| Название базовой системы (платформы): | Microsoft Azure |
| Разработчики: | Microsoft |
| Дата премьеры системы: | 2021/11/02 |
| Технологии: | Big Data, Data Mining, SaaS - Программное обеспечение как услуга |
Содержание |
Основные статьи:
- SaaS - История. Философия. Драйверы развития
- Большие данные (Big Data)
- Data mining Интеллектуальный анализ данных
2025: Облачный сервис от Microsoft с OpenAI оказался дырявым. Управление им могут перехватить хакеры
ФСТЭК в десятых числах августа разослала предупреждение об обнаружении критической уязвимости BDU:2025-09637[1] в облачной платформе Azure OpenAI. Уровень опасности указан максимальный – 10 баллов по CVSS версии 3.1. Уязвимость подтверждена производителем, который уже выпустил для нее исправление. Специалисты ФСТЭК рекомендуют его установить максимально оперативно.
Уязвимость связана с недостаточной проверкой поступающих запросов. Она относится к категории серверной фальсификации запросов (Server-Side Request Forgery – SSRF или CWE-918). Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, повысить свои привилегии на сервере с помощью подмены ссылки при взаимодействии с сервером и получить доступ к токенам аутентификации.
 | BDU:2025-09637 представляет собой критическую уязвимость повышения привилегий (Elevation of Privilege) в сервисе Azure OpenAI от Microsoft, основанную на подделке серверных запросов (SSRF), – пояснил TAdviser ситуацию с уязвимостью Станислав Савченко, ведущий эксперт базы знаний компании «СайберОК». – Она затрагивает облачные сервисы Azure OpenAI, позволяя злоумышленникам манипулировать серверными запросами для доступа к внутренним ресурсам, таким как метаданные экземпляров Azure, и потенциально получать токены или credentials для эскалации прав. Это может привести к несанкционированному доступу к чувствительным данным, моделям ИИ и административным интерфейсам. |  |
То есть злоумышленники могут с помощью данной уязвимости перехватить управление облачными ресурсами Azure и получить доступ к данным, которые компании хранят в облачных приложениях. В частности, под угрозой информация, накопленная в ИИ-моделях OpenAI, и интерфейсы управления сервисами для работы с ними.
| | В первую очередь, уязвимость BDU:2025-09637 касается тех организаций, которые активно используют платформы Microsoft для облачной инфраструктуры и приложений, особенно в рамках корпоративных решений и сервисов на базе ИИ, – предупредила читателей TAdviser Екатерина Едемская, инженер-аналитик компании «Газинформсервис». – К таким компаниям могут относиться крупные банки, государственные учреждения, операторы телекоммуникационных услуг, а также организации, работающие в области финансовых технологий и электронной коммерции. В случае успешной эксплуатации уязвимости злоумышленники могут получить несанкционированный доступ к критическим данным, а также повысить свои привилегии, что приведет к компрометации безопасности систем и потенциальной утечке информации. | |
Екатерина Едемская также отмечает, что уязвимость сама по себе не предоставляет возможности для проведения массовых атак. Главная угроза заключается в том, что она позволяет злоумышленникам действовать скрытно и целенаправленно. Для организации более масштабных атак злоумышленники могут использовать эту уязвимость как часть комплексной стратегии.
| | Полностью защитить облачную платформу невозможно, так как многое зависит от самого провайдера услуг, – посетовал TAdviser на сложность защиты облаков Александр Самсонов, ведущий эксперт отдела разработки и тестирования компании «Код безопасности». – Для рассматриваемой уязвимости выпущены официальные исправления от Microsoft – при первой возможности их необходимо установить. Также настоятельно рекомендуется регулярно обновлять используемое ПО. Дополнительно следует проводить мониторинг аномальной активности, особенно необычных запросов к внутренним ресурсам от сервисов Azure OpenAI. При наличии возможности стоит применять сетевые правила для ограничения исходящего трафика от Azure OpenAI. | |
2021: Предоставление доступа к языковым моделям GPT-3 от OpenAI
2 ноября 2021 года Microsoft анонсировала Azure OpenAI Service – сервис, который предоставит облачным клиентам компании доступ к языковым моделям OpenAI GPT-3. Они смогут воспользоваться мощными ИИ-алгоритмами в сочетании с корпоративными возможностями Azure, такими как безопасность, конфиденциальность данных и гибкое масштабирование.
Решение может применяться в большом спектре сценариев, от преобразования естественного языка в программный код до обобщения больших объемов текста и генерации ответов на вопросы. Например, спортивная франшиза, которая разрабатывает собственное приложение для взаимодействия с фанатами во время матчей, может использовать возможности сервиса для быстрого преобразования потока информации, полученной от комментаторов матча, в короткие выжимки самых ярких моментов игры. А маркетинговая команда может использовать возможности алгоритмов для оперативной генерации оригинального контента при создании постов в социальных сетях или блогах.Илья Муратов, PROТЕХНО: Главная ошибка ИТ-компаний — говорить с рынком на языке инженеров 
Microsoft предложит инструменты для фильтрации и модерации содержания запросов и ответов пользователей, чтобы помочь моделям эффективно работать в каждом отдельном приложении. Клиенты смогут настраивать эти фильтры в соответствии со своими бизнес-потребностями, поскольку языковой стиль, подходящий, к примеру, для персонажа видеоигры, может отличаться от того, который предназначен для руководителей компаний.
