这些漏洞的根因在于配置不当和安全控制不正确，可导致恶意人员利用 SAP AI Core 复杂的基础设施。攻击者本可访问大量机密的客户数据，包括AI模型、训练数据集和转悠算法。另外，被暴露的漏洞可导致AI 模型被操纵，从而导致数据被篡改和遭攻陷。

研究首先在 SAP AI Core 上创建了一款标准的 AI 应用，它利用 Argo Workflow 生成 Kubernetes Pods。最初，该环境受限，Istio 代理边车执行有限的网络访问权限。然而研究人员发现可通过特定的不被SAP控制元件拦截的 Pod 配置来绕过这些限制。

第1个bug：绕过网络限制

研究人员通过 shareProcessNamespace 和 runAsUser（UID 1337，Istio的UID）配置 Pod，与 Istio 代理共享进程名称空间，从而访问 Istio 的配置以及访问该集群中心化 Istiod 服务器的访问令牌，从而删除网络流量限制。

第2个bug：Loki 泄露AWS 令牌

研究人员发现 Grafana Loki 的一个实例，通过 /config 端点暴露其配置，包括 AWS 机密可用于访问包含来自 AI Core 服务和客户 Pods 的S3存储桶。

第3个 bug：未认证的EFS Shares

多个AWS Elastic 文件系统 (EFS) 实例具有公开配置，可导致在没有凭据的情况下免费访问其内容。这就导致大量AI数据被暴露，包括按照客户ID分类的代码和训练数据集。

第4个bug：未认证的 Helm 服务器

被暴露的 Helm 服务器组件 Tiller，可使研究人员访问 SAP Docker 注册表和 Artifactory 服务器的权限机密。这种访问权限可用于提取商业机密并执行供应链攻击。

第5个bug：Cluster 完全接管

Helm 服务器的写权限可导致完整的 Kubernetes 集群遭接管。研究人员部署了一个恶意的 Helm 报，获得集群-管理员权限，从而访问并操纵客户Pods、窃取敏感数据并干扰AI模型的完整性。他们还访问了 SAP AI Core 范围以外的客户机密，包括 AWS、SAP HANA和 Docker Hub凭据。

SAP已证实并修复了这些漏洞，向客户保证数据未被攻陷。然而，该事件说明企业尤其是依赖于云的AI平台面临着网络威胁。SAPwnd 漏洞为整个AI行业拉响警报。该事件强调了采用主动安全措施保护敏感数据、保护AI完整性以及缓解供应链攻击的重要性。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

    觉得不错，就点个 “在看” 或 "赞” 吧~