- MLflow ha sido identificada como la plataforma de aprendizaje automático de código abierto más vulnerable
- Las fallas en el recorrido del directorio permiten el acceso no autorizado a archivos en Weave
- Los problemas de control de acceso de ZenML Cloud permiten riesgos de escalada de privilegios
Un análisis reciente del panorama de seguridad de los marcos de aprendizaje automático (ML) reveló que el software de ML está sujeto a más vulnerabilidades de seguridad que categorías más maduras como DevOps o servidores web.
La creciente adopción del aprendizaje automático en todas las industrias subraya la necesidad crítica de proteger los sistemas de aprendizaje automático, ya que las vulnerabilidades pueden provocar acceso no autorizado, filtraciones de datos e interrupciones operativas.
el informe Desde JFrog afirman que los proyectos de ML como MLflow han experimentado un aumento en las vulnerabilidades críticas. En los últimos meses, JFrog ha expuesto 22 vulnerabilidades en 15 proyectos de aprendizaje automático de código abierto. Entre estas vulnerabilidades, se destacan dos categorías: amenazas dirigidas a componentes del lado del servidor y riesgos de escalada de privilegios dentro de los marcos de ML.
Vulnerabilidades críticas en los marcos de ML
Las vulnerabilidades identificadas por JFrog afectan a componentes clave que se utilizan con frecuencia en los flujos de trabajo de ML, lo que podría permitir a los atacantes explotar herramientas en las que los profesionales de ML suelen confiar por su flexibilidad, para obtener acceso no autorizado a archivos confidenciales o elevar privilegios dentro de entornos de ML.
Una de las debilidades destacadas involucra Weave, un popular conjunto de herramientas de Weights & Biases (W&B), que ayuda a rastrear y mostrar las métricas del modelo ML. La vulnerabilidad de cruce de directorios de tejido WANDB (CVE-2024-7340) permite a usuarios con pocos privilegios acceder a archivos arbitrarios en todo el sistema de archivos.
Esta falla se debe a una validación de entrada incorrecta al manejar rutas de archivos, lo que podría permitir a los atacantes ver archivos confidenciales que pueden contener claves API de administrador u otra información privilegiada. Una infracción de este tipo podría provocar una escalada de privilegios, dando a los atacantes acceso no autorizado a los recursos y comprometiendo la seguridad de todo el proceso de aprendizaje automático.
ZenML, una herramienta de gestión de canalizaciones de MLOps, también se ve afectada por una vulnerabilidad crítica que afecta a sus sistemas de control de acceso. Esta falla permite a los atacantes con privilegios de acceso mínimos elevar sus privilegios dentro de ZenML Cloud, una implementación administrada de ZenML, accediendo así a información restringida, incluidos secretos o archivos de modelos.
El problema del control de acceso en ZenML expone el sistema a riesgos importantes, ya que privilegios elevados podrían permitir a un atacante manipular canales de aprendizaje automático, alterar datos del modelo o acceder a datos operativos confidenciales, lo que podría afectar los entornos de producción que dependen de estos canales.
Otra vulnerabilidad grave, conocida como Deep Lake Command Inyección (CVE-2024-6507), se encontró en la base de datos de Deep Lake, una solución de almacenamiento de datos optimizada para aplicaciones de inteligencia artificial. Esta vulnerabilidad permite a los atacantes ejecutar comandos arbitrarios explotando la forma en que Deep Lake maneja la importación de un conjunto de datos externo.
Debido a una desinfección inadecuada de los comandos, un atacante podría lograr la ejecución remota de código, comprometiendo la seguridad tanto de la base de datos como de las aplicaciones conectadas.
También se encontró una vulnerabilidad notable en Vanna AI, una herramienta diseñada para generar y simular consultas SQL en lenguaje natural. Vanna.AI Prompt Inyección (CVE-2024-5565) permite a los atacantes inyectar código malicioso en mensajes SQL, que luego la herramienta procesa. Esta vulnerabilidad, que podría conducir a la ejecución remota de código, permite a actores malintencionados apuntar a la función de visualización de SQL a gráfico de Vanna AI para manipular visualizaciones, realizar inyecciones de SQL o extraer datos.
Se descubrió que Mage.AI, una herramienta MLOps para administrar canalizaciones de datos, tenía múltiples vulnerabilidades, incluido el acceso no autorizado al shell, fugas de archivos arbitrarios y comprobaciones de recorrido de ruta débiles.
Estos problemas permiten a los atacantes obtener control sobre las canalizaciones de datos, exponer configuraciones confidenciales o incluso ejecutar comandos maliciosos. La combinación de estas vulnerabilidades presenta un alto riesgo de escalada de privilegios y violaciones de la integridad de los datos, lo que compromete la seguridad y la estabilidad de los canales de ML.
Al obtener acceso de administrador a las bases de datos o al registro de ML, los atacantes pueden inyectar código malicioso en los modelos, lo que genera puertas traseras que se activan cuando se carga el modelo. Esto puede comprometer los procesos posteriores, ya que los modelos son utilizados por diferentes equipos y canales de CI/CD. Los atacantes también pueden filtrar datos confidenciales o realizar ataques de envenenamiento de modelos para comprometer el rendimiento del modelo o manipular los resultados.
Los hallazgos de JFrog resaltan una brecha operativa en la seguridad de MLOps. Muchas organizaciones carecen de una sólida integración de las prácticas de seguridad de IA/ML con estrategias de ciberseguridad más amplias, lo que genera posibles puntos ciegos. A medida que el aprendizaje automático y la inteligencia artificial continúan impulsando importantes avances en la industria, mantener los marcos, los conjuntos de datos y los modelos que impulsan estas innovaciones se vuelve primordial.