模型部署服务漏洞
风险概览
风险编号:GAARM.0004.001
风险归属:GAARM.0004
安全阶段:基座安全
生命周期:部署阶段
创建时间:2024.05.01
修改时间:2024.08.09
攻击概述¶
ML模型部署服务漏洞可能存在于模型的接口、支持库,或者与模型交互的应用程序中,例如通过特定漏洞进行窃取模型参数、篡改模型预测结果、直接控制托管模型的服务等。通过漏洞,攻击者可以进行对系统的攻击,例如读取任意文件、植入后门从而获取对系统的控制等。由于ML模型部署服务通常支持将模型以容器的形式,推送部署到本地、云平台ML托管服务、云端K8S集群等多种目标环境下,因此一旦ML模型部署服务被攻击,将会导致下游多个环境的控制权限存在被窃取的风险。
攻击案例¶
| 案例 | 描述 |
|---|---|
| 案例一 | MLFlow中存在文件读取漏洞,攻击者可以读取目标服务器上的任意文件 |
| 案例二 | BentoML中存在反序列化代码执行漏洞,攻击者可以通过发送单个POST请求触发漏洞利用 |
攻击风险¶
- 供应链攻击:如果部署工具的供应链被攻击者渗透,他们可能会在工具中植入后门,从而获得对整个系统的控制。
- 数据泄露:MLOps软件涉及多个模型训练与部署的关键阶段,一旦被控制会导致训练数据、模型参数等敏感信息的泄露。
- 模型篡改:模型的参数或逻辑可能被攻击者修改,导致错误的预测结果。
缓解措施¶
| 缓解方式 | 描述 |
|---|---|
| 安全更新与审计 | 定期更新和审计模型部署软件以修复漏洞并增强安全性 |
| 访问控制 | 实施严格的访问控制措施,确保只有授权用户能够访问和修改部署的模型 |
| 监控和日志 | 实施实时监控和日志记录,以便及时发现和响应可疑活动 |