Meta’s Llama LLM Vulnerability: What You Need to Know
Meta, poznata tehnološka tvrtka, suočila se s ozbiljnom sigurnosnom ranjivošću svog Llama Large Language Model (LLM), upozoravaju stručnjaci. Prema istraživanju kibernetičkih stručnjaka iz Oligo Security, ova ranjivost omogućila bi napadačima da izvrše proizvoljni kod na oštećenom poslužitelju.
Detalji o Ranjivosti
Ova ranjivost, označena kao CVE-2024-50050, ocijenjena je s 6.3 na Nacionalnoj bazi podataka o ranjivostima (NVD), što predstavlja srednju razinu ozbiljnosti. Ranjivost je otkrivena u komponenti nazvanoj Llama Stack, koja je namijenjena optimizaciji implementacije, skaliranja i integracije velikih jezičnih modela.
Oligo je ovu ranjivost opisao kao “ranjivost pri deserializaciji nepouzdanih podataka”, što znači da napadač može izvršiti proizvoljan kod slanjem zlonamjernih podataka koji se deserializiraju. Prema NVD-u, “Llama Stack prije revizije 7a8aa775e5a267cf8660d83140011a0b7f91e005 koristio je pickle kao format serijalizacije za komunikaciju putem soketa, što potencijalno omogućuje izvođenje koda na daljinu.”
Kako je Meta reagirala?
Meta je uskoro obaviještena o toj ranjivosti 24. rujna, a tvrtka je 10. listopada poduzela mjere kako bi je sanirala, uvodeći verziju 0.0.41. Kao dodatak rješenju, Meta je izdala sigurnosno upozorenje u kojem obavještava zajednicu da je uklonila rizik od udaljenog izvršavanja koda povezanog s korištenjem pickle formata za komunikaciju putem soketa. Nova mjera poduzeta od strane Meta bila je prebacivanje na JSON format.
Što je LLaMA?
LLaMA, ili Large Language Model Meta AI, predstavlja seriju velikih jezičnih modela koje je razvila meta društvena mreža. Ovi modeli su optimizirani za zadatke obrade prirodnog jezika (NLP), uključujući generiranje teksta, sažimanje, prevođenje i još mnogo toga.
Zaključak
Ova ranjivost u Metaovom Llama LLM predstavlja značajan podsjetnik na važnost kibernetičke sigurnosti, posebice kada je riječ o tehnologijama koje se koriste za obradu prirodnog jezika. Meta je brzo reagirala kako bi sanirala problem, ali je važno da korisnici i dalje budu svjesni potencijalnih rizika. Redovita ažuriranja i praćenje sigurnosnih savjeta ključni su za zaštitu od sličnih prijetnji u budućnosti.
