周五下午晚些时候,通常这是公司披露不利信息的时间窗口,人工智能初创公司 Hugging Face 表示,其安全团队本周早些时候检测到对 Spaces 的“未经授权的访问”,Spaces 是 Hugging Face 用于创建、共享和托管人工智能模型和资源的平台。
Hugging Face在一篇博客文章中表示,此次入侵与 Spaces 机密有关,即作为解锁账户、工具和开发环境等受保护资源的钥匙的私人信息,并且它“怀疑”某些机密可能已被第三方在未经授权的情况下访问。
作为预防措施,Hugging Face 已撤销这些密钥中的多个令牌。(令牌用于验证身份。)Hugging Face 表示,令牌被撤销的用户已收到电子邮件通知,并建议所有用户“刷新所有密钥或令牌”,并考虑切换到细粒度访问令牌,Hugging Face 声称这些令牌更安全。
目前尚不清楚有多少用户或应用程序受到此次潜在漏洞的影响。
Hugging Face 在帖子中写道:“我们正在与外部网络安全取证专家合作,调查该问题并审查我们的安全政策和程序。我们还向执法机构和数据保护机构报告了这一事件。我们对这一事件可能造成的破坏深感遗憾,并理解它可能给您带来的不便。我们承诺利用这次机会加强我们整个基础设施的安全性。”
Hugging Face 发言人在一封电子邮件声明中告诉 TechCrunch:
“过去几个月,我们看到网络攻击的数量大幅增加,这可能是因为我们的使用量大幅增长,而且人工智能正变得越来越主流。从技术上讲,很难知道有多少空间机密被泄露。”
Spaces 可能遭到黑客攻击之际,Hugging Face 的安全实践正面临越来越严格的审查。Hugging Face 是最大的协作 AI 和数据科学项目平台之一,拥有超过一百万个模型、数据集和 AI 应用程序。
今年 4 月,云安全公司 Wiz 的研究人员发现了一个漏洞(现已修复),该漏洞允许攻击者在 Hugging Face 托管的应用程序构建期间执行任意代码,从而让他们能够从自己的机器上检查网络连接。今年早些时候,安全公司 JFrog发现证据表明,上传到 Hugging Face 的代码会秘密在最终用户机器上安装后门和其他类型的恶意软件。安全初创公司 HiddenLayer 发现了 Hugging Face 表面上更安全的序列化格式 Safetensors 可能被滥用来创建破坏性的 AI 模型的方式。
Hugging Face最近表示,将与 Wiz 合作,使用该公司的漏洞扫描和云环境配置工具,“目的是提高我们平台和整个 AI/ML 生态系统的安全性”。
本站全部资讯来源于实验室原创、合作机构投稿及网友汇集投稿,仅代表个人观点,不作为任何依据,转载联系作者并注明出处:https://www.lvsky.net/389.html
评论