开源Ray框架被众多组织广泛应用,特别是在处理复杂和资源密集型工作负载时。值得注意的是,GPT-3就是基于该框架进行训练的,这凸显了它在大型语言模型(LLM)领域的重要性。
最近,“ShadowRay”漏洞的发现引发了严重关注。长达七个月的时间内,该漏洞允许攻击者访问成千上万家公司敏感的AI生产工作负载,从而泄露计算能力、凭据、密码、密钥、令牌等关键信息。
虽然Ray框架的维护者Anyscale起初低估了这一漏洞的严重性,但他们现在已推出新工具,帮助用户检查其端口是否暴露。“鉴于恶意活动的报告,我们迅速提供了工具,以验证集群的正确配置,以防止意外暴露,”Anyscale的一位发言人表示。
该漏洞被标记为CVE-2023-48022,可能使Ray Jobs API面临远程代码执行攻击。这意味着任何具有仪表板网络访问权限的人都可以触发未经授权的任务,Oligo Security在最近一份报告中揭示了这一点。
Anyscale最初将该问题描述为预期行为,但他们现在推出了开放端口检查器(Open Ports Checker)。这个工具简化了识别意外开放端口的过程。客户端脚本默认连接到预配置的Anyscale服务器,返回“OK”消息或关于开放端口的“WARNING”报告。
“WARNING”表示服务器在该端口检测到某些内容,但并不一定意味着未经过身份验证的流量可以自由访问,因为脚本并未判断该端口上的程序。“OK”响应则表明未能建立任何端口连接。然而,Anyscale警告,虽然返回“OK”,但由于潜在的配置(如防火墙或NAT规则),不保证没有端口是开放的。
Anyscale计划为社区提供测试服务,明确检查这些网络路径。该工具在Apache2许可下提供,可以部署在任何Ray Head或Worker节点上,适用于所有Ray版本,并通过Ray API返回所有现有端口。用户还可以配置该工具向轻量级网络服务器发送测试网络请求,或根据需要发送请求到自己的服务器。
“ShadowRay”漏洞几乎未被认知,因为未有补丁应对。因此,它被视为“阴影漏洞”,通常在标准扫描中被忽视。根据Oligo Security的报告,这一漏洞影响了:
- AI生产工作负载
- 云环境(AWS、GCP、Azure、Lambda Labs)及敏感云服务的访问
- Kubernetes API的访问
- OpenAI、Stripe和Slack的凭据
- 生产数据库凭据
- OpenAI、Hugging Face、Stripe和Slack的令牌
截至3月28日,Censys发现全球有315个主机受到影响,其中超过77%暴露了登录页面,许多则外露文件目录。
专家警告,‘ShadowRay’的风险显著,因为它攻击的是基础设施而非特定应用。在Blackpoint Cyber的威胁情报总监Nick Hyatt看来,威胁行为者可以通过攻陷基础设施获取远超理论上AI驱动攻击的更多信息。
很多人认为基础设施是安全的,从而对大型语言模型使用的数据产生了麻痹心理。这种认识为攻击者提供了获取大量敏感信息的机会。Orca Security的Neil Carpenter强调,在没有强有力的安全措施的情况下发布开源AI项目的挑战,往往依赖于关键组件的不充分文档。
“ShadowRay”的问题强调了在快速发展的环境中,需要广泛讨论安全开发实践的重要性。希望采用LLM的公司必须优先考虑数据卫生。“不能随意将整个服务器输入到LLM中,而期待顺利的结果,尤其是处理敏感数据时,”Hyatt警告。
组织必须验证数据集,并理解合规要求,特别是在开发本地LLM时。确保模型在常规业务操作中提供准确见解时,数据的来源和验证问题变得尤为关键。
最终,‘ShadowRay’带来的挑战不仅仅是技术层面的;还涉及人、流程和技术。随着生成式AI的持续演变,Hyatt预测基础设施攻击将比通过生成式AI直接进行的攻击更加猖獗。在数据随处可得且漏洞普遍的情况下,攻击者可能会发现更容易的途径来实施攻击,而不直接利用AI进行入侵。