Aggiornamenti recenti Settembre 12th, 2025 4:31 PM
partner
News Recenti
- Transparency Center Initiative di Kaspersky Lab: cosa significa per l’Italia
- L’IA diventa arma e vittima per il cybercrimine: il report di Crowdstrike
- Report Acronis: il ransomware rimane la minaccia principale grazie a phishing basato su IA
- Google e la privacy: sanzione multimilionaria per informazioni fuorvianti
- GPUGate, una nuova tecnica che sfrutta Google Ads e GitHub per distribuire malware
- Una vulnerabilità critica di SAP S/4HANA è stata sfruttata dai cybecriminali
Le falle di sicurezza nei toolkit ML più diffusi
La sicurezza dei toolkit ML continua a essere minacciata da una serie di vulnerabilità piuttosto diffuse. Un’analisi recente di JFrog, azienda specializzata nella sicurezza della catena di fornitura del software, ha rivelato una serie di debolezze presenti in 15 progetti open-source legati al mondo dei sistemi di apprendimento automatico (ML). Parliamo di falle che potrebbero compromettere sia server sia client.
Vulnerabilità di tutti i generi
Nel complesso, i ricercatori JFrog hanno individuato oltre venti vulnerabilità. Sfruttandole, i cybercriminali potrebbero prendere il controllo di componenti critiche dei sistemi ML, tra cui database e pipeline di addestramento. Una delle vulnerabilità individuate, CVE-2024-7340 (Weave ML), è una falla directory traversal. Questa fragilità permette agli utenti con pochi privilegi di accedere a file riservati eludendo le protezioni. Gli attacchi che la sfruttano vengono spesso sottovalutati rispetto ad altre minacce online ma sono in realtà altrettanto pericolosi.
Ci sono poi vulnerabilità legate a misure di accesso deboli o privilegi assegnati in modo errato. La prima tipologia (ZenML) permette agli utenti di ottenere autorizzazioni amministrative e manipolare il codice. La seconda, invece, si chiama CVE-2024-6507 (Deep Lake) ed è una vulnerabilità di tipo injection che consente ai malintenzionati di eseguire comandi di sistema su dataset remoti.
CVE-2024-45187 (Mage AI), grazie ai privilegi assegnati in modo errato, fa sì che utenti guest siano autorizzati ad eseguire codice arbitrario da remoto, anche dopo la loro cancellazione, per 30 giorni.
JFrog ha sottolineato che molte di queste falle possono portare a violazioni anche gravi. Questo perché i cybercriminali possono sfruttarle per accedere a dati, training e modelli. Una pipeline vulnerabile può permettere agli hacker di compromettere severamente i modelli ML, fare data poisoning o installare backdoor.
Servono protezioni per i toolkit ML
Le falle di cui abbiamo parlato sono state identificate in strumenti come Weave, ZenML, Deep Lake, Vanna.AI e Mage AI. Tutte consentono, potenzialmente, di accedere senza autorizzazione a dati sensibili e modelli ML.
Questo panorama di vulnerabilità dimostra quanto sia essenziale una protezione completa e aggiornata dei sistemi ML per contrastare proattivamente le minacce, prevenire eventuali attacchi e proteggere dati e modelli sensibili.
Condividi l'articolo
Una vulnerabilità di un plugin di WordPress mette a rischio più di 4 milioni di siti
Come si protegge dalle minacce un vendor che fa sicurezza IT
Articoli correlati
Altro in questa categoria
Approfondimenti
-
L’IA diventa arma e vittima per il cybercrimine: il... L’intelligenza artificiale diventa non solo... -
Report Acronis: il ransomware rimane la minaccia principale... Il ransomware continua a dilagare e rimane la minaccia... -
Migrazione a Windows 11: le aziende devono affrontare molte... Il prossimo 14 ottobre terminerà ufficialmente il supporto... -
IoT, i dispositivi connessi sono ancora troppo esposti alle... Il mondo dell’IoT rimane uno dei più esposti alle... -
Cisco svela un nuovo tipo di jailbreak AI: i guardrail non... I chatbot basati su modelli linguistici di grandi...
Minacce recenti
Off topic
-
L’IA generativa unifica le interfacce di gestione e... Con l’avvento dell’IA generativa... -
Cyberinsurance: misurare il rischio umano può... Negli ultimi anni sempre più aziende stanno sottoscrivendo... -
Il machine learning di Kaspersky aumenta la capacità di... Grazie al machine learning, il Global Research and Analysis... -
I vertici aziendali non sono del tutto pronti alle nuove... Il 2024 è l’anno delle nuove normative di sicurezza:... -
Più della meta delle aziende geo-distribuite ha problemi... Una delle sfide principali delle aziende distribuite sul...
Post recenti
-
L’IA diventa arma e vittima per il cybercrimine: il... L’intelligenza artificiale diventa non solo...
-
Report Acronis: il ransomware rimane la minaccia principale... Il ransomware continua a dilagare e rimane la minaccia...
-
Google e la privacy: sanzione multimilionaria per... Google dovrà pagare una multa salata da 425 milioni per... -
GPUGate, una nuova tecnica che sfrutta Google Ads e GitHub... I ricercatori di Arctic Wolf hanno scoperto GPUGate, una... -
Una vulnerabilità critica di SAP S/4HANA è stata... I ricercatori di Security Bridge hanno scoperto che una...
Ransomware: la serie
No posts found.