AI初創公司Hugging Face在週五下午公布了一個不太令人愉快的消息,該公司的安全團隊本週早些時候發現了對Spaces的“未經授權訪問”。Spaces是Hugging Face的平台,用於創建、共享和托管AI模型和資源。Hugging Face在一篇博客中表示,入侵涉及Spaces的秘密,即作為解鎖受保護資源(如帳戶、工具和開發環境)的鑰匙的私人信息,並且該公司“懷疑”某些秘密可能已被第三方未經授權地訪問。作為預防措施,Hugging Face已經撤銷了這些秘密中的一些令牌(令牌用於驗證身份)。Hugging Face表示,已經撤銷令牌的用戶已經收到了一封電子郵件通知,並建議所有用戶“刷新任何金鑰或令牌”並考慮切換到更安全的細粒度訪問令牌。目前尚不清楚有多少用戶或應用程序受到潛在的入侵影響。Hugging Face在帖子中寫道:“我們正在與外部網絡安全法醫專家合作,調查此問題並審查我們的安全政策和程序。我們還向执法機構和數據保護機構報告了此事件。”“我們對此事件可能引起的中斷深感遺憾,並了解它可能給您帶來的不便。我們承諾將此作為機會,加強我們整個基礎設施的安全性。”在一份電子郵件聲明中,Hugging Face的一位發言人告訴Save Up To $800與此同時,Hugging Face面臨著越來越多關於其安全實踐的審查。作為協作AI和數據科學項目中最大的平台之一,Hugging Face擁有超過一百萬個模型、數據集和基於AI的應用程序。今年4月,雲安全公司Wiz的研究人員發現了一個(已修復的)漏洞,允許攻擊者在Hugging Face的應用程序構建期間執行任意代碼,從而使他們能夠檢查來自其計算機的網絡連接。今年早些時候,安全公司JFrog提供了證據,證明上傳到Hugging Face的代碼會在最終用戶計算機上暗中安裝後門和其他類型的惡意軟件。此外,安全初創公司HiddenLayer還發現Hugging Face所宣稱的更安全的序列化格式Safetensors存在潛在的創建損壞的AI模型的方法。Hugging Face最近宣布,將與Wiz合作使用該公司的漏洞掃描和雲環境配置工具,以“改善我們平台和整個AI/ML生態系統的安全性”。
Share this content:
