হাগিং ফেস এআই প্ল্যাটফর্মের দুটি গুরুত্বপূর্ণ নিরাপত্তা দুর্বলতা আক্রমণকারীদের জন্য দরজা খুলে দিয়েছে যারা গ্রাহকের ডেটা এবং মডেলগুলি অ্যাক্সেস এবং পরিবর্তন করতে চাইছে।
একটি নিরাপত্তা দুর্বলতা আক্রমণকারীদেরকে হাগিং ফেস প্ল্যাটফর্মে অন্যান্য গ্রাহকদের সাথে সম্পর্কিত মেশিন লার্নিং (এমএল) মডেলগুলি অ্যাক্সেস করার একটি উপায় দিয়েছে এবং দ্বিতীয়টি তাদের একটি শেয়ার করা কন্টেইনার রেজিস্ট্রিতে সমস্ত ছবি ওভাররাইট করার অনুমতি দিয়েছে৷ উইজ-এর গবেষকদের দ্বারা আবিষ্কৃত উভয় ত্রুটিই আক্রমণকারীদের হাগিং ফেসের ইনফারেন্স অবকাঠামোর কিছু অংশ দখল করার ক্ষমতার সাথে সম্পর্কিত ছিল।
উইজ গবেষকরা তিনটি নির্দিষ্ট উপাদানে দুর্বলতা খুঁজে পেয়েছেন: হাগিং ফেস ইনফারেন্স API, যা ব্যবহারকারীদের প্ল্যাটফর্মে উপলব্ধ মডেলগুলি ব্রাউজ করতে এবং ইন্টারঅ্যাক্ট করতে দেয়; আলিঙ্গন ফেস ইনফারেন্স এন্ডপয়েন্টস — বা উৎপাদনে AI মডেল স্থাপনের জন্য ডেডিকেটেড অবকাঠামো; এবং হাগিং ফেস স্পেস, এআই/এমএল অ্যাপ্লিকেশন প্রদর্শনের জন্য বা মডেল উন্নয়নে সহযোগিতামূলকভাবে কাজ করার জন্য একটি হোস্টিং পরিষেবা।
আচারের সমস্যা
Hugging Face-এর পরিকাঠামো এবং তারা যে বাগগুলি আবিষ্কার করেছে তা অস্ত্র তৈরি করার উপায়গুলি পরীক্ষা করে, Wiz গবেষকরা দেখতে পেয়েছেন যে কেউ সহজেই প্ল্যাটফর্মে একটি AI/ML মডেল আপলোড করতে পারে, যার মধ্যে Pickle ফর্ম্যাটের উপর ভিত্তি করে রয়েছে৷ জরান একটি ফাইলে পাইথন বস্তু সংরক্ষণ করার জন্য একটি বহুল ব্যবহৃত মডিউল। যদিও পাইথন সফ্টওয়্যার ফাউন্ডেশন নিজেই পিকলকে অনিরাপদ বলে মনে করেছে, তবে এটি ব্যবহার করার সহজতা এবং এর সাথে পরিচিত লোকেদের পরিচিতির কারণে এটি জনপ্রিয় রয়ে গেছে।
উইজ এর মতে, "একটি পাইটর্চ (পিকল) মডেল তৈরি করা তুলনামূলকভাবে সহজ যেটি লোড করার সময় নির্বিচারে কোড কার্যকর করবে।"
উইজ গবেষকরা হাগিং ফেস-এ একটি ব্যক্তিগত পিকল-ভিত্তিক মডেল আপলোড করার ক্ষমতার সুবিধা নিয়েছিলেন যা লোড করার পরে একটি বিপরীত শেল চালাবে। তারপরে তারা শেল-এর মতো কার্যকারিতা অর্জনের জন্য ইনফারেন্স API ব্যবহার করে এটির সাথে ইন্টারঅ্যাক্ট করেছিল, যা গবেষকরা হাগিং ফেসের অবকাঠামোতে তাদের পরিবেশ অন্বেষণ করতে ব্যবহার করেছিলেন।
