Hugging Face漏洞警示 AIaaS 面臨更多資安挑戰
編譯/Cynthia
隨著人工智慧(AI)技術的迅速進步,人工智慧即服務(AI as a Service,AIaaS)在企業和開發者中日益受歡迎,在這個領域裡,Hugging Face AI平台因其方便性和多功能性廣受關注。
團隊揭發弱點
Wiz資安研究團隊與Hugging Face攜手合作,發現該平台存在兩個重大漏洞。共享推論基礎設施和共享持續整合/持續交付(CI/CD)系統有安全漏洞,可能存在讓駭客注入惡意程式碼、進而控制模型或竄改CI/CD管道並接管的風險。其次,駭客可利用Pickle格式的漏洞進行遠端程式碼執行,取得更高的特權訪問權限。
更多新聞:生成式人工智慧生產力強大 將改變企業產品與服務週期
這些安全漏洞的存在不僅對個人數據和模型造成風險,也可能導致整個供應鏈受到攻擊。駭客可利用這些漏洞跨越平台進行更廣泛的攻擊,對整個AI生態系統造成更大的危害。
平台的應對措施
面對這些安全漏洞,Hugging Face已積極應對,快速修復漏洞並提供了解決方案,例如將Pickle文件替換為更安全的Safetensors,這是一種由Hugging Face開發的替代方案,主要在解決Pickle文件存在的安全問題。此外,還加強雲端安全管理和漏洞掃描等措施,以提升整個平台的安全性。
Hugging Face漏洞事件顯示,即使是由Google和Amazon支持、表面看似安全的AIaaS平台,也存在著嚴重的安全漏洞,對整個AI生態系統都帶來了威脅,因此在AI技術不斷進步的同時,需更加重視安全性並不斷加強防護措施。
資料來源:BankInfoSecurity
瀏覽 203 次
