மெட்டாவின் லாமா பெரிய மொழி பரிமாற்றம் (LLM) கட்டமைப்பில் ஒரு வசீகரமான பாதுகாப்பு சிக்கல் வெளிப்படுத்தப்பட்டுள்ளது, இது தாக்குதலாளிகள் லாமா-ஸ்டாக் இன்ஃபெரென்ஸ் சர்வரில் சீரற்ற குறியீடுகளை இயக்க பெறக்கூடியதாக அமைகிறது. CVE-2024-50050 எனப் அறியப்படும் இந்த தவறு, மெட்டாவில் இருந்து 6. 3 என்கின்ற CVSS மதிப்பீட்டை பெற்றுள்ள நிலையில், சப்ளை சேனை பாதுகாப்புத் துறையீர்கள் Snyk யால் 9. 3 என மதிப்பீட்டுச் செய்து உள்ளது. Oligo Security-ன் ஆராய்ச்சியாளர் ஆவி லுமெல்ஸ்கியின் படையால், மேட்டாவின் லாமாவின் பாதிக்கப்படும் பதிப்புகள், நம்பமுடியாத தரவின் டெசிரியலைசேஷனுக்குள்ளாக இருக்கின்றன, இதனால் தாக்குதலாளிகள் சீரற்ற குறியீடுகளை இயக்க தேவையான தீங்கு அளிக்கும் தரவுகளை அனுப்ப அதிகம் சாத்தியமாக்கப்படுகின்றது. இந்த பாதுகாப்பு சிக்கல், Python Inference API-ல் தொலைவில் உள்ள குறியீடு செயல்பாட்டுடன் தொடர்புடையது, இது பிக்கிள் நூலகத்தைப் பயன்படுத்தி Python பொருள்களை தானாகவே டெசிரியலைஸ் செய்கிறது, இது நம்பமுடியாத தரவுகளைப் பணியாற்றும் போது சீரற்ற குறியீடு செயல்பாட்டிற்காக ஆபத்தானதாகக் கருதப்படுகிறது. அழுத்திகளை எடைபடுத்தும் ZeroMQ சோக்கட், மெட்டாவின் லாமா மாடல்களுடன் AI செயலிக்கு மேம்படுத்தப்பட்டிருக்ககூடியால், தாக்குதலாளிகள் இந்த தவறை தீயணைப்பு மூலம் பயன்படுத்த முடியும். திட்டமிட்ட தீய உருப்படிகளை அனுப்புவதன் மூலம், ஒரு தாக்குதலாளர் unpickle செயல்பாட்டின் மூலம் மிகை இயந்திரத்தில் குறியீடு செயல்படுத்தக் கூடியதாக இருக்கிறான். செப்டம்பர் 24, 2024 அன்று பொறுப்பான வெளிப்படுத்தலுக்குப் பிறகு, மெட்டா அக்டோபர் 10-ஆம் தேதி 0. 0. 41 பதிப்புக்கு மேம்படுத்தியதும், சோக்கட் தொடர்புகளுக்காக பிக்கிள்-இல் இருந்து JSON-க்கு மாற்றியதும் இந்த சிக்கலை patch செய்தது.

AI கட்ட அமைப்புகளில் பதிவான முதல் டெசிரியலைசேஷன் பாதுகாப்பு சிக்கல் இது அல்ல; உதாரணமாக, TensorFlow-ன் Keras கட்டமைப்பில் இதற்கொண்ட சமீபத்திய பிரச்சினை காணப்பட்டது. இந்த பாதுகாப்பு சிக்கலின் அறிவிப்பு, OpenAI-ன் ChatGPT குரலத்தில் மற்றொரு வண்டியில் உள்ள பிழையைப் பற்றிய அறிக்கையுடன் ஒரே காலத்திலும் நிகழ்ந்தது, இதனால் HTTP POST கோரிக்கைகளை பால் செயலாக்குவதில் புறகணிக்கையை ஏற்படுத்தும் DDoS தாக்குதல்களில் எளிதாக உருவாகிறது. இந்த தவறான அணுகுமுறை, பல இணைப்புகளை கொண்டு குறிக்கோள் இணையதளத்தை அதிகமாக முக்கிலும் கொண்டு வந்து, தாக்குதலாளர்களுக்கு அனுபவிக்க அனுமதிக்கிறது. மேலும், Truffle Security-ன் அறிக்கையொன்றில் சில AI குறியீட்டு உதவிகள் நம்பமுடியாத நடைமுறைகள், API விசைகளை கடினமாகக் கொடுத்தல் போன்றவற்றை தவறாக முன்மொழிய வாய்ப்பு இருப்பதாக மனைப்பொண்ணத்தால் கூறப்படுகிறது, இது பயனர் திட்டங்களில் பாதுகாப்புக்கு ஆபத்தை ஏற்படுத்துகிறது. Joe Leon, ஒரு பாதுகாப்பு ஆராய்ச்சியாளர், LLM களுக்கான பயிற்சி தரவுகள் பல அபூர்வ குறியீட்டு நடைமுறைகளைக் கொண்டுள்ளன, இதனால் ஆபத்துகளை மீண்டும் உருவாக்குகிறது என்று கூறினார். மேலும், ஆராய்ச்சி குறிப்பிட்டது, LLM கள் சைபர் தாக்குதல்களின் பல கட்டங்களில் தவறாகப் பயன்படுத்தப்படலாம், இது மிரட்டலை மேலும் பலப்படுத்துகிறது மற்றும் மனதளவுருக்கு இலக்கங்களைச் செயல்படுத்தும் என்பதால். ShadowGenes போன்ற AI மாதிரிகளை அடையாளம் காணும் தொழில்நுட்பங்களில் ஆராய்ச்சி, கணினி வரைபடங்களைப் பயன்படுத்தி மாதிரி குடும்பங்களை கண்காணிக்க புதிய வழிகளை வெளிப்படுத்துகிறது. HiddenLayer நிறுவனம், ஒரு நிறுவனத்தில் AI மாதிரி குடும்பங்களைப் புரிந்து கொள்வதால் பாதுகாப்பு முகாமைத்துவத்தின் திறனை மேம்படுத்துகிறது என்று வலியுறுத்துகிறது.