主要观点：Wiz 研究团队对多个 AI 服务提供商进行了租户隔离研究，认为 AI 服务易受租户隔离漏洞影响，且 AI 基础设施在商业环境中日益重要，攻击影响也更显著，将在 Black Hat 会议上展示研究成果。此次针对 SAP 的 AI 产品 SAP AI Core 进行研究，发现了一系列漏洞，包括绕过网络限制、Loki 泄露 AWS 令牌、未经认证的 EFS 共享暴露用户文件、未经认证的 Helm 服务器危及内部 Docker 注册表和 Artifactory、未经认证的 Helm 服务器危及 K8s 集群并暴露 Google 访问令牌和客户秘密等。
关键信息：

• 研究对象为 SAP AI Core，是利用 SAP 云资源开发、训练和运行 AI 服务的平台。
• 发现的漏洞可让攻击者访问客户数据、污染内部工件并传播到相关服务和其他客户环境。
• 已向 SAP 安全团队报告漏洞并得到修复，未造成客户数据泄露。
• 披露时间表显示了各阶段的时间节点。
  重要细节：
• 研究始于作为 SAP 客户获得基本权限创建 AI 项目，通过提供 Argo Workflow 文件在 Kubernetes Pod 中运行任意代码。
• 发现通过设置shareProcessNamespace和runAsUser（runAsGroup）可绕过 SAP 准入控制器的限制，获得 Istio 令牌从而无流量限制地扫描内部网络。
• 在集群中发现 Grafana Loki 实例，其配置中包含 AWS 秘密，可访问 S3 桶中的日志。
• 内部网络中的 6 个 AWS Elastic File System（EFS）实例默认配置为公共，可自由访问其内容，包含大量 AI 数据。
• 名为 Tiller 的服务是 Helm 包管理器的服务器组件，其 gRPC 接口默认暴露且未认证，可获取 SAP 的 Docker 注册表和 Artifactory 服务器的特权秘密，进行供应链攻击等。
• 研究强调了深度防御的重要性、K8s 在托管服务中的租户隔离缺陷以及 AI R&D 过程带来的独特挑战。
• 介绍了 Wiz 研究团队成员及联系方式。