Em novembro, pesquisadores do JFrog anunciaram os resultados de seu esforço para analisar o ecossistema de ferramentas de aprendizado de máquina, que levou à descoberta de 22 vulnerabilidades em 15 projetos diferentes de ML, tanto em componentes do lado do servidor quanto do lado do cliente. No início de outubro, a Protect AI relatou 34 vulnerabilidades em uma série de vulnerabilidades de IA/ML de código aberto divulgadas por meio de seu programa de recompensas por bugs.
Esforços de pesquisa como este destacam que, como novos projetos, muitas estruturas de IA/ML podem não estar suficientemente maduras do ponto de vista da segurança ou não terem recebido o mesmo nível de escrutínio na comunidade de pesquisa de segurança que outros tipos de software. Embora isso esteja mudando, à medida que os pesquisadores testam essas ferramentas cada vez mais, invasores mal-intencionados estão olhando para elas novamente e parece que ainda há bugs suficientes para serem encontrados.
7. Ignorar recursos de segurança torna o ataque mais poderoso
Embora as organizações devam sempre priorizar o risco de usar código remoto em seus esforços de correção, vale lembrar que, na realidade, os invasores também podem usar falhas fortes, mas úteis, em suas cadeias de ataque, como escalonamento de privilégios ou desvio de recursos de segurança.
