Ouvidoria 0800 718 2048 | SAC 0800 200 6070 | Sinistros 0800 202 2042

Manchetes do Mercado

30 de outubro de 2024

Mais de 30 vulnerabilidades descobertas em modelos de IA de código aberto

Compartilhe

Recente pesquisa revelou vulnerabilidades em ferramentas de inteligência artificial (IA) e aprendizado de máquina (ML) de código aberto, destacando falhas graves que permitem execução remota de código e roubo de dados. As ferramentas afetadas incluem ChuanhuChatGPT, Lunary e LocalAI, com as falhas reportadas na plataforma de bug bounty da Protect AI, chamada Huntr.

No caso do ChuanhuChatGPT, foi identificada uma falha de path traversal (CVE-2024-5982, CVSS: 9.1), permitindo execução de código arbitrário, criação de diretórios e exposição de dados sensíveis. O problema se origina no recurso de upload de arquivos, possibilitando o comprometimento do sistema.

Duas vulnerabilidades adicionais foram descobertas no LocalAI, que permite a execução de LLMs em servidores locais. As falhas incluem execução de código arbitrário por meio de um arquivo de configuração malicioso (CVE-2024-6983, CVSS: 8.8) e ataques de tempo, usados para adivinhar chaves de API válidas com base no tempo de resposta do servidor. A NVIDIA também lançou patches para sua plataforma de IA generativa NeMo, corrigindo uma falha de path traversal que permitia execução de código e manipulação de dados.

Medidas Preventivas e Atualizações

Usuários das ferramentas mencionadas são fortemente aconselhados a atualizar para as versões mais recentes, visando proteger suas cadeias de fornecimento de IA e ML contra ataques. Essas descobertas ressaltam a importância da vigilância contínua e da atualização de ferramentas de código aberto, especialmente em ambientes corporativos onde a segurança é vital.

Fonte: BoletimSec

Saiba mais sobre o Seguro Cyber:

vulnerabilidades IA seguro cyber

Publicado em: