Des milliers d’entreprises restent vulnérables à un bug d’exécution de code à distance dans Ray, un framework d’IA open-source utilisé par Amazon, OpenAI et d’autres, qui est exploité par des malfaiteurs dans la nature pour voler des données sensibles et miner illégalement de la cryptomonnaie. C’est ce qu’affirme Oligo Security, qui a surnommé la vulnérabilité non corrigée ShadowRay. La faille est répertoriée sous le nom CVE-2023-48022, avec une note de criticité de 9,8 sur 10 selon le système CVSS. Mardi, Avi Lumelsky, Guy Kaplan et Gal Elbaz de la société de sécurité ont averti que la faille est exploitée de manière active depuis sept mois, les criminels l’utilisant pour compromettre des entreprises de la santé, d’analyse vidéo, des instituts éducatifs et d’autres utilisant ce logiciel d’apprentissage automatique. Les chercheurs d’Oligo Security ont observé des cas de CVE-2023-48022 étant activement exploitée dans la nature, faisant de cette CVE contestée une « vulnérabilité ombre » – une CVE qui n’apparaît pas dans les analyses statiques mais qui peut quand même entraîner des violations et des pertes significatives, ont écrit les trois. Ray est un projet open source populaire supervisé par Anyscale, et est utilisé pour développer et mettre à l’échelle des applications basées sur Python intégrant des charges de travail d’apprentissage automatique.
Google I/O 2026 : Gemini 3.5, agents IA et révolution éducative – Ce que nos clients doivent savoir
Google I/O 2026 marque un tournant avec Gemini 3.5 Flash, Gemini Omni et les agents IA. Découvrez ce que ces innovations signifient pour vous, décrypté par l’équipe Netz Informatique.