一台电脑翻墙共享局域网
Wiz 团队在 GitHub 上发现了一个公开的 AI 库,其中泄露了超过 38TB 的私人文件 —— 包括微软员工的个人电脑备份。
Wiz 研究团队进行的关于意外暴露云托管数据的工作时,扫描了互联网上配置错误的存储容器。在此过程中,他们发现微软组织下有一个名为 robust-models-transfer 的 GitHub 存储库。该存储库属于微软的 AI 研究部门,旨在为图像识别提供开源代码和 AI 模型。该资源库的读者被指示从 Azure 存储 URL 下载模型:
不过,这个 URL 允许访问的不仅仅是开源模型。它被配置为授予整个存储账户的权限,从而泄露了更多私人数据。
根据 Wiz 团队的扫描显示,该账户包含 38TB 的额外数据,其中包括微软员工的个人电脑备份。这些备份包含敏感的个人数据,包括微软服务的密码、密钥以及来自 359 名微软员工的 30,000 多条内部 Microsoft Teams 消息。
除了访问范围过于宽松之外,token 还被错误配置为允许 「完全控制 」权限,而不是只读权限。这意味着,攻击者不仅可以查看存储账户中的所有文件,还可以删除和覆盖现有文件一台电脑翻墙共享局域网。
该存储库的最初目的:提供用于训练代码的 AI 模型。存储库指示用户从 SAS 链接下载模型数据文件,并将其提供给脚本。文件格式为 ckpt,是 TensorFlow 库生成的一种格式。它使用 Python 的 pickle 格式化器进行格式化, 而这容易导致任意代码执行。这意味着,攻击者可以向该存储账户中的所有人工智能模型注入恶意代码,而每一个信任微软 GitHub 存储库的用户都会因此受到感染。
不过,值得注意的是,这个存储账户并没有直接暴露给公众;事实上,它是一个私有存储账户。微软的开发人员使用了一种名为 「SAS token」的 Azure 机制,该机制允许创建一个可共享的链接,授予对 Azure 存储账户数据的访问权限。经过检查,该存储账户看起来仍然是完全私有的。
微软表示,已经根据 Wiz 提供的报告进行了调查和修复。该事件涉及到一名微软员工,其共享了公共 GitHub 存储库中 blob 存储的 URL。该 URL 包含一个内部存储账户的过度许可共享访问签名(SAS)token。因此,Wiz 的安全研究人员就可以使用该 token 访问存储账户中的信息。该存储账户中泄露的数据包括两名前员工工作站配置文件的备份,以及这两名员工与同事的内部 Microsoft Teams 信息。没有用户数据被泄露,也没有其他内部服务因该问题而面临风险。用户无需对此问题采取任何行动。
微软还在博客中说到 SAS token 提供的限制访问的机制,允许某些客户端连接到指定的 Azure 存储资源。在此案例中,微软的一名研究人员无意中在 blob 存储 URL 中包含了此 SAS token,并在公共 GitHub 存储库中提供了该 URL。Azure 存储或 SAS token 功能不存在安全问题或漏洞。此外,微软正在进行持续改进,以进一步强化 SAS token 功能,并继续对服务进行评估,以加强默认安全状态。
微软表示,在发现该漏洞后,Wiz 于 2023 年 6 月 22 日向微软安全响应中心 (MSRC) 报告了该问题。接到通知后,MSRC 与相关研究和工程团队合作,于 2023 年 6 月 24 日撤销了 SAS token 并阻止了对存储帐户的所有外部访问。
Wiz 成立于 2020 年,由前微软云安全小组团队成员创立,包括 Assaf Rappaport、Yinon costi、Roy Reznik 和 Ami Luttwak 等。公司名字 WIZ 代表 Wizard,即巫师,指具有魔法能力的人。WIZ 认为,魔术的本质是通过对环境的深刻理解并使用自然手段来创建看似不可能的结果来定义的,其公司正源于这种观念,旨在使用安全性方法解决当今看来不可能的客户问题。
该公司主要专注于云原生安全,帮助企业大规模保护其云基础架构,提供了首个用于企业安全的云可视性解决方案,提供了跨云、容器和工作负载安全风险视图,是首个全栈多云安全平台。
Wiz 可以让客户公司几乎可以即时覆盖整个多云环境,并将风险关联起来,将信号与噪声分开。Wiz 不只是识别风险,而且对它们进行优先排序并找到其他技术无法找到的攻击媒介。
在该事例中 Wiz 提到,企业在利用 AI 时,安全团队必须了解 AI 开发过程中每个阶段的安全风险。
首先是数据过度共享。研究人员收集并共享大量外部和内部数据,以构建 AI 模型所需的训练信息。这就带来了与大规模数据共享相关的固有安全风险。安全团队必须为 AI 数据集的外部共享制定明确的指导方针。正如本事例中,将公共人工智能数据集分离到专用存储账户可以限制风险。
其次是供应链攻击风险。由于权限不当,公共 token 授予了对包含 AI 模型存储账户的写访问权限。在模型文件中注入恶意代码可能会导致对使用存储库模型的其他研究人员的供应链攻击。安全团队应审查和清理来自外部的 AI 模型,因为它们可以用作远程代码执行向量。
本文为澎湃号作者或机构在澎湃新闻上传并发布,仅代表该作者或机构观点,不代表澎湃新闻的观点或立场,澎湃新闻仅提供信息发布平台。申请澎湃号请用电脑访问。