JFrog(ジェイフロッグ)Security Researchは、機械学習(ML)モデルのスキャンに広く使用されているツールであるPickleScanに、3件の重大なゼロデイ脆弱性を発見した。これらの脆弱性により、攻撃者はPickleScanのマルウェア検出を回避し、悪意のあるMLモデルを配布することで大規模なサプライチェーン攻撃を実行する可能性がある。モデルスキャンツールが使用されているにもかかわらず、PickleScanはこれらの新たに発見された脆弱性のために依然として安全ではない。
PickleScanは業界標準として認められており、Pickleベースのモデルをスキャンするためのオープンソースツールとして業界をリードしている。Pickleバイトコードを解析し、潜在的に危険な操作を実行前に検出してフラグ付けすることで動作する。しかし、このツールがブラックリストベースの検出に依存していることには、利点と限界の両方がある。ブラックリストは既知の危険なパターンを効果的に検出できるが、新しい攻撃ベクトルを検出できないという欠点がある。AIセキュリティー専門家が対処しなければならない、拡大し続ける攻撃対象領域と攻撃の複雑さの増大を考えると、これは大きな課題だ。
PickleScanで発見された脆弱性は、AIエコシステム全体に広範な影響を及ぼす。このツールは数多くの著名な組織やプラットフォームに採用されており、AIセキュリティーインフラの重要な柱となっている。例えば、世界最大のAIモデルリポジトリーであるHugging Faceは、プラットフォームにアップロードされた数百万ものモデルのスキャンにPickleScanを多用している。この統合はAIコミュニティーにとって重要なセーフティネットとなり、最も人気のあるモデル共有プラットフォームの一つであるHugging Faceを介した悪意のあるモデルの配布を防ぐのに役立つ。
JFrogが発見した脆弱性は、AIセキュリティーへのアプローチにおける体系的な問題を浮き彫りにしている。PickleScanへの広範な依存は、エコシステム全体にわたるAIモデルスキャンにおいて単一障害点(SPOF)を生み出す。このツールが機能しなくなると、セキュリティーアーキテクチャー全体が脆弱になる。これらの脆弱性はまた、セキュリティーツールとターゲットアプリケーションがファイルを同じように処理すると想定することの危険性をも示している。PickleScanとPyTorchのファイル処理方法の相違は、悪用可能なセキュリティーギャップを生み出す。AIリポジトリーには数百万ものモデルがホストされているため、これらの脆弱性は、無数の組織に影響を及ぼす大規模なサプライチェーン攻撃を可能にする可能性がある。
出典:JFrog
この製品の詳細については、JFrog製品ページをご覧ください。
