| Название базовой системы (платформы): | Microsoft Azure |
| Разработчики: | Microsoft |
| Дата премьеры системы: | 2021/11/02 |
| Технологии: | Big Data, Data Mining, SaaS - Программное обеспечение как услуга |
Содержание |
Основные статьи:
- SaaS - История. Философия. Драйверы развития
- Большие данные (Big Data)
- Data mining Интеллектуальный анализ данных
2025: Облачный сервис от Microsoft с OpenAI оказался дырявым. Управление им могут перехватить хакеры
ФСТЭК в десятых числах августа разослала предупреждение об обнаружении критической уязвимости BDU:2025-09637[1] в облачной платформе Azure OpenAI. Уровень опасности указан максимальный – 10 баллов по CVSS версии 3.1. Уязвимость подтверждена производителем, который уже выпустил для нее исправление. Специалисты ФСТЭК рекомендуют его установить максимально оперативно.
Уязвимость связана с недостаточной проверкой поступающих запросов. Она относится к категории серверной фальсификации запросов (Server-Side Request Forgery – SSRF или CWE-918). Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, повысить свои привилегии на сервере с помощью подмены ссылки при взаимодействии с сервером и получить доступ к токенам аутентификации.
 | BDU:2025-09637 представляет собой критическую уязвимость повышения привилегий (Elevation of Privilege) в сервисе Azure OpenAI от Microsoft, основанную на подделке серверных запросов (SSRF), – пояснил TAdviser ситуацию с уязвимостью Станислав Савченко, ведущий эксперт базы знаний компании «СайберОК». – Она затрагивает облачные сервисы Azure OpenAI, позволяя злоумышленникам манипулировать серверными запросами для доступа к внутренним ресурсам, таким как метаданные экземпляров Azure, и потенциально получать токены или credentials для эскалации прав. Это может привести к несанкционированному доступу к чувствительным данным, моделям ИИ и административным интерфейсам. |  |
То есть злоумышленники могут с помощью данной уязвимости перехватить управление облачными ресурсами Azure и получить доступ к данным, которые компании хранят в облачных приложениях. В частности, под угрозой информация, накопленная в ИИ-моделях OpenAI, и интерфейсы управления сервисами для работы с ними.
| | В первую очередь, уязвимость BDU:2025-09637 касается тех организаций, которые активно используют платформы Microsoft для облачной инфраструктуры и приложений, особенно в рамках корпоративных решений и сервисов на базе ИИ, – предупредила читателей TAdviser Екатерина Едемская, инженер-аналитик компании «Газинформсервис». – К таким компаниям могут относиться крупные банки, государственные учреждения, операторы телекоммуникационных услуг, а также организации, работающие в области финансовых технологий и электронной коммерции. В случае успешной эксплуатации уязвимости злоумышленники могут получить несанкционированный доступ к критическим данным, а также повысить свои привилегии, что приведет к компрометации безопасности систем и потенциальной утечке информации. | |
Екатерина Едемская также отмечает, что уязвимость сама по себе не предоставляет возможности для проведения массовых атак. Главная угроза заключается в том, что она позволяет злоумышленникам действовать скрытно и целенаправленно. Для организации более масштабных атак злоумышленники могут использовать эту уязвимость как часть комплексной стратегии.
| | Полностью защитить облачную платформу невозможно, так как многое зависит от самого провайдера услуг, – посетовал TAdviser на сложность защиты облаков Александр Самсонов, ведущий эксперт отдела разработки и тестирования компании «Код безопасности». – Для рассматриваемой уязвимости выпущены официальные исправления от Microsoft – при первой возможности их необходимо установить. Также настоятельно рекомендуется регулярно обновлять используемое ПО. Дополнительно следует проводить мониторинг аномальной активности, особенно необычных запросов к внутренним ресурсам от сервисов Azure OpenAI. При наличии возможности стоит применять сетевые правила для ограничения исходящего трафика от Azure OpenAI. | |
2021: Предоставление доступа к языковым моделям GPT-3 от OpenAI
2 ноября 2021 года Microsoft анонсировала Azure OpenAI Service – сервис, который предоставит облачным клиентам компании доступ к языковым моделям OpenAI GPT-3. Они смогут воспользоваться мощными ИИ-алгоритмами в сочетании с корпоративными возможностями Azure, такими как безопасность, конфиденциальность данных и гибкое масштабирование.
