요약 : 보안 외신 해커뉴스에 의하면 여러 오픈소스 인공지능 모델들에서 40개가 조금 안 되는 취약점이 발견됐다고 한다. 추안후챗GPT(ChuanhuChatGPT), 루너리(Lunary), 로컬AI(LocalAI) 등에서 발견된 것으로, 일부 취약점을 통해서는 원격 코드 실행 공격도 가능하다고 한다. 그 중 CVSS 기준 가장 높은 점수를 받은 취약점 두 개는 모두 루너리에서 나왔으며, CVE-2024-7474와 CVE-2024-7475다. 둘 다 9.1점을 받았다. 전자를 통해서 데이터에 대한 불법 접근이 가능하며, 후자를 통해서는 불법 로그인이 가능하게 된다.


배경 : 오픈소스 인공지능 생태계에서 다량의 취약점이 한꺼번에 발견된 건 프로텍트AI(Protect AI)의 헌터(Huntr)라는 버그바운티 덕분이다. 즉 이번에 발견된 것 모두 보안 전문가들의 연구 행위를 통해 발굴된 것이지 사이버 공격자들의 공격 이후에 알려진 게 아니다. 따라서 이로 인한 실제 피해 사례는 아직 없을 것으로 보인다.

말말말 : “인공지능 모델이라고 하더라도 100% 안전할 수 없다는 사실이 계속해서 드러나고 있습니다. 인공지능 모델들을 여러 프로젝트에 도입하고 있는데, 사용자들 편에서 이러한 사실을 반드시 기억해야 합니다.” -해커뉴스-
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>