As vulnerabilidades foram descobertas em modelos de inteligência artificial (IA) e aprendizado de máquina (ML) de código aberto, com algumas falhas permitindo a execução remota de código e roubo de informações. Essas falhas foram identificadas em ferramentas como ChuanhuChatGPT, Lunary e LocalAI, e foram relatadas através da plataforma de bug bounty da Protect AI, chamada Huntr. No ChuanhuChatGPT, foi identificada uma falha de path traversal (CVE-2024-5982, CVSS: 9.1) que permite a execução de código arbitrário, criação de diretórios e exposição de dados sensíveis. Isso ocorre devido a um problema no recurso de upload de arquivos dos usuários, que pode ser explorado para comprometer todo o sistema.

Duas vulnerabilidades também foram descobertas no LocalAI, um projeto de código aberto que permite aos usuários rodar LLMs em servidores locais. As falhas incluem a possibilidade de executar código arbitrário através de um arquivo de configuração malicioso (CVE-2024-6983, CVSS: 8.8) e ataques de tempo para adivinhar chaves de API válidas ao analisar o tempo de resposta do servidor. Além disso, a NVIDIA lançou patches para corrigir uma falha de path traversal em sua plataforma de IA generativa NeMo, que poderia permitir a execução de código e manipulação de dados.

Os usuários das ferramentas afetadas são aconselhados a atualizar para as versões mais recentes para proteger suas cadeias de fornecimento de IA e ML contra ataques potenciais. Essas vulnerabilidades ressaltam a necessidade de maior vigilância e atualização constante em ferramentas de código aberto amplamente utilizadas em ambientes corporativos.