Hugging Face, AI model barındırma platformuna ‘yetkisiz erişim’ tespit ettiğini söyledi

Cuma öğleden sonra, şirketlerin genellikle hoş olmayan açıklamalara ayırdığı bir zaman aralığı olan AI startupı Hugging Face, güvenlik ekibinin bu hafta başlarında Hugging Face’in AI modelleri ve kaynakları oluşturma, paylaşma ve barındırma platformu Spaces’a “yetkisiz erişim” tespit ettiğini söyledi.

Hugging Face, bir blog yazısında, izinsiz girişin Spaces sırlarıyla veya hesaplar, araçlar ve geliştirme ortamları gibi korunan kaynakların kilidini açmak için anahtar görevi gören özel bilgi parçalarıyla ilgili olduğunu ve bazı sırların bu sırlara yol açabileceğine dair “şüpheler” taşıdığını söyledi. yetkisiz bir üçüncü tarafça erişildi.

Hugging Face, önlem olarak bu sırlardaki bazı tokenları iptal etti. (Jetonlar kimlikleri doğrulamak için kullanılıyor.) Hugging Face, jetonları iptal edilen kullanıcıların zaten bir e-posta bildirimi aldığını söylüyor ve tüm kullanıcılara “herhangi bir anahtarı veya jetonu yenilemelerini” ve Hugging’in de belirttiği gibi ayrıntılı erişim jetonlarına geçmeyi düşünmelerini tavsiye ediyor. Yüz iddiaları daha güvenlidir.

Potansiyel ihlalden kaç kullanıcının veya uygulamanın etkilendiği hemen belli olmadı. Daha fazla bilgi için Hugging Face’e ulaştık ve yanıt alırsak bu gönderiyi güncelleyeceğiz.

“Sorunu araştırmak ve güvenlik politikalarımızı ve prosedürlerimizi gözden geçirmek için dışarıdan siber güvenlik adli tıp uzmanlarıyla çalışıyoruz. Bu olayı kolluk kuvvetlerine ve Data’ya da bildirdik. [sic] koruma yetkilileri,” Hugging Face gönderide yazdı. “Bu olayın yol açmış olabileceği aksaklıktan derin üzüntü duyuyoruz ve bunun sizin için yaratmış olabileceği rahatsızlığı anlıyoruz. Bunu tüm altyapımızın güvenliğini güçlendirmek için bir fırsat olarak kullanacağımıza söz veriyoruz.”

Spaces’ın olası hacklenmesi, bir milyondan fazla model, veri seti ve yapay zeka destekli uygulamalarla işbirlikçi yapay zeka ve veri bilimi projeleri için en büyük platformlar arasında yer alan Hugging Face’in güvenlik uygulamaları konusunda artan incelemelerle karşı karşıya kalmasıyla birlikte geliyor.

Nisan ayında, bulut güvenlik firması Wiz’deki araştırmacılar, saldırganların, Hugging Face tarafından barındırılan bir uygulamanın yapım süresi boyunca makinelerindeki ağ bağlantılarını incelemelerine olanak tanıyan rastgele kod yürütmesine olanak tanıyan – düzeltildiğinden beri – bir güvenlik açığı buldu. Yılın başlarında güvenlik firması JFrog, Hugging Face’e yüklenen kodun son kullanıcı makinelerine gizlice arka kapılar ve diğer kötü amaçlı yazılım türlerini yüklediğine dair kanıtları ortaya çıkardı. Güvenlik girişimi HiddenLayer, Hugging Face’in görünüşte daha güvenli serileştirme formatı Safetensors’ın sabote edilmiş yapay zeka modelleri oluşturmak için kötüye kullanılabileceğini tespit etti.

Hugging Face geçtiğimiz günlerde şirketin güvenlik açığı tarama ve bulut ortamı yapılandırma araçlarını “platformumuz ve genel olarak AI/ML ekosistemi genelinde güvenliği artırmak amacıyla” kullanmak için Wiz ile ortaklık kuracağını söyledi.