Uma nova pesquisa da Legit Security mostra que serviços de desenvolvimento GenAI amplamente disponíveis correm o risco de exposição de informações confidenciais ou vazamento de segredos.
A análise da Legit de bancos de dados de vetores desprotegidos descobriu que 30 servidores investigados continham dados corporativos ou privados, incluindo conversas de e-mail da empresa, informações de identificação pessoal (PII) de clientes, números de série de produtos, registros financeiros, currículos e informações de contato.
Além disso, três bancos de dados vetoriais de duas das plataformas mais populares pertencentes a empresas de serviços de engenharia, moda e setor de equipamentos industriais contêm documentos, resumos de mídia, detalhes de clientes e informações de compra.
A Legit entrou em contato com os proprietários desses servidores expostos publicamente, e a maioria deles bloqueou o acesso a eles.
Segredos expostos incluem chaves de API OpenAI e Pinecone, tokens de acesso GitHub e URLs com senhas de banco de dados. A exposição de todas as configurações e prompts LLM desses aplicativos também foi encontrada, o que pode ajudar a criar vulnerabilidades de prompt de exploração mais adiante.
Naphtali Deutsch, ex-Inteligência Militar Israelense e agora pesquisador de segurança na Legit, escreve no blog da empresa: “Quando você implanta software de banco de dados de vetores em um servidor auto-hospedado, um invasor pode explorar vulnerabilidades que existem naquele software e, por exemplo, obter execução remota de código ou escalonamento de privilégios naquele servidor. O risco é ainda mais significativo ao usar software desatualizado, onde as vulnerabilidades são bem conhecidas e facilmente exploradas.”
Para se proteger contra essas ameaças, Deutsch recomenda evitar acesso desnecessário a bancos de dados e serviços de IA, monitorar e registrar atividades em plataformas de IA, garantir que o software seja mantido atualizado e mascarar detalhes confidenciais dos dados antes de usá-los em um LLM.
Crédito da imagem: sdecoret/depositphotos.com
![T-Mobile conclui com sucesso teste de alerta de emergência sem fio via satélite Starlink](https://emundodigital.com/wp-content/uploads/2024/09/T-Mobile-conclui-com-sucesso-teste-de-alerta-de-emergencia-sem.jpeg")
![Scosche lança novos acessórios para os mais recentes dispositivos da Apple](https://emundodigital.com/wp-content/uploads/2024/09/Scosche-lanca-novos-acessorios-para-os-mais-recentes-dispositivos-da.jpeg")
![Usei o KnowRoaming eSIM em uma viagem pela França e foi isso que aprendi (análise)](https://emundodigital.com/wp-content/uploads/2024/09/Usei-o-KnowRoaming-eSIM-em-uma-viagem-pela-Franca-e.jpg")