Риски облачного ИИ: как получить доступ к чужим ИИ-моделям и захватить цепочку поставок

ИБ-компания Wiz заявила, что поставщики услуг искусственного интеллекта, такие как Hugging Face, подвержены двум критическим рискам, которые могут позволить злоумышленникам повысить привилегии, получить доступ к моделям других клиентов и даже взять под контроль процессы непрерывной интеграции и развертывания (CI/CD).

Основные угрозы включают в себя:

• возможность использования вредоносных моделей для проведения атак на клиентов сервисов ИИ, что создает риск несанкционированного доступа к миллионам частных моделей ИИ и приложений.
• риск захвата общей инфраструктуры вывода и систем CI/CD, что позволяет запускать недоверенные модели (загруженные в формате pickle) и перехватывать CI/CD-конвейеры для осуществления атаки на цепочку поставок.

Исследователи из Wiz подчеркивают, что хакеры могут загрузить вредоносную модель, используя техники выхода из контейнера, чтобы выйти за пределы своего клиента и скомпрометировать весь сервис, получив доступ к моделям других клиентов.

По сути, хакер может создать модель PyTorch (Pickle) с возможностями выполнения произвольного кода при загрузке и связать ее с неправильными конфигурациями в Amazon Elastic Kubernetes Service (EKS) для получения повышенных привилегий и бокового перемещения внутри кластера. Для устранения проблемы рекомендуется включить IMDSv2 с ограничением переходов, чтобы запретить модулям доступ к службе метаданных экземпляра (IMDS) и получение роли узла в кластере.

Цепочка атаки на сервисы ИИ-как-услуга

Кроме того, в исследовании обсуждаются потенциальные опасности, связанные с генеративными ИИ-моделями, такими как ChatGPT и Gemini, которые могут распространять вредоносные коды среди разработчиков ПО, что подчеркивает важность осторожного отношения к использованию больших языковых моделей (LLM) в целях программирования.

Hugging Face устранила все обнаруженные уязвимости, призвав пользователей использовать модели только из проверенных источников, активировать многофакторную аутентификацию и избегать использования файлов pickle в производственной среде.