Решение может применяться в большом спектре сценариев, от преобразования естественного языка в программный код до обобщения больших объемов текста и генерации ответов на вопросы. Например, спортивная франшиза, которая разрабатывает собственное приложение для взаимодействия с фанатами во время матчей, может использовать возможности сервиса для быстрого преобразования потока информации, полученной от комментаторов матча, в короткие выжимки самых ярких моментов игры. А маркетинговая команда может использовать возможности алгоритмов для оперативной генерации оригинального контента при создании постов в социальных сетях или блогах.Astra Configuration Manager: «управляющий» парком корпоративных устройств 
Microsoft предложит инструменты для фильтрации и модерации содержания запросов и ответов пользователей, чтобы помочь моделям эффективно работать в каждом отдельном приложении. Клиенты смогут настраивать эти фильтры в соответствии со своими бизнес-потребностями, поскольку языковой стиль, подходящий, к примеру, для персонажа видеоигры, может отличаться от того, который предназначен для руководителей компаний.
Чтобы обеспечить корректное и этичное использование алгоритмов, сначала сервис Azure OpenAI Service будет доступен только по приглашениям. Первыми клиентами станут компании, которые планируют реализовать четко определенные сценарии использования, включающие этические принципы и стратегии использования ИИ. Сотрудничество с этими первыми клиентами поможет Microsoft увидеть, как эти меры работают на практике, и внести коррективы при необходимости. Помимо этого, Microsoft также предоставит клиентам возможность мониторинга для выявления возможных случаев злоупотребления или неправильного использования, чтобы помочь им убедиться, что их собственные пользователи применяют технологию по назначению.
Инициатива стала продолжением сотрудничества Microsoft и OpenAI. Ранее Microsoft разработала облачный суперкомпьютер для обучения массивных ИИ-моделей в сотрудничестве и эксклюзивно для OpenAI. А весной 2021 года Microsoft объявила о первом использовании GPT-3 в своем продукте: компания интегрировала алгоритм в платформу для low-code разработки Power Apps, что позволяет создавать приложения без глубоких знаний кода или формул.
Примечания
| Название решения | Разработчик | Количество проектов | Технологии |
|---|---|---|---|
| EFront Insight | BlackRock | 0 |
Подрядчики-лидеры по количеству проектов
Elma (Элма) (1912) ВидеоМост (VideoMost) (1767) TrueConf (Труконф) (1599) Террасофт (Terrasoft, ТС-Консалтинг) (1147) Directum (Директум) (814) Другие (9364) Elma (Элма) (179) Directum (Директум) (84) Первый Бит (27) 1С-Рарус (23) Адванта Консалтинг (Advanta) (22) Другие (438) Directum (Директум) (231) Elma (Элма) (140) Адванта Консалтинг (Advanta) (24) Первый Бит (19) СКБ Контур (15) Другие (319)Распределение вендоров по количеству проектов внедрений (систем, проектов) с учётом партнёров
