オープンソースのRayフレームワークは、複雑でリソース集約型のワークロードを処理するために、数千の組織に広く利用されています。特に、GPT-3はこのフレームワーク上でトレーニングされており、大規模言語モデル(LLM)の世界での重要性を示しています。
最近、「ShadowRay」という脆弱性が発見され、大きな懸念を呼び起こしました。この脆弱性により、攻撃者は約7か月間、数千社の企業のセンシティブなAI生産ワークロードにアクセスできる状態にあり、コンピュータの処理能力、認証情報、パスワード、キー、トークンなどの重要なデータが危険にさらされました。
このフレームワークの管理者であるAnyscaleは、当初、この脆弱性の深刻さに異議を唱えましたが、現在は利用者がポートの露出を確認するための新しいツールを提供しています。「悪意のある活動の報告を受けて、クラスターの適切な設定を確認するためのツールを迅速に提供しました」とAnyscaleのスポークスパーソンは述べています。
この脆弱性はCVE-2023-48022として特定され、Ray Jobs APIがリモートコード実行攻撃にさらされる可能性があります。つまり、ダッシュボードネットワークにアクセスできる人が不正なジョブを呼び出すことができるということです。このことは、Oligo Securityが最近発表したレポートで明らかになりました。
Anyscaleは当初、この問題を予期される動作と位置づけていましたが、今ではOpen Ports Checkerを導入しました。このツールは、予期しないオープンポートを特定するプロセスを簡素化します。クライアント側のスクリプトは、事前設定されたAnyscaleサーバーへの接続をデフォルトとしており、「OK」メッセージまたはオープンポートに関する「WARNING」レポートを返します。
「WARNING」はサーバーがポートに何かを検出したことを意味しますが、必ずしも認証されていないトラフィックへのオープンアクセスを示すわけではありません。このスクリプトは、そのポートで何が動作しているかを判断しないためです。一方、「OK」応答は、接続が確立できなかったことを示します。ただし、Anyscaleはこの応答がポートが開いていないことを保証するものではないと警告しています。ファイアウォールやNATルールなどの設定による潜在的な構成が影響を与える可能性があります。
Anyscaleはコミュニティがネットワーク経路を明示的にチェックできるテストを主催する予定です。このリポジトリはApache2ライセンスのもとで利用可能で、任意のRay HeadまたはWorker Node上にデプロイできます。すべてのRayバージョンで機能し、Ray APIを通じて既存のすべてのポートを返します。このツールは軽量なWebサーバーにテストネットワーク呼び出しを送信するように設定することも可能で、ユーザーが希望する場合は自身のサーバーに呼び出しを送信することもできます。
「ShadowRay」脆弱性は、パッチが適用されていなかったため、大部分が認識されていませんでした。このため、標準スキャンでも見落とされがちな「シャドウ脆弱性」とみなされています。Oligo Securityによると、この脆弱性は以下に影響を及ぼしました:
- AI生産ワークロード
- クラウド環境(AWS、GCP、Azure、Lambda Labs)やセンシティブなクラウドサービスへのアクセス
- Kubernetes APIへのアクセス
- OpenAI、Stripe、Slackの認証情報
- 生産データベースの認証情報
- OpenAI、Hugging Face、Stripe、Slackのトークン
3月28日には、Censysが世界中で影響を受けたホスト315台を特定し、そのうち77%がログインページを露出し、いくつかはファイルディレクトリを公開していました。
専門家は、「ShadowRay」が基盤となるインフラストラクチャを攻撃対象としているため、特定のアプリケーションよりも重大なリスクをもたらすと警告しています。Blackpoint Cyberの脅威インテリジェンスディレクター、ニック・ハイアット氏は、インフラストラクチャを侵害することで、脅威アクターが得られる情報の方が理論的なAI駆動の攻撃を行うよりも多いと指摘しています。
多くの人々がこのインフラストラクチャが安全であると考えているため、LLMが利用するデータに対する油断が生まれています。この認識は、攻撃者が大量のセンシティブ情報にアクセスする機会を提供します。Orca Securityのニール・カーペンター氏は、十分なセキュリティ対策なしにオープンソースのAIプロジェクトを公開することの困難さを強調しており、重要なコンポーネントに関する不十分なドキュメントに依存することが多いと述べています。
「ShadowRay」の問題は、技術的なものだけでなく、人々、プロセス、技術を含む広範な議論の必要性を浮き彫りにしています。生成AIが進化し続ける中で、ハイアット氏は、生成AIを介した直接的な悪用ではなく、インフラストラクチャ攻撃の増加を予測しています。データが容易に入手可能で、エクスプロイトが一般的であるため、攻撃者は侵入にAIを直接使用するよりも、より簡単に妥協できる道を見つけることがあると考えられます。
ランキング
