NVIDIAのAIチャットボット「ChatRTX」、ユーザーインターフェイスに脆弱性

同社が公開したセキュリティ情報

　米NVIDIAは3月26日（現地時間）、AIチャットボット「NVIDIA ChatRTX」に複数の脆弱性が存在すると明らかにした。

　「NVIDIA ChatRTX」（Chat with RTX）は、「GPT」大規模言語モデル（LLM）にユーザーデータを接続し、パーソナライズできるデモアプリ。「Retrieval-Augmented Generation」（RAG）、「TensorRT-LLM」、「GeForce RTX」アクセラレーションを活用することで、カスタムチャットボットにクエリを送信し、コンテキストに関連する回答をローカルですばやく生成できる。「GeForce RTX 30」シリーズ以上かつ、8GB以上のVRAMのGPUを搭載したWindows 10/11のPCで利用できる。

　今回のアップデートで修正された脆弱性は、以下の2件。v0.2より前のバージョンに影響し、深刻度を示す「CVSS v3.1」のベーススコアは最大で「8.2」となっている（括弧内は「CVSS v3.1」のベーススコア）。

• CVE‑2024‑0082：UIに脆弱性があり、アプリケーションにオープンファイルリクエストを送信することで、不適切な権限管理を引き起こす可能性。ローカル特権昇格、情報漏えい、データ改ざんにつながるおそれ（8.2：High）
• CVE‑2024‑0083：UIに脆弱性があり、ブラウザーで悪意のあるスクリプトを実行すると、ネットワークによるクロスサイトスクリプティングエラーを引き起こす可能性。コード実行、サービス拒否、情報漏えいにつながるおそれ（6.5：Medium）

　なお、ダウンロード提供は一時停止されていたが、執筆時現在は再開されている。アップデートを済ませておきたい。

「NVIDIA ChatRTX」のユーザーインターフェイス