Ricordi quando pensavamo che la maggiore minaccia per i nostri bot fossero i malintenzionati che cercavano di entrare dall’esterno? Quei erano tempi più semplici. Nel 2020, la violazione di SolarWinds ci ha insegnato che a volte la chiamata proviene dall’interno della casa—o, per essere più precisi, dagli strumenti che ci fidiamo per mantenere la casa sicura. Ora stiamo osservando nuovamente quel terribile scenario, ma questa volta colpisce più da vicino per coloro di noi che costruiscono bot containerizzati e servizi AI.
Trivy, lo scanner di vulnerabilità open-source che è diventato praticamente onnipresente nei flussi di lavoro della sicurezza dei container, è stato compromesso in un attacco attivo alla catena di approvvigionamento. Se stai eseguendo bot in container (e onestamente, chi non lo fa oggigiorno?), c’è una buona possibilità che Trivy sia da qualche parte nel tuo pipeline CI/CD, che effettua silenziosamente la scansione delle vulnerabilità . L’ironia è quasi perfetta: lo strumento che usiamo per trovare le falle di sicurezza è appena diventato una di esse.
Cosa è realmente successo
L’attacco, attribuito a un gruppo chiamato TeamPCP, ha preso di mira i canali di distribuzione dello scanner Trivy. Secondo quanto riportato da Ars Technica e Palo Alto Networks, gli attaccanti sono riusciti a iniettare codice malevolo in quelle che sembravano essere versioni legittime di Trivy. Quando sviluppatori e sistemi automatizzati hanno scaricato quello che pensavano fosse uno strumento di sicurezza affidabile, in realtà stavano installando una backdoor.
Il team di sicurezza di Microsoft ha pubblicato linee guida per rilevare e investigare il compromesso, il che ti dice quanto sia diffuso questo problema. Quando Microsoft inizia a emettere manuali difensivi, sai che non si tratta solo di un problema teorico—sta influenzando sistemi di produzione reali proprio ora.
Perché i costruttori di bot dovrebbero preoccuparsi
Ecco dove diventa personale per noi. Se stai costruendo bot con qualsiasi tipo di funzionalità AI, probabilmente stai usando distribuzioni containerizzate. Forse stai eseguendo LLM localmente, o hai una flotta di bot Discord che gestiscono migliaia di richieste. In ogni caso, la tua scansione di sicurezza è probabilmente automatizzata, e Trivy è una delle scelte più popolari per quel lavoro.
L’attacco non si è fermato neanche a Trivy. TrendMicro ha segnalato un compromesso correlato che coinvolge LiteLLM, un popolare gateway per le API dei modelli AI. Ecco il doppio colpo: il tuo scanner di sicurezza è compromesso, e lo è anche uno strumento che molti di noi utilizzano per gestire l’accesso ai modelli AI. Se stai costruendo bot che interagiscono con GPT-4, Claude, o altri LLM attraverso un gateway, questo dovrebbe attirare la tua attenzione.
Il problema della catena di approvvigionamento che non possiamo ignorare
Questo attacco mette in evidenza qualcosa di scomodo sullo sviluppo moderno di bot: siamo tutti in piedi su una torre di dipendenze e ci fidiamo principalmente che quella torre non crollerà . Quando esegui docker pull o npm install, stai riponendo fiducia in dozzine o centinaia di manutentori e sistemi di distribuzione che non hai mai verificato.
Per i costruttori di bot, questa catena di dipendenze è particolarmente lunga. Stiamo importando framework web, driver di database, librerie di modelli AI, strumenti di monitoraggio e sì, scanner di sicurezza. Ognuno di essi è un potenziale punto di accesso. Il gruppo TeamPCP ha capito perfettamente questo—non hanno cercato di entrare dalla porta principale. Hanno avvelenato l’approvvigionamento idrico.
Cosa puoi fare subito
Per prima cosa, controlla se stai eseguendo versioni compromesse di Trivy. Le linee guida di Microsoft includono indicatori specifici di compromesso e metodi di rilevamento. Se stai usando Trivy nel tuo pipeline CI/CD, verifica immediatamente quei flussi di lavoro.
In secondo luogo, rivedi le tue distribuzioni di LiteLLM se lo stai utilizzando. Il rapporto di TrendMicro indica cosa cercare. Non dare per scontato che, poiché i tuoi bot si occupano “solo” di messaggi chat o generazione di immagini, non siano obiettivi preziosi. I bot compromessi possono essere utilizzati per il mining di criptovalute, attacchi DDoS o come punti di pivot in reti più vaste.
In terzo luogo, e qui viene la parte difficile: inizia a pensare alla sicurezza della catena di approvvigionamento come a una preoccupazione di prim’ordine, non come a un pensiero secondario. Fissa le versioni delle tue dipendenze. Usa la verifica dei checksum. Considera di eseguire strumenti di sicurezza in ambienti isolati dove non possano accedere ai tuoi segreti di produzione anche se compromessi.
Costruire in un mondo ostile
La realtà è che gli attacchi alla catena di approvvigionamento stanno diventando la norma, non l’eccezione. Come costruttori di bot, siamo particolarmente esposti perché ci muoviamo spesso velocemente, importando nuove librerie per sperimentare con i più recenti modelli AI o integrare nuove piattaforme. Quella velocità è la nostra forza, ma è anche la nostra vulnerabilità .
Il compromesso di Trivy è un campanello d’allarme. I nostri strumenti di sicurezza hanno bisogno di sicurezza. Ogni dipendenza è una decisione di fiducia, e in questo momento, potremmo starci fidando troppo facilmente. I bot che stiamo costruendo sono sicuri solo quanto il punto più debole nella nostra catena di approvvigionamento, e questa settimana abbiamo appreso che anche i nostri scanner di sicurezza possono essere quel punto debole.
🕒 Published: