Инфраструктура, которая питает ИИ, также может его сломать

CNCF спонсировал этот пост.

Когда дело доходит до защиты ИИ, большинство разговоров сосредоточено на уровне модели: быстром внедрении, утечке обучающих данных и небезопасных выходных данных. Но есть более непосредственный риск, который часто упускают из виду: инфраструктура, лежащая в основе этих моделей.

Рабочие нагрузки ИИ основаны на тех же основах, что и современные облачные приложения. Это означает, что контейнеры, Kubernetes, общие узлы графического процессора и уровни оркестрации никогда не проектировались с учетом рисков, связанных с ИИ. А поскольку эти компоненты повторно используются в большом масштабе, любая уязвимость в стеке может распространиться на множество платформ и пользователей.

Поскольку исследователи сосредоточились на взломе инфраструктуры искусственного интеллекта, чтобы сделать ее более безопасной, мы своими глазами увидели, как эти риски уже проявляются в реальных условиях.

Графический процессор — новая поверхность атаки

Для эффективного запуска больших моделей организации полагаются на NVIDIA Container Toolkit — стандартный способ запуска контейнеров с поддержкой графического процессора. Он широко используется всеми поставщиками облачных услуг, платформами искусственного интеллекта и любыми организациями, работающими с графическими процессорами NVIDIA.

Поэтому, когда мы обнаружили две отдельные критические уязвимости выхода из контейнера в NVIDIA Container Toolkit, мы выявили серьезные риски для всех, кто использует общую инфраструктуру графических процессоров. И NVIDIAScape (CVE-2025-23266), и CVE-2024-0132 не относятся к крайним сценариям.

Обнаружение двух разных выходов из контейнера, которые предоставляют root-доступ к хост-компьютеру в одном и том же году, сигнализирует о чем-то важном: это новый вектор атаки. Это доказывает, что организации должны проектировать свои системы устойчивыми, предполагая, что злоумышленники прорвут первую линию защиты. Побег из контейнера больше не является вопросом «если», а когда. Вывод очевиден: обеспечение безопасности ИИ не ограничивается моделью. Все начинается с базовой инфраструктуры, на которой оно построено.

Общие платформы искусственного интеллекта несут общий риск

Большинство организаций не имеют собственной инфраструктуры для искусственного интеллекта. Вместо этого они обращаются к ИИ как к поставщику услуг, например Hugging Face или Replication. Обе платформы предназначены для упрощения развертывания и масштабирования.

С помощью Hugging Face мы обнаружили проблему, из-за которой вредоносная модель могла выйти из контейнера и получить доступ к соседним рабочим нагрузкам. С помощью Replication мы обнаружили уязвимость, которая позволяет нам перехватывать запросы и ответы от других пользователей. К счастью, обе компании быстро и совместно с нами работали над решением проблем.

Но закономерность ясна: слабая изоляция между рабочими нагрузками клиентов, слишком широкие разрешения и отсутствие надлежащей сегментации сети по-прежнему слишком распространены. Поскольку ИИ развивается быстро, основы иногда упускаются из виду.

Но мы уже усвоили этот урок: инфраструктура, защищенная по умолчанию, имеет значение, особенно в таком масштабе.

3 способа усилить вашу ИИ-инфраструктуру

Хорошая новость в том, что нам не нужно начинать с нуля. Сообщество облачной безопасности уже заложило прочную основу, от минимальных привилегий до сегментации сети, которая применима непосредственно к ИИ. Вот с чего начать:

Начните с безопасных настроек по умолчанию: Изоляция контейнера, ограниченные разрешения и сегментация сети не должны подлежать обсуждению. Это не «приятно иметь». Они являются важными строительными блоками.

Предположим, что-то сломалось: Ни один элемент управления не является надежным. Можно предположить, что первая линия обороны будет пройдена. Создавайте многоуровневую защиту, ограничивающую радиус взрыва и предупреждающую сбои до того, как они перерастут в эскалацию.

Поймите свою общую ответственность: Независимо от того, используете ли вы собственные модели или платформу, знайте, где заканчиваются обязанности поставщика и начинаются ваши. Защитите данные и конвейеры, находящиеся под вашим контролем.

ИИ меняет способы создания и развертывания программного обеспечения, но он также меняет наши модели угроз. Если мы защитим инфраструктуру, поддерживающую искусственный интеллект, с той же дисциплиной, которую мы применяем к облаку, мы сможем опережать риски, сохраняя при этом быстрое развитие инноваций.

KubeCon + CloudNativeCon North America 2025 пройдет 10–13 ноября в Атланте, штат Джорджия. Зарегистрируйтесь сейчас.

Фонд Cloud Native Computing Foundation (CNCF) размещает критически важные компоненты глобальной технологической инфраструктуры, включая Kubernetes, Prometheus и Envoy. CNCF — это нейтральная площадка для сотрудничества, объединяющая ведущих разработчиков отрасли, конечных пользователей и поставщиков. Узнайте больше Последние новости от CNCF TRENDING STORIES YOUTUBE.COM/THENEWSTACK Технологии развиваются быстро, не пропустите ни одной серии. Подпишитесь на наш канал YouTube, чтобы смотреть все наши подкасты, интервью, демонстрации и многое другое. ПОДПИСАТЬСЯ Группа, созданная в Sketch. Нир Офельд — руководитель исследования уязвимостей в Wiz. Он специализируется на исследованиях безопасности, связанных с облаком, и специализируется на использовании поставщиков облачных услуг, веб-приложений и сложных систем высокого уровня. Офельд и его команда раскрыли некоторые из наиболее важных… Подробнее от Нира Офельда