NVIDIA 是全球知名的 AI 芯片制造商,最近对其 Windows ChatRTX 应用进行了安全更新,修补了三个安全漏洞,其中两个被认定为高风险。ChatRTX 作为一款演示应用程序,允许用户个性化生成预训练变换器GPT大型语言模型LLM,使他们能够查询自定义聊天机器人,以在用户设备上快速获取相关的上下文答案。
NVIDIA 表示,这些漏洞 CVE20240096,CVE20240097 和 CVE20240098 源于 ChatRTX 用户界面中的权限管理不当。该芯片巨头指出,成功利用这些漏洞可能会导致信息泄露、特权升级,以及数据篡改的风险。
蘑菇加速器下载Bambenek Consulting 的总裁约翰班贝克表示,ChatRTX 针对的是特定的市场需求,尤其是那些希望在不将数据上传到云端的情况下,利用 GPT LLM 的组织。这要求开发出一个能在硬件层面上工作的用户界面,这也意味着软件缺陷或不安全设计的可能性,比如 UI 和后端之间的明文通信。
“对组织来说,如果他们计划在本地运行这些系统,就需要像管理其他服务器一样修补和管理它们。这意味着他们的 AI 系统需要有补丁窗口和冗余,以便快速进行安全更新的维护。” 约翰班贝克
聊天生成模型 ChatRTX 当前以版本 03 作为“演示”应用运行,Inversion6 的首席信息安全官克雷格伯兰指出。如果客户希望使用真实数据测试 ChatRTX,他们应该三思而后行,并检查公司的 AI 政策。伯兰建议,演示应用程序 特别是在涉及 AI 的情况下 最好在隔离的测试机器上使用测试数据。
“在当今环境中,补丁管理必须从基于时间的模式演变为基于事件的系统,即‘看到它,测试它,部署它’,” 伯兰表示。“不过,全球各地的企业仍然在努力跟上以往的最佳实践,比如资产清单和 30 天的补丁周期。”
江苏省张家港市扬子江国际化学工业园区南海路35号
