关注我们
带你读懂网络安全
主流AI算力框架漏洞遭利用,数千台AI工作负载服务器被黑。
前情回顾·生成式AI安全动态
安全内参3月29日消息,OpenAI、优步和亚马逊所使用的AI计算框架Ray发现了一个已被报告的漏洞,该漏洞遭到持续攻击,导致数千台存储AI工作负载和网络凭证的服务器被黑。据了解,这些攻击已经持续了7个月。
攻击者不仅篡改了AI模型,还泄露了访问内部网络和数据库的网络凭证,并获取了OpenAI、Hugging Face、Stripe和Azure等平台帐号的访问令牌。除了破坏模型和窃取凭证,攻击者还在能够提供大量算力的被侵入基础设施上安装了加密货币挖矿软件,并设置了反向shell,通过这种基于文本的界面实现对服务器的远程控制。
中了大奖
默认配置不安全需专门加固
我们非常认真地考虑过这样做是否合理。到目前为止,我们还没有实施这一变更,因为我们担心用户可能会过分信任这种机制——它可能只能实现表面上的安全,并没有像他们想象的那样真正保护集群。 尽管如此,我们认识到,这是个见仁见智的问题。我们仍然认为组织不应该依赖Ray内部的隔离控制手段,如身份验证。但这些手段在进一步实施深度防御策略的某些情境中可能是有价值的。因此,我们决定将在未来的版本中将其作为一个新功能实施。
参考资料:arstechnica.com
原文始发于微信公众号(安全内参):首个公开针对AI工作负载的大规模攻击:数千台服务器被黑
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论