ข้อบกพร่องที่สำคัญทำให้แพลตฟอร์ม AI ของ Hugging Face อยู่ใน 'Pickle'

ช่องโหว่ด้านความปลอดภัยที่สำคัญสองจุดในแพลตฟอร์ม Hugging Face AI เปิดประตูสู่ผู้โจมตีที่ต้องการเข้าถึงและแก้ไขข้อมูลและโมเดลของลูกค้า

จุดอ่อนด้านความปลอดภัยประการหนึ่งทำให้ผู้โจมตีสามารถเข้าถึงโมเดลการเรียนรู้ของเครื่อง (ML) ที่เป็นของลูกค้ารายอื่นบนแพลตฟอร์ม Hugging Face และจุดอ่อนประการที่สองอนุญาตให้พวกเขาเขียนทับรูปภาพทั้งหมดในรีจิสทรีคอนเทนเนอร์ที่ใช้ร่วมกัน ข้อบกพร่องทั้งสองที่ค้นพบโดยนักวิจัยที่ Wiz นั้นเกี่ยวข้องกับความสามารถของผู้โจมตีในการเข้าควบคุมโครงสร้างพื้นฐานการอนุมานบางส่วนของ Hugging Face

นักวิจัยของ Wiz พบจุดอ่อนในองค์ประกอบเฉพาะสามส่วน ได้แก่ Hugging Face's Inference API ซึ่งช่วยให้ผู้ใช้สามารถเรียกดูและโต้ตอบกับโมเดลที่มีอยู่บนแพลตฟอร์ม; Hugging Face Inference Endpoints — หรือโครงสร้างพื้นฐานเฉพาะสำหรับการปรับใช้โมเดล AI ในการผลิต และ Hugging Face Spaces บริการโฮสติ้งสำหรับการจัดแสดงแอปพลิเคชัน AI/ML หรือสำหรับการทำงานร่วมกันในการพัฒนาโมเดล

ปัญหาเกี่ยวกับผักดอง

ในการตรวจสอบโครงสร้างพื้นฐานของ Hugging Face และวิธีการสร้างอาวุธให้กับจุดบกพร่องที่พวกเขาค้นพบ นักวิจัยของ Wiz พบว่าใครๆ ก็สามารถอัปโหลดโมเดล AI/ML ไปยังแพลตฟอร์มได้อย่างง่ายดาย รวมถึงโมเดลที่ใช้รูปแบบ Pickle ด้วย ดอง เป็นโมดูลที่ใช้กันอย่างแพร่หลายสำหรับการจัดเก็บวัตถุ Python ในไฟล์ แม้ว่ารากฐานซอฟต์แวร์ Python เองก็ถือว่า Pickle นั้นไม่ปลอดภัย แต่ก็ยังได้รับความนิยมเนื่องจากใช้งานง่ายและผู้คนคุ้นเคยกับมัน

“มันค่อนข้างตรงไปตรงมาในการสร้างโมเดล PyTorch (Pickle) ที่จะเรียกใช้โค้ดที่กำหนดเองเมื่อโหลด” ตาม Wiz

นักวิจัยของ Wiz ใช้ประโยชน์จากความสามารถในการอัปโหลดแบบจำลองส่วนตัวที่ใช้ Pickle ไปยัง Hugging Face ซึ่งจะทำงานแบบ Reverse Shell เมื่อโหลด จากนั้นพวกเขาโต้ตอบกับมันโดยใช้ Inference API เพื่อให้ได้ฟังก์ชันการทำงานแบบเชลล์ ซึ่งนักวิจัยใช้ในการสำรวจสภาพแวดล้อมของพวกเขาบนโครงสร้างพื้นฐานของ Hugging Face

แบบฝึกหัดดังกล่าวแสดงให้นักวิจัยเห็นอย่างรวดเร็วว่าแบบจำลองของพวกเขากำลังทำงานในพ็อดในคลัสเตอร์บน Amazon Elastic Kubernetes Service (EKS) จากนั้น นักวิจัยสามารถใช้ประโยชน์จากการกำหนดค่าที่ไม่ถูกต้องทั่วไปเพื่อดึงข้อมูลที่ทำให้พวกเขาได้รับสิทธิ์ที่จำเป็นในการดูความลับที่อาจทำให้พวกเขาสามารถเข้าถึงผู้เช่ารายอื่นบนโครงสร้างพื้นฐานที่ใช้ร่วมกันได้

ด้วย Hugging Face Spaces Wiz พบว่าผู้โจมตีสามารถรันโค้ดที่กำหนดเองในระหว่างเวลาสร้างแอปพลิเคชัน ซึ่งจะทำให้พวกเขาสามารถตรวจสอบการเชื่อมต่อเครือข่ายจากเครื่องของพวกเขาได้ การตรวจสอบของพวกเขาแสดงให้เห็นความเชื่อมโยงอย่างหนึ่งกับรีจิสตรีคอนเทนเนอร์ที่ใช้ร่วมกันซึ่งมีรูปภาพที่เป็นของลูกค้ารายอื่นที่พวกเขาอาจแก้ไขได้

“ในทางที่ผิด ความสามารถในการเขียนลงในรีจิสตรีคอนเทนเนอร์ภายในอาจมีผลกระทบอย่างมีนัยสำคัญต่อความสมบูรณ์ของแพลตฟอร์ม และนำไปสู่การโจมตีห่วงโซ่อุปทานในพื้นที่ของลูกค้า” Wiz กล่าว

