可造成恣意代码口头 模型紧缩器现满分破绽 英特尔AI
据Info risk today信息,英特尔公司的人工默认模型紧缩软件Neural Compressor 中存在一个最初级别的破绽,该破绽在 CVSS 的评分为满分10分,黑客可以在运转受影响版本的系统上口头恣意代码。
Neural Compressor 软件可协助公司缩君子工默认模型所需的内存量,同时降落缓存失落率和经常使用神经网络的计算老本,协助系统成功更高的推理性能。公司经常使用开源 Python 库在不同类型的配件设施上部署人工默认运行,包含那些计算才干有限的设施(如移动设施)。
英特尔没有说明有多少公司经常使用该软件,也没有说明受影响的用户数量,称该破绽只影响经常使用 2.5.0 之前版本的用户。
在英特尔上周发布的 41 份安保通告中,该破绽被追踪为 CVE-2024-22476,源于输入验证不当或未对用户输入启动消毒,黑客无需任何不凡权限或用户交互即可远程应用该破绽,对数据的隐秘性、完整性和可用性造成很大影响。
除此以外,还有另一个破绽被追踪为 CVE-2024-21792,重大水平为中等,是一个审核期间、经常使用期间破绽,或者会让黑客失掉未经授权的信息。黑客须要经过本地验证访问存在破绽的系统才干应用该破绽。
英特尔示意,一个外部安保实体提交了该破绽报告,但没有说明团体或公司的身份。目前,英特尔曾经发布了针对上述两个 Neural Compressor 破绽的修复程序。
去年,钻研人员在大型言语模型中发现了几十个破绽,这些破绽或者造成操纵实时对话、自我流传零点击破绽以及应用幻觉流传恶意软件。
经常使用这种软件作为外围组件来构建和支持人工默认产品的公司或者会参与破绽的影响,英特尔就是一个例子。一个月前,来自 Wiz 的钻研人员在盛行的人工默认运行开发商 HuggingFace 上发现了现已缓解的破绽,准许攻打者窜改其注册表上的模型,甚至向其中参与恶意模型。