據Info risk today消息，英特爾公司的人工智能模型壓縮軟件Neural Compressor 中存在一個最高級別的漏洞，該漏洞在 CVSS 的評分為滿分10分，黑客可以在運行受影響版本的系統上執行任意代碼。

Neural Compressor 軟件可幫助公司減少人工智能模型所需的內存量，同時降低緩存丟失率和使用神經網絡的計算成本，幫助系統實現更高的推理性能。公司使用開源 Python 庫在不同類型的硬件設備上部署人工智能應用，包括那些計算能力有限的設備（如移動設備）。

英特爾沒有說明有多少公司使用該軟件，也沒有說明受影響的用戶數量，稱該漏洞只影響使用 2.5.0 之前版本的用戶。

在英特爾上周發布的 41 份安全公告中，該漏洞被追蹤為 CVE-2024-22476，源于輸入驗證不當或未對用戶輸入進行消毒，黑客無需任何特殊權限或用戶交互即可遠程利用該漏洞，對數據的保密性、完整性和可用性構成很大影響。

除此以外，還有另一個漏洞被追蹤為 CVE-2024-21792，嚴重程度為中等，是一個檢查時間、使用時間漏洞，可能會讓黑客獲取未經授權的信息。黑客需要通過本地驗證訪問存在漏洞的系統才能利用該漏洞。

英特爾表示，一個外部安全實體提交了該漏洞報告，但沒有說明個人或公司的身份。目前，英特爾已經發布了針對上述兩個 Neural Compressor 漏洞的修復程序。

去年，研究人員在大型語言模型中發現了幾十個漏洞，這些漏洞可能導致操縱實時對話、自我傳播零點擊漏洞以及利用幻覺傳播惡意軟件。

使用這種軟件作為核心組件來構建和支持人工智能產品的公司可能會增加漏洞的影響，英特爾就是一個例子。一個月前，來自 Wiz 的研究人員在流行的人工智能應用開發商 HuggingFace 上發現了現已緩解的漏洞，允許攻擊者篡改其注冊表上的模型，甚至向其中添加惡意模型。