Các lỗ hổng được xác định trong các công cụ như ChuanhuChatGPT, Lunary, LocalAI và đã được báo cáo thông qua nền tảng Bug bounty Huntr của Protect AI.
Hai lỗ hổng nghiêm trọng nhất ảnh hưởng đến Lunary, một bộ công cụ sản xuất (production toolkit) cho các mô hình ngôn ngữ lớn (LLM), bao gồm:
- CVE-2024-7474 (CVSS 9,1): Lỗ hổng tham chiếu đối tượng trực tiếp không an toàn Insecure Direct Object Reference (IDOR) có thể cho phép người dùng đã xác thực xem hoặc xóa người dùng khác, dẫn đến truy cập dữ liệu trái phép và nguy cơ mất dữ liệu.
- CVE-2024-7475 (CVSS 9,1): Lỗ hổng kiểm soát truy cập không phù hợp cho phép kẻ tấn công cập nhật cấu hình SAML, từ đó có thể đăng nhập trái phép và truy cập thông tin nhạy cảm.
Ngoài ra, Lunary cũng phát hiện một lỗ hổng IDOR khác định danh CVE-2024-7473 (CVSS 7,5), cho phép kẻ tấn công cập nhật lời nhắc của người dùng khác bằng cách thao túng tham số do người dùng kiểm soát.
Lỗ hổng nghiêm trọng thứ ba liên quan đến lỗ hổng duyệt đường dẫn trong tính năng tải tệp lên của người dùng trên ChuanhuChatGPT định danh CVE-2024-5982 (CVSS 9,1), có thể dẫn đến thực thi mã tùy ý, tạo thư mục và làm lộ dữ liệu nhạy cảm.
Hai lỗ hổng đã được xác định trong LocalAI, một dự án mã nguồn mở cho phép người dùng thực thi các mô hình ngôn ngữ lớn (LLMs) trên máy chủ riêng, có khả năng cho phép kẻ tấn công thực thi mã tùy ý bằng cách tải lên tệp cấu hình độc hại (lỗ hổng CVE-2024-6983, CVSS 8,8) và đoán khóa API hợp lệ bằng cách phân tích thời gian phản hồi của máy chủ (lỗ hổng CVE-2024-7010, CVSS 7,5).
Protect AI cho biết: “Lỗ hổng này cho phép kẻ tấn công thực hiện một cuộc tấn công theo thời gian, đây là một loại tấn công kênh kề. Bằng cách đo thời gian xử lý các yêu cầu với các khóa API khác nhau, kẻ tấn công có thể suy ra khóa API chính xác từng ký tự một”.
Một lỗ hổng thực thi mã từ xa cũng đã được phát hiện, ảnh hưởng đến Thư viện Deep Java (DJL), bắt nguồn từ lỗi ghi đè tệp tùy ý trong hàm giải nén (untar) (CVE-2024-8396, CVSS 7,8).
Thông tin này được đưa ra khi NVIDIA phát hành bản vá để khắc phục lỗ hổng Path traversal trong framework NeMo generative AI (CVE-2024-0129, CVSS 6,3) có thể dẫn đến thực thi mã và giả mạo dữ liệu.
Người dùng được khuyến nghị nên cập nhật bản cài đặt của mình lên phiên bản mới nhất để bảo vệ chuỗi cung ứng AI/ML và chống lại các cuộc tấn công tiềm ẩn.
Bá Phúc
07:00 | 02/12/2024
16:00 | 30/10/2024
08:00 | 05/11/2024
16:00 | 14/02/2025
09:00 | 24/10/2024
08:00 | 21/02/2025
13:00 | 14/02/2025
Các trang web giả mạo quảng cáo Google Chrome đã được sử dụng để phân phối trình cài đặt độc hại cho một loại trojan truy cập từ xa có tên là ValleyRAT.
10:00 | 14/02/2025
Một chiến dịch phần mềm độc hại mới có tên là SparkCat đã tận dụng một loạt ứng dụng giả mạo trên cửa hàng ứng dụng của Apple và Google để đánh cắp Seed Phrase (một tập hợp các chữ cái cho phép người dùng truy cập, hoặc khôi phục các ví điện tử đã tạo trước đó) của nạn nhân.
22:00 | 31/01/2025
Apple vừa phát đi thông báo khẩn cấp, khuyến cáo người dùng iPhone nên cập nhật phần mềm ngay lập tức để vá lỗi và bảo vệ dữ liệu cá nhân.
09:00 | 30/12/2024
Năm 2024, các cuộc tấn công mạng diễn ra trên mọi lĩnh vực, từ y tế đến tài chính, ngân hàng.... Tin tặc không chỉ đánh cắp dữ liệu cá nhân, mà còn thực hiện các cuộc tấn công ransomware tinh vi, đe dọa trực tiếp đến sự hoạt động của các cơ sở y tế. Nguy hiểm hơn là sự tinh vi và quy mô ngày càng tăng của các cuộc tấn công gián điệp của tin tặc Trung Quốc nhằm vào Hoa Kỳ và các đồng minh. Các chuyên gia tin rằng đây là một động thái chiến lược của Bắc Kinh nhằm có khả năng phá vỡ hoặc phá hủy các dịch vụ quan trọng trong trường hợp căng thẳng địa chính trị leo thang hoặc xung đột quân sự.
22:00 | 30/01/2025|Giải pháp khác
08:00 | 29/01/2025|Công nghệ thông tin
Nhóm tin tặc UNC3886 được cho là có liên quan đến Trung Quốc đã tấn công các router MX đã hết vòng đời của Juniper Networks nhằm triển khai cửa hậu tuỳ chỉnh, cho thấy khả năng xâm nhập hạ tầng mạng nội bộ.
14:00 | 21/03/2025
