Plataforma de IA como serviço corrige vulnerabilidade crítica de RCE
Hackers podem explorar bug na replicação para roubar dados e manipular modelos de IA
Os invasores poderiam ter explorado uma vulnerabilidade crítica agora mitigada na plataforma de inteligência artificial Replicate para acessar modelos privados de IA e dados confidenciais, incluindo conhecimento proprietário e informações pessoais identificáveis.
O Replicate permite que as empresas compartilhem e interajam com modelos de IA. Eles podem navegar pelos modelos existentes no hub ou fazer upload dos seus próprios. Também ajuda os clientes a hospedar modelos privados, fornecendo uma infraestrutura de inferência.
A exploração da vulnerabilidade teria permitido acesso não autorizado aos prompts de IA dos clientes do Replicate e aos resultados e potencialmente alterar essas respostas, disseram os pesquisadores da Wiz em uma postagem no blog. Estas ações resultam na manipulação do comportamento da IA e comprometem os processos de tomada de decisão destes modelos, o que ameaça a precisão e a fiabilidade dos resultados impulsionados pela IA. Isso pode levar à falta de confiabilidade das decisões automatizadas e ter “consequências de longo alcance” para os usuários que dependem dos modelos comprometidos.
Os modelos de IA são essencialmente códigos, e a execução de códigos não confiáveis em ambientes compartilhados pode afetar os dados do cliente armazenados ou acessíveis por meio de todos os sistemas envolvidos.
No caso do Replicate, os invasores poderiam executar código remotamente criando um contêiner malicioso em um formato usado de forma proprietária para colocar modelos em contêineres no Replicate. Os pesquisadores do Wiz fizeram o mesmo. Eles criaram um contêiner malicioso no formato Cog e o carregaram na plataforma. Com privilégios de root, eles o usaram para executar código na infraestrutura do Replicate, permitindo-lhes mover-se lateralmente no ambiente e, eventualmente, realizar um ataque entre locatários.
A falha também destaca a dificuldade de separação de inquilinos em soluções de IA como serviço, particularmente em ambientes que executam modelos de IA de fontes não confiáveis, disseram os pesquisadores. O impacto potencial de um ataque entre locatários nos sistemas de IA é “devastador, pois os invasores podem conseguir acessar milhões de modelos e aplicativos privados de IA armazenados em provedores de IA como serviço”.
Os pesquisadores descobriram a vulnerabilidade como parte de uma pesquisa em andamento na qual a empresa de segurança divulga bugs corrigidos de provedores de IA como serviço com os quais fez parceria para testar suas plataformas. Os pesquisadores do Wiz encontraram no mês passado uma vulnerabilidade na plataforma Hugging Face AI que tem um impacto semelhante ao descoberto no Replicate.
A equipe do Wiz suspeitou que a técnica de execução de código era um padrão no qual as organizações executam modelos de IA a partir de fontes não confiáveis, mesmo quando os modelos são essencialmente códigos que podem ser potencialmente maliciosos. “Usamos a mesma técnica em nossa pesquisa anterior de segurança de IA com Hugging Face e descobrimos que era possível fazer upload de um modelo de IA malicioso para seu serviço gerenciado de inferência de IA e então facilitar o movimento lateral dentro de sua infraestrutura interna”, disseram os pesquisadores.
Atualmente, não existe uma maneira infalível de validar a autenticidade de um modelo de IA ou examiná-lo em busca de ameaças à segurança além dos testes regulares de código.