Intel發布5月例新更新，修補人工智慧模型壓縮工具重大漏洞

上週二（5月14日）Intel發布5月份例行更新，總共公告41項漏洞，但特別的是，有別於過往公告主要都與處理器有關，這次最為危險的漏洞，存在於人工智慧模型壓縮工具Neural Compressor，被登記為CVE-2024-22476列管，該公司發布2.5.0版進行修補。

Neural Compressor為開源的Python程式庫，主要的功能是協助開發人員最佳化及精簡深度學習模型。該工具的壓縮技術包含對於神經網路的修剪，或是刪除較不重要的參數、透過處理程序呼叫的量化來減少記憶體的需求，從而產生具備類似能力的小型模型。這麼做的最主要目的，就是為了用於行動裝置這類運算資源較為有限的設備，促進AI應用程式的開發。

根據該公司的資安公告，這項漏洞與輸入驗證不當有關，未經身分驗證的攻擊者有可能遠端利用漏洞，進而提升權限，CVSS風險評分為10。

值得留意的是，這項漏洞可被遠端利用，且操作複雜度並不高，並對於資料的機密性、完整性、可用性有很大的影響。此外，攻擊者也不需要特殊權限，利用漏洞的過程，同樣無需使用者互動就能進行。