CrowdStrike, американская компания по кибербезопасности, 19 июля вызвала глобальный сбой после того, как обновление привело к зависанию ноутбуков и настольных компьютеров Windows и зависанию в цикле загрузки. Отключение длилось несколько часов и затронуло различные отрасли, включая авиакомпании, здравоохранение, ИТ и другие. После решения проблемы компания опубликовала отчет после инцидента, в котором подчеркнула, что ее система искусственного интеллекта (ИИ), получившая название «датчик Falcon», вызвала ошибку. Сегодня компания опубликовала подробный отчет после проведения внешнего анализа, чтобы прояснить, что именно произошло.
CrowdStrike публикует отчет о внешней оценке
В отчет Под названием «Анализ внешних технических причин — файл канала 291» компания по кибербезопасности сообщила, что обнаружила, что датчик Falcon развернул ошибочную строку типа модели, которая повлияла на механизмы межпроцессного взаимодействия Windows (IPC).
По данным CrowdStrike, Falcon использует модели машинного обучения, которые автоматически выявляют и устраняют новейшие и наиболее сложные угрозы, исходящие от злоумышленников. Незадолго до сбоя 19 июля функция обнаружения распространила новый «тип шаблона» на миллионы компьютеров клиентов в установках Falcon в версии 7.11.
Но тут все пошло не так. В отчете указывалось, что тип модели IPC определил 21 поле входных параметров, но «код интеграции, который вызывал интерпретатор контента с экземплярами модели из файла канала 291, предоставил для сравнения только 20 входных значений». Эта несовместимость, как правило, не является проблемой, поскольку до сих пор система ИИ никогда не выбирала какие-либо входные данные, кроме 20 точек данных.
Но в этот день датчик запросил проверку модели типа 21. Поскольку соответствующего кода внедрения не было, попытка доступа к 21-му входному параметру привела к ошибке памяти за пределами допустимого диапазона и привела к сбою системы.
В отчете говорится, что компания CrowdStrike разработала исправление для компилятора контента Sensor, которое проверяет количество входных данных, предоставляемых типом модели. Это исправление было запущено в производство 27 июля. Компания заявила, что также сосредоточила внимание на расширении тестирования и проверки перед выпуском обновления. Кроме того, она также заявила, что все будущие обновления будут внедряться поэтапно, чтобы свести к минимуму любые потенциальные ошибки.
Следует отметить, что никаких подробностей о внешних поставщиках, проводивших проверку, предоставлено не было.