开源 AI/ML 工具中发现易于利用的严重漏洞

阅读量74389

发布时间 : 2024-06-14 11:42:32

一份新的 Protect AI 报告显示,过去几个月在各种开源 AI/ML 工具中发现了十几个严重漏洞。

这家人工智能安全公司警告称,其 Huntr AI 漏洞赏金计划中共报告了 32 个安全缺陷,包括可能导致信息泄露、访问受限资源、权限提升和完全服务器接管的严重问题。

这些漏洞中最严重的是 CVE-2024-22476(CVSS 评分为 10),这是英特尔神经压缩器软件中不正确的输入验证,可能允许远程攻击者提升权限。该漏洞已于 5 月中旬得到解决。

ChuanhuChatGPT (CVE-2024-3234) 中存在一个严重程度较高的问题,攻击者可以利用该问题窃取敏感文件,因为该应用程序使用了 Gradio 开源 Python 包的过时且易受攻击的迭代。

发现 LoLLMs 容易受到路径遍历保护绕过 (CVE-2024-3429) 的攻击,从而导致任意文件读取,这可能被利用来访问敏感数据或导致拒绝服务 (DoS) 情况。

Qdrant 中的两个严重漏洞(CVE-2024-3584 和 CVE-2024-3829)可能允许攻击者在服务器上写入和覆盖任意文件,从而可能实现完全接管。

经发现,Lunary 允许用户“通过 API 访问他们无权访问的组织的项目”。该问题被追踪为 CVE-2024-4146。

Huntr 社区的研究人员发现的其他严重漏洞包括:AnythingLLM 中的服务器站点请求伪造 (SSRF)、Lunary 中不安全的直接对象引用 (IDOR)、Lunary 中缺少授权和身份验证机制、LoLLM 中的不当路径清理、AnythingLLM 中的路径遍历以及 Linux 版 Nvidia Triton 推理服务器中的日志注入。

在 LoLLMs、Lunary、AnythingLLM、Deep Java Library (DJL)、Scrapy 和 Gradio 中还发现并报告了十几个其他高严重性漏洞。

Protect AI 指出:“值得注意的是,所有漏洞均在发布本报告前至少 45 天报告给维护人员,并且我们将继续与维护人员合作,确保在发布前及时修复。”

本文转载自:

如若转载,请注明出处: https://www.securityweek.com/easily-exploitable-critical-vulnerabilities-found-in-open-source-ai-ml-tools/

安全客 - 有思想的安全新媒体

分享到:微信
+14赞
收藏
安全客
分享到:微信

发表评论

内容需知
  • 投稿须知
  • 转载须知
  • 官网QQ群8:819797106
  • 官网QQ群3:830462644(已满)
  • 官网QQ群2:814450983(已满)
  • 官网QQ群1:702511263(已满)
合作单位
  • 安全客
  • 安全客
Copyright © 北京奇虎科技有限公司 360网络攻防实验室 安全客 All Rights Reserved 京ICP备08010314号-66