企業(yè)急于采用AI,忽視了安全強(qiáng)化

責(zé)任編輯:cres

作者:Lucian Constantin

2024-09-20 16:03:27

來源:企業(yè)網(wǎng)D1Net

原創(chuàng)

Orca Security的最新分析揭示了在主要云基礎(chǔ)設(shè)施中部署AI模型的廣泛安全漏洞。許多企業(yè)在匆忙部署AI應(yīng)用程序時忽視了安全性,常見問題包括使用不安全的默認(rèn)配置、暴露的API密鑰和AI模型,以及未加密的數(shù)據(jù)傳輸和存儲。

Orca Security對主要云基礎(chǔ)設(shè)施的分析揭示了廣泛存在的已知漏洞工具、暴露的AI模型和數(shù)據(jù)、配置錯誤的系統(tǒng)以及未加密的數(shù)據(jù)——這些問題都源于企業(yè)為了快速利用AI而導(dǎo)致的安全疏忽。

對托管在主要云提供商基礎(chǔ)設(shè)施上的資產(chǎn)進(jìn)行的安全分析顯示,許多公司在匆忙構(gòu)建和部署AI應(yīng)用程序時,留下了安全漏洞。常見的問題包括AI相關(guān)服務(wù)使用默認(rèn)且可能不安全的設(shè)置、部署存在漏洞的AI包,以及未遵循安全加固指南。

Orca Security的研究人員掃描了2024年1月至8月間托管在AWS、Azure、Google Cloud、Oracle Cloud和Alibaba Cloud上的數(shù)十億資產(chǎn)的工作負(fù)載和配置數(shù)據(jù)。研究結(jié)果發(fā)現(xiàn):暴露的API訪問密鑰、暴露的AI模型和訓(xùn)練數(shù)據(jù)、權(quán)限過多的訪問角色和用戶、配置錯誤、缺乏靜態(tài)數(shù)據(jù)和傳輸數(shù)據(jù)的加密、使用已知漏洞工具等。

“AI開發(fā)的速度持續(xù)加快,AI創(chuàng)新引入了更多強(qiáng)調(diào)易用性而非安全性的功能,”Orca的研究人員在他們的2024年《AI安全狀態(tài)報告》中寫道。“新服務(wù)推出時,資源配置錯誤往往隨之而來。用戶常常忽視正確配置與角色、存儲桶、用戶及其他資產(chǎn)相關(guān)的設(shè)置,從而為環(huán)境引入了重大風(fēng)險。”

AI工具的采用:快速、廣泛且有些草率

根據(jù)Orca的分析,在被測試的云資產(chǎn)中,超過一半(56%)的企業(yè)已采用AI模型來構(gòu)建特定用途的應(yīng)用程序,這通常意味著使用云服務(wù)來訪問AI模型、部署本地模型及其訓(xùn)練數(shù)據(jù)、部署相關(guān)的存儲桶,或使用特定的機(jī)器學(xué)習(xí)工具。

最受歡迎的服務(wù)是Azure OpenAI,39%的使用微軟Azure的企業(yè)采用了這一服務(wù)。在使用AWS的企業(yè)中,29%部署了Amazon SageMaker,11%使用了Amazon Bedrock。在使用Google Cloud的企業(yè)中,24%選擇了Google Vertex AI。

在模型的受歡迎程度上,GPT-35被79%采用AI的企業(yè)使用,其次是Ada(60%)、GPT-4o(56%)、GPT-4(55%)、DALL-E(40%)和WHISPER(14%),其他模型如CURIE、LLAMA和Davinci的使用率都低于10%。

用于自動化創(chuàng)建、訓(xùn)練和部署AI模型的熱門包包括Python scikit-learn、Natural Language Toolkit(NLTK)、PyTorch、TensorFlow、Transformers、LangChain、CUDA、Keras、PyTorch Lighting和Streamlit。大約62%的企業(yè)使用了至少一個包含未修補(bǔ)漏洞的機(jī)器學(xué)習(xí)包。

