منصة واحدة، أربع ثغرات: كيف يحوّل DifyTap عزلة الذكاء الاصطناعي إلى نقطة ضعف
تكشف مجموعة من ثغرات Dify كيف يمكن لأنظمة الذكاء الاصطناعي متعددة المستأجرين أن تتسرب عبر الحدود التنظيمية عندما تفشل عمليات التحقق من التفويض في طبقة التحكم.
لا تكمن مشكلة الأمان في منصات الذكاء الاصطناعي الحديثة دائما في النموذج نفسه. أحيانا تكون في الآلية المحيطة به: الآثار، ومعاينات الملفات، والسجلات، والمكونات الإضافية، والإعدادات الخاصة بكل مستأجر. في حالة DifyTap، أفيد بأن أربع ثغرات في حزمة Dify LLMOps خلقت خطرا لتسرب البيانات بين المستأجرين، مع تصنيف اثنتين منها على أنهما حرجتان واثنتين لا تتطلبان أي مصادقة. هذا المزيج مهم لأنه يخفض عتبة الاستغلال مع توسيع نطاق الأثر المحتمل.
حقائق سريعة
- DifyTap هو الاسم المرتبط بأربع ثغرات تؤثر في Dify.
- اثنتان من الثغرات مصنفتان على أنهما حرجتان، واثنتان لا تتطلبان مصادقة.
- يرتكز الخطر على انكشاف المحادثات الخاصة مع الذكاء الاصطناعي وغيرها من المحتويات الحساسة عبر المستأجرين.
- يوصف Dify بأنه يدعم أكثر من مليون تطبيق ذكاء اصطناعي.
- النقاط الأكثر حساسية هي نقاط النهاية الخاصة بالمستأجر مثل إعدادات الآثار ومسارات معاينة الملفات.
لماذا يعد هذا النوع من الأخطاء خطيرا
يقع Dify في طبقة LLMOps، حيث يمكن لمنصة واحدة إدارة سير العمل، والوصول إلى النماذج، والمراقبة، والملفات المرفوعة، وسجل المحادثات لعدد كبير من العملاء في وقت واحد. هذه البنية فعالة، لكنها تعني أيضا أن غياب فحص واحد للملكية يمكن أن يخترق الجدار بين المستأجرين. عمليا، قد تسمح ثغرة في إعدادات الآثار لمهاجم بالتأثير في مسار إرسال الرسائل والردود، بينما قد تكشف مشكلة في معاينة الملفات نصا من المستندات المرفوعة إذا لم تتحقق المنصة من مالك الملف.
ولهذا السبب فإن هذه المشكلات أكثر من مجرد أخطاء برمجية عادية. ففي بيئة ذكاء اصطناعي مشتركة، قد تكون المطالبات والردود والبيانات الوصفية ومعاينات المستندات كلها حساسة. وإذا تمكن المهاجمون من الوصول إلى هذه الأسطح، فقد يجمعون سياق الأعمال أو التعليمات الداخلية أو المواد المصدرية التي لم يكن من المفترض أن تغادر مساحة عمل واحدة.
والدرس الأوسع هو أن منصات الذكاء الاصطناعي ترث نفس قواعد الأمان الخاصة بالبرمجيات كخدمة، لكن مع بيانات أعلى قيمة وبنية تحتية أكثر تعقيدا. تساعد بيئات العزل والخدمات المنفصلة، لكنها لا تغني عن التفويض الصارم على كل نقطة نهاية تقرأ أو تعاين أو تسجل أو تعيد توجيه المحتوى. يقلل برنامج وكيل إضافي منفصل أو صندوق رمل لتنفيذ التعليمات البرمجية من المخاطر في جزء من الحزمة، لكنه لا يعوض عن ضعف التحقق من المستأجر في موضع آخر.
حتى وقت كتابة هذا التقرير، لا تثبت المعلومات العامة بالكامل سلسلة الاستغلال الكاملة، أو القائمة الكاملة لأنواع البيانات المكشوفة، أو ما إذا كان قد حدث أي اختراق نشط. وتشير الأدلة المتاحة إلى تحليل للمخاطر، لا إلى استنتاج بأن كل عملية نشر أو كل مستأجر قد تأثر.
بالنسبة للمدافعين، فإن الاستجابة العملية واضحة: قم بالتحديث بسرعة، وراجع فحوصات المستأجر ومساحة العمل، وتعامل مع السجلات والمعاينات باعتبارها بيانات حساسة، وراقب أي تغييرات غير معتادة في مزود الآثار أو الطلبات المتكررة للمعاينة. في أنظمة الذكاء الاصطناعي متعددة المستأجرين، قد يصبح أصغر خطأ في التفويض أقصر طريق من السياق الخاص لعميل إلى انكشافه لدى عميل آخر.
الخلاصة
يذكرنا DifyTap بأن أمن الذكاء الاصطناعي لا يقتصر على سلامة النموذج أو إساءة استخدام المطالبات. فموضع الضعف الحقيقي غالبا ما يكون في طبقة التحكم، حيث تلتقي الهوية، والتعددية بين المستأجرين، وتوجيه المحتوى. وعندما تختل تلك الطبقة، يمكن أن ينتقل الأثر بصمت وبشكل جانبي، ولهذا تستحق ضوابط العزل نفس القدر من الاهتمام الذي يحظى به النموذج نفسه.
WIKICROOK
- LLMOps: الطبقة التشغيلية لبناء ونشر ومراقبة وإدارة تطبيقات نماذج اللغة الكبيرة.
- المستأجر: حد معزول للعميل أو المؤسسة داخل منصة متعددة المستأجرين.
- تجاوز التفويض: ثغرة تسمح للمستخدم بالوصول إلى البيانات أو تنفيذ الإجراءات دون فحص الوصول المطلوب.
- إعدادات الآثار: إعدادات تتحكم في المكان الذي ترسل إليه بيانات تفاعل الذكاء الاصطناعي والقياسات عن بعد للمراقبة أو التحليل.
- تسرب بين المستأجرين: انكشاف بيانات أحد العملاء لعميل آخر داخل النظام المشترك نفسه.
