据Info Risk Today报道,英特尔的人工智能模型压缩软件Neural Compressor中发现一个极其严重的漏洞,该漏洞在CVSS评分中获得满分10分,黑客可利用此漏洞在受影响的系统上执行任意代码。

Neural Compressor软件帮助企业减少人工智能模型所需的内存量,降低缓存丢失率,并提高神经网络的计算效率。公司通过使用开源Python库,在不同类型的硬件设备上部署人工智能应用,包括计算能力有限的设备如移动设备。

英特尔并未透露有多少公司使用该软件,也未说明受影响的用户数量,但表示该漏洞仅影响2.5.0版本之前的用户。

上周,英特尔在发布的41份安全公告中,追踪到了这个漏洞,编号为CVE-2024-22476。该漏洞源于输入验证不当或未对用户输入进行消毒,黑客无需特殊权限或用户交互即可远程利用此漏洞,对数据的保密性、完整性和可用性构成严重威胁。

此外,还有另一个漏洞编号为CVE-2024-21792,严重程度为中等,是一个时间检查和使用时间漏洞,可能让黑客获取未经授权的信息。黑客需要通过本地验证访问存在漏洞的系统才能利用此漏洞。

英特尔表示,这些漏洞由一个外部安全实体报告,但没有透露具体个人或公司的身份。目前,英特尔已发布了针对上述两个Neural Compressor漏洞的修复程序。

去年,研究人员在大型语言模型中发现了几十个漏洞,可能导致操纵实时对话、自我传播零点击漏洞以及利用幻觉传播恶意软件的风险。

使用类似Neural Compressor作为核心组件来构建和支持人工智能产品的公司可能会增加漏洞的影响。一个月前,Wiz的研究人员在流行的人工智能应用开发商HuggingFace上发现了现已修复的漏洞,允许攻击者篡改其注册表上的模型,甚至向其中添加恶意模型。

记者观点

这一漏洞的暴露凸显了AI软件在安全性方面的脆弱性。作为企业核心技术的AI模型压缩器存在如此高风险的漏洞,不仅对数据安全构成威胁,也提醒企业在使用开源软件时应更加谨慎。快速修复漏洞和加强输入验证是防范此类安全风险的关键措施。

Leave a Reply

Your email address will not be published. Required fields are marked *