近日,北京理工大学信息系统及安全对抗实验中心对谷歌TensorFlow进行安全测试,共新发现15个漏洞。目前,这些漏洞均已被谷歌确认并在2.10.0版本中修复。
作为人工智能主流深度学习框架之一,谷歌TensorFlow安全性问题直接关系到广大AI开发者和用户。然而,TensorFlow等开源深度学习框架可能存在严重的安全风险。深度学习框架的潜在漏洞一旦被攻击者利用并进行恶意攻击,将会危及整个AI服务的可用性和可靠性。
以本实验中心提交的漏洞CVE-2022-36005为例,当tf.raw_ops.CollectiveGather的参数“input”接收到标量输入时,在实际运行时会返回“CHECK fails”,可用于触发拒绝服务攻击。以下为该漏洞的详细信息。
| 漏洞名称 | `CHECK` fail in `CollectiveGather` |
| 漏洞编号 | CVE-2022-35994 |
| 影响软件包 | tensorflow、tensorflow-cpu、tensorflow-gpu (pip) |
| 影响版本 | <2.10.0 |
| 补丁版本 | 2.7.4, 2.8.3, 2.9.2, 2.10.0 |
以下为北京理工大学信息系统及安全对抗实验中心提交的漏洞汇总及链接:
- CVE-2022-35995
- CVE-2022-35994
- CVE-2022-35971
- CVE-2022-35993
- CVE-2022-35935
- CVE-2022-35992
- CVE-2022-35991
- CVE-2022-36004
- CVE-2022-36003
- CVE-2022-36002
- CVE-2022-36001
- CVE-2022-36000
- CVE-2022-36005
- CVE-2022-35990
- CVE-2022-35952
相关新闻
Tensorflow 被爆新增71个漏洞 360 AI安全实验室再次立功 (baidu.com)
TensorFlow 2.8.0正式上线,修复众多Bug,发布50多个漏洞补丁 (baidu.com)
AI安全堪忧:360 AI安全研究院披露谷歌Tensorflow 24个漏洞 (baidu.com)
原创文章,作者:BFS,如若转载,请注明出处:https://www.isclab.org.cn/2022/11/29/%e3%80%90%e6%bc%8f%e6%b4%9e%e9%80%9a%e5%91%8a%e3%80%91%e8%b0%b7%e6%ad%8cai%e5%bc%80%e5%8f%91%e6%a1%86%e6%9e%b6tensorflow%e6%bc%8f%e6%b4%9e%e6%8a%a5%e5%91%8a/