主流AI算力框架漏洞遭利用���,數(shù)千臺AI工作負(fù)載服務(wù)器被黑�。
3月29日消息���,OpenAI、優(yōu)步和亞馬遜所使用的AI計(jì)算框架Ray發(fā)現(xiàn)了一個已被報(bào)告的漏洞���,該漏洞遭到持續(xù)攻擊��,導(dǎo)致數(shù)千臺存儲AI工作負(fù)載和網(wǎng)絡(luò)憑證的服務(wù)器被黑����。據(jù)了解,這些攻擊已經(jīng)持續(xù)了7個月��。
攻擊者不僅篡改了AI模型��,還泄露了訪問內(nèi)部網(wǎng)絡(luò)和數(shù)據(jù)庫的網(wǎng)絡(luò)憑證�����,并獲取了OpenAI�����、Hugging Face���、Stripe和Azure等平臺帳號的訪問令牌�。除了破壞模型和竊取憑證�,攻擊者還在能夠提供大量算力的被侵入基礎(chǔ)設(shè)施上安裝了加密貨幣挖礦軟件,并設(shè)置了反向shell,通過這種基于文本的界面實(shí)現(xiàn)對服務(wù)器的遠(yuǎn)程控制���。
發(fā)現(xiàn)這些攻擊的安全公司Oligo的研究人員在一篇文章中指出:“一旦攻擊者掌控Ray生產(chǎn)集群��,等于中了大獎�����。有價(jià)值的公司數(shù)據(jù)加上遠(yuǎn)程代碼執(zhí)行��,攻擊者很容易就能獲得現(xiàn)金收益��,而且可以完全隱匿在暗處��,做到神不知鬼不覺(使用靜態(tài)安全工具不可能檢測到這種攻擊)���。”
被竊取的敏感信息包括AI生產(chǎn)工作負(fù)載�����。利用這些信息����,攻擊者可以在訓(xùn)練階段控制或篡改模型,從而破壞模型的完整性。易受攻擊的集群中�����,中央儀表板通常暴露在互聯(lián)網(wǎng)上��,這使得任何有意的人都可以查看迄今為止輸入的所有命令��。利用這些歷史數(shù)據(jù)����,入侵者可以快速了解模型的工作方式,并推測可以訪問哪些敏感數(shù)據(jù)��。
Oligo獲取的屏幕截圖顯示�,敏感私人數(shù)據(jù)和集群已經(jīng)遭到了大規(guī)模的黑客攻擊。被竊取的資源包括內(nèi)部數(shù)據(jù)庫以及OpenAI���、Stripe和Slack帳號的加密密碼哈希值和訪問憑證�����。
Ray是一個用于擴(kuò)展AI應(yīng)用程序的開源框架�,允許大量應(yīng)用程序同時高效地運(yùn)行����。通常����,這些應(yīng)用程序在大規(guī)模服務(wù)器集群上運(yùn)行��?�?蚣苷_\(yùn)行主要依賴于提供接口顯示和控制運(yùn)行任務(wù)和應(yīng)用程序的中央儀表板��。這個儀表板提供了名為“任務(wù)API”(Jobs API)編程接口�,允許用戶通過簡單的HTTP請求向集群發(fā)送一系列命令,無需身份驗(yàn)證��。
去年�,安全公司Bishop Fox的研究人員將這種行為標(biāo)記為高嚴(yán)重性的代碼執(zhí)行漏洞,其跟蹤編號為CVE-2023-48022�����。
Bishop Fox的高級安全顧問Berenice Flores Garcia寫道:“在默認(rèn)配置中�,Ray不強(qiáng)制進(jìn)行身份驗(yàn)證�。因此,攻擊者可以自由提交任務(wù)�����、刪除現(xiàn)有任務(wù)、檢索敏感信息��,并利用本次官方警告中描述的其他漏洞�。”
對此,Ray的開發(fā)者和維護(hù)者Anyscale回應(yīng)稱該漏洞不存在��。Anyscale官方表示����,他們一直將Ray視為一個遠(yuǎn)程執(zhí)行代碼的框架,因此始終建議將Ray合理地隔離在有適當(dāng)安全措施的網(wǎng)絡(luò)內(nèi)部�����。
Anyscale官方寫道:“由于Ray本質(zhì)上是一個分布式執(zhí)行框架��,其安全邊界位于Ray集群之外����。因此,我們強(qiáng)調(diào)您必須防止不受信任的機(jī)器(如公共互聯(lián)網(wǎng))訪問您的Ray集群��。”
對于被報(bào)告的“任務(wù)API”的內(nèi)部行為�,Anyscale表示并非漏洞����,并且不會在短期內(nèi)得到解決����。不過,Anyscale承諾最終會進(jìn)行變更��,強(qiáng)制在API中進(jìn)行身份驗(yàn)證�����。Anyscale解釋道:
我們非常認(rèn)真地考慮過這樣做是否合理����。到目前為止,我們還沒有實(shí)施這一變更�,因?yàn)槲覀儞?dān)心用戶可能會過分信任這種機(jī)制——它可能只能實(shí)現(xiàn)表面上的安全,并沒有像他們想象的那樣真正保護(hù)集群�。
盡管如此,我們認(rèn)識到�����,這是個見仁見智的問題�����。我們?nèi)匀徽J(rèn)為組織不應(yīng)該依賴Ray內(nèi)部的隔離控制手段�,如身份驗(yàn)證。但這些手段在進(jìn)一步實(shí)施深度防御策略的某些情境中可能是有價(jià)值的��。因此����,我們決定將在未來的版本中將其作為一個新功能實(shí)施。
Anyscale的回應(yīng)招致了一些批評����。比如,用于簡化在云環(huán)境中部署Ray的存儲庫將儀表板綁定到0.0.0.0�,這是一個用于指定所有網(wǎng)絡(luò)接口并在同一地址上指定端口轉(zhuǎn)發(fā)的地址。這樣易受攻擊的入門級做法在Anyscale的網(wǎng)站上也可以找到��。
批評者還指出�����,由于Anyscale聲稱被報(bào)告行為不是漏洞�����,導(dǎo)致很多安全工具未能標(biāo)記攻擊。
Anyscale的代表在一封電子郵件中表示�����,該公司計(jì)劃發(fā)布一個腳本�����,允許用戶輕松驗(yàn)證他們的Ray實(shí)例是否暴露在互聯(lián)網(wǎng)上����。
