Pesquisadores de segurança cibernética descobriram uma falha de segurança crítica em um provedor de inteligência artificial (IA)-como-serviço Replicate que poderia ter permitido que atores maliciosos obtivessem acesso a modelos de IA proprietários e informações sensíveis.
A Replicate utiliza uma ferramenta de código aberto chamada Cog para containerizar e empacotar modelos de machine learning que poderiam ser implantados em um ambiente auto-hospedado ou para a Replicate.
Wiz afirmou que criou um contêiner Cog falso e o enviou para o Replicate, acabando por utilizá-lo para obter execução remota de código na infraestrutura do serviço com privilégios elevados.