Уязвимость LLM Meta Llama позволяет хакерам легко взломать системы и распространять вредоносное ПО

27.01.2025
3Ek42Bm7W4No2qAL4PKvCU 1200 80 3Ek42Bm7W4No2qAL4PKvCU 1200 80

Исследователи обнаружили уязвимость в модели Llama от Meta, позволяющую удаленно выполнять код

  • Meta исправила проблему в октябре 2024 года
  • Проблема заключалась в использовании pickle для сериализации данных при передаче через сокет

Уязвимость в Llama: обзор ситуации

Модель Llama от Meta, относящаяся к категории крупных языковых моделей, оказалась под угрозой. Специалисты заявляют, что злоумышленники могли использовать уязвимость для выполнения произвольного кода на скомпрометированных серверах.

Подробности уязвимости

Исследователи по кибербезопасности из Oligo Security опубликовали анализ ошибки под кодом CVE-2024-50050. Национальная база данных уязвимостей присвоила ей среднюю степень опасности.

Реклама

Уязвимость была обнаружена в компоненте Llama Stack, который разработан для оптимизации внедрения, масштабирования и интеграции крупных языковых моделей. Oligo отметили, что уязвимая версия была подвержена десериализации недоверенных данных, что позволяло злоумышленникам запускать произвольный код посредством отправки вредоносных данных для десериализации.

Национальная база данных описывает уязвимость следующим образом: «До версии с ревизией 7a8aa775e5a267cf8660d83140011a0b7f91e005 Llama Stack использовал pickle для сериализации данных при передаче через сокет, что возможно позволяло удаленному выполнению кода».

Решение проблемы

В результате изменения, коммуникация через сокет теперь осуществляется с использованием формата JSON. Исследователи сообщили Meta о проблеме 24 сентября. Компания выпустила исправление 10 октября с выпуском версии 0.0.41. Также проблема была решена в библиотеке pyzmq, обеспечивающей доступ к библиотеке сообщений ZeroMQ на Python.

Вместе с исправлением Meta опубликовала рекомендации по безопасности, в которых сообщила сообществу об устранении риска удаленного выполнения кода, связанного с использованием pickle для сериализации данных. Решением стала смена формата на JSON.

Llama и её предназначение

LLaMA, или Large Language Model Meta AI, представляет собой серию языковых моделей, разработанных Meta. Они предназначены для задач обработки естественного языка, таких как генерация текста, резюмирование, перевод и другие.

Источник: TechRadar

ПульсХаб
Опубликовано
Добавить комментарий

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

Будьте в курсе самых важных событий

Нажимая кнопку "Подписаться", вы подтверждаете, что ознакомились с нашими условиями и соглашаетесь с ними. Политика конфиденциальности и Условия использования
Реклама

Читать далее