AI平台Replicate曝“跨租户攻击”漏洞,用户模型可被黑客入侵

IT之家 5 月 28 日消息,安全公司 Wiz 近日发布报告,宣称开源 AI 模型共享平台 Replicate 存在重大漏洞,黑客可通过恶意模型进行“跨租户攻

IT之家 5 月 28 日消息,安全公司 Wiz 近日发布报告,宣称开源 AI 模型共享平台 Replicate 存在重大漏洞,黑客可通过恶意模型进行“跨租户攻击”(IT之家注:即利用存在于多租户环境中的安全漏洞访问 / 干扰其他租户的数据资源),从而导致平台用户训练的 AI 模型内部机密数据泄露。

安全公司声称,Replicate 平台出现“跨租户攻击”漏洞的主要原因是该平台为提升 AI 模型推论(inference)效率推出的模型容器化格式 Cog,虽然相关格式能够显著改善模型与效率,不过 Replicate 平台忽略了 Cog 格式中的安全隔离机制。

IT之家获悉,黑客可以将经过训练后的恶意模型打包成 Cog 容器,并通过 Replicate 的用户操作界面与容器互动,最终成功进行了一系列远程执行代码(RCE)攻击测试,获得了容器的 root 权限。

此后,研究人员还对 Replicate 平台的基础设施进一步调查,利用当前容器的 TCP 连接成功访问到另一台容器,并通过名为 rshijack 的工具将特定数据成功注入至 TCP 连接中,从而绕过了平台的身份验证步骤,成功访问到其他用户的 AI 模型。

研究人员指出,黑客可以利用相关漏洞轻松获取其他用户自用的 AI 模型,能够自由从相关模型问答记录中提取用户隐私数据,还能够自由下载 / 修改用户模型内容,对平台存在严重危害。

IT之家注意到,Replicate 平台在接到 Wiz 通报后已迅速修复相关漏洞,并表示目前没有检测到有用户 AI 模型外流的迹象。

原创文章,作者:小条,如若转载,请注明出处:https://www.sudun.com/ask/80026.html

(0)
小条's avatar小条
上一篇 2024年5月31日 上午1:47
下一篇 2024年5月31日 上午1:47

相关推荐

  • 百度提交

    百度提交,这个在云服务器行业中听起来似乎并不陌生的词汇,但是你真的了解它的含义和作用吗?它究竟有着怎样的重要性?如果你还没有完全掌握,那么接下来将为你揭开这个神秘的面纱。什么是百度…

    行业资讯 2024年3月22日
    0
  • 如何利用云码通搭建高效的企业云服务器?

    云服务器行业近年来发展迅速,越来越多的企业开始意识到利用云服务器可以带来的高效率和便利性。但是,如何选择适合自己企业的云服务器方案却是让人头痛的问题。今天,我们将为您介绍一种名为“…

    行业资讯 2024年3月19日
    0
  • apache2 虚拟主机

    今天,我们将带你进入一个神秘的世界,那就是云服务器行业。在这个行业中,有一种名为“apache2虚拟主机”的存在,它是什么?它有什么特点和优势?如何配置它?又有哪些常见的问题需要解…

    行业资讯 2024年4月21日
    0
  • 手机好多网站被屏蔽打不开怎么办,手机网址被屏蔽了怎么打开

    如果您无法访问特定网站,请尝试访问其他网站。如果您可以成功访问其他网站,则该网站可能存在问题。 6.联系网站管理员 如果上述方法都不能解决您的问题,该网站可能会被阻止。此时,您可能…

    行业资讯 2024年5月11日
    0

发表回复

您的邮箱地址不会被公开。 必填项已用 * 标注