盡管未修補(bǔ)版本的數(shù)量很大,但發(fā)現(xiàn)的大多數(shù)漏洞風(fēng)險屬于低到中等,最高的嚴(yán)重性評分為10分中的6.9,且只有0.2%的漏洞有已發(fā)布的攻擊利用程序。研究人員推測,這可能是企業(yè)沒有急于修補(bǔ)漏洞的原因之一,同時也擔(dān)心修補(bǔ)可能會破壞兼容性。

“值得注意的是,即使是低或中等風(fēng)險的CVE,如果它們是高嚴(yán)重性攻擊路徑的一部分——一系列相互關(guān)聯(lián)的風(fēng)險,攻擊者可以利用它們來危害高價值資產(chǎn)——也可能構(gòu)成重大風(fēng)險,”研究人員寫道。

不安全的配置可能暴露模型和數(shù)據(jù)

暴露機(jī)器學(xué)習(xí)模型的代碼或相關(guān)訓(xùn)練數(shù)據(jù)可能導(dǎo)致各種AI特定攻擊,包括數(shù)據(jù)投毒、模型傾斜、模型逆向工程、模型投毒、輸入操控,以及AI供應(yīng)鏈的妥協(xié),其中庫或整個模型被替換為惡意版本。

攻擊者可能試圖通過威脅泄露企業(yè)的機(jī)器學(xué)習(xí)模型或?qū)S袛?shù)據(jù)來勒索公司,或者加密這些數(shù)據(jù)以造成停機(jī)。訓(xùn)練AI模型的系統(tǒng)通常具有強(qiáng)大的計算能力,因此攻擊者可能會利用這些系統(tǒng)來部署加密貨幣挖礦惡意軟件。

例如,Jupyter Notebook(一個用于機(jī)器學(xué)習(xí)和數(shù)據(jù)可視化的開源計算平臺)的不安全部署經(jīng)常在加密貨幣挖礦活動中受到攻擊,這些實例通常部署在云服務(wù)上,如Amazon SageMaker。

今年早些時候,Aqua Security的研究人員發(fā)現(xiàn)了一種名為“shadow buckets”的攻擊技術(shù),這是因為包括SageMaker在內(nèi)的六個Amazon AWS服務(wù)創(chuàng)建了可以預(yù)測名稱的S3數(shù)據(jù)存儲桶。盡管AWS后來更改了SageMaker的行為,在新桶名稱中引入了隨機(jī)數(shù),但45%的SageMaker桶仍具有可預(yù)測的名稱,這可能使其用戶暴露于此類攻擊之下。

企業(yè)還經(jīng)常在代碼庫和提交歷史中暴露與AI相關(guān)的API訪問密鑰。根據(jù)Orca的報告,20%的企業(yè)暴露了OpenAI密鑰,35%暴露了Hugging Face機(jī)器學(xué)習(xí)平臺的API密鑰,13%暴露了Anthropic(Claude大型語言模型背后的AI公司)的API密鑰。

研究人員建議:“通過遵循最佳實踐來保護(hù)API密鑰,例如安全存儲密鑰、定期輪換密鑰、刪除未使用的密鑰、避免硬編碼密鑰,并使用秘密管理器來管理其使用。”

雖然大多數(shù)企業(yè)在云中運行AI工具時遵循最小權(quán)限原則,但仍有一些企業(yè)使用了權(quán)限過高的角色。例如,4%的Amazon SageMaker實例使用了具有管理員權(quán)限的IAM角色來部署筆記本實例,這是一種風(fēng)險,因為未來任何這些服務(wù)中的漏洞都可能通過權(quán)限提升危及整個AWS賬戶。

企業(yè)也未能快速采用云服務(wù)提供商提供的安全改進(jìn)。例如,Amazon的Instance Metadata Service(IMDS)允許實例安全交換元數(shù)據(jù)。IMDSv2相較于v1有顯著改進(jìn),使用基于會話的臨時身份驗證令牌,但大量SageMaker用戶(77%)尚未在其筆記本實例上啟用它。對于AWS EC2計算實例,Orca掃描的95%的企業(yè)尚未配置IMDSv2。

Azure OpenAI的私有端點功能是另一個例子,它保護(hù)云資源和AI服務(wù)之間傳輸中的通信。根據(jù)Orca的調(diào)查,三分之一的Azure OpenAI用戶尚未啟用私有端點。

大多數(shù)企業(yè)似乎并未利用云提供商提供的加密功能來使用自管理密鑰加密其AI數(shù)據(jù),包括AWS的密鑰管理服務(wù)(KMS)、Google的客戶管理加密密鑰(CMEK)以及Azure的客戶管理密鑰(CMK)。

研究人員寫道:“雖然我們的分析并未確認(rèn)企業(yè)是否通過其他方法加密了其數(shù)據(jù),但選擇不使用自管理密鑰進(jìn)行加密,增加了攻擊者可能利用暴露數(shù)據(jù)的潛在風(fēng)險。”

大多數(shù)企業(yè)也未能更改不安全的默認(rèn)配置。例如,在測試的企業(yè)中,98%未能在其部署在AWS SageMaker上的Jupyter Notebook實例中禁用root訪問權(quán)限,這意味著如果攻擊者獲得未經(jīng)授權(quán)的訪問,他們可以訪問所有在這些實例中運行的模型和服務(wù)。

更安全AI的建議

Orca的研究人員指出,有幾個領(lǐng)域可以顯著改進(jìn),以保護(hù)AI模型和數(shù)據(jù)。首先,應(yīng)審查所有默認(rèn)設(shè)置,因為它們可能在生產(chǎn)環(huán)境中帶來安全風(fēng)險。企業(yè)還應(yīng)閱讀服務(wù)提供商和工具開發(fā)者提供的安全加固和最佳實踐文檔,并應(yīng)用最嚴(yán)格的設(shè)置。

其次,與任何IT系統(tǒng)一樣,漏洞管理非常重要。機(jī)器學(xué)習(xí)框架和自動化工具應(yīng)納入漏洞管理計劃,任何缺陷都應(yīng)被映射并安排修復(fù)。

限制和控制對AI資產(chǎn)的網(wǎng)絡(luò)訪問可以幫助減少意外風(fēng)險和漏洞,特別是因為這些系統(tǒng)相對較新,尚未經(jīng)過廣泛測試,研究人員建議。同樣,限制這些環(huán)境內(nèi)部的權(quán)限也有助于防止橫向移動的攻擊,一旦資產(chǎn)遭到破壞,內(nèi)部的權(quán)限限制將起到保護(hù)作用。

最后,AI模型使用和處理的數(shù)據(jù)是非常寶貴的資產(chǎn)。因此,在不同服務(wù)和工具之間傳輸時,以及數(shù)據(jù)處于靜止?fàn)顟B(tài)時,都應(yīng)通過使用自管理加密密鑰進(jìn)行保護(hù),并確保這些密鑰得到充分的防護(hù),以防止未經(jīng)授權(quán)的訪問和盜竊。

企業(yè)網(wǎng)D1net(r5u5c.cn):

國內(nèi)主流的to B IT門戶,旗下運營國內(nèi)最大的甲方CIO專家?guī)旌椭橇敵黾吧缃黄脚_-信眾智(www.cioall.com)。旗下運營19個IT行業(yè)公眾號(微信搜索D1net即可關(guān)注)。

版權(quán)聲明:本文為企業(yè)網(wǎng)D1Net編譯,轉(zhuǎn)載需在文章開頭注明出處為:企業(yè)網(wǎng)D1Net,如果不注明出處,企業(yè)網(wǎng)D1Net將保留追究其法律責(zé)任的權(quán)利。

鏈接已復(fù)制,快去分享吧

企業(yè)網(wǎng)版權(quán)所有?2010-2024 京ICP備09108050號-6京公網(wǎng)安備 11010502049343號