Un equipo de investigadores de ciberseguridad formado por un argentino y dos israelíes descubrió una vulnerabilidad en un sistema clave que usa la gran mayoría de los servicios actuales de inteligencia artificial. El fallo estaba en una herramienta de Nvidia, la empresa que fabrica los chips para procesar las consultas de los usuarios en aplicaciones como ChatGPT, y ya fue arreglado.
Andrés Riancho, Hillai Ben-Sasson y Ronen Shustin, integrantes del equipo de investigación de la empresa de ciberseguridad Wiz, expusieron la investigación en Black Hat, una de las convenciones de hackers más grandes del mundo, este miércoles en Las Vegas.
“Descubrimos que, luego de explotar esta vulnerabilidad, era posible acceder a los mensajes que se envían entre los usuarios y los modelos de inteligencia artificial. Estos mensajes, sobre todo los enviados por los usuarios, pueden contener información sensible la cual podríamos haber leído con el acceso que teníamos”, explicó a Clarín Riancho, el hacker argentino.
Una vez que encontraron el problema, lo reportaron a Nvidia, que lo arregló para evitar que sea explotado de manera masiva por ciberatacantes: la vulnerabilidad era de carácter crítico, en tanto casi todos los sistemas usan esta tecnología de Nvidia.
«En la conferencia que dimos este miércoles en Black Hat hablamos de dos proveedores en la nube que usan esta tecnología de Nvidia, pero en realidad aplica a la gran mayoría de las plataformas de inteligencia artificial».
Este tipo de investigaciones se realizan bajo la órbita de lo que se conoce como “seguridad ofensiva”, una rama de la ciberseguridad que busca fallas y vulnerabilidades en los sistemas para arreglarlos y hacerlos más seguros. La charla, a la que asistió este medio, mostró el paso a paso de la vulnerabilidad.
«En ninguno de los casos accedimos a información de terceros: todas estas pruebas las hicimos con información propia, de la manera más responsable posible, incluso siempre trabajando de a dos para auditar cada paso del research, mantenemos logs de los comandos que ejecutamos, etc.», aclaró Riancho.
La vulnerabilidad: paso a paso, cómo es
Para poder explicar el ataque es necesario recordar cómo funcionan los sistemas de inteligencia artificial generativa de consumo masivo en la actualidad, como ChatGPT, Grok, Claude o Gemini (Google).
Para que una inteligencia artificial como ChatGPT funcione, se necesita un enorme poder de procesamiento computacional. Ese trabajo no lo hace la computadora del usuario, sino servidores en la nube, propiedad de empresas como OpenAI, Google o Amazon. Y en la mayoría de esos servidores, el motor son las placas gráficas de Nvidia, hoy indispensables para hacer andar estos modelos.
Para administrar estos recursos se usan contenedores, que se pueden pensar como pequeñas cajas virtuales que separan los procesos de distintos clientes dentro de una misma máquina, y que funcionan gracias a un software llamado Nvidia Container Toolkit, que es clave para entender la vulnerabilidad que encontró el equipo de Wiz Research.
Todo esto tiene un sistema por detrás que, a nivel técnico, se compartimenta en esos contenedores. «Los containers (Docker) se usan para aislar dos procesos distintos que corren en una misma máquina. Muchas veces los proveedores en la nube (Amazon, DigitalOcean, Azure, etc.) usan estos contenedores para que un cliente no pueda saber los procesos de los datos de otro usuario.
El ataque que realizaron Riancho, Ben-Sasson y Shustin es lo que se conoce como «Container Escape», y permite escaparse de ese contenedor y ver la información de otro cliente que corre sobre esa misma máquina.
«Se puede pensar una metáfora: si vos pagás por una habitación de un hotel, no deberías tener acceso a otras habitaciones. Un container escape te permite entrar a los otros cuartos, ver quiénes se alojan, qué ropa tienen y hasta quedarte a dormir ahí. Eso no debería pasar», dice el analista.
