Hugging Face Spaces 是由该社区用户创建和提交的一个AI应用仓库,可允许其他会员进行演示。Hugging Face 在博客文章中提到,“本周早些时候,我们团队检测到对 Spaces 平台的越权访问,具体和 Spaces 机密相关。我们怀疑 Spaces 的一部分机密已被越权访问。”
Hugging Face 表示已经撤销受陷机密中的认证令牌并通过邮件通知受影响用户。不过他们建议所有 Hugging Face Spaces 用户更新令牌并使用更精细的访问令牌,可使组织机构对AI模型的访问人群具有更严格的控制。目前,Hugging Face 正在和外部网络安全专家一起调查该攻陷事件并将该事件汇报给执法和数据保护机构。
Hugging Face 表示因这起事件已在几天前加强了安全措施。该平台指出,“几天来,我们已经对Spaces基础设施的安全性进行了其它重大更新,包括完全删除组织机构令牌(增强可追踪性和审计能力),为Spaces 机密执行密钥管理服务 (KMS),增强和扩展系统识别被泄露令牌并主动使其失效的能力,并且从整体上提升了安全性。我们还计划在不久的将来,随着精细化访问令牌实现全部特性,完全弃用‘典型的’读写令牌。我们将继续调查任何可能的相关事件。”
随着Hugging Face越来越流行,它也成为威胁行动者的香饽饽,后者试图滥用该平台实施恶意活动。2月份,JFrog 公司发现了约100个恶意 AI ML模型实例被用于在受害者机器上执行恶意代码。其中一个模型开放了一个反向 shell,可使远程威胁行动者访问运行该代码的设备。近期,Wiz 公司的安全研究员发现一个漏洞可使攻击者上传自定义模型并利用容器逃逸获得对其他客户模型的跨租户访问权限。
原文始发于微信公众号(代码卫士):Hugging Face Spaces 平台的认证令牌被盗
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论