Hay mucha publicidad y enfoque en torno a la IA en este momento. AI es todo de lo que cualquiera puede hablar en estos días, pero un informe reciente De Oligo Security ha logrado derribarnos de las nubes. Según el informe, el Llama LLM de Meta tenía un defecto de seguridad Eso habría permitido a los piratas informáticos violar sus sistemas.
Falla de seguridad
Meta’s Llama consiste en una serie de grandes modelos de idiomas que ayudan a comprender y generar aportes similares a los humanos. Esto es similar a otros LLM con los que puede estar familiarizado, incluido Gemini de Google o ChatGPT de OpenAI.
Meta potencia algunos de sus servicios de IA con él, lo que permite a los usuarios hacer consultas en lenguaje natural para hacer preguntas.
El informe de seguridad de Oligo reveló un error rastreado como CVE-2024-50050 en septiembre del año pasado. Los investigadores descubrieron este error en un componente llamado Llama Stack. Si los piratas informáticos hubieran explotado este error, habrían podido violar los sistemas de Meta. Hubiera permitido a los piratas informáticos ejecutar código de forma remota, potencialmente implementar malware peligroso. Aparentemente, esto se debe a que Meta había elegido Pickle como formato de serialización para la comunicación de socket.
Según el investigador de seguridad de Oligo Avi Lumelsky, «Las versiones afectadas de Meta-Llama son vulnerables a la deserialización de datos no confiables, lo que significa que un atacante puede ejecutar código arbitrario enviando datos maliciosos que se deserializan».
Problema solucionado
Por aterrador que suene, afortunadamente, el problema se ha solucionado. Según los investigadores de seguridad, inicialmente alertaron a Meta sobre el defecto de seguridad en septiembre de 2024. Meta No perdió el tiempo en abordar el problema y expulsó una solución en octubre. Esto significa que Meta’s Llama LLM es seguro, al menos por ahora y de esta vulnerabilidad particular.
Además del parche, meta lanzó un aviso de seguridad donde informaron a la comunidad que había arreglado un riesgo de ejecución de código remoto. La compañía también reveló que la solución al problema era cambiar al formato JSON.
Sin embargo, destaca un problema del que la mayoría de las cosas no pensó demasiado. Tan mágico como el uso de AI se siente, sigue siendo una pieza de tecnología (relativamente nueva). Como tal, está sujeto a las mismas vulnerabilidades y errores que cualquier otra pieza de software.
Meta no está solo cuando se trata de defectos en sus sistemas de IA que habrían causado una violación de seguridad. Según la investigación de seguridad Benjamin Flesch, incluso el rastreador de chatgpt de OpenAi tenía un defecto que podría haber sido se usa para distribuir ataques DDoS.
Fuente: Android Headlines