Mit der raschen Einführung von Plattformen für Machine Learning Operations (MLOps) gehen auch erhebliche neue Sicherheitsherausforderungen einher.
Das JFrog Security Research Team hat kürzlich untersucht, welche Angriffe auf Open-Source-Plattformen für maschinelles Lernen (MLOps) innerhalb von Unternehmensnetzwerken möglich sind.
Die Forschung legte über 20 CVEs bei verschiedene ML-Anbietern offen. Zudem hilft es Entwicklern und Organisationen ein tieferes Verständnis dafür zu erlangen, wie reale Angriffe auf eingesetzte MLOps-Plattformen durchgeführt werden können. In diesem Zusammenhang wurden die Kernfunktionen von MLOps-Plattformen analysiert, die potenziellen Angriffsvektoren für jede Funktion aufgezeigt und bewährte Praktiken für die sichere Bereitstellung von MLOps-Plattformen erläutert.
Schwachstellen in MLOps-Plattformen
MLOps-Plattformen wurden entwickelt, um die Entwicklung und Bereitstellung von ML-Modellen zu optimieren, indem sie Aufgaben wie Modelltraining, Validierung und Deployment über automatisierte Pipelines ermöglichen. Diese Plattformen, zu denen bekannte Tools wie MLFlow, Seldon Core und KServe gehören, bieten umfangreiche Funktionen wie Modellregister und Modellbereitstellung. Das JFrog-Sicherheitsteam stellte jedoch fest, dass diese Funktionen auch als Einfallstore für Angreifer dienen können.
Die Forschung identifizierte zwei Hauptkategorien von Schwachstellen in MLOps-Plattformen: inhärente Schwachstellen und Implementierungsschwachstellen.
Inhärente Schwachstellen ergeben sich aus dem grundsätzlichen Design und der Funktionalität von ML-Technologien. So erlauben viele ML-Modellformate, die in gängigen Bibliotheken verwendet werden, von Natur aus die Ausführung von Code beim Laden. Dies bedeutet, dass das bloße Laden eines nicht vertrauenswürdigen Modells zur Ausführung von beliebigem Code führen kann, was ein erhebliches Risiko darstellt, insbesondere wenn diese Modelle aus öffentlichen Repositories wie Hugging Face stammen.
Eine weitere inhärente Schwachstelle betrifft die Datensätze. Einige Bibliotheken, wie die Hugging Face Datasets-Bibliothek, ermöglichten früher die automatische Ausführung von Code beim Laden von Datensätzen. Obwohl diese Schwachstelle in den jüngsten Updates behoben wurde, bleibt die Möglichkeit ähnlicher Schwachstellen in anderen Bibliotheken bestehen, was die Notwendigkeit für erhöhte Wachsamkeit beim Umgang mit unzuverlässigen Daten unterstreicht.
Schwachstellen bei der Implementierung hingegen resultieren aus spezifischen Design- oder Programmierfehlern innerhalb der MLOps-Plattformen selbst. Das Forschungsteam deckte mehrere solcher Schwachstellen auf, darunter das Fehlen von Authentifizierungsmechanismen in einigen Plattformen, wodurch es unautorisierten Benutzern ermöglicht werden könnte, beliebigen Code auszuführen, indem sie Funktionen der ML-Pipeline missbrauchen. Darüber hinaus könnten Schwachstellen, die das Entkommen aus Containern ermöglichen, in Plattformen wie Seldon Core Angreifern den seitlichen Zugriff innerhalb eines Netzwerks und den Zugang zu sensiblen Modellen und Daten erleichtern.
Auswirkungen für Entwickler und Organisationen
Die Konsequenzen dieser Erkenntnisse sind weitreichend. Für Entwickler und Organisationen, die MLOps-Plattformen nutzen, betont die Studie die dringende Notwendigkeit eines proaktiven Sicherheitsansatzes. Im Folgenden sind einige wesentliche Handlungsempfehlungen aufgeführt:
- Risiken verstehen: Es ist von zentraler Bedeutung, ML-Modelle und Datensätze nicht nur als Daten, sondern als potenzielle Vektoren für bösartigen Code zu betrachten. Organisationen sollten ML-Artefakte mit derselben Sorgfalt behandeln wie jede andere Softwarekomponente.
- Sichere Konfiguration und Bereitstellung: Stellen Sie sicher, dass MLOps-Plattformen mit starken Authentifizierungs- und Zugriffskontrollen ausgestattet sind. Funktionen wie die Modellbereitstellung sollten in sicheren Umgebungen, beispielsweise in Containern, isoliert werden, um das Risiko von Angriffen auf die Codeausführung zu minimieren.
- Regelmäßige Sicherheitsüberprüfungen: Regelmäßige Sicherheitsüberprüfungen der MLOps-Umgebung, einschließlich der Überprüfung von Modellen auf bösartigen Code, sollten zur Standardpraxis gehören. Tools wie JFrogs Xray können dabei helfen, potenzielle Bedrohungen zu identifizieren und zu neutralisieren, bevor sie Schaden anrichten können.
- Informiert und auf dem neuesten Stand bleiben: Da sich der Bereich ML kontinuierlich weiterentwickelt, passen sich auch die Methoden der Angreifer an. Organisationen müssen über die neuesten Schwachstellen und Updates ihrer MLOps-Plattformen informiert bleiben und Sicherheitsupdates zeitnah implementieren.
- Schulung des Teams: Entwickler, Datenwissenschaftler und Betriebsteams müssen über die mit MLOps verbundenen Sicherheitsrisiken aufgeklärt werden. Ein Bewusstsein für diese Probleme kann unbeabsichtigte Sicherheitslücken verhindern, insbesondere beim Umgang mit Modellen und Datensätzen von Drittanbietern.
Fazit
Die Untersuchung des JFrog-Sicherheitsteams hebt einen kritischen, oft übersehenen Aspekt des ML-Ökosystems hervor: die Sicherheitslücken in MLOps-Plattformen. Angesichts der immer weiteren Verbreitung von MLOps-Plattformen ist es für Unternehmen unerlässlich, sowohl die damit verbundenen Risiken als auch die bewährten Verfahren für ihre sichere Bereitstellung und Nutzung zu verstehen. Da ML-Modelle letztlich aus Code bestehen, stellen sie ein leichtes Ziel für die böswillige Ausführung von Remote-Code dar.
Daher müssen Organisationen geeignete Authentifizierungs- und Containerisierungsmaßnahmen bei der Implementierung von MLOps-Frameworks ergreifen, um diese Risiken zu minimieren. Durch die Anwendung bewährter Verfahren, die kontinuierliche Weiterbildung und die Förderung einer Sicherheitskultur können Entwickler und Unternehmen sich effektiv vor den wachsenden Bedrohungen in der ML-Landschaft schützen.
Die komplette Untersuchung des JFrog Research Teams finden Sie hier.
(vp/JFrog)