英特尔AI模型压缩器现满分漏洞，可导致任意代码执行

据Info risk today消息，英特尔公司的人工智能模型压缩软件Neural Compressor 中存在一个最高级别的漏洞，该漏洞在 CVSS 的评分为满分10分，黑客可以在运行受影响版本的系统上执行任意代码。

Neural Compressor 软件可帮助公司减少人工智能模型所需的内存量，同时降低缓存丢失率和使用神经网络的计算成本，帮助系统实现更高的推理性能。公司使用开源 Python 库在不同类型的硬件设备上部署人工智能应用，包括那些计算能力有限的设备（如移动设备）。

英特尔没有说明有多少公司使用该软件，也没有说明受影响的用户数量，称该漏洞只影响使用 2.5.0 之前版本的用户。

在英特尔上周发布的 41 份安全公告中，该漏洞被追踪为 CVE-2024-22476，源于输入验证不当或未对用户输入进行消毒，黑客无需任何特殊权限或用户交互即可远程利用该漏洞，对数据的保密性、完整性和可用性构成很大影响。

除此以外，还有另一个漏洞被追踪为 CVE-2024-21792，严重程度为中等，是一个检查时间、使用时间漏洞，可能会让黑客获取未经授权的信息。黑客需要通过本地验证访问存在漏洞的系统才能利用该漏洞。

英特尔表示，一个外部安全实体提交了该漏洞报告，但没有说明个人或公司的身份。目前，英特尔已经发布了针对上述两个 Neural Compressor 漏洞的修复程序。

去年，研究人员在大型语言模型中发现了几十个漏洞，这些漏洞可能导致操纵实时对话、自我传播零点击漏洞以及利用幻觉传播恶意软件。

使用这种软件作为核心组件来构建和支持人工智能产品的公司可能会增加漏洞的影响，英特尔就是一个例子。一个月前，来自 Wiz 的研究人员在流行的人工智能应用开发商 HuggingFace 上发现了现已缓解的漏洞，允许攻击者篡改其注册表上的模型，甚至向其中添加恶意模型。

参考资料：

https://www.inforisktoday.com/intels-max-severity-flaw-affects-ai-model-compressor-users-a-25275

原文来源：FreeBuf

“

原文始发于微信公众号（CNCERT国家工程研究中心）：英特尔AI模型压缩器现满分漏洞，可导致任意代码执行