Orca Security對(duì)主要云基礎(chǔ)設(shè)施的分析揭示了廣泛存在的已知漏洞工具、暴露的AI模型和數(shù)據(jù)、配置錯(cuò)誤的系統(tǒng)以及未加密的數(shù)據(jù)——這些問題都源于企業(yè)為了快速利用AI而導(dǎo)致的安全疏忽。

對(duì)托管在主要云提供商基礎(chǔ)設(shè)施上的資產(chǎn)進(jìn)行的安全分析顯示，許多公司在匆忙構(gòu)建和部署AI應(yīng)用程序時(shí)，留下了安全漏洞。常見的問題包括AI相關(guān)服務(wù)使用默認(rèn)且可能不安全的設(shè)置、部署存在漏洞的AI包，以及未遵循安全加固指南。

Orca Security的研究人員掃描了2024年1月至8月間托管在AWS、Azure、Google Cloud、Oracle Cloud和Alibaba Cloud上的數(shù)十億資產(chǎn)的工作負(fù)載和配置數(shù)據(jù)。研究結(jié)果發(fā)現(xiàn)：暴露的API訪問密鑰、暴露的AI模型和訓(xùn)練數(shù)據(jù)、權(quán)限過多的訪問角色和用戶、配置錯(cuò)誤、缺乏靜態(tài)數(shù)據(jù)和傳輸數(shù)據(jù)的加密、使用已知漏洞工具等。

“AI開發(fā)的速度持續(xù)加快，AI創(chuàng)新引入了更多強(qiáng)調(diào)易用性而非安全性的功能，”O(jiān)rca的研究人員在他們的2024年《AI安全狀態(tài)報(bào)告》中寫道?！靶路?wù)推出時(shí)，資源配置錯(cuò)誤往往隨之而來。用戶常常忽視正確配置與角色、存儲(chǔ)桶、用戶及其他資產(chǎn)相關(guān)的設(shè)置，從而為環(huán)境引入了重大風(fēng)險(xiǎn)?！?/p>

AI工具的采用：快速、廣泛且有些草率

根據(jù)Orca的分析，在被測(cè)試的云資產(chǎn)中，超過一半(56%)的企業(yè)已采用AI模型來構(gòu)建特定用途的應(yīng)用程序，這通常意味著使用云服務(wù)來訪問AI模型、部署本地模型及其訓(xùn)練數(shù)據(jù)、部署相關(guān)的存儲(chǔ)桶，或使用特定的機(jī)器學(xué)習(xí)工具。

最受歡迎的服務(wù)是Azure OpenAI，39%的使用微軟Azure的企業(yè)采用了這一服務(wù)。在使用AWS的企業(yè)中，29%部署了Amazon SageMaker，11%使用了Amazon Bedrock。在使用Google Cloud的企業(yè)中，24%選擇了Google Vertex AI。

在模型的受歡迎程度上，GPT-35被79%采用AI的企業(yè)使用，其次是Ada(60%)、GPT-4o(56%)、GPT-4(55%)、DALL-E(40%)和WHISPER(14%)，其他模型如CURIE、LLAMA和Davinci的使用率都低于10%。

用于自動(dòng)化創(chuàng)建、訓(xùn)練和部署AI模型的熱門包包括Python scikit-learn、Natural Language Toolkit(NLTK)、PyTorch、TensorFlow、Transformers、LangChain、CUDA、Keras、PyTorch Lighting和Streamlit。大約62%的企業(yè)使用了至少一個(gè)包含未修補(bǔ)漏洞的機(jī)器學(xué)習(xí)包。

盡管未修補(bǔ)版本的數(shù)量很大，但發(fā)現(xiàn)的大多數(shù)漏洞風(fēng)險(xiǎn)屬于低到中等，最高的嚴(yán)重性評(píng)分為10分中的6.9，且只有0.2%的漏洞有已發(fā)布的攻擊利用程序。研究人員推測(cè)，這可能是企業(yè)沒有急于修補(bǔ)漏洞的原因之一，同時(shí)也擔(dān)心修補(bǔ)可能會(huì)破壞兼容性。

“值得注意的是，即使是低或中等風(fēng)險(xiǎn)的CVE，如果它們是高嚴(yán)重性攻擊路徑的一部分——一系列相互關(guān)聯(lián)的風(fēng)險(xiǎn)，攻擊者可以利用它們來危害高價(jià)值資產(chǎn)——也可能構(gòu)成重大風(fēng)險(xiǎn)，”研究人員寫道。

不安全的配置可能暴露模型和數(shù)據(jù)

暴露機(jī)器學(xué)習(xí)模型的代碼或相關(guān)訓(xùn)練數(shù)據(jù)可能導(dǎo)致各種AI特定攻擊，包括數(shù)據(jù)投毒、模型傾斜、模型逆向工程、模型投毒、輸入操控，以及AI供應(yīng)鏈的妥協(xié)，其中庫或整個(gè)模型被替換為惡意版本。

攻擊者可能試圖通過威脅泄露企業(yè)的機(jī)器學(xué)習(xí)模型或?qū)Ｓ袛?shù)據(jù)來勒索公司，或者加密這些數(shù)據(jù)以造成停機(jī)。訓(xùn)練AI模型的系統(tǒng)通常具有強(qiáng)大的計(jì)算能力，因此攻擊者可能會(huì)利用這些系統(tǒng)來部署加密貨幣挖礦惡意軟件。

例如，Jupyter Notebook(一個(gè)用于機(jī)器學(xué)習(xí)和數(shù)據(jù)可視化的開源計(jì)算平臺(tái))的不安全部署經(jīng)常在加密貨幣挖礦活動(dòng)中受到攻擊，這些實(shí)例通常部署在云服務(wù)上，如Amazon SageMaker。

