Orca Security對(duì)主要云基礎(chǔ)設(shè)施的分析揭示了廣泛存在的已知漏洞工具、暴露的AI模型和數(shù)據(jù)、配置錯(cuò)誤的系統(tǒng)以及未加密的數(shù)據(jù)——這些問(wèn)題都源于企業(yè)為了快速利用AI而導(dǎo)致的安全疏忽。

對(duì)托管在主要云提供商基礎(chǔ)設(shè)施上的資產(chǎn)進(jìn)行的安全分析顯示，許多公司在匆忙構(gòu)建和部署AI應(yīng)用程序時(shí)，留下了安全漏洞。常見(jiàn)的問(wèn)題包括AI相關(guān)服務(wù)使用默認(rèn)且可能不安全的設(shè)置、部署存在漏洞的AI包，以及未遵循安全加固指南。

Orca Security的研究人員掃描了2024年1月至8月間托管在AWS、Azure、Google Cloud、Oracle Cloud和Alibaba Cloud上的數(shù)十億資產(chǎn)的工作負(fù)載和配置數(shù)據(jù)。研究結(jié)果發(fā)現(xiàn)：暴露的API訪(fǎng)問(wèn)密鑰、暴露的AI模型和訓(xùn)練數(shù)據(jù)、權(quán)限過(guò)多的訪(fǎng)問(wèn)角色和用戶(hù)、配置錯(cuò)誤、缺乏靜態(tài)數(shù)據(jù)和傳輸數(shù)據(jù)的加密、使用已知漏洞工具等。

“AI開(kāi)發(fā)的速度持續(xù)加快，AI創(chuàng)新引入了更多強(qiáng)調(diào)易用性而非安全性的功能，”O(jiān)rca的研究人員在他們的2024年《AI安全狀態(tài)報(bào)告》中寫(xiě)道?！靶路?wù)推出時(shí)，資源配置錯(cuò)誤往往隨之而來(lái)。用戶(hù)常常忽視正確配置與角色、存儲(chǔ)桶、用戶(hù)及其他資產(chǎn)相關(guān)的設(shè)置，從而為環(huán)境引入了重大風(fēng)險(xiǎn)。”

AI工具的采用：快速、廣泛且有些草率

根據(jù)Orca的分析，在被測(cè)試的云資產(chǎn)中，超過(guò)一半(56%)的企業(yè)已采用AI模型來(lái)構(gòu)建特定用途的應(yīng)用程序，這通常意味著使用云服務(wù)來(lái)訪(fǎng)問(wèn)AI模型、部署本地模型及其訓(xùn)練數(shù)據(jù)、部署相關(guān)的存儲(chǔ)桶，或使用特定的機(jī)器學(xué)習(xí)工具。

最受歡迎的服務(wù)是Azure OpenAI，39%的使用微軟Azure的企業(yè)采用了這一服務(wù)。在使用AWS的企業(yè)中，29%部署了Amazon SageMaker，11%使用了Amazon Bedrock。在使用Google Cloud的企業(yè)中，24%選擇了Google Vertex AI。

在模型的受歡迎程度上，GPT-35被79%采用AI的企業(yè)使用，其次是Ada(60%)、GPT-4o(56%)、GPT-4(55%)、DALL-E(40%)和WHISPER(14%)，其他模型如CURIE、LLAMA和Davinci的使用率都低于10%。

用于自動(dòng)化創(chuàng)建、訓(xùn)練和部署AI模型的熱門(mén)包包括Python scikit-learn、Natural Language Toolkit(NLTK)、PyTorch、TensorFlow、Transformers、LangChain、CUDA、Keras、PyTorch Lighting和Streamlit。大約62%的企業(yè)使用了至少一個(gè)包含未修補(bǔ)漏洞的機(jī)器學(xué)習(xí)包。

盡管未修補(bǔ)版本的數(shù)量很大，但發(fā)現(xiàn)的大多數(shù)漏洞風(fēng)險(xiǎn)屬于低到中等，最高的嚴(yán)重性評(píng)分為10分中的6.9，且只有0.2%的漏洞有已發(fā)布的攻擊利用程序。研究人員推測(cè)，這可能是企業(yè)沒(méi)有急于修補(bǔ)漏洞的原因之一，同時(shí)也擔(dān)心修補(bǔ)可能會(huì)破壞兼容性。

