要約:
- Protect AIのhuntr bug bountyプログラムにおいて、オープンソースのAIおよび機械学習(ML)ツールに約3つの欠陥が開示された。
- 発見された欠陥には、Lunary AI開発者ツールキットの2つとChuanhu ChatというChatGPTのGUIの3つの重大な脆弱性が含まれている。
- 他にも、LocalAIやLoLLMs、LangChain.jsなど、複数のプラットフォームに脆弱性が発見されている。
- 発見された深刻な欠陥のうち2つは、Lunary AI製品ツールキット内のもので、それぞれCVE-2024-7474とCVE-2024-7475として追跡されている。
- さらに、Chuahu Chatのユーザーアップロード機能におけるパス遍歴脆弱性(CVE-2024-5982)や、LocalAIのRCE欠陥(CVE-2024-6983)も報告されている。
- IBM Guardium AI Securityは、公式および非承認のAIインストールで脆弱性を検出し、シャドウAIとして知られる未承認のAIモデルの使用を防ぐことに焦点を当てている。
考察:
オープンソースのAIおよび機械学習ツールには様々な脆弱性が存在し、これらの脆弱性は重要なセキュリティリスクとなる可能性がある。ユーザーが脅威に対処するためには、最新のバージョンにアップグレードすることが重要である。特に、認証プロセスやデータ処理における適切なアクセス制御の欠如が、深刻なセキュリティ問題を引き起こす可能性があることが示されている。今後もAI技術の進化に伴い、セキュリティへの取り組みがますます重要となることが予測される。
元記事: https://www.scworld.com/news/ai-bug-bounty-program-yields-34-flaws-in-open-source-tools