AI熱潮帶來創新商機,但同時也暗藏資安危機。趨勢科技最新研究指出,全球已有數以千計的AI伺服器在沒有認證保護的情況下直接暴露於網路,恐讓駭客輕易入侵,竊取資料、植入惡意程式甚至發動勒索攻擊。
關鍵漏洞來自AI基礎架構元件
趨勢科技企業平台長金敬秀表示,AI對企業來說可能是百年一遇的機會,但若急於導入卻忽視資安防護,後果可能弊大於利。報告點名多個常用元件,包括 ChromaDB、Redis、NVIDIA Triton、NVIDIA Container Toolkit 等,都曾出現零時差漏洞與攻擊手法。
更令人擔憂的是,研究發現:
-
200 多台 ChromaDB 伺服器
-
2,000 台 Redis 伺服器
-
10,000 多台 Ollama 伺服器
在沒有任何驗證機制下,直接暴露於網路環境。
開放原始碼與容器環境同樣是高風險區
許多AI框架使用開放原始碼函式庫,這些元件若含有漏洞並遺留在系統中,將難以察覺與修補。Pwn2Own Berlin競賽中,就有研究人員揭露來自過時 Lua 元件的 Redis 向量資料庫漏洞。
另外,大量AI基礎架構運行在容器環境中,同樣面臨雲端與容器資安威脅。趨勢科技提醒,NVIDIA Container Toolkit也曾被揭露存在漏洞,若未淨化輸入資料並監控執行行為,恐成駭客突破口。
專家建議:安全與開發時程需平衡
NHS SLAM技術長Stuart MacLellan指出,企業若能掌握AI模型的使用情況,並透過政策與流程生成動態風險警報,就能更有效地做出資安決策。
趨勢科技建議,企業與開發團隊應:
-
強化修補管理與漏洞掃描
-
全面盤點軟體元件與第三方函式庫
-
採用容器安全最佳實務
-
檢查組態設定,避免伺服器暴露在網路
趨勢科技呼籲,不論是開發人員社群還是企業客戶,都必須在「安全」與「產品上市速度」之間找到平衡,才能避免讓AI創新變成駭客的溫床。
- 延伸閱讀:AI 時代新危機!資安漏洞大爆發,IBM 揭「影子 AI」讓企業多賠 2,100 萬
- 延伸閱讀:全臺首場市政資安攻防戰!Hack The Tainan揭露超過百項漏洞,強化臺南市政資安韌性
- 延伸閱讀:珍娜·傑克森的《Rhythm Nation》竟成筆電當機元兇,還被微軟列為官方資安漏洞?微軟工程師揭致災真相
請注意!留言要自負法律責任,相關案例層出不窮,請慎重發文!