Интернет без ограничений в России – с VPN через Телеграмм-бот:
|
Новые методы взлома ставят под сомнение безопасность систем Hugging Face.
ИБ-компания Wiz заявила, что поставщики услуг искусственного интеллекта, такие как Hugging Face, подвержены двум критическим рискам, которые могут позволить злоумышленникам повысить привилегии, получить доступ к моделям других клиентов и даже взять под контроль процессы непрерывной интеграции и развертывания (CI/CD).
Основные угрозы включают в себя:
- возможность использования вредоносных моделей для проведения атак на клиентов сервисов ИИ, что создает риск несанкционированного доступа к миллионам частных моделей ИИ и приложений.
- риск захвата общей инфраструктуры вывода и систем CI/CD, что позволяет запускать недоверенные модели (загруженные в формате pickle) и перехватывать CI/CD-конвейеры для осуществления атаки на цепочку поставок.
Исследователи из Wiz подчеркивают, что хакеры могут загрузить вредоносную модель, используя техники выхода из контейнера, чтобы выйти за пределы своего клиента и скомпрометировать весь сервис, получив доступ к моделям других клиентов.
Разблокируй интернет в России с помощью нашего VPN:
|
По сути, хакер может создать модель PyTorch (Pickle) с возможностями выполнения произвольного кода при загрузке и связать ее с неправильными конфигурациями в Amazon Elastic Kubernetes Service (EKS) для получения повышенных привилегий и бокового перемещения внутри кластера. Для устранения проблемы рекомендуется включить IMDSv2 с ограничением переходов, чтобы запретить модулям доступ к службе метаданных экземпляра (IMDS) и получение роли узла в кластере.
Цепочка атаки на сервисы ИИ-как-услуга
Кроме того, в исследовании обсуждаются потенциальные опасности, связанные с генеративными ИИ-моделями, такими как ChatGPT и Gemini, которые могут распространять вредоносные коды среди разработчиков ПО, что подчеркивает важность осторожного отношения к использованию больших языковых моделей (LLM) в целях программирования.
Hugging Face устранила все обнаруженные уязвимости, призвав пользователей использовать модели только из проверенных источников, активировать многофакторную аутентификацию и избегать использования файлов pickle в производственной среде.
Кибербезопасность – это просто, если знаешь как.
Подпишись и узнай!
Купить анонимный VPN означает приобретение виртуальной частной сети (VPN), которая обеспечивает высокий уровень анонимности и конфиденциальности при использовании интернета. Анонимный VPN помогает скрыть вашу личность, местоположение и онлайн-активность от посторонних, включая интернет-провайдеров, хакеров и государственные органы.
Почему стоит купить анонимный VPN?
-
Защита конфиденциальности: Анонимный VPN помогает защитить вашу личную информацию от слежки и утечек, что особенно важно в условиях растущей онлайн-угрозы.
-
Безопасность в общественных сетях: Используя анонимный VPN, вы можете безопасно подключаться к общественным Wi-Fi сетям, защищая свои данные от кражи.
-
Анонимное серфинг: Анонимный VPN позволяет вам без опасений исследовать интернет, не беспокоясь о том, что кто-то может отслеживать вашу активность.
-
Гибкость и удобство: Анонимные VPN-сервисы часто предлагают различные настройки и функции, что позволяет пользователю адаптировать сервис под свои нужды.
