Hugging Face表示它检测到其AI模型托管平台的“未经授权访问”

周五下午晚些时候，通常是公司披露不利消息的时间窗口，人工智能初创公司Hugging Face表示，本周早些时候其安全团队发现其平台Spaces遭到“未经授权的访问”，Spaces是Hugging Face用于创建、共享和托管人工智能模型和资源的平台。

在一篇博客文章中，Hugging Face表示，入侵与Spaces的秘密有关，即作为解锁受保护资源的钥匙的私人信息，如账户、工具和开发环境，并且它“怀疑”一些秘密可能已被未经授权的第三方访问。

作为预防措施，Hugging Face已经撤销了那些秘密中的一些令牌。（令牌用于验证身份。）Hugging Face表示，那些被撤销令牌的用户已经收到了邮件通知，并建议所有用户“刷新任何密钥或令牌”，并考虑切换到细粒度访问令牌，Hugging Face声称这样更安全。

目前尚不清楚有多少用户或应用受到潜在侵害。我们已经联系了Hugging Face 寻求更多信息，如果得到回复，我们会更新这篇文章。

“我们正在与外部网络安全取证专家合作，以调查这个问题，同时审查我们的安全政策和程序。我们还向执法机构和数据保护机构报告了这一事件，”Hugging Face在帖子中写道。“我们对这一事件可能造成的影响深表遗憾，并理解可能给您带来的不便。我们承诺把这个作为一个机会，加强整个基础设施的安全。”

Spaces可能被黑客攻击的消息传出之际，Hugging Face面临着日益增加的安全审查，该平台是最大的协作人工智能和数据科学项目之一，拥有超过一百万个模型、数据集和人工智能应用程序。

今年四月，云安全公司Wiz的研究人员发现了一个漏洞，经过修复，这个漏洞允许攻击者在Hugging Face托管的应用程序构建过程中执行任意代码，从而让他们可以检查他们的机器上的网络连接。今年早些时候，安全公司JFrog发现了证据表明上传到Hugging Face的代码在用户端偷偷安装了后门和其他类型的恶意软件。安全初创公司HiddenLayer确定了Hugging Face表面上更安全的序列化格式Safetensors可能被滥用以创建被破坏的人工智能模型。

Hugging Face最近表示，将与Wiz合作，使用该公司的漏洞扫描和云环境配置工具，“旨在改善我们平台及整个人工智能/机器学习生态系统的安全性。”