Siste brief: AI & Sikkerhet (Kl. 18:09)

🔴 Kritisk sårbarhet i Docker Engine (CVE-2024-41110)

En kritisk sårbarhet i Docker Engine gjør det mulig for angripere å omgå autorisasjonsplugins (AuthZ) ved å sende spesialutformede API-forespørsler. Sårbarheten utnytter en feil i hvordan Docker håndterer Content-Length-headere, noe som kan føre til at forespørsler blir godkjent uten korrekt validering.

AI-RELEVANS: Mange AI-plattformer og modell-tjenester rulles ut via Docker-containere. Hvis infrastrukturen din er avhengig av AuthZ-plugins for å begrense tilgang til sensitive GPU-ressurser eller treningsdata, kan denne sårbarheten gi uvedkommende full kontroll over miljøet.

Kilde: Docker Security Team

🔴 "Skeleton Key"-teknikk omgår LLM-sikkerhetsbarrierer

Sikkerhetsforskere har avdekket en ny jailbreak-metode kalt "Skeleton Key". Ved å instruere en språkmodell til å operere i en "pedagogisk kontekst" eller endre dens interne logikkregler, kan angripere tvinge modellen til å ignorere innebygde sikkerhetsfiltre og generere potensielt skadelig innhold som kildekode for malware.

AI-RELEVANS: For IT-drift betyr dette at standard system-prompts ikke er tilstrekkelige. Det kreves dypere monitorering og lagvis sikkerhet (som Azure AI Content Safety eller lignende verktøy) for å beskytte applikasjoner som bruker LLM-er mot ondsinnede inputs.

Kilde: Microsoft Security

Meta lanserer Llama 3.1 405B med åpen kildekode

Meta har sluppet Llama 3.1-serien, inkludert en massiv modell med 405 milliarder parametere. Dette er den første åpent tilgjengelige modellen som kan måle seg med GPT-4o i komplekse oppgaver som koding, matematikk og flerspråklig resonnering. Den støtter en kontekstvindu-størrelse på 128k tokens.

AI-RELEVANS: Denne lanseringen endrer dynamikken for bedrifter som ønsker høy ytelse uten å låse seg til lukkede API-er. Modellen kan kjøres on-premise (krever betydelig maskinvare) eller i private skyer, noe som gir full kontroll over personvern og dataflyt.

Kilde: Meta AI