সেই অনুশীলনটি দ্রুত গবেষকদের দেখিয়েছিল যে তাদের মডেল অ্যামাজন ইলাস্টিক কুবারনেটস সার্ভিস (ইকেএস) এর একটি ক্লাস্টারে একটি পডে চলছে। সেখান থেকে গবেষকরা তথ্য বের করতে সাধারণ ভুল কনফিগারেশনগুলিকে কাজে লাগাতে সক্ষম হন যা তাদের গোপনীয়তা দেখার জন্য প্রয়োজনীয় সুযোগ-সুবিধাগুলি অর্জন করতে দেয় যা তাদের ভাগ করা অবকাঠামোতে অন্যান্য ভাড়াটেদের অ্যাক্সেস করার অনুমতি দিতে পারে।
আলিঙ্গন ফেস স্পেস দিয়ে, উইজ আবিষ্কার করেছে যে একজন আক্রমণকারী অ্যাপ্লিকেশন তৈরির সময় নির্বিচারে কোড চালাতে পারে যা তাদের মেশিন থেকে নেটওয়ার্ক সংযোগ পরীক্ষা করতে দেয়। তাদের পর্যালোচনা অন্য গ্রাহকদের অন্তর্গত ছবি সম্বলিত একটি শেয়ার্ড কন্টেইনার রেজিস্ট্রির সাথে একটি সংযোগ দেখায় যা তারা টেম্পার করতে পারে।
"ভুল হাতে, অভ্যন্তরীণ কন্টেইনার রেজিস্ট্রিতে লেখার ক্ষমতা প্ল্যাটফর্মের অখণ্ডতার জন্য উল্লেখযোগ্য প্রভাব ফেলতে পারে এবং গ্রাহকদের স্থানগুলিতে সরবরাহ চেইন আক্রমণের দিকে পরিচালিত করতে পারে," উইজ বলেছেন।
আলিঙ্গন মুখে ড এটি উইজ আবিষ্কৃত ঝুঁকি সম্পূর্ণরূপে প্রশমিত করেছে। কোম্পানী ইতিমধ্যে এই ধরনের ফাইলগুলির সাথে সম্পর্কিত উপরে উল্লিখিত ভাল-নথিভুক্ত সুরক্ষা ঝুঁকি থাকা সত্ত্বেও, আলিঙ্গন মুখ প্ল্যাটফর্মে পিকল ফাইলগুলির ব্যবহারের অনুমতি দেওয়া চালিয়ে যাওয়ার সিদ্ধান্তের সাথে অন্তত আংশিকভাবে সমস্যাগুলি চিহ্নিত করেছে।
"আচার ফাইলগুলি উইজ দ্বারা করা বেশিরভাগ গবেষণার মূলে ছিল এবং নিরাপত্তা গবেষকদের দ্বারা আলিঙ্গন মুখ সম্পর্কে অন্যান্য সাম্প্রতিক প্রকাশনা," কোম্পানি উল্লেখ করেছে। আলিঙ্গন মুখে আচার ব্যবহারের অনুমতি দেওয়া "আমাদের প্রকৌশল এবং নিরাপত্তা দলগুলির উপর একটি বোঝা এবং আমরা এআই সম্প্রদায়কে তাদের বেছে নেওয়া সরঞ্জামগুলি ব্যবহার করার অনুমতি দেওয়ার সময় ঝুঁকিগুলি হ্রাস করার জন্য উল্লেখযোগ্য প্রচেষ্টা করেছি।"
এআই-এ-এ-সার্ভিস সহ উদীয়মান ঝুঁকি
উইজ এর আবিষ্কার বর্ণনা করেছেন নতুন এআই মডেল এবং অ্যাপ্লিকেশনগুলি হোস্ট, চালানো এবং বিকাশের জন্য শেয়ার্ড অবকাঠামো ব্যবহার করার সময় সংস্থাগুলিকে যে ঝুঁকিগুলি সম্পর্কে সচেতন হতে হবে তার নির্দেশক হিসাবে, যা "এআই-এ-সার্ভিস" নামে পরিচিত। সংস্থাটি পাবলিক ক্লাউড পরিবেশে সংস্থাগুলির সম্মুখীন হওয়া ঝুঁকি এবং সংশ্লিষ্ট প্রশমনকে তুলনা করেছে এবং তারা AI পরিবেশেও একই প্রশমন প্রয়োগ করার পরামর্শ দিয়েছে।
