يعالج برنامج Anyscale ثغرة أمنية حرجة في إطار عمل Ray – لكن الآلاف منها ما زالوا معرضين للخطر

يتوفر إطار عمل Ray مفتوح المصدر في كل مكان – حيث تستخدمه آلاف المؤسسات لتشغيل أعباء العمل المعقدة والمكثفة. تم تدريب GPT-3 عليه، ويقول البعض إنه لا يوجد نموذج لغة كبير (LLM) لم يكن على اتصال به في مكان ما على طول الخط. 

وهذا ما جعل الاكتشاف الأخير لما يسمى بثغرة “ShadowRay” مثيرًا للقلق: لمدة سبعة أشهر، سمحت نقطة الدخول للمهاجمين بالوصول إلى آلاف أعباء عمل إنتاج الذكاء الاصطناعي في الشركات، وقوة الحوسبة، وبيانات الاعتماد، وكلمات المرور، والمفاتيح، والرموز المميزة. والكثير من المعلومات الحساسة الأخرى.  

في حين أن مشرف إطار العمل Anyscale اعترض في البداية على الثغرة الأمنية، فقد أصدرت الشركة الآن أدوات جديدة لمساعدة المستخدمين على تحديد ما إذا كانت منافذهم معرضة للخطر أم لا. 

وقال متحدث باسم Anyscale: “في ضوء التقارير عن الأنشطة الضارة، تحركنا بسرعة لتوفير الأدوات للسماح للمستخدمين بالتحقق من التكوين الصحيح لمجموعاتهم لتجنب التعرض العرضي”. 

يساعد Anyscale في تحديد ما إذا كانت المنافذ الحساسة مكشوفة أم لا

يمكن أن تؤدي الثغرة الأمنية CVE-2023-48022 – التي تم اكتشافها لأول مرة في نوفمبر – إلى تعريض Ray Jobs API لهجمات تنفيذ التعليمات البرمجية عن بُعد. وهذا يعني أن أي شخص لديه إمكانية الوصول إلى شبكة لوحة المعلومات يمكنه استدعاء “الوظائف التعسفية” دون الحاجة إلى إذن، وفقًا لشركة Oligo Security، التي كشفت لأول مرة عن الثغرة الأمنية في تقرير بحثي أواخر الشهر الماضي. 

في حين اعترض Anyscale في البداية على الثغرة الأمنية، ووصفها بأنها “سلوك متوقع وميزة منتج”، فقد أصدرت الشركة الآن Open Ports Checker، الذي يبسط عملية تحديد ما إذا كانت المنافذ مفتوحة بشكل غير متوقع أم لا. 

قام Anyscale بتكوين الإعدادات الافتراضية للبرنامج النصي من جانب العميل مسبقًا للوصول إلى الخادم الذي قام بإعداده. ستعرض عمليات الفحص إما رسالة “موافق” أو تقرير “تحذير” بخصوص المنافذ المفتوحة. 

تعني رسالة التحذير أن الخادم اكتشف شيئًا مفتوحًا على المنفذ. لكن هذا “لا يعني بالضرورة أن المنفذ الخاص بك مفتوح لحركة المرور غير المصادق عليها”، كما يقول Anyscale. وذلك لأن البرنامج النصي لا يحاول تحديد ما يتم تشغيله على المنفذ المفتوح، لذا لا يمكنه تحديد ما إذا كان قد فشل في المصادقة أو ما إذا كان راي يستمع على هذا المنفذ. 

وفي الوقت نفسه، تعني الاستجابة “موافق” أن الخادم لم يتمكن من إنشاء اتصال بأي منافذ. ومع ذلك، تؤكد Anyscale أنه نظرًا لأنهم لا يعرفون كيف قامت الشركة بتكوين شبكتها، فإن هذا الرد “لا يضمن عدم فتح أي منافذ.” يمكن أن تحدث نتائج سلبية خاطئة في حالة استخدام جدار الحماية أو قواعد NAT لتوجيه المنافذ. 

وفقًا للشركة، “ستستضيف Anyscale المجتمع لاختبار مسارات الشبكة هذه بشكل صريح.” 

يتم توفير الريبو ضمن Apache2، ويمكن نشر العميل على أي Ray Head أو Worker Node. تعمل هذه العملية عبر جميع إصدارات Ray وتقوم بإرجاع كافة المنافذ الموجودة التي يستخدمها Ray عبر واجهات برمجة تطبيقات Ray الموجودة. 

يمكن أيضًا مطالبة الإمكانية الجديدة بإرسال مكالمة شبكة اختبارية عبر تلك المنافذ إلى خادم ويب خفيف الوزن. 

إذا فضلوا ذلك، يمكن للمستخدمين تكوين البرنامج النصي لإرساله إلى خوادمهم الخاصة. يوفر Anyscale أيضًا رمزًا من جانب الخادم إذا أرادت المؤسسات الاستضافة الذاتية لاختبار حركة مرور الشبكة من خلال طوبولوجيا الشبكة المفضلة لديهم.

