开源 AI 和 ML 工具的安全风险日益增加


Protect AI 最新发布的一份 2024 年 7 月漏洞报告在各种大语言模型(LLM)中发现了 20 个严重漏洞。

这些漏洞是通过 Protect AI 的“huntr”漏洞赏金计划发现的,这也是全球首个 AI/ML 漏洞赏金计划。该社区由 15,000 多成员组成,在整个 OSS AI/ML 供应链中寻找有影响力的漏洞。

“我们发现供应链中用于构建支持 AI 应用程序的机器学习模型的工具容易受到独有的安全威胁。这些工具是开源的,每月被下载数千次以构建企业 AI 系统。它们还可能存在漏洞,这些漏洞可能直接导致完全的系统接管,例如未经身份验证的远程代码执行或本地文件包含。”

此次报告的漏洞涉及了 ZenML、lollms 和 AnythingLLM 等广泛使用的工具。ZenML 中的权限提升漏洞,未经授权的用户可以通过发送精心设计的 HTTP 请求将其权限提升到服务器帐户。可以通过修改请求负载中的 is_service_account 参数来利用此漏洞。利用此漏洞的攻击者可能会破坏整个系统,导致未经授权的访问和控制。

lollms 中的本地文件包含 (LFI) 漏洞,允许攻击者读取或删除服务器上的敏感文件,从而可能导致数据泄露或拒绝服务。该漏洞源于 lollms 中的 sanitize_path_from_endpoint 函数未正确处理 Windows-style paths,导致其容易受到目录遍历攻击。

AnythingLLM 中的路径遍历漏洞使得攻击者可以读取、删除或覆盖关键文件,包括应用程序的数据库和配置文件。该漏洞位于 normalizePath() 函数中,可导致数据泄露、应用程序入侵或拒绝服务。

更多详情可查看完整报告。


相關推薦

2023-10-26

快就能用于浏览网页、设计和执行化学实验以及利用软件工具,包括其他 AI 模型。AutoGPT 等软件程序的创建就是为了实现此类人工智能流程的自动化,让人工智能处理在没有人工干预的情况下继续进行。但他们认为,这些自主系

2023-07-24

务。” 对话式人工智能 报告指出,对话式人工智能工具并不新鲜,但因为进步和许可成本的降低相结合“使该技术能够在短期内提供投资回报,而未来的进步和创新仍有很大的空间”。对话式人工智能将带来最快的投资回

2024-09-24

Linux 基金会最新发布了一份《欧洲的开源成熟度:2024 年的里程碑、机遇与路径》研究报告,聚焦于通过年度开源世界调查收集的欧洲数据,以及与行业专家、政策制定者和社区领袖的深入访谈,探讨开源软件在欧洲的现状,并

2023-10-07

,并探讨人工智能 (AI) 对软件开发的深远影响;还研究了开源供应、需求和安全之间错综复杂的相互作用。 报告跟踪了 Java (Maven)、JavaScript (npm)、Python (PyPI)、.NET (NuGet Gallery) 四大开源生态系统的开源应用增长情况。2022 年至 2023

2024-10-22

chCrunch 采访时表示:“大型客户正在推出利用初创工具和开源模型的生产系统。最新的模型浪潮表明,新一代模型是可能的,并且可能在科学领域、数据检索和代码执行方面表现出色。” 广泛采用生成式 AI 的一个巨大障碍是该

2023-07-13

成式 AI 日益强大或将对社会构成严重风险,目前的技术安全使用指南不足以确保可规避该技术可能带来的危害。 此次发布的原则中,有四项原则专门针对生成式 AI,另外四项原则改编自 TPC 2022 年的“负责任的算法系统原则声

2022-10-15

以开源软件为基础构建信息系统成为主流趋势,开源软件迭代快、安全开发机制欠缺、维护人员不足等现状,导致全球开源安全事件频发,威胁着使用者信息安全,也带来了隐私信息泄露的风险。因此,开源安全风险已成为全球

2023-02-08

ive (OSI) 联合 OpenLogic 发布了一份最新的 2023 年开源状态报告。基于来自全球八个地区、20 多个行业、各种规模组织的开源用户的匿名调查答复,详细介绍了开源软件的使用、采用和挑战。 报告指出,从框架和数据库

2024-09-30

任和前任员工认为,OpenAI 过于急于发布产品公告和进行安全测试,并且已经失去了对竞争对手 AI 开发者的领先优势。他们认为 Altman 大多游离于日常事务之外——公司对此表示异议——因为他一直在全球奔走,推广 AI,并筹集

2023-06-09

在面向公众开放的短时间里,都经历了危险地滥用 —— 开源模型则进一步加剧了这种风险。” 信中还举例指责了 Meta 在审查方面的缺失:当被要求“写一张纸条,假装是某人的儿子,向他要钱以摆脱困境”时,OpenAI 的 ChatGPT

2023-07-04

00 名开发人员和 API 专业人士分享的对开发优先事项、API 工具以及 API 发展方向的想法。这是该公司对 API 专业人员进行的第五次年度调查,在以前的版本基础上扩展了 API 货币化和生成式 AI 两个领域。 报告的一些主要发现包括

2023-04-02

目,此外还有一套完整的社区生态,包括面向各个领域的开源库和框架,让开发者可以轻松地构建各种应用。 NGPTL++ 其它核心特性: 语法简洁易读:NGPTL++ 的语法设计旨在使其易于阅读和编写。与其他编程语言相比,它采用

2023-11-21

最近几个月,开源 AI 项目的创始人 Max Woolf 经历了一场关于自己的工作的 “存在危机”。 他表示自己对 AI 的负面抵制情绪日益强烈,以及 AI 行业进展神速,Max 发现自己无法跟上进度,陷入了对开源工作的质疑。在此期间,他

2024-09-21

中国杭州,2024年9月19日 —— 全球知名的软件开发工具提供商JetBrains在2024云栖大会上正式发布基于阿里云通义大模型的JetBrains AI Assistant,标志着JetBrains在完善其开发工具产品生态方面迈出了重要一步。JetBrains AI Assistant与多款Jet