- Palo Alto, NeMo, Uni2TS ve FlexTok AI/ML kitaplıklarında kritik kusurlar buldu
- Güvenlik açıkları, kötü amaçlı model meta verileri aracılığıyla rastgele kod yürütülmesine izin verdi
- Tamamı 2025 ortasına kadar yamalanacak; Aralık 2025 itibarıyla herhangi bir sömürü gözlemlenmedi
Palo Alto Networks’ün güvenlik araştırmacıları, bazı üst düzey Yapay Zeka (AI) ve makine Öğrenimi (ML) araçlarında kullanılan ve kötüye kullanılması durumunda tehdit aktörlerinin hedef uç noktalarda uzaktan kötü amaçlı kod yürütmesine olanak verebilecek güvenlik açıkları keşfetti.
bir güvenlik danışmanlığıAraştırmacılar, Nisan 2025 civarında üç yerde hata keşfettiklerini söyledi. açık kaynak Tarafından yayınlanan Python kütüphaneleri Elma, Satış gücüVe NVIDIAGitHub depolarında.
Kitaplıklara NeMo, Uni2TS ve FlexTok adı verilir. NeMo, araştırma için PyTorch tabanlı bir çerçevedir, Uni2TS, Salesforce’un Morai’si tarafından kullanılan araştırma için bir PyTorch kütüphanesidir ve FlexTok, bir PyTorch kütüphanesidir. PythonAL ve ML modellerinin görüntüleri işlemesini sağlayan araştırma tabanlı çerçeve. HuggingFace’te (açık kaynaklı yapay zeka modellerini ve diğer araçları barındıran bir platform) toplamda 10 milyondan fazla indirme işlemi var.
Hatalar düzeltildi
Palo Alto, danışma belgesinde şöyle açıkladı: “Güvenlik açıkları, paylaşılan bir üçüncü taraf kitaplığının bu meta verileri kullanarak sınıfları başlattığı karmaşık modelleri ve işlem hatlarını yapılandırmak için meta verileri kullanan kitaplıklardan kaynaklanıyor.”
“Bu kitaplıkların savunmasız sürümleri, sağlanan verileri kod olarak yürütür. Bu, bir saldırganın model meta verilerine rastgele kod yerleştirmesine olanak tanır ve bu, savunmasız kitaplıklar bu değiştirilmiş modelleri yüklediğinde otomatik olarak yürütülür.”
Üç geliştiriciye de Nisan 2025’te bilgi verildi ve Temmuz ayı sonunda hepsi düzeltildi. NVIDIA, CVE-2025-23304’ü yayımladı ve ona yüksek bir önem derecesi (7,8/10) verdi ve NeMo 2.3.2’de bir düzeltme yayınladı. FlexTok, kodunu Haziran 2025’te güncellerken Salesforce, CVE-2026-22584’ü yayınlayarak ona kritik bir puan verdi (9,8/10) ve Temmuz 2025’te düzeltti.
Palo Alto, Aralık 2025 itibarıyla bu güvenlik açıklarının vahşi ortamda kötüye kullanıldığına dair hiçbir kanıt bulunmadığını söylüyor. Tüm hatalar şirketin Prisma AIRS aracı tarafından keşfedildi.
Her bütçeye uygun en iyi antivirüs
TechRadar’ı Google Haberler’de takip edin Ve bizi tercih edilen kaynak olarak ekleyin Akışlarınızda uzman haberlerimizi, incelemelerimizi ve görüşlerimizi almak için. Takip Et butonuna tıklamayı unutmayın!
Ve tabii ki siz de yapabilirsiniz TechRadar’ı TikTok’ta takip edin haberler, incelemeler ve video biçimindeki kutu açma işlemleri için bizden düzenli olarak güncellemeler alın WhatsApp fazla.