Awọn alaye ti ikọlu lori awọn amayederun ti a lo ninu idagbasoke ti ilana ikẹkọ ẹrọ PyTorch ti ṣafihan, eyiti o jẹ ki o ṣee ṣe lati yọkuro awọn bọtini iwọle to lati fi data lainidii sinu ibi ipamọ pẹlu awọn idasilẹ iṣẹ akanṣe lori GitHub ati AWS, ati lati rọpo koodu ni akọkọ ti eka ti awọn ibi ipamọ ati ki o fi kan backdoor nipasẹ dependencies. PyTorch itusilẹ spoofing le ṣee lo lati kọlu awọn ile-iṣẹ nla bii Google, Meta, Boeing ati Lockheed Martin ti o lo PyTorch ni awọn iṣẹ akanṣe wọn. Gẹgẹbi apakan ti eto Bug Bounty, Meta san awọn oluwadi $16250 fun alaye nipa iṣoro naa.
Ohun pataki ti ikọlu ni agbara lati ṣiṣe koodu rẹ lori awọn olupin isọpọ igbagbogbo ti o ṣe awọn atunṣe ati ṣiṣe awọn iṣẹ lati ṣe idanwo awọn ayipada tuntun ti a firanṣẹ si ibi ipamọ naa. Ọrọ naa kan awọn iṣẹ akanṣe ti o lo awọn oluṣakoso “Asare Ti gbalejo Ara-ẹni” ita tiwọn pẹlu Awọn iṣe GitHub. Ko dabi Awọn iṣe GitHub ti aṣa, Awọn olutọju ti ara ẹni ti gbalejo ko ṣiṣẹ lori awọn amayederun GitHub, ṣugbọn lori awọn olupin tiwọn tabi ni awọn ẹrọ foju ti o ni itọju olupilẹṣẹ.
Ṣiṣe awọn iṣẹ apejọ lori awọn olupin rẹ gba ọ laaye lati ṣeto ifilọlẹ koodu ti o le ṣayẹwo nẹtiwọọki inu ti ile-iṣẹ kan, wa FS agbegbe fun awọn bọtini fifi ẹnọ kọ nkan ati awọn ami iwọle, ati ṣe itupalẹ awọn oniyipada ayika pẹlu awọn aye lati wọle si ibi ipamọ ita tabi awọn iṣẹ awọsanma. Ni laisi ipinya to dara ti agbegbe apejọ, data aṣiri ti a rii ni a le firanṣẹ si awọn ikọlu ni ita, fun apẹẹrẹ, nipasẹ iraye si awọn API ita. Lati pinnu lilo Runner Ti gbalejo nipasẹ awọn iṣẹ akanṣe, ohun elo irinṣẹ Gato le ṣee lo lati ṣe itupalẹ awọn faili ṣiṣanwọle ti gbangba ati awọn igbasilẹ ifilọlẹ iṣẹ-ṣiṣe CI.
Ni PyTorch ati ọpọlọpọ awọn iṣẹ akanṣe miiran ti o lo Isare ti Ti gbalejo, awọn olupilẹṣẹ nikan ti awọn ayipada wọn ti jẹ atunyẹwo ẹlẹgbẹ tẹlẹ ati ti o wa ninu koodu koodu iṣẹ naa ni a gba laaye lati ṣiṣẹ awọn iṣẹ kikọ. Nini ipo “oluranlọwọ” nigba lilo awọn eto aiyipada ni ibi ipamọ jẹ ki o ṣee ṣe lati ṣe ifilọlẹ awọn olutọju GitHub Actions nigba fifiranṣẹ awọn ibeere fifa ati, ni ibamu, ṣiṣẹ koodu rẹ ni eyikeyi agbegbe GitHub Actions Runner ti o ni nkan ṣe pẹlu ibi ipamọ tabi ajo ti n ṣakoso iṣẹ naa.
Ọna asopọ si ipo “oluranlọwọ” yipada lati rọrun lati fori - o to lati kọkọ fi iyipada kekere kan silẹ ki o duro de gbigba rẹ sinu ipilẹ koodu, lẹhin eyi ti olupilẹṣẹ gba ipo alabaṣe ti nṣiṣe lọwọ laifọwọyi, ti awọn ibeere fifa gba laaye lati ni idanwo ni awọn amayederun CI laisi ijẹrisi lọtọ. Lati ṣaṣeyọri ipo olupilẹṣẹ ti nṣiṣe lọwọ, idanwo naa pẹlu awọn iyipada ohun ikunra kekere lati ṣe atunṣe awọn titẹ sita ninu iwe. Lati ni iraye si ibi-ipamọ ati ibi ipamọ ti awọn idasilẹ PyTorch, ikọlu lakoko ti o n ṣiṣẹ koodu ni “Asare Ti gbalejo Ti ara ẹni” ti gba ami GitHub ti a lo lati wọle si ibi ipamọ lati awọn ilana ṣiṣe, ati awọn bọtini AWS ti a lo lati fipamọ awọn abajade kikọ. .
Ọrọ naa kii ṣe pato si PyTorch ati pe o kan ọpọlọpọ awọn iṣẹ akanṣe nla miiran ti o lo awọn eto aiyipada fun “Asare-Ti gbalejo” ni Awọn iṣe GitHub. Fun apẹẹrẹ, imuse ti awọn ikọlu ti o jọra ni a mẹnuba lati fi sori ẹrọ ẹhin ni diẹ ninu awọn Woleti cryptocurrency nla ati awọn iṣẹ akanṣe blockchain pẹlu capitalization bilionu-dola, ṣe awọn ayipada si awọn idasilẹ ti Microsoft Deepspeed ati TensorFlow, fi ẹnuko ọkan ninu awọn ohun elo CloudFlare, ati tun ṣiṣẹ. koodu lori kọmputa kan lori Microsoft nẹtiwọki. Awọn alaye ti awọn iṣẹlẹ wọnyi ko tii ṣe afihan. Labẹ awọn eto ẹbun bug ti o wa tẹlẹ, awọn oniwadi ti fi diẹ sii ju awọn ohun elo 20 fun awọn ere ti o tọ ọpọlọpọ ẹgbẹrun dọla.
orisun: opennet.ru