Servidores são hackeados em estrutura Ray AI sem proteção

“Um ambiente ML-OPS  [operações de machine learning recomendadas para executar AI com sucesso] consiste em muitos serviços que se comunicam entre si, dentro do mesmo cluster e entre clusters”, disseram os pesquisadores. “Quando usado para treinamento ou ajuste fino, geralmente tem acesso a conjuntos de dados e modelos, em disco ou em armazenamento remoto, como um bucket S3. Muitas vezes, modelos ou conjuntos de dados são a propriedade intelectual privada e única que diferencia uma empresa de seus concorrentes.”

No ano passado, pesquisadores de segurança de Bishop Fox encontraram e relataram cinco vulnerabilidades na estrutura Ray. A Anyscale, empresa que mantém o software, decidiu corrigir quatro deles — CVE-2023-6019, CVE-2023-6020, CVE-2023-6021 e CVE-2023-48023 — na versão 2.8.1, mas afirmou que o quinto, designado CVE-2023-48022, não era realmente uma vulnerabilidade, por isso não foi corrigido.

Acesse o relatório completo da Oligo (em inglês) sobre as vulnerabilidades na estrutura Ray clicando aqui.

Créditos: CISO Advisor