Meta Llama框架漏洞可能导致人工智能系统受攻击

关键要点

• Meta Llama框架中存在一个高危漏洞（CVE-2024-50050），可能使人工智能系统受到远程代码执行（RCE）攻击。
• 此漏洞影响Llama Stack组件，尤其是在参考Python推理API的实现上。
• 攻击者可以通过网络暴露的ZeroMQ套接字发送恶意对象，从而实现任意代码执行。
• 相关的安全问题还包括可能对网站造成分布式拒绝服务（DDoS）攻击的OpenAI ChatGPT爬虫问题。

MetaLlama大语言模型框架的高严重性漏洞（CVE-2024-50050）现在已被处理，但仍然可能会让人工智能系统成为远程代码执行（RCE）攻击的目标。根据的报告，这一漏洞被Snyk标记为关键严重性，影响了Llama Stack组件，特别是参考Python推理API的实现。

根据OligoSecurity的分析，该API在Python对象反序列化时使用了风险较高的pickle格式。他们指出：“在网络上暴露的ZeroMQ套接字情境下，攻击者可以通过发送精心构造的恶意对象来利用此漏洞。由于recv_pyobj会对这些对象进行反序列化，攻击者因此可以在主机上实现任意代码执行（RCE）。”

Oligo Security的研究结果发布后，安全研究员Benjamin Flesch还报告称，网站可能会因为高严重性OpenAIChatGPT爬虫问题而遭受分布式拒绝服务攻击。

有关更多信息，请参阅以下链接： - -

在当前的网络安全环境下，及时修复高危漏洞并加强系统的防御能力，对保护人工智能系统及其用户的安全至关重要。