More

    Višestruke ranjivosti na AI platformama izlažu osjetljive podatke svima

    Platforme umjetne inteligencije (AI) postale su integralni alat za kompanije i organizacije širom svijeta.

    Ove tehnologije obećavaju efikasnost i inovacije, od chatbotova koje pokreću veliki jezički modeli (LLM) do složenih operacija mašinskog učenja (MLOps).

    Međutim, nedavna istraživanja su otkrila alarmantne ranjivosti u ovim sistemima, izlažući osjetljive podatke potencijalnoj eksploataciji.

    Preduzeća koriste ove alate za automatizaciju zadataka, upravljanje podacima i interakciju s klijentima. Međutim, pogodnost AI dolazi sa značajnim rizicima, posebno u pogledu sigurnosti podataka. Studija Legit Security ističe dva glavna područja zabrinutosti: vektorske baze podataka i LLM alate.

    Javno izložene vektorske baze podataka

    Razumijevanje vektorskih baza podataka

    Vektorske baze podataka su specijalizovani sistemi koji pohranjuju podatke kao višedimenzionalne vektore, koji se obično koriste u AI arhitekturama. Oni igraju ključnu ulogu u sistemima proširene generacije (RAG), gdje se AI modeli oslanjaju na eksterno preuzimanje podataka kako bi generisali odgovore. Popularne platforme uključuju Milvus, Qdrant, Chroma i Weaviate.

    Weaviate vektorska baza podataka (Izvor: Legit Security)
    Weaviate vektorska baza podataka (Izvor: Legit Security)

    Sigurnosni rizici

    Uprkos njihovoj korisnosti, vektorske baze podataka predstavljaju ozbiljne sigurnosne prijetnje. Mnoge instance su javno dostupne bez odgovarajuće provjere autentičnosti, što omogućava neovlaštenim korisnicima pristup osjetljivim informacijama.

    Ovo uključuje lične podatke (PII), medicinske kartone i privatne komunikacije. Studija je pokazala da je curenje podataka i trovanje podataka preovlađujući rizici.

    Primjeri iz stvarnog svijeta

    Istraga je otkrila otprilike 30 servera koji sadrže osjetljive korporativne ili privatne podatke, uključujući:

    • Razgovori putem e-pošte kompanije
    • PII korisnika i serijski brojevi proizvoda
    • Finansijska evidencija
    • Kandidat nastavlja

    U jednom slučaju, Weaviate baza podataka kompanije za inženjerske usluge sadržavala je privatne e-poruke . Drugi slučaj je uključivao Qdrant bazu podataka sa detaljima o kupcima iz firme za industrijsku opremu.

    Javno izloženi LLM alati

    Alati za LLM automatizaciju bez koda

    Platforme niskog koda kao što je Flowise omogućavaju korisnicima da izgrade AI radne tokove integracijom učitavača podataka, predmemorije i baza podataka. Iako su moćni, ovi alati su ranjivi na kršenje podataka ako nisu pravilno osigurani.

    Sigurnosni rizici

    LLM alati se suočavaju s prijetnjama sličnim onima kod vektorskih baza podataka, uključujući curenje podataka i izlaganje vjerodajnica. Studija je identifikovala kritičnu ranjivost (CVE-2024-31621) u Flowiseu, omogućavajući zaobilaženje autentifikacije kroz jednostavnu manipulaciju URL-om.

    Izloženi Flowise server, koji vraća HTTP 401 - Neovlaštena greška na bilo koji API zahtjev (izvor: Legit Security)
    Izloženi Flowise server, koji vraća HTTP 401 – Neovlaštena greška na bilo koji API zahtjev (izvor: Legit Security)

    Ključni nalazi

    Istraživanje je otkrilo brojne otkrivene tajne, kao što su:

    • OpenAI API ključevi
    • Pinecone API ključevi
    Prikazan je Pinecone API ključ koji smo pronašli tvrdo kodiran u jednoj od konfiguracija toka (izvor: Legit Security)
    Prikazan je Pinecone API ključ koji smo pronašli tvrdo kodiran u jednoj od konfiguracija toka (izvor: Legit Security)
    • GitHub pristupni tokeni
    GitHub tokeni i OpenAI API ključevi iz ranjive Flowise instance (izvor: Legit Security)
    GitHub tokeni i OpenAI API ključevi iz ranjive Flowise instance (izvor: Legit Security)

    Ovi nalazi naglašavaju potencijal za značajne povrede podataka ako se ranjivosti ne riješe.

    Strategije ublažavanja

    Za borbu protiv ovih ranjivosti, organizacije moraju implementirati robusne sigurnosne mjere. Preporučene radnje uključuju:

    • Provođenje strogih protokola za autentifikaciju i autorizaciju
    • Redovno ažuriranje softvera radi zakrpe poznatih ranjivosti
    • Sprovođenje temeljnih sigurnosnih revizija i penetracijskog testiranja
    • Edukacija osoblja o najboljim praksama za zaštitu podataka

    Ranjivosti otkrivene u AI platformama naglašavaju hitnu potrebu za poboljšanim mjerama sigurnosti. Kako AI prožima različite sektore, zaštita osjetljivih podataka mora biti glavni prioritet. Organizacije se pozivaju da proaktivno ublaže rizike i zaštite svoju digitalnu imovinu.

    Nalazi ove studije služe kao oštar podsjetnik na potencijalne posljedice zanemarivanja sajber sigurnosti u doba AI. Rešavanjem ovih ranjivosti, preduzeća mogu iskoristiti puni potencijal AI tehnologija, istovremeno osiguravajući sigurnost i privatnost svojih podataka.

    Izvor: CyberSecurityNews

    Recent Articles

    spot_img

    Related Stories