Une récente enquête menée par le chercheur Naphtali Deutsch a mis en lumière une faille de sécurité préoccupante. En scannant le web, il a découvert que des centaines de serveurs de grands modèles linguistiques (LLM) open source et des dizaines de bases de données vectorielles divulguaient des informations sensibles. Ces fuites sont dues au fait que de nombreuses entreprises, dans leur hâte d'intégrer l'intelligence artificielle (IA) à leurs processus, négligent souvent la sécurité des outils utilisés.
Source : Image générée par IA, fournie par Midjourney
Flowise est un outil low-code permettant de créer diverses applications LLM, qu'il s'agisse de chatbots ou d'outils de génération et d'extraction de données. Bien que la plupart des serveurs Flowise soient protégés par mot de passe, cette seule mesure ne suffit pas à garantir la sécurité.
Deutsch a indiqué que des chercheurs avaient déjà découvert, cette année, une faille d'authentification dans Flowise. Il suffisait de mettre en majuscules quelques caractères des points de terminaison de l'API pour exploiter cette vulnérabilité. En utilisant cette faille, Deutsch a réussi à accéder à 438 serveurs Flowise, découvrant des données sensibles telles que des jetons d'accès GitHub, des clés API OpenAI, des mots de passe et des clés API Flowise, ainsi que des configurations et des invites liées aux applications Flowise.
Au-delà de Flowise, Deutsch a également trouvé une trentaine de bases de données vectorielles dépourvues de toute vérification d'authentification. Ces bases de données contenaient des informations manifestement sensibles, notamment des e-mails privés d'une entreprise de services d'ingénierie, des documents d'une entreprise de mode, des informations personnelles et des données financières de clients d'une entreprise d'équipements industriels. Le risque lié aux fuites de bases de données vectorielles est encore plus élevé, car les pirates peuvent non seulement voler des données, mais aussi les supprimer, les détruire ou y implanter des logiciels malveillants, affectant ainsi l'utilisation des outils IA par les utilisateurs.
Pour réduire ces risques, Deutsch recommande aux entreprises de limiter l'accès aux services IA utilisés, de surveiller et de consigner les activités liées à ces services, de protéger les données sensibles transmises par les applications LLM et d'appliquer systématiquement les mises à jour logicielles lorsque cela est possible.
Il souligne que, avec la popularisation de ces outils, de nombreux développeurs ne possèdent pas les connaissances suffisantes en matière de sécurité pour effectuer une configuration appropriée, la sécurité étant souvent en retard sur le développement technologique.
Points clés :
1. 🔒 Des centaines de LLM et de bases de données vectorielles divulguent des informations sensibles, situation sécuritaire préoccupante pour les entreprises.
2. 💻 L'outil Flowise présente une faille d'authentification exploitée par des pirates pour accéder à de nombreux serveurs.
3. 🛡️ Les experts recommandent aux entreprises de renforcer le contrôle d'accès aux services IA, de surveiller régulièrement et de mettre à jour les mesures de sécurité.
