AI創企Hugging Face平台遭駭,緊急撤銷用戶Tokens安全警報

Featured Image
AI初創公司Hugging Face在上週五下午發表聲明稱,該公司的安全團隊本週早些時候發現了對其創建、分享和托管AI模型和資源平台Spaces的「未經授權訪問」。Hugging Face在一篇[博客文章]中表示,這次入侵涉及Spaces的機密信息,即作為解鎖受保護資源(如帳戶、工具和開發環境)的鑰匙的私人信息,並且有「懷疑」某些機密信息可能已被未經授權的第三方訪問。作為預防措施,Hugging Face已撤銷了這些機密信息中的一些令牌(令牌用於驗證身份)。Hugging Face表示,已經撤銷了令牌的用戶已經收到了電子郵件通知,並建議所有用戶「刷新任何密鑰或令牌」,並考慮切換到更安全的細粒度訪問令牌。目前尚不清楚有多少用戶或應用程式受到了潛在的侵害。我們已聯繫Hugging Face尋求更多信息,如果有回應,我們將在本文中更新。「我們正在與外部網絡安全取證專家合作,調查此問題,並審查我們的安全政策和程序。我們還向执法機構和數據保護機構報告了此事件」,Hugging Face在文章中寫道。「我們對這次事件可能引起的中斷深感遺憾,並理解可能給您帶來的不便。我們承諾將此作為一個機會,加強我們整個基礎設施的安全性。」

Hugging Face的Spaces可能遭到駭客攻擊,這家公司是最大的協作AI和數據科學項目平台之一,擁有超過一百萬個模型、數據集和基於AI的應用程式。由於其安全實踐面臨越來越多的審查,因此引起了人們的關注。舊金山,10月28日至30日[Save Techcrunch活動節省高達800美元]舊金山,10月28日至30日[Save在今年4月,雲安全公司Wiz的研究人員發現了一個(已修復)的漏洞,允許攻擊者在Hugging Face托管的應用程式構建期間執行任意代碼,從而使他們能夠檢查來自自己機器的網絡連接。同年早些時候,安全公司JFrog提供了證據,表明上傳到Hugging Face的代碼在終端用戶機器上秘密安裝了後門和其他類型的惡意軟件。而安全初創公司HiddenLayer則發現了一些Hugging Face的安全序列化格式Safetensors的缺陷,可能被用來創建破壞性的AI模型。Hugging Face [最近宣布將與Wiz合作,使用該公司的漏洞掃描和雲環境配置工具,「旨在提高我們平台和整個AI/ML生態系統的安全性。」

Share this content: