- MLflow ha sido identificada como la plataforma de aprendizaje automático de código abierto más vulnerable
- Las fallas en el recorrido del directorio permiten el acceso no autorizado a archivos en Weave
- Los problemas de control de acceso a ZenML Cloud permiten riesgos de escalada de privilegios
Un análisis reciente del panorama de seguridad para los marcos de aprendizaje automático (ML) ha revelado que el software de ML está sujeto a más vulnerabilidades que categorías más maduras como DevOps o servidores web.
La creciente adopción del aprendizaje automático en todas las industrias resalta la necesidad crítica de proteger los sistemas de aprendizaje automático, ya que las vulnerabilidades pueden provocar acceso no autorizado, filtraciones de datos y operaciones comprometidas.
el un informe Desde JFrog afirma que los proyectos de aprendizaje automático como MLflow han experimentado un aumento en las vulnerabilidades críticas. En los últimos meses, JFrog ha expuesto 22 vulnerabilidades en 15 proyectos de aprendizaje automático de código abierto. Entre estas vulnerabilidades, se destacan dos categorías: amenazas dirigidas a componentes del lado del servidor y riesgos de escalada de privilegios dentro de marcos de aprendizaje automático.
Debilidades críticas en los marcos de aprendizaje automático
Las vulnerabilidades identificadas por JFrog afectan a componentes clave que se utilizan a menudo en los flujos de trabajo de aprendizaje automático, lo que podría permitir a los atacantes explotar herramientas en las que los profesionales del aprendizaje automático a menudo confían debido a su flexibilidad, para obtener acceso no autorizado a archivos confidenciales o escalar privilegios dentro de entornos de aprendizaje automático.
Una vulnerabilidad notable involucra Weave, un popular conjunto de herramientas de Weights & Biases (W&B), que ayuda a rastrear y visualizar las métricas del modelo de aprendizaje automático. La vulnerabilidad WANDB Weave Directory Traversal (CVE-2024-7340) permite a usuarios con pocos privilegios acceder a archivos arbitrarios a través del sistema de archivos.
Esta falla surge debido a una validación de entrada incorrecta al tratar con rutas de archivos, lo que podría permitir a los atacantes ver archivos confidenciales que pueden incluir claves API de administrador u otra información privilegiada. Una infracción de este tipo podría provocar una escalada de privilegios, dando a los atacantes acceso no autorizado a los recursos y comprometiendo la seguridad de todo el proceso de aprendizaje automático.
ZenML, una herramienta para gestionar canalizaciones MLOps, también se ve afectada por una vulnerabilidad crítica que amenaza sus sistemas de control de acceso. Esta falla permite a los atacantes con privilegios de acceso mínimos elevar sus permisos dentro de ZenML Cloud, una implementación administrada de ZenML, y así acceder a información restringida, incluidos secretos confidenciales o archivos modelo.
El problema del control de acceso en ZenML expone el sistema a riesgos importantes, ya que los privilegios escalados podrían permitir a un atacante manipular los canales de aprendizaje automático, alterar los datos del modelo o acceder a datos operativos confidenciales, lo que podría afectar los entornos de producción que dependen de estos canales.
Se ha encontrado otra vulnerabilidad grave, conocida como inyección de comandos de Deep Lake (CVE-2024-6507), en la base de datos de Deep Lake, una solución de almacenamiento de datos optimizada. Amnistía Internacional Aplicaciones. Esta vulnerabilidad permite a los atacantes ejecutar comandos arbitrarios explotando la forma en que Deep Lake maneja las importaciones de conjuntos de datos externos.
Debido a una desinfección inadecuada de los comandos, un atacante podría ejecutar código de forma remota, comprometiendo la seguridad de la base de datos y de cualquier aplicación conectada.
También se encontró una vulnerabilidad notable en Vanna AI, una herramienta diseñada para la generación y visualización de consultas SQL en lenguaje natural. Vanna.AI Prompt Inyección (CVE-2024-5565) permite a los atacantes inyectar código malicioso en notificaciones SQL, que la herramienta procesa posteriormente. Esta vulnerabilidad, que puede conducir a la ejecución remota de código, permite a actores malintencionados apuntar a la función de visualización SQL-to-Graph de Vanna AI para manipular visualizaciones, realizar inyección SQL o filtrar datos.
Se descubrió que Mage.AI, una herramienta MLOps para administrar canalizaciones de datos, tiene múltiples vulnerabilidades, incluido el acceso no autorizado al shell, fugas de archivos arbitrarios y comprobaciones de recorrido de ruta débiles.
Estos problemas permiten a los atacantes tomar el control de las canalizaciones de datos, exponer configuraciones confidenciales o incluso ejecutar comandos maliciosos. La combinación de estas vulnerabilidades presenta un riesgo significativo de escalada de privilegios y violaciones de la integridad de los datos, lo que compromete la seguridad y la estabilidad de los canales de aprendizaje automático.
Al obtener acceso administrativo a bases de datos o registros de aprendizaje automático, los atacantes pueden incrustar código malicioso en los formularios, lo que genera puertas traseras que se activan cuando se carga el formulario. Esto puede poner en riesgo los procesos posteriores, ya que diferentes equipos y canales de CI/CD utilizan los modelos. Los atacantes también pueden filtrar datos confidenciales o realizar ataques de envenenamiento de modelos para reducir el rendimiento del modelo o manipular la salida.
Los hallazgos de JFrog resaltan una brecha operativa en la seguridad de las operaciones de los MLO. Muchas organizaciones carecen de una sólida integración de las prácticas de seguridad de IA y aprendizaje automático con estrategias de ciberseguridad más amplias, lo que genera posibles puntos ciegos. A medida que el aprendizaje automático y la inteligencia artificial continúan impulsando avances significativos en la industria, proteger los marcos, conjuntos de datos y modelos que impulsan estas innovaciones se vuelve primordial.