聚焦源代码安全,网罗国内外最新资讯!
编译:代码卫士
英特尔称用于AI模型压缩的 Intel Neural Compressor 某些版本中存在一个CVSS评分为10分的严重漏洞 CVE-2024-22476。
该漏洞可导致未认证攻击者在运行受影响软件的英特尔系统上执行任意代码。该漏洞是英特尔公司上周所披露的十几个漏洞中最为严重的。
输入验证不当
英特尔公司表示,该漏洞是因为输入验证不当(或用户输入清洁不当)造成的。由于该漏洞可在复杂度较低的攻击中遭远程利用且在数据机密性、完整性和可用性方面造成较大影响,因此英特尔将该漏洞的CVSS评分评级为满分10分。攻击者无需任何特殊权限,也无需用户交互即可利用该漏洞。
该漏洞影响 Intel Neural Compressor 2.5.0之前的版本。英特尔安全建议组织机构用户升级至2.5.0及后续版本。英特尔发布安全公告指出,该漏洞是从一名外部安全研究员或实体处获悉的,但并未透露具体信息。
Intel Neural Compressor 是一款开源 Python 库,有助于为多项任务如计算机视图、自然语言处理、推荐系统以及其它用例压缩并优化深度学习模型。压缩技术包括神经网络减少,或者删除最不重要的参数;通过进程调用隔离的方式减少内存要求;并将更大的模型植入性能类似的更小模型中。AI模型压缩技术的目的是助力在多种硬件设备上部署AI应用程序,包括计算能力有限或受限制的设备,如移动设备。
其它漏洞
CVE-2024-22476只是英特尔 Neural Compressor 软件中的两个漏洞之一,目前补丁已发布。另外一个CVE漏洞是CVE-2024-21792,它是TOCTOU缺陷,可导致信息遭泄露。英特尔表示就目前情况来看,该漏洞的风险仅为中等,攻击者必须已经拥有对易受攻击系统的本地认证访问权限。
除了这些位于 Neural Compressor 中的漏洞外,英特尔还发布了位于UEFI 固件中的五个高危漏洞。它们的编号是CVE-2024-22382、CVE-2024-23487、CVE-2024-24981、CVE-2024-23980和CVE-2024-22095,均为输入验证漏洞,严重性评分从7.2到7.5不等。
不断涌现的AI漏洞
这些Neural Compressor 漏洞佐证了安全分析师最近所述的AI软件和工具正在企业中制造的正在扩展但常被忽视的攻击面。目前关于AI软件的安全担忧主要集中在使用大语言模型和启用LLM的聊天机器人如ChatGPT带来的风险。去年。研究人员发布了多份关于这些工具易受模型操纵、越狱以及其它多种威胁的可能性报告。
相比而言,截止目前,人们对用于构建和支持AI产品和平台所使用的某些核心软件组件和基础设施中的漏洞关注度不高。例如,Wiz 公司的研究人员发现了 huggingFace 平台中的多个弱点,它们可导致攻击者篡改注册表中的模型或相对容易地上传被武器化的模型。英国科学、创新和技术部在所资助的一项研究中发现了从软件设计阶段到开发、部署和维护所有生命周期中使用AI技术所存在的多种潜在网络风险。这些风险包括未能开展正确的威胁建模以及未能在设计阶段保证认证和授权安全、代码漏洞、安全处理不安全、输入验证不当等问题。
代码卫士试用地址:https://codesafe.qianxin.com
开源卫士试用地址:https://oss.qianxin.com
推荐阅读
原文链接
https://www.darkreading.com/cyber-risk/intel-discloses-max-severity-bug-in-its-ai-model-compression-software
题图:Pexels License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~
3709
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
