近日，知名網(wǎng)絡(luò)安全公司Oligo Security發(fā)現(xiàn)人工智能行業(yè)主流算力框架Ray的一個未修復(fù)安全漏洞正被黑客野外大規(guī)模利用，攻擊AI工作負載并竊取敏感（生產(chǎn)）數(shù)據(jù)和算力。

包括亞馬遜、字節(jié)跳動、Uber、OpenAI等數(shù)以千計的人工智能企業(yè)受到影響，數(shù)百個集群已經(jīng)遭到攻擊，超過10億美元算力遭到“劫持”。

主流算力框架遭遇七個月野外攻擊

像ChatGPT和GPT-4，以及國內(nèi)的月之暗面（Kimi）等超大模型已經(jīng)展示了驚人的內(nèi)容生成能力和擴展能力，而支持這些模型“野蠻生長”的基礎(chǔ)技術(shù)除了數(shù)以萬計的高端GPU算力卡，還包括管理和編排這樣大規(guī)模GPU集群來提供足夠并行計算能力的AI算力框架，其中最流行也最重要的，非Ray框架莫屬。

Ray是由Berkeley加州大學(xué)計算機教授Ion Stoica創(chuàng)辦的Anyscale公司開發(fā)的開創(chuàng)性分布式AI框架，被數(shù)以千計運行AI基礎(chǔ)設(shè)施的公司采用。包括OpenAI、亞馬遜、Shopify、Uber、字節(jié)跳動在內(nèi)的數(shù)以千計的公司使用Ray框架支持ChatGPT這樣動輒超過千億參數(shù)的超大模型訓(xùn)練所需要的大規(guī)模底層基礎(chǔ)算力資源優(yōu)化和調(diào)度。

此外，很多主流大模型項目還依賴Ray來支持SaaS、數(shù)據(jù)和AI工作負載，充分利用Ray的高可擴展性、速度和效率優(yōu)勢。

根據(jù)Oligo Security的報告，Ray框架曝出的漏洞編號為CVE-2023-48022，在過去7個月中一直被積極利用，涉及教育、加密貨幣、生物制藥等多個行業(yè)。所有使用Ray框架的企業(yè)和機構(gòu)都應(yīng)檢查其基礎(chǔ)設(shè)施環(huán)境，確保沒有漏洞暴露，并分析任何可疑活動。

AI算力基礎(chǔ)設(shè)施漏洞野外利用第一案

2023年底，AI工作負載主流開源框架Ray曝出五個漏洞，這些漏洞由Bishop Fox、BryceBearchell和Protect AI團隊分別披露（部分同時披露）。漏洞披露后，Ray的開發(fā)者和維護者Anyscale發(fā)布了一篇博文進行回應(yīng)，澄清事件始末并詳細介紹了每個漏洞的修復(fù)方案。

雖然報告的五個漏洞中有四個已經(jīng)在Ray 2.8.1版本中得到修復(fù)，但CVE-2023-48022漏洞仍存在爭議。Anyscale并未將其視為安全風(fēng)險，因此沒有提供即時修復(fù)方案。

由于存在爭議，許多開發(fā)團隊（以及大多數(shù)靜態(tài)掃描工具）都沒有意識到CVE-2023-48022的潛在危害。一些團隊可能錯過了Ray的相關(guān)文檔，另一些則根本不知道此漏洞的存在。

OligoSecurity的研究人員觀察到，CVE-2023-48022漏洞正被積極利用，這使得原本爭議的漏洞變成了“影子漏洞”——此類漏洞不會在靜態(tài)掃描中顯現(xiàn)，卻能導(dǎo)致安全漏洞和重大損失。

Oligo的研究團隊將此漏洞命名為ShadowRay，是首個已知人工智能基礎(chǔ)設(shè)施漏洞被用于攻擊人工智能工作負載的案例。

研究發(fā)現(xiàn)，全球范圍內(nèi)已有數(shù)千臺部署在公共網(wǎng)絡(luò)上的Ray服務(wù)器因該漏洞被攻陷，有些服務(wù)器甚至已經(jīng)淪陷至少7個月。其中許多服務(wù)器包含了歷史命令記錄，這使得攻擊者更容易理解服務(wù)器上的內(nèi)容，并可能泄露生產(chǎn)環(huán)境中之前使用過的敏感機密信息。

受Ray漏洞影響，數(shù)百家公司已經(jīng)暴露于遠程代碼執(zhí)行(RCE)風(fēng)險之中，其中一些公司至今仍未修復(fù)漏洞。（文末鏈接的報告提供了完整的IoCs列表）。

AI算力基礎(chǔ)設(shè)施損失超10億美元

截至目前，Oligo已發(fā)現(xiàn)數(shù)百個受感染的AI算力集群。每個集群由許多節(jié)點組成，這些節(jié)點是通過網(wǎng)絡(luò)連接到集群的機器。大多數(shù)節(jié)點都有GPU，攻擊者通過安裝不同類型的挖礦軟件利用GPU進行加密貨幣挖礦活動。

換而言之，攻擊者選擇攻擊AI算力集群不僅是因為他們可以獲得有價值的敏感信息，而且因為當(dāng)前GPU算力資源非常昂貴且難以獲得。

GPU機器的按需價格主要取決于GPU類型和內(nèi)存。截至發(fā)稿，AWS上的GPU按需價格每臺機器的年成本可高達85.8萬美元。

根據(jù)Oligo過去幾周的監(jiān)測，可能已遭到攻擊的機器和算力總估值近10億美元。