TensorFlow AI-modellek sérülékenysége
A KB.CERT jelentése szerint a harmadik fél TensorFlow-alapú Keras-modellek Lambda-rétegeinek sérülékenysége (CVE-2024-3660) lehetővé teszik a támadók számára, hogy tetszőleges kódot juttassanak be a Keras 2.13 előtti verziókba, amelyek aztán nem biztonságos módon, a futó alkalmazással azonos jogosultságokkal futhatnak. Egy támadó például ezt a funkciót arra használhatja, hogy trójaiakkal trójaiakkal megtöltsön egy népszerű modellt, elmentse és továbbterjessze, beszennyezve ezzel a függő AI/ML alkalmazások ellátási láncát.
A Keras egy neurális hálózatokhoz készült API, amely Python nyelven íródott, és magas szintű felületet biztosít a mélytanulási szoftverkönyvtárak számára, mint például a TensorFlow és a Theano.