近日，知名網絡安全公司Oligo Security發現人工智能行業主流算力框架Ray的一個未修復安全漏洞正被黑客野外大規模利用，攻擊AI工作負載并竊取敏感（生產）數據和算力。

包括亞馬遜、字節跳動、Uber、OpenAI等數以千計的人工智能企業受到影響，數百個集群已經遭到攻擊，超過10億美元算力遭到“劫持”。

主流算力框架遭遇七個月野外攻擊

像ChatGPT和GPT-4，以及國內的月之暗面（Kimi）等超大模型已經展示了驚人的內容生成能力和擴展能力，而支持這些模型“野蠻生長”的基礎技術除了數以萬計的高端GPU算力卡，還包括管理和編排這樣大規模GPU集群來提供足夠并行計算能力的AI算力框架，其中最流行也最重要的，非Ray框架莫屬。

Ray是由Berkeley加州大學計算機教授Ion Stoica創辦的Anyscale公司開發的開創性分布式AI框架，被數以千計運行AI基礎設施的公司采用。包括OpenAI、亞馬遜、Shopify、Uber、字節跳動在內的數以千計的公司使用Ray框架支持ChatGPT這樣動輒超過千億參數的超大模型訓練所需要的大規模底層基礎算力資源優化和調度。

此外，很多主流大模型項目還依賴Ray來支持SaaS、數據和AI工作負載，充分利用Ray的高可擴展性、速度和效率優勢。

根據Oligo Security的報告，Ray框架曝出的漏洞編號為CVE-2023-48022，在過去7個月中一直被積極利用，涉及教育、加密貨幣、生物制藥等多個行業。所有使用Ray框架的企業和機構都應檢查其基礎設施環境，確保沒有漏洞暴露，并分析任何可疑活動。

AI算力基礎設施漏洞野外利用第一案

2023年底，AI工作負載主流開源框架Ray曝出五個漏洞，這些漏洞由Bishop Fox、BryceBearchell和Protect AI團隊分別披露（部分同時披露）。漏洞披露后，Ray的開發者和維護者Anyscale發布了一篇博文進行回應，澄清事件始末并詳細介紹了每個漏洞的修復方案。

雖然報告的五個漏洞中有四個已經在Ray 2.8.1版本中得到修復，但CVE-2023-48022漏洞仍存在爭議。Anyscale并未將其視為安全風險，因此沒有提供即時修復方案。

由于存在爭議，許多開發團隊（以及大多數靜態掃描工具）都沒有意識到CVE-2023-48022的潛在危害。一些團隊可能錯過了Ray的相關文檔，另一些則根本不知道此漏洞的存在。

OligoSecurity的研究人員觀察到，CVE-2023-48022漏洞正被積極利用，這使得原本爭議的漏洞變成了“影子漏洞”——此類漏洞不會在靜態掃描中顯現，卻能導致安全漏洞和重大損失。

Oligo的研究團隊將此漏洞命名為ShadowRay，是首個已知人工智能基礎設施漏洞被用于攻擊人工智能工作負載的案例。

研究發現，全球范圍內已有數千臺部署在公共網絡上的Ray服務器因該漏洞被攻陷，有些服務器甚至已經淪陷至少7個月。其中許多服務器包含了歷史命令記錄，這使得攻擊者更容易理解服務器上的內容，并可能泄露生產環境中之前使用過的敏感機密信息。

受Ray漏洞影響，數百家公司已經暴露于遠程代碼執行(RCE)風險之中，其中一些公司至今仍未修復漏洞。（文末鏈接的報告提供了完整的IoCs列表）。

AI算力基礎設施損失超10億美元

截至目前，Oligo已發現數百個受感染的AI算力集群。每個集群由許多節點組成，這些節點是通過網絡連接到集群的機器。大多數節點都有GPU，攻擊者通過安裝不同類型的挖礦軟件利用GPU進行加密貨幣挖礦活動。

換而言之，攻擊者選擇攻擊AI算力集群不僅是因為他們可以獲得有價值的敏感信息，而且因為當前GPU算力資源非常昂貴且難以獲得。

GPU機器的按需價格主要取決于GPU類型和內存。截至發稿，AWS上的GPU按需價格每臺機器的年成本可高達85.8萬美元。

根據Oligo過去幾周的監測，可能已遭到攻擊的機器和算力總估值近10億美元。