主流AI算力框架漏洞遭利用,數(shù)千臺(tái)AI工作負(fù)載服務(wù)器被黑��。
3月29日消息��,OpenAI���、優(yōu)步和亞馬遜所使用的AI計(jì)算框架Ray發(fā)現(xiàn)了一個(gè)已被報(bào)告的漏洞,該漏洞遭到持續(xù)攻擊����,導(dǎo)致數(shù)千臺(tái)存儲(chǔ)AI工作負(fù)載和網(wǎng)絡(luò)憑證的服務(wù)器被黑。據(jù)了解�,這些攻擊已經(jīng)持續(xù)了7個(gè)月。
攻擊者不僅篡改了AI模型���,還泄露了訪(fǎng)問(wèn)內(nèi)部網(wǎng)絡(luò)和數(shù)據(jù)庫(kù)的網(wǎng)絡(luò)憑證����,并獲取了OpenAI��、Hugging Face�、Stripe和Azure等平臺(tái)帳號(hào)的訪(fǎng)問(wèn)令牌�����。除了破壞模型和竊取憑證,攻擊者還在能夠提供大量算力的被侵入基礎(chǔ)設(shè)施上安裝了加密貨幣挖礦軟件�����,并設(shè)置了反向shell�����,通過(guò)這種基于文本的界面實(shí)現(xiàn)對(duì)服務(wù)器的遠(yuǎn)程控制����。
發(fā)現(xiàn)這些攻擊的安全公司Oligo的研究人員在一篇文章中指出:“一旦攻擊者掌控Ray生產(chǎn)集群,等于中了大獎(jiǎng)�����。有價(jià)值的公司數(shù)據(jù)加上遠(yuǎn)程代碼執(zhí)行��,攻擊者很容易就能獲得現(xiàn)金收益�,而且可以完全隱匿在暗處,做到神不知鬼不覺(jué)(使用靜態(tài)安全工具不可能檢測(cè)到這種攻擊)���。”
被竊取的敏感信息包括AI生產(chǎn)工作負(fù)載��。利用這些信息�����,攻擊者可以在訓(xùn)練階段控制或篡改模型�,從而破壞模型的完整性。易受攻擊的集群中�,中央儀表板通常暴露在互聯(lián)網(wǎng)上,這使得任何有意的人都可以查看迄今為止輸入的所有命令����。利用這些歷史數(shù)據(jù),入侵者可以快速了解模型的工作方式����,并推測(cè)可以訪(fǎng)問(wèn)哪些敏感數(shù)據(jù)。
Oligo獲取的屏幕截圖顯示���,敏感私人數(shù)據(jù)和集群已經(jīng)遭到了大規(guī)模的黑客攻擊�����。被竊取的資源包括內(nèi)部數(shù)據(jù)庫(kù)以及OpenAI���、Stripe和Slack帳號(hào)的加密密碼哈希值和訪(fǎng)問(wèn)憑證��。
Ray是一個(gè)用于擴(kuò)展AI應(yīng)用程序的開(kāi)源框架,允許大量應(yīng)用程序同時(shí)高效地運(yùn)行���。通常��,這些應(yīng)用程序在大規(guī)模服務(wù)器集群上運(yùn)行����??蚣苷_\(yùn)行主要依賴(lài)于提供接口顯示和控制運(yùn)行任務(wù)和應(yīng)用程序的中央儀表板。這個(gè)儀表板提供了名為“任務(wù)API”(Jobs API)編程接口���,允許用戶(hù)通過(guò)簡(jiǎn)單的HTTP請(qǐng)求向集群發(fā)送一系列命令�����,無(wú)需身份驗(yàn)證�。
去年�����,安全公司Bishop Fox的研究人員將這種行為標(biāo)記為高嚴(yán)重性的代碼執(zhí)行漏洞�,其跟蹤編號(hào)為CVE-2023-48022���。
默認(rèn)配置不安全需專(zhuān)門(mén)加固
Bishop Fox的高級(jí)安全顧問(wèn)Berenice Flores Garcia寫(xiě)道:“在默認(rèn)配置中,Ray不強(qiáng)制進(jìn)行身份驗(yàn)證�����。因此�����,攻擊者可以自由提交任務(wù)�、刪除現(xiàn)有任務(wù)、檢索敏感信息���,并利用本次官方警告中描述的其他漏洞��。”
對(duì)此����,Ray的開(kāi)發(fā)者和維護(hù)者Anyscale回應(yīng)稱(chēng)該漏洞不存在�����。Anyscale官方表示���,他們一直將Ray視為一個(gè)遠(yuǎn)程執(zhí)行代碼的框架�,因此始終建議將Ray合理地隔離在有適當(dāng)安全措施的網(wǎng)絡(luò)內(nèi)部。
Anyscale官方寫(xiě)道:“由于Ray本質(zhì)上是一個(gè)分布式執(zhí)行框架��,其安全邊界位于Ray集群之外�����。因此�,我們強(qiáng)調(diào)您必須防止不受信任的機(jī)器(如公共互聯(lián)網(wǎng))訪(fǎng)問(wèn)您的Ray集群�����。”
對(duì)于被報(bào)告的“任務(wù)API”的內(nèi)部行為���,Anyscale表示并非漏洞����,并且不會(huì)在短期內(nèi)得到解決���。不過(guò)����,Anyscale承諾最終會(huì)進(jìn)行變更,強(qiáng)制在API中進(jìn)行身份驗(yàn)證�。Anyscale解釋道:
我們非常認(rèn)真地考慮過(guò)這樣做是否合理。到目前為止����,我們還沒(méi)有實(shí)施這一變更,因?yàn)槲覀儞?dān)心用戶(hù)可能會(huì)過(guò)分信任這種機(jī)制——它可能只能實(shí)現(xiàn)表面上的安全��,并沒(méi)有像他們想象的那樣真正保護(hù)集群���。
盡管如此���,我們認(rèn)識(shí)到,這是個(gè)見(jiàn)仁見(jiàn)智的問(wèn)題�。我們?nèi)匀徽J(rèn)為組織不應(yīng)該依賴(lài)Ray內(nèi)部的隔離控制手段,如身份驗(yàn)證��。但這些手段在進(jìn)一步實(shí)施深度防御策略的某些情境中可能是有價(jià)值的��。因此��,我們決定將在未來(lái)的版本中將其作為一個(gè)新功能實(shí)施��。
Anyscale的回應(yīng)招致了一些批評(píng)。比如����,用于簡(jiǎn)化在云環(huán)境中部署Ray的存儲(chǔ)庫(kù)將儀表板綁定到0.0.0.0,這是一個(gè)用于指定所有網(wǎng)絡(luò)接口并在同一地址上指定端口轉(zhuǎn)發(fā)的地址�����。這樣易受攻擊的入門(mén)級(jí)做法在Anyscale的網(wǎng)站上也可以找到���。
批評(píng)者還指出,由于Anyscale聲稱(chēng)被報(bào)告行為不是漏洞���,導(dǎo)致很多安全工具未能標(biāo)記攻擊�����。
Anyscale的代表在一封電子郵件中表示����,該公司計(jì)劃發(fā)布一個(gè)腳本�����,允許用戶(hù)輕松驗(yàn)證他們的Ray實(shí)例是否暴露在互聯(lián)網(wǎng)上。
