Злоумышленники обнаружили, что во время обучения моделей искусственного интеллекта происходили подделки, что могло привести к искажению результатов. Хакеры смогли получить доступ к внутренним сетям, базам данных и учетным записям на таких платформах, как OpenAI, Hugging Face, Stripe и Azure.
Они использовали взломанные серверы для установки майнеров с целью кражи вычислительной мощности для майнинга криптовалюты. Кроме того, злоумышленники настроили инструменты для удаленного управления серверами, что позволило им выполнять дополнительные атаки.
Основная уязвимость заключается в центральной панели Ray, где по умолчанию отсутствует процедура аутентификации. Любой человек, получивший доступ к ней, может просматривать команды, копировать данные и выполнять код.
Специалисты по безопасности считают эту проблему крайне серьезной. Однако разработчик Ray, компания Anyscale, отрицает уязвимость. Они утверждают, что Ray предназначен для удаленного выполнения кода и должен быть развернут в защищенной сети.
Хотя Anyscale планирует внедрить процедуры аутентификации в будущем, основным приоритетом для них является контроль пользователей и безопасность системы.