تعتمد آلاف الشركات على إطار العمل Ray لتوسيع نطاق وإدارة أحمال العمل المعقدة التي تتطلب معالجة كثيفة في الذكاء الاصطناعي. في الواقع، من الصعب العثور على نموذج لغوي كبير لم يتم تطويره باستخدام Ray. ومع ذلك، تتضمن هذه الأحمال بيانات حساسة، وقد حدد الباحثون أنها معرضة للخطر بسبب ثغرة أمنية خطيرة (CVE) في إطار العمل الموحد مفتوح المصدر.
على مدار الأشهر السبعة الماضية، سمحت هذه الثغرة للمهاجمين باستغلال أحمال العمل الإنتاجية في الذكاء الاصطناعي، مما أتاح لهم الوصول إلى موارد الحوسبة، والبيانات السريرية، وكلمات المرور، والمفاتيح، والتوكنات، وغيرها من المعلومات الحساسة، وفقًا لأبحاث Oligo Security. تُعرف هذه الثغرة باسم "ShadowRay"، وهي تحت الجدل. تُصنف كـ "ثغرة ظلية"، مما يعني أنها غير معترف بها كتهديد ولا تحتوي على تصحيح رسمي. نتيجة لذلك، لا تظهر في عمليات الفحص القياسية.
تشير الأبحاث إلى أن هذه هي "الحالة المعروفة الأولى لاستغلال أحمال العمل الإنتاجية في الذكاء الاصطناعي عبر ثغرات في البنية التحتية الحديثة للذكاء الاصطناعي"، كما يقول الباحثون آفي لوملسكي، وجاي كابلان، وغال إيليباز. ويؤكدون: "عندما يصل المهاجمون إلى مجموعة إنتاج Ray، فإنها تكون بمثابة كعكة. تلتقي بيانات الشركة القيمة مع تنفيذ التعليمات البرمجية عن بعد، مما يخلق فرصًا للتربح، كل ذلك مع البقاء خارج نطاق الكشف".
نقطة عمياء هامة
تعتمد العديد من المؤسسات على Ray لتشغيل أحمال العمل في الذكاء الاصطناعي والبيانات وتطبيقات SaaS واسعة النطاق، بما في ذلك Amazon وInstacart وShopify وLinkedIn وOpenAI، حيث تم تدريب نموذج GPT-3 الخاص بهم باستخدام Ray. يعد هذا الإطار ضروريًا للنماذج التي تحتوي على مليارات المعلمات التي تتطلب طاقة حوسبية كبيرة ولا يمكن تنفيذها على جهاز واحد. يدعم Ray، الذي تحتفظ به Anyscale، أحمال العمل الموزعة للتدريب والخدمة والتوليف لمجموعة متنوعة من نماذج الذكاء الاصطناعي. لا يحتاج المستخدمون إلى معرفة واسعة بلغة Python، وعملية التثبيت بسيطة مع اعتماديات قليلة.
يشير باحثو Oligo إلى Ray بأنه "سكين الجيش السويسري للممارسين في Python والذكاء الاصطناعي". على الرغم من مزاياه، فإن ثغرة ShadowRay تجعل الاعتماد على Ray أكثر إشكالية. تُعرف باسم CVE-2023-48022، وتعود هذه الثغرة إلى نقص في التفويض في واجهة برمجة تطبيقات مهام Ray، مما يعرضها لهجمات تنفيذ التعليمات البرمجية عن بُعد. يمكن لأي شخص لديه وصول إلى لوحة التحكم تنفيذ مهام عشوائية دون إذن.
على الرغم من أنه تم الإبلاغ عن هذه الثغرة إلى Anyscale إلى جانب أربع ثغرات أخرى في أواخر عام 2023، فإن الثغرة الوحيدة التي لم يتم التعامل معها هي CVE-2023-48022. قامت Anyscale بتحدي الثغرة، مدعيةً أنها تمثل سلوكًا متوقعًا وميزة في المنتج تسهل تفعيل المهام وتنفيذ التعليمات البرمجية الديناميكية داخل مجموعة. تشدد Anyscale على أن لوحات التحكم لا ينبغي أن تكون متاحة للجمهور أو يجب تقييدها للمستخدمين الموثوقين؛ ولذلك، تفتقر Ray إلى التفويض لأنها تفترض العمل في بيئة آمنة مع "منطق توجيه مناسب" من خلال عزل الشبكات، ومساحات كوبرنيتس، وقواعد جدار الحماية، أو مجموعات الأمان.
توضح هذه القرارات "تعقيد موازنة الأمان وسهولة الاستخدام في تطوير البرمجيات"، كما يلاحظ باحثو Oligo، مؤكدين على الحاجة إلى التفكير الدقيق عند تعديل الأنظمة الحرجة مثل Ray. علاوة على ذلك، فإن الثغرات المتنازع عليها غالبًا ما تفلت من الاكتشاف، حيث يتجاهل العديد من أدوات الفحص الأمني هذه الثغرات. اكتشف باحثو Oligo أن ShadowRay لم يظهر في العديد من قواعد البيانات، بما في ذلك قاعدة بيانات الثغرات الأمنية مفتوحة المصدر من Google، ولم يكن مرئيًا لحلول اختبار أمان التطبيقات الثابتة (SAST) وتحليل مكونات البرمجيات (SCA).
"هذا خلق نقطة عمياء: لم يكن فرق الأمان على علم بالمخاطر المحتملة"، كما أشار الباحثون، موضحين: "خبراء الذكاء الاصطناعي ليسوا خبراء أمان، مما يجعلهم عرضة للمخاطر التي تطرحها أطر الذكاء الاصطناعي".
من أحمال العمل الإنتاجية إلى الرموز الحرجة
كشف الباحثون عن أن الخوادم المخترقة تسربت "الكثير" من المعلومات الحساسة، بما في ذلك:
- تعطيل أحمال العمل الإنتاجية في الذكاء الاصطناعي، مما يؤدي إلى تلف أو دقة النموذج أثناء التدريب.
- الوصول إلى بيئات سحابية حساسة (AWS، GCP، Azure) مما قد يعرض قواعد بيانات العملاء والبيانات الإنتاجية الحساسة للخطر.
- الوصول إلى واجهة برمجة تطبيقات كوبرنيتس، مما يمكن من إصابة أحمال العمل السحابية أو استخراج أسرار كوبرنيتس.
- بيانات اعتماد حساسة مثل OpenAI وStripe وSlack.
- بيانات اعتماد قواعد البيانات التي تسمح بالتنزيلات الصامتة أو التعديلات على قواعد بيانات كاملة.
- مفاتيح SSH خاصة للوصول إلى آلات إضافية للقيام بأنشطة خبيثة.
- رموز OpenAI، التي قد تستنزف أرصدة الحسابات.
- رموز Hugging Face، التي توفر الوصول إلى المستودعات الخاصة، مما يسهل هجمات سلسلة التوريد.
- رموز Stripe التي يمكن استغلالها لاستنزاف حسابات الدفع.
- رموز Slack، التي قد تستخدم للتراسل غير المصرح به أو القراءة.
أبلغ الباحثون أن العديد من وحدات معالجة الرسوميات المخترقة نادرة ومكلفة حاليًا. لقد حددوا "مئات" من المجموعات المخترقة، التي تُستخدم بشكل رئيسي في تعدين العملات المشفرة. "يستهدف المهاجمون هذه الأنظمة ليس فقط من أجل المعلومات القيمة ولكن أيضًا لأن وحدات معالجة الرسوميات مكلفة وصعبة الاقتناء، خاصة اليوم"، كما أشار الباحثون، حيث تصل بعض أسعار وحدات معالجة الرسوميات عند الطلب على AWS إلى تكلفة سنوية تبلغ 858,480 دولارًا. مع كون المهاجمين لديهم سبعة أشهر لاستغلال هذا العتاد، تشير التقديرات إلى أن الأجهزة المخترقة وقوة الحوسبة قد تقدر بمليار دولار.
معالجة الثغرات الظلية
يعترف باحثو Oligo بأن "الثغرات الظلية ستظل موجودة دائمًا" وقد تتفاوت مؤشرات استغلالها. ويوصون بعدة إجراءات للمؤسسات:
- تشغيل Ray ضمن بيئة آمنة وموثوقة.
- تنفيذ قواعد جدار الحماية ومجموعات الأمان لمنع الوصول غير المصرح به.
- مراقبة مجموعات الذكاء الاصطناعي والبيئات الإنتاجية بشكل مستمر للبحث عن الشذوذ.
- استخدام بروكسي يضيف طبقة تفويض إذا كان يجب أن تكون لوحة التحكم Ray متاحة للجمهور.
- لا تفترض أبدًا أن الأمان الافتراضي كافٍ.
في النهاية، يؤكدون: "تتحمل العبء التقني لتأمين المصدر المفتوح. لا تعتمد فقط على القائمين على الصيانة."
قائمة الترتيب