أعباء العمل المكشوفة والبيئات السحابية وبيانات الاعتماد

نظرًا لأنها كانت محل نزاع سابقًا، لم يتم اعتبار “ShadowRay” خطرًا ولم يكن بها أي تصحيح – وبالتالي كانت “ثغرة أمنية في الظل”، أو ثغرة لا تظهر في عمليات الفحص. 

وفقًا لـ Oligo، تم الكشف عن الثغرة الأمنية: 

• أعباء عمل إنتاج الذكاء الاصطناعي
• الوصول إلى البيئة السحابية (AWS وGCP وAzure وLambda Labs) والخدمات السحابية الحساسة. 
• الوصول إلى KubernetesAPI
• كلمات المرور وبيانات اعتماد OpenAI وStripe وSlack.
• بيانات اعتماد قاعدة بيانات الإنتاج
• رموز OpenAI وHuggingFace وStripe وSlack. 

اعتبارًا من 28 مارس، حددت شركة إدارة الهجمات وصيد التهديدات Censys 315 مضيفًا متأثرًا عالميًا. وكان أكثر من ثلاثة أرباع (77%) منها عبارة عن صفحة تسجيل دخول مكشوفة، في حين كانت ثلاثة منها تحتوي على أدلة ملفات مكشوفة. 

يشير الخبراء إلى أن “ShadowRay” خطير جدًا لأنه يهاجم البنية التحتية الموجودة خلف الكواليس. 

قال نيك حياة، مدير استخبارات التهديدات في Blackpoint Cyber، لموقع VentureBeat: “لقد ظهرت العديد من المناقشات لمناقشة الاستخدامات النظرية للذكاء الاصطناعي في الهجمات، في حين أن الواقع هو أن الجهات الفاعلة في مجال التهديد يمكنها الحصول على المزيد من المعلومات من خلال مهاجمة البنية التحتية”.

وأشار إلى أنه غالبًا ما يُفترض أن هذه البنية التحتية موجودة في بيئات آمنة، لذلك لا يوجد الكثير من القلق بشأن تأمين استخدام نماذج اللغات الكبيرة للبيانات (LLMs). وفي نهاية المطاف، يؤدي هذا إلى تقليل حاجز الدخول أمام المهاجمين الذين يمكنهم الوصول إلى كنوز البيانات المحتملة. 

قال نيل كاربنتر، مدير التكنولوجيا الميداني في Orca Security والعضو السابق في فريق الاستجابة للحوادث في Microsoft، لـ VentureBeat: “يوضح هذا كيف أن الذكاء الاصطناعي هو “تكنولوجيا المعلومات الظلية” التالية لدينا، حيث يتحرك الباحثون والفرق بسرعة وينشرون الأشياء دون إشراف فريق الأمان”. 

قد يكون طرح مشروع ذكاء اصطناعي مفتوح المصدر “مشكلة كبيرة” لأن الأمان الوحيد لبعض المكونات المهمة “هو ملاحظة في الصفحة الأخيرة من الوثائق تفيد بأنه لا ينبغي عليك أبدًا الكشف عن هذا خارج شبكة موثوقة”. ذُكر. 

الحاجة إلى مناقشة أكبر حول التطوير الآمن والوعي بالبيانات والنظافة

وأشار حياة إلى أن “ShadowRay” هو جزء من مناقشة أكبر حول مبادئ التطوير الآمن “التي لا تلتزم بها كل شركة”، خاصة مع مواقف “التحرك بسرعة وكسر الأشياء” والتقدم السريع في الذكاء الاصطناعي. 

وقال إن الشركات التي تفكر في اعتماد ماجستير إدارة الأعمال – وجميعها تقريبًا كذلك – تحتاج إلى مراعاة نظافة البيانات. 

وقال: “لا يمكنك تفريغ خادم كامل في ماجستير إدارة الأعمال (LLM) وتوقع أن تسير الأمور بسلاسة – خاصة إذا كنت تتعامل مع بيانات شركات أخرى”. 

يعد التحقق من صحة مجموعات البيانات وفهم البيانات المستخدمة وأي متطلبات تنظيمية حولها أمرًا بالغ الأهمية، خاصة عند إنشاء ماجستير إدارة الأعمال محليًا. وبالمثل، إذا كانت المؤسسات تستخدم النماذج كجزء من تدفقات أعمالها العادية، فهل تنظر إلى مصدر البيانات وتتحقق من أن الاستخدام يقدم الإجابات الصحيحة؟ 

وأشار إلى أن هذه القضايا ليست قابلة للحل عن طريق التكنولوجيا فقط. “هذه قضايا تتعلق بالأشخاص والعمليات والتكنولوجيا”، خاصة عندما يكون هناك اعتماد مفرط على حاملي شهادة الماجستير في القانون.

وفي النهاية، تنبأ قائلاً: “مع استمرار تقدم مجال الذكاء الاصطناعي التوليدي، سنشهد المزيد من الهجمات على البنية التحتية بدلاً من الاستخدام الصريح للذكاء الاصطناعي العام لتعزيز الهجمات. ففي نهاية المطاف، إذا كانت البيانات جاهزة للاستيلاء عليها وكانت عمليات الاستغلال متاحة بشكل شائع، فلماذا أزعج نفسي باستخدام الأداة بينما يمكنني فقط سرقة البيانات المستخدمة لتشغيلها؟