网络安全研究人员发现了SAP AI Core基于云的平台的安全缺陷，该平台用于创建和部署预测性人工智能（AI）工作流，这些工作流可用于获取访问令牌和客户数据。

这五个漏洞被云安全公司Wiz统称为SAPwned。

“我们发现的漏洞可能允许攻击者访问客户的数据并污染内部工件 – 传播到相关服务和其他客户的环境，”安全研究员Hillai Ben-Sasson在与The Hacker News分享的一份报告中说。

在 2024 年 1 月 25 日负责任地披露后，SAP 于 2024 年 5 月 15 日解决了这些弱点。

简而言之，这些漏洞使得未经授权访问客户的私有工件和对云环境（如亚马逊网络服务（AWS），Microsoft Azure和SAP HANA Cloud）的凭据成为可能。

它们还可用于修改 SAP 内部容器注册表上的 Docker 映像、Google 容器注册表上的 SAP Docker 映像以及 SAP 内部 Artifactory 服务器上托管的工件，从而导致对 SAP AI Core 服务的供应链攻击。

此外，通过利用 Helm 包管理器服务器同时暴露于读取和写入操作的事实，可以将访问权限武器化，以获得 SAP AI Core 的 Kubernetes 集群上的集群管理员权限。

“使用这个访问级别，攻击者可以直接访问其他客户的 Pod 并窃取敏感数据，例如模型、数据集和代码，”Ben-Sasson 解释说。“这种访问还允许攻击者干扰客户的 Pod，污染 AI 数据并操纵模型的推理。”

Wiz表示，之所以出现这些问题，是因为该平台使得在没有足够隔离和沙盒机制的情况下运行恶意AI模型和训练程序变得可行。

Ben-Sasson告诉The Hacker News：“Hugging Face、Replicate和SAP AI Core等AI服务提供商最近出现的安全漏洞凸显了其租户隔离和分段实施中的重大漏洞。 ”这些平台允许用户在共享环境中运行不受信任的AI模型和训练程序，从而增加了恶意用户访问其他用户数据的风险。

“与在租户隔离实践方面拥有丰富经验并使用虚拟机等强大隔离技术的资深云提供商不同，这些较新的服务通常缺乏这方面的知识，并且依赖于容器化，而容器化提供的安全性较弱。这凸显了提高对租户隔离重要性的认识的必要性，并推动人工智能服务行业加强其环境。

因此，威胁行为者可以在 SAP AI Core 上创建常规 AI 应用程序，绕过网络限制，并通过利用 AWS Elastic File System （EFS） 共享中的错误配置来探测 Kubernetes Pod 的内部网络以获取 AWS 令牌并访问客户代码和训练数据集。

“人们应该意识到，人工智能模型本质上是代码。在你自己的基础设施上运行人工智能模型时，你可能会面临潜在的供应链攻击，“Ben-Sasson说。

“仅运行来自受信任来源的受信任模型，并在外部模型和敏感基础设施之间适当分离。在使用 AI 服务提供商时，验证其租户隔离架构并确保他们应用最佳实践非常重要。

Netskope 透露，企业越来越多地使用生成式 AI 促使组织使用阻止控制、数据丢失防护 （DLP） 工具、实时指导和其他机制来降低风险。

该公司表示：“受监管的数据（组织有法律义务保护的数据）占与生成式人工智能（genAI）应用程序共享的敏感数据的三分之一以上，这给企业带来了代价高昂的数据泄露的潜在风险。

他们还关注一个名为 NullBulge 的新网络犯罪威胁组织的出现，该组织自 2024 年 4 月以来将目光投向了以 AI 和游戏为重点的实体，旨在窃取敏感数据并在地下论坛上出售受损的 OpenAI API 密钥，同时声称自己是“保护世界各地的艺术家”免受人工智能侵害的黑客行动主义团队。

SentinelOne安全研究员Jim Walter说：“NullBulge通过将GitHub和Hugging Face上公开可用的存储库中的代码武器化，导致受害者导入恶意库，或通过游戏和建模软件使用的mod包来攻击软件供应链。

“该小组使用AsyncRAT和XWorm等工具，然后交付使用泄露的LockBit Black构建器构建的LockBit有效载荷。像 NullBulge 这样的组织代表了低门槛勒索软件的持续威胁，以及信息窃取者感染的常青效应。