Чтобы обеспечить корректное и этичное использование алгоритмов, сначала сервис Azure OpenAI Service будет доступен только по приглашениям. Первыми клиентами станут компании, которые планируют реализовать четко определенные сценарии использования, включающие этические принципы и стратегии использования ИИ. Сотрудничество с этими первыми клиентами поможет Microsoft увидеть, как эти меры работают на практике, и внести коррективы при необходимости. Помимо этого, Microsoft также предоставит клиентам возможность мониторинга для выявления возможных случаев злоупотребления или неправильного использования, чтобы помочь им убедиться, что их собственные пользователи применяют технологию по назначению.
Инициатива стала продолжением сотрудничества Microsoft и OpenAI. Ранее Microsoft разработала облачный суперкомпьютер для обучения массивных ИИ-моделей в сотрудничестве и эксклюзивно для OpenAI. А весной 2021 года Microsoft объявила о первом использовании GPT-3 в своем продукте: компания интегрировала алгоритм в платформу для low-code разработки Power Apps, что позволяет создавать приложения без глубоких знаний кода или формул.
Примечания
| Название решения | Разработчик | Количество проектов | Технологии |
|---|---|---|---|
| EFront Insight | BlackRock | 0 |
Подрядчики-лидеры по количеству проектов
Elma (Элма, Интеллект Лаб, Практика БПМ) (1794) ВидеоМост (VideoMost) (1767) TrueConf (Труконф) (1599) Террасофт (Terrasoft, ТС-Консалтинг) (1147) Directum (Директум) (812) Другие (9294) Elma (Элма, Интеллект Лаб, Практика БПМ) (179) Directum (Директум) (84) Первый Бит (27) 1С-Рарус (23) Адванта Консалтинг (Advanta) (22) Другие (438)Распределение вендоров по количеству проектов внедрений (систем, проектов) с учётом партнёров
1С Акционерное общество (35, 2923) Elma (Элма, Интеллект Лаб, Практика БПМ) (4, 1927) ВидеоМост (VideoMost) (3, 1818) TrueConf (Труконф) (3, 1615) Directum (Директум) (4, 1290) Другие (2004, 8157) Elma (Элма, Интеллект Лаб, Практика БПМ) (2, 180) Directum (Директум) (1, 146) 1С Акционерное общество (11, 96) Naumen (Наумен консалтинг) (6, 30) 1С-Битрикс (1, 26) Другие (89, 309) Directum (Директум) (1, 242) Elma (Элма, Интеллект Лаб, Практика БПМ) (1, 155) 1С Акционерное общество (8, 72) 1С-Битрикс (1, 33) Адванта Консалтинг (Advanta) (1, 24) Другие (82, 238) Directum (Директум) (2, 179) 1С Акционерное общество (10, 64) Naumen (Наумен консалтинг) (7, 22) МТС Линк (Вебинар, Вебинар Технологии) ранее Webinar Group (1, 22) 1С-Битрикс (1, 17) Другие (88, 225)Распределение систем по количеству проектов, не включая партнерские решения
ВидеоМост (VideoMost) ВКС - 1817 TrueConf Server - 1599 ELMA BPM Suite - 1430 Directum RX - 1283 1С:ERP Управление предприятием 2 - 1000 Другие 9111 ELMA365 - 161 Directum RX - 146 1С:ERP Управление предприятием 2 - 61 1С-Битрикс24 - 26 ELMA BPM Suite - 22 Другие 322 Подрядчики-лидеры по количеству проектов
Loginom Company (Аналитические технологии) (128) БизнесАвтоматика НПЦ (123) Инфосистемы Джет (13) Сбербанк (12) GlowByte, ГлоуБайт (ранее Glowbyte Consulting, ГлоуБайт Консалтинг) (11) Другие (751) БизнесАвтоматика НПЦ (4) Napoleon IT (Наполеон Айти) (2) Инфосистемы Джет (2) PIX Robotics (Пикс Роботикс) (2) Sitronics KT, Ситроникс КТ (ранее Кронштадт Технологии) (2) Другие (60)Распределение вендоров по количеству проектов внедрений (систем, проектов) с учётом партнёров
Loginom Company (Аналитические технологии) (2, 240) БизнесАвтоматика НПЦ (2, 122) SL Soft (СЛ Софт) (4, 15) Полиматика (Polymatica) (4, 15) Oracle (12, 14) Другие (406, 207) БизнесАвтоматика НПЦ (1, 4) Сбербанк (3, 3) Sitronics KT, Ситроникс КТ (ранее Кронштадт Технологии) (2, 2) SL Soft (СЛ Софт) (1, 2) Полиматика (Polymatica) (1, 2) Другие (17, 20) БизнесАвтоматика НПЦ (1, 5) Полиматика (Polymatica) (3, 4) SL Soft (СЛ Софт) (3, 4) Rubbles (Раблз) (1, 2) Retail Rocket (Ритейл Рокет) (1, 2) Другие (16, 16) БизнесАвтоматика НПЦ (1, 7) Loginom Company (Аналитические технологии) (1, 4) Retail Rocket (Ритейл Рокет) (1, 1) Smart Engines (Смарт Энджинс) (1, 1) Инферит ИТМен (iTMan) (1, 1) Другие (13, 13)Распределение систем по количеству проектов, не включая партнерские решения
Deductor - 226 Visary BI Платформа бизнес-аналитики - 122 Loginom - 14 Polymatica Analytics Аналитическая платформа - 13 IBM SPSS Decision Management - 10 Другие 191 Visary BI Платформа бизнес-аналитики - 4 Polymatica Analytics Аналитическая платформа - 2 ЦРТ: Speech Analytics Lab - 2 PIX Process Management (PIX Процессы) - 2 CM.Expert Data Mining платформа - 2 Другие 16 
