Les failles Black Hat dans le service d’IA principal de SAP ont créé une porte d’entrée aux données privées de ses clients, y compris le code et les matériaux de formation, jusqu’à ce qu’elles soient corrigées plus tôt cette année. C’est ce qu’ont déclaré les chercheurs en vulnérabilités de Wiz, qui ont divulgué de manière responsable des détails sur les cinq bugs auparavant non signalés – et depuis corrigés – au sein du noyau de l’IA que Wiz a surnommé SAPwned. Le rapport est arrivé juste avant la conférence Black Hat, où l’équipe de la cybersécurité présentera leurs découvertes lors de leur discours intitulé « Isolation or Hallucination? Hacking AI Infrastructure Providers for Fun and Weights ». SAP a corrigé les failles en mai, quelques mois après que Wiz a informé la société allemande de logiciels ERP des vulnérabilités. L’équipe de Wiz a affirmé dans le rapport que l’exploitation d’un simple oubli d’autorisation était tout ce qu’il fallait à l’équipe pour accéder au réseau interne de SAP, entre autres détails. L’équipe a indiqué avoir commencé en soumettant un fichier de flux de travail Argo à Core AI afin de créer un Pod Kubernetes ; rien d’inhabituel jusqu’à présent. Wiz note qu’il pouvait exécuter du code arbitraire dans son Pod, mais l’absence d’accès réseau via un proxy Istio sidecar le rendait assez inutile.
« Les livres de Penguin Random House disent maintenant explicitement ‘non’ à la formation IA »
‘Écrit par Emma Roth, dont le portfolio couvre aussi bien les percées technologiques grand public, les dynamiques de l’industrie du