Hugging Face AI 平台中的两个关键安全漏洞为想要访问和更改客户数据和模型的攻击者打开了大门。
其中一个安全漏洞使攻击者能够访问属于 Hugging Face 平台上其他客户的机器学习 (ML) 模型,第二个安全漏洞使他们能够覆盖共享容器注册表中的所有图像。 Wiz 研究人员发现的这两个缺陷都与攻击者接管 Hugging Face 部分推理基础设施的能力有关。
Wiz 研究人员发现了三个特定组件的弱点:Hugging Face 的 Inference API,它允许用户浏览平台上的可用模型并与之交互;拥抱人脸推理端点——或用于将人工智能模型部署到生产中的专用基础设施; Hugging Face Spaces 是一项托管服务,用于展示 AI/ML 应用程序或协作进行模型开发。
泡菜的问题
在检查 Hugging Face 的基础设施以及将他们发现的错误武器化的方法时,Wiz 研究人员发现任何人都可以轻松地将 AI/ML 模型上传到该平台,包括基于 Pickle 格式的模型。 泡菜 是一个广泛使用的模块,用于在文件中存储 Python 对象。尽管 Python 软件基金会本身也认为 Pickle 不安全,但由于其易用性和人们对它的熟悉程度,它仍然很受欢迎。
Wiz 表示:“制作一个 PyTorch (Pickle) 模型相对简单,该模型将在加载时执行任意代码。”
Wiz 研究人员利用了将基于 Pickle 的私有模型上传到 Hugging Face 的功能,该模型将在加载时运行反向 shell。然后,他们使用 Inference API 与其进行交互,以实现类似 shell 的功能,研究人员用它来探索 Hugging Face 基础设施上的环境。
该练习很快向研究人员展示了他们的模型正在 Amazon Elastic Kubernetes Service (EKS) 集群的 Pod 中运行。从那里,研究人员能够利用常见的错误配置来提取信息,使他们能够获得查看秘密所需的特权,而这些秘密可能允许他们访问共享基础设施上的其他租户。
通过 Hugging Face Spaces,Wiz 发现攻击者可以在应用程序构建期间执行任意代码,从而让他们检查计算机的网络连接。他们的审查显示了与共享容器注册表的一个连接,其中包含属于其他客户的图像,他们可能会篡改这些图像。
“如果落入坏人之手,写入内部容器注册表的能力可能会对平台的完整性产生重大影响,并导致对客户空间的供应链攻击,”Wiz 说。
抱脸说道 完全降低了维兹发现的风险。与此同时,该公司发现这些问题至少部分与其继续允许在 Hugging Face 平台上使用 Pickle 文件的决定有关,尽管上述文件与此类文件相关的安全风险已得到充分记录。
该公司指出:“Pickle 文件一直是 Wiz 所做的大部分研究以及安全研究人员最近发表的有关 Hugging Face 的其他出版物的核心。”允许在 Hugging Face 上使用 Pickle 是“我们的工程和安全团队的负担,我们付出了巨大的努力来减轻风险,同时允许人工智能社区使用他们选择的工具。”
人工智能即服务的新风险
Wiz 描述了它的发现 这表明组织在使用共享基础设施来托管、运行和开发新的人工智能模型和应用程序(即所谓的“人工智能即服务”)时需要认识到的风险。该公司将风险和相关缓解措施与组织在公共云环境中遇到的风险和相关缓解措施进行了比较,并建议他们在人工智能环境中也应用相同的缓解措施。
Wiz 在本周的博客中表示:“组织应该确保他们对所使用的整个人工智能堆栈具有可见性和治理能力,并仔细分析所有风险。”这包括分析“使用 恶意模型, 训练数据的暴露,训练中的敏感数据, 漏洞 人工智能 SDK、人工智能服务的暴露以及其他可能被攻击者利用的有毒风险组合,”该安全供应商表示。
Salt Security 网络安全战略总监 Eric Schwake 表示,组织需要注意与使用人工智能即服务相关的两个主要问题。 “首先,威胁行为者可以上传有害的人工智能模型或利用推理堆栈中的漏洞来窃取数据或操纵结果,”他说。 “其次,恶意行为者可能会尝试破坏训练数据,导致人工智能输出有偏见或不准确,通常称为数据中毒。”
他说,识别这些问题可能具有挑战性,特别是考虑到人工智能模型变得越来越复杂。为了帮助管理部分风险,组织必须了解其 AI 应用程序和模型如何与 API 交互,并找到确保安全的方法。 “组织可能还想探索 可解释的人工智能 (XAI) 帮助使人工智能模型更容易理解,”Schwake 说,“它可以帮助识别和减轻人工智能模型中的偏见或风险。”
