Разработчики: | SAP SE |
Отрасли: | Информационные технологии |
2024: Дыры в ПО годами позволяли хакерам красть данные пользователей облачных сред
17 июля 2024 года команда Wiz Research Team сообщила об обнаружении уязвимостей в платформе SAP AI Core, предназначенной для работы с моделями искусственного интеллекта. Дыры, как утверждается, позволяли хакерам годами красть данные пользователей.
Процесс обучения корпоративных систем ИИ, как отмечается, требует доступа к огромному объему конфиденциальных данных клиентов. Поэтому соответствующие сервисы становятся привлекательной целью для злоумышленников. Кроме того, платформа SAP AI Core предусматривает интеграцию с различными облачными службами. При этом код клиента выполняется в общей среде SAP, что создает дополнительные риски утечки информации.
В общей сложности специалисты Wiz Research Team обнаружили пять уязвимостей в SAP AI Core. Эксплуатируя дыры, злоумышленники могут получить доступ к модулям других пользователей и украсть конфиденциальные сведения, такие как наборы данных для обучения и код. Кроме того, киберпреступники могут вмешиваться в работу модулей клиента, искажать данные ИИ и манипулировать результатами. Проблемы возникают из-за того, что платформа позволяет запускать вредоносные модели ИИ и процедуры обучения без адекватной изоляции и механизмов песочницы. Компания SAP была проинформирована о наличии уязвимостей в январе 2024-го, а к маю указанного года обнаруженные проблемы были окончательно устранены.
Это исследование демонстрирует уникальные проблемы, которые возникают в процессе работы с ИИ. Обучение моделей искусственного интеллекта по определению требует запуска произвольного кода, а поэтому необходимо использование специальных защитных механизмов, гарантирующих, что такой код отделен от внутренних ИТ-ресурсов, — подчеркивают специалисты Wiz Research Team.[1] |