买球·(中国大陆)APP官方网站黑客不错将进程考验后的坏心模子打包成 Cog 容器-买球·(中国大陆)APP官方网站

发布日期：2024-07-06 05:26    点击次数：96

IT之家 5 月 28 日音书，安全公司 Wiz 近日发布发扬，宣称开源 AI 模子分享平台 Replicate 存在短处裂缝，黑客可通过坏心模子进行“跨田户抨击”（IT之家注：即哄骗存在于多田户环境中的安全裂缝走访 / 打扰其他田户的数据资源），从而导致平台用户考验的 AI 模子里面奥妙数据袒露。

安全公司宣称，Replicate 平台出现“跨田户抨击”裂缝的主要原因是该平台为进步 AI 模子扩充（inference）恶果推出的模子容器化花式 Cog，天然联系花式大约显耀改善模子与恶果，不外 Replicate 平台忽略了 Cog 花式中的安全拆开机制。

IT之家获悉，黑客不错将进程考验后的坏心模子打包成 Cog 容器，并通过 Replicate 的用户操作界面与容器互动，最终见效进行了一系列费力执行代码（RCE）抨击测试，取得了容器的 root 权限。

尔后，究诘东说念主员还对 Replicate 平台的基础设施进一顺序查，哄骗刻下容器的 TCP 连合见效走访到另一台容器，并通过名为 rshijack 的用具将特定数据见效注入至 TCP 连合中，从而绕过了平台的身份考证门径，见效走访到其他用户的 AI 模子。

究诘东说念主员指出，黑客不错哄骗联系裂缝打法获取其他用户私用的 AI 模子，大约解放从联系模子问答记载中索求用户狡饰数据，还大约解放下载 / 修改用户模子实质，对平台存在严重危害。

IT之家留意到，Replicate 平台在接到 Wiz 通报后已赶紧开辟联系裂缝，并示意现在莫得检测到灵验户 AI 模子外流的迹象。

告白声明：文内含有的对外跳转连合（包括不限于超连合、二维码、口令等神色），用于传递更多信息买球·(中国大陆)APP官方网站，省俭甄选时辰，规则仅供参考，IT之家通盘著作均包含本声明。

　　声明：新浪网独家稿件，未经授权不容转载。 -->