ช่องโหว่ Google Vertex AI SDK เปิดทางแฮกเกอร์เข้ายึดโมเดล AI

ทีมวิจัยด้านความปลอดภัยจาก Palo Alto Networks Unit 42 ได้ค้นพบช่องโหว่ร้ายแรงใน Google Cloud Vertex AI SDK สำหรับภาษา Python ซึ่งอาจทำให้ผู้โจมตีที่ไม่มีสิทธิ์เข้าถึงโปรเจกต์ของเหยื่อ สามารถแทรกแซงกระบวนการอัปโหลดโมเดล Machine Learning ได้สำเร็จ

ช่องโหว่นี้ถูกตั้งชื่อว่า Pickle in the Middle โดยทีมวิจัยได้รายงานไปยัง Google ผ่านโครงการ Bug Bounty และได้รับการยืนยันว่ายังไม่พบการโจมตีในโลกจริง

กลไกการโจมตีแบบ Bucket Squatting

หัวใจของการโจมตีนี้คือการใช้เทคนิคที่เรียกว่า Bucket Squatting โดยผู้ไม่หวังดีจะสร้าง Bucket บน Google Cloud Storage ที่มีชื่อตรงกับ Bucket ที่โมเดล Machine Learning ของเหยื่อถูกตั้งค่าให้อัปโหลดขึ้นไป

หาก Bucket เป้าหมายยังไม่มีอยู่จริง การสร้าง Bucket ปลอมขึ้นมาก่อนจะทำให้โมเดลของเหยื่อถูกส่งไปยังพื้นที่ที่ผู้โจมตีควบคุมแทน

ผลกระทบต่อความปลอดภัยของระบบคลาวด์

เมื่อโมเดลอยู่ในมือผู้โจมตี พวกเขาสามารถเรียกใช้โค้ดอันตรายภายในโครงสร้างพื้นฐานของ Google ได้โดยตรง ซึ่งอาจนำไปสู่การขโมยข้อมูล การทำลายระบบ หรือการโจมตีแบบ Supply Chain

หน่วยงานที่ใช้ Vertex AI SDK ในการพัฒนาและปรับใช้โมเดล AI โดยอัตโนมัติมีความเสี่ยงสูง โดยเฉพาะองค์กรที่ไม่ได้ตรวจสอบการมีอยู่ของ Bucket ก่อนเริ่มกระบวนการ

แนวทางการป้องกันและการอัปเดต

Google ได้ออกแพตช์แก้ไขช่องโหว่นี้ผ่านการอัปเดต Vertex AI SDK แล้ว นักพัฒนาที่ใช้ SDK เวอร์ชันเก่าควรอัปเดตทันที

นอกจากนี้ องค์กรควรตรวจสอบให้แน่ใจว่า Bucket ที่ใช้สำหรับอัปโหลดโมเดลถูกสร้างไว้ล่วงหน้าและมีสิทธิ์การเข้าถึงที่เข้มงวด รวมถึงการใช้หลักการ Least Privilege ในการกำหนดสิทธิ์

ความสำคัญของการตรวจสอบช่องโหว่ในคลาวด์

เหตุการณ์นี้สะท้อนให้เห็นถึงความสำคัญของการตรวจสอบความปลอดภัยในบริการคลาวด์อย่างต่อเนื่อง แม้แต่บริการยอดนิยมอย่าง Vertex AI ก็ยังมีจุดอ่อนที่อาจถูกโจมตีได้

องค์กรที่ใช้ระบบคลาวด์ควรมีทีมความปลอดภัยที่คอยติดตามช่องโหว่และอัปเดตซอฟต์แวร์อย่างสม่ำเสมอ เพื่อป้องกันการโจมตีที่อาจสร้างความเสียหายร้ายแรง

Reference

The Hacker News

หากสนใจสินค้า หรือต้องการคำปรึกษาเพิ่มเติม

💬 Line @monsteronline

☎️ Tel 02-026-6664

📩 Email [email protected]

🌐 ดูสินค้าเพิ่มเติม mon.co.th

แชทผ่าน LINE ดูสินค้าทั้งหมด