വിദൂര മെഷീൻ ലേണിംഗ് മോഡൽ മോഷണവും വിഷബാധയും MLflow ദുർബലത പ്രാപ്തമാക്കുന്നു
ജനറേറ്റീവ് ആർട്ടിഫിഷ്യൽ ഇന്റലിജൻസിന് (എഐ) ഇത് ഒരു നിർണായക വർഷമാണ്. ബിസിനസ്സ് പ്രക്രിയകൾ കൂടുതൽ കാര്യക്ഷമമാക്കുന്നതിന് സാങ്കേതികവിദ്യ എത്ര ശക്തമാണെന്ന് വലിയ ഭാഷാ മോഡലുകളുടെ (എൽഎൽഎം) റിലീസ് പ്രദർശിപ്പിച്ചു. ധാരാളം ഓർഗനൈസേഷനുകൾ ഇപ്പോൾ ജനറേറ്റീവ് ആർട്ടിഫിഷ്യൽ ഇന്റലിജൻസ് സ്വീകരിക്കാനും സ്വന്തം ഡാറ്റാ സെറ്റുകളിൽ മോഡലുകൾ പരിശീലിപ്പിക്കാനുമുള്ള ഓട്ടത്തിലാണ്.
ആർട്ടിഫിഷ്യൽ ഇന്റലിജൻസ് മോഡലുകൾ വികസിപ്പിക്കുകയും പരിശീലിപ്പിക്കുകയും ചെയ്യുന്നത് ചെലവേറിയ ശ്രമമാണ്, മാത്രമല്ല അവ ഒരു കമ്പനിയുടെ ഏറ്റവും മൂല്യവത്തായ ആസ്തികളിലൊന്നായി എളുപ്പത്തിൽ മാറും. അതിനാൽ ഈ മോഡലുകൾ മോഷണത്തിനും മറ്റ് ആക്രമണങ്ങൾക്കും ഇരയാകുമെന്നും അവയ്ക്ക് ആതിഥേയത്വം വഹിക്കുന്ന സംവിധാനങ്ങൾക്ക് ശക്തമായ സുരക്ഷാ പരിരക്ഷകളും നയങ്ങളും ഉണ്ടായിരിക്കണമെന്നും ഓർമ്മിക്കേണ്ടത് പ്രധാനമാണ്.
ഓപ്പൺ സോഴ്സ് മെഷീൻ-ലേണിംഗ് ലൈഫ് സൈക്കിൾ പ്ലാറ്റ്ഫോമായ എംഎൽഫ്ലോയിൽ അടുത്തിടെയുണ്ടായ ഒരു ദുർബലത, എംഎൽഫ്ലോ പ്രവർത്തിക്കുന്ന അതേ മെഷീനിൽ നിന്ന് ഒരു ഡവലപ്പർ ഇന്റർനെറ്റിലെ ക്രമരഹിതമായ വെബ്സൈറ്റ് സന്ദർശിക്കുമ്പോൾ ആക്രമണകാരികൾക്ക് സെൻസിറ്റീവ് പരിശീലന ഡാറ്റ മോഷ്ടിക്കാനോ വിഷം കലർത്താനോ എത്ര എളുപ്പമാണെന്ന് എടുത്തുകാണിക്കുന്നു. സിവിഇ-2023-43472 എന്ന് ട്രാക്കുചെയ്ത ഈ ന്യൂനത എംഎൽഫ്ലോ 2.9.0 ൽ പരിഹരിച്ചു.
Localhost attacks via rogue JavaScript code
ഒരു കമ്പ്യൂട്ടറിന്റെ ആന്തരിക ഹോസ്റ്റ് നാമമായ ലോക്കൽ ഹോസ്റ്റുമായി ബന്ധിപ്പിച്ചിരിക്കുന്ന സേവനങ്ങൾ ഇന്റർനെറ്റിൽ നിന്ന് ലക്ഷ്യമിടാൻ കഴിയില്ലെന്ന് പല ഡവലപ്പർമാരും വിശ്വസിക്കുന്നു. എന്നിരുന്നാലും, ഇത് തെറ്റായ അനുമാനമാണെന്ന് കോൺട്രാസ്റ്റ് സെക്യൂരിറ്റിയിലെ മുതിർന്ന ആപ്ലിക്കേഷൻ സുരക്ഷാ ഗവേഷകനായ ജോസഫ് ബീറ്റൺ പറയുന്നു, അടുത്തിടെ ഡെഫ്ക്യാമ്പ് സുരക്ഷാ കോൺഫറൻസിൽ പ്രാദേശിക ഹോസ്റ്റ് സേവനങ്ങളിലൂടെ ഡെവലപ്പർ പരിതസ്ഥിതികളെ ആക്രമിക്കുന്നതിനെക്കുറിച്ച് ഒരു പ്രസംഗം നടത്തി.
പ്രാദേശികമായി ആ ആപ്ലിക്കേഷനുകൾ വെളിപ്പെടുത്തുന്ന വികസന ഇന്റർഫേസുകളിലെ അല്ലെങ്കിൽ എപിഐകളിലെ സവിശേഷതകൾ ചൂഷണം ചെയ്യാൻ വിദൂര ആക്രമണകാരികളെ അനുവദിക്കുന്ന ക്വാർക്കസ് ജാവ ചട്ടക്കൂടിലും എംഎൽഫ്ലോയിലും ബീറ്റൺ അടുത്തിടെ ഗുരുതരമായ ദുർബലതകൾ കണ്ടെത്തി. ആക്രമണങ്ങൾക്ക് കമ്പ്യൂട്ടർ ഉപയോക്താവ് അവരുടെ ബ്രൗസറിൽ ആക്രമണകാരി നിയന്ത്രിത വെബ്സൈറ്റ് അല്ലെങ്കിൽ ആക്രമണകാരി പ്രത്യേകമായി രൂപകൽപ്പന ചെയ്ത പരസ്യങ്ങൾ സ്ഥാപിക്കാൻ കഴിയുന്ന നിയമാനുസൃതമായ സൈറ്റ് സന്ദർശിക്കേണ്ടതുണ്ട്.
ഡ്രൈവ്-ബൈ ആക്രമണങ്ങൾ വർഷങ്ങളായി നിലവിലുണ്ട്, പക്ഷേ ഒരു ആപ്ലിക്കേഷനിലെ ക്രോസ്-സൈറ്റ് റിക്വസ്റ്റ് ഫോർജറി (സിഎസ്ആർഎഫ്) ദുർബലതയുമായി സംയോജിപ്പിക്കുമ്പോൾ അവ ശക്തമാണ്. മുൻകാലങ്ങളിൽ ഉപയോക്താക്കളുടെ ഹോം റൂട്ടറുകളുടെ ഡിഎൻഎസ് ക്രമീകരണങ്ങൾ ഹൈജാക്ക് ചെയ്യാൻ വെബ്സൈറ്റുകളിൽ സ്ഥാപിച്ച ക്ഷുദ്ര പരസ്യങ്ങളിലൂടെ ഹാക്കർമാർ ഡ്രൈവ്-ബൈ ആക്രമണങ്ങൾ ഉപയോഗിച്ചിരുന്നു. സാധാരണയായി, ബ്രൗസറുകൾ ജാവാസ്ക്രിപ്റ്റ് കോഡിനെ സ്ക്രിപ്റ്റിന്റെ അതേ ഉത്ഭവത്തിൽ (ഡൊമെയ്ൻ) നിന്നുള്ള വിഭവങ്ങളിലേക്ക് അഭ്യർത്ഥനകൾ നടത്താൻ അനുവദിക്കുന്നു. ക്രോസ്-ഒറിജിൻ റിസോഴ്സ് ഷെയറിംഗ് (സിഒആർഎസ്) എന്ന് വിളിക്കുന്ന ഒരു പ്രത്യേക സംവിധാനം ഈ നിയന്ത്രണത്തെ മറികടക്കാനും ടാർഗെറ്റ് സെർവർ പ്രത്യേകമായി അനുവദിക്കുകയാണെങ്കിൽ വ്യത്യസ്ത ഉറവിടങ്ങളിലുടനീളം അഭ്യർത്ഥനകൾ നടത്താൻ സ്ക്രിപ്റ്റുകളെ അനുവദിക്കാനും കഴിയും.
Experienced Researcher with a demonstrated history of working in the Deep Learning, Computer Vision
