נחשפה פגיעות קלה לניצול בתשתית ה-AI אולאמה

יוניקורן אבטחת הסייבר הישראלי וויז הודיע היום (ב') כי חוקריו חשפו פגיעות קלה לניצול ולהפעלה מרחוק באולאמה (Ollama), פרויקט תשתית AI בקוד פתוח.

אולאמה הוא אחד מפרויקטי הקוד הפתוח הפופולריים ביותר להפעלת מודלים של AI, ולו עשרות אלפי דירוגים בגיטהאב ומאות אלפי הורדות חודשיות בדוקר האב. הפרויקט שואף לפשט את תהליך האריזה והפריסה של מודלים של AI.

הפגיעות זכתה לתיוג CVE-2024-37032 ולכינוי Probllama – משחק מילים על שם הפרויקט, אולאמה, והמילה פרובלמה, בעיה. חוקרי וויז עדכנו את אנשי הפרויקט בפגיעות במאי האחרון – וזו טופלה.

לפי וויז, "נכון ל-10 ביוני, יש מספר רב של מופעי אולאמה שמריצים גרסה פגיעה, והם חשופים ברשת".

"ארגונים מאמצים במהירות מגוון של כלים ותשתיות AI חדשים בניסיון לשפר את היתרון התחרותי שלהם", כתבו חוקרי וויז בבלוג של החברה. "כלים אלה נמצאים לעתים קרובות בשלב מוקדם של פיתוח וחסרים תכונות אבטחה סטנדרטיות, כגון אימות. בנוסף, קל יחסית למצוא פרצות תוכנה קריטיות – מה שהופך אותן ליעדים מושלמים עבור גורמי איומים פוטנציאליים".

הם ציינו בבלוג כי "בשנה האחרונה זוהו פגיעויות רבות העלולות להיות מנוצלות מרחוק (RCE) בשרתים המיועדים לבצע פעולות הסקה, של כמה פרויקטים, ביניהם TorchServe ,Ray Anyscale ואולאמה. פגיעויות אלה עלולות לאפשר לתוקפים להשתלט על שרתי ה-AI המתארחים בעצמם, לגנוב, או לשנות מודלים של בינה מלאכותית ולסכן יישומי AI".

"הבעיה הקריטית – היעדר מובנה של תמיכה בכלים החדשים"

על פי החוקרים מ-וויז, "הבעיה הקריטית היא לא רק הפגיעויות עצמן, אלא היעדר מובנה של תמיכה באימות בכלים החדשים הללו. כך, כל תוקף יכול ועלול להתחבר אליהן, לגנוב או לשנות את דגמי הבינה המלאכותית, או אפילו להפעיל קוד מרחוק כתכונה מובנית. בשל היעדר תמיכת האימות, סרקנו את האינטרנט לאיתור שרתי אולאמה חשופים, ומצאנו יותר מ-1,000 מופעים חשופים, שמארחים דגמי AI רבים, כולל דגמים פרטיים שאינם רשומים במאגר הציבורי של הפרויקט. מדובר בפער אבטחה משמעותי, שנובע, בין השאר, מכך שבפרויקט תשתית ה-AI הזה אין תכונות אימות מובנות, מוכנות לשימוש מהקופסה. היעדר האימות מאפשר השתלת נוזקה וקצירת נתונים מהקורבן בקלות".

לאחר ההסבר הטכני של אופן ניצול הפגיעות על ידי ההאקרים, סיכמו החוקרים: "הממצאים שלנו מדגישים את העובדה שאמצעי אבטחת בינה מלאכותית נדחו ברובם – לטובת התמקדות ביכולת השינוי של טכנולוגיה זו, ובפוטנציאל שלה לחולל מהפכה בדרך שבה העסק פועל. מדובר בפגיעות קלה לניצול מרחוק. על אף שזוהי תשתית חדשה יחסית, שנכתבה בשפות תכנות מודרניות, היא עדיין כוללת חולשות קלאסיות, שנותרו בגדר בעיה. צוותי אבטחה צריכים לעדכן את מופעי אולאמה שלהם לגרסה העדכנית ביותר, כדי להפחית את הסיכון הטמון בפגיעות זו".