Aggiornamenti recenti Agosto 13th, 2025 11:24 AM
partner
News Recenti
- Transparency Center Initiative di Kaspersky Lab: cosa significa per l’Italia
- Cina contro Nvidia: dubbi sulla sicurezza dei chip AI e sospetti di backdoor
- Ondata di attacchi brute-force contro le VPN Fortinet, poi FortiManager
- Un invito Google Calendar bastava per prendere il controllo di Gemini
- CERT-AGID 2 – 8 agosto: rubati documenti d’identità a clienti di hotel italiani
- SonicWall: Akira non sfrutta uno zero-day, ma una falla del 2024
Le falle di sicurezza nei toolkit ML più diffusi
La sicurezza dei toolkit ML continua a essere minacciata da una serie di vulnerabilità piuttosto diffuse. Un’analisi recente di JFrog, azienda specializzata nella sicurezza della catena di fornitura del software, ha rivelato una serie di debolezze presenti in 15 progetti open-source legati al mondo dei sistemi di apprendimento automatico (ML). Parliamo di falle che potrebbero compromettere sia server sia client.
Vulnerabilità di tutti i generi
Nel complesso, i ricercatori JFrog hanno individuato oltre venti vulnerabilità. Sfruttandole, i cybercriminali potrebbero prendere il controllo di componenti critiche dei sistemi ML, tra cui database e pipeline di addestramento. Una delle vulnerabilità individuate, CVE-2024-7340 (Weave ML), è una falla directory traversal. Questa fragilità permette agli utenti con pochi privilegi di accedere a file riservati eludendo le protezioni. Gli attacchi che la sfruttano vengono spesso sottovalutati rispetto ad altre minacce online ma sono in realtà altrettanto pericolosi.
Ci sono poi vulnerabilità legate a misure di accesso deboli o privilegi assegnati in modo errato. La prima tipologia (ZenML) permette agli utenti di ottenere autorizzazioni amministrative e manipolare il codice. La seconda, invece, si chiama CVE-2024-6507 (Deep Lake) ed è una vulnerabilità di tipo injection che consente ai malintenzionati di eseguire comandi di sistema su dataset remoti.
CVE-2024-45187 (Mage AI), grazie ai privilegi assegnati in modo errato, fa sì che utenti guest siano autorizzati ad eseguire codice arbitrario da remoto, anche dopo la loro cancellazione, per 30 giorni.
JFrog ha sottolineato che molte di queste falle possono portare a violazioni anche gravi. Questo perché i cybercriminali possono sfruttarle per accedere a dati, training e modelli. Una pipeline vulnerabile può permettere agli hacker di compromettere severamente i modelli ML, fare data poisoning o installare backdoor.
Servono protezioni per i toolkit ML
Le falle di cui abbiamo parlato sono state identificate in strumenti come Weave, ZenML, Deep Lake, Vanna.AI e Mage AI. Tutte consentono, potenzialmente, di accedere senza autorizzazione a dati sensibili e modelli ML.
Questo panorama di vulnerabilità dimostra quanto sia essenziale una protezione completa e aggiornata dei sistemi ML per contrastare proattivamente le minacce, prevenire eventuali attacchi e proteggere dati e modelli sensibili.
Condividi l'articolo
Una vulnerabilità di un plugin di WordPress mette a rischio più di 4 milioni di siti
Come si protegge dalle minacce un vendor che fa sicurezza IT
Articoli correlati
Altro in questa categoria
Approfondimenti
-
Cisco svela un nuovo tipo di jailbreak AI: i guardrail non... I chatbot basati su modelli linguistici di grandi... -
SafePay, cresce la minaccia ransomware contro gli MSP Tra le minacce più recenti che stanno facendo tremare il... -
Attacchi DDoS ipervolumetrici, ancora numeri da record... Gli attacchi DDoS, compresi quelli ipervolumetrici,... -
Liste di dati sul dark web: una fonte inaffidabile per le... In una recente analisi, Group-IB ha approfondito il ruolo... -
IconAds: quando le app fantasma diventano portali... Recentemente il team Satori Threat Intelligence di HUMAN ha...
Minacce recenti
Off topic
-
L’IA generativa unifica le interfacce di gestione e... Con l’avvento dell’IA generativa... -
Cyberinsurance: misurare il rischio umano può... Negli ultimi anni sempre più aziende stanno sottoscrivendo... -
Il machine learning di Kaspersky aumenta la capacità di... Grazie al machine learning, il Global Research and Analysis... -
I vertici aziendali non sono del tutto pronti alle nuove... Il 2024 è l’anno delle nuove normative di sicurezza:... -
Più della meta delle aziende geo-distribuite ha problemi... Una delle sfide principali delle aziende distribuite sul...
Post recenti
-
Cina contro Nvidia: dubbi sulla sicurezza dei chip AI e... Le tensioni tra Stati Uniti e Cina si spostano sul... -
Ondata di attacchi brute-force contro le VPN Fortinet, poi... Una nuova campagna di attacchi informatici sta prendendo di... -
Un invito Google Calendar bastava per prendere il controllo... Una vulnerabilità in Google Calendar consentiva a un... -
CERT-AGID 2 – 8 agosto: rubati documenti d’identità a... La scorsa settimana il CERT-AGID ha rilevato e analizzato... -
SonicWall: Akira non sfrutta uno zero-day, ma una falla del... SonicWall ha smentito l’ipotesi che i recenti attacchi...
Ransomware: la serie
No posts found.