A Nvidia lançou o aplicativo ChatRTX baseado em algoritmos de inteligência artificial há um mês e meio, mas já em tão pouco tempo foi forçada a corrigir duas vulnerabilidades nele – eles incluíam vários vetores de ataque, incluindo escalonamento de privilégios e execução remota de código.
Fonte da imagem: BoliviaInteligente / unsplash.com
ChatRTX, anteriormente chamado de Chat with RTX, estreou em fevereiro – permite que proprietários de placas gráficas Nvidia executem localmente um chatbot de IA. Isso requer uma placa de vídeo GeForce RTX série 30 ou 40 e pelo menos 8 GB de memória de vídeo. Esta é, obviamente, uma solução mais modesta do que os chatbots da nuvem, mas a capacidade de execução local compensa esta deficiência.
Nas primeiras versões do Nvidia ChatRTX até 0,2, havia duas vulnerabilidades numeradas CVE-2024-0082 e CVE-2024-0083 com classificações de 8,2 e 6,5 em 10. A primeira permite roubo de dados e substituição e elevação de privilégios de usuário ; a segunda é realizar ataques de negação de serviço (DoS), roubar dados e realizar execução remota de código.
A Nvidia esclareceu que tais ataques podem ser realizados usando solicitações de abertura de arquivos e cross-site scripting (XSS). Não há relatos de quaisquer sistemas realmente comprometidos devido a essas vulnerabilidades. Para se livrar deles, o desenvolvedor recomenda atualizar o ChatRTX para a versão 0.2, mas sua redação é um tanto confusa: “a última [vulnerabilidades] afetada e versão atualizada é 0.2”. Pode ser melhor não apenas atualizar, mas também reinstalar o aplicativo.