آسیب‌ پذیری خطرناک در هوش مصنوعی لاما

تصور کنید هوش مصنوعی قدرتمند متا، هوش مصنوعی لاما ، ناگهان به دست هکرها بیفتد و آنها بتوانند از راه دور هر کدی را که می‌ خواهند روی آن اجرا کنند! این دقیقاً همان چیزی است که با کشف یک آسیب‌ پذیری امنیتی جدید در چارچوب هوش مصنوعی لاما امکان‌ پذیر شده است. این آسیب‌ پذیری به مهاجمان اجازه می‌ دهد تا کنترل کامل سرور هوش مصنوعی را به دست بگیرند و از آن برای اهداف مخرب خود استفاده کنند. اما آیا متا راه حلی برای مقابله با این تهدید پیدا کرده است؟

هوش مصنوعی لاما در معرض خطر اجرای کد از راه دور

به گزارش زوم تک از هکر نیوز، یک آسیب‌ پذیری امنیتی با شدت بالا در مدل زبان بزرگ هوش مصنوعی لاما متا کشف شده است که در صورت بهره‌برداری موفقیت‌آمیز، به مهاجم اجازه می‌ دهد کد دلخواه را روی سرور استنتاج llama-stack اجرا کند.

این آسیب‌پذیری که با عنوان CVE-2024-50050 ردیابی می‌ شود، امتیاز CVSS 6.3 از 10.0 را دریافت کرده است. از سوی دیگر، شرکت امنیت زنجیره تامین Snyk، امتیاز شدت بحرانی 9.3 را به آن اختصاص داده است.

آوی لوملسکی، محقق Oligo Security، در تحلیلی در اوایل این هفته گفت: “نسخه‌های آسیب‌دیده meta-llama در برابر deserialize کردن داده‌های غیرقابل اعتماد آسیب‌پذیر هستند، به این معنی که یک مهاجم می‌تواند با ارسال داده‌های مخربی که deserialize می‌شوند، کد دلخواه را اجرا کند.”

به گفته این شرکت امنیت ابری، این نقص در مولفه‌ای به نام Llama Stack وجود دارد که مجموعه‌ای از رابط‌های API را برای توسعه برنامه‌های هوش مصنوعی (AI)، از جمله استفاده از مدل‌های Llama خود متا، تعریف می‌کند.

به طور خاص، این آسیب‌پذیری مربوط به یک نقص اجرای کد از راه دور در پیاده‌سازی مرجع Python Inference API است که با استفاده از pickle، اشیاء پایتون را به طور خودکار deserialize می‌کند. pickle قالبی است که به دلیل امکان اجرای کد دلخواه هنگام بارگیری داده‌های غیرقابل اعتماد یا مخرب با استفاده از کتابخانه، خطرناک تلقی می‌شود.

لوملسکی گفت: “در سناریوهایی که سوکت ZeroMQ از طریق شبکه در معرض دید قرار می‌گیرد، مهاجمان می‌توانند با ارسال اشیاء مخرب ساخته شده به سوکت، از این آسیب‌پذیری سوء استفاده کنند. از آنجایی که recv_pyobj این اشیاء را unpickle می‌کند، یک مهاجم می‌تواند به اجرای کد دلخواه (RCE) در دستگاه میزبان دست یابد.”

پس از افشای مسئولانه در 24 سپتامبر 2024، این مشکل توسط متا در 10 اکتبر در نسخه 0.0.41 برطرف شد. همچنین در pyzmq، یک کتابخانه پایتون که دسترسی به کتابخانه پیام‌رسانی ZeroMQ را فراهم می‌کند، برطرف شده است.

متا در اطلاعیه‌ای اعلام کرد که خطر اجرای کد از راه دور مرتبط با استفاده از pickle به عنوان قالب سریال‌سازی برای ارتباطات سوکت را با تغییر به قالب JSON برطرف کرده است.

این اولین بار نیست که چنین آسیب‌پذیری‌های deserialization در چارچوب‌های هوش مصنوعی کشف می‌شود. در آگوست 2024، Oligo یک “آسیب‌پذیری سایه” را در چارچوب Keras TensorFlow، که راهی برای دور زدن CVE-2024-3660 (امتیاز CVSS: 9.8) است، شرح داد که می‌تواند منجر به اجرای کد دلخواه به دلیل استفاده از ماژول ناامن marshal شود.

این تحول در حالی رخ می‌دهد که بنجامین فلش، محقق امنیتی، یک نقص با شدت بالا را در خزنده ChatGPT OpenAI فاش کرد که می‌تواند برای شروع یک حمله محروم‌سازی از سرویس توزیع‌شده (DDoS) علیه وب‌سایت‌های دلخواه استفاده شود.

