💳 Потрібна європейська картка з лімітом 50к євро? Встановлюй Trustee Plus 👉
Наталя ХандусенкоШІ
27 січня 2025, 13:23
2025-01-27
У фреймворку Llama від Meta виявили вразливість, яка наражає ШІ-системи на ризики віддаленого виконання коду
У фреймворку великої мовної моделі Llama від Meta виявлено критичну вразливість, яка може дозволити зловмиснику виконати довільний код на сервері llama-stack.
У фреймворку великої мовної моделі Llama від Meta виявлено критичну вразливість, яка може дозволити зловмиснику виконати довільний код на сервері llama-stack.
Вразливість, що відстежується як CVE-2024-50050, отримала оцінку CVSS 6.3 з 10.0. З іншого боку, компанія Snyk присвоїла їй рейтинг критичної серйозності 9.3, пише The Hacker News.
«Уражені версії meta-llama вразливі до десеріалізації ненадійних даних, тобто зловмисник може виконати довільний код, надсилаючи зловмисні десеріалізовані дані», — говорить в аналізі компанії Oligo Security, що займається безпекою хмарних технологій.
Недолік, на думку компанії, полягає в компоненті Llama Stack, який визначає набір API-інтерфейсів для розробки додатків штучного інтелекту (ШІ), в тому числі з використанням власних моделей Llama від компанії Meta.
Вразливість виникає через використання Python-бібліотеки pickle, яка може призводити до виконання довільного коду під час завантаження шкідливих даних.
Коли сокет ZeroMQ відкритий через мережу, зловмисники можуть скористатися цією вразливістю, надсилаючи на сокет шкідливі об'єкти. Оскільки recv_pyobj розпаковує ці об'єкти, зловмисник може досягти довільного виконання коду на вразливому хості.
Вразливість було розкрито у межах відповідального розкриття інформації 24 вересня 2024 року. Meta виправила уразливість 10 жовтня у версії 0.0.41. Також було виправлено в pyzmq, бібліотеці Python, яка надає доступ до ZeroMQ.
«В жовтні випускаємо VR-шолом для аватарів, в «чіпування» Neuralink Маска вірю мало». Про що глава Meta Цукерберг 3 години говорив в подкасті Джо Рогана
25 серпня вийшла чергова серія популярного подкасту The Joe Rogan Experience, гостем якого став глава компанії Meta Марк Цукерберг. Розповідаємо про головне з майже 3-годинного інтерв’ю.