- اكتشف Palo Alto عيوبًا خطيرة في مكتبات الذكاء الاصطناعي/تعلم الآلة NeMo وUni2TS وFlexTok
- سمحت الثغرات الأمنية بتنفيذ تعليمات برمجية عشوائية عبر البيانات الوصفية للنماذج الضارة
- سيتم تصحيح كل ذلك بحلول منتصف عام 2025؛ لم يلاحظ أي استغلال اعتبارًا من ديسمبر 2025
اكتشف باحثون أمنيون من شركة Palo Alto Networks ثغرات أمنية مستخدمة في بعض أفضل أدوات الذكاء الاصطناعي (AI) والتعلم الآلي (ML) والتي، في حالة إساءة استخدامها، قد تسمح للجهات الفاعلة في مجال التهديد بتنفيذ تعليمات برمجية ضارة على نقاط النهاية المستهدفة عن بُعد.
وفي تقرير أمني، قال الباحثون إنهم اكتشفوا في أبريل 2025 تقريبًا أخطاء في ثلاث مكتبات بايثون مفتوحة المصدر نشرتها Apple وSalesforce وNVIDIA، في مستودعات GitHub الخاصة بهم.
المكتبات تسمى NeMo وUni2TS وFlexTok. NeMo هو إطار عمل قائم على PyTorch للبحث، وUni2TS مكتبة PyTorch للبحث التي تستخدمها Morai من Salesforce، وFlexTok هو إطار عمل قائم على Python للبحث، مما يمكّن نماذج AL وML من معالجة الصور. بشكل تراكمي، لديهم أكثر من 10 ملايين عملية تنزيل على HuggingFace (منصة تستضيف نماذج الذكاء الاصطناعي مفتوحة المصدر وأدوات أخرى).
البق ثابتة
وأوضح بالو ألتو في تحذيره أن “نقاط الضعف تنبع من المكتبات التي تستخدم البيانات التعريفية لتكوين النماذج وخطوط الأنابيب المعقدة، حيث تقوم مكتبة طرف ثالث مشتركة بإنشاء مثيلات للفئات باستخدام هذه البيانات التعريفية”.
“تقوم الإصدارات الضعيفة من هذه المكتبات ببساطة بتنفيذ البيانات المقدمة كرمز. وهذا يسمح للمهاجم بتضمين تعليمات برمجية عشوائية في البيانات التعريفية للنموذج، والتي سيتم تنفيذها تلقائيًا عندما تقوم المكتبات الضعيفة بتحميل هذه النماذج المعدلة.”
تم إخطار المطورين الثلاثة في أبريل 2025، وبحلول نهاية يوليو، تم إصلاح المشكلة جميعًا. أصدرت NVIDIA CVE-2025-23304 وأعطتها تصنيفًا عالي الخطورة (7.8/10) وأصدرت إصلاحًا في NeMo 2.3.2. قامت FlexTok بتحديث الكود الخاص بها في يونيو 2025، بينما أصدرت Salesforce CVE-2026-22584، وأعطته تقييمًا نقديًا (9.8/10)، وأصلحته في يوليو 2025.
يقول بالو ألتو أنه اعتبارًا من ديسمبر 2025، لا يوجد دليل على إساءة استخدام هذه الثغرات الأمنية على نطاق واسع. تم اكتشاف جميع الأخطاء بواسطة أداة Prisma AIRS الخاصة بالشركة.
أفضل برامج مكافحة الفيروسات لجميع الميزانيات
اتبع TechRadar على أخبار جوجل و أضفنا كمصدر مفضل للحصول على أخبار الخبراء والمراجعات والآراء في خلاصاتك. تأكد من النقر على زر المتابعة!
وبالطبع يمكنك أيضًا اتبع TechRadar على TikTok للحصول على الأخبار والمراجعات وفتح الصناديق في شكل فيديو، والحصول على تحديثات منتظمة منا على واتساب أيضاً.
التعليقات