این مشکل نتیجه مدیریت نادرست درخواست‌های HTTP POST به API “chatgpt[.]com/backend-api/attributions” است که برای پذیرش لیستی از URL ها به عنوان ورودی طراحی شده است، اما نه بررسی می‌کند که آیا URL مشابه چندین بار در لیست ظاهر می‌شود و نه محدودیتی برای تعداد پیوندهایی که می‌توانند به عنوان ورودی ارسال شوند اعمال می‌کند.

این امر سناریویی را ایجاد می‌کند که در آن یک عامل مخرب می‌تواند هزاران پیوند را در یک درخواست HTTP ارسال کند و باعث شود OpenAI تمام آن درخواست‌ها را بدون تلاش برای محدود کردن تعداد اتصالات یا جلوگیری از صدور درخواست‌های تکراری به سایت قربانی ارسال کند.

بسته به تعداد پیوندهای ارسال شده به OpenAI، این یک عامل تقویت قابل توجه برای حملات DDoS بالقوه فراهم می‌کند و به طور موثر منابع سایت هدف را تحت الشعاع قرار می‌دهد. از آن زمان، این شرکت هوش مصنوعی این مشکل را برطرف کرده است.

فلش گفت: “خزنده ChatGPT را می‌توان برای DDoS یک وب سایت قربانی از طریق درخواست HTTP به یک API ChatGPT نامرتبط تحریک کرد. این نقص در نرم افزار OpenAI یک حمله DDoS را بر روی یک وب سایت قربانی ناآگاه ایجاد می‌کند و از چندین محدوده آدرس IP Microsoft Azure که خزنده ChatGPT روی آن اجرا می‌شود استفاده می‌کند.”

این افشاگری همچنین به دنبال گزارشی از Truffle Security مبنی بر اینکه دستیارهای کدنویسی محبوب مبتنی بر هوش مصنوعی، کدگذاری سخت کلیدهای API و رمزهای عبور را “توصیه می‌کنند” منتشر شد، توصیه‌ای خطرناک که می‌تواند برنامه‌نویسان بی‌تجربه را به ایجاد نقاط ضعف امنیتی در پروژه‌هایشان گمراه کند.

جو لئون، محقق امنیتی، گفت: “LLM ها به تداوم آن کمک می‌کنند، احتمالاً به این دلیل که آنها بر روی تمام شیوه‌های کدنویسی ناامن آموزش دیده‌اند.”

اخبار مربوط به آسیب‌پذیری‌ها در چارچوب‌های LLM همچنین به دنبال تحقیقاتی در مورد چگونگی سوء استفاده از مدل‌ها برای تقویت چرخه حیات حمله سایبری، از جمله نصب محموله نهایی stealer و فرماندهی و کنترل، منتشر می‌شود.

مارک ویتزمن، محقق Deep Instinct، گفت: “تهدیدات سایبری ناشی از LLM ها یک انقلاب نیست، بلکه یک تکامل است. هیچ چیز جدیدی وجود ندارد، LLM ها فقط تهدیدات سایبری را در مقیاس بزرگتر بهتر، سریعتر و دقیق تر می‌کنند. LLM ها می‌توانند با راهنمایی یک راننده باتجربه، با موفقیت در هر مرحله از چرخه حیات حمله ادغام شوند. این توانایی‌ها احتمالاً با پیشرفت فناوری زیربنایی، به طور مستقل رشد می‌کنند.”

تحقیقات اخیر همچنین روش جدیدی به نام ShadowGenes را نشان داده است که می‌تواند برای شناسایی شجره‌نامه مدل، از جمله معماری، نوع و خانواده آن با استفاده از نمودار محاسباتی آن استفاده شود. این رویکرد بر اساس یک تکنیک حمله که قبلاً فاش شده بود به نام ShadowLogic ساخته شده است.

شرکت امنیت هوش مصنوعی HiddenLayer در بیانیه‌ای که با The Hacker News به اشتراک گذاشته شده است، گفت: “امضاهای مورد استفاده برای شناسایی حملات مخرب در یک نمودار محاسباتی می‌تواند برای ردیابی و شناسایی الگوهای تکرارشونده، به نام زیرگراف‌های تکرارشونده، تطبیق داده شود و به آنها اجازه می‌دهد شجره‌نامه معماری مدل را تعیین کنند. درک خانواده‌های مدل مورد استفاده در سازمان شما، آگاهی کلی شما را از زیرساخت هوش مصنوعی شما افزایش می‌دهد و امکان مدیریت بهتر وضعیت امنیتی را فراهم می‌کند.”