ML-Systeme
Neue Schwachstellen in Machine-Learning-Systemen - JFrog-Analyse zeigt Risiken auf
Von Shachar Menashe, VP Security Research bei JFrog
Das Research-Team von JFrog hat kürzlich 22 neue Schwachstellen in Machine-Learning-Projekten entdeckt und analysiert. Während der Fokus des ersten Blogbeitrags Anfang November auf serverseitigen Schwachstellen lag, beleuchtet der Anfang Dezember veröffentlichte zweite Beitrag die Risiken auf der Client-Seite sowie in Libraries, die ML-Modelle sicher verarbeiten sollen.
Gefährdung durch Client-seitige Schwachstellen
Zu den identifizierten Schwachstellen zählen solche in ML-Clients, etwa Tools, die von Datenwissenschaftlern oder ML-CI/CD-Pipelines (MLOps) genutzt werden. Diese Schwachstellen können es Angreifern ermöglichen, ML-Clients zu kompromittieren, die oft Zugang zu wichtigen Diensten wie Modellregistern oder MLOps-Pipelines haben. Eine einzige Infektion kann durch Post-Exploitation-Techniken zu umfassenden Netzwerkzugriffen führen.
Risiken in scheinbar sicheren ML-Libraries
Auch Libraries, die für die Verarbeitung „sicherer“ ML-Modelle ohne Code-Ausführung gedacht sind, weisen Schwachstellen auf. Angreifer könnten über manipulierte Modelle Hintertüren einbauen oder weiteren Schaden anrichten, insbesondere wenn sie Zugriff auf ML-Server erhalten.
Vorgestellte Schwachstellen im Detail
Der Blogbeitrag beschreibt mehrere konkrete Sicherheitslücken:
- MLflow Recipe XSS to Code Execution (CVE-2024-27132) Diese Schwachstelle ermöglicht es, beliebigen JavaScript-Code auf einem ML-Client auszuführen, der manipulierte Dateien lädt. Wird JupyterLab verwendet, kann dies zu vollständiger Code-Ausführung eskalieren.
- H2O Code Execution via Malicious Model Deserialization (CVE-2024-6960) Durch diese Schwachstelle können Angreifer auf der H2O-Plattform beliebigen Code ausführen, wenn nicht vertrauenswürdige ML-Modelle importiert werden.
- Path Traversal Arbitrary File Overwrite (PyTorch „weights_only“) Eine Schwachstelle in TorchScript erlaubt es, beliebige Dateien zu überschreiben – selbst bei Nutzung des sicheren Arguments weights_only=True.
- MLeap ZipSlip Arbitrary File Overwrite (CVE-2023-5245) Eine Directory-Traversal-Schwachstelle in MLeap kann zu Dateibeschädigungen und potenzieller Code-Ausführung führen.
Um Risiken zu minimieren, empfiehlt das JFrog-Team, keine nicht-vertrauenswürdigen ML-Modelle zu laden – auch nicht in scheinbar sicheren Formaten wie Safetensors. Unternehmen sollten ihre ML-Nutzer für die Gefahren sensibilisieren und Sicherheitsrichtlinien entsprechend anpassen.