«Quien usa IA, probablemente lo haga sobre hardware de Nvidia y, si se usan estos containers, se usa el ‘Nvidia Container Toolkit’ (porque es la única opción que existe), que hace de puente entre un container y el hardware. Al identificar este problema y sabiendo que ese toolkit se usa en el 90% de los Cloud Service Providers, teníamos una vulnerabilidad crítica que afectaba a la gran mayoría de los servicios de IA que existen en el mercado», sigue.
En el mundo de la seguridad ofensiva, los analistas suelen reportar las vulnerabilidades a las empresas (aunque también se puede vender esa información a brokers que compran las vulnerabilidades). «Una vez que detectamos la vulnerabilidad, desarrollamos el exploit, lo reportamos a Nvidia y, cuando la empresa lanza el parche, decidimos explotar esta vulnerabilidad en distintos proveedores: llegamos a explotar esta vulnerabilidad en más de una docena de estos servicios, así que elegimos dos en los cuales enfocarnos, Replicate y DigitalOcean«.
Como Nvidia Container Toolkit se usa en la gran mayoría de los servicios de IA actuales, el impacto potencial del ataque era muy grande y se considera un “Single Point of Failure” (SPOF), o “Punto Único de Falla”: si se cae un eslabón, se cae todo.
«Desde mi punto de vista fue un SPOF, porque afecta a la mayoría de los Cloud Service Providers, dado que la Nvidia Container Toolkit es una tecnología ampliamente utilizada y que el exploit era muy simple de implementar, una vez que tenías la vulnerabilidad: el exploit era un Dockerfile con 7 líneas que, al final, permitían acceder al sistema de archivos del host”, cierra con información técnica Riancho.
La importancia de la investigación: la seguridad en IA
Este tipo de investigaciones da la pauta, a fin de cuentas, del momento en el que se encuentran las industrias emergentes como la inteligencia artificial, que explotó en el mercado del consumo masivo hace menos de tres años.
«El estado de la seguridad en la inteligencia artificial es bastante débil, principalmente porque hay mucha presión del mercado de correr y lanzar productos nuevos. Esos productos nuevos no están probados sobre infraestructuras testeadas en seguridad, y esto lleva a que muchos de los errores que se cometieron en el pasado y ya fueron solucionados para sistemas más maduros, se repitan, ahora con la IA”, reflexiona Riancho.
«Creo que esto es normal, es parte del proceso de desarrollo y expansión de esta industria, que es muy nueva. Hay mucho para hacer en el área de seguridad, aunque siempre viene por detrás de la implementación de los productos», agrega.
Sin embargo, el analista cree que hay una tensión que las compañías no pueden desatender. “Las empresas que trabajan con IA deberían ser conscientes de la tensión que hay entre generar un nuevo producto y su seguridad. Siempre va a existir esa tensión: a veces los inversores no están tan interesados en que los productos sean seguros (como ser cuidar los datos de los clientes, por ejemplo), entonces los mismos desarrolladores dejan de lado cuestiones de seguridad que son importantes”, dice.
“Como empresa que implementa estos sistemas hay que ir a lo básico, a cuestiones muy específicas de IA relevantes pero son un tercer o cuarto paso en la lista de prioridades: control de accesos, quién puede ver qué información, cómo la usamos, dónde la guardamos, contraseñas fuertes, segundo factor de autenticación. Son todas cosas que con la vorágine de la IA, muchas veces, se pierden”, cierra.
Para más información técnica, el ataque que desarrollaron puede verse en este enlace.
Black Hat es una de las conferencias de ciberseguridad más influyentes del mundo. Fue fundada en 1997 por Jeff Moss, conocido en el mundo del hacking como “The Dark Tangent”, y si bien la principal es en Estados Unidos, también tiene ediciones en Asia y Europa.
La convención reúne a expertos de todo el mundo para discutir vulnerabilidades, amenazas globales, técnicas de defensa y hallazgos inéditos en materia de ciberseguridad. A diferencia de DEF CON, que se fundó en 1993 y mantiene un espíritu más informal, Black Hat apunta al mundo corporativo.
Año tras año, investigadores de todo el mundo exponen sus descubrimientos y, casi siempre, hay argentinos entre los conferencistas.
SL