知识|Tensor FlowCaffeTorch共同的那些安全漏洞，你知道吗？

Posted 2021-04-24 酷达智能

酷达科技是深度学习软硬件解决方案专家,提供GPU硬件解决方案;CUDA解决方案专家; 面向制造业,影视动漫娱乐硬件解决方案;专业计算金融GPU解决方案;IVA GPU软硬件解决方案。

依赖项恶梦早晚会给每个人带来问题。使用知名人工智能（AI）工具的那些人已被警告及/或被提醒务必要核查依赖的软件包，因为其中一些软件包存在豁然敞开的安全漏洞。

发出这份警告的是来自奇虎360安全研究实验室的肖奇雪（音译，下同）和张德跃、佐治亚大学的李康和弗吉尼亚大学的徐卫林，他们共同写道：“深度学习框架很复杂，高度依赖众多的开源软件包。”

三方在梳理TensorFlow、Caffe和Torch深度学习框架所使用的第三方软件包，并寻找那些软件包中任何敞开的漏洞后得出了这个结论。

他们发现了好几个漏洞，撰文道这些框架很容易遭到拒绝服务攻击、规避攻击或系统威胁。

他们最后在这三种框架中发现了总共15个安全漏洞，不过特别指出这项工作只是初步的研究（The Register预计，言外之意会爆出更多的漏洞）。

开源计算机视觉（opencv）代码库中发现的漏洞数量最多：共有11个CVE，很容易被上述三类攻击所利用。Caffe和Torch中都依赖opencv。

Caffe还依赖了易受攻击的libjasper图像处理代码库和OpenEXR图像查看器。

opencv这个例子如下所示：

相比之下，TensorFlow的情况稍微好一点，只有两个Python软件包：numpy和wave.py容易遭到拒绝服务（DoS）攻击。下面完整列出了研究人员详细描述的安全漏洞。

相比之下，TensorFlow的情况稍微好一点，只有两个Python软件包：numpy和wave.py容易遭到拒绝服务（DoS）攻击。

在一些情况下，如上表所示，这不是框架本身的过错，因为软件包开发人员还没有提供补丁。

要是一些人不先考虑安全性，就贸然试水AI，那还是足以会给他们带来麻烦。

上海酷达计算机科技有限公司

TEL 021-54181199

文章部分内容来自网络