Problema grave! Centenas de servidores de LLMs de código aberto vazaram dados confidenciais de empresas e de saúde

AIbase基地

Publicado emNotícias e Informações de IA · 5 minutos de leitura · Aug 30, 2024

226

Recentemente, uma pesquisa conduzida pelo pesquisador Naphtali Deutsch chamou a atenção para uma vulnerabilidade significativa. Através de varreduras na internet, ele descobriu que centenas de servidores de construção de modelos de linguagem grandes (LLMs) de código aberto e dezenas de bancos de dados vetoriais estavam vazando informações sensíveis em larga escala. Essas violações de segurança resultam da pressa de muitas empresas em integrar a inteligência artificial (IA) em seus fluxos de trabalho, muitas vezes negligenciando os aspectos de segurança das ferramentas utilizadas.

Hacker, ciberataque, escrevendo código

Nota da imagem: Imagem gerada por IA, fornecida pelo Midjourney.

Flowise é uma ferramenta de baixo código que permite aos usuários criar diversos aplicativos LLM, desde chatbots até ferramentas de geração e extração de dados. Embora a maioria dos servidores Flowise seja protegida por senha, essa proteção por si só não garante a segurança.

Deutsch mencionou que, ainda este ano, pesquisadores descobriram uma falha de bypass de autenticação no Flowise. Basta colocar algumas letras maiúsculas nos endpoints da API do programa para explorar essa vulnerabilidade. Aproveitando-se dessa falha, Deutsch conseguiu invadir 438 servidores Flowise, encontrando dados sensíveis armazenados, como tokens de acesso ao GitHub, chaves de API OpenAI, senhas e chaves de API Flowise, além de configurações e prompts relacionados aos aplicativos Flowise.

Além do Flowise, Deutsch descobriu cerca de 30 bancos de dados vetoriais sem qualquer verificação de autenticação. Esses bancos de dados continham informações claramente sensíveis, incluindo e-mails privados de uma empresa de serviços de engenharia, documentos de uma empresa de moda, informações pessoais e dados financeiros de clientes de uma empresa de equipamentos industriais. Os bancos de dados vetoriais representam um risco ainda maior, pois os hackers podem não apenas roubar dados, mas também excluí-los, danificá-los ou até mesmo implantar malware, afetando os usuários ao utilizarem as ferramentas de IA.

Para mitigar esses riscos, Deutsch recomenda que as empresas limitem o acesso aos serviços de IA que utilizam, monitorem e registrem as atividades relacionadas a esses serviços, protejam os dados sensíveis transmitidos pelos aplicativos LLM e apliquem atualizações de software sempre que possível.

Ele destaca que, com a crescente popularização dessas ferramentas, muitos desenvolvedores não possuem conhecimento suficiente em segurança para configurá-las adequadamente, fazendo com que a segurança frequentemente fique atrás do desenvolvimento tecnológico.

Pontos importantes:
1. 🔒 Centenas de LLMs e bancos de dados vetoriais vazando informações sensíveis; situação de segurança preocupante para as empresas.
2. 💻 Ferramenta Flowise apresenta vulnerabilidade de bypass de autenticação, explorada por hackers para invadir múltiplos servidores.
3. 🛡️ Especialistas recomendam que as empresas fortaleçam o controle de acesso aos serviços de IA, monitorando e atualizando regularmente as medidas de segurança.

Adobe Stock lança ferramenta de personalização com IA para edição fácil de imagens de estoque

Recentemente, a Adobe anunciou uma atualização para seu serviço Adobe Stock, lançando um recurso de IA chamado "Personalizar". Este novo recurso permite que os usuários façam ajustes e otimizações rápidas em imagens de estoque sem sair da plataforma Adobe Stock. Os usuários podem usar a ferramenta para fazer edições de imagens simples, gerar variações de IA, sem precisar gastar muito tempo em edições complexas em outros aplicativos como o Photoshop. Adobe Stock

DeepSeek desmente oficialmente: Rumores sobre o lançamento do modelo R2 em 17 de março são falsos

Hoje, a empresa chinesa de inteligência artificial DeepSeek desmentiu oficialmente, por meio de canais oficiais, os rumores de que seu próximo modelo de IA, DeepSeek R2, seria lançado em 17 de março. Anteriormente, mensagens na plataforma X afirmavam que o DeepSeek R2 seria lançado em meados deste mês, possivelmente trazendo avanços significativos em capacidade de programação, inferência multilíngue e custo-benefício. No entanto, a conta oficial de atendimento ao cliente da DeepSeek respondeu claramente em um grupo de usuários: "Desmentido: O lançamento do R2 é uma informação falsa", dissipando completamente essa especulação.

Cerebras acelera expansão com seis novos data centers, aumentando a velocidade de inferência em dez vezes!

A Cerebras Systems anunciou recentemente a construção de seis novos data centers na América do Norte e na Europa para aumentar sua capacidade de inferência de inteligência artificial (IA). Essa iniciativa aumentará significativamente a capacidade de computação da empresa, apoiando o desenvolvimento de vários aplicativos de IA. De acordo com o plano, 85% da capacidade computacional estará concentrada nos EUA, com três instalações já em operação em Santa Clara, Stockton (Califórnia) e Dallas (Texas). Os próximos centros serão localizados em Minneapolis (previsto para o segundo trimestre de 2025), Oklahoma City e Montreal.

Flower Labs lança novo serviço de IA híbrido local e na nuvem – alternância perfeita entre processamento local e computação em nuvem!

Recentemente, a Flower Labs, startup apoiada pela Y Combinator, anunciou a versão de prévia de sua plataforma de nuvem distribuída – Flower Intelligence. Esta plataforma visa fornecer serviços para modelos de inteligência artificial, com a Mozilla já empregando essa tecnologia para suportar seu plugin Assist de resumo para o próximo cliente de email Thunderbird. O diferencial do Flower Intelligence está em...