設置
  • 日夜間
    隨系統(tǒng)
    淺色
    深色
  • 主題色

AI 平臺 Hugging Face 現(xiàn) API 令牌漏洞,黑客可獲取微軟、谷歌等模型庫權限

2023/12/5 14:49:55 來源:IT之家 作者:漾仔(實習) 責編:漾仔

IT之家 12 月 5 日消息,安全公司 Lasso Security 日前發(fā)現(xiàn) AI 模型平臺 Hugging Face 上存在 API 令牌漏洞,黑客可獲取微軟、谷歌、Meta 等公司的令牌,并能夠訪問模型庫,污染訓練數(shù)據(jù)或竊取、修改 AI 模型。

IT之家從安全公司報道中獲悉,由于平臺的令牌信息寫死在 API 中,因此黑客可以直接從 Hugging Face 及 GitHub 的存儲庫(repository)獲得平臺上各模型分發(fā)者的 API 令牌(token),安全人員一共從上述平臺中找到 1681 個有效的令牌。

▲ 圖源 安全公司 Lasso Security

經(jīng)過一步分析資料,安全人員獲得了 723 家企業(yè)組織的帳號,其中包括 Meta、微軟、谷歌、VMware 及 Hugging Face 官方等。其中 655 個令牌具有寫入權限,其中 77 個還能寫入多個組織,令研究人員得以全權控制多家知名公司的模型庫,例如 Pythia 的 EleutherAI、Meta Llama 2、Bloom 的 BigScience Workshop。

▲ 圖源 安全公司 Lasso Security

安全公司警告,只要黑客成功控制這些模型庫,就能發(fā)動多種攻擊。不限于最基本的竊取模型和數(shù)據(jù)集,或是污染模型本身,讓現(xiàn)有模型“夾帶私貨”,從而危害依賴這些基礎模型的應用及公共設施。

此外,安全公司發(fā)現(xiàn)一個 Hugging Face 此前宣布已停用的 org_api tokens 存在漏洞,安全人員稍微修改了代碼,就令這款 API “復活”,成功令研究人員下載平臺上多款不公開的模型,包括微軟的私有模型。

目前安全公司已經(jīng)上報相關漏洞,而微軟、Meta、谷歌、VMware 等公司也紛紛撤銷了此前的 API 令牌及暴露的 token。

廣告聲明:文內含有的對外跳轉鏈接(包括不限于超鏈接、二維碼、口令等形式),用于傳遞更多信息,節(jié)省甄選時間,結果僅供參考,IT之家所有文章均包含本聲明。

相關文章

關鍵詞:Hugging FaceAI,黑客

軟媒旗下網(wǎng)站: IT之家 最會買 - 返利返現(xiàn)優(yōu)惠券 iPhone之家 Win7之家 Win10之家 Win11之家

軟媒旗下軟件: 軟媒手機APP應用 魔方 最會買 要知