人工智能/机器学习工具中存在十几个可利用漏洞

Huntr 的管理平台 Protect AI指出，这些漏洞存在于每月下载量达到数十万或数百万的工具中，如 H2O-3、MLflow和Ray中，可能影响整个 AI/ML 供应链。

H2O-3 是一个低代码机器学习平台，支持通过数据导入的方式经由 web 接口创建和部署ML模式，它可使用户通过API调用远程上传 Java 对象。在默认情况下，该工具被暴露到网络且无需认证，从而允许攻击者提供恶意 Java 对象供 H2O-3 执行，从而访问操作系统。

该漏洞的编号是CVE-2023-6016（CVSS评分10分），是远程代码执行漏洞，可使攻击者完全接管服务器并窃取模型、凭据和其它数据。

漏洞猎人还在该低代码服务中发现了两个其它恶意漏洞，一个是本地文件包含漏洞 (CVE-2023-6038)，另外一个是XSS漏洞 (CVE-2023-6013)。另外还发现了一个高危的S3存储桶接管漏洞 (CVE-2023-6017)。

MLflow 是用于管理端对端ML生命周期的开源平台，默认情况下缺乏认证，研究人员从中发现了四个严重漏洞。其中最严重的是任意文件写和路径遍历漏洞CVE-2023-6018和CVE-2023-6015，CVSS评分为10分，它们可导致未认证攻击者覆写操作系统上的任意文件并实现远程代码执行后果。

该工具还易受严重的任意文件包含 (CVE-2023-1177) 和认证绕过(CVE-2023-6014) 漏洞。

Ray 项目是一种开源框架，用于分布式培训 ML 模型，它也缺少默认认证。Ray 的 cpu_profile 格式参数中存在一个代码注入漏洞 CVE-2023-6019，CVSS评分为10分，可导致系统遭完全攻陷。该参数未经验证就被插入在 shell 中执行的一个系统命令中。

漏洞猎人还发现了两个严重的本地文件包含漏洞，可导致远程攻击者在 Ray 系统中读取任意文件。这些漏洞的编号是CVE-2023-6020和CVE-2023-6021。

所有漏洞均已在披露的45天前报送给厂商。建议用户更新至最新不受影响的版本，并限制访问补丁不适用的应用程序。