1С Акционерное общество (35, 2956) Elma (Элма) (4, 2046) ВидеоМост (VideoMost) (3, 1818) TrueConf (Труконф) (3, 1615) Directum (Директум) (4, 1293) Другие (2021, 8189) Elma (Элма) (2, 179) Directum (Директум) (1, 145) 1С Акционерное общество (11, 97) Naumen (Наумен консалтинг) (6, 30) 1С-Битрикс (1, 26) Другие (89, 310) Directum (Директум) (1, 242) Elma (Элма) (1, 145) 1С Акционерное общество (8, 75) 1С-Битрикс (1, 33) Адванта Консалтинг (Advanta) (1, 24) Другие (80, 236) Directum (Директум) (2, 181) Elma (Элма) (2, 148) 1С Акционерное общество (11, 79) Naumen (Наумен консалтинг) (7, 22) МТС Линк (Вебинар, Вебинар Технологии) ранее Webinar Group (1, 22) Другие (94, 242) 1С Акционерное общество (2, 7) Directum (Директум) (2, 3) МТС Линк (Вебинар, Вебинар Технологии) ранее Webinar Group (1, 3) 1С-Битрикс (1, 2) Elma (Элма) (1, 2) Другие (8, 9)Распределение систем по количеству проектов, не включая партнерские решения
ВидеоМост (VideoMost) ВКС - 1817 TrueConf Server - 1599 ELMA BPM Suite - 1452 Directum RX - 1286 1С:ERP Управление предприятием 2 - 1028 Другие 9245 ELMA365 - 160 Directum RX - 145 1С:ERP Управление предприятием 2 - 62 1С-Битрикс24 - 26 ELMA BPM Suite - 22 Другие 323 Directum RX - 242 ELMA365 - 145 1С:ERP Управление предприятием 2 - 57 1С-Битрикс24 - 33 Advanta (Адванта) - система управления проектами - 24 Другие 232 Подрядчики-лидеры по количеству проектов
Loginom Company (Аналитические технологии) (128) БизнесАвтоматика НПЦ (123) Инфосистемы Джет (13) Сбербанк (12) GlowByte, ГлоуБайт (ранее Glowbyte Consulting, ГлоуБайт Консалтинг) (11) Другие (777) БизнесАвтоматика НПЦ (4) Axenix (ранее Аксенчер Россия) Аксеникс (2) Департамент информационных технологий Москвы (ДИТ) (2) CM.Expert (АвтоЭксперт) (2) Сбер Бизнес Софт (2) Другие (60) БизнесАвтоматика НПЦ (6) Сбер Бизнес Софт (3) SL Soft (СЛ Софт) (3) Полиматика (Polymatica) (2) GlowByte, ГлоуБайт (ранее Glowbyte Consulting, ГлоуБайт Консалтинг) (2) Другие (67)Распределение вендоров по количеству проектов внедрений (систем, проектов) с учётом партнёров
Loginom Company (Аналитические технологии) (2, 240) БизнесАвтоматика НПЦ (2, 122) Полиматика (Polymatica) (4, 15) SL Soft (СЛ Софт) (4, 15) Oracle (12, 14) Другие (423, 213) БизнесАвтоматика НПЦ (1, 4) Сбербанк (3, 3) Sitronics KT, Ситроникс КТ (ранее Кронштадт Технологии) (2, 2) SL Soft (СЛ Софт) (1, 2) Полиматика (Polymatica) (1, 2) Другие (17, 20) БизнесАвтоматика НПЦ (1, 5) Полиматика (Polymatica) (3, 4) SL Soft (СЛ Софт) (3, 4) Rubbles (Раблз) (1, 2) Retail Rocket (Ритейл Рокет) (1, 2) Другие (16, 16) БизнесАвтоматика НПЦ (1, 7) Loginom Company (Аналитические технологии) (1, 4) 1С Про Консалтинг (1, 1) Яндекс.Облако (Yandex Cloud) (1, 1) Retail Rocket (Ритейл Рокет) (1, 1) Другие (13, 13) Lad, Лад Ай Ти (ранее ГК Лад, Лад-Проект) (1, 2) CleverDATA (Клевер Дата) (1, 1) Группа компаний ЦРТ (Центр речевых технологий) (1, 1) НКЦ ОТИС Лаборатория исследований и разработок (IPChain Lab) (1, 1) Другие (0, 0)Распределение систем по количеству проектов, не включая партнерские решения
Deductor - 226 Visary BI Платформа бизнес-аналитики - 122 Loginom - 14 Polymatica Analytics Аналитическая платформа - 13 IBM SPSS Decision Management - 10 Другие 197 Visary BI Платформа бизнес-аналитики - 4 PIX Process Management (PIX Процессы) - 2 Polymatica Analytics Аналитическая платформа - 2 CM.Expert Data Mining платформа - 2 ЦРТ: Speech Analytics Lab - 2 Другие 16 Visary BI Платформа бизнес-аналитики - 5 Rubbles Customer Insight - 2 Retail Rocket: Smart Placement Ads - 2 Polymatica Analytics Аналитическая платформа - 2 Преферентум. Платформа анализа неструктурированной информации - 1 Другие 10 