উইজ এই সপ্তাহে একটি ব্লগে বলেছেন, "সংস্থাগুলিকে নিশ্চিত করা উচিত যে তাদের সম্পূর্ণ এআই স্ট্যাকের দৃশ্যমানতা এবং পরিচালনা রয়েছে এবং সমস্ত ঝুঁকিগুলি সাবধানতার সাথে বিশ্লেষণ করা উচিত।" এর মধ্যে "এর ব্যবহার" বিশ্লেষণ অন্তর্ভুক্ত রয়েছে দূষিত মডেল, প্রশিক্ষণ তথ্য প্রকাশপ্রশিক্ষণে সংবেদনশীল তথ্য, দুর্বলতা AI SDK-তে, AI পরিষেবার এক্সপোজার এবং অন্যান্য বিষাক্ত ঝুঁকির সংমিশ্রণ যা আক্রমণকারীদের দ্বারা শোষিত হতে পারে,” নিরাপত্তা বিক্রেতা বলেছেন।
সল্ট সিকিউরিটির সাইবার সিকিউরিটি স্ট্র্যাটেজির ডিরেক্টর এরিক শোয়েক বলেছেন, এআই-এ-এ-সার্ভিস ব্যবহারের সাথে সম্পর্কিত দুটি প্রধান সমস্যা রয়েছে যা সংস্থাগুলির সচেতন হওয়া দরকার। "প্রথম, হুমকি অভিনেতারা ক্ষতিকারক AI মডেলগুলি আপলোড করতে পারে বা তথ্য চুরি করতে বা ফলাফলের হেরফের করার জন্য ইনফারেন্স স্ট্যাকের দুর্বলতাগুলিকে কাজে লাগাতে পারে," তিনি বলেছেন। "দ্বিতীয়, দূষিত অভিনেতারা প্রশিক্ষণের ডেটার সাথে আপস করার চেষ্টা করতে পারে, যার ফলে পক্ষপাতদুষ্ট বা ভুল AI আউটপুট হয়, যা সাধারণত ডেটা বিষক্রিয়া হিসাবে পরিচিত।"
এই সমস্যাগুলি সনাক্ত করা চ্যালেঞ্জিং হতে পারে, বিশেষ করে এআই মডেলগুলি কীভাবে জটিল হয়ে উঠছে, তিনি বলেছেন। এই ঝুঁকিগুলির কিছু পরিচালনা করতে সহায়তা করার জন্য সংস্থাগুলির জন্য তাদের AI অ্যাপ এবং মডেলগুলি কীভাবে API-এর সাথে ইন্টারঅ্যাক্ট করে এবং এটি সুরক্ষিত করার উপায়গুলি খুঁজে বের করা গুরুত্বপূর্ণ৷ “সংস্থাগুলিও অন্বেষণ করতে চাইতে পারে ব্যাখ্যাযোগ্য AI (XAI) AI মডেলগুলিকে আরও বোধগম্য করতে সাহায্য করার জন্য," Schwake বলেছেন, "এবং এটি AI মডেলগুলির মধ্যে পক্ষপাত বা ঝুঁকি সনাক্ত করতে এবং প্রশমিত করতে সহায়তা করতে পারে।"
- এসইও চালিত বিষয়বস্তু এবং পিআর বিতরণ। আজই পরিবর্ধিত পান।
- PlatoData.Network উল্লম্ব জেনারেটিভ Ai. নিজেকে ক্ষমতায়িত করুন। এখানে প্রবেশ করুন.
- প্লেটোএআইস্ট্রিম। Web3 ইন্টেলিজেন্স। জ্ঞান প্রসারিত. এখানে প্রবেশ করুন.
- প্লেটোইএসজি। কার্বন, ক্লিনটেক, শক্তি, পরিবেশ সৌর, বর্জ্য ব্যবস্থাপনা. এখানে প্রবেশ করুন.
- প্লেটো হেলথ। বায়োটেক এবং ক্লিনিক্যাল ট্রায়াল ইন্টেলিজেন্স। এখানে প্রবেশ করুন.
- উত্স: https://www.darkreading.com/cloud-security/critical-bugs-hugging-face-ai-platform-pickle
- : আছে
- : হয়
- 7
- a
- ক্ষমতা
- সক্ষম
- সম্পর্কে
- প্রবেশ
- অনুযায়ী
- অর্জন করা
- অর্জন
- অভিনেতা
- সুবিধা
- AI
- এআই মডেল
- এআই প্ল্যাটফর্ম
- এআই পরিষেবা
- এআই / এমএল
- সব
- অনুমতি
- অনুমতি
- অনুমতি
- এছাড়াও
- ALTER
- মর্দানী স্ত্রীলোক
- অ্যামাজন ইলাস্টিক কুবারনেটস পরিষেবা
- an
- বিশ্লেষণ করা
- বিশ্লেষণ
- এবং
- যে কেউ
- API
- আবেদন
- অ্যাপ্লিকেশন
- প্রয়োগ করা
- অ্যাপস
- অবাধ
- রয়েছি
- AS
- যুক্ত
- At
- আক্রমণকারী
- আক্রমন
- সহজলভ্য
- সচেতন
- ভিত্তি
- BE
- কারণ
- মানানসই
- হয়েছে
- হচ্ছে
- একাত্মতার
- পক্ষপাত
- পক্ষপাতদুষ্ট
- ব্লগ
- উভয়
- বাগ
- নির্মাণ করা
- বোঝা
- by
- CAN
- সাবধানে
- চেন
- চ্যালেঞ্জিং
- বেছে নিন
- মেঘ
- গুচ্ছ
- কোড
- সমন্বয়
- সাধারণ
- সাধারণভাবে
- সম্প্রদায়
- কোম্পানি
- সম্পূর্ণরূপে
- জটিল
- উপাদান
- আপস
- সংযোগ
- সংযোগ
- আধার
- অবিরত
- মূল
- পারা
- নৈপুণ্য
- সংকটপূর্ণ
- ক্রেতা
- গ্রাহক তথ্য
- গ্রাহকদের
- সাইবার নিরাপত্তা
- উপাত্ত
- রায়
- নিবেদিত
- বলিয়া গণ্য
- মোতায়েন
- বর্ণিত
- সত্ত্বেও
- বিকাশ
- উন্নয়ন
- Director
- আবিষ্কৃত
- do
- সম্পন্ন
- দরজা
- সময়
- আরাম
- ব্যবহারে সহজ
- সহজে
- প্রচেষ্টা
- শিরীষের গুঁড়ো
- সাক্ষাৎ
- প্রকৌশল
- নিশ্চিত করা
- সমগ্র
- পরিবেশ
- পরিবেশের
- বিশেষত
- এমন কি
- পরীক্ষক
- অনুসন্ধানী
- এক্সিকিউট
- ব্যায়াম
- কাজে লাগান
- শোষিত
- অন্বেষণ করুণ
- প্রকাশ
- নির্যাস
- মুখ
- ঘনিষ্ঠতা
- ফাইল
- নথি পত্র
- আবিষ্কার
- প্রথম
- সংক্রান্ত ত্রুটিগুলি
- জন্য
- বিন্যাস
- পাওয়া
- ভিত
- থেকে
- কার্যকারিতা
- দিলেন
- শাসন
- ছিল
- হাত
- ক্ষতিকর
- আছে
- জমিদারি
- he
- সাহায্য
- নিমন্ত্রণকর্তা
- হোস্টিং
- কিভাবে
- এইচটিএমএল
- HTTPS দ্বারা
- চিহ্নিত
- সনাক্ত করা
- চিত্র
- প্রভাব
- গুরুত্বপূর্ণ
- in
- বেঠিক
- অন্তর্ভুক্ত
- সুদ্ধ
- পরিচায়ক
- তথ্য
- পরিকাঠামো
- নিরাপত্তাহীন
- অখণ্ডতা
- গর্ভনাটিকা
- অভ্যন্তরীণ
- মধ্যে
- সমস্যা
- IT
- এর
- নিজেই
- JPG
- পরিচিত
- নেতৃত্ব
- নেতৃত্ব
- শিক্ষা
- অন্তত
- দিন
- লেভারেজ
- বোঝাই
- খুঁজছি
- মেশিন
- মেশিন লার্নিং
- মুখ্য
- প্রধান বিষয়
- করা
- বিদ্বেষপরায়ণ
- পরিচালনা করা
- মে..
