AI News HubLIVE
站内改写1 分钟阅读

由明文密码驱动的AI煤矿安全摄像头网络

安全研究员发现印度“数字煤矿”项目中的AI摄像头系统存在严重安全漏洞,包括明文密码泄露和身份验证绕过。

来源Hacker News AI作者: EatonZ

安全研究员Eaton在持续探索关键基础设施漏洞的过程中,发现了印度“数字煤矿”(Project DigiCoal)项目中的一个严重安全问题。该项目旨在通过AI技术现代化印度煤矿的安全监控,但其中由DeepSight AI Labs开发的“RPI仪表盘”却存在令人担忧的弱点。

该仪表盘用于管理煤矿的AI视觉监控系统,能够集成现有闭路电视设备并检测异常。然而,Eaton发现其“get_users”API无需任何认证即可访问,并返回所有用户的列表,其中包含明文密码。更糟糕的是,这些密码非常弱且多个账户共享同一密码,甚至Chrome浏览器都警告密码强度不足。即使不利用密码,攻击者也可以通过修改浏览器本地存储中的访问角色值来伪造登录,从而获得系统访问权限。

成功登录后,攻击者可以查看“警报仪表盘”,监控七个煤矿的所有摄像头画面。该系统配置用于监测多种违规行为,包括车辆检测、入侵以及未佩戴个人防护装备(PPE)。攻击者可以查看实时警报和录像,虽然不会直接导致灾难性后果,但暴露了敏感信息并可能被恶意利用。

Eaton于2025年8月22日向印度计算机应急响应小组(CERT-IN)报告了这一漏洞。经过数次跟进——9月16日、10月16日、11月17日他分别询问更新,CERT-IN均回应正在与相关当局采取适当行动——最终于2025年11月18日,CERT-IN确认漏洞已被修复。这一事件再次凸显了关键基础设施中AI应用的安全实践需要加强,尤其是密码管理和API访问控制等基本安全问题。