Hugging Face表示它检测到其AI模型托管平台的“未经授权访问”
周五下午晚些时候,通常是公司披露不利消息的时间窗口,人工智能初创公司Hugging Face表示,本周早些时候其安全团队发现其平台Spaces遭到“未经授权的访问”,Spaces是Hugging Face用于创建、共享和托管人工智能模型和资源的平台。
在一篇博客文章中,Hugging Face表示,入侵与Spaces的秘密有关,即作为解锁受保护资源的钥匙的私人信息,如账户、工具和开发环境,并且它“怀疑”一些秘密可能已被未经授权的第三方访问。
作为预防措施,Hugging Face已经撤销了那些秘密中的一些令牌。(令牌用于验证身份。)Hugging Face表示,那些被撤销令牌的用户已经收到了邮件通知,并建议所有用户“刷新任何密钥或令牌”,并考虑切换到细粒度访问令牌,Hugging Face声称这样更安全。
目前尚不清楚有多少用户或应用受到潜在侵害。我们已经联系了Hugging Face 寻求更多信息,如果得到回复,我们会更新这篇文章。
“我们正在与外部网络安全取证专家合作,以调查这个问题,同时审查我们的安全政策和程序。我们还向执法机构和数据保护机构报告了这一事件,”Hugging Face在帖子中写道。“我们对这一事件可能造成的影响深表遗憾,并理解可能给您带来的不便。我们承诺把这个作为一个机会,加强整个基础设施的安全。”
Spaces可能被黑客攻击的消息传出之际,Hugging Face面临着日益增加的安全审查,该平台是最大的协作人工智能和数据科学项目之一,拥有超过一百万个模型、数据集和人工智能应用程序。
今年四月,云安全公司Wiz的研究人员发现了一个漏洞,经过修复,这个漏洞允许攻击者在Hugging Face托管的应用程序构建过程中执行任意代码,从而让他们可以检查他们的机器上的网络连接。今年早些时候,安全公司JFrog发现了证据表明上传到Hugging Face的代码在用户端偷偷安装了后门和其他类型的恶意软件。安全初创公司HiddenLayer确定了Hugging Face表面上更安全的序列化格式Safetensors可能被滥用以创建被破坏的人工智能模型。
Hugging Face最近表示,将与Wiz合作,使用该公司的漏洞扫描和云环境配置工具,“旨在改善我们平台及整个人工智能/机器学习生态系统的安全性。”