Luka w Llama Stack. Szczegóły zagrożenia
W środowisku Llama Large Language Model (LLM) firmy Meta odkryto poważną lukę oznaczoną jako CVE-2024-50050. Luka ta, oceniona na 6,3 w skali CVSS i 9,3 przez firmę Snyk, może umożliwić atakującym wykonanie dowolnego kodu na serwerze wnioskowania Llama Stack. Problem ten pokazuje, jak nowe technologie AI mogą być podatne na zagrożenia w związku z niewłaściwą obsługą procesów deserializacji.
Według raportu badacza Avi Lumelskiego z Oligo Security, luka dotyczy komponentu Llama Stack, odpowiedzialnego za zestaw interfejsów API wykorzystywanych w aplikacjach AI. Problem leży w sposobie, w jaki implementacja API wnioskowania w Pythonie obsługuje format pickle, umożliwiający deserializację obiektów. Biblioteka ta, choć powszechnie stosowana, jest znana z ryzyka związanego z automatycznym wykonywaniem kodu, jeśli dane wejściowe pochodzą z niezaufanego źródła.
W praktyce oznacza to, że „w scenariuszach, w których gniazdo ZeroMQ jest narażone przez sieć, atakujący mogliby wykorzystać tę lukę, wysyłając spreparowane złośliwe obiekty do gniazda” — wyjaśnia Lumelsky. Mechanizm recv_pyobj deserializuje te obiekty, co umożliwia wykonanie dowolnego kodu na komputerze hosta.
Po odpowiedzialnym ujawnieniu problemu we wrześniu 2024 roku Meta wdrożyła poprawki w październiku, w wersji 0.0.41. Działania obejmowały porzucenie formatu pickle na rzecz JSON w komunikacji z użyciem gniazd. Jednocześnie naprawiono lukę w bibliotece pyzmq, odpowiadającej za komunikację w ZeroMQ.
Nowe wyzwania bezpieczeństwa w AI
Luki deserializacji, jak ta w Llama Stack, nie są nowością w świecie sztucznej inteligencji. Podobne zagrożenia zostały odkryte w Keras TensorFlow w sierpniu 2024 roku, gdzie CVE-2024-3660 (ocenione na 9,8 w skali CVSS) mogło prowadzić do zdalnego wykonania kodu. Problemy tego typu ukazują, jak ryzykowne jest używanie niesprawdzonych lub niebezpiecznych modułów, takich jak marshal.
Również inne znane platformy AI zmagają się z problemami bezpieczeństwa. Benjamin Flesch ujawnił, że w programie ChatGPT firmy OpenAI możliwe było przeprowadzenie ataku typu DDoS, wykorzystując nieprawidłową obsługę żądań HTTP POST. Atak ten polegał na przesyłaniu dużych list hiperłączy do API ChatGPT, co mogło skutkować przytłoczeniem zasobów docelowej witryny. OpenAI załatało problem, jednak incydent podkreśla, jak łatwo exploity mogą zakłócić działanie popularnych systemów.
Eksperci wskazują, że sztuczna inteligencja może wzmacniać skuteczność cyberataków. Jak podkreśla Mark Vaitzman z Deep Instinct, „LLM po prostu czynią cyberzagrożenia lepszymi, szybszymi i dokładniejszymi na większą skalę”. Zdolności te mogą być zintegrowane z każdym etapem cyklu ataku — od przygotowania po kontrolę i instalację złośliwego oprogramowania.
Dodatkowo badania nad modelami AI, takie jak ShadowGenes i ShadowLogic, pokazują, jak szczegółowe analizy grafów obliczeniowych mogą być wykorzystywane do śledzenia architektury modeli. HiddenLayer, firma zajmująca się bezpieczeństwem AI, zauważa, że „zrozumienie rodzin modeli używanych w organizacji zwiększa ogólną świadomość infrastruktury AI, umożliwiając lepsze zarządzanie postawą bezpieczeństwa”.
Wyzwania związane z lukami w systemach AI, takich jak Meta Llama czy ChatGPT, wskazują na konieczność ciągłego monitorowania i ulepszania zabezpieczeń w ekosystemach sztucznej inteligencji. Jak pokazują incydenty, potencjał AI jest równie duży, co skala ryzyk, które ze sobą niesie.
