网络安全研究人员发现，用于创建和部署预测人工智能 (AI) 工作流的SAP AI Core云平台存在安全缺陷，这些缺陷可能被利用来获取访问令牌和客户数据。

云安全公司 Wiz将这五个漏洞统称为SAPwned 。

安全研究员 Hillai Ben-Sasson在与 The Hacker News 分享的一份报告中表示： “我们发现的漏洞可能允许攻击者访问客户的数据并污染内部工件——蔓延到相关服务和其他客户的环境。”

在 2024 年 1 月 25 日负责任地披露之后，SAP 已于 2024 年 5 月 15 日解决了这些缺陷。

简而言之，这些漏洞使得未经授权访问客户的私人物品和 Amazon Web Services (AWS)、Microsoft Azure 和 SAP HANA Cloud 等云环境的凭证成为可能。

它们还可用于修改 SAP 内部容器注册表上的 Docker 镜像、Google 容器注册表上的 SAP Docker 镜像以及 SAP 内部 Artifactory 服务器上托管的工件，从而对 SAP AI Core 服务造成供应链攻击。

此外，利用 Helm 包管理器服务器同时暴露给读写操作的事实，可以利用该访问权限来获取 SAP AI Core 的 Kubernetes 集群上的集群管理员权限。

Ben-Sasson 解释道：“利用此访问级别，攻击者可以直接访问其他客户的 Pod 并窃取敏感数据，例如模型、数据集和代码。这种访问还允许攻击者干扰客户的 Pod、污染 AI 数据并操纵模型的推理。”

Wiz 表示，问题出现的原因是，该平台使得恶意的 AI 模型和训练程序可以在没有足够的隔离和沙盒机制的情况下运行。

Ben-Sasson 告诉 The Hacker News：“ Hugging Face、Replicate和 SAP AI Core等 AI 服务提供商最近出现的安全漏洞凸显了其租户隔离和分段实施中存在重大漏洞。”“这些平台允许用户在共享环境中运行不受信任的 AI 模型和训练程序，增加了恶意用户能够访问其他用户数据的风险。”

“与在租户隔离实践方面拥有丰富经验并使用虚拟机等强大隔离技术的资深云提供商不同，这些新服务通常缺乏这方面的知识并依赖于容器化，而容器化的安全性较弱。这强调了提高对租户隔离重要性的认识的必要性，并推动人工智能服务行业强化其环境。”

因此，威胁行为者可以在 SAP AI Core 上创建常规 AI 应用程序，绕过网络限制，并探测 Kubernetes Pod 的内部网络以获取 AWS 令牌，并通过利用 AWS 弹性文件系统 (EFS) 共享中的错误配置来访问客户代码和训练数据集。

“人们应该意识到人工智能模型本质上是代码。当你在自己的基础设施上运行人工智能模型时，你可能会面临潜在的供应链攻击，”Ben-Sasson 说。

“仅运行来自可信来源的可信模型，并适当分离外部模型和敏感基础设施。当使用人工智能服务提供商时，验证他们的租户隔离架构并确保他们采用最佳实践非常重要。”

Netskope 透露，企业对生成式人工智能的使用日益增多，促使企业使用阻止控制、数据丢失预防 (DLP) 工具、实时指导和其他机制来降低风险。

该公司表示：“受监管数据（组织有法律义务保护的数据）占与生成式人工智能（genAI）应用程序共享的敏感数据的三分之一以上——对企业来说，存在代价高昂的数据泄露的潜在风险。”

他们还关注了一个名为 NullBulge 的新网络犯罪威胁组织的出现，该组织自 2024 年 4 月以来一直将目光瞄准以人工智能和游戏为重点的实体，目的是窃取敏感数据并在地下论坛上出售受损的 OpenAI API 密钥，同时声称自己是一支黑客行动主义团队，致力于“保护世界各地的艺术家”免受人工智能的侵害。

SentinelOne 安全研究员 Jim Walter表示：“NullBulge 通过将 GitHub 和 Hugging Face 上公开存储库中的代码武器化，从而瞄准软件供应链，引导受害者导入恶意库，或通过游戏和建模软件使用的 mod 包。”

“该组织使用AsyncRAT和XWorm等工具，然后利用泄露的LockBit Black构建器构建 LockBit 负载。NullBulge 等组织代表着低门槛勒索软件的持续威胁，以及信息窃取者感染的长期影响。”