被利用來存取敏感資料或導致阻斷服務(DoS) 情況。還有知識庫打造工具ChuanhuChatGPT 中也存在另一個路徑遍歷漏洞 (CVE-2024-3234)。攻擊者可以利用該問題竊取敏感檔。

參考來源:https://www.anquanke.com/ 

 

風險影響分析:

 

圖檔來源: https://feedly.com, https://nvd.nist.gov

 

建議措施:

開發人員需要分別檢查每個軟體元件,並且為其驗證為確認沒有錯誤,至少應包括三個過程:定期審查和測試、追蹤漏洞並在內部報告、即時修復漏洞。

 

歡迎推薦訂閱,訂閱網址:https://www.surveycake.com/s/AwNMO

 

訂閱電子報 友善列印 字體大小:
獲取產業訊息零時差!立即訂閱電電公會電子報。