IA na nuvem pode ser vulnerável a falhas críticas e riscos de segurança, aponta relatório

Relatório da Tenable revela que combinações inseguras entre IA e nuvem expõem dados sensíveis a vulnerabilidades críticas, erros de configuração e riscos de envenenamento de modelos

Compartilhar:

A Tenable lançou o Relatório Tenable 2025: Riscos da IA na Nuvem. A pesquisa mostrou como a Inteligência Artificial baseada na nuvem é propensa a combinações tóxicas evitáveis que tornam dados e modelos confidenciais vulneráveis à manipulação, à adulteração e ao vazamento de dados.

 

Segundo a pesquisa, a nuvem e a IA estão transformando o ambiente organizacional, mas ambas apresentam riscos cibernéticos complexos quando combinadas. O relatório destacou o estado atual dos riscos de segurança em ferramentas e estruturas de desenvolvimento de IA em nuvem e em serviços de IA oferecidos pelos três principais provedores: Amazon Web Services (AWS), Google Cloud Platform (GCP) e Microsoft Azure.

 

Entre as principais constatações do relatório incluem que as cargas de trabalho de IA na nuvem não são imunes a vulnerabilidades. Sendo aproximadamente 70% das cargas de trabalho de IA na nuvem contêm pelo menos uma vulnerabilidade não corrigida. Em particular, a Tenable Research descobriu a CVE-2023-38545, uma vulnerabilidade crítica do cURL, em 30% das cargas de trabalho de IA na nuvem.

 

De acordo com os dados, também existem configurações incorretas na nuvem no estilo Jenga®1 em serviços de IA gerenciados, sendo 77% das organizações têm a conta de serviço padrão do Compute Engine com privilégios excessivos configurada no Google Vertex AI Notebooks. Isso significa que todos os serviços criados neste Compute Engine padrão estão em risco. Utilizando o conceito de Jenga, um bloco mal configurado na torre de aplicações pode causar uma falha catastrófica e/ou abrir portas para invasores.

 

Além disso, a Tenable afirmou que os dados de treinamento de IA são suscetíveis ao envenenamento, o que ameaça distorcer os resultados do modelo: 14% das organizações que usam o Amazon Bedrock (plataforma de inteligência artificial criada pela Amazon) não bloqueiam explicitamente o acesso público a pelo menos um bucket (refere-se a um ambiente virtual onde é possível armazenar e gerenciar dados de forma organizada) de treinamento de IA e 5% têm pelo menos um bucket excessivamente permissivo.

 

Ainda, as instâncias de notebook do Amazon SageMaker (serviço de aprendizagem de máquina gerenciado pela AWS) concedem acesso root (acesso completo, na origem) por padrão.  Como resultado, a pesquisa afirmou que 91% dos usuários do Amazon SageMaker têm pelo menos um notebook que, se comprometido, pode conceder acesso não-autorizado a qualquer usuário, resultando na possível modificação de todos os arquivos nele.

 

Destaques

Colunas & Blogs

Conteúdos Relacionados

Security Report | Overview

Digitalização e IA tornam a resiliência de dados estratégica para as PMEs

Veeam destaca que pequenas e médias empresas precisam de proteção e recuperação de dados de nível corporativo com simplicidade operacional...
Security Report | Overview

Governo integra órgãos públicos em rede de comunicação integrada e segura

Projeto pioneiro do Ministério das Comunicações investe R$ 1 bilhão para criar uma infraestrutura independente das operadoras comerciais, permitindo a...
Security Report | Overview

Custos de inatividade das grandes empresas atingem US$ 600 bilhões anuais 

Estudo realizado pela Splunk em parceria com a Oxford Economics, mostra que a indisponibilidade não planejada custa cerca de US$...
Security Report | Overview

Perdas por fraudes digitais relacionadas a IA chegam a quase R$ 5 bilhões, aponta estudo

Com o avanço do uso de Inteligência Artificial em tentativas de fraude, banco Itaú Unibanco destaca medidas de proteção e...