Ray AI框架中的缺陷可能泄露工作负载的敏感数据媒体

关键点总结

一项针对Ray这一被广泛使用的开源AI框架的主动攻击，已经影响到数千家公司和正在运行AI基础设施的服务器。这是由于一个正在争议中的关键漏洞导致的，该漏洞至今尚无修复补丁。

Oligo的研究人员在3月26日的博客文章中指出，这个漏洞使得攻击者能够掌控公司的计算能力，并泄露敏感数据。这个缺陷CVE202348022在过去七个月内一直在被利用，受影响的行业包括教育、加密货币以及医疗和视频分析公司。

事情的发展是这样的：去年年底，研究人员向统一计算平台AnyscaleRay的开发者和维护者披露了五个独特的Ray漏洞。这些漏洞由Bishop Fox、Bryce Bearchell和Protect AI披露。

在漏洞披露后，Anyscale发布了一篇博客，对此进行了说明，澄清了事件的经过，并详细说明了每个CVE的处理情况。尽管其中四个漏洞已在Ray版本281中修复，但第五个CVECVE202348022仍然存在争议，这意味着它并不被视为风险，且未得到修复。

Oligo的研究人员表示，由于CVE202348022存在争议，许多开发团队并不知晓这个漏洞对于他们来说是一个威胁。有些团队可能忽略了Ray的文档部分，而有些团队则对此功能并不知情。

“当攻击者获得Ray生产集群的控制权时，这就相当于发现了宝藏，”研究人员写道。“有价值的公司数据加上远程代码执行，使得攻击变得易于变现所有这一切都在阴影中进行，完全不被发现，并且在静态安全工具的保护下，难以被侦测到。”

Oligo的研究人员补充道，生产工作负载已遭到破坏，因此攻击者可能会影响AI模型的完整性或准确性、盗取模型，并在训练阶段感染模型。研究人员将此CVE称为“ShadowRay”，声称这是第一次发现通过现代AI基础设施的漏洞而实际被利用的AI工作负载。

“以往的AI工作负载曾遭到攻击，但Ray代表了一种新的能力水平，使得模糊第一次被攻击的界限成为可能，”Viakoo Labs副总裁John Gallagher表示。“这个漏洞可能首次使威胁参与者能够访问可读的机密或环境变量中的数据集和模型，获取第三方令牌，并进行多种集成，基于最强大的计算能力。”

在为多种用例部署AI训练工作负载时，存在一场军备竞赛，由于许多不同软件框架的存在，使得安全和云运营团队难以追踪数据科学家和开发者所部署的软件及其配置，Qualys工程副总裁Saumitra Das解释道。Das补充说，这些AI工作负载通常在公共云中部署，从而导致攻击链进入云环境，在这种情况下，通过泄露对API和秘密的元数据的访问，形成了新的攻击方式。