Google ได้แก้ไขช่องโหว่สองรายการในแพลตฟอร์ม Vertex AI ที่อาจนำไปสู่การยกระดับสิทธิ์ และการขโมยข้อมูลโมเดล Machine learning (ML) ที่ทำการ Fine-Tuned มาแล้ว และ Large Language Models (LLMs) ออกไปได้ ตามรายงานของ Unit 42 จาก Palo Alto Networks เมื่อวันอังคารที่ผ่านมา (12 พฤศจิกายน 2024)
Vertex AI เป็นแพลตฟอร์มที่จัดเตรียมเครื่องมือ และฟีเจอร์สำหรับนักพัฒนา เพื่อ Training และ Deploy โมเดล AI โดยใช้ทรัพยากรของ Google Cloud
หนึ่งในฟีเจอร์ที่สำคัญคือ Vertex AI Pipelines ซึ่งเป็นฟีเจอร์ที่ช่วยให้นักพัฒนาสามารถสร้าง Custom training jobs เพื่อปรับแต่งโมเดลได้อย่างยืดหยุ่น
เนื่องจากการสร้าง Custom training jobs มีลักษณะคล้ายกับการรันโค้ด นักวิจัยพบว่าฟีเจอร์นี้อาจถูกผู้ไม่หวังดีนำไปใช้ในทางที่ผิดเพื่อรันคำสั่งโดยไม่ได้รับอนุญาต นอกจากนี้ยังระบุว่า Custom training jobs เหล่านี้ถูกรันด้วยสิทธิ์ "service agent" ซึ่งให้สิทธิ์การเข้าถึงที่มากเกินจำเป็นในการเริ่มต้น
นักวิจัยพยายามใช้สิทธิ์ service agent ของ Custom training jobs โดยการสร้าง Custom image ที่จะเปิด reverse shell เมื่อ Custom jobs ทำงาน ส่งผลให้สามารถยกระดับสิทธิ์ของผู้ใช้งานไปเป็นระดับ 'AI Platform Custom Code Service Agent' ได้ในที่สุด
ด้วยสิทธิ์ระดับนี้ นักวิจัยสามารถเข้าถึง Metadata service และ BigQuery tables ทั้งหมด, รับข้อมูล Service credentials, Extract สคริปต์ user-data, แสดงรายการบัญชี service accounts ทั้งหมด, สร้าง, ลบ, อ่าน และเขียนข้อมูลใน Storage Buckets ได้ทั้งหมด รวมถึงการดำเนินการอื่น ๆ อีกจำนวนมาก นอกจากนี้ยังสามารถยกระดับการเข้าถึงเพิ่มเติมโดยการใช้ Script ของ user-data เพื่อดูข้อมูลการสร้าง Virtual Machine และดึงข้อมูล Metadata ที่เก็บ Artifactory ภายในของ Google Cloud Platform ได้ตามที่นักวิจัยระบุไว้
นักวิจัยระบุว่า "เราสามารถใช้ Metadata เพื่อเข้าถึง GCP repositories ภายใน และดาวน์โหลด image ที่ไม่มีสิทธิ์ในการใช้งานใน service account แม้ว่าจะสามารถเข้าถึง GCP repositories ภายในที่ถูกจำกัดได้ แต่ยังไม่สามารถประเมินขอบเขตของช่องโหว่ที่ค้นพบได้ เนื่องจากสิทธิ์ใน repository นี้ถูกกำหนดสิทธิ์เป็น 'repository level' "
การใช้โมเดลที่ไม่ถูกต้อง อาจนำไปสู่การขโมยข้อมูล AI โมเดลในวงกว้าง
ช่องโหว่อีกหนึ่งรายการที่ Unit 42 ค้นพบ และได้รับการแก้ไขโดย Google อาจนำไปสู่การรั่วไหลของโมเดล LLM และ ML ผ่านการปรับใช้โมเดลที่เป็นอันตราย ซึ่งถูกออกแบบมาเพื่อสร้าง Reverse Shell ผู้ไม่หวังดีสามารถแก้ไขโมเดลที่ถูกต้อง และเผยแพร่ใน open-source repository เพื่อให้ผู้ใช้งานที่ไม่ได้ระมัดระวังนำไปใช้งาน
Unit 42 ทดสอบผลกระทบที่อาจเกิดขึ้นจากสถานการณ์ดังกล่าวใน test Vertex AI environment และพบว่าโมเดลที่เป็นอันตรายของพวกเขา ได้รับสิทธิ์การเข้าถึงแบบ read-only แต่พวกเขาสามารถ Lateral Movement จาก Google Cloud Platform ไปยัง Kubernetes โดยการรวบรวมข้อมูลเกี่ยวกับ resources ของโปรเจ็กต์ และจะได้รับข้อมูล Cluster Credentials ในท้ายที่สุด
โดยการใช้สิทธิ์การเข้าถึงที่จำกัดในการสำรวจ และตรวจสอบ resources, assets และสถาปัตยกรรมของ environment ที่ถูกโจมตี นักวิจัยสามารถค้นหา, ระบุ และดึง Image ของโมเดลทั้งหมดที่เก็บอยู่ใน environment นั้นได้ พวกเขายังสามารถเข้าถึง Buckets ที่มีไฟล์ Adapter ซึ่งอาจเก็บรวบรวมข้อมูลที่สำคัญ และข้อมูลเฉพาะสำหรับ LLM ที่ทำการ Fine-Tuning ได้อีกด้วย
งานวิจัยของนักวิจัยเน้นย้ำถึงความเสี่ยงจากการปรับใช้โมเดล AI ที่ไม่น่าเชื่อถือบนแพลตฟอร์ม เช่น Vertex AI และได้แนะนำให้ผู้ใช้งานตรวจสอบให้แน่ใจว่ามีการจำกัดการปรับใช้โมเดลใหม่ในโปรเจ็กต์ที่มีความสำคัญอย่างเหมาะสม และยังแนะนำให้แยกระบบทดสอบสำหรับการปรับใช้โมเดลใหม่ให้ดีขึ้นจากระบบการใช้งานจริง และให้ตรวจสอบ และยืนยันโมเดลของ third-party อย่างเหมาะสมก่อนการปรับใช้งาน
ที่มา : scworld
You must be logged in to post a comment.