Thought Leadership
Neue Schwachstellen in KI-Frameworks von NVIDIA und Meta zeigen, wie schnell moderne KI-Infrastrukturen zum Einfallstor für Cyberangriffe werden können.
Cybersecurity-Experten schlagen Alarm: In zentralen KI-Frameworks von NVIDIA und Meta wurden gravierende Sicherheitslücken entdeckt, die es Angreifern ermöglichen, Schadcode aus der Ferne auszuführen. Betroffen sind NVIDIA NeMo und Meta PyTorch, zwei der weltweit meistgenutzten Frameworks für KI-Entwicklung.
Die Analysen stammen von Cato CTRL, dem Threat-Research-Team von Cato Networks. Die Experten zeigen, dass bösartige KI-Modelle als direkte Angriffsvektoren fungieren können. Das Ergebnis ist Remote Code Execution, also die Möglichkeit, fremde Systeme vollständig aus der Ferne zu kontrollieren.
KI-Modelle als unterschätztes Einfallstor
In vielen Unternehmen ist es Standard, KI-Modelle aus öffentlichen Repositories wie HuggingFace direkt in produktive Umgebungen zu laden. Genau hier entsteht ein massives Risiko. Diese Umgebungen sind häufig mit Cloud-Zugangsdaten, Data-Lakes oder Produktionssystemen verbunden. Ein einzelnes manipuliertes KI-Modell kann ausreichen, um tief in Unternehmenssysteme einzudringen. Besonders problematisch ist, dass Angreifer dafür keine komplexen Exploits benötigen. Bereits der normale Import eines Modells kann ausreichen.
Zwei Schwachstellen mit gleichem Ergebnis
Die Sicherheitslücken in NVIDIA NeMo und Meta PyTorch unterscheiden sich technisch, führen aber zum gleichen Resultat. In beiden Fällen kann beim Laden eines KI-Modells Schadcode ausgeführt werden.
Bei NVIDIA NeMo wird eine Sicherheitsprüfung faktisch deaktiviert. Bei Meta PyTorch ist der Schutzmechanismus unvollständig umgesetzt. Unterschiedliche Ursachen, identisches Ergebnis: Remote Code Execution durch manipulierte KI-Modelle.
NVIDIA NeMo: deaktivierte Sicherheitskontrolle
Die Schwachstelle in NVIDIA NeMo betrifft den Parameter „trust_remote_code“. Dieser steuert, ob beim Import eines Modells zusätzlicher Python-Code aus externen Quellen ausgeführt werden darf. Der sichere Standardwert sollte „False“ sein. In mehreren Import-Komponenten von NeMo ist dieser Parameter jedoch auf „True“ gesetzt. Dadurch wird beim Laden eines Modells automatisch Code aus dem Repository ausgeführt, ohne dass Nutzer dies bewusst bestätigen.
Angreifer können gezielt manipulierte Repositories erstellen, die scheinbar legitime KI-Modelle enthalten. Im Hintergrund versteckt sich jedoch Schadcode. Beim Import werden dann automatisch sensible Informationen wie API-Keys, Cloud-Credentials oder Umgebungsvariablen ausgelesen. Typische Angriffswege sind Typosquatting, Social Engineering oder kompromittierte Entwicklerkonten, über die manipulierte Modelle verteilt werden.
Meta PyTorch: Sicherheitslücke im Datenmodell
Auch Meta PyTorch ist betroffen. Das Framework nutzt das Python-Pickle-Format zur Speicherung von KI-Modellen. Dieses Format kann ausführbaren Code enthalten, was grundsätzlich ein bekanntes Risiko darstellt.
Als Schutzmechanismus gilt der Parameter „weights_only=True“. Dieser soll einschränken, welche Objekte beim Laden eines Modells deserialisiert werden dürfen.
Die Forscher von Cato CTRL haben jedoch gezeigt, dass dieser Schutz umgangen werden kann. Das Problem liegt in einer fehlenden Validierung der Tensor-Größen. Während Klassen geprüft werden, bleibt die tatsächliche Datenstruktur unkontrolliert.
Ein Angreifer kann eine manipulierte .pt-Datei erzeugen, die falsche Größenangaben enthält. PyTorch vertraut diesen Angaben, reserviert unpassenden Speicher und erzeugt dadurch einen Heap-Buffer-Overflow. Besonders kritisch ist, dass selbst Systeme, die Best Practices wie Checksummenprüfung und sichere Konfiguration nutzen, weiterhin verwundbar bleiben.
Konsequenzen für KI-Infrastrukturen
Mit der zunehmenden Integration von KI in geschäftskritische Prozesse wächst auch die Angriffsfläche erheblich. KI-Modelle entwickeln sich zunehmend zu einem Teil der kritischen Infrastruktur. Die aktuellen Schwachstellen zeigen deutlich, dass klassische Sicherheitsansätze nicht ausreichen. Die Branche benötigt vergleichbare Standards wie in der Software-Lieferkette: Signierung, Verifikation, Herkunftsnachweise und konsequentes Sandboxing.
Vor allem aber müssen KI-Frameworks standardmäßig sichere Konfigurationen verwenden. Sicherheitsmechanismen dürfen nicht stillschweigend deaktiviert oder abgeschwächt werden, da dies die gesamte KI-Infrastruktur gefährdet.
(Vp/Cato Networks)
