Если мы обеспечим безопасность инфраструктуры, на которой работает искусственный интеллект, с той же дисциплиной, что и облачной, мы сможем избежать рисков, сохранив при этом высокую скорость внедрения инноваций, пишет на портале The New Stack Нир Офельд, руководитель отдела исследований уязвимостей компании Wiz.

Когда речь заходит о безопасности ИИ, большинство разговоров сосредоточено на уровне модели: инъекция подсказки, утечка обучающих данных и небезопасные выходные данные. Но есть и более непосредственный риск, который часто упускают из виду: инфраструктура, на которой работают эти модели.

Рабочие нагрузки ИИ основаны на тех же принципах, что и современные облачные приложения. Контейнеры, Kubernetes, общие узлы GPU и уровни оркестровки никогда не разрабатывались с учетом специфических для ИИ рисков. А поскольку эти компоненты используются многократно в больших масштабах, любая уязвимость в стеке может каскадно распространяться на несколько платформ и пользователей.

Поскольку мы как исследователи сосредоточились на взломе инфраструктуры ИИ, чтобы сделать ее более безопасной, то смогли своими глазами увидеть, как эти риски уже проявляются в реальных условиях.

Графический процессор — новая поверхность атаки

Для эффективного запуска больших моделей организации используют NVIDIA Container Toolkit — стандартный инструмент для запуска контейнеров на базе GPU. Он широко применяется всеми облачными провайдерами, платформами ИИ и любыми организациями, работающими с графическими процессорами NVIDIA.

Поэтому, обнаружив в NVIDIA Container Toolkit две отдельные критические уязвимости, связанные с возможностью для злоумышленника выйти за пределы изолированной среды контейнера, мы выявили серьезные риски для всех, кто использует общую инфраструктуру графических процессоров. Как NVIDIAScape (CVE-2025-23266), так и CVE-2024-0132 не являются исключительными сценариями.

Обнаружение двух различных возможностей получения доступа к ресурсам за пределами контейнера, предоставляющих root-доступ к хост-машине, в одном и том же году — важный сигнал: это новый вектор атаки. Он доказывает, что организации должны проектировать свои системы устойчивыми, предполагая, что злоумышленники прорвутся через первую линию обороны. Доступа к ресурсам за пределами контейнера — это уже не вопрос «если», а вопрос «когда». Вывод очевиден: безопасность ИИ не ограничивается моделью. Она начинается с базовой инфраструктуры, на которой работает модель.

Совместные платформы ИИ несут общий риск

Большинство организаций не используют собственную инфраструктуру для ИИ. Вместо этого они обращаются к ИИ-сервисам от поставщиков услуг, таким как Hugging Face или Replicate. Обе платформы разработаны для упрощения развертывания и масштабирования.

В Hugging Face мы обнаружили проблему, из-за которой вредоносная модель может вырваться из своего контейнера и получить доступ к соседним рабочим нагрузкам. В Replicate мы обнаружили уязвимость, которая позволила нам перехватывать запросы и ответы других пользователей. К счастью, обе компании оперативно и в сотрудничестве с нами работали над устранением проблем.

Но закономерность очевидна: слабая изоляция рабочих нагрузок клиентов, чрезмерно широкие права доступа и отсутствие надлежащей сегментации сети все еще слишком распространены. В условиях быстрого развития ИИ базовые вещи иногда упускаются.

Но мы уже ранее усвоили урок: безопасная по умолчанию инфраструктура важна, особенно в таких масштабах.

Три способа укрепить вашу инфраструктуру ИИ

Хорошая новость заключается в том, что нам не нужно начинать с нуля. Сообщество специалистов по облачной безопасности уже заложило прочный фундамент, от минимальных привилегий до сегментации сети, который напрямую применим к ИИ. Вот что следует сделать:

  1. Начните с безопасных настроек по умолчанию: изоляция контейнеров, ограниченные разрешения и сегментация сети должны быть неизменными. Это не просто «приятно иметь», это важные строительные блоки.
  2. Будьте готовы к тому, что что-то сломается: ни один элемент управления не является абсолютно надежным. Вы должны предполагать, что первая линия обороны будет пройдена. Создайте многоуровневую защиту, которая ограничивает радиус атаки и выявляет сбои до их эскалации.
  3. Будьте готовы разделить ответственность: независимо от того, используете ли вы собственные модели или какую-то платформу, следует понимать, где заканчиваются обязанности поставщика и начинаются ваши. Обеспечьте безопасность данных и конвейеров, находящихся под вашим контролем.

ИИ меняет способы разработки и развертывания ПО, но он также меняет наши модели угроз. Если мы защитим инфраструктуру, на которой работает ИИ, с той же дисциплиной, что и в облаке, мы сможем опережать риски и одновременно обеспечивать быстрое развитие инноваций.