2024-04-24 14:30 (수)
MLflow, ClearML 등 오픈소스 AI 플랫폼 치명적 보안취약점 주의
상태바
MLflow, ClearML 등 오픈소스 AI 플랫폼 치명적 보안취약점 주의
  • 길민권 기자
  • 승인 2024.01.22 01:31
이 기사를 공유합니다

최근 Huntr 버그 바운티 플랫폼 보안연구원들이 오픈소스 인공지능 및 머신러닝(AI/ML) 플랫폼에서 심각한 보안취약점을 발견했다.

영향을 받은 플랫폼에는 MLflow, ClearML, Hugging Face(허깅 페이스)가 포함되어 있어 다양한 산업에서 사용되는 AI 솔루션의 보안에 대한 불암감을 일어나고 있다.

머신 러닝 개발을 간소화하기 위해 널리 사용되는 플랫폼인 MLflow에 CVSS 10점을 받은 심각한 취약점 4개가 발견됐다.

CVE-2023-6831 취약점은 공격자가 유효성 검사를 우회하고 서버의 모든 파일을 삭제할 수 있다.

CVE-2024-0520은 mlflow.data 모듈의 취약성이다. mlflow.data 모듈의 결함으로 인해 공격자가 데이터 세트를 조작할 수 있으며, 잠재적으로 원격 코드 실행(RCE)으로 이어질 수 있다.

CVE-2023-6977 취약점은 공격자가 경로 유효성 검사 우회를 악용해 서버의 민감한 파일을 읽을 수 있다.

CVE-2023-6709는 레시피 구성을 통한 원격 코드 실행 취약점이다. 악성 레시피 구성을 로드하면 원격 코드 실행이 발생할 수 있다.

한편 머신러닝 애플리케이션 구축 도구로 잘 알려진 Hugging Face에서 심각한 취약점이 발견됐다.

CVE-2023-7018은 트랜스포머에서 원격 코드 실행 취약점이다. 기능에 제한이 없어 악성 파일이 자동으로 로드되어 잠재적으로 원격 코드 실행이 가능하다.

또 ML 실험 자동화를 위한 엔드투엔드 플랫폼인 ClearML에서 심각도가 높은 XSS 취약점이 발견되었다:

CVE-2023-6778은 마크다운 편집기에 저장된 XSS 취약점이다. 마크다운 편집기의 필터링되지 않은 데이터로 인해 악성 XSS 페이로드가 삽입되어 사용자 계정이 손상될 위험이 있다.

사용자는 이러한 잠재적 위협을 완화하고 머신 러닝 작업의 보안을 강화하기 위해 플랫폼을 최신 버전으로 즉시 업데이트해야 한다.

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★

■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★