開源的 Ray 框架廣泛被使用,數千家組織依賴它來處理複雜且資源密集的工作負載。值得注意的是,GPT-3 就是在這一框架上進行訓練的,這凸顯了它在大型語言模型(LLMs)領域的重要性。
最近,“ShadowRay”漏洞的發現引發了嚴重關注。七個月來,這一漏洞使攻擊者能夠訪問來自數千家公司的敏感 AI 生產工作負載,從而洩露計算能力、憑證、密碼、金鑰、令牌及其他關鍵數據。
雖然該框架的維護者 Anyscale 起初對漏洞的嚴重性提出質疑,但隨後他們針對用戶暴露端口的情況發布了新工具。一位 Anyscale 代言人表示:“鑒於惡意活動報告,我們迅速推出了工具來檢查集群配置,以防止意外暴露。”
被識別為 CVE-2023-48022 的漏洞可能使 Ray Jobs API 易受遠程代碼執行攻擊,這意味著任何能夠訪問儀表板網絡的人都可能調用未經授權的任務,這一點在 Oligo Security 的最新報告中披露。
雖然 Anyscale 最初將這一問題視為預期行為,但他們現在已推出「開放端口檢查器」工具。該工具簡化了識別意外開放端口的流程。客戶端腳本默認聯繫預配置的 Anyscale 伺服器,並返回“OK”消息或有關開放端口的“警告”報告。
“警告”表示伺服器在該端口上檢測到某些內容,但不一定代表未經身份驗證的流量可以自由訪問,因為該腳本無法確定該端口上運行的內容。而“OK”回應則表示未能建立與任何端口的連接。然而,Anyscale 提醒說,這一回應並不保證沒有端口是開放的,因為可能存在防火牆或 NAT 規則等配置。
Anyscale 計劃舉辦社區測試,以明確檢查這些網絡路徑。該代碼庫根據 Apache2 許可證提供,可以在任何 Ray Head 或 Worker 节点上部署,能在所有 Ray 版本上運行,並通過 Ray APIs 返回所有現存端口。該工具也可以配置為向輕量級網絡服務器發送測試網絡請求,或用戶可選擇向自己的伺服器發送請求。
“ShadowRay”漏洞在很大程度上未被認識,因為並沒有針對性的修補。因此,它被視為一種“隱形漏洞”,通常在標準掃描中被忽視。根據 Oligo Security 的說法,這一漏洞影響了:
- AI 生產工作負載
- 對雲環境(AWS、GCP、Azure、Lambda Labs)及敏感雲服務的訪問
- Kubernetes API 訪問
- OpenAI、Stripe 和 Slack 的憑證
- 生產數據庫憑證
- OpenAI、Hugging Face、Stripe 和 Slack 的令牌
截至 3 月 28 日,Censys 確認 315 個全球受影響的主機,其中超過 77% 曝露登錄頁面,還有若干暴露文件目錄。
專家警告,“ShadowRay”帶來重大風險,因為它瞄準的是基礎設施而非特定應用程序。Blackpoint Cyber 的威脅情報主管 Nick Hyatt 指出,攻擊者透過侵入基礎設施可以獲得比理論上的 AI 驅動攻擊更多的信息。
許多人認為這些基礎設施是安全的,這導致對於大型語言模型所使用數據的自滿。這種認知為攻擊者提供了訪問大量敏感信息的機會。Orca Security 的 Neil Carpenter 強調了在缺乏強大安全措施的情況下發布開源 AI 項目的挑戰,通常依賴於對關鍵組件的不充分文檔。
“ShadowRay”的困境凸顯了在快速發展的背景下,安全開發實踐的討論需要擴大。對於有意採用 LLM 的公司而言,數據衛生必須放在優先位置。“你不能隨意將整個伺服器輸入到 LLM 並期望獲得順利的結果,尤其是在處理敏感數據時,”Hyatt 警告說。
組織必須驗證數據集並了解法規要求,特別是在開發本地 LLM 時。確保模型在日常業務運作中提供準確洞察的過程中,數據來源和驗證的問題變得至關重要。
最終,“ShadowRay”帶來的挑戰不僅僅是技術性的;它們涉及人員、過程和技術。隨著生成式 AI 的持續演變,Hyatt 預測基礎設施攻擊將增多,而非直接利用生成式 AI 進行的滲透。隨著數據的易得性和利用漏洞的普遍性,攻擊者可能會發現更容易的途徑來進行破壞,而不是直接使用 AI 進行入侵。
排行榜