- :具有
- :是
- 7
- a
- 对,能力--
- Able
- 关于
- ACCESS
- 根据
- 获得
- 演员
- 优点
- AI
- AI模型
- 人工智能平台
- 人工智能服务
- AI / ML
- 所有类型
- 允许
- 允许
- 允许
- 还
- 改变
- Amazon
- Amazon Elastic Kubernetes服务
- an
- 分析
- 分析
- 和
- 任何人
- API
- 应用领域
- 应用领域
- 使用
- 应用
- 随意
- 保健
- AS
- 相关
- At
- 攻击者
- 攻击
- 可使用
- 察觉
- 基于
- BE
- 因为
- 成为
- 很
- 作为
- 属于
- 偏见
- 偏
- 博客
- 都
- 虫子
- 建立
- 负担
- by
- CAN
- 小心
- 链
- 挑战
- 云端技术
- 簇
- 码
- 组合
- 相当常见
- 常用
- 社体的一部分
- 公司
- 完全
- 复杂
- 组件
- 妥协
- 地都
- 连接
- 容器
- 继续
- 核心
- 可以
- 手艺
- 危急
- 顾客
- 客户数据
- 合作伙伴
- 网络安全
- data
- 决定
- 专用
- 认为
- 部署
- 描述
- 尽管
- 开发
- 研发支持
- 副总经理
- 发现
- do
- 完成
- 门
- ,我们将参加
- 缓解
- 使用方便
- 容易
- 努力
- 新兴经济体的新市场。
- 遭遇
- 工程师
- 确保
- 整个
- 环境
- 环境中
- 特别
- 甚至
- 检查
- 检查
- 执行
- 锻炼
- 利用
- 剥削
- 探索
- 曝光
- 提取
- 面部彩妆
- 熟悉
- 文件
- 档
- 找到最适合您的地方
- (名字)
- 缺陷
- 针对
- 格式
- 发现
- 基金会
- 止
- 功能
- 给
- 治理
- 民政事务总署
- 手
- 有害
- 有
- 有
- he
- 帮助
- 主持人
- 托管
- 创新中心
- HTML
- HTTPS
- 确定
- 鉴定
- 图片
- 启示
- 重要
- in
- 不准确
- 包括
- 包含
- 指示
- 信息
- 基础设施
- 不安全
- 诚信
- 相互作用
- 内部
- 成
- 问题
- IT
- 它的
- 本身
- JPG
- 已知
- 铅
- 领导
- 学习
- 最少
- 让
- 杠杆作用
- 装载
- 寻找
- 机
- 机器学习
- 主要
- 大部分问题
- 使
- 恶意
- 管理
- 可能..
- 与此同时
- 可能
- 减轻
- ML
- 模型
- 模型
- 模块
- 更多
- 最先进的
- 需求
- 网络
- 全新
- 注意到
- 对象
- of
- on
- 一
- 打开
- or
- 组织
- 其他名称
- 我们的
- 输出
- 超过
- 部分
- 员工
- 平台
- 柏拉图
- 柏拉图数据智能
- 柏拉图数据
- 中毒
- 热门
- 私立
- 权限
- 市场问题
- 生产
- 国家
- 公共云
- 出版物
- 放
- 蟒蛇
- pytorch
- 很快
- 最近
- 建议
- 注册处
- 有关
- 相对
- 遗迹
- 必须
- 研究
- 研究人员
- 成果
- 反转
- 检讨
- 风险
- 风险
- 运行
- 运行
- s
- 说
- 盐
- 同
- 说
- sdk
- 其次
- 秘密
- 安全
- 保安
- 安全风险
- SEI
- 敏感
- 服务
- 特色服务
- 共用的,
- 壳
- 应该
- 陈列宣传
- 显示
- 显著
- 软件
- 一些
- 剩余名额
- 具体的
- 堆
- 偷
- 存储
- 简单的
- 策略
- 这样
- 供应
- 供应链
- 采取
- 队
- 这
- 其
- 他们
- 然后
- 那里。
- 博曼
- 他们
- Free Introduction
- 本星期
- 那些
- 虽然?
- 威胁
- 威胁者
- 三
- 次
- 至
- 了
- 工具
- 产品培训
- 尝试
- 二
- 理解
- 上
- 用法
- 使用
- 用过的
- 用户
- 运用
- 供应商
- 查看
- 能见度
- 漏洞
- 想
- 是
- 方法..
- 方法
- we
- 弱点
- 周
- 井
- 为
- ,尤其是
- 这
- 而
- 广泛
- 将
- 中
- 加工
- 将
- 写
- 错误
- 错误的手
- 和风网
