根據 Oligo 的 Avi Lumelsky 和 X Elbaz 報道,惡意駭客攻擊了開源 AI 框架 Ray 的開發環境,並將其改造為全球加密劫持機器人。
Ray,也被稱為“人工智慧版 Kubernetes”,存在一個 API 漏洞,可能允許攻擊者在未經身份驗證的情況下遠端執行程式碼。據 Oligo 稱,目前有超過 20 萬台 Ray 伺服器公開部署在網路上,其中包括新創公司、研究機構和雲端人工智慧環境中的伺服器。
攻擊者利用作業提交 API 中的漏洞,透過儀表板提交詐騙任務,攻擊並劫持 NVIDIA A100 GPU 資源,並在 GitLab 和 GitHub 上進行操作。
該漏洞(CVE-2023-48022)尚未完全修復,GitHub 已採取措施刪除違規帳戶。有跡象表明,攻擊者可能自 2024 年 9 月起就一直潛伏在系統中。
從: 
駭客將開源人工智慧框架轉化為全球加密劫持行動
【社論】
Ray框架是一個分散式運算平台,在人工智慧領域越來越受歡迎,也被稱為「人工智慧版的Kubernetes」。然而,由於其API規範允許在未經身份驗證的情況下提交作業,因此產生了一個名為CVE-2023-48022的漏洞,許多叢集在未修復的情況下仍在運行。
攻擊者濫用 Ray 的合法功能,透過 GitLab 和 GitHub 上的作業提交 API 部署 Python/Bash 惡意軟體,並在節點間自主傳播。攻擊目標是配備 NVIDIA A100 GPU 的昂貴雲端資源,受害者包括研究機構、新創公司和人工智慧實驗環境等。
Ray 計畫的官方設想是將其用於可信網絡,但實際上,隨著雲端和互聯網暴露程度的增加,許多環境缺乏適當的身份驗證和監控。攻擊者會調查暴露的集群,並透過網路發送多階段有效載荷,與其他加密劫持者和惡意軟體爭奪資源。
這次攻擊的發生恰恰是因為人工智慧和GPU的價值如今正飛速增長,它可能對未來的雲端使用、人工智慧基礎設施的發展以及國家和企業之間的競爭產生直接影響。安全設計理念與實際現場操作之間存在差距,而此次事件應該成為重新審視分散式人工智慧基礎設施安全模型的契機。
從監管角度來看,使用者本身必須承擔起全面監控和隔離的責任,而且未來此類責任的範圍可能會更加嚴格。此外,人們也擔心,由於人工智慧工作負載外洩而導致的機密資訊外洩和模型篡改風險,可能會影響整個人工智慧產業的可靠性和安全標準。
[術語]
射線
一個基於 Python 的分散式處理框架,用於管理和擴展跨多台機器和雲端環境的大規模 AI 工作負載。
加密劫持<br>一種網路犯罪技術,未經許可使用受害者的運算資源來挖掘加密貨幣。
API(應用程式介面)
允許應用程式與其他程式和服務交換功能和資料的介面。
職位提交 API
用於向雲端運算或分散式運算系統提交和指示任務(作業)的 API。
CVE(通用漏洞揭露)
CVE-2023-48022 是 Ray 中一個尚未修復的 API 漏洞,它是漏洞識別碼的標準識別碼。
[參考連結]
Ray Official (外部)
Ray(一個開源分散式計算框架)的官方文件。
GitHub (外部)
全球最大的原始碼共享平台,用於軟體開發和協作。
GitLab (外部)
具有遠端程式碼庫管理和 CI/CD 功能的 DevOps 平台官方網站。
NVIDIA (外部)
美國半導體公司的官方網站,該公司開發包括 A100 GPU 和 AI 相關解決方案在內的硬體。
Oligo Security (外部)
一家提供軟體漏洞管理和安全服務的網路安全公司。
[參考文章]
新型 ShadowRay 攻擊將 Ray 叢集轉換為加密貨幣挖礦機(外部)
文章解釋了一種針對 Ray 叢集的新型「ShadowRay」攻擊,闡述如何透過 API 漏洞劫持節點並利用 GPU 挖礦。
ShadowRay 2.0 利用未修復的 Ray 漏洞建立可自我複製的加密劫持殭屍網路(外部)
本書全面介紹了利用未修補的 Ray 漏洞 (CVE-2023-48022) 的自傳播殭屍網路的範例、攻擊結構、雲端 AI 資源被盜的風險以及攻擊持續復發的範例。
Ray AI框架漏洞被利用攻擊數百個集群(外部)
該論文解釋了由於 Ray 中的 API 漏洞導致多個叢集被劫持的案例,並提出了運行 AI 基礎設施的風險。
[編者註]
隨著越來越多的企業採用人工智慧和雲端運算,加密劫持(即在用戶不知情的情況下非法使用運算資源)的風險也日益普遍。 Ray面臨的安全問題不僅是技術挑戰,還會影響企業營運和成本,甚至危及社會信任。
為什麼不考慮一下您自身環境和所用服務的「安全」呢?隨著科技日新月異,您認為我們應該採取哪些措施並提高安全意識?我們非常期待聽到您的意見和經驗。
