AIに分離の問題はあるのか?
要約
Wizの研究チームは、複数のAIサービスプロバイダーにおけるテナント分離の問題を調査した。AIインフラが多くのビジネス環境で不可欠な要素となるにつれ、この種の攻撃の影響はますます大きくなっている。研究結果はBlack Hatカンファレンスで発表される予定だ。
SAP AI Coreの調査
SAP AI CoreはHANAやその他のクラウドサービスと統合されており、顧客の内部データにアクセスできる。研究チームは、悪意ある行為者がこうした顧客の機密にアクセスできるかどうかを確認しようとした。その結果、悪意のあるAIモデルとトレーニング手順を実行することで、顧客の機密ファイルやクラウド環境にアクセスできた。
主な脆弱性
- SAPの内部コンテナレジストリでDockerイメージを読み取り・改変できた
- Google Container RegistryでSAPのDockerイメージを読み取り・改変できた
- SAPの内部Artifactoryサーバーでアーティファクトを読み取り・改変できた
- SAP AI CoreのKubernetesクラスターでクラスター管理者権限を取得できた
- 顧客のクラウド認証情報および非公開のAIアーティファクトにアクセスできた
脆弱性の詳細
ネットワーク制限の回避
PodでshareProcessNamespaceとrunAsUser設定を利用することで、Istioプロキシの構成にアクセスできた。これにより、内部ネットワークのトラフィック制限を回避できた。
LokiサーバーでのAWSトークン露出
Grafana Lokiサーバーの/configエンドポイントを通じてAWSのシークレットにアクセスできた。これにより、AI Coreサービスと顧客Podのログにアクセスできた。
認証されていないEFS共有
AWS Elastic File System(EFS)インスタンスがデフォルトで公開設定になっており、認証情報なしでファイルを閲覧できた。これにより、大量のAIデータにアクセスできた。
認証されていないHelmサーバー
HelmサーバーのgRPCインターフェースを通じて、SAPのDocker RegistryおよびArtifactoryサーバーのシークレットにアクセスできた。これにより、内部イメージとビルドを読み取り・改変できた。
K8sクラスターの露出
Helmサーバーのinstallコマンドを通じてクラスター管理者権限を取得できた。これにより、他の顧客のPodにアクセスし、機密データを盗み出せた。
結論
SAP AI Coreに関する調査は、多層防御の重要性を示している。内部ネットワークを信頼できるものと見なすのは危険でありうる。AIのR&Dプロセスで生じる固有の課題に対処するには、適切な保護策が必要だ。
GN⁺のまとめ
- AIインフラにおけるテナント分離の問題は重要なセキュリティ課題だ。
- SAP AI Coreの脆弱性により、悪意ある行為者が顧客の機密データにアクセスできてしまう。
- 研究結果は、AIモデル実行時の隔離およびサンドボックス標準を改善する必要性を強調している。
- 類似機能を持つ他のプロジェクトには、Google AI PlatformやMicrosoft Azure Machine Learningがある。
1件のコメント
Hacker Newsの意見