Platforme umjetne inteligencije (AI) postale su integralni alat za kompanije i organizacije širom svijeta.
Ove tehnologije obećavaju efikasnost i inovacije, od chatbotova koje pokreću veliki jezički modeli (LLM) do složenih operacija mašinskog učenja (MLOps).
Međutim, nedavna istraživanja su otkrila alarmantne ranjivosti u ovim sistemima, izlažući osjetljive podatke potencijalnoj eksploataciji.
Preduzeća koriste ove alate za automatizaciju zadataka, upravljanje podacima i interakciju s klijentima. Međutim, pogodnost AI dolazi sa značajnim rizicima, posebno u pogledu sigurnosti podataka. Studija Legit Security ističe dva glavna područja zabrinutosti: vektorske baze podataka i LLM alate.
Javno izložene vektorske baze podataka
Razumijevanje vektorskih baza podataka
Vektorske baze podataka su specijalizovani sistemi koji pohranjuju podatke kao višedimenzionalne vektore, koji se obično koriste u AI arhitekturama. Oni igraju ključnu ulogu u sistemima proširene generacije (RAG), gdje se AI modeli oslanjaju na eksterno preuzimanje podataka kako bi generisali odgovore. Popularne platforme uključuju Milvus, Qdrant, Chroma i Weaviate.
Sigurnosni rizici
Uprkos njihovoj korisnosti, vektorske baze podataka predstavljaju ozbiljne sigurnosne prijetnje. Mnoge instance su javno dostupne bez odgovarajuće provjere autentičnosti, što omogućava neovlaštenim korisnicima pristup osjetljivim informacijama.
Ovo uključuje lične podatke (PII), medicinske kartone i privatne komunikacije. Studija je pokazala da je curenje podataka i trovanje podataka preovlađujući rizici.
Primjeri iz stvarnog svijeta
Istraga je otkrila otprilike 30 servera koji sadrže osjetljive korporativne ili privatne podatke, uključujući:
- Razgovori putem e-pošte kompanije
- PII korisnika i serijski brojevi proizvoda
- Finansijska evidencija
- Kandidat nastavlja
U jednom slučaju, Weaviate baza podataka kompanije za inženjerske usluge sadržavala je privatne e-poruke . Drugi slučaj je uključivao Qdrant bazu podataka sa detaljima o kupcima iz firme za industrijsku opremu.
Javno izloženi LLM alati
Alati za LLM automatizaciju bez koda
Platforme niskog koda kao što je Flowise omogućavaju korisnicima da izgrade AI radne tokove integracijom učitavača podataka, predmemorije i baza podataka. Iako su moćni, ovi alati su ranjivi na kršenje podataka ako nisu pravilno osigurani.
Sigurnosni rizici
LLM alati se suočavaju s prijetnjama sličnim onima kod vektorskih baza podataka, uključujući curenje podataka i izlaganje vjerodajnica. Studija je identifikovala kritičnu ranjivost (CVE-2024-31621) u Flowiseu, omogućavajući zaobilaženje autentifikacije kroz jednostavnu manipulaciju URL-om.
Ključni nalazi
Istraživanje je otkrilo brojne otkrivene tajne, kao što su:
- OpenAI API ključevi
- Pinecone API ključevi
- GitHub pristupni tokeni
Ovi nalazi naglašavaju potencijal za značajne povrede podataka ako se ranjivosti ne riješe.
Strategije ublažavanja
Za borbu protiv ovih ranjivosti, organizacije moraju implementirati robusne sigurnosne mjere. Preporučene radnje uključuju:
- Provođenje strogih protokola za autentifikaciju i autorizaciju
- Redovno ažuriranje softvera radi zakrpe poznatih ranjivosti
- Sprovođenje temeljnih sigurnosnih revizija i penetracijskog testiranja
- Edukacija osoblja o najboljim praksama za zaštitu podataka
Ranjivosti otkrivene u AI platformama naglašavaju hitnu potrebu za poboljšanim mjerama sigurnosti. Kako AI prožima različite sektore, zaštita osjetljivih podataka mora biti glavni prioritet. Organizacije se pozivaju da proaktivno ublaže rizike i zaštite svoju digitalnu imovinu.
Nalazi ove studije služe kao oštar podsjetnik na potencijalne posljedice zanemarivanja sajber sigurnosti u doba AI. Rešavanjem ovih ranjivosti, preduzeća mogu iskoristiti puni potencijal AI tehnologija, istovremeno osiguravajući sigurnost i privatnost svojih podataka.
Izvor: CyberSecurityNews