كشف فريق الأبحاث الأمنية في JFrog عن سلسلة من الثغرات الأمنية في مشاريع مفتوحة المصدر المتعلقة بتعلم الآلة. يهدف هذا البحث إلى تعزيز الأمان في بيئة تطوير ونشر البرمجيات مفتوحة المصدر.
تم اكتشاف 22 ثغرة فريدة في 15 مشروعًا مختلفًا، مما يبرز التحديات الأمنية التي تواجهها تقنيات تعلم الآلة مقارنةً بالتقنيات الأخرى مثل DevOps وخوادم الويب. تتنوع الثغرات بين تلك المتعلقة بالخوادم وتلك المتعلقة بالعملاء.
أحد الأمثلة البارزة هو ثغرة في أداة Weave من Weights & Biases، حيث يمكن للمهاجمين استخدام تقنية "اجتياز الدليل" للوصول إلى ملفات النظام. تم إصلاح هذه الثغرة في الإصدار 0.50.8.
كما تم اكتشاف ثغرات في منصة ZenML، والتي يمكن أن تسمح للمهاجمين بترقية صلاحياتهم إلى مستوى المدير. تم حل هذه المشكلة بسرعة بعد الإبلاغ عنها.
يؤكد الباحثون على أهمية معالجة هذه الثغرات لضمان أمان الأنظمة التي تعتمد على تعلم الآلة، خاصة مع زيادة استخدام هذه التقنيات في المؤسسات الكبيرة.