اكتشاف ثغرات أمنية خطيرة في مشاريع تعلم الآلة المفتوحة المصدر
تمكن فريق الأبحاث الأمنية في JFrog من اكتشاف مجموعة من الثغرات الأمنية في مشاريع مفتوحة المصدر متعلقة بتقنيات تعلم الآلة.
وبلغ عدد الثغرات المكتشفة 22 ثغرة عبر 15 مشروعًا مختلفًا مما يعكس التحديات الأمنية الفريدة التي تواجه هذه التقنيات مقارنة بأدوات البرمجيات الأخرى مثل DevOps أو خوادم الويب.
أحد أبرز الأمثلة هو الثغرة التي تم اكتشافها في أداة Weave من Weights & Biases حيث كانت تسمح للمهاجمين باستخدام تقنية
” اجتياز الدليل ” الوصول إلى ملفات النظام. تم إصلاح هذه الثغرة في الإصدار 0.50.8.
بالإضافة إلى ذلك تم اكتشاف ثغرات في منصة ZenML التي قد تسمح بترقية صلاحيات المهاجمين إلى مستوى المدير، وقد تم معالجتها بسرعة بعد الإبلاغ عنها.
وشدد الباحثون على ضرورة معالجة هذه الثغرات لضمان أمان الأنظمة التي تعتمد على تعلم الآلة، خاصة مع تزايد استخدامها في الشركات الكبرى.
