最新研究顯示基礎架構層的風險正因各種不同的元件而持續攀升
【2025年8月12日,台北訊】全球網路資安領導廠商趨勢科技(東京證券交易所股票代碼:4704)呼籲AI工程師與IT領導人應妥善建立程式開發最佳實務原則並部署安全系統,否則公司將暴露於資料竊取、資料下毒、網路勒索等其他攻擊的風險當中。
進一步了解資安人員及駭客如何運用AI,請閱讀「趨勢科技2025上半年AI資安現況報告」(Trend State of AI Security Report, 1H 2025)
趨勢科技企業平台長金敬秀表示:「對全球企業來說,AI很可能是百年一遇的機會。然而,那些急於導入、卻未採取適當防護措施的企業,最後可能釀成弊大於利的後果。正如我們的報告指出,目前有太多AI基礎架構都是使用不安全和/或尚未修補的元件所打造,這就像為駭客開啟了一道入侵的大門。」
1. 關鍵元件的漏洞及漏洞攻擊手法
想開發、部署及使用AI應用程式的企業皆須用到多種特殊的軟體元件和框架,而這些元件和框架很可能含有一般常見的軟體漏洞。這份報告揭露了ChromaDB、Reis、NVIDIA Triton和NVIDIA Container Toolkit等核心元件的一些零時差漏洞與漏洞攻擊手法。
2. 意外暴露在網際網路上
漏洞的產生常源於開發及部署時程太過倉促,然而當AI系統不小心暴露在網際網路上時,駭客便有可能刺探到這些漏洞。根據這份報告的數據顯示,趨勢科技發現200多台ChromaDB伺服器、2,000台Redis伺服器及10,000多台Ollama伺服器在沒有認證機制的情況下暴露在網路上。
3. 開放原始碼元件的漏洞
許多AI框架和平台都使用開放原始碼軟體函式庫來提供一些常用的功能。然而,開放原始碼元件經常含有漏洞,最終更遺留在營運系統當中,使得它們更難被發現。最近舉行的Pwn2Own Berlin新增了一個有關AI的競賽類別,研究人員在會中揭露了Redis向量資料庫一個來自過時Lua元件的漏洞。
4. 容器相關弱點
大量的AI基礎架構都是在容器上執行,這意味著它們也同樣暴露於雲端和容器環境的資安漏洞與威脅。如同這份報告指出,Pwn2Own研究人員揭露了一個有關NVIDIA Container Toolkit的漏洞。企業應仔細淨化輸入資料,並監控執行時期行為來防範這類風險。
NHS SLAM技術長Stuart MacLellan表示:「人們對於AI模型,及這些模型可以或應該用來做些什麼,還有很多疑問。現在,我們比以往更能掌握裝置的可視性以及有哪些應用程式正在被使用。將這些資料彙整後,再根據政策和流程來產生關於人員及其活動的動態風險導向警報,會是一件很有趣的事。如此一來,就能真正讓企業對某些產品做出有組織的決策。」
為了防範上述風險,不論開發人員社群或客戶都必須在安全與上市時程之間取得更好的平衡。具體步驟可包括:
• 改善修補管理與漏洞掃描。
• 盤點所有軟體元件,包括第三方函式庫和子系統。
• 導入容器管理安全最佳實務原則,包括使用最精簡的基礎映像與執行時期防護工具。
• 透過組態設定檢查,以確保像伺服器這類 AI 基礎架構元件沒有暴露在網路上。
◎瞭解更多 趨勢科技AI 防詐達人
☞ Android用戶請立即免費下載 ☞ iOS用戶請立即免費下載
⭕️ AI 防詐防毒
趨勢科技PC-cillin雲端版 運用最新 AI 防毒防詐技術,全面保護您的身分隱私,讓您享受上網安心點。
不只防毒也防詐騙 ✓手機✓電腦✓平板,跨平台防護3到位➔ 》即刻免費下載試用
✅ 獨家 AI 隱私權分析技術 讓您的個資,由你自己掌握
✅社群帳號盜用警示 在災害擴大前,搶先一步做好防範
✅全球個資外洩追蹤 24小時為您監測守護
✅跨平台密碼安全管理讓 您安心儲存所有網路帳密
趨勢科技不只是網路安全守護者,還提供各種實用3C冷知識追蹤我們的IG 帳號看更多讓你數位生活更便利、更安全的貼文
⭕️獨家!每週精選最火紅的詐騙與資安新聞,讓您隨時掌握資安警訊 不想成為下一個受害者嗎?立即訂閱,搶先一步防範
–