文章预览
关键词 信息窃取 安全公司 Wiz 近日发布报告,宣称开源 AI 模型共享平台 Replicate 存在重大漏洞,黑客可通过恶意模型进行“跨租户攻击”(IT之家注:即利用存在于多租户环境中的安全漏洞访问 / 干扰其他租户的数据资源),从而导致平台用户训练的 AI 模型内部机密数据泄露。 安全公司声称,Replicate 平台出现“跨租户攻击”漏洞的主要原因是该平台为提升 AI 模型推论(inference)效率推出的模型容器化格式 Cog, 虽然相关格式能够显著改善模型与效率,不过 Replicate 平台忽略了 Cog 格式中的安全隔离机制 。 IT之家获悉,黑客可以将经过训练后的恶意模型打包成 Cog 容器,并通过 Replicate 的用户操作界面与容器互动,最终成功进行了一系列远程执行代码(RCE)攻击测试,获得了容器的 root 权限。 此后,研究人员还对 Replicate 平台的基础设施进一步调
………………………………
