Generatived (Beta) | Cung cấp tin tức và xu hướng mới nhất về AI sáng tạo

Việc tích hợp trí tuệ nhân tạo (AI) vào các hệ thống phần mềm đã làm thay đổi đáng kể môi trường xung quanh việc phát triển và vận hành ứng dụng. Các hệ thống dựa trên AI này, bao gồm các tác nhân và quy trình làm việc tự động, tích cực tham gia vào quá trình ra quyết định và tương tác với các hệ thống khác, tạo ra những thách thức bảo mật mới. Trong khi việc bảo mật các hệ thống này theo truyền thống tập trung vào việc bảo vệ các tín hiệu điều khiển, thì việc bảo mật chuỗi cung ứng ứng dụng AI cũng quan trọng không kém. Các thành phần như khung phần mềm và lớp điều phối là những mục tiêu tiềm năng cho kẻ tấn công, những kẻ có thể khai thác các lỗ hổng để thao túng hành vi của AI hoặc truy cập trái phép vào các tài nguyên nhạy cảm.

Việc phát hiện gần đây một lỗ hổng, CVE-2025-68664 (còn được gọi là LangGrinch), trong LangChain Core nhấn mạnh tầm quan trọng của bảo mật chuỗi cung ứng AI. Lỗ hổng này, liên quan đến việc giải mã dữ liệu không an toàn, có thể cho phép kẻ tấn công trích xuất thông tin nhạy cảm, khởi tạo các lớp không mong muốn hoặc gây ra các tác dụng phụ thông qua việc khởi tạo đối tượng độc hại. Điểm CVSS là 9.3 nhấn mạnh tầm quan trọng của việc tách biệt đúng cách các tín hiệu điều khiển khỏi dữ liệu do người dùng cung cấp trong các hệ thống điều phối AI.

Để giải quyết vấn đề này, các tổ chức sử dụng LangChain được khuyến khích cập nhật lên phiên bản vá lỗi mới nhất của gói langchain-core. Ngoài ra, khả năng quản lý tư thế của Microsoft Defender có thể giúp xác định và giảm thiểu rủi ro liên quan đến chuỗi cung ứng AI. Microsoft Defender đã cập nhật trình quét của mình để cung cấp khả năng hiển thị các khối lượng công việc AI dễ bị tổn thương và xác định các container và máy ảo bị ảnh hưởng. Các nhóm bảo mật cũng có thể sử dụng các khả năng săn lùng nâng cao để chủ động tìm kiếm các dấu hiệu khai thác, chẳng hạn như truy cập bất ngờ vào các biến môi trường hoặc kết nối mạng sau khi tương tác với các mô hình ngôn ngữ lớn (LLM).

Nhóm nghiên cứu bảo mật của Microsoft, bao gồm các đóng góp từ Tamer Salman, Astar Lev, Yossi Weizman, Hagai Ran Kestenberg và Shai Yannai, tiếp tục cung cấp những hiểu biết và hướng dẫn về việc bảo mật các hệ thống dựa trên AI. Các tổ chức được khuyến khích xem lại tài liệu về khả năng bảo vệ theo thời gian thực và tìm hiểu cách bảo vệ hiệu quả các tác nhân và quy trình làm việc AI của họ.