Oligo研究团队最近发现了针对广泛使用的开源人工智能框架Ray中漏洞的主动攻击活动。数千家运行人工智能基础设施的公司和服务器因一个存在争议的严重漏洞而受到攻击,因此没有补丁。
该漏洞允许攻击者接管公司的计算能力并泄露敏感数据。在过去7个月中,这一缺陷一直受到积极利用,影响了教育、加密货币、生物制药等行业。研究人员建议所有使用Ray的组织检查其环境,以确保它们不会暴露,并分析任何可疑活动。
该问题的核心在于一个名为CVE-2023-48022的严重漏洞,该漏洞一直是争论的焦点并且仍未修补。该漏洞使数以千计的公司及其人工智能基础设施面临被利用的风险,从而使恶意行为者能够劫持计算资源并可能泄露敏感数据。
令人震惊的是,这个安全漏洞在过去七个月里一直被积极利用,影响了包括教育、加密货币和生物制药在内的各个行业。
根据Oligo Security在周二(3月26日)发布之前与Hackread.com分享的博客文章中所述的技术调查结果,该漏洞已导致全球众多Ray服务器遭到入侵。
这些受感染的机器,其中一些已经受到攻击半年多了,对敏感数据的完整性和安全性构成了重大威胁。攻击者已经能够从这些机器上存储的命令历史记录中获得有价值的见解,从而可能暴露关键的生产秘密。
“截至目前,Oligo已发现数百个受损集群。每个集群由许多节点组成,这些节点是通过网络连接到集群的机器。大多数节点都有GPU,攻击者利用GPU进行加密货币挖掘,使该基础设施成为更大的攻击目标。换句话说,攻击者选择破坏这些机器不仅是因为他们可以获得有价值的敏感信息,而且还因为GPU非常昂贵且难以获得,尤其是现在。”
CVE-2023-48022不是漏洞?
此前,在Bishop Fox、Bryce Bearchell和Protect AI披露五个漏洞后,Anyscale以透明度和响应能力处理了具有挑战性的情况,展示了他们对Ray生态系统安全性和完整性的承诺。Anyscale立即解决了Ray 2.8.1版中的四个问题,并提供了详细的博客文章解释这些漏洞及其修复方法。
其中一个漏洞CVE-2023-48022是由于Ray在Jobs API中缺乏授权而引起的。与Ray的新版本中解决的其他CVE不同,该CVE仍然受到Anyscale的争议 -事实上,根据他们的说法,这是预期的行为和产品功能,而不是漏洞或错误。
然而,在许多帮助公司将Ray部署到云环境的GitHub样板存储库中,Ray不仅容易受到已成功修复的CVE(运行2.6.3 - 2.8.0之间的Ray 版本)的影响,而且还容易受到ShadowRay的影响,因为Ray的仪表板始终绑定在0.0.0.0(所有网络接口)上,并在0.0.0.0上进行端口转发,默认情况下可能会将计算机暴露在互联网上。
人工智能基础设施:攻击者的金矿
典型的人工智能环境包含大量敏感信息,足以让整个公司瘫痪。为什么人工智能环境对于攻击者来说是一个利润丰厚的环境?让我们看一下这些组件及其带来的风险。
ML-OP环境由许多服务组成,这些服务在同一集群内部和集群之间相互通信。
当用于训练或微调时,它通常可以访问磁盘或远程存储(例如S3存储桶)中的数据集和模型。通常,模型或数据集是独特的私有知识产权,使公司有别于竞争对手。
此外,人工智能环境通常可以访问第三方令牌(在可读的秘密或环境变量中)和多种集成(HuggingFace、OpenAI、WanDB和其他SaaS 提供商)。
人工智能模型现在已连接到公司数据库和知识图谱。对于人工智能驱动的公司来说,人工智能基础设施可能是一个单点故障,而对于攻击者来说,人工智能基础设施可能是一个隐藏的宝藏。
人工智能模型通常在昂贵的高性能机器上运行,这使得它们使用的计算能力成为攻击者的主要目标。
Ray框架简介
目前,Ray在GitHub上拥有30,000颗星,这表明用户可以为感兴趣或实用的存储库添加书签,类似于社交媒体平台上的“喜欢”内容。
许多项目依赖Ray来实现主流SaaS、数据和AI工作负载,利用该项目的高水平可扩展性、速度和效率。
Ray使用样板代码,使用Helm图表和其他云原生方法引导产品安装和部署。Ray与云提供商的许多集成也支持托管服务用例。
像GPT-4这样的模型包含数十亿个参数,需要大量的计算能力。这么大的模型不可能装在单台机器的内存中。Ray是允许这些模型运行的使能技术。Ray很快成为业界的最佳实践,尤其是对于AI从业者来说,他们精 Python,经常需要模型在多个GPU和机器之间运行和分发。
Ray的能力完美匹配AI的需求:
Ray支持分布式工作负载,用于训练、服务和调整所有架构和框架的AI模型。
Ray对Python的熟练程度要求非常低。它有一个精简的Python API,配置最少。
Ray坚如磐石,使用最佳实践来优化性能,具有强大、轻松的安装、很少的依赖项以及经过实际检验的生产级代码。
Ray超越了Python,允许您运行任何类型的作业,包括bash命令。
Ray是Python爱好者和人工智能从业者的瑞士军刀,使他们能够轻松扩展人工智能应用程序。
Anyscale维护Ray项目,该项目是众多库(包括Ray Tune、Ray Serve等)的基础。
此外,Ray在一些全球领先组织的生产环境中得到广泛应用,例如中国企业集团阿里巴巴集团的附属公司蚂蚁集团、Uber、亚马逊、LinkedIn、Doordash、Netflix、Spotify、Pinterest和OpenAI等。
专家分析
Bambenek Consulting总裁John Bambenek强调了防御此类攻击的固有挑战,特别是在人工智能环境中。他强调了建立强大威胁检测机制的持续努力,并指出当前形势缺乏全面的可见性。随着攻击者越来越多地将目标瞄准数据丰富的环境,采取主动措施来保护人工智能工作负载的需求变得前所未有的紧迫。
“人工智能已经在环境中兴起,但我们仍在努力建立基本框架来开始检测威胁和攻击。我们有一些片段,但是,无法知道这是否是第一次攻击,因为我们仍然缺乏如何获得完整可见性的概念。也就是说,很明显攻击者非常清楚这是一个盲点,任何拥有大量数据的东西都将成为有吸引力的目标。“
当组织努力应对ShadowRay的影响时,谨慎和主动的安全措施非常重要。Oligo研究团队敦促所有使用Ray的实体对其环境进行彻底审查,识别任何潜在的漏洞,并对可疑活动的迹象保持警惕。
在当今世界,数据极其宝贵,防范不断变化的网络安全威胁比以往任何时候都更加重要。
参考资源:
1.https://www.hackread.com/shadowray-attack-targets-ray-ai-framework/
2.https://www.oligo.security/blog/shadowray-attack-ai-workloads-actively-exploited-in-the-wild
3.https://www.anyscale.com/blog/update-on-ray-cves-cve-2023-6019-cve-2023-6020-cve-2023-6021-cve-2023-48022-cve-2023-48023
原文始发于微信公众号(CNCERT国家工程研究中心):AI基础设施遭攻击!首个已知的针对人工智能工作负载的攻击活动
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论