Recientemente, una investigación realizada por el investigador Naphtali Deutsch ha generado preocupación. A través de un escaneo de la red, descubrió que cientos de servidores de construcción de modelos lingüísticos grandes (LLM) de código abierto y decenas de bases de datos vectoriales están filtrando información sensible. Estas filtraciones se deben a que muchas empresas, en su afán por integrar la inteligencia artificial (IA) en sus flujos de trabajo, a menudo descuidan la seguridad de las herramientas relacionadas.
Nota de la imagen: Imagen generada por IA, proveedor de servicios de licencia Midjourney
Flowise es una herramienta de bajo código que permite a los usuarios crear diversas aplicaciones LLM, desde chatbots de atención al cliente hasta herramientas de generación y extracción de datos. Aunque la mayoría de los servidores Flowise están protegidos con contraseña, la contraseña sola no garantiza la seguridad.
Deutsch menciona que, ya este año, investigadores habían descubierto una vulnerabilidad de omisión de autenticación en Flowise. Simplemente cambiando a mayúsculas algunos caracteres en los puntos finales de la API del programa, se podía activar fácilmente esta vulnerabilidad. Aprovechando esta vulnerabilidad, Deutsch logró acceder a 438 servidores Flowise, encontrando datos sensibles almacenados como tokens de acceso a GitHub, claves API de OpenAI, contraseñas y claves API de Flowise, e incluso información de configuración y sugerencias relacionadas con las aplicaciones Flowise.
Además de Flowise, Deutsch descubrió aproximadamente 30 bases de datos vectoriales sin ningún tipo de verificación de autenticación. Estas bases de datos contenían información claramente sensible, incluyendo correos electrónicos privados de una empresa de servicios de ingeniería, documentos de una empresa de moda, información personal y datos financieros de clientes de una empresa de equipos industriales. El riesgo de las filtraciones en bases de datos vectoriales es mayor, ya que los hackers no solo pueden robar datos, sino también eliminarlos, destruirlos o incluso implantar malware, afectando a los usuarios al utilizar herramientas de IA.
Para reducir estos riesgos, Deutsch recomienda a las empresas limitar el acceso a los servicios de IA en los que confían, monitorear y registrar las actividades relacionadas con estos servicios, proteger los datos sensibles transmitidos por las aplicaciones LLM y aplicar actualizaciones de software siempre que sea posible.
Destaca que, con la proliferación de estas herramientas, muchos desarrolladores no poseen los conocimientos de seguridad necesarios para una configuración adecuada, y la seguridad a menudo se queda atrás del desarrollo tecnológico.
Puntos clave:
1. 🔒 Cientos de LLM y bases de datos vectoriales filtran información sensible, la seguridad empresarial está en riesgo.
2. 💻 La herramienta Flowise presenta una vulnerabilidad de omisión de autenticación, explotada por hackers para acceder a múltiples servidores.
3. 🛡️ Los expertos recomiendan a las empresas reforzar el control de acceso a los servicios de IA, monitorear y actualizar periódicamente las medidas de seguridad.
