MLflow는 가장 취약한 오픈 소스 ML 플랫폼으로 식별되었습니다.
Weave의 디렉터리 순회 취약점은 미인가된 파일 액세스를 허용합니다.
ZenML Cloud의 액세스 제어 문제는 권한 상승 위험을 가중시킵니다.
최근의 머신 러닝(ML) 프레임워크 보안 분석 결과, ML 소프트웨어가 DevOps나 웹 서버와 같은 성숙한 범주보다 더 많은 보안 취약점에 노출된다는 것을 보여줍니다.
산업 전반에 걸쳐 머신 러닝의 증가하는 채택은 ML 시스템을 보호하는 것이 중요하다는 절박한 필요성을 강조합니다. 취약점은 미인가된 액세스, 데이터 유출 및 작업 저해로 이어질 수 있습니다.
JFrog의 보고서에 따르면, MLflow와 같은 ML 프로젝트는 중요한 취약성이 증가했습니다. 지난 몇 달 동안 JFrog는 15개의 오픈 소스 ML 프로젝트 전체에서 22개의 취약성을 발견했습니다. 이러한 취약성 중 두 가지 범주가 두드러집니다: 서버 측 구성요소를 공격하는 위협과 ML 프레임워크 내에서 권한 상승 위험.
JFrog가 식별한 취약성은 자주 사용되는 ML 워크플로에서 영향을 미치는 주요 구성요소에 영향을 미칠 수 있습니다. 이는 공격자가 종종 유연성으로 신뢰되는 도구를 악용하여 민감한 파일에 미인가된 액세스를 허용하거나 ML 환경 내에서 권한을 상승시킬 수 있게 합니다.
강조된 취약성 중 하나는 Weights & Biases(W&B)의 인기 있는 툴킷인 Weave에 관한 것으로, 이는 ML 모델 지표를 추적하고 시각화하는 데 도움을 주는 도구입니다. WANDB Weave 디렉터리 순회 취약점(CVE-2024-7340)은 저 권한의 사용자가 파일 시스템 전체에 걸쳐 임의의 파일에 액세스할 수 있게 합니다.
이 취약점은 파일 경로를 처리할 때 적절하지 않은 입력 검증으로 인해 발생하며, 공격자가 관리자 API 키 또는 다른 특권 정보를 포함할 수 있는 민감한 파일을 볼 수 있게 합니다. 이러한 침해는 권한 상승으로 이어져 공격자가 리소스에 미인가된 액세스를 허용하고 전체 ML 파이프라인의 보안을 침해할 수 있습니다.
