Miles de empresas utilizan el marco Ray para escalar y ejecutar cargas de trabajo de IA complejas, lo que incluye modelos de lenguaje grande (LLM). Sin embargo, una grave vulnerabilidad de seguridad identificada en el sistema, denominada «ShadowRay», ha expuesto datos confidenciales de miles de organizaciones. Este artículo explica cómo funciona la vulnerabilidad y las medidas que puedes tomar para protegerte.

La Vulnerabilidad de Ray: ¿Qué es ShadowRay?

El marco Ray, ampliamente utilizado en entornos de IA de alto rendimiento, enfrenta una falla crítica denominada CVE-2023-48022. Esta vulnerabilidad afecta la API Ray Jobs, permitiendo la ejecución de código remoto y acceso no autorizado a cargas de trabajo de IA. Investigadores de Oligo Security descubrieron que los atacantes podían manipular el sistema, robar datos valiosos y acceder a información sensible, como contraseñas, tokens de OpenAI, y credenciales de bases de datos.

Explotación de Cargas de Trabajo de IA y Datos Confidenciales

A lo largo de los últimos siete meses, ShadowRay ha permitido a los atacantes explotar cargas de trabajo de producción de IA, acceder a entornos de nube (como AWS, GCP y Azure), robar tokens de OpenAI y Slack, y comprometer bases de datos. Estos atacantes no solo roban información sino que también pueden alterar la integridad de modelos de IA y modificar bases de datos sin ser detectados, lo que aumenta el riesgo de comprometer la seguridad empresarial.

Impacto de la Vulnerabilidad en Empresas de Tecnología

Ray es utilizado por gigantes de la tecnología como Amazon, Shopify, LinkedIn, y OpenAI, cuya arquitectura de GPT-3 se entrenó en este marco. Esto subraya la magnitud de la vulnerabilidad: miles de empresas con modelos de IA complejos están en riesgo. Los atacantes pueden aprovechar la falta de autenticación en la API Ray Jobs para ejecutar código arbitrario sin necesidad de permisos. Esto se convierte en un punto ciego para los sistemas de seguridad convencionales.

El Riesgo de Exposición de Datos en la Infraestructura de IA

Entre los datos comprometidos a través de la vulnerabilidad ShadowRay se encuentran:

• Cargas de trabajo de IA: Permiten a los atacantes alterar o robar modelos de IA en fase de entrenamiento.
• Acceso a plataformas en la nube: AWS, GCP, Azure y más, expuestos a filtración de datos confidenciales.
• Contraseñas y credenciales: Acceso no autorizado a OpenAI, Stripe y Slack.
• Tokens y claves SSH: Usados para robar o modificar datos y aplicaciones sensibles.

La Amenaza de la Minería de Criptomonedas

Los atacantes también han utilizado GPU comprometidas en clústeres de Ray para llevar a cabo minería de criptomonedas, lo que ha aumentado el impacto financiero de esta vulnerabilidad. Dado que las GPU son muy costosas y difíciles de conseguir, los atacantes han tenido tiempo de explotar esta infraestructura durante meses, lo que podría haber generado miles de millones de dólares en ganancias a partir de hardware comprometido.

Medidas para Proteger tus Cargas de Trabajo de IA

Los investigadores de Oligo Security recomiendan una serie de acciones preventivas para proteger las infraestructuras de Ray y otras plataformas de IA de posibles ataques. Entre las acciones destacadas:

• Ejecutar Ray dentro de un entorno seguro: Asegúrate de que tus clústeres estén protegidos con firewalls y grupos de seguridad.
• Monitoreo constante: Implementa herramientas de monitoreo para detectar anomalías en los entornos de producción.
• Proxy y autorización: Utiliza proxies y habilita la autorización adicional para acceder a la API Ray Jobs.
• Seguridad de los entornos de nube: Protege las credenciales y claves de acceso a plataformas como AWS, Azure y GCP.

Reflexiones Finales

La vulnerabilidad ShadowRay destaca la importancia de la seguridad en la infraestructura de IA y el código abierto. Si bien las vulnerabilidades ocultas siempre existirán, es crucial que las organizaciones adopten medidas preventivas para proteger sus datos y sistemas. La seguridad en Ray y otras herramientas de IA debe ser una prioridad, ya que la creciente complejidad de estas plataformas abre nuevas puertas para los atacantes.