Oligo Security 發出警告，有人利用 Ray 開源人工智慧 (AI) 框架中兩年前存在的安全漏洞，對受感染的集群（配備 NVIDIA GPU）發起攻擊，將集群變成可自我複製的加密貨幣挖礦殭屍網路。這一事件凸顯了開源 AI 基礎設施中未修補漏洞的巨大風險，以及攻擊者如何將高效能計算資源轉化為非法收益工具。

該活動代號為ShadowRay 2.0，是2023 年 9 月至 2024 年 3 月期間觀察到的前一波攻擊的演變。這次攻擊活動展示了威脅行為者持續追蹤並改進對已知漏洞的利用技術。該攻擊的核心是利用一個嚴重的身份驗證漏洞（CVE-2023-48022，CVSS 評分：9.8）來控制易受攻擊的實例，並劫持其計算能力，使用 XMRig 進行非法加密貨幣挖礦。CVSS 9.8 的評分代表這是一個極度危險的漏洞，允許遠端攻擊者在未經身份驗證的情況下執行任意程式碼。

此攻擊活動包括向暴露的儀錶板上未經身份驗證的 Ray作業提交 API（「/api/jobs/」）提交惡意作業，這些作業包含從簡單的偵察到複雜的多階段 Bash 和 Python 有效載荷等各種命令。惡意作業利用了 Ray 框架缺乏對 API 請求進行適當安全檢查的缺陷。被攻破的 Ray 集群隨後被用於發起「噴灑式」攻擊，將這些有效載荷分發到其他 Ray 儀表板，從而形成一種蠕蟲病毒，該病毒能夠從一個受害者傳播到另一個受害者。這種蠕蟲式的擴散能力使得攻擊的傳播速度極快，對整個 Ray 用戶生態系統構成系統性威脅。

此攻擊活動很可能利用了大型語言模型（LLM）來創建 GitLab 有效載荷。這項判斷是基於惡意軟體的「結構、註釋和錯誤處理模式」。這表明威脅行為者正積極利用 LLM 的程式碼生成能力來提高其攻擊工具的複雜度、多樣性和隱蔽性，這為資安防禦帶來了新一層的挑戰。這次攻擊的一個顯著特點是使用了多種策略來規避偵測，包括將惡意程式偽裝成合法的Linux核心工作服務，並將CPU使用率限制在60%左右。這種資源限制的策略旨在避免因計算資源異常高峰而被集群管理員察覺，從而確保挖礦活動的持久性。據信，該攻擊活動可能從2024年9月就開始了，這也突顯了這些未修補的關鍵漏洞長期暴露的危險性。

Ray 框架的用戶，特別是那些使用 NVIDIA GPU 進行 AI 或機器學習任務的集群，必須立即採取行動。由於該漏洞已公開兩年且利用程式碼已在野外被觀察到，修補和限制網路存取成為當務之急。企業應確保所有 Ray 儀表板不直接暴露於公共網路，並在訪問其 API 時強制執行強大的身份驗證機制。這起 ShadowRay 2.0 事件對所有使用開源 AI 基礎設施的組織敲響了警鐘：開源軟體的供應鏈安全，特別是修補進度，是決定企業網路邊界防禦韌性的關鍵。