Các chuyên gia an ninh mạng đã phát hiện ra một lỗ hổng bảo mật nghiêm trọng trong Replicate, một nhà cung cấp dịch vụ trí tuệ nhân tạo (AI), có thể cho phép kẻ tấn công truy cập vào các mô hình AI độc quyền và thông tin nhạy cảm của khách hàng.
Theo báo cáo của công ty bảo mật đám mây Wiz, việc khai thác lỗ hổng này có thể dẫn đến truy cập trái phép vào các câu lệnh và kết quả từ mô hình AI của tất cả khách hàng trên nền tảng Replicate.
Nguyên nhân của vấn đề này bắt nguồn từ việc các mô hình AI thường được đóng gói ở các định dạng cho phép thực thi mã tùy ý, mà kẻ tấn công có thể tận dụng để thực hiện các cuộc tấn công chéo khách thuê bằng cách sử dụng một mô hình độc hại.
Replicate sử dụng một công cụ mã nguồn mở gọi là Cog để chứa và đóng gói các mô hình học máy của họ, sau đó triển khai chúng trong môi trường tự lưu trữ hoặc trên nền tảng Replicate. Wiz đã tạo ra một gói Cog độc hại và tải nó lên Replicate, sau đó sử dụng nó để thực thi mã từ xa trên cơ sở hạ tầng của dịch vụ với các đặc quyền nâng cao.
Các nhà nghiên cứu bảo mật Shir Tamari và Sagi Tzadik cho biết, kỹ thuật thực thi mã này là một dạng thức mà các công ty và tổ chức phải đối mặt khi chạy các mô hình AI từ các nguồn không đáng tin cậy, ngay cả khi các mô hình này có khả năng độc hại.
Cuộc tấn công tận dụng kết nối TCP đã được thiết lập liên quan đến một phiên bản máy chủ Redis trong cụm Kubernetes được lưu trữ trên nền tảng đám mây của Google để ra các lệnh tùy ý. Với máy chủ Redis tập trung được sử dụng làm hàng đợi để quản lý nhiều yêu cầu của khách hàng và phản hồi của họ, các nhà nghiên cứu phát hiện ra rằng nó có thể bị lạm dụng để tạo điều kiện cho các cuộc tấn công chéo khách thuê bằng cách can thiệp vào quy trình để chèn các tác vụ giả mạo, có thể ảnh hưởng đến kết quả các mô hình của khách hàng khác.
Những hoạt động giả mạo này không chỉ đe dọa tính toàn vẹn của các mô hình AI mà còn đặt ra rủi ro đáng kể đối với độ chính xác và độ tin cậy của các kết quả do AI tạo ra. Kẻ tấn công có thể truy vấn các mô hình AI riêng tư của khách hàng, có khả năng làm lộ các nội dung độc quyền hoặc dữ liệu nhạy cảm liên quan đến quá trình đào tạo mô hình. Ngoài ra, việc đánh chặn các câu lệnh có thể làm lộ dữ liệu nhạy cảm, bao gồm thông tin nhận dạng cá nhân.
Lỗ hổng này đã được công bố vào tháng 1 năm 2024 và đã được Replicate khắc phục. Hiện không có bằng chứng cho thấy lỗ hổng này bị khai thác ngoài thực tế để xâm phạm dữ liệu của khách hàng. Thông tin tiết lộ được đưa ra chỉ hơn một tháng sau khi Wiz nêu chi tiết về các rủi ro đã được vá trong các nền tảng như Hugging Face, có thể cho phép kẻ tấn công leo thang đặc quyền, truy cập chéo giữa các khách hàng và thậm chí chiếm quyền kiểm soát quy trình tích hợp và triển khai liên tục (CI/CD).
Các chuyên gia kết luận rằng, các mô hình độc hại đại diện cho một rủi ro lớn đối với các hệ thống AI, đặc biệt là đối với các nhà cung cấp dịch vụ AI vì kẻ tấn công có thể tận dụng các mô hình này để thực hiện các cuộc tấn công chéo thuê. Tác động tiềm ẩn là rất lớn, vì kẻ tấn công có thể truy cập vào hàng triệu mô hình và ứng dụng AI riêng tư được lưu trữ trong các nhà cung cấp dịch vụ AI.
TVN và NHP dịch
