漏洞|AI安全堪忧:360 AI安全研究院披露谷歌Tensorflow 24个漏洞
_原题为 AI安全堪忧:360 AI安全研究院披露谷歌Tensorflow 24个漏洞
近日 , 360 AI安全研究院向谷歌Tensorflow进行了安全测试 , 并提交了24个漏洞 , 目前均已被谷歌确认 , 影响上千万开发人员 。 据悉 , 谷歌 Tensorflow官网显示共有35个漏洞 , 其中360集团挖掘发现24个 , 是提交漏洞最多的公司 , 在数量上名列全球首位 。
360提交漏洞后 , 谷歌对所有漏洞划分危险等级 , 分为严重、高危、中危、低危四种类型 。 在本次360提交的24个漏洞中 , 其中危险等级严重的漏洞(critical severity)2个 , 高危(high severity)8个 , 中危(moderate severity)12个 , 低危(low severity)2个 。
对谷歌来说 , 360此次提交的漏洞对Tensorflow迭代更新有很大影响 , 目前谷歌已经对24个漏洞全部修复 。
Tensorflow是目前最流行的机器学习框架之一 , 由谷歌2015年11月推出 , 深受AI开发人员、应用开发人员喜爱 , 其下载量已达上千万级 。
【漏洞|AI安全堪忧:360 AI安全研究院披露谷歌Tensorflow 24个漏洞】不过 , 在方便开发者的同时 , Tensorflow也面临一定安全风险 。 360 AI安全研究院指出 , 机器学习框架是最重要的人工智能基础设施 , 但目前在研发机器学习框架时 , 更多关注其功能、性能以及面向开发者的易用性 , 却缺乏严格的安全测试管理和认证 , 一旦其安全风险被攻击者恶意利用 , 就会危及AI产品和应用的可用性和可靠性 , 甚至导致重大的财产损失与恶劣的社会影响 。
“任何程序员都可以在Tensorflow里开发产品 , 如果它本身有漏洞 , 那么开发人员用它时就会遇到风险 , 比如攻击者可以控制开发人员的电脑 , 进而可以窃取各种信息 , 或者安装后门等 。 ”360 AI安全研究院举例说 , “此外 , 若Tensorflow框架存在安全问题 , 普通用户在使用依赖于该框架的AI应用时 , 也将面临安全风险 。 ”
据悉 , 360 AI安全研究院隶属于360未来安全研究院 , 专注于人工智能与安全前沿技术研究 , 是全球首个从系统实现角度对AI关键基础设施进行攻击的团队 , 目前已经研制完成多款先进的漏洞挖掘工具 , 累计发现100多个主流机器学习框架及依赖组件漏洞 , 影响范围包括Tensorflow、Caffe、PyTorch、OpenVINO等 。
360 AI安全研究院建议 , 未来各厂商应加强在框架安全方面的重视和投入 , 特别是要对涉及框架外部环境交互的模块、软件供应链等环节进行重点安全性检测 。 另外 , 框架安全应协同硬件安全、算法安全、数据安全等软硬件各维度的安全防御技术 , 进而建立一体化安全防御体系 。
推荐阅读
- 国际和平与安全|中国代表:美国在裁军与国际安全领域倒行逆施的十个事实
- 市长|副市长李丰到佛冈检查指导安全生产工作
- 人信息|手机失窃引发的安全思考,“脸”之危局从何说起
- 联合实验室|腾讯携手虎牙成立安全联合实验室 “AI审核+安全攻防”构建更健康直播生态
- 联合实验室|腾讯、虎牙成立安全联合实验室 共建AI智能审核平台
- 吉尔吉斯斯坦|俄媒:吉尔吉斯斯坦前总统被安全部队逮捕
- 联合实验室|腾讯携手虎牙成立安全联合实验室 共建AI智能审核平台
- 华夏航空|保障旅客乘机安全 华夏航空完成航班安保测试
- |驻埃塞俄比亚使馆提醒中国公民关注当地安全形势
- 逃生|秋季应急逃生演练 让安全意识深入人心