Недавно опубликованный отчет указывает на 22 новых уязвимости в инфраструктуре искусственного интеллекта и машинного обучения, охватывающих 40 CVE. Эти проблемы представляют серьезные угрозы для безопасности, включая критические уязвимости, которые могут полностью обойти защиту моделей.
Объем угроз для ML
Анализ уязвимостей охватывает четыре ключевые области: противостояние ML, безопасность агентов, цепочка поставок и инструкция по подсказкам. Среди наиболее серьезных угроз — обход блокировок в сканере моделей HuggingFace Hub, который достигает максимального балла CVSS 10.0. Не менее важными являются уязвимости в Flowise и MLflow, где были зафиксированы критические ошибки, позволяющие несанкционированный доступ и удаленное выполнение кода.
Список уязвимостей и их влияние
Из 22 advisories девять получили уровень критической опасности, среди которых:
- CVE-2026-30820 – уязвимость Flowise, которая позволяет обходить аутентификацию.
- CVE-2026-2635 и CVE-2026-2033 – связанные с MLflow, где установлены хардкодированные учетные данные.
- CVE-2026-22778 – уязвимость vLLM к удаленному выполнению кода через переполнение буфера.
Необходящие меры по безопасности должны включать применение новых правил Sigma для обнаружения этих атак.
Практические выводы для IT-специалистов
Для разработчиков и специалистов по кибербезопасности это предупреждение должно служить стимулом к тщательной проверке используемых инструментов и библиотек. Внедрение обновлений и патчей несет критическую важность, особенно для тех, кто работает в сфере машинного обучения и AI, где безопасность жизненно важна для защиты этих и алгоритмов.
Перспективы
В ближайшие недели ожидается дальнейшее раскрытие специфичных рекомендаций по уменьшению риска и повышению безопасности в области AI и ML.
The post Обнаружены 22 уязвимости в инфраструктуре AI и ML — 40 CVE appeared first on iTech News.