今年早些時(shí)候，Aqua Security的研究人員發(fā)現(xiàn)了一種名為“shadow buckets”的攻擊技術(shù)，這是因?yàn)榘⊿ageMaker在內(nèi)的六個(gè)Amazon AWS服務(wù)創(chuàng)建了可以預(yù)測(cè)名稱的S3數(shù)據(jù)存儲(chǔ)桶。盡管AWS后來更改了SageMaker的行為，在新桶名稱中引入了隨機(jī)數(shù)，但45%的SageMaker桶仍具有可預(yù)測(cè)的名稱，這可能使其用戶暴露于此類攻擊之下。

企業(yè)還經(jīng)常在代碼庫和提交歷史中暴露與AI相關(guān)的API訪問密鑰。根據(jù)Orca的報(bào)告，20%的企業(yè)暴露了OpenAI密鑰，35%暴露了Hugging Face機(jī)器學(xué)習(xí)平臺(tái)的API密鑰，13%暴露了Anthropic(Claude大型語言模型背后的AI公司)的API密鑰。

研究人員建議：“通過遵循最佳實(shí)踐來保護(hù)API密鑰，例如安全存儲(chǔ)密鑰、定期輪換密鑰、刪除未使用的密鑰、避免硬編碼密鑰，并使用秘密管理器來管理其使用?！?/p>

雖然大多數(shù)企業(yè)在云中運(yùn)行AI工具時(shí)遵循最小權(quán)限原則，但仍有一些企業(yè)使用了權(quán)限過高的角色。例如，4%的Amazon SageMaker實(shí)例使用了具有管理員權(quán)限的IAM角色來部署筆記本實(shí)例，這是一種風(fēng)險(xiǎn)，因?yàn)槲磥砣魏芜@些服務(wù)中的漏洞都可能通過權(quán)限提升危及整個(gè)AWS賬戶。

企業(yè)也未能快速采用云服務(wù)提供商提供的安全改進(jìn)。例如，Amazon的Instance Metadata Service(IMDS)允許實(shí)例安全交換元數(shù)據(jù)。IMDSv2相較于v1有顯著改進(jìn)，使用基于會(huì)話的臨時(shí)身份驗(yàn)證令牌，但大量SageMaker用戶(77%)尚未在其筆記本實(shí)例上啟用它。對(duì)于AWS EC2計(jì)算實(shí)例，Orca掃描的95%的企業(yè)尚未配置IMDSv2。

Azure OpenAI的私有端點(diǎn)功能是另一個(gè)例子，它保護(hù)云資源和AI服務(wù)之間傳輸中的通信。根據(jù)Orca的調(diào)查，三分之一的Azure OpenAI用戶尚未啟用私有端點(diǎn)。

大多數(shù)企業(yè)似乎并未利用云提供商提供的加密功能來使用自管理密鑰加密其AI數(shù)據(jù)，包括AWS的密鑰管理服務(wù)(KMS)、Google的客戶管理加密密鑰(CMEK)以及Azure的客戶管理密鑰(CMK)。

研究人員寫道：“雖然我們的分析并未確認(rèn)企業(yè)是否通過其他方法加密了其數(shù)據(jù)，但選擇不使用自管理密鑰進(jìn)行加密，增加了攻擊者可能利用暴露數(shù)據(jù)的潛在風(fēng)險(xiǎn)。”

大多數(shù)企業(yè)也未能更改不安全的默認(rèn)配置。例如，在測(cè)試的企業(yè)中，98%未能在其部署在AWS SageMaker上的Jupyter Notebook實(shí)例中禁用root訪問權(quán)限，這意味著如果攻擊者獲得未經(jīng)授權(quán)的訪問，他們可以訪問所有在這些實(shí)例中運(yùn)行的模型和服務(wù)。

更安全AI的建議

Orca的研究人員指出，有幾個(gè)領(lǐng)域可以顯著改進(jìn)，以保護(hù)AI模型和數(shù)據(jù)。首先，應(yīng)審查所有默認(rèn)設(shè)置，因?yàn)樗鼈兛赡茉谏a(chǎn)環(huán)境中帶來安全風(fēng)險(xiǎn)。企業(yè)還應(yīng)閱讀服務(wù)提供商和工具開發(fā)者提供的安全加固和最佳實(shí)踐文檔，并應(yīng)用最嚴(yán)格的設(shè)置。

其次，與任何IT系統(tǒng)一樣，漏洞管理非常重要。機(jī)器學(xué)習(xí)框架和自動(dòng)化工具應(yīng)納入漏洞管理計(jì)劃，任何缺陷都應(yīng)被映射并安排修復(fù)。

限制和控制對(duì)AI資產(chǎn)的網(wǎng)絡(luò)訪問可以幫助減少意外風(fēng)險(xiǎn)和漏洞，特別是因?yàn)檫@些系統(tǒng)相對(duì)較新，尚未經(jīng)過廣泛測(cè)試，研究人員建議。同樣，限制這些環(huán)境內(nèi)部的權(quán)限也有助于防止橫向移動(dòng)的攻擊，一旦資產(chǎn)遭到破壞，內(nèi)部的權(quán)限限制將起到保護(hù)作用。

最后，AI模型使用和處理的數(shù)據(jù)是非常寶貴的資產(chǎn)。因此，在不同服務(wù)和工具之間傳輸時(shí)，以及數(shù)據(jù)處于靜止?fàn)顟B(tài)時(shí)，都應(yīng)通過使用自管理加密密鑰進(jìn)行保護(hù)，并確保這些密鑰得到充分的防護(hù)，以防止未經(jīng)授權(quán)的訪問和盜竊。