Er is momenteel veel hype en focus rond AI. AI is alles waar iedereen tegenwoordig over kan praten, maar een recent rapport van Oligo Security is erin geslaagd ons uit de wolken te halen. Volgens het rapport had de LLAMA LLM door Meta een beveiligingsfout waarmee hackers zijn systemen zouden kunnen overtreden.
Beveiligingsfout
Meta’s lama bestaat uit een reeks grote taalmodellen die helpen bij het begrijpen en genereren van mensachtige input. Dit is vergelijkbaar met andere LLM’s die u misschien kent, inclusief Google’s Gemini of Openai’s Chatgpt.
Meta voedt sommige van zijn AI -services ermee, waardoor gebruikers vragen kunnen stellen in de natuurlijke taal om vragen te stellen.
Het Oligo Security Report onthulde een bug die in september vorig jaar in september vorig jaar werd gevolgd als CVE-2024-50050. Onderzoekers ontdekten deze bug in een component genaamd Lama Stack. Als hackers deze bug hadden geëxploiteerd, zouden ze de systemen van Meta’s kunnen overtreden. Het zou hackers in staat hebben gesteld om code op afstand uit te voeren, waardoor het mogelijk gevaarlijke malware is. Blijkbaar komt dit omdat Meta Pickle had gekozen als een serialisatie -indeling voor socketcommunicatie.
Volgens Oligo Security Researcher Avi Lumelsky, “De getroffen versies van meta-llama zijn kwetsbaar voor deserialisering van niet-vertrouwde gegevens, wat betekent dat een aanvaller willekeurige code kan uitvoeren door kwaadaardige gegevens te verzenden die deserialiseren.”
Probleem opgelost
Hoe eng dit ook klinkt, gelukkig is het probleem opgelost. Volgens de beveiligingsonderzoekers hebben ze in eerste instantie meta in september 2024 gewaarschuwd voor de beveiligingsfout. Meta verspilde geen tijd om het probleem aan te pakken en duwden een oplossing in oktober. Dit betekent dat de LLAMM -llm van Meta veilig is, althans voor nu en van deze specifieke kwetsbaarheid.
Naast de patch heeft Meta een beveiligingsadvies uitgebracht waar ze de gemeenschap hebben geïnformeerd dat het een externe code -uitvoeringsrisico had opgelost. Het bedrijf onthulde ook dat de oplossing voor het probleem was om over te schakelen naar het JSON -formaat.
Het benadrukt echter een probleem waar het meest vanzelf niet veel over heeft nagedacht. Zo magisch als het gebruik van AI voelt, het is nog steeds een stukje (relatief nieuwe) technologie. Als zodanig is het onderworpen aan dezelfde kwetsbaarheden en bugs als elk ander stukje software.
Meta is niet alleen als het gaat om fouten in zijn AI -systemen die een inbreuk op de beveiliging zouden hebben veroorzaakt. Volgens beveiligingsonderzoek Benjamin Fesch had zelfs de chatgpt crawler van Openai een fout die had kunnen worden gebruikt om DDOS -aanvallen te verspreiden.
