Une nouvelle tude de Legit Security montre que les services de dveloppement de GenAI largement disponibles risquent d’exposer des informations sensibles ou de divulguer des secrets.
L’intelligence artificielle gnrative (IA gnrative ou GenAI) est une intelligence artificielle capable de gnrer du texte, des images, des vidos ou d’autres donnes l’aide de modles gnratifs, souvent en rponse des invites. Les modles d’IA gnrative apprennent les modles et la structure de leurs donnes d’entranement et gnrent ensuite de nouvelles donnes prsentant des caractristiques similaires.
L’analyse par Legit de bases de donnes vectorielles non protges rvle que 30 serveurs examins contenaient des donnes d’entreprise ou prives, notamment des conversations de courrier lectronique d’entreprise, des informations personnelles de clients, des numros de srie de produits, des dossiers financiers, des curriculum vitae et des informations de contact.
En outre, trois bases de donnes vectorielles provenant de deux des plateformes les plus populaires et appartenant des entreprises des secteurs des services d’ingnierie, de la mode et de l’quipement industriel contiennent des documents, des rsums de mdias, des dtails sur les clients et des informations sur les achats.
Legit a contact les propritaires de ces serveurs exposs publiquement et la plupart d’entre eux ont bloqu l’accs ces serveurs.
Les secrets exposs comprennent les cls d’API OpenAI et Pinecone, les jetons d’accs GitHub et les URL avec les mots de passe des bases de donnes. L’exposition de toutes les configurations et des invites LLM de ces applications a galement t dcouverte, ce qui peut aider crer des vulnrabilits d’invite d’exploitation plus tard.
Naphtali Deutsch, anciennement membre des services de renseignement militaire israliens et aujourd’hui chercheur en scurit chez Legit, crit sur le blog de la socit : Lorsque vous dployez un logiciel de base de donnes vectorielle sur un serveur auto-hberg, un attaquant peut exploiter les vulnrabilits qui existent dans ce logiciel et, par exemple, obtenir une excution de code distance ou une lvation de privilges sur ce serveur. Le risque est encore plus important lorsque l’on utilise un logiciel obsolte, dont les vulnrabilits sont bien connues et facilement exploitables .
Afin de se protger contre ces menaces, Naphtali Deutsch recommande d’empcher tout accs inutile aux bases de donnes et aux services d’IA, de surveiller et d’enregistrer l’activit sur les plateformes d’IA, de s’assurer que les logiciels sont maintenus jour et de masquer les dtails sensibles des donnes avant de les utiliser dans un LLM.
propos de Legit Security
Legit est une nouvelle faon de grer la scurit des applications pour les quipes charges de la scurit, des produits et de la conformit. Avec Legit, les entreprises disposent d’un moyen plus propre et plus simple de grer et de faire voluer la scurit des applications et de traiter les risques, du code au cloud. Conu pour le SDLC moderne, Legit s’attaque aux problmes les plus difficiles auxquels sont confrontes les quipes de scurit, notamment l’utilisation de la GenAI, la prolifration des secrets et un environnement de dveloppement incontrl. Rapide mettre en uvre et facile utiliser, Legit permet aux quipes de scurit de protger leur usine logicielle de bout en bout, donne aux dveloppeurs des garde-fous qui leur permettent de faire leur meilleur travail en toute scurit, et prouve le succs du programme de scurit. Cette nouvelle approche permet aux quipes de contrler les risques dans l’ensemble de l’entreprise – et de le prouver.
Source : « The Risks Lurking in Publicly Exposed GenAI Development Services » (tude de Legit Security)
Et vous ?
Quel est votre avis sur le sujet ?
Trouvez-vous les conclusions de cette tude de Legit Security crdibles ou pertinentes ?
Voir aussi :