“值得注意的是，即使是低或中等風(fēng)險(xiǎn)的CVE，如果它們是高嚴(yán)重性攻擊路徑的一部分——一系列相互關(guān)聯(lián)的風(fēng)險(xiǎn)，攻擊者可以利用它們來(lái)危害高價(jià)值資產(chǎn)——也可能構(gòu)成重大風(fēng)險(xiǎn)，”研究人員寫(xiě)道。

不安全的配置可能暴露模型和數(shù)據(jù)

暴露機(jī)器學(xué)習(xí)模型的代碼或相關(guān)訓(xùn)練數(shù)據(jù)可能導(dǎo)致各種AI特定攻擊，包括數(shù)據(jù)投毒、模型傾斜、模型逆向工程、模型投毒、輸入操控，以及AI供應(yīng)鏈的妥協(xié)，其中庫(kù)或整個(gè)模型被替換為惡意版本。

攻擊者可能試圖通過(guò)威脅泄露企業(yè)的機(jī)器學(xué)習(xí)模型或?qū)Ｓ袛?shù)據(jù)來(lái)勒索公司，或者加密這些數(shù)據(jù)以造成停機(jī)。訓(xùn)練AI模型的系統(tǒng)通常具有強(qiáng)大的計(jì)算能力，因此攻擊者可能會(huì)利用這些系統(tǒng)來(lái)部署加密貨幣挖礦惡意軟件。

例如，Jupyter Notebook(一個(gè)用于機(jī)器學(xué)習(xí)和數(shù)據(jù)可視化的開(kāi)源計(jì)算平臺(tái))的不安全部署經(jīng)常在加密貨幣挖礦活動(dòng)中受到攻擊，這些實(shí)例通常部署在云服務(wù)上，如Amazon SageMaker。

今年早些時(shí)候，Aqua Security的研究人員發(fā)現(xiàn)了一種名為“shadow buckets”的攻擊技術(shù)，這是因?yàn)榘⊿ageMaker在內(nèi)的六個(gè)Amazon AWS服務(wù)創(chuàng)建了可以預(yù)測(cè)名稱(chēng)的S3數(shù)據(jù)存儲(chǔ)桶。盡管AWS后來(lái)更改了SageMaker的行為，在新桶名稱(chēng)中引入了隨機(jī)數(shù)，但45%的SageMaker桶仍具有可預(yù)測(cè)的名稱(chēng)，這可能使其用戶(hù)暴露于此類(lèi)攻擊之下。

企業(yè)還經(jīng)常在代碼庫(kù)和提交歷史中暴露與AI相關(guān)的API訪(fǎng)問(wèn)密鑰。根據(jù)Orca的報(bào)告，20%的企業(yè)暴露了OpenAI密鑰，35%暴露了Hugging Face機(jī)器學(xué)習(xí)平臺(tái)的API密鑰，13%暴露了Anthropic(Claude大型語(yǔ)言模型背后的AI公司)的API密鑰。

研究人員建議：“通過(guò)遵循最佳實(shí)踐來(lái)保護(hù)API密鑰，例如安全存儲(chǔ)密鑰、定期輪換密鑰、刪除未使用的密鑰、避免硬編碼密鑰，并使用秘密管理器來(lái)管理其使用。”

雖然大多數(shù)企業(yè)在云中運(yùn)行AI工具時(shí)遵循最小權(quán)限原則，但仍有一些企業(yè)使用了權(quán)限過(guò)高的角色。例如，4%的Amazon SageMaker實(shí)例使用了具有管理員權(quán)限的IAM角色來(lái)部署筆記本實(shí)例，這是一種風(fēng)險(xiǎn)，因?yàn)槲磥?lái)任何這些服務(wù)中的漏洞都可能通過(guò)權(quán)限提升危及整個(gè)AWS賬戶(hù)。

