ShadowRay to podobno pierwszy atak którego celem jest nie człowiek, a AI
Algorytmy sztucznej inteligencji, kolejne rozbudowane wielomodalne modele AI, panoszą się w naszej przestrzeni, a firmy wręcz prześcigają się w przygotowywaniu bardziej wyrafinowanych systemów AI. AI potrzebuje jednak olbrzymich ilości mocy obliczeniowej, tutaj okazję wyczuli cyberprzestępcy, prowadząc od wielu miesięcy kampanię nazwaną ShadowRay, której celem nie są ludzie, lecz obciążenia AI.
O sprawie poinformowali eksperci z zajmującej się cyberbezpieczeństwem firmy Oligo. Zaobserwowali oni fakt, że wykorzystywana przez wiele firm pracujących nad AI platforma Ray zarządzana przez firmę Anyscale. Firma ta dostarcza zainteresowanym podmiotom platformę ułatwiającą zarządzanie rozproszoną mocą obliczeniową. Badacze z Oligo stwierdzili, że kilka miesięcy temu wykryto kilka luk w kodzie platformy Ray, większość z nich załatano, ale pozostawiono jeden element, który Anyscale w ogóle nie uważa za lukę.
Chodzi o to, że platforma Ray pozwala zdalnie zarządzać przyporządkowaną mocą obliczeniową. Wszystko jest w porządku, dopóki dana sztuczna inteligencja to zamknięte, całkowicie odcięte od internetu środowisko. Jednak wraz z otwieraniem coraz to nowych rozwiązań na świat, okazało się, że tysiące firm i serwerów obsługujących infrastrukturę obliczeniową wykorzystywaną przez AI jest narażonych na atak wynikający z prostego faktu: interfejs zarządzania platformą Ray jest, delikatnie rzecz ujmując, kiepsko chroniony. Zlecenia zadań mocy obliczeniowej przesyłane są przez otwarty port HTTP 8265. Po prostu. Żadnych haseł, żadnego uwierzytelniania, żadnego szyfrowania (tak, to HTTP, a nie HTTPS).
Eksperci z Odigo twierdzą, że takie podejście powoduje, że każdy kto ma dostęp do sieci może potencjalnie wywołać dowolne zadania na zdalnym hoście bez autoryzacji. Co na to Anyscale? Firma w ogóle nie uważa tego za lukę i twierdzi, że to użytkownicy jej platformy powinni zadbać o zabezpieczenia dostępu do panelu kontrolnego ich platformy. Problemem jest też błąd projektowy tego środowiska. Platformę Ray zaprojektowano tak, że pulpit nawigacyjny w ogóle nie powinien być połączony z internetem w jakikolwiek sposób. Jednak firmy które „wypuściły” swoje AI na świat, siłą rzeczy muszą też na otwartym organizmie mieć dostęp do zarządzania obciążeniami AI, a przy braku uwierzytelniania i autoryzacji by design… sami rozumiecie.
Efekt? Rozproszoną, ale potężną mocą obliczeniową zainteresowali się cyberprzestępcy. Można w tym momencie zapytać, na co agresorom dostęp do mocy obliczeniowej? Odpowiem pytanie, jakie zadanie wymaga dużych mocy obliczeniowej i może przynieść profity? Tak, zgadliście: kopanie kryptowalut. Problem jest o tyle poważny, że wciąż nieuświadomiony przez wiele podmiotów, bo informacja o luce nie jest prawidłowo ujęta w bazie CVE (cóż, skoro sam twórca rozwiązania Ray nie uważa tego za lukę), w efekcie wszelkie zautomatyzowane rozwiązania ochronne aktualizowane w oparciu o bazy CVE nie widzą zagrożenia.
Trudno też ocenić, jaki wpływ ataki ShadowRay będą mieć na jakość samych algorytmów AI trenowanych w istocie w gorszych warunkach (przy słabszej mocy obliczeniowej) niż planowano. Więcej informacji znajdziecie na blogu Oligo.
