Tenable: Dados e modelos de IA vulneráveis à manipulação, à adulteração e ao vazamento de dados

Pesquisa feita pela Tenable Research confirma que a combinação nuvem e Inteligência Artificial está transformando o ambiente das corporações. Mas há questões sérias a serem resolvidas, especialmente, as vulnerabilidades cibernéticas e o uso da nuvem pública – AWS, Google Cloud e Microsoft Azure para o desenvolvimento de IA em nuvem.

O levantamento revela que aproximadamente 70% das cargas de trabalho de IA na nuvem contêm pelo menos uma vulnerabilidade não corrigida. Uma vulnerabilidade em particular, a CVE-2023-38545, crítica em *cURL, ferramenta open source utilizada para transferência de dados entre servidor/cliente, em 30% das cargas de trabalho de IA na nuvem. Essa vulnerabilidade permite que invasores executem remotamente código arbitrário e obtenham acesso completo aos sistemas afetados.

“Integrar IA e nuvem requer uma abordagem capaz de prevenir ataques, vazamentos e de garantir a integridade dos dados”
Arthur Capella, diretor geral da Tenable no Brasil

Além das vulnerabilidades, as configurações incorretas também são uma preocupação. Setenta e sete por cento das organizações têm a conta de serviço padrão do Compute Engine com privilégios excessivos configurada no Google Vertex AI Notebooks, o que significa que todos os serviços criados neste Compute Engine padrão estão em risco. Isso porque um bloco mal configurado é capaz de causar uma falha que pode vir a ser catastrófica para uma empresa.

A vulnerabilidade CVE-2023-38545, crítica em *cURL, ferramenta open source utilizada para transferência de dados entre servidor/cliente, foi encontrada em 30% das cargas de trabalho de IA na nuvem.

Outro ponto a ser avaliado é o risco à distorção dos resultados do modelo. O estudo da Tenable mostra que 14% das organizações que usam o Amazon Bedrock, a plataforma de IA da AWS, não bloqueiam explicitamente o acesso público e pelo menos 5% das empresas têm um bucket, ambiente virtual onde se armazena e gerencia dados de forma organizada para treinamento, excessivamente permissivo.

O relatório da Tenable observa ainda que 91% dos usuários do Amazon SageMarket, serviço de aprendizagem de máquina gerenciada pela hiperscaler, têm pelo menos um notebook que, se comprometido, pode conceder acesso não-autorizado a qualquer usuário, o que permite uma possível modificação de todos os arquivos.

O diretor geral da Tenable no Brasil, Arthur Capella, é taxativo: a integração entre nuvem e IA é um caminho sem volta no ambiente corporativo, mas exige conscientização com relação à segurança cibernética. “Integrar IA e nuvem requer uma abordagem capaz de prevenir ataques, vazamentos e de garantir a integridade dos dados”, completa.