اشکالات بحرانی پلتفرم هوش مصنوعی Hugging Face را در «ترشی» قرار دادند

دو آسیب‌پذیری امنیتی حیاتی در پلتفرم هوش مصنوعی Hugging Face در را به روی مهاجمانی باز کرد که به دنبال دسترسی و تغییر داده‌ها و مدل‌های مشتریان بودند.

یکی از ضعف‌های امنیتی به مهاجمان راهی برای دسترسی به مدل‌های یادگیری ماشینی (ML) متعلق به سایر مشتریان در پلتفرم Hugging Face را می‌دهد و دومی به آنها اجازه می‌دهد تا همه تصاویر را در یک رجیستری کانتینر مشترک بازنویسی کنند. هر دو نقص که توسط محققان Wiz کشف شده‌اند، مربوط به توانایی مهاجمان برای تصاحب بخش‌هایی از زیرساخت استنتاج Hugging Face است.

محققان Wiz نقاط ضعفی را در سه مؤلفه خاص یافتند: Hugging Face's Inference API، که به کاربران امکان می دهد مدل های موجود در پلتفرم را مرور کنند و با آنها تعامل داشته باشند. Hugging Face Inference Endpoints – یا زیرساخت اختصاصی برای استقرار مدل‌های هوش مصنوعی در تولید؛ و Hugging Face Spaces، یک سرویس میزبانی برای نمایش برنامه های AI/ML یا برای کار مشترک بر روی توسعه مدل.

مشکل با ترشی

محققان Wiz در بررسی زیرساخت‌های Hugging Face و راه‌های سلاح‌سازی باگ‌هایی که کشف کردند، دریافتند که هر کسی می‌تواند به راحتی یک مدل AI/ML را در پلتفرم آپلود کند، از جمله مدل‌هایی که بر اساس فرمت Pickle هستند. ترشی یک ماژول پرکاربرد برای ذخیره اشیاء پایتون در یک فایل است. اگرچه حتی خود بنیاد نرم‌افزار پایتون Pickle را ناامن می‌داند، اما به دلیل سهولت استفاده و آشنایی مردم با آن همچنان محبوب است.

بنا به گفته ویز، ساخت یک مدل PyTorch (Pickle) که کد دلخواه را هنگام بارگذاری اجرا می کند، نسبتاً ساده است.

محققان Wiz از توانایی آپلود یک مدل خصوصی مبتنی بر Pickle در Hugging Face استفاده کردند که پس از بارگذاری یک پوسته معکوس اجرا می کرد. سپس با استفاده از Inference API با آن تعامل کردند تا به عملکردی شبیه پوسته دست یابند، که محققان از آن برای بررسی محیط خود در زیرساخت Hugging Face استفاده کردند.

آن تمرین به سرعت به محققان نشان داد که مدل آنها در یک غلاف در یک خوشه در Amazon Elastic Kubernetes Service (EKS) در حال دویدن است. از آنجا، محققان توانستند از پیکربندی‌های نادرست رایج برای استخراج اطلاعاتی استفاده کنند که به آنها امکان می‌داد امتیازات لازم برای مشاهده اسرار را به دست آورند که می‌توانست به آنها امکان دسترسی به مستاجران دیگر در زیرساخت مشترک را بدهد.

با Hugging Face Spaces، Wiz دریافت که یک مهاجم می تواند کد دلخواه را در طول زمان ساخت برنامه اجرا کند که به آنها اجازه می دهد اتصالات شبکه را از دستگاه خود بررسی کنند. بررسی آنها نشان داد که یک اتصال به یک رجیستری کانتینر مشترک حاوی تصاویر متعلق به سایر مشتریان است که آنها می توانستند در آن دستکاری کنند.

ویز گفت: «در دستان اشتباه، توانایی نوشتن در رجیستری کانتینر داخلی می‌تواند پیامدهای مهمی برای یکپارچگی پلتفرم داشته باشد و منجر به حملات زنجیره تامین به فضاهای مشتریان شود.

در آغوش کشیدن فیس گفت خطراتی را که ویز کشف کرده بود کاملاً کاهش داده بود. در همین حال، این شرکت این مشکلات را حداقل تا حدودی مرتبط با تصمیم خود برای ادامه دادن اجازه استفاده از فایل‌های Pickle در پلتفرم Hugging Face، علیرغم خطرات امنیتی مستند فوق‌الذکر مرتبط با چنین فایل‌هایی، شناسایی کرد.  

