详细内容或原文请订阅后点击阅览
研究人员表示,开源人工智能是一场即将发生的全球安全噩梦
信息安全简介 此外,韩国获得了渗透测试 F、美国财政部告别 BAH、朝鲜黑客不断发展等等。似乎人工智能还不足以引起安全问题,现在研究人员发现开源人工智能部署可能比商业提供商的人工智能部署更严重。
来源:The Register _恶意软件信息安全简介 似乎人工智能还不足以引起安全问题,现在研究人员发现开源人工智能部署可能比商业提供商的人工智能部署更严重。
SentinelLABS 的威胁研究人员与 Censys 的互联网绘图人员合作,研究了暴露在互联网上的 Ollama 部署的足迹,他们发现这是一个由基本上同质的开源 AI 部署组成的全球网络,正在等待合适的零日出现。
130 个国家/地区的 175,108 个独特的 Ollama 主机被发现暴露在公共互联网上,其中绝大多数实例都运行 Llama、Qwen2 和 Gemma2 模型,其中大多数依赖于相同的压缩选择和打包机制。两人表示,这表明开源人工智能部署已经成为一种可供利用的单一文化。
“特定量化模型处理代币的方式存在漏洞,可能会同时影响暴露的生态系统的很大一部分,而不是表现为孤立的事件,”两人在他们的文章中表示。
更糟糕的是,许多暴露的 Ollama 实例通过启用的 API 端点、视觉功能和缺乏安全护栏的未经审查的提示模板具有工具调用功能。 SentinelLABS 和 Censys 警告说,由于它们不是由大型人工智能公司管理,因此这些暴露可能不会被任何人跟踪,这意味着利用可能不会被注意到。
对于这两个人来说,最大的风险包括由于没有集中监督而导致的资源劫持、由于缺乏护栏和暴露的 API 端点而远程执行特权操作,以及通过受害者基础设施引导恶意流量进行身份清洗。
两人指出,关键的教训是开始像任何其他关键基础设施一样对待人工智能,无论是否开源。
税务数据泄露意味着博思艾伦不再与财政部签订合同
每个经过测试的韩国政府系统都未能击退渗透测试者
哎呀。