Pesquisadores alertam que milhares de servidores foram comprometidos nos últimos sete meses devido à falta de autenticação por padrão em uma estrutura de computação de código aberto chamada Ray, que é usada para distribuir aprendizado de máquina e cargas de trabalho de inteligência artificial (IA).
Os desenvolvedores da estrutura, no entanto, não reconhecem a falta de autenticação integrada como uma vulnerabilidade, pois alegam ser uma decisão de design intencional e documentada, embora isso não tenha impedido as organizações de exporem implantações na internet.
“Milhares de empresas e servidores que executam infraestrutura de IA estão expostos ao ataque por meio de uma vulnerabilidade crítica que está sob disputa e, portanto, não tem patch”, disseram pesquisadores da empresa de segurança de aplicativos em tempo de execução Oligo em um relatório na semana passado. “Essa vulnerabilidade permite que invasores assumam o poder de computação das empresas e vazem dados confidenciais.”
A Oligo identificou servidores comprometidos de organizações de vários setores da indústria, incluindo educação, criptomoeda, biofarmacêutica e análise de vídeo. Muitos dos servidores Ray tinham o histórico de comandos habilitado, o que significa que os invasores poderiam descobrir facilmente segredos confidenciais usados em comandos anteriores nesses servidores.
O Ray AI é frequentemente usado para executar cargas de trabalho usadas para treinar, servir e ajustar modelos de IA e alguns dos trabalhos incluem scripts Python e comandos bash que podem conter credenciais necessárias para integração com serviços de terceiros.
Veja isso
Empresas brasileiras veem IA generativa como fator de risco
Google oferece acesso gratuito ao framework fuzzing com IA
“Um ambiente ML-OPS [operações de machine learning recomendadas para executar AI com sucesso] consiste em muitos serviços que se comunicam entre si, dentro do mesmo cluster e entre clusters”, disseram os pesquisadores. “Quando usado para treinamento ou ajuste fino, geralmente tem acesso a conjuntos de dados e modelos, em disco ou em armazenamento remoto, como um bucket S3. Muitas vezes, modelos ou conjuntos de dados são a propriedade intelectual privada e única que diferencia uma empresa de seus concorrentes.”
No ano passado, pesquisadores de segurança de Bishop Fox encontraram e relataram cinco vulnerabilidades na estrutura Ray. A Anyscale, empresa que mantém o software, decidiu corrigir quatro deles — CVE-2023-6019, CVE-2023-6020, CVE-2023-6021 e CVE-2023-48023 — na versão 2.8.1, mas afirmou que o quinto, designado CVE-2023-48022, não era realmente uma vulnerabilidade, por isso não foi corrigido.
Acesse o relatório completo da Oligo (em inglês) sobre as vulnerabilidades na estrutura Ray clicando aqui.