據(jù)Info risk today消息，英特爾公司的人工智能模型壓縮軟件Neural Compressor 中存在一個(gè)最高級(jí)別的漏洞，該漏洞在 CVSS 的評(píng)分為滿分10分，黑客可以在運(yùn)行受影響版本的系統(tǒng)上執(zhí)行任意代碼。

Neural Compressor 軟件可幫助公司減少人工智能模型所需的內(nèi)存量，同時(shí)降低緩存丟失率和使用神經(jīng)網(wǎng)絡(luò)的計(jì)算成本，幫助系統(tǒng)實(shí)現(xiàn)更高的推理性能。公司使用開源 Python 庫在不同類型的硬件設(shè)備上部署人工智能應(yīng)用，包括那些計(jì)算能力有限的設(shè)備（如移動(dòng)設(shè)備）。

英特爾沒有說明有多少公司使用該軟件，也沒有說明受影響的用戶數(shù)量，稱該漏洞只影響使用 2.5.0 之前版本的用戶。

在英特爾上周發(fā)布的 41 份安全公告中，該漏洞被追蹤為 CVE-2024-22476，源于輸入驗(yàn)證不當(dāng)或未對(duì)用戶輸入進(jìn)行消毒，黑客無需任何特殊權(quán)限或用戶交互即可遠(yuǎn)程利用該漏洞，對(duì)數(shù)據(jù)的保密性、完整性和可用性構(gòu)成很大影響。

除此以外，還有另一個(gè)漏洞被追蹤為 CVE-2024-21792，嚴(yán)重程度為中等，是一個(gè)檢查時(shí)間、使用時(shí)間漏洞，可能會(huì)讓黑客獲取未經(jīng)授權(quán)的信息。黑客需要通過本地驗(yàn)證訪問存在漏洞的系統(tǒng)才能利用該漏洞。

英特爾表示，一個(gè)外部安全實(shí)體提交了該漏洞報(bào)告，但沒有說明個(gè)人或公司的身份。目前，英特爾已經(jīng)發(fā)布了針對(duì)上述兩個(gè) Neural Compressor 漏洞的修復(fù)程序。

去年，研究人員在大型語言模型中發(fā)現(xiàn)了幾十個(gè)漏洞，這些漏洞可能導(dǎo)致操縱實(shí)時(shí)對(duì)話、自我傳播零點(diǎn)擊漏洞以及利用幻覺傳播惡意軟件。

使用這種軟件作為核心組件來構(gòu)建和支持人工智能產(chǎn)品的公司可能會(huì)增加漏洞的影響，英特爾就是一個(gè)例子。一個(gè)月前，來自 Wiz 的研究人員在流行的人工智能應(yīng)用開發(fā)商 HuggingFace 上發(fā)現(xiàn)了現(xiàn)已緩解的漏洞，允許攻擊者篡改其注冊(cè)表上的模型，甚至向其中添加惡意模型。