Aggiornamenti recenti Maggio 23rd, 2025 3:19 PM
partner
News Recenti
- Transparency Center Initiative di Kaspersky Lab: cosa significa per l’Italia
- M&S perde un terzo dei profitti a causa di un attacco informatico
- Spionaggio russo: scoperta una campagna attiva dal 2022
- I ruoli di default di AWS consentono compromissioni e movimento laterale
- ESET APT report: crescono gli attacchi russi, cinesi e nordcoreani
- Pwn2Own, a Berlino per la prima volta la categoria IA. I risultati delle giornate
Le falle di sicurezza nei toolkit ML più diffusi
La sicurezza dei toolkit ML continua a essere minacciata da una serie di vulnerabilità piuttosto diffuse. Un’analisi recente di JFrog, azienda specializzata nella sicurezza della catena di fornitura del software, ha rivelato una serie di debolezze presenti in 15 progetti open-source legati al mondo dei sistemi di apprendimento automatico (ML). Parliamo di falle che potrebbero compromettere sia server sia client.
Vulnerabilità di tutti i generi
Nel complesso, i ricercatori JFrog hanno individuato oltre venti vulnerabilità. Sfruttandole, i cybercriminali potrebbero prendere il controllo di componenti critiche dei sistemi ML, tra cui database e pipeline di addestramento. Una delle vulnerabilità individuate, CVE-2024-7340 (Weave ML), è una falla directory traversal. Questa fragilità permette agli utenti con pochi privilegi di accedere a file riservati eludendo le protezioni. Gli attacchi che la sfruttano vengono spesso sottovalutati rispetto ad altre minacce online ma sono in realtà altrettanto pericolosi.
Ci sono poi vulnerabilità legate a misure di accesso deboli o privilegi assegnati in modo errato. La prima tipologia (ZenML) permette agli utenti di ottenere autorizzazioni amministrative e manipolare il codice. La seconda, invece, si chiama CVE-2024-6507 (Deep Lake) ed è una vulnerabilità di tipo injection che consente ai malintenzionati di eseguire comandi di sistema su dataset remoti.
CVE-2024-45187 (Mage AI), grazie ai privilegi assegnati in modo errato, fa sì che utenti guest siano autorizzati ad eseguire codice arbitrario da remoto, anche dopo la loro cancellazione, per 30 giorni.
JFrog ha sottolineato che molte di queste falle possono portare a violazioni anche gravi. Questo perché i cybercriminali possono sfruttarle per accedere a dati, training e modelli. Una pipeline vulnerabile può permettere agli hacker di compromettere severamente i modelli ML, fare data poisoning o installare backdoor.
Servono protezioni per i toolkit ML
Le falle di cui abbiamo parlato sono state identificate in strumenti come Weave, ZenML, Deep Lake, Vanna.AI e Mage AI. Tutte consentono, potenzialmente, di accedere senza autorizzazione a dati sensibili e modelli ML.
Questo panorama di vulnerabilità dimostra quanto sia essenziale una protezione completa e aggiornata dei sistemi ML per contrastare proattivamente le minacce, prevenire eventuali attacchi e proteggere dati e modelli sensibili.
Condividi l'articolo
Una vulnerabilità di un plugin di WordPress mette a rischio più di 4 milioni di siti
Come si protegge dalle minacce un vendor che fa sicurezza IT
Articoli correlati
Altro in questa categoria
Approfondimenti
-
I ruoli di default di AWS consentono compromissioni e... I ricercatori di Aqua, firma di cybersecurity statunitense,... -
ESET APT report: crescono gli attacchi russi, cinesi e... Ieri ESET ha pubblicato l’ultimo APT report relativo... -
Pwn2Own, a Berlino per la prima volta la categoria IA. I... Dopo tre giorni di intenso hacking si è conclusa Pwn2Own,... -
Europa sotto attacco: aumentano le attività DDoS e dei... Il numero di attacchi DDoS e delle attività dei gruppi... -
Impennata degli attacchi automatizzati: i cybercriminali... Sono sempre di più gli attacchi automatizzati che...
Minacce recenti
Off topic
-
L’IA generativa unifica le interfacce di gestione e... Con l’avvento dell’IA generativa... -
Cyberinsurance: misurare il rischio umano può... Negli ultimi anni sempre più aziende stanno sottoscrivendo... -
Il machine learning di Kaspersky aumenta la capacità di... Grazie al machine learning, il Global Research and Analysis... -
I vertici aziendali non sono del tutto pronti alle nuove... Il 2024 è l’anno delle nuove normative di sicurezza:... -
Più della meta delle aziende geo-distribuite ha problemi... Una delle sfide principali delle aziende distribuite sul...
Post recenti
-
M&S perde un terzo dei profitti a causa di un attacco... La multinazionale britannica Mark & Spencer (M&S)... -
Spionaggio russo: scoperta una campagna attiva dal 2022 La CISA ha pubblicato un advisory di sicurezza dove... -
I ruoli di default di AWS consentono compromissioni e... I ricercatori di Aqua, firma di cybersecurity statunitense,...
-
ESET APT report: crescono gli attacchi russi, cinesi e... Ieri ESET ha pubblicato l’ultimo APT report relativo...
-
Pwn2Own, a Berlino per la prima volta la categoria IA. I... Dopo tre giorni di intenso hacking si è conclusa...
Ransomware: la serie
No posts found.