- এদিকে
- হতে পারে
- প্রশমিত করা
- ML
- মডেল
- মডেল
- মডিউল
- অধিক
- সেতু
- প্রয়োজন
- নেটওয়ার্ক
- নতুন
- সুপরিচিত
- বস্তু
- of
- on
- ONE
- খোলা
- or
- সংগঠন
- অন্যান্য
- আমাদের
- আউটপুট
- শেষ
- যন্ত্রাংশ
- সম্প্রদায়
- মাচা
- Plato
- প্লেটো ডেটা ইন্টেলিজেন্স
- প্লেটোডাটা
- বিষণ
- জনপ্রিয়
- ব্যক্তিগত
- বিশেষাধিকার
- সমস্যা
- উত্পাদনের
- প্রকাশ্য
- পাবলিক মেঘ
- প্রকাশনা
- করা
- পাইথন
- পাইটার্চ
- দ্রুত
- সাম্প্রতিক
- সুপারিশ করা
- রেজিস্ট্রি
- সংশ্লিষ্ট
- অপেক্ষাকৃতভাবে
- দেহাবশেষ
- প্রয়োজনীয়
- গবেষণা
- গবেষকরা
- ফলাফল
- বিপরীত
- এখানে ক্লিক করুন
- ঝুঁকি
- ঝুঁকি
- চালান
- দৌড়
- s
- বলেছেন
- লবণ
- একই
- বলেছেন
- sdks
- দ্বিতীয়
- অন্ধিসন্ধি
- নিরাপদ
- নিরাপত্তা
- নিরাপত্তা ঝুঁকি
- আমি জানি
- সংবেদনশীল
- সেবা
- সেবা
- ভাগ
- খোল
- উচিত
- বেড়াবে
- দেখিয়েছেন
- গুরুত্বপূর্ণ
- সফটওয়্যার
- কিছু
- শূণ্যস্থান
- নির্দিষ্ট
- গাদা
- চুরি করা
- সংরক্ষণ
- অকপট
- কৌশল
- এমন
- সরবরাহ
- সরবরাহ শৃঙ্খল
- গ্রহণ করা
- দল
- যে
- সার্জারির
- তাদের
- তাহাদিগকে
- তারপর
- সেখানে।
- এইগুলো
- তারা
- এই
- এই সপ্তাহ
- সেগুলো
- যদিও?
- হুমকি
- হুমকি অভিনেতা
- তিন
- সময়
- থেকে
- গ্রহণ
- সরঞ্জাম
- প্রশিক্ষণ
- চেষ্টা
- দুই
- বোঝা
- উপরে
- ব্যবহার
- ব্যবহার
- ব্যবহৃত
- ব্যবহারকারী
- ব্যবহার
- বিক্রেতা
- চেক
- দৃষ্টিপাত
- দুর্বলতা
- প্রয়োজন
- ছিল
- উপায়..
- উপায়
- we
- দুর্বলতা
- সপ্তাহান্তিক কাল
- আমরা একটি
- ছিল
- কখন
- যে
- যখন
- ব্যাপকভাবে
- ইচ্ছা
- সঙ্গে
- মধ্যে
- কাজ
- would
- লেখা
- ভুল
- ভুল হাত
- zephyrnet