英特尔AI 模型压缩器现满分漏洞，可导致任意代码执行

据Info risk today消息，英特英特尔公司的型压现满人工智能模型压缩软件Neural Compressor 中存在一个最高级别的漏洞，该漏洞在 CVSS 的缩器评分为满分10分，黑客可以在运行受影响版本的分漏系统上执行任意代码。

Neural Compressor 软件可帮助公司减少人工智能模型所需的洞可导致代码内存量，同时降低缓存丢失率和使用神经网络的任意计算成本，服务器租用帮助系统实现更高的执行推理性能。公司使用开源 Python 库在不同类型的英特硬件设备上部署人工智能应用，包括那些计算能力有限的型压现满设备（如移动设备）
。

英特尔没有说明有多少公司使用该软件
，缩器也没有说明受影响的分漏用户数量 ，称该漏洞只影响使用 2.5.0 之前版本的洞可导致代码用户。亿华云

在英特尔上周发布的任意 41 份安全公告中 ，该漏洞被追踪为 CVE-2024-22476，执行源于输入验证不当或未对用户输入进行消毒，英特黑客无需任何特殊权限或用户交互即可远程利用该漏洞，对数据的保密性、完整性和可用性构成很大影响。

除此以外，还有另一个漏洞被追踪为 CVE-2024-21792，严重程度为中等，源码下载是一个检查时间、使用时间漏洞
，可能会让黑客获取未经授权的信息
。黑客需要通过本地验证访问存在漏洞的系统才能利用该漏洞 。

英特尔表示 ，一个外部安全实体提交了该漏洞报告，但没有说明个人或公司的身份 。模板下载目前，英特尔已经发布了针对上述两个 Neural Compressor 漏洞的修复程序 。

去年
，研究人员在大型语言模型中发现了几十个漏洞 ，这些漏洞可能导致操纵实时对话、自我传播零点击漏洞以及利用幻觉传播恶意软件。

使用这种软件作为核心组件来构建和支持人工智能产品的公司可能会增加漏洞的影响  ，英特尔就是云计算一个例子。一个月前，来自 Wiz 的研究人员在流行的人工智能应用开发商 HuggingFace 上发现了现已缓解的漏洞，允许攻击者篡改其注册表上的模型，甚至向其中添加恶意模型。