设置
  • 日夜间
    随系统
    浅色
    深色
  • 主题色

AI 平台 Hugging Face 现 API 令牌漏洞,黑客可获取微软、谷歌等模型库权限

2023/12/5 14:49:55 来源:IT之家 作者:漾仔(实习) 责编:漾仔

IT之家 12 月 5 日消息,安全公司 Lasso Security 日前发现 AI 模型平台 Hugging Face 上存在 API 令牌漏洞,黑客可获取微软、谷歌、Meta 等公司的令牌,并能够访问模型库,污染训练数据或窃取、修改 AI 模型。

IT之家从安全公司报道中获悉,由于平台的令牌信息写死在 API 中,因此黑客可以直接从 Hugging Face 及 GitHub 的存储库(repository)获得平台上各模型分发者的 API 令牌(token),安全人员一共从上述平台中找到 1681 个有效的令牌。

▲ 图源 安全公司 Lasso Security

经过一步分析资料,安全人员获得了 723 家企业组织的帐号,其中包括 Meta、微软、谷歌、VMware 及 Hugging Face 官方等。其中 655 个令牌具有写入权限,其中 77 个还能写入多个组织,令研究人员得以全权控制多家知名公司的模型库,例如 Pythia 的 EleutherAI、Meta Llama 2、Bloom 的 BigScience Workshop。

▲ 图源 安全公司 Lasso Security

安全公司警告,只要黑客成功控制这些模型库,就能发动多种攻击。不限于最基本的窃取模型和数据集,或是污染模型本身,让现有模型“夹带私货”,从而危害依赖这些基础模型的应用及公共设施。

此外,安全公司发现一个 Hugging Face 此前宣布已停用的 org_api tokens 存在漏洞,安全人员稍微修改了代码,就令这款 API “复活”,成功令研究人员下载平台上多款不公开的模型,包括微软的私有模型。

目前安全公司已经上报相关漏洞,而微软、Meta、谷歌、VMware 等公司也纷纷撤销了此前的 API 令牌及暴露的 token。

广告声明:文内含有的对外跳转链接(包括不限于超链接、二维码、口令等形式),用于传递更多信息,节省甄选时间,结果仅供参考,IT之家所有文章均包含本声明。

相关文章

关键词:Hugging FaceAI黑客

软媒旗下网站: IT之家 辣品 - 超值导购,优惠券 最会买 - 返利返现优惠券 iPhone之家 Win7之家 Win10之家 Win11之家

软媒旗下软件: 魔方 云日历 酷点桌面 Win7优化大师 Win10优化大师 软媒手机APP应用