آنتی ویروس پادویش
امنیت

هشدار امنیتی: حفره خطرناک در Lightning AI Studio کشف شد!

Lightning AI Studio چیست

فهرست مطالب

خلاصه: پژوهشگران امنیتی یک آسیب‌پذیری امنیتی بحرانی در پلتفرم توسعه Lightning AI Studio را شناسایی کرده‌اند که در صورت بهره‌برداری موفقیت‌آمیز، می‌تواند به اجرای کد از راه دور منجر شود. این آسیب‌پذیری که با امتیاز CVSS 9.4 رتبه‌بندی شده است، به مهاجمان اجازه می‌دهد با بهره‌برداری از یک پارامتر URL پنهان، دستورات دلخواه را با امتیازات root اجرا کنند.

گیفت کارت

هشدار امنیتی خطرناک در  Lightning AI Studio

به گزارش زوم تک از وبسایت خبری The Hacker News، پژوهشگران امنیتی یک آسیب‌پذیری امنیتی بحرانی در پلتفرم توسعه Lightning AI Studio را شناسایی کرده‌اند که در صورت بهره‌برداری موفقیت‌آمیز، می‌تواند به اجرای کد از راه دور منجر شود.

این آسیب‌پذیری که با امتیاز CVSS 9.4 رتبه‌بندی شده است، به مهاجمان اجازه می‌دهد با بهره‌برداری از یک پارامتر URL پنهان، دستورات دلخواه را با امتیازات root اجرا کنند.

به گفته شرکت امنیت کاربردی Noma، این سطح دسترسی می‌تواند برای طیف وسیعی از فعالیت‌های مخرب، از جمله استخراج کلیدهای حساس از حساب‌های هدف، استفاده شود.

این مشکل در یک قطعه کد جاوا اسکریپت جاسازی شده است که می‌تواند دسترسی بدون محدودیت به محیط توسعه قربانی را فراهم کند و دستورات دلخواه را روی یک هدف تأیید شده در یک زمینه ممتاز اجرا کند.

Noma اعلام کرد که یک پارامتر پنهان به نام “command” را در URL‌های خاص کاربر پیدا کرده است، مانند “lightning.ai/PROFILE_USERNAME/vision-model/studios/STUDIO_PATH/terminal?fullScreen=true&commmand=cmVzc…”، که می‌تواند برای ارسال دستور Base64-encoded برای اجرا روی میزبان زیرین استفاده شود.

حتی بدتر از آن، این آسیب‌پذیری می‌تواند برای اجرای دستوراتی که می‌توانند اطلاعات مهم مانند توکن‌های دسترسی و اطلاعات کاربر را به یک سرور کنترل‌شده توسط مهاجم استخراج کنند، مورد استفاده قرار گیرد.

بهره‌برداری موفق از این آسیب‌پذیری به این معنی است که مهاجم می‌تواند دستورات دلخواه ممتاز را اجرا کند و به دسترسی root دست یابد، داده‌های حساس را جمع‌آوری کند و فایل سیستم را برای ایجاد، حذف یا اصلاح فایل‌ها روی سرور دستکاری کند.

برای انجام این کار، همه کاری که یک مهاجم باید انجام دهد این است که از قبل اطلاعاتی درباره نام کاربری یک پروفایل و استودیو Lightning AI مرتبط با آن داشته باشد، که این اطلاعات از طریق گالری الگوهای استودیو در دسترس عموم است.

با داشتن این اطلاعات، مهاجم می‌تواند یک لینک مخرب ایجاد کند که باعث اجرای کد روی استودیو شناسایی شده با امتیازات root شود.

پس از افشای مسئولیت‌پذیر در تاریخ ۱۴ اکتبر ۲۰۲۴، این مشکل در تاریخ ۲۵ اکتبر توسط تیم Lightning AI حل شد.

پژوهشگران گفتند: “آسیب‌پذیری‌هایی مانند این اهمیت نقشه‌برداری و ایمن‌سازی ابزارها و سیستم‌های مورد استفاده برای ساخت، آموزش و استقرار مدل‌های هوش مصنوعی به دلیل ماهیت حساس آن‌ها را برجسته می‌کنند.”

Lightning AI Studio چیست؟

Lightning AI Studio یک پلتفرم مبتنی بر ابر برای توسعه هوش مصنوعی است که توسط سازندگان PyTorch Lightning ساخته شده است. این پلتفرم با هدف ساده‌سازی فرآیند ساخت، آموزش و استقرار مدل‌های هوش مصنوعی طراحی شده و ابزارهای مختلفی را در یک محیط واحد ارائه می‌دهد.

برخی از ویژگی‌های کلیدی Lightning AI Studio عبارتند از:

  • محیط توسعه یکپارچه: این پلتفرم ابزارهای محبوب یادگیری ماشین را در یک رابط واحد ادغام می‌کند و نیاز به جابجایی بین ابزارهای مختلف را از بین می‌برد.
  • عدم نیاز به تنظیم محیط: کاربران می‌توانند بدون نیاز به تنظیم محیط‌های محلی، کدنویسی را در مرورگر انجام دهند یا IDE محلی خود (مانند VSCode یا PyCharm) را متصل کنند.
  • مقیاس‌پذیری: امکان آموزش مدل‌ها در مقیاس بزرگ با استفاده از هزاران GPU فراهم شده است.
  • ذخیره‌سازی و اشتراک‌گذاری: کاربران می‌توانند پروژه‌های خود را ذخیره و به اشتراک بگذارند و به راحتی فایل‌ها را آپلود و به اشتراک بگذارند.
  • همکاری چند کاربره: امکان کدنویسی و همکاری همزمان روی پروژه‌ها وجود دارد.
  • استودیوهای از پیش ساخته شده: این پلتفرم شامل قالب‌های پروژه‌ای (استودیوها) است که به کاربران کمک می‌کند پروژه‌های خود را سریع‌تر شروع کنند.
    Lightning AI Studio برای چه کسانی مناسب است؟

این پلتفرم برای طیف گسترده‌ای از کاربران، از جمله محققان، دانشمندان داده، مهندسان یادگیری ماشین و توسعه‌دهندگان هوش مصنوعی مناسب است. همچنین برای افرادی که به دنبال یادگیری و آزمایش در زمینه هوش مصنوعی هستند نیز می‌تواند مفید باشد.

هزینه استفاده از Lightning AI Studio چقدر است؟

این پلتفرم دارای طرح رایگان با امکانات محدود و طرح‌های پولی با امکانات بیشتر است. طرح رایگان شامل GPU رایگان برای آزمایش و آموزش مدل‌ها است.

به طور کلی، Lightning AI Studio یک پلتفرم قدرتمند و کاربرپسند برای توسعه هوش مصنوعی است که می‌تواند به کاربران در تسریع فرآیند ساخت و استقرار مدل‌های خود کمک کند.

به این پست امتیاز بدید

مطالب مرتبط

نظرات در مورد : هشدار امنیتی: حفره خطرناک در Lightning AI Studio کشف شد!

0 دیدگاه

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *