近日，知名網(wǎng)絡(luò)安全公司Oligo Security發(fā)現(xiàn)人工智能行業(yè)主流算力框架Ray的一個(gè)未修復(fù)安全漏洞正被黑客野外大規(guī)模利用，攻擊AI工作負(fù)載并竊取敏感（生產(chǎn)）數(shù)據(jù)和算力。

包括亞馬遜、字節(jié)跳動(dòng)、Uber、OpenAI等數(shù)以千計(jì)的人工智能企業(yè)受到影響，數(shù)百個(gè)集群已經(jīng)遭到攻擊，超過10億美元算力遭到“劫持”。

主流算力框架遭遇七個(gè)月野外攻擊

像ChatGPT和GPT-4，以及國內(nèi)的月之暗面（Kimi）等超大模型已經(jīng)展示了驚人的內(nèi)容生成能力和擴(kuò)展能力，而支持這些模型“野蠻生長”的基礎(chǔ)技術(shù)除了數(shù)以萬計(jì)的高端GPU算力卡，還包括管理和編排這樣大規(guī)模GPU集群來提供足夠并行計(jì)算能力的AI算力框架，其中最流行也最重要的，非Ray框架莫屬。

Ray是由Berkeley加州大學(xué)計(jì)算機(jī)教授Ion Stoica創(chuàng)辦的Anyscale公司開發(fā)的開創(chuàng)性分布式AI框架，被數(shù)以千計(jì)運(yùn)行AI基礎(chǔ)設(shè)施的公司采用。包括OpenAI、亞馬遜、Shopify、Uber、字節(jié)跳動(dòng)在內(nèi)的數(shù)以千計(jì)的公司使用Ray框架支持ChatGPT這樣動(dòng)輒超過千億參數(shù)的超大模型訓(xùn)練所需要的大規(guī)模底層基礎(chǔ)算力資源優(yōu)化和調(diào)度。

此外，很多主流大模型項(xiàng)目還依賴Ray來支持SaaS、數(shù)據(jù)和AI工作負(fù)載，充分利用Ray的高可擴(kuò)展性、速度和效率優(yōu)勢(shì)。

根據(jù)Oligo Security的報(bào)告，Ray框架曝出的漏洞編號(hào)為CVE-2023-48022，在過去7個(gè)月中一直被積極利用，涉及教育、加密貨幣、生物制藥等多個(gè)行業(yè)。所有使用Ray框架的企業(yè)和機(jī)構(gòu)都應(yīng)檢查其基礎(chǔ)設(shè)施環(huán)境，確保沒有漏洞暴露，并分析任何可疑活動(dòng)。

AI算力基礎(chǔ)設(shè)施漏洞野外利用第一案

2023年底，AI工作負(fù)載主流開源框架Ray曝出五個(gè)漏洞，這些漏洞由Bishop Fox、BryceBearchell和Protect AI團(tuán)隊(duì)分別披露（部分同時(shí)披露）。漏洞披露后，Ray的開發(fā)者和維護(hù)者Anyscale發(fā)布了一篇博文進(jìn)行回應(yīng)，澄清事件始末并詳細(xì)介紹了每個(gè)漏洞的修復(fù)方案。

雖然報(bào)告的五個(gè)漏洞中有四個(gè)已經(jīng)在Ray 2.8.1版本中得到修復(fù)，但CVE-2023-48022漏洞仍存在爭(zhēng)議。Anyscale并未將其視為安全風(fēng)險(xiǎn)，因此沒有提供即時(shí)修復(fù)方案。

由于存在爭(zhēng)議，許多開發(fā)團(tuán)隊(duì)（以及大多數(shù)靜態(tài)掃描工具）都沒有意識(shí)到CVE-2023-48022的潛在危害。一些團(tuán)隊(duì)可能錯(cuò)過了Ray的相關(guān)文檔，另一些則根本不知道此漏洞的存在。

OligoSecurity的研究人員觀察到，CVE-2023-48022漏洞正被積極利用，這使得原本爭(zhēng)議的漏洞變成了“影子漏洞”——此類漏洞不會(huì)在靜態(tài)掃描中顯現(xiàn)，卻能導(dǎo)致安全漏洞和重大損失。

Oligo的研究團(tuán)隊(duì)將此漏洞命名為ShadowRay，是首個(gè)已知人工智能基礎(chǔ)設(shè)施漏洞被用于攻擊人工智能工作負(fù)載的案例。

研究發(fā)現(xiàn)，全球范圍內(nèi)已有數(shù)千臺(tái)部署在公共網(wǎng)絡(luò)上的Ray服務(wù)器因該漏洞被攻陷，有些服務(wù)器甚至已經(jīng)淪陷至少7個(gè)月。其中許多服務(wù)器包含了歷史命令記錄，這使得攻擊者更容易理解服務(wù)器上的內(nèi)容，并可能泄露生產(chǎn)環(huán)境中之前使用過的敏感機(jī)密信息。

受Ray漏洞影響，數(shù)百家公司已經(jīng)暴露于遠(yuǎn)程代碼執(zhí)行(RCE)風(fēng)險(xiǎn)之中，其中一些公司至今仍未修復(fù)漏洞。（文末鏈接的報(bào)告提供了完整的IoCs列表）。

AI算力基礎(chǔ)設(shè)施損失超10億美元

截至目前，Oligo已發(fā)現(xiàn)數(shù)百個(gè)受感染的AI算力集群。每個(gè)集群由許多節(jié)點(diǎn)組成，這些節(jié)點(diǎn)是通過網(wǎng)絡(luò)連接到集群的機(jī)器。大多數(shù)節(jié)點(diǎn)都有GPU，攻擊者通過安裝不同類型的挖礦軟件利用GPU進(jìn)行加密貨幣挖礦活動(dòng)。

換而言之，攻擊者選擇攻擊AI算力集群不僅是因?yàn)樗麄兛梢垣@得有價(jià)值的敏感信息，而且因?yàn)楫?dāng)前GPU算力資源非常昂貴且難以獲得。

GPU機(jī)器的按需價(jià)格主要取決于GPU類型和內(nèi)存。截至發(fā)稿，AWS上的GPU按需價(jià)格每臺(tái)機(jī)器的年成本可高達(dá)85.8萬美元。

根據(jù)Oligo過去幾周的監(jiān)測(cè)，可能已遭到攻擊的機(jī)器和算力總估值近10億美元。