Um levantamento recente da Protect AI, por meio da plataforma Huntr, revelou mais de trinta vulnerabilidades em ferramentas de inteligência artificial (IA) e aprendizado de máquina. Falhas em soluções como ChuanhuChatGPT, Lunary e LocalAI permitem a execução de código remotamente e o roubo de dados, colocando em risco tanto as informações dos usuários quanto a integridade das operações nessas plataformas.
Leia também
Falso captcha ataca principalmente gamers
Rapid7 busca novamente comprador, diz Reuters
No caso da ferramenta Lunary, utilizada para gerenciar grandes modelos de linguagem, foram encontradas duas vulnerabilidades críticas, ambas classificadas com pontuação CVSS 9.1. A primeira (CVE-2024-7474) possibilita que um invasor acesse dados de outros usuários, enquanto a segunda (CVE-2024-7475) permite que um atacante modifique a configuração SAML e acesse contas de terceiros. Uma terceira falha, menos crítica (CVSS 7.5), permite a manipulação de solicitações de outros usuários, aumentando o risco de acesso indevido.
O ChuanhuChatGPT também apresenta uma vulnerabilidade significativa (CVE-2024-5982), que facilita o upload de arquivos maliciosos e a criação de diretórios no servidor, dando aos invasores acesso a informações confidenciais e a capacidade de executar comandos remotos. Já o LocalAI enfrenta dois problemas críticos, sendo o primeiro relacionado ao upload de arquivos de configuração (CVE-2024-6983) e o segundo a ataques de temporização que possibilitam a dedução de chaves de API (CVE-2024-7010).
Outro caso envolve a biblioteca Deep Java Library (DJL), afetada por uma falha de descompactação de arquivos (CVE-2024-8396), permitindo que arquivos sejam sobrescritos e código arbitrário seja executado. Além disso, a NVIDIA lançou uma atualização para a plataforma NeMo, corrigindo uma vulnerabilidade que poderia causar corrupção de dados e execução de código não autorizado.
Essas descobertas reforçam a importância da cibersegurança nos avanços em IA. Especialistas alertam que, sem medidas de proteção adequadas, ferramentas de IA podem se tornar alvos fáceis para ataques, comprometendo dados e a confiança dos usuários.