Pesquisadores de segurança cibernética descobriram uma falha crítica de segurança em um provedor de inteligência artificial como serviço (AIaaS) chamado Replicate, que poderia ter permitido que atores maliciosos obtivessem acesso a modelos de IA patenteados e informações sensíveis.

A empresa de segurança na nuvem Wiz afirmou em um relatório publicado recentemente que a exploração dessa vulnerabilidade teria permitido acesso não autorizado aos prompts de AI e resultados de todos os clientes da plataforma Replicate.

O problema decorre do fato de que os modelos de IA são geralmente embalados em formatos que permitem a execução de código arbitrário, o que um atacante poderia explorar para realizar ataques entre inquilinos por meio de um modelo malicioso.

Replicate utiliza uma ferramenta de código aberto chamada Cog para containerizar e empacotar modelos de machine learning que podem ser implantados em um ambiente auto-hospedado ou na própria Replicate.

Os pesquisadores da Wiz afirmaram que criaram um container Cog falso e o enviaram para o Replicate, conseguindo assim executar código remotamente na infraestrutura do serviço com privilégios elevados.

A técnica de ataque desenvolvida pela empresa explorou uma conexão TCP já estabelecida associada a uma instância de servidor Redis dentro do cluster Kubernetes hospedado na Google Cloud Platform para injetar comandos arbitrários.

Além disso, com o servidor Redis centralizado sendo utilizado como uma fila para gerenciar múltiplos pedidos de clientes e suas respostas, os pesquisadores descobriram que ele poderia ser abusado para facilitar ataques entre inquilinos, manipulando o processo para inserir tarefas fraudulentas que poderiam afetar os resultados dos modelos de outros clientes.

Essas manipulações fraudulentas não apenas ameaçam a integridade dos modelos de IA, mas também representam riscos significativos para a precisão e confiabilidade das saídas impulsionadas pela IA.

A falha, que foi divulgada de forma responsável em janeiro de 2024, foi corrigida pela Replicate. Não há evidências de que a vulnerabilidade tenha sido explorada para comprometer dados de clientes.

A divulgação ocorre pouco mais de um mês depois de a Wiz detalhar riscos já corrigidos em plataformas como Hugging Face que poderiam permitir que atores maliciosos escalassem privilégios, obtivessem acesso entre inquilinos aos modelos de outros clientes e até assumissem os pipelines de integração contínua e implantação contínua (CI/CD).

“Modelos maliciosos representam um grande risco para sistemas de IA, especialmente para os provedores de AIaaS, porque os atacantes podem aproveitar esses modelos para realizar ataques entre inquilinos,” concluíram os pesquisadores.

“O impacto potencial é devastador, uma vez que os atacantes podem ter acesso aos milhões de modelos de IA e aplicativos privados armazenados nos provedores de AIaaS.”