谷歌近期修復了 Vertex AI 平台的兩個嚴重漏洞。 Vertex AI 是一個用於客製化開發和部署大型語言模型(LLM)的平台,為企業提供了廣泛的機器學習(ML)和人工智慧(AI)工具。然而,研究人員發現該平台的安全漏洞可能被攻擊者利用,從而竊取專有企業模型,為商業用戶帶來了潛在的風險。
什麼是 Vertex AI?
Vertex AI 是Google雲端(Google Cloud)推出的端到端機器學習平台,專門用於協助企業建置、部署和管理機器學習(ML)和人工智慧(AI)模式。它支援從資料準備、模型訓練到模型部署的整個流程,並特別適合開發大型語言模型(LLM)以及其他自訂 AI 解決方案。 Vertex AI 為企業和開發者提供了高效建立複雜模型的工具,使他們能夠快速地在生產環境中部署和管理這些模型。
Vertex AI 的主要功能
資料準備與處理:支援資料清洗、特徵工程與資料集管理,簡化資料預處理流程。
模型訓練:支援分散式訓練和自動調參(AutoML),可透過 Vertex AI 的工作流程或程式碼自訂訓練任務,使模型開發更有效率。
模型部署與監控:提供自動化的模型部署流程,以及即時監控與管理服務,確保模型穩定運作。
AI 模型管理:可以輕鬆管理和更新多版本模型,支援機器學習生命週期管理,簡化了從模型開發到部署再到更新的流程。
自訂開發與整合:支援將自訂的AI應用整合到現有的企業系統中,同時具備高擴充性,可以利用 Google Cloud 的運算資源支援複雜的模型需求。
Vertex AI 是一個企業級的AI開發平台,廣泛應用於自然語言處理、電腦視覺、推薦系統和預測分析等場景,使得AI應用的開發、部署與管理更加簡化、高效。
Vertex AI 的漏洞詳情
Palo Alto Networks 的 Unit 42 團隊發現了 Vertex AI 平台的兩個關鍵漏洞,並在其部落格中揭露了具體細節:
權限提升漏洞:出現在 Vertex AI 的「自訂作業」功能中,此漏洞允許攻擊者未經授權存取專案中的所有資料服務。
模型外洩漏洞:此漏洞允許攻擊者部署一個「中毒模型」來洩漏其他經過微調的模型,造成嚴重的專有資料外洩風險。
Unit 42 指出,惡意模式的部署會影響整個 AI 環境。攻擊者可以利用生產系統中的惡意模型來竊取敏感數據,甚至導致更多模型外洩。
漏洞的產生原因與修復
這些漏洞的根源之一在於 Vertex AI 的「自訂作業」(也稱為「自訂訓練作業」)功能。該功能允許用戶調整模型程式碼以適應不同需求,儘管靈活,但也為漏洞利用敞開了大門。研究人員表示,服務代理在 Vertex AI 中擁有過多權限,攻擊者可以利用這些權限來取得未經授權的存取權。
谷歌在收到 Unit 42 的報告後迅速採取了修復措施,消除了 Google Cloud Platform (GCP) 上 Vertex AI 的這些漏洞。目前,這些威脅已經得到緩解。
風險的實際案例
Unit 42 研究團隊在測試中成功利用漏洞,在Vertex AI 平台上部署了一個中毒模型,獲取了「租戶專案」中的資源存取權限,甚至能夠查看並導出整個專案中的模型,包括ML 和微調的LLM 模型。
他們表示,這種方法可能會造成模型間的「感染」風險,甚至讓團隊在無意間部署到惡意模型而導致敏感資訊外洩。
如何降低 AI 系統的網路安全風險?
隨著企業越來越多地使用客製化 LLM 工具,安全風險也逐漸暴露。為防止類似問題的發生,研究團隊給了以下建議:
限制權限:企業應嚴格控制內部使用者對客製化模型的存取權限,並盡量避免過多的權限外洩。
模型部署控制:對模型的部署實施嚴格控制,確保在模型未經過全面審查前不會被隨意部署。
環境分離:將開發或測試環境與生產環境分開,確保未經審查的模型不會直接進入生產系統。
模型驗證:無論模型來自內部團隊或第三方儲存庫,在部署之前都應對其進行全面驗證。
總結
Vertex AI 的漏洞事件再次提醒我們,人工智慧系統中的安全防護尤其重要。企業在使用 AI 工具時不僅要專注於效能和效率,更要重視潛在的安全風險,加強權限管理和部署控制,以防止敏感資料外洩。
