數千台AI伺服器曝險!趨勢科技警告:漏洞恐讓駭客長驅直入
AI伺服器資安亮紅燈!趨勢科技示警,數千台AI伺服器暴露於網路,恐遭駭客入侵。企業應重視AI伺服器安全,強化驗證與漏洞掃描,避免資安風險。
AI熱潮帶來創新商機,但同時也暗藏資安危機。趨勢科技最新研究指出,全球已有數以千計的AI伺服器在沒有認證保護的情況下直接暴露於網路,恐讓駭客輕易入侵,竊取資料、植入惡意程式甚至發動勒索攻擊。
關鍵漏洞來自AI基礎架構元件
趨勢科技企業平台長金敬秀表示,AI對企業來說可能是百年一遇的機會,但若急於導入卻忽視資安防護,後果可能弊大於利。報告點名多個常用元件,包括 ChromaDB、Redis、NVIDIA Triton、NVIDIA Container Toolkit 等,都曾出現零時差漏洞與攻擊手法。
更令人擔憂的是,研究發現:
200 多台 ChromaDB 伺服器
2,000 台 Redis 伺服器
10,000 多台 Ollama 伺服器
在沒有任何驗證機制下,直接暴露於網路環境。
開放原始碼與容器環境同樣是高風險區
許多AI框架使用開放原始碼函式庫,這些元件若含有漏洞並遺留在系統中,將難以察覺與修補。Pwn2Own Berlin競賽中,就有研究人員揭露來自過時 Lua 元件的 Redis 向量資料庫漏洞。
另外,大量AI基礎架構運行在容器環境中,同樣面臨雲端與容器資安威脅。趨勢科技提醒,NVIDIA Container Toolkit也曾被揭露存在漏洞,若未淨化輸入資料並監控執行行為,恐成駭客突破口。
專家建議:安全與開發時程需平衡
NHS SLAM技術長Stuart MacLellan指出,企業若能掌握AI模型的使用情況,並透過政策與流程生成動態風險警報,就能更有效地做出資安決策。
趨勢科技建議,企業與開發團隊應:
強化修補管理與漏洞掃描
全面盤點軟體元件與第三方函式庫
採用容器安全最佳實務
檢查組態設定,避免伺服器暴露在網路
趨勢科技呼籲,不論是開發人員社群還是企業客戶,都必須在「安全」與「產品上市速度」之間找到平衡,才能避免讓AI創新變成駭客的溫床。