今天的资安日报新闻几乎都与AI有关,这些包含了锁定人工智慧专家的攻击行动,针对人工智慧开发工具的漏洞揭露,以及相关资安框架的发表。
其中最值得留意的部分,是关于人工智慧开发工具的漏洞公布,其中用于开发相关系统的Python套件llama_cpp_python漏洞CVE-2024-34359相当值得留意,因为有可能引发供应链攻击。资安业者Checkmarx指出,在AI技术与资料共享平台Hugging Face有超过6千个模型以此套件打造而曝险。
【攻击与威胁】
【漏洞与修补】
根据该公司的资安公告,这项漏洞与输入验证不当有关,未经身分验证的攻击者有可能远端利用漏洞,进而提升权限,CVSS风险评分为10。
值得留意的是,这项漏洞可被远端利用,且操作复杂度并不高,并对于资料的机密性、完整性、可用性有很大的影响。此外,攻击者也不需要特殊权限,利用漏洞的过程,同样无需使用者互动就能进行。
【资安产业动态】
5月17日Alphabet 旗下的AI技术研究公司DeepMind发表AI安全框架Frontier Safety Framework,同时阐述该公司分析与减轻AI模型招致未来风险的方法。
此框架可用来主动识别未来可能造成严重伤害的AI能力,也可建立检测及缓解相关伤害的机制。此框架著重于模型层面的强大能力可能导致的重大风险,像是特殊代理或复杂网路能力,将补充现有的对齐(Alignment)研究,以及Google既有的AI责任及安全实践套件。