Mais de 30 vulnerabilidades descobertas em modelos de IA de código aberto
Recente pesquisa revelou vulnerabilidades em ferramentas de inteligência artificial (IA) e aprendizado de máquina (ML) de código aberto, destacando falhas graves que permitem execução remota de código e roubo de dados. As ferramentas afetadas incluem ChuanhuChatGPT, Lunary e LocalAI, com as falhas reportadas na plataforma de bug bounty da Protect AI, chamada Huntr.
No caso do ChuanhuChatGPT, foi identificada uma falha de path traversal (CVE-2024-5982, CVSS: 9.1), permitindo execução de código arbitrário, criação de diretórios e exposição de dados sensíveis. O problema se origina no recurso de upload de arquivos, possibilitando o comprometimento do sistema.
Duas vulnerabilidades adicionais foram descobertas no LocalAI, que permite a execução de LLMs em servidores locais. As falhas incluem execução de código arbitrário por meio de um arquivo de configuração malicioso (CVE-2024-6983, CVSS: 8.8) e ataques de tempo, usados para adivinhar chaves de API válidas com base no tempo de resposta do servidor. A NVIDIA também lançou patches para sua plataforma de IA generativa NeMo, corrigindo uma falha de path traversal que permitia execução de código e manipulação de dados.
Medidas Preventivas e Atualizações
Usuários das ferramentas mencionadas são fortemente aconselhados a atualizar para as versões mais recentes, visando proteger suas cadeias de fornecimento de IA e ML contra ataques. Essas descobertas ressaltam a importância da vigilância contínua e da atualização de ferramentas de código aberto, especialmente em ambientes corporativos onde a segurança é vital.
Fonte: BoletimSec