Intel, AI model sıkıştırmasına yönelik Intel Neural Compressor yazılımının bazı sürümlerinde maksimum önem derecesine sahip bir güvenlik açığını açıkladı.
Olarak belirtilen hata CVE-2024-22476, kimliği doğrulanmamış bir saldırgana, yazılımın etkilenen sürümlerini çalıştıran Intel sistemlerinde rastgele kod yürütme yolu sağlar. Güvenlik açığı, şirketin bir dizi raporda açıkladığı düzinelerce kusur arasında en ciddi olanıdır. 41 güvenlik uyarısı Bu hafta.
Uygunsuz Giriş Doğrulaması
Intel, CVE-2024-22476’nın hatalı giriş doğrulamasından veya düzgün bir şekilde doğrulanmamasından kaynaklandığını tespit etti kullanıcı girişini sterilize edin. Çip üreticisi, güvenlik açığına CVSS ölçeğinde maksimum 10 puan verdi; çünkü kusur, düşük karmaşıklıkla uzaktan kullanılabilir ve veri gizliliği, bütünlüğü ve kullanılabilirliği üzerinde yüksek etkiye sahiptir. Bir saldırganın herhangi bir özel ayrıcalığa ihtiyacı yoktur ve bir istismarın çalışması için kullanıcı etkileşimi de gerekli değildir.
Güvenlik açığı Intel Neural Compressor’un 2.5.0’dan önceki sürümlerini etkiliyor. Intel, yazılımı kullanan kuruluşların 2.5.0 veya sonraki bir sürüme yükseltme. Intel’in tavsiyesi, şirketin güvenlik açığını harici bir güvenlik araştırmacısından veya şirketin kimliğini belirlemediği kuruluştan öğrendiğini belirtti.
Intel Nöral Sıkıştırıcı bilgisayarlı görme, doğal dil işleme, öneri sistemleri ve diğer çeşitli kullanım durumları gibi görevler için derin öğrenme modellerini sıkıştırmaya ve optimize etmeye yardımcı olan açık kaynaklı bir Python kütüphanesidir. Sıkıştırma teknikleri arasında sinir ağının budanması veya en az önemli parametrelerin kaldırılması; işlem çağrısı niceleme yoluyla bellek gereksinimlerinin azaltılması; ve daha büyük bir modeli benzer performansa sahip daha küçük bir modele dönüştürmek. Yapay zeka modeli sıkıştırma teknolojisinin amacı, yapay zeka uygulamalarının, mobil cihazlar gibi sınırlı veya kısıtlı hesaplama gücüne sahip olanlar da dahil olmak üzere çeşitli donanım cihazlarına konuşlandırılmasına yardımcı olmaktır.
Birçok Aradan Biri
CVE-2024-22476 aslında Intel’in Neural Compressor yazılımında bu hafta açıkladığı ve bir düzeltme yayınladığı iki güvenlik açığından biri. Diğeri ise CVE-2024-21792bilgilerin ifşa edilmesine yol açabilecek bir kullanım zamanı kontrol zamanı (TOCTOU) kusuru. Intel, kusurun yalnızca orta düzeyde bir risk teşkil ettiğini değerlendirdi; çünkü diğer şeylerin yanı sıra, bir saldırganın savunmasız bir sistemden yararlanabilmesi için halihazırda yerel, kimliği doğrulanmış bir erişime sahip olması gerekiyor.
Nöral Kompresör kusurlarına ek olarak Intel, sunucu ürünlerine yönelik UEFI donanım yazılımında da yüksek önem derecesine sahip beş ayrıcalık yükseltme güvenlik açığını da açıkladı. Intel’in tavsiye belgesi tüm güvenlik açıklarını listeledi (CVE-2024-22382; CVE-2024-23487; CVE-2024-24981; CVE-2024-23980; Ve CVE-2024-22095CVSS ölçeğinde şiddet puanları 7,2 ile 7,5 arasında değişen giriş doğrulama kusurları olarak.
Ortaya Çıkan Yapay Zeka Açıkları
Nöral Kompresör güvenlik açıkları, güvenlik analistlerinin son zamanlarda yapay zeka yazılımlarının ve araçlarının kurumsal kuruluşlarda oluşturduğu genişleyen – ancak çoğu zaman gözden kaçırılan – saldırı yüzeyi olarak tanımladığı şeyin örnekleridir. Şimdiye kadar yapay zeka yazılımıyla ilgili güvenlik endişelerinin çoğu, Büyük dil modellerinin kullanılmasındaki riskler ve ChatGPT gibi LLM özellikli sohbet robotları. Geçtiğimiz yıl boyunca araştırmacılar bu araçların risklere karşı duyarlılığı hakkında çok sayıda rapor yayınladılar. model manipülasyonu, jailbreak yapmakve birkaç diğer tehditler.
Şimdiye kadar daha az odaklanılan konu, yapay zeka ürünleri ve platformlarının oluşturulmasında ve desteklenmesinde kullanılan bazı temel yazılım bileşenleri ve altyapılardaki güvenlik açıklarından kuruluşların maruz kaldığı riskti. Örneğin Wiz’den araştırmacılar yakın zamanda yaygın olarak kullanılan yazılımlarda zayıflıklar buldular. HuggingFace platformu Bu, saldırganlara kayıt defterindeki modelleri kurcalama veya silahlı olanları nispeten kolay bir şekilde yükleme olanağı verdi. A son çalışma Birleşik Krallık Bilim, Yenilik ve Teknoloji Bakanlığı tarafından görevlendirilen bir araştırma, yazılım tasarım aşamasından geliştirme, dağıtım ve bakıma kadar her yaşam döngüsü durumunda yapay zeka teknolojisine yönelik çok sayıda potansiyel siber risk belirledi. Riskler arasında, yeterli tehdit modellemesinin yapılmaması ve güvenlik açıklarını kodlamak için tasarım aşamasında güvenli kimlik doğrulama ve yetkilendirmenin dikkate alınmaması, güvenli olmayan veri işleme, yetersiz giriş doğrulama ve diğer sorunların uzun bir listesi yer alır.