AI มีปัญหาเรื่องการแยกกั้นหรือไม่?
สรุป
ทีมวิจัยของ Wiz ได้ศึกษาปัญหาการแยกกั้นระหว่างเทนเนนต์ของผู้ให้บริการ AI หลายราย โดยเมื่อโครงสร้างพื้นฐาน AI กลายเป็นองค์ประกอบสำคัญในสภาพแวดล้อมทางธุรกิจมากขึ้น ผลกระทบของการโจมตีลักษณะนี้ก็ยิ่งรุนแรงขึ้น งานวิจัยนี้มีกำหนดนำเสนอในงานประชุม Black Hat
งานวิจัย SAP AI Core
SAP AI Core สามารถทำงานร่วมกับ HANA และบริการคลาวด์อื่น ๆ เพื่อเข้าถึงข้อมูลภายในของลูกค้าได้ ทีมวิจัยต้องการตรวจสอบว่าผู้ไม่หวังดีจะสามารถเข้าถึงความลับของลูกค้าเหล่านี้ได้หรือไม่ ผลคือสามารถรันโมเดล AI และกระบวนการฝึกที่เป็นอันตรายเพื่อเข้าถึงไฟล์ลับของลูกค้าและสภาพแวดล้อมคลาวด์ได้
ช่องโหว่สำคัญ
- สามารถอ่านและแก้ไข Docker image ใน container registry ภายในของ SAP ได้
- สามารถอ่านและแก้ไข Docker image ของ SAP ใน Google Container Registry ได้
- สามารถอ่านและแก้ไขอาร์ติแฟกต์ในเซิร์ฟเวอร์ Artifactory ภายในของ SAP ได้
- สามารถยกระดับเป็นสิทธิ์ผู้ดูแลคลัสเตอร์ใน Kubernetes cluster ของ SAP AI Core ได้
- สามารถเข้าถึงข้อมูลรับรองคลาวด์ของลูกค้าและ AI artifact แบบส่วนตัวได้
รายละเอียดช่องโหว่
การหลบเลี่ยงข้อจำกัดเครือข่าย
ใน Pod สามารถเข้าถึงการตั้งค่าของ Istio proxy ได้ผ่านการกำหนด shareProcessNamespace และ runAsUser ทำให้หลบเลี่ยงข้อจำกัดทราฟฟิกในเครือข่ายภายในได้
การเปิดเผย AWS token ของเซิร์ฟเวอร์ Loki
สามารถเข้าถึงความลับของ AWS ได้ผ่านเอนด์พอยต์ /config ของเซิร์ฟเวอร์ Grafana Loki ทำให้เข้าถึงล็อกของบริการ AI Core และ Pod ของลูกค้าได้
EFS share ที่ไม่ต้องยืนยันตัวตน
อินสแตนซ์ AWS Elastic File System (EFS) ถูกตั้งค่าเป็นสาธารณะโดยค่าเริ่มต้น ทำให้สามารถดูไฟล์ได้โดยไม่ต้องใช้ข้อมูลรับรอง ซึ่งเปิดทางให้เข้าถึงข้อมูล AI จำนวนมากได้
Helm server ที่ไม่ต้องยืนยันตัวตน
สามารถเข้าถึงความลับของ Docker Registry และเซิร์ฟเวอร์ Artifactory ของ SAP ได้ผ่าน gRPC interface ของ Helm server ทำให้อ่านและแก้ไข image ภายในและบิลด์ต่าง ๆ ได้
การเปิดเผย K8s cluster
สามารถยกระดับเป็นสิทธิ์ผู้ดูแลคลัสเตอร์ได้ผ่านคำสั่ง install ของ Helm server ทำให้เข้าถึง Pod ของลูกค้ารายอื่นและขโมยข้อมูลสำคัญได้
บทสรุป
งานวิจัยเกี่ยวกับ SAP AI Core แสดงให้เห็นถึงความสำคัญของการป้องกันหลายชั้น การถือว่าเครือข่ายภายในเป็นสิ่งที่เชื่อถือได้อาจเป็นเรื่องอันตราย จำเป็นต้องมีมาตรการป้องกันที่เหมาะสมเพื่อรับมือกับความท้าทายเฉพาะตัวที่เกิดขึ้นในกระบวนการวิจัยและพัฒนา AI
สรุปโดย GN⁺
- ปัญหาการแยกกั้นระหว่างเทนเนนต์ในโครงสร้างพื้นฐาน AI เป็นประเด็นด้านความปลอดภัยที่สำคัญ
- ช่องโหว่ใน SAP AI Core เปิดทางให้ผู้ไม่หวังดีเข้าถึงข้อมูลลับของลูกค้าได้
- ผลการวิจัยตอกย้ำความจำเป็นในการปรับปรุงมาตรฐานด้าน isolation และ sandboxing ระหว่างการรันโมเดล AI
- โครงการอื่นที่มีความสามารถคล้ายกัน ได้แก่ Google AI Platform และ Microsoft Azure Machine Learning
1 ความคิดเห็น
ความคิดเห็นจาก Hacker News