企業(yè)也未能快速采用云服務(wù)提供商提供的安全改進(jìn)。例如，Amazon的Instance Metadata Service(IMDS)允許實(shí)例安全交換元數(shù)據(jù)。IMDSv2相較于v1有顯著改進(jìn)，使用基于會(huì)話(huà)的臨時(shí)身份驗(yàn)證令牌，但大量SageMaker用戶(hù)(77%)尚未在其筆記本實(shí)例上啟用它。對(duì)于AWS EC2計(jì)算實(shí)例，Orca掃描的95%的企業(yè)尚未配置IMDSv2。

Azure OpenAI的私有端點(diǎn)功能是另一個(gè)例子，它保護(hù)云資源和AI服務(wù)之間傳輸中的通信。根據(jù)Orca的調(diào)查，三分之一的Azure OpenAI用戶(hù)尚未啟用私有端點(diǎn)。

大多數(shù)企業(yè)似乎并未利用云提供商提供的加密功能來(lái)使用自管理密鑰加密其AI數(shù)據(jù)，包括AWS的密鑰管理服務(wù)(KMS)、Google的客戶(hù)管理加密密鑰(CMEK)以及Azure的客戶(hù)管理密鑰(CMK)。

研究人員寫(xiě)道：“雖然我們的分析并未確認(rèn)企業(yè)是否通過(guò)其他方法加密了其數(shù)據(jù)，但選擇不使用自管理密鑰進(jìn)行加密，增加了攻擊者可能利用暴露數(shù)據(jù)的潛在風(fēng)險(xiǎn)?！?/p>

大多數(shù)企業(yè)也未能更改不安全的默認(rèn)配置。例如，在測(cè)試的企業(yè)中，98%未能在其部署在AWS SageMaker上的Jupyter Notebook實(shí)例中禁用root訪(fǎng)問(wèn)權(quán)限，這意味著如果攻擊者獲得未經(jīng)授權(quán)的訪(fǎng)問(wèn)，他們可以訪(fǎng)問(wèn)所有在這些實(shí)例中運(yùn)行的模型和服務(wù)。

更安全AI的建議

Orca的研究人員指出，有幾個(gè)領(lǐng)域可以顯著改進(jìn)，以保護(hù)AI模型和數(shù)據(jù)。首先，應(yīng)審查所有默認(rèn)設(shè)置，因?yàn)樗鼈兛赡茉谏a(chǎn)環(huán)境中帶來(lái)安全風(fēng)險(xiǎn)。企業(yè)還應(yīng)閱讀服務(wù)提供商和工具開(kāi)發(fā)者提供的安全加固和最佳實(shí)踐文檔，并應(yīng)用最嚴(yán)格的設(shè)置。

其次，與任何IT系統(tǒng)一樣，漏洞管理非常重要。機(jī)器學(xué)習(xí)框架和自動(dòng)化工具應(yīng)納入漏洞管理計(jì)劃，任何缺陷都應(yīng)被映射并安排修復(fù)。

限制和控制對(duì)AI資產(chǎn)的網(wǎng)絡(luò)訪(fǎng)問(wèn)可以幫助減少意外風(fēng)險(xiǎn)和漏洞，特別是因?yàn)檫@些系統(tǒng)相對(duì)較新，尚未經(jīng)過(guò)廣泛測(cè)試，研究人員建議。同樣，限制這些環(huán)境內(nèi)部的權(quán)限也有助于防止橫向移動(dòng)的攻擊，一旦資產(chǎn)遭到破壞，內(nèi)部的權(quán)限限制將起到保護(hù)作用。

最后，AI模型使用和處理的數(shù)據(jù)是非常寶貴的資產(chǎn)。因此，在不同服務(wù)和工具之間傳輸時(shí)，以及數(shù)據(jù)處于靜止?fàn)顟B(tài)時(shí)，都應(yīng)通過(guò)使用自管理加密密鑰進(jìn)行保護(hù)，并確保這些密鑰得到充分的防護(hù)，以防止未經(jīng)授權(quán)的訪(fǎng)問(wèn)和盜竊。