این شرکت خاطرنشان کرد: «فایل‌های Pickle هسته اصلی اکثر تحقیقات انجام شده توسط Wiz و سایر انتشارات اخیر توسط محققان امنیتی در مورد Hugging Face بوده است. اجازه استفاده از Pickle در Hugging Face "یک بار بر دوش تیم های مهندسی و امنیتی ما است و ما تلاش زیادی برای کاهش خطرات انجام داده ایم و در عین حال به جامعه هوش مصنوعی اجازه می دهیم از ابزارهایی که انتخاب می کنند استفاده کنند."

خطرات در حال ظهور با هوش مصنوعی به عنوان یک سرویس

ویز کشف خود را شرح داد به عنوان نشانه ای از خطراتی که سازمان ها باید در هنگام استفاده از زیرساخت های مشترک برای میزبانی، اجرا و توسعه مدل ها و برنامه های جدید هوش مصنوعی آگاه باشند، که به عنوان "AI-as-a-service" شناخته می شود. این شرکت خطرات و کاهش‌های مرتبط با آن‌هایی را که سازمان‌ها در محیط‌های ابری عمومی با آن مواجه می‌شوند تشبیه کرد و توصیه کرد که همان کاهش‌ها را در محیط‌های هوش مصنوعی نیز اعمال کنند.

ویز در وبلاگی در این هفته گفت: «سازمان‌ها باید اطمینان حاصل کنند که کل پشته هوش مصنوعی مورد استفاده را در معرض دید و نظارت دارند و همه خطرات را به دقت تجزیه و تحلیل می‌کنند». این شامل تجزیه و تحلیل «استفاده از مدل های مخرب, قرار گرفتن در معرض داده های آموزشی، داده های حساس در آموزش، آسیب پذیری در AI SDK، قرار گرفتن در معرض خدمات هوش مصنوعی، و سایر ترکیبات خطر سمی که ممکن است توسط مهاجمان مورد سوء استفاده قرار گیرد،" فروشنده امنیتی گفت.

اریک شواک، مدیر استراتژی امنیت سایبری در سالت سکیوریتی، می‌گوید دو موضوع عمده در رابطه با استفاده از هوش مصنوعی به عنوان یک سرویس وجود دارد که سازمان‌ها باید از آن آگاه باشند. او می‌گوید: «اول، عوامل تهدید می‌توانند مدل‌های مضر هوش مصنوعی را آپلود کنند یا از آسیب‌پذیری‌های موجود در پشته استنتاج برای سرقت داده‌ها یا دستکاری نتایج سوءاستفاده کنند. ثانیاً، عوامل مخرب می‌توانند سعی کنند داده‌های آموزشی را به خطر بیندازند، که منجر به خروجی‌های هوش مصنوعی مغرضانه یا نادرست شود که معمولاً به عنوان مسمومیت داده شناخته می‌شود.

او می‌گوید شناسایی این مسائل می‌تواند چالش‌برانگیز باشد، به‌ویژه با توجه به پیچیدگی مدل‌های هوش مصنوعی. برای کمک به مدیریت برخی از این خطر، برای سازمان‌ها مهم است که بدانند برنامه‌ها و مدل‌های هوش مصنوعی چگونه با API تعامل دارند و راه‌هایی برای ایمن کردن آن بیابند. «سازمان‌ها ممکن است بخواهند کاوش کنند هوش مصنوعی قابل توضیح (XAI) شواک می‌گوید برای کمک به درک بیشتر مدل‌های هوش مصنوعی، و می‌تواند به شناسایی و کاهش تعصب یا خطر در مدل‌های هوش مصنوعی کمک کند.

• محتوای مبتنی بر SEO و توزیع روابط عمومی. امروز تقویت شوید.
• PlatoData.Network Vertical Generative Ai. به خودت قدرت بده دسترسی به اینجا.
• PlatoAiStream. هوش وب 3 دانش تقویت شده دسترسی به اینجا.
• PlatoESG. کربن ، CleanTech، انرژی، محیط، خورشیدی، مدیریت پسماند دسترسی به اینجا.
• PlatoHealth. هوش بیوتکنولوژی و آزمایشات بالینی. دسترسی به اینجا.
• منبع: https://www.darkreading.com/cloud-security/critical-bugs-hugging-face-ai-platform-pickle