TorchServe漏洞威胁大型企业的AI基础设施
关键要点
多家大公司如微软、英特尔、谷歌、沃尔玛和亚马逊的TorchServe开源包存在严重漏洞。涉及两个关键漏洞CVE202343654和CVE20221471,可能导致远程代码执行和未授权的远程访问。这些漏洞可能导致敏感数据被攻击者访问和篡改,影响应用程序的信任和可信度。强烈建议立即更新到最新的TorchServe版本,以修复这些漏洞。据SecurityWeek报道,数家大型公司的人工智能基础设施服务器可能会因TorchServe开源包中的漏洞被完全劫持。受影响的TorchServe实例数量达到数万台,这两个关键漏洞分别被追踪为CVE202343654和CVE20221471。根据Oligo研究人员的发现,这些漏洞可能被用于远程代码执行,以及存在的默认配置错误可能允许远程未授权访问。这种情况可能使得攻击者可以进一步渗透系统。
天行加速器下载Oligo表示:“使这些漏洞更加危险的是,当攻击者利用模型服务服务器时,他们可以访问并篡改敏感数据流动,这会损害应用程序的信任和可信度。”他们还指出,利用这些漏洞进行入侵时可能无需横向移动。
为了加强安全性,研究人员强烈建议用户立即应用在8月份发布的最新TorchServe版本,该版本已经解决了这些漏洞问题。继续使用过时版本的TorchServe将面临更高的安全风险。