กอดใบหน้ากล่าวว่า มันช่วยลดความเสี่ยงที่ Wiz ค้นพบได้อย่างสมบูรณ์ ในขณะเดียวกัน บริษัท ระบุปัญหาอย่างน้อยส่วนหนึ่งเกี่ยวข้องกับการตัดสินใจที่จะอนุญาตให้ใช้ไฟล์ Pickle บนแพลตฟอร์ม Hugging Face ต่อไป แม้ว่าจะมีความเสี่ยงด้านความปลอดภัยที่ได้รับการบันทึกไว้ข้างต้นที่เกี่ยวข้องกับไฟล์ดังกล่าวก็ตาม  

“ไฟล์ Pickle เป็นหัวใจหลักของการวิจัยส่วนใหญ่ที่ทำโดย Wiz และสิ่งพิมพ์ล่าสุดอื่น ๆ โดยนักวิจัยด้านความปลอดภัยเกี่ยวกับ Hugging Face” บริษัทตั้งข้อสังเกต การอนุญาตให้ Pickle ใช้ Hugging Face นั้นเป็น “ภาระของทีมวิศวกรรมและความปลอดภัยของเรา และเราได้ใช้ความพยายามอย่างมากในการลดความเสี่ยงในขณะเดียวกันก็อนุญาตให้ชุมชน AI ใช้เครื่องมือที่พวกเขาเลือก”

ความเสี่ยงที่เกิดขึ้นใหม่ด้วย AI-as-a-Service

Wiz บรรยายถึงการค้นพบนี้ เป็นการบ่งชี้ถึงความเสี่ยงที่องค์กรต้องตระหนักเมื่อใช้โครงสร้างพื้นฐานที่ใช้ร่วมกันเพื่อโฮสต์ รัน และพัฒนาโมเดลและแอปพลิเคชัน AI ใหม่ ซึ่งกลายเป็นที่รู้จักในชื่อ “AI-as-a-service” บริษัทเปรียบเทียบความเสี่ยงและการบรรเทาผลกระทบที่เกี่ยวข้องกับความเสี่ยงที่องค์กรเผชิญในสภาพแวดล้อมคลาวด์สาธารณะ และแนะนำให้พวกเขาใช้การลดความเสี่ยงแบบเดียวกันในสภาพแวดล้อม AI เช่นกัน

“องค์กรควรตรวจสอบให้แน่ใจว่าพวกเขามีการมองเห็นและการกำกับดูแลกลุ่ม AI ทั้งหมดที่ใช้งานอยู่ และวิเคราะห์ความเสี่ยงทั้งหมดอย่างรอบคอบ” Wiz กล่าวในบล็อกในสัปดาห์นี้ รวมถึงการวิเคราะห์ “การใช้งานของ โมเดลที่เป็นอันตราย, การเปิดเผยข้อมูลการฝึกอบรมข้อมูลที่ละเอียดอ่อนในการฝึกอบรม ช่องโหว่ ใน AI SDKs การเปิดเผยบริการ AI และความเสี่ยงที่เป็นพิษอื่น ๆ ที่อาจถูกโจมตีโดยผู้โจมตี” ผู้จำหน่ายความปลอดภัยกล่าว

Eric Schwake ผู้อำนวยการฝ่ายกลยุทธ์ความปลอดภัยทางไซเบอร์ที่ Salt Security กล่าวว่ามีประเด็นหลักสองประเด็นที่เกี่ยวข้องกับการใช้ AI-as-a-service ที่องค์กรต่างๆ จำเป็นต้องทราบ “ประการแรก ผู้คุกคามสามารถอัปโหลดโมเดล AI ที่เป็นอันตรายหรือใช้ประโยชน์จากช่องโหว่ในกลุ่มการอนุมานเพื่อขโมยข้อมูลหรือจัดการผลลัพธ์” เขากล่าว “ประการที่สอง ผู้ที่เป็นอันตรายสามารถพยายามประนีประนอมข้อมูลการฝึกอบรม ซึ่งนำไปสู่เอาต์พุต AI ที่มีอคติหรือไม่ถูกต้อง หรือที่เรียกกันทั่วไปว่า Data Poxing”

การระบุปัญหาเหล่านี้อาจเป็นเรื่องที่ท้าทาย โดยเฉพาะอย่างยิ่งเมื่อโมเดล AI มีความซับซ้อนมากขึ้น เขากล่าว เพื่อช่วยจัดการความเสี่ยงบางประการนี้ องค์กรจะต้องเข้าใจว่าแอปและโมเดล AI ของตนโต้ตอบกับ API อย่างไร และค้นหาวิธีรักษาความปลอดภัยดังกล่าว “องค์กรต่างๆ อาจต้องการสำรวจด้วย AI ที่อธิบายได้ (XAI) เพื่อช่วยให้โมเดล AI มีความเข้าใจมากขึ้น” Schwake กล่าว “และสามารถช่วยระบุและบรรเทาอคติหรือความเสี่ยงภายในโมเดล AI ได้”

• เนื้อหาที่ขับเคลื่อนด้วย SEO และการเผยแพร่ประชาสัมพันธ์ รับการขยายวันนี้
• PlatoData.Network Vertical Generative Ai เพิ่มพลังให้กับตัวเอง เข้าถึงได้ที่นี่.
• เพลโตไอสตรีม. Web3 อัจฉริยะ ขยายความรู้ เข้าถึงได้ที่นี่.
• เพลโตESG. คาร์บอน, คลีนเทค, พลังงาน, สิ่งแวดล้อม แสงอาทิตย์, การจัดการของเสีย. เข้าถึงได้ที่นี่.
• เพลโตสุขภาพ เทคโนโลยีชีวภาพและข่าวกรองการทดลองทางคลินิก เข้าถึงได้ที่นี่.
• ที่มา: https://www.darkreading.com/cloud-security/critical-bugs-hugging-